ACADEMIA DO CONCURSO SEGURANÇA DA INFORMAÇÃO ACADEMIA DO CONCURSO INFORMAÇÃO ⇒ é um recurso (ativo) que, como outros importantes recursos de negócios, tem valor para uma INFORMÁTICA organização e, por conseguinte precisa ser protegido SEGURANÇA DA INFORMAÇÃO adequadamente. http://cartilha.cert.br/ http://cert.br/ SEGURANÇA DA INFORMAÇÃO ⇒ A Segurança SEGURANÇA DA INFORMAÇÃO da Informação protege a informação de uma gama extensiva de • CONFIDENCIALIDADE AMEAÇAS para assegurar a continuidade dos negócios, minimizar os danos empresariais e maximizar o retorno em • INTEGRIDADE investimentos e oportunidades. A Segurança da Informação é • DISPONIBILIDADE caracterizada pela preservação da CONFIDENCIALIDADE, CONFIDENCIALIDADE ⇒ CRIPTOGRAFIA INTEGRIDADE ⇒ HASH DISPONIBILIDADE ⇒ QoS INTEGRIDADE e DISPONIBILIDADE. ABNT ISO/IEC 27002 PRINCÍPIOS BÁSICOS DA SEGURANÇA DA INFORMAÇÃO 01- (FCC-2012) Os atributos básicos da segurança da informação são: CONFIDENCIALIDADE (privacidade) ⇒ assegurar que a informação só será acessada pelas pessoas que têm autorização (CRIPTOGRAFIA). INTEGRIDADE ⇒ assegurar que a informação não foi alterada durante o processo de armazenamento ou de transporte do emissor para o receptor (HASH). DISPONIBILIDADE ⇒ assegurar que os usuários autorizados tenham acesso a informações e a recursos associados quando requeridos. Ou seja, assegurar que as informações estarão disponíveis quando solicitadas pelos usuários autorizados.(QoS ⇒ Quality of Service-Qualidade de Serviço) INFORMÁTICA - EXERCÍCIOS SEGURANÇA DA INFORMAÇÃO (A) Confidencialidade, Integridade e Direcionamento (B) Comunicabilidade, Integridade e Disponibilidade (C) Confidencialidade, Integridade e Disponibilidade (D) Confidencialidade, Interface e Disponibilidade (E) Comunicabilidade, Interface e Disponibilidade CONFIDENCIALIDADE ⇒ CRIPTOGRAFIA INTEGRIDADE ⇒ HASH DISPONIBILIDADE ⇒ QoS (Quality of Service) 1 MANUEL ACADEMIA DO CONCURSO 02- (DPRS-FCC-2013) - Um computador ou sistema computacional é dito seguro se este atender a três requisitos básicos relacionados aos recursos que o compõem. Alguns exemplos de violações a cada um desses requisitos são: I. O seu provedor sofre uma grande sobrecarga de dados ou um ataque de negação de serviço e por este motivo você fica impossibilitado de enviar sua Declaração de Imposto de Renda à Receita Federal. II. Alguém obtém acesso não autorizado ao seu computador e lê todas as informações contidas na sua Declaração de Imposto de Renda. III. Alguém obtém acesso não autorizado ao seu computador e altera informações da sua Declaração de Imposto de Renda, momentos antes de você enviá-la à Receita Federal. A associação correta do requisito de segurança com os exemplos de violação está expressa, respectivamente, em: 03-(ICMS/SP-2013-FCC) - Um dos recursos básicos utilizados na segurança da informação é a criptografia que tem como objetivo assegurar a 04- (TRE-TO-FCC-2011) Uma das formas de proteger o sigilo da informação que trafega na Internet é (A) privacidade. (B) não responder e-mails que chegam "com cópia oculta" (A) (B) (C) (D) (E) I II III privacidade integridade exclusividade exclusividade privacidade acessibilidade confidencialidade exclusividade disponibilidade disponibilidade confidencialidade integridade acessibilidade exclusividade privacidade (A) não fazer os downloads em notebooks PRIVACIDADE = CONFIDENCIALIDADE (C) mandar e-mails somente a pessoas da lista pessoal (B) legalidade. (D) não usar a opção "com cópia para" do correio eletrônico (C) consistência. (E) a criptografia (D) disponibilidade. (E) integridade. As lacunas I, II e III são correta e, respectivamente, preenchidas por: 05-(SABESP-2014-FCC)-A segurança da informação visa garantir a integridade, confidencialidade, autenticidade e disponibilidade das informações processadas pela organização. Em relação a estes critérios de segurança da informação, analise: (A) (B) (C) (D) (E) − Manter a I pressupõe garantir a prestação contínua do serviço, sem interrupções no fornecimento de informações para quem é de direito. − Manter a II pressupõe assegurar que as pessoas não tomem conhecimento de informações, de forma acidental ou proposital, sem que possuam autorização para tal procedimento. − A manutenção da III pressupõe a garantia de não violação dos dados com intuito de alteração, gravação ou exclusão, seja ela acidental ou proposital. INFORMÁTICA - EXERCÍCIOS SEGURANÇA DA INFORMAÇÃO 2 I disponibilidade autenticidade integridade disponibilidade autenticidade II integridade integridade autenticidade confidencialidade disponibilidade III autenticidade disponibilidade disponibilidade integridade confidencialidade MANUEL ACADEMIA DO CONCURSO 06- Tomar precauções contra intrusão, invasão e ataques indesejados, provenientes da Internet, no computador pessoal. Como medida preventiva citada acima, é seguro e correto (A) a instalação de programas disponibilizados pelos hackers para proteção contra vírus. QUESTÕES CONCEITOS BÁSICOS (B) a conexão apenas com a Intranet. (C) o uso de firewall. (D) a desinstalação da barra de ferramentas do navegador. (E) a desinstalação da barra de status do navegador. 08- Para determinar a Área de Segurança, ou seja, o espaço físico que precisa ser protegido contra as ameaças que podem gerar um incidente de segurança da informação, é necessário (A) armazenar o backup das informações de segurança no mesmo prédio, para facilitar o acesso rápido a essas informações. (B) instalar equipamentos processadores de informações, tais como computadores, impressoras, fax etc, em áreas com acesso público, como expedição e carga de materiais. (C) definir quais são as informações essenciais e onde elas podem ser encontradas. (D) definir as áreas onde são processadas todas as informações. (E) delimitar uma área de fácil acesso ao público, com identificações detalhadas de seu propósito. 07- Sobre o mecanismo de proteção firewall, considere: I. Bloqueia a entrada e/ou saída de dados. II. Pode ser hardware, software ou ambos. III. Atua somente entre uma rede interna e outra externa. Está correto o que consta em (A) III, apenas (B) II, apenas (C) I, II e III (D) I e II, apenas (E) I, apenas TIPOS DE BACKUP BACKUP INCREMENTAL ⇒ copia somente os arquivos criados ou alterados desde o último backup normal ou incremental. Os arquivos que sofreram backup são marcados como tal, ou seja, o atributo de arquivamento (A) é DESMARCADO. Se o usuário utilizar uma combinação de backups normais ou incrementais para restaurar os dados, será preciso ter o último backup normal e todos os conjuntos de backups incrementais. BACKUP NORMAL ⇒ copia todos os arquivos selecionados e marca cada arquivo como tendo sofrido backup, ou seja, o atributo de arquivamento (A) é desmarcado. Com backups normais, o usuário só precisa da cópia mais recente do arquivo (ou da fita) de backup para restaurar todos os arquivos. Geralmente, o backup normal é executado quando se cria um conjunto de backup pela primeira vez. ACADEMIA.DOCX A ATRIBUTO DE ARQUIVAMENTO INFORMÁTICA - EXERCÍCIOS SEGURANÇA DA INFORMAÇÃO BACKUP DIFERENCIAL ⇒ copia arquivos criados ou alterados desde o último backup normal ou incremental. Os arquivos que sofreram backup não são marcados como tal, ou seja, o atributo de arquivamento (A) NÃO É DESMARCADO. Se o usuário estiver executando uma combinação de backups normal e diferencial, a restauração de arquivos e pastas exigirá que o usuário tenha o último backup normal e o último backup diferencial. ACADEMIA.DOCX ATRIBUTO DE ARQUIVAMENTO 3 MANUEL ACADEMIA DO CONCURSO 09- Em segurança da informação nos computadores, o uso de arquivos backup serve principalmente para 10- Sobre backups, é correto afirmar: (A) A prudência determina que o sistema operacional deve ter (A) recuperar arquivos perdidos. sua cópia de segurança realizada diariamente. (B) recuperar o sistema operacional em casos de falha. (B) Criar um ponto de restauração nada mais é do que o (C) isolar em quarentena os vírus detectados. sistema operacional efetuar backup de pontos críticos que (D) recuperar arquivos perdidos e isolar em quarentena os possam recuperar o sistema operacional após qualquer vírus detectados. sinistro. (E) recuperar o sistema operacional em casos de falha e isolar (C) A realização do backup em outra área do próprio HD é uma em quarentena os vírus detectados. forma BACKUP = CÓPIA DE SEGURANÇA que proporciona acentuada rapidez na 11- Em relação aos tipos de backup, é correto afirmar que o Backup Incremental (A) é uma cópia extraída diariamente, contendo todos os incrementos que ocorreram no sistema operacional. (B) é uma cópia de segurança que incrementa todas as inclusões e alterações de programas e configurações. (C) é a cópia de segurança na qual são copiados somente os arquivos alterados depois do último backup. (D) copia todos os arquivos do sistema operacional, assinalando aqueles que foram alterados. (E) é programado para ser executado sempre que houver alteração nos dados armazenados. (D) Uma cópia só pode ser considerada segura se for realizada em fita magnética. (E) A diferença entre os tipos de backup realizados numa rede de computadores reside, principalmente, no tipo de mídia utilizado. 12- Sobre segurança da informação é correto afirmar: (D) Para criar senhas seguras é indicado utilizar informações (A) Os usuários de sistemas informatizados, devem ter acesso total aos recursos de informação da organização, sendo desnecessário a utilização de login e senha. (B) As organizações não podem monitorar o conteúdo dos e-mails enviados e recebidos pelos seus colaboradores e nem utilizar esses dados para fins de auditoria e/ou investigação. (C) É possível saber quais páginas foram acessadas por um computador, identificar o perfil do usuário e instalar programas espiões, entretanto, não é possível identificar esse computador na Internet devido ao tamanho e complexidade da rede. INFORMÁTICA - EXERCÍCIOS SEGURANÇA DA INFORMAÇÃO segura restauração do backup. fáceis de lembrar, como nome, sobrenome, número de documentos, números de telefone, times de futebol e datas. (E) Um firewall/roteador ajuda a promover uma navegação segura na web, pois permite filtrar os endereços e bloquear o tráfego de sites perigosos. 4 MANUEL ACADEMIA DO CONCURSO 13- Com respeito às 27002:2005, considere: recomendações da norma NBR Está INCORRETO o que consta em (A) I, apenas (B) II, apenas (C) III, apenas (D) II e III, apenas (E) I, II e III I. São fatores críticos de sucesso da segurança da informação a provisão de conscientização, treinamento e educação adequados. II. A segurança da informação é exclusivamente aplicável aos negócios do setor público e serve para proteger as infraestruturas críticas. III. Se os funcionários, fornecedores e terceiros não forem conscientizados das suas responsabilidades, eles podem causar consideráveis danos para a organização. ALGUNS CONCEITOS BÁSICOS EM SEGURANÇA DA INFORMAÇÃO ALGUNS CONCEITOS BÁSICOS EM SEGURANÇA DA INFORMAÇÃO AMEAÇA ⇒ é tudo aquilo que pode comprometer a segurança de um sistema AMEAÇA ⇒ é algo que possa provocar danos à segurança da informação, prejudicar as ações da empresa e sua sustentação VULNERABILIDADE ⇒ ponto pelo qual alguém pode ser atacado, molestado ou ter suas informações corrompidas. É a FRAGILIDADE de um ATIVO ou grupo de ativos que pode ser explorada por uma ou mais AMEAÇAS. no negócio, mediante a exploração de uma determinada VULNERABILIDADE. As ameaças à segurança da informação são relacionadas diretamente à PERDA de uma de suas TRÊS CARACTERÍSTICAS PRINCIPAIS: RISCO ⇒ é a probabilidade de ameaças explorarem vulnerabilidades, provocando perdas de confidencialidade, integridade e disponibilidade, e causando, possivelmente, impacto nos negócios da empresa. confidencialidade, integridade, disponibilidade. 15- Sobre segurança da informação, considere: 14- No contexto da segurança, pode ser definida como a fraqueza ou deficiência que pode ser explorada. Trata-se de: I. Ameaça: algo que possa provocar danos à segurança da (A) Mutação informação, prejudicar as ações da empresa e sua sustentação (B) Ameaça no negócio, mediante a exploração de uma determinada (C) Vulnerabilidade vulnerabilidade. (D) Contingência II. Vulnerabilidade: é medida pela probabilidade de uma (E) Probabilidade ameaça acontecer e pelo dano potencial à empresa. III. Risco: ponto pelo qual alguém pode ser atacado, molestado ou ter suas informações corrompidas. INFORMÁTICA - EXERCÍCIOS SEGURANÇA DA INFORMAÇÃO 5 MANUEL ACADEMIA DO CONCURSO 16- Segundo a norma ISO/IEC 17799, são ativos de informação: (A) software básico; ferramentas de desenvolvimento e utilitários; roteadores e switches. (B) software básico; banco de dados e arquivos de dados; mídia magnética (fitas e discos). (C) banco de dados e arquivos de dados; documentação de sistemas; planos de continuidade. (D) procedimentos operacionais; computadores; equipamentos de comunicação de dados. (E) software aplicativo; computadores; roteadores e switches. Está correto o que se afirma APENAS em (A) II e III (B) III (C) I (D) I e II (E) I e III CRIPTOGRAFIA SIMÉTRICA PRINCIPAIS CARACTERÍSTICAS Usa a MESMA chave para criptografar e decriptografar. Rapidez na criptografia e decriptografia das informações, por essa razão é a mais usada para cifrar grande quantidade de dados. A chave secreta deve ser transmitida ou comunicada para o receptor, tornando-a mais vulnerável a roubo. Não garante a autenticidade do remetente pois a chave pode ter sido roubada. CRIPTOGRAFIA SIMÉTRICA - 1 CHAVE TEXTO LEGÍVEL CIFRAGEM TEXTO CIFRADO DECIFRAGEM TEXTO LEGÍVEL CHAVE CHAVE DESTINATÁRIO REMETENTE CIFRAGEM / DECIFRAGEM = PROGRAMA(SOFTWARE) PRINCIPAIS ALGORITMOS - DES Blowfish CAST, CAST-3, CAST-128 CRIPTOGRAFIA ⇒ CONFIDENCIALIDADE SEGURANÇA DA INFORMAÇÃO TEXTO LEGÍVEL DESTINATÁRIO CIFRAGEM TEXTO CIFRADO CHAVE PÚBLICA DO DESTINATÁRIO DECIFRAGEM AES IDEA RC2 RC4 RC5 PRINCIPAIS CARACTERÍSTICAS Usa chaves DIFERENTES para criptografar e descriptografar. CRIPTOGRAFIA ASSIMÉTRICA - 2 CHAVES (pública/privada) REMETENTE 3DES É MAIS SEGURA que a criptografia simétrica, por não precisar comunicar ao receptor a chave necessária para TEXTO LEGÍVEL descriptografar a mensagem. Apenas a chave de encriptação é compartilhada (pública). A CHAVE PRIVADA DO DESTINATÁRIO chave de decriptação (privada) é mantida em segredo com seu titular. TODOS CONHECEM Cada usuário para se comunicar deverá possuir um par de SÓ O DESTINATÁRIO CONHECE chaves (PÚBLICA/PRIVADA). CRIPTOGRAFIA ⇒ CONFIDENCIALIDADE INFORMÁTICA - EXERCÍCIOS SEGURANÇA DA INFORMAÇÃO 6 MANUEL ACADEMIA DO CONCURSO PRINCIPAIS CARACTERÍSTICAS CRIPTOGRAFIA SIMÉTRICA E ASSIMÉTRICA Os processos são MAIS LENTOS, portanto é viável apenas É possível combinar a criptografia simétrica com a para pequena quantidade de dados. É praticamente impossível determinar o valor da chave assimétrica, somando a segurança com a rapidez. privada a partir da chave pública. Como ? PRINCIPAL ALGORITMO ⇒ RSA Veja o exemplo seguinte. (Ron Rivest/Adi Shamir/Leonard Adleman). Utiliza chaves de 256, 512, 1024 e até 2048 bits. CRIPTOGRAFIA SIMÉTRICA E ASSIMÉTRICA CRIPTOGRAFIA SIMÉTRICA E ASSIMÉTRICA X envia a mensagem, que agora contem duas partes: a mensagem criptografada (com a chave simétrica CS) e a própria chave (CS) criptografada com um algoritmo assimétrico. Quando Y receber a mensagem, fará o seguinte: descriptar a chave (CS) usando a sua chave privada (que só ele sabe), e em seguida, usar a CS para descriptografa a própria mensagem. Obs. ⇒ A utilização de Chaves de Sessão-CS (Session Keys) é muito comum em sistemas baseados em criptografia de chave pública e que utilizam a criptografia simétrica para cifrar e decifrar mensagens. X deseja enviar uma e-mail (mensagem) com um arquivo atachado para Y. X cifra a mensagem utilizando um algoritmo simétrico e uma chave simétrica utilizada apenas para aquela transação e chamada de CHAVE DE SESSÃO (CS). Mas como enviar a chave (CS) para Y descriptar a mensagem ? E se alguém descobre ? X criptografa a chave simétrica (CS) utilizando um algoritmo ASSIMÉTRICO e a chave pública de Y. CRIPTOGRAFIA SIMÉTRICA E ASSIMÉTRICA REMETENTE TEXTO LEGÍVEL CIFRAGEM SIMÉTRICA CHAVE DE SESSÃO CS COMO FUNCIONA O HASH ? Quando um usuário envia um e-mail, ele utiliza um algoritmo para calcular o Hash da mensagem (resumo). Esse Hash (gerado pelo algoritmo) nada mais é do que um conjunto de caracteres (bytes-arquivo) de tamanho FIXO. Esse tamanho DEPENDE APENAS do ALGORITMO utilizado. Assim, um arquivo grande e um arquivo pequeno, se usarem o mesmo algoritmo terão um Hash do MESMO TAMANHO, embora sejam DIFERENTES. DESTINATÁRIO TEXTO CIFRADO CS CIFRADA CIFRAGEM ASSIMÉTRICA CHAVE PÚBLICA DO DESTINATÁRIO TODOS CONHECEM INFORMÁTICA - EXERCÍCIOS SEGURANÇA DA INFORMAÇÃO TEXTO CIFRADO CS CIFRADA DECIFRAGEM SIMÉTRICA TEXTO LEGÍVEL CHAVE DE SESSÃO CS DECIFRAGEM ASSIMÉTRICA ⇒ Os algoritmos de Hash mais usados são: MD2, MD4, MD5 e o SHA-1. CHAVE PRIVADA DO DESTINATÁRIO HASH ⇒ INTEGRIDADE SÓ O DESTINATÁRIO CONHECE 7 MANUEL ACADEMIA DO CONCURSO 17- Sobre a criptografia simétrica, é correto afirmar: COMO FUNCIONA O HASH ? DESTINATÁRIO REMETENTE TEXTO LEGÍVEL TEXTO LEGÍVEL ALGORITMO HASH (A) A criptografia por chave pública é simétrica no sentido de que emprega duas chaves inversamente relacionadas: uma chave pública e uma chave privada. (B) A chave privada é mantida em segredo pelo seu proprietário e a chave pública é distribuída livremente. (C) Para transmitir uma mensagem com segurança, o emissor usa a chave pública do receptor para criptografar a mensagem. Então, o receptor decifra a mensagem utilizando sua chave privada exclusiva. HASH DO TEXTO ALGORITMO HASH HASH DO TEXTO HASH DO TEXTO SÃO IGUAIS ? Observações: HASH ⇒ GARANTE INTEGRIDADE ! HASH ⇒ NÃO GARANTE CONFIDENCIALIDADE ! 18- Na criptografia assimétrica (D) Se o sistema ficar comprometido devido ao fato de a chave privada cair nas mãos de terceiros, o usuário deverá trocar todo o algoritmo criptográfico ou de decriptação e não somente a chave. (E) Usa a mesma chave secreta para criptografar e decriptar. (A) usa-se uma única chave para encriptar e decriptar mensagens (B) apenas a chave de encriptação é compartilhada (C) encriptação e decriptação são processos simples que exigem pouco processamento. (D) há suscetibilidade a quebras de segredo por meio da autenticação do algoritmo 3DES. (E) a chave de encriptação é gerada pelo seu titular, por meio da função HASH MD5, exclusivamente. SIMÉTRICA ⇒ 1 CHAVE (secreta/privada/simétrica/sessão) ASSIMÉTRICA ⇒ 2 CHAVES ⇒ PÚBLICA / PRIVADA • PÚBLICA ⇒ criptografar (encriptar) ⇒ todos conhecem ! • PRIVADA ⇒ descriptografar (decriptar) ⇒ só o dono conhece! PRINCÍPIO DE KERCKHOFF ⇒ EXCLUSIVAMENTE NA CHAVE ! O SEGREDO DEVE RESIDIR 19- São, respectivamente, um algoritmo de criptografia assimétrica (chave pública) e um de simétrica (convencional): (A) SSL e SSM (B) RSA e AES (C) KDC e ECC (D) DES e 3DES (E) 3DES e RSA SIMÉTRICOS DES 3DES AES IDEA RC2 RC4 RC5 BLOWFISH CAST CAST-3 CAST-128 INFORMÁTICA - EXERCÍCIOS SEGURANÇA DA INFORMAÇÃO SSL/TLS (SECURE SOCKET LAYER) ⇒ criptografia e autenticação. KDC (Key Distribution Center) ⇒ servidor centralizado também responsável pela autenticação dos usuários ECC (Eliptic Curve Cryptography) ⇒ criptografia assimétrica SMS ⇒ SHORT MESSAGE SERVICE (até 160 caracteres) MMS ⇒ MULTIMEDIA MESSAGING SERVICE ⇒ permite enviar e receber mensagens com mais de 160 caracteres, bem como enriquecê-las com recursos audiovisuais, como imagens, sons e gráficos. O MMS foi criado para tirar proveito das tecnologias 3G, 4G, etc. ASSIMÉTRICO RSA 8 MANUEL ACADEMIA DO CONCURSO 20- Em relação aos princípios da segurança, a criptografia, por si só, garante (A) a integridade dos dados ⇒ HASH (B) a confidencialidade ⇒ CRIPTOGRAFIA 21- Com a criptografia simétrica, um requisito fundamental para que duas partes se comuniquem com segurança é (A) que haja um cabeamento adequado que evite invasões. (B) estabelecer comunicação apenas na camada host/rede. (C) a existência de um monitoramento de rede eficaz e online. (C) a identidade do remetente ⇒ ASSINATURA DIGITAL (D) elas compartilharem duas chaves públicas, porém cada (D) o não repúdio ⇒ ASSINATURA DIGITAL uma em um período diferente do dia. (E) a autenticidade ⇒ ASSINATURA DIGITAL (E) elas compartilharem uma chave secreta. 22- Para que a criptografia simétrica funcione, os dois lados de uma troca necessitam 23- (TRE-TO-FCC-2011) Uma das formas de proteger o sigilo da informação que trafega na Internet é (A) que após a transmissão da mensagem, imediatamente seja trocada a chave pública. (B) ter a mesma chave e esta deve estar protegida contra o acesso de terceiros. (C) ter chaves diferentes, com uma delas não necessariamente protegida contra o acesso de terceiros. (D) usar duas chaves públicas em cada mensagem trocada. (E) usar duas chaves privativas diferentes em cada mensagem trocada (A) não fazer os downloads em notebooks (B) não responder e-mails que chegam "com cópia oculta" (C) mandar e-mails somente a pessoas da lista pessoal (D) não usar a opção "com cópia para" do correio eletrônico (E) a criptografia CS ⇒ CHAVE DE SESSÃO 24-LIQUIGÁS-TI-BDADOS-2012-CESGRANRIOOs sistemas criptográficos contemporâneos se valem do poder de processamento dos computadores para criar algoritmos difíceis de quebrar. Essa mesma capacidade de processamento é uma das forças da criptoanálise. Nesse contexto, um dos conceitos (princípio de Kerckhoffs) que prevalecem para certificar ou homologar algoritmos criptográficos é que eles devem ser tão bem construídos que sua resistência a ataques de criptoanálise não deve residir no sigilo do algoritmo, mas, unicamente, no segredo da(o) 25-IBGE-ANALISTA REDE-2013 - CESGRANRIO - Um remetente pode proteger o sigilo de uma mensagem em texto plano, criptografando-a com uma chave simétrica e um algoritmo de criptografia simétrica. Para enviar a chave simétrica com segurança para o destinatário, o remetente deve criptografar essa chave com um algoritmo de criptografia assimétrica e a (A) sua chave privada (B) sua chave pública (C) chave privada do destinatário (A) chave (B) identidade do remetente (C) assinatura do remetente (D) identidade do destinatário (E) canal de transmissão INFORMÁTICA - EXERCÍCIOS SEGURANÇA DA INFORMAÇÃO CRIPTOGRAFIA SIMÉTRICA + ASSIMÉTRICA (D) chave pública do destinatário (E) própria chave simétrica 9 MANUEL ACADEMIA DO CONCURSO 26 - BNDES - ANALISTA DE SISTEMAS-2010 - CESGRANRIO Um usuário mal-intencionado obteve, além do tipo de algoritmo utilizado na criptografia, a chave pública de João, quando este iniciou uma comunicação criptografada (algoritmo assimétrico) com Marcela. De posse dessa chave pública e do algoritmo, o usuário mal-intencionado 27- PETROBRÁS-ANALISTA-INFRA-2012-CESGRANRIO Para garantir o sigilo em uma comunicação, um emissor pode enviar uma mensagem criptografada com um algoritmo de criptografia simétrica. Para que o receptor possa decifrar essa mensagem, é necessário obter a chave (A) privada do emissor que foi utilizada pelo algoritmo mensagem. (B) privada e a chave secreta do emissor que foram utilizadas para cifrar a mensagem. (C) secreta do emissor que foi utilizada pelo algoritmo mensagem. (D) pública do emissor que foi utilizada pelo algoritmo mensagem. (E) pública e a chave secreta do emissor que foram utilizadas para cifrar a mensagem. (A) pode ler o conteúdo das mensagens enviadas de João a Marcela, mas não o inverso. (B) pode ler o conteúdo das mensagens enviadas de Marcela a João, mas não o inverso. (C) não tem acesso ao conteúdo das mensagens de posse desses itens. (D) consegue obter a chave privada a partir de ataques de dicionário. (E) consegue obter a chave privada utilizando ataques de SQL Injection. para cifrar a pelo algoritmo para cifrar a para cifrar a pelo algoritmo 31-ANTAQ-2014-CESPE-UNB Na criptografia simétrica, a mesma chave compartilhada entre emissor e receptor é utilizada tanto para cifrar quanto para decifrar um documento. Na criptografia assimétrica, utiliza-se um par de chaves distintas, sendo a chave pública do receptor utilizada pelo emissor para cifrar o documento a ser enviado; posteriormente, o receptor utiliza sua chave privada para decifrar o documento. 28-ANATEL-2014-CESPE-UNB - As funções HASH são utilizadas para autenticar mensagens, não possuem chave de encriptação e são irreversíveis. 29-ANATEL-2014-CESPE-UNB - Nos métodos mais seguros de criptografia, a função e a chave utilizadas na encriptação devem ser de conhecimento exclusivo do remetente da mensagem. 32-ANTAQ-2014-CESPE-UNB- A utilização adequada dos mecanismos de criptografia permite que se descubra qualquer alteração em um documento por partes não autorizadas, o que garante a confidencialidade do documento. 33-ANTAQ-2014-CESPE-UNB- Para a utilização de criptografia assimétrica, a distribuição das chaves públicas é comumente realizada por meio de certificado digital, que contém o nome do usuário e a sua chave pública, sendo a autenticidade dessas informações garantida por assinatura digital de uma terceira parte confiável, denominada AC. 30-ANTAQ-2014-CESPE-UNBAES, SHA-3 e RSA correspondem, respectivamente, a um algoritmo de criptografia simétrica, a uma função de hash criptográfico e a um algoritmo de criptografia assimétrica. 34-FGV-2014-Dois estagiários de TI discutiram o uso de criptografia simétrica, levantando vários argumentos, e analisando as características desse tipo de criptografia. A única afirmativa verdadeira nessa discussão foi que os algoritmos de criptografia simétrica: 35- Uma assinatura digital é um recurso de segurança cujo objetivo é (A) são mais lentos que os de criptografia assimétrica; (B) precisam de um mecanismo de distribuição de chaves públicas; (C) exigem o uso de chave secreta compartilhada; (D) usam chaves com tamanho superior a 768 bits; (E) são usados como base da certificação digital. um token. INFORMÁTICA - EXERCÍCIOS SEGURANÇA DA INFORMAÇÃO (A) identificar um usuário apenas por meio de uma senha. (B) identificar um usuário por meio de uma senha, associada a (C) garantir a autenticidade de um documento. (D) criptografar um documento assinado eletronicamente. (E) ser a versão eletrônica de uma cédula de identidade. 10 MANUEL ACADEMIA DO CONCURSO COMO FUNCIONA A ASSINATURA DIGITAL ASSINATURA DIGITAL GARANTE • AUTENTICIDADE DESTINATÁRIO REMETENTE • INTEGRIDADE TEXTO LEGÍVEL • NÃO-REPÚDIO (IRRETRATABILIDADE/IRREFUTABILIDADE) ALGORITMO HASH OBS1. ASSINATURA DIGITAL ⇒ o remetente assina o HASH (resumo) do documento com sua chave PRIVADA que será TEXTO LEGÍVEL HASH DO TEXTO OBS2. ASSINATURA DIGITAL ⇒ ASSINA COM CHAVE PRIVADA DO REMETENTE NÃO GARANTE CONFIDENCIALIDADE HASH DO TEXTO ASSINADO HASH DO TEXTO ASSINADO ALGORITMO DSA reconhecida no destino por sua chave PÚBLICA. ALGORITMO HASH SÓ O REMETENTE CONHECE HASH DO TEXTO HASH DO TEXTO SÃO IGUAIS ? ALGORITMO DSA ABRE COM CHAVE PÚBLICA DO REMETENTE TODOS CONHECEM 36- Com relação ao conteúdo dos dados de um certificado digital, nele NÃO consta INFRA-ESTRUTURA DE CHAVE PÚBLICA - ICP COMPONENTES DE UMA PKI (A) a chave privada do titular do certificado AC-RAIZ (B) o nome completo do titular do certificado AC INTERMEDIÁRIA AC INTERMEDIÁRIA AC INTERMEDIÁRIA AC REGISTRO AC REGISTRO AC REGISTRO USUÁRIO USUÁRIO USUÁRIO (C) o endereço de e-mail do titular do certificado (D) o nome da autoridade certificadora (E) a assinatura da autoridade certificadora 37- Em relação à assinatura digital, é INCORRETO afirmar: (D) A assinatura é uma função do documento e não pode ser (A) Quando um usuário usa a chave pública do emitente para transferida decifrar uma mensagem, ele confirma que foi aquele emitente e reutilizável. somente aquele emitente quem enviou a mensagem, portanto, a (E) O usuário destinatário não precisa de nenhuma ajuda do assinatura é autêntica. usuário emitente para reconhecer sua assinatura e o emitente (B) O documento assinado não pode ser alterado: se houver não pode negar ter assinado o documento, portanto, a qualquer alteração no texto criptografado este só poderá ser assinatura não pode ser repudiada. para outro documento, portanto, ela não é restaurado com o uso da chave pública do emitente. (C) A assinatura não pode ser forjada, pois somente o emitente conhece sua chave secreta. INFORMÁTICA - EXERCÍCIOS SEGURANÇA DA INFORMAÇÃO 11 MANUEL ACADEMIA DO CONCURSO 39- Sobre Certificação Digital, analise: 38- Ao gerar o par de chaves criptográficas para o certificado digital, a Autoridade de Registro I. As transações feitas com a identidade digital têm validade jurídica garantida pela Medida Provisória 2.200-2. II. A validade do certificado digital pode variar de 1 a 3 anos. Após o vencimento, é necessário fazer a renovação novamente com a Autoridade de Registros. III. Smart card, token ou computador pessoal são algumas das opções de armazenamento do certificado digital. IV. O certificado digital Tipo A1 oferece maior segurança e praticidade, pois, é gerado e armazenado em um hardware, ou seja, em um smart card ou token. (A) armazena a chave pública. (B) armazena a chave privada. (C) armazena as chaves pública e privada. (D) armazena a chave privada e a senha de acesso à chave. (E) armazena as chaves pública e privada e a senha de acesso à chave privada. A1 é gerado e armazenado no computador pessoal do usuário ! TIPOS DE CERTIFICADOS DIGITAIS Está correto o que consta em (A) I, II, III e IV. (B) I, II e III, apenas. (C) I e II, apenas. (D) II, III e IV, apenas. (E) I e IV, apenas. A1 ⇒ validade de 1 ano A3 ⇒ validade de 3 anos A funcionalidade e o padrão dos certificados digitais tipos A1 ou A3 são idênticos, a principal diferença é a mídia de armazenamento. TIPOS DE CERTIFICADOS DIGITAIS 40- Na estrutura I, a II , é composta por entidades vinculadas operacionalmente a uma determinada III. Sua função é identificar e cadastrar os usuários, em postos de atendimento a que os mesmos possam comparecer e, a partir daí, encaminhar as solicitações de certificados digitais para uma IV. As lacunas I, II, III e IV são completadas correta e respectivamente por (A) da Casa Civil da Presidência da República, Autoridade de Registro, Autoridade Certificadora Raiz, Autoridade Certificadora. (B) ICP Brasil, Autoridade de Registro, Autoridade Certificadora, Autoridade Certificadora. (C) ICP Brasil, Autoridade Certificadora, Autoridade de Registro, Autoridade de Registro. TIPO A1 ⇒ a chave privada é armazenada no DISCO RÍGIDO do computador, que também é utilizado para realizar a assinatura digital. Tem melhor desempenho por utilizar o computador para realizar a assinatura digital, que é um fator a ser considerado para empresas que emitem uma grande quantidade de NF-e (notas fiscais eletrônicas) diariamente. TIPO A3 ⇒ a chave privada é armazenada em dispositivo PORTÁTIL inviolável do tipo smart card ou token, que possuem um chip com capacidade de realizar a assinatura digital. Este tipo de dispositivo é bastante seguro, pois toda operação é realizado pelo chip existente no dispositivo, sem qualquer acesso externo à chave privada do certificado digital. Oferece maior segurança. INFORMÁTICA - EXERCÍCIOS SEGURANÇA DA INFORMAÇÃO 12 MANUEL ACADEMIA DO CONCURSO 41- Considere: 40- Na estrutura I, a II , é composta por entidades vinculadas operacionalmente a uma determinada III. Sua função é identificar e cadastrar os usuários, em postos de atendimento a que os mesmos possam comparecer e, a partir daí, encaminhar as solicitações de certificados digitais para uma IV. As lacunas I, II, III e IV são completadas correta e respectivamente por (D) da Casa Civil da Presidência da República, Autoridade Certificadora Raiz, Autoridade Certificadora, Autoridade de Registro. (E) de criptografia, Autoridade de Registro, Autoridade Certificadora Raiz, Autoridade Certificadora. I. A Infraestrutura de Chaves Públicas (ICP) pode ser formada por órgão, ou iniciativa pública ou privada, com competência para definir os padrões técnicos e práticos para suportar um sistema criptográfico com base em certificados digitais. II. A AC Raiz da ICP-Brasil, representada pelo ITI, é a responsável por fazer o credenciamento e auditoria de toda a cadeia hierárquica de confiança e delega às ACs a responsabilidade pela fiscalização e supervisão das ARs. III. Nos níveis de hierarquia que formam a cadeia de confiança de uma ICP, apenas o segundo nível, sempre representado por uma AC, está habilitado para gerar um certificado digital. IV. A obtenção de um certificado digital pode ser feita por qualquer pessoa jurídica ou física, bastando apresentar fisicamente a documentação necessária a uma AR, que passará esses dados para a AC à qual é subordinada. FERRAMENTAS DE SEGURANÇA FIREWALL ⇒ É o principal instrumento de defesa de uma rede corporativa já que centraliza a administração e a configuração de segurança, dispensando a instalação de É correto o que consta APENAS em (A) I e II (B) I e IV (C) II e III (D) II, III e IV (E) III e IV softwares adicionais em cada host (máquina) da rede. Regra Básica de um Firewall é: o que não for expressamente permitido é proibido. FERRAMENTAS DE SEGURANÇA 42- Uma rede de computadores privada construída sobre uma rede de acesso público, como a Internet, utilizando comunicação criptografada por meio da rede pública é denominada VPN (Virtual Private Network) ⇒ rede particular que utiliza a infra-estrutura de uma rede pública de telecomunicações, (A) VPN como a Internet, por exemplo, para a transmissão de (B) RENPAC informações confidenciais. Os dados transmitidos são (C) X.25 encriptados. Sua implementação se dá por meio de (D) LAN firewalls instalados entre as redes particulares e a (E) WAN Internet, formando túneis virtuais pelos quais trafegam as informações, protegendo-as do acesso de usuários não autorizados. INFORMÁTICA - EXERCÍCIOS SEGURANÇA DA INFORMAÇÃO 13 MANUEL ACADEMIA DO CONCURSO FERRAMENTAS DE SEGURANÇA VPN (VIRTUAL PRIVATE NETWORK) Este tipo de rede é mais empregado no âmbito corporativo, conectando a matriz à suas INTERNET REDE PÚBLICA filiais VPN REDE PRIVADA espalhadas em diferentes cidades ou países. Alguns protocolos utilizados no túnel virtual, são: CRIPTOGRAFIA DECRIPTOGRAFIA PPTP (Point-to-Point Tunneling Protocol) e o IPSec (Internet Protocol Security). PPTP ⇒ cria o túnel virtual IPSEC ⇒ criptografia FILIAL SP 43- O Point-to-Point Tunneling Protocol (PPTP) é um protocolo utilizado para (A) conexões seguras através de discagem por telefone. (B) construir redes privadas virtuais. (C) transmissão segura de pacotes de dados IP através de conexões telefônicas. (D) troca de mensagens através do correio eletrônico. (E) transferência de arquivos em operações de EDI CRIPTOGRAFIA DECRIPTOGRAFIA 44- Sobre as Virtual Private Networks (VPNs), é correto afirmar: (A) Não implementam autenticação de dados. (B) Utilizam a infraestrutura existente da Internet e são muito mais econômicas do que as redes de longa distância (WANs). (C) Não são seguras, por não implementar criptografia de dados. (D) Para habilitar conexões seguras, utiliza sempre o protocolo Secure Sockets Layer (SSL) em vez do protocolo Internet Protocol Security (IPsec). (E) As VPNs estão cada vez mais populares nas empresas, por serem fáceis de gerenciar. EDI (ELECTRONIC DATA INTERCHANGE-TROCA ELETRÔNICA DE DADOS) ⇒ transmissão automática de dados comerciais partindo de um sistema de computadores para outro. 45- Uma sub-rede, que contém todos os serviços com acesso externo, localizada entre rede externa não confiável (Internet) e uma rede local confiável é FERRAMENTAS DE SEGURANÇA - DMZ (A) um firewall baseado em filtros REDE INTERNA (B) um sistema de detecção de intrusos (C) um sistema de certificação digital (D) uma zona desmilitarizada (E) uma ferramenta de hardening F I R E W A L L INTERNET DMZ DMZ ⇒ ZONA DESMILITARIZADA ⇒ REDE DE PERÍMETRO BASTION HOST INFORMÁTICA - EXERCÍCIOS SEGURANÇA DA INFORMAÇÃO FILIAL RJ 14 SERVIDORES PROXY MANUEL ACADEMIA DO CONCURSO 47- Em relação à segurança em redes de computadores existem ataques de negação de serviços, onde o acesso a um sistema é interrompido ou impedido, deixando de estar disponível; ou uma aplicação, cujo tempo de execução é crítico, é atrasada ou abortada. Trata-se de um ataque que compromete o aspecto da 46- É uma pequena rede situada entre uma rede confiável e uma não confiável, ou seja, mantém a rede local separada de todos os serviços que possuem acesso externo: (A) VPN (Virtual Private Network) (B) DMZ (DeMilitarized Zone) (A) autenticidade (B) confidencialidade (C) disponibilidade (D) integridade (E) interoperabilidade (C) VNC (Virtual Network Computing) (D) CSG (Citrix Secure Gateway) (E) SWG (Secure Web Gateway) FORMAS DE ATAQUE DoS (Denied of Service-Negação de Serviço) ⇒ método utilizado por crackers para tirar um site da Internet do ar através de um ataque generalizado. Aproveita-se de uma deficiência do TCP, que para estabelecer a conexão entre dois computadores, requer o envio de três mensagens: a solicitação da conexão (SYN); sua confirmação (SYN+ACK) e a tréplica (ACK), em que é pedido o início da transmissão. Como a solicitação de comunicação é enviada para um endereço de resposta falso, o servidor envia a confirmação de recebimento do pedido de conexão para esse endereço e fica paralisado aguardando a resposta. Como milhares de pedidos idênticos são feitos simultaneamente, a máquina tem esgotado sua capacidade de atendimento e para de funcionar. FORMAS DE ATAQUE DoS (DENIED OF SERVICE) HACKER SYN+ACK SYN+ACK YAHOO PÁGINA NÃO PODE SER ABERTA ! 48- Um ataque do gênero Denial of Service (DoS) tem como principal objetivo sobrecarregar o computador alvo até ele parar de responder ou, até mesmo, desligar. Enquadram-se nesse gênero os ataques I. Buffer Overflow. II. PING of Death. III. SYN Flooding. IV. Smurf. HACKER M3 SITE-01 SYN SYN SYN+ACK DDoS (Distributed Denied of Service) M2 SYN SYN+ACK FORMAS DE ATAQUE M1 SYN SYN SYN+ACK USUÁRIO M999 Está correto o que se afirma em (A) I, II e III, apenas. (B) I, III e IV, apenas. (C) II, III e IV, apenas. (D) III e IV, apenas. (E) I, II, III e IV. M1000 SITE-02 BOTNET ⇒ REDE DE ZUMBIS ! São usados vários computadores (zumbis de uma botnet) vários sites podem ser atacados simultaneamente ! INFORMÁTICA - EXERCÍCIOS SEGURANÇA DA INFORMAÇÃO 15 MANUEL ACADEMIA DO CONCURSO 49- Considere: I. Tipo de ataque onde é enviada uma enorme quantidade de pedidos a um determinado serviço a fim de sobrecarregá-lo e deixá-lo inoperante. II. Sistema instalado na rede que analisa todos os pacotes e tenta detectar os ataques definidos em (I). I e II são, respectivamente, 50- São programas maliciosos que exploram vulnerabilidades existentes ou falhas na configuração de softwares instalados em um computador e que dispõem de mecanismos de comunicação com o invasor, para permitir que o programa seja controlado remotamente e o invasor, com presença assegurada, possa desferir os ataques ao computador comprometido e/ou a outros computadores. Trata-se de (A) NIDS e QoS (B) IDS e DoS (C) PIDS e HIDS (D) DoS e NIDS (E) QoS e IDS (A) Vírus e Worm (B) BOT e ROOTKIT (C) Trojan e Spyware (D) Spyware e Adware (E) Worm e Exploits TIPOS DE IDS HOST BASED (HBIDS) NETWORK BASED (NIDS) HIDS (HYBRID IDS) 51- Por questões de segurança, não é permitido o acesso às configurações do programa de antivírus instalado nos computadores. Essa restrição previne o ataque de vírus, tal como aquele que traz em seu bojo um código a parte, que permite a um estranho acessar o micro infectado ou coletar dados e enviá-los pela Internet para um desconhecido, sem que o usuário saiba. Esse vírus é conhecido por: EXPLOIT ⇒ é qualquer programa, comando ou sequência de dados que se aproveite da vulnerabilidade de um sistema para invadi-lo. 52- É o ataque a computadores que se caracteriza pelo envio de mensagens não solicitadas para um grande número de pessoas: (A) SPYWARES (B) TROJAN (C) WORMS (A) VÍRUS DE BOOT (D) SPAM (B) SPYWARE OU PROGRAMA ESPIÃO (E) VÍRUS (C) SPAM (D) WORM OU VERME (E) TROJAN OU CAVALO DE TRÓIA 53- Ativado quando o disco rígido é ligado e o sistema operacional é carregado; é um dos primeiros tipos de vírus conhecido e que infecta a partição de inicialização do sistema operacional. Trata-se de 54 - Infectam arquivos de programas Word, Excel, Power Point e Access, também aparecendo em outros arquivos. São os vírus: (A) de mutação (A) vírus de boot (B) polimórficos (B) cavalo de Troia (C) verme (C) de split VERME = WORM (D) de boot (D) vírus de macro (E) de macro (E) spam INFORMÁTICA - EXERCÍCIOS SEGURANÇA DA INFORMAÇÃO 16 VBA ⇒ VISUAL BASIC FOR APPLICATIONS MANUEL ACADEMIA DO CONCURSO 55- Programa capaz de capturar e armazenar as teclas digitadas pelo usuário no teclado de um computador. Trata-se de 56- Considere os seguintes motivos que levaram diversas instituições financeiras a utilizar teclados virtuais nas páginas da Internet: (A) SCAM (B) KEYLOGGERS I. facilitar a inserção dos dados das senhas apenas com o uso SCREENLOGGER ⇒ captura a tela do mouse. (C) WORM II. a existência de programas capazes de capturar e armazenar (D) TROJAN as teclas digitadas pelo usuário no teclado de um computador. (E) SPAM III. possibilitar a ampliação dos dados do teclado para o uso de deficientes visuais. 57- É uma forma de fraude eletrônica, caracterizada por tentativas de roubo de identidade. Ocorre de várias maneiras, principalmente por e-mail, mensagem instantânea, SMS, dentre outros, e, geralmente, começa com uma mensagem de e-mail semelhante a um aviso oficial de uma fonte confiável, como um banco, uma empresa de cartão de crédito ou um site de comércio eletrônico. Trata-se de (A) Hijackers (B) Phishing (C) Trojans (D) Wabbit (E) Exploits Está correto o que se afirma em (A) I, apenas (B) II, apenas (C) III, apenas (D) II e III, apenas (E) I, II e III EXPLOITS ⇒ ferramentas específicas para se explorar vulnerabilidades. 58- No caso de phishing, no qual o atacante comprometeu o servidor de nomes do provedor (DNS), de modo que todos os acessos a determinados sites passaram a ser redirecionados para páginas falsificadas, a ação que, preventivamente, se apresenta mais adequada é (A) verificar a autenticidade do certificado digital. (B) digitar novamente o endereço diretamente no browser e compará-lo com a página anterior. (C) observar o endereço apresentado na barra de status do browser e verificar se ele corresponde ao do site pretendido. (D) verificar o endereço IP do provedor de Internet visitado. (E) utilizar comandos, tais como ping e telnet, para verificar a confiabilidade do site. PHARMING HIJACKERS ⇒ programas ou scripts que "sequestram" navegadores de Internet. O hijacker altera a página inicial do browser e impede o usuário de mudá-la, exibe propagandas em popups ou janelas novas, instala barras de ferramentas no navegador e podem impedir acesso a determinados sites. WABBIT⇒ programa que se auto-replica. Não usam programas ou arquivos hospedeiros e não utilizam redes (não se propagam pela Internet) para distribuir suas cópias. O Wabbit se auto replica (como um WORM) repetitivamente no computador, causando dano pelo consumo de recursos. INFORMÁTICA - EXERCÍCIOS SEGURANÇA DA INFORMAÇÃO 17 MANUEL ACADEMIA DO CONCURSO 59- O software que infecta um computador, cujo objetivo é criptografar arquivos nele armazenados e, na sequência, cobrar um resgate do usuário para fornecer uma senha que possibilite decriptar os dados, é um malware do tipo 60- Em redes de computadores, é o tipo de ataque em que o espião intercepta a comunicação entre dois usuários, de forma que o usuário A comunique-se com ele mesmo pensando ser o usuário B, e o usuário B também o faz, pensando ser o usuário A. Trata-se de (A) trojan, denominado ransomware (A) SYN Flooding (B) backdoor, denominado ransomware (B) Pharming (C) worm, denominado ransomware (C) Man-in-The-Middle (D) trojan, denominado spyware (D) DoS (E) backdoor, denominado spyware (E) Spoofing 61- O usuário do computador recebe uma mensagem não solicitada, geralmente de conteúdo alarmista, a fim de assustá-lo e convencê-lo a continuar a corrente interminável de e-mails para gerar congestionamento na rede. Trata-se de um ataque denominado (A) Hoax MAN IN THE MIDDLE SWITCH SNIFFING Resposta ARP IP de B tem O MAC de C HOST A (B) Worms (C) Trojans Resposta ARP IP de A tem O MAC de C HOST C (D) Spam (E) Backdoors HOST B MAN IN THE MIDDLE 62- (MPE-AP-2012) É um tipo específico de phishing que envolve o redirecionamento da navegação do usuário para sites falsos, por meio de alterações no serviço de DNS (Domain Name System). Neste caso, quando o usuário tenta acessar um site legítimo, o navegador Web é redirecionado, de forma transparente, para uma página falsa. O tipo de phishing citado no texto é conhecido como (A) advance fee fraud. Fraude de taxa antecipada (B) hoax. Mensagem alarmante - boato ! (C) pharming. Modificam a página de um site (D) defacement. (E) source spoofing. Spoofing - enganar - IP SPOOFING INFORMÁTICA - EXERCÍCIOS SEGURANÇA DA INFORMAÇÃO 63- Item-III: Sempre atualize e execute a proteção contra vírus, sempre configure para o antivírus fazer um “scan” nos downloads e nunca confie em qualquer anexo de mensagens enviadas, mesmo que sejam de pessoas que você conheça. A autopropagação de virus começa a partir das pessoas que mantém o seu endereço de e-mail nos livros de endereço (address book) dos programas de correio eletrônico. 18 MANUEL ACADEMIA DO CONCURSO No contexto do item III, (A) scan é um recurso não nativo em qualquer programa de antivírus. Ele precisa ser baixado da Internet, através de download, necessitando, nesse caso, passar pelo processo de escaneamento. (B) o correio eletrônico é a forma mais comum e conhecida de spamming, ou seja, o spammer utiliza programas que automatizam a obtenção de endereços e o envio a um grande número de destinatários. (C) sites confiáveis asseguram a obtenção de downloads, sem risco de contaminação. (D) Worms são vírus que necessitam de anexos para se hospedarem e depois se replicarem. (E) uma forma segura de proteger-se contra o ataque de virus ao computador é a eliminação do livro de endereços do correio eletrônico. 64- Evitar a propagação de HOAXES. A precaução mencionada acima tem por motivo a ciência de que frequentemente 65- Os itens de segurança, citados no trecho de texto “... Toda a segurança física e lógica das informações que garanta autenticidade, sigilo, facilidade de recuperação e proteção contra invasões e pragas eletrônicas”, aqui em negrito, estão respectivamente ordenados em relação aos conceitos de (A) ocorre a execução de programas antivírus não certificados. (B) são executados arquivos anexados em sites maliciosos. (A) autenticação, assinatura digital, backup e antivírus. (B) assinatura digital, autenticação, backup e antivírus. (C) criptografia, assinatura digital, antivírus e backup. (D) assinatura digital, criptografia, backup e antivírus. (E) criptografia, autenticação, backup e antivírus. (C) existe falta de controle sobre arquivos lidos nos sites. (D) ocorrem boatos espalhados para fins maliciosos ou para desinformação via e-mail. (E) não são instalados programas antivírus. 66- (AL-RN-2013) - Uma conexão segura deve ser utilizada quando dados sensíveis são transmitidos em operações realizadas em sites de Internet Banking e de comércio eletrônico. Neste tipo de conexão, há uma troca criptografada de informações entre um site e o navegador. Para ajudar a garantir que uma transação seja segura deve-se verificar se o endereço Web começa com o prefixo HTTPS. Nessa conexão, o protocolo de criptografia utilizado é o: (A) SSL. (B) SOAP. (C) RSA. (D) SHA. (E) SAP. 67- (AL-RN-2013) - Analise as ações a seguir: I. Acessar sites de comércio eletrônico clicando em um link de uma mensagem de e-mail. II. Pesquisar na Internet referências sobre o site, antes de efetuar uma compra. III. Realizar compras ou pagamentos por meio de computadores de terceiros. IV. Não fornecer dados de cartão de crédito em sites sem conexão segura ou em e-mails não criptografados. SOAP (Simple Object Access Protocol) - protocolo para troca de informações estruturadas em uma plataforma descentralizada e distribuída. INFORMÁTICA - EXERCÍCIOS SEGURANÇA DA INFORMAÇÃO São cuidados que se deve ter ao efetuar transações comerciais e acessar sites de comércio eletrônico o que se afirma APENAS Em: 19 MANUEL ACADEMIA DO CONCURSO 68- (PGJ-CE-2013) Ataques costumam ocorrer na Internet com diversos objetivos, visando diferentes alvos e usando variadas técnicas. Analise os exemplos e descrições abaixo. (A) I e III. 1. Pode ser realizado por diversos meios, como pela geração de grande tráfego de dados para uma rede, ocupando toda a banda disponível e tornando indisponível qualquer acesso a computadores ou serviços desta rede. 2. Uma pessoa recebe um e-mail, em nome de um site de comércio eletrônico ou de uma instituição financeira, que tenta induzi-la a clicar em um link. Ao fazer isto, é direcionada para uma página web falsa, semelhante ao site que realmente deseja acessar, no qual são solicitados os dados pessoais e financeiros da pessoa. (B) III e IV. (C) II e IV. (D) IV. (E) I e II. 3. Consiste em alterar campos do cabeçalho de um e-mail, de forma a aparentar que ele foi enviado de uma determinada origem quando, na verdade, foi enviado de outra. Esta técnica é possível devido a características do protocolo SMTP que permitem que campos do cabeçalho sejam falsificados. 69-(Infraero-2011) As duas técnicas criptográficas mais comuns de autenticação de mensagem são um código de autenticação de mensagens (MAC - Message Authentication Code) e uma função de hash segura. Sobre hash, é correto afirmar que (A) mapeia uma mensagem de tamanho fixo em um valor de hash de tamanho variável, ou um resumo de mensagem (message digest). (B) se trata de um algoritmo que requer o uso de uma chave secreta. Apanha uma mensagem de comprimento fixo e uma chave secreta como entrada e produz um código de autenticação. A associação entre a descrição e o tipo de ataque é expressa correta, e respectivamente, em (A) 1-flood 2-rootkit 3-spyware (B) 1-DoS 2-phishing 3-spoofing (C) 1-DoS 2-adware 3-rootkit (D) 1-adware 2-DoS 3-spyware (E) 1-spyware 2-rootkit 3-DoS 70-(ISS-SP-2012) Sobre vírus, considere: I. Um vírus de celular pode propagar-se de telefone para telefone através da tecnologia bluetooth ou da tecnologia MMS (Multimedia Message Service). II. Para proteger o computador da infecção por vírus é recomendável desabilitar, no programa leitor de e-mails, a autoexecução de arquivos anexados às mensagens. III. Para proteger o telefone celular da infecção por vírus é recomendável aplicar todas as correções de segurança (patches) que forem disponibilizadas pelo fabricante do aparelho. IV. Todos os vírus são programas independentes que não necessitam de um programa hospedeiro para funcionar e são carregados na memória RAM automaticamente quando o computador é ligado. (C) precisa ser combinada de alguma forma com uma chave pública, mas nunca com uma chave secreta, para a autenticação da mensagem. (D) um código de hash, diferentemente de um MAC, usa apenas uma chave que se refere à função da mensagem de entrada e saída. (E) o código de hash é uma função de todos os bits da mensagem e oferece uma capacidade de detecção de erros: uma mudança em qualquer bit ou bits na mensagem resulta em uma mudança no código de hash. INFORMÁTICA - EXERCÍCIOS SEGURANÇA DA INFORMAÇÃO 20 MANUEL ACADEMIA DO CONCURSO 71-(ISS-SP-2012) Considere a frase a seguir. Na criptografia I , um emissor codifica seu documento com a chave II da pessoa que receberá a mensagem. O texto codificado apenas poderá ser decodificado pelo III, pois, somente ele tem a chave IV relacionada à chave V que originou o texto cifrado. As lacunas I, II, III, IV e V devem ser preenchidas, correta e respectivamente, por (A) de chaves públicas, privada, destinatário, pública e privada. (B) assimétrica, privada, emissor, pública e privada. (C) simétrica, pública, emissor, privada e pública. (D) assimétrica, pública, destinatário, privada e pública. (E) simétrica, privada, destinatário, pública e privada. Está correto o que se afirma em (A) I e III, apenas. (B) I, II, III e IV. (C) I, II e III, apenas. (D) II e III, apenas. (E) II, apenas. 72-(ISS-SP-2012) No texto a seguir: A assinatura digital é o resultado da aplicação de uma função matemática que gera uma espécie de impressão digital de uma mensagem. O primeiro passo no processo de assinatura digital de um documento eletrônico é a aplicação dessa função, que fornece uma sequência única para cada documento conhecida como "resumo". A função matemática citada é mais conhecida como função (A) quântica. (B) de Hash. (C) quadrática. (D) de Euler. (E) binária. 73-(ISS-SP-2012) Sobre o backup de informações em uma organização, é correto afirmar: 74-(MPE-AP-2012) Sobre spyware é correto afirmar: (A) Trojans são programas spyware que parecem ser apenas cartões virtuais animados, álbuns de fotos, jogos ou protetores de tela e que são instalados automaticamente no computador do usuário com o objetivo de obter informações digitadas por meio do teclado físico ou virtual. (C) São softwares exclusivamente de uso malicioso projetados para monitorar as atividades de um sistema e enviar as informações coletadas para terceiros. Executam ações que podem comprometer a privacidade do usuário e a segurança do computador. (A) Os testes de restauração (restore) devem ser periódicos com o objetivo de garantir a qualidade dos backups. (B) Para a implementação do backup, deve-se levar em consideração apenas a importância da informação e o nível de classificação utilizado. (C) É recomendável fazer backup com frequência apenas dos dados e arquivos executáveis de um sistema computacional. (D) Os backups devem ser mantidos no mesmo local físico da localidade de armazenamento dos dados originais. (E) A frequência para a realização dos backups nada tem a ver com a periodicidade em que os dados são alterados. (D) Keylogger é um programa spyware capaz de capturar e armazenar as teclas digitadas pelo usuário. Sua ativação não pode ser condicionada a uma ação prévia do usuário, como o acesso a um site de Internet Banking. (B) Adware é um programa spyware projetado especificamente para apresentar propagandas. É usado apenas para fins legítimos, incorporado a programas e serviços, como forma de patrocínio ou retorno financeiro para quem desenvolve programas livres ou presta serviços gratuitos. INFORMÁTICA - EXERCÍCIOS SEGURANÇA DA INFORMAÇÃO (E) Screenlogger é um tipo de spyware capaz de armazenar a posição do cursor e a tela apresentada no monitor nos momentos em que o mouse é clicado, ou a região que circunda a posição onde o mouse é clicado. É bastante utilizado por atacantes para capturar as teclas digitadas pelos usuários em teclados virtuais. 21 MANUEL ACADEMIA DO CONCURSO 75- (MPE-AP-2012) De acordo com o tipo de chave usada, os métodos criptográficos podem ser subdivididos em duas grandes categorias: 76- (DPRS-2013) - O MoReq-Jus estabelece processos e requisitos mínimos para um Sistema Informatizado de Gestão de Processos e Documentos (GestãoDoc), independentemente da plataforma tecnológica em que for desenvolvido e implantado. Um GestãoDoc deve ser capaz de gerenciar simultaneamente os documentos e processos digitais, nãodigitais e híbridos. Num GestãoDoc, o armazenamento e a recuperação de informações sigilosas (aí incluídos backups e restores) utilizará a ..I.. Já na comunicação, identificação de usuários e em sessões Web, será utilizada a ..II.. , em consonância com a III .(Fonte: MoReq-Jus) Preenche, correta e respectivamente, as lacunas I, II e III: (A) Autoridade Certificadora (AC) e Autoridade de Registro (AR). (B) criptografia de chave pública e criptografia de chave privada. (C) certificação digital e certificação analógica. (D) assinatura digital e certificado digital. (E) criptografia de chave simétrica e criptografia de chaves assimétricas. (A) I-Criptografia simétrica; II-Criptografia assimétrica;III-ICP-Brasil. 77-(ICMS/SP-2013) - A auditoria da segurança da informação avalia a política de segurança e os controles relacionados adotados em cada organização. Nesse contexto, muitas vezes, as organizações não se preocupam, ou até negligenciam, um aspecto básico da segurança que é a localização dos equipamentos que podem facilitar a intrusão. Na auditoria de segurança da informação, esse aspecto é avaliado no Controle de (B) I-Criptografia assimétrica; II-Criptografia simétrica; III-Conarq. (C) I-Chave pública; II-Chave privada; III-e-Arq Brasil. (D) I-Chave privada; II-Chave pública; III-ICP-Brasil. (E) I-Criptografia simétrica; II-Chave pública; III-Conarq. CONARQ (Conselho Nacional de Arquivos) - é um órgão colegiado, vinculado ao Arquivo Nacional, que tem por finalidade definir a política nacional de arquivos públicos e privados, como órgão central do Sistema Nacional de Arquivos - SINAR, bem como exercer orientação normativa visando à gestão documental e à proteção especial aos documentos de arquivo. (A) conteúdo. (B) entrada e saída de dados. (C) acesso lógico. (D) acesso físico. (E) programas. 78- (MPE-MA-2013) Considere: I. Utiliza uma mesma chave tanto para codificar como para decodificar informações, sendo usada principalmente para garantir a confidencialidade dos dados. II. Utiliza duas chaves distintas: uma pública, que pode ser livremente divulgada, e uma privada. Quando uma informação é codificada com uma das chaves, somente a outra chave do par pode decodificá-la. (A) assinatura digital e função de resumo. (B) método de espalhamento e PKI. (C) função de resumo e assinatura digital. (D) criptografia de chave simétrica e de chave assimétrica. (E) criptografia de chave pública e método de espalhamento. Os itens acima descrevem, respectivamente, INFORMÁTICA - EXERCÍCIOS SEGURANÇA DA INFORMAÇÃO 22 MANUEL ACADEMIA DO CONCURSO 79- (MPE-MA-2013) A assinatura digital permite comprovar a ...... e a integridade de uma informação, ou seja, que ela foi realmente gerada por quem diz e que ela não foi alterada. A assinatura digital baseia-se no fato de que apenas o dono conhece a chave privada, garantindo deste modo que apenas ele possa ter efetuado a operação. A lacuna é preenchida corretamente por 80- (MPE-MA-2013) Um certificado digital pode ser comparado a um documento de identidade, por exemplo, ao passaporte, no qual constam dados pessoais e a identificação de quem o emitiu. No caso do passaporte, a entidade responsável pela emissão e pela veracidade dos dados é a Polícia Federal. No caso do certificado digital esta entidade é a: (A) Autoridade Certificadora. (B) Unidade de Registro de Domínios. (C) Autoridade de Registro. (D) Comissão Regional de Registros. (E) Federação de Segurança. (A) confidencialidade. (B) velocidade. (C) robustez. (D) autenticidade. (E) criptografia. 82- (MPE-MA-2013) - A Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil) é uma cadeia hierárquica e de confiança que viabiliza a emissão de certificados digitais para identificação virtual do cidadão. O ITI, além de desempenhar o papel de certificação, também tem o papel de credenciar e descredenciar os demais participantes da cadeia, supervisionar e fazer auditoria dos processos. Desse modo, observa-se que o modelo adotado pelo Brasil foi o de certificação 81- (MPE-MA-2013) De forma geral, os dados básicos que compõem um certificado digital são: − versão e número de série do certificado. − dados que identificam quem emitiu o certificado. − dados que identificam o dono do certificado. É INCORRETO dizer que dentre estes dados também se inclua: (A) validade do certificado. (B) chave privada do dono do certificado. (C) chave pública do dono do certificado. (D) algoritmo de assinatura. (E) requerente. SOA - Service-Oriented Architecture (A) presencial e remota. Funcionalidades como Serviços ! (B) que utiliza RSA e SaaS. (C) que utiliza Diffie-Hellman e SOA. (D) por amostragem. (E) com raiz única. 84- (PGJ-CE-2013) A Medida Provisória no 2200-2, de 24 de agosto de 2001, instituiu a Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil) para garantir a autenticidade, a integridade e a validade jurídica de documentos em forma eletrônica. A ICPBrasil é composta por uma autoridade gestora de políticas e pela cadeia de autoridades certificadoras composta: 83- (MPE-MA-2013) O recebimento, validação, encaminhamento de solicitações de emissão ou revogação de certificados digitais e a identificação de forma presencial de seus solicitantes é de responsabilidade da: (A) Unidade de Registro de Domínios. (B) Autoridade Certificadora. (C) Autoridade de Registro. (D) Comissão Regional de Registros. (E) Federação de Segurança. (A) pelo Comitê de Segurança (CS), pela Autoridade Certificadora Raiz (AC-Raiz), pelas Autoridades de Registro (AR) e pelas Autoridades de Liberação (AL). (B) pelo Ministério da Justiça, pelo Ministério da Fazenda e pelo Ministério da Ciência e Tecnologia. INFORMÁTICA - EXERCÍCIOS SEGURANÇA DA INFORMAÇÃO 23 MANUEL ACADEMIA DO CONCURSO (C) pela Autoridade Certificadora Raiz (AC-Raiz), pelas 85- (PGJ-CE-2013) Há diferentes tipos de vírus. Alguns Autoridades Certificadoras (AC) e pelas Autoridades de procuram permanecer ocultos, infectando arquivos do disco e Registro (AR). executando uma série de atividades sem o conhecimento do (D) pela Casa Civil da Presidência da República, pelo usuário. Há outros que permanecem inativos durante certos Ministério da Justiça e pelo Ministério da Fazenda. períodos, entrando em atividade apenas em datas específicas. (E) pela Autoridade Certificadora Raiz (AC-Raiz), pelas Alguns dos tipos de vírus mais comuns são apresentados nas Autoridades de Registro (AR) e pelas Autoridades de afirmativas abaixo. Assinale o que NÃO se trata de um vírus. Segurança (AS). (A) Propaga-se de celular para celular por meio de bluetooth ou de mensagens MMS. A infecção ocorre quando um usuário permite o recebimento de um arquivo infectado e o executa. Após infectar o celular, pode destruir ou sobrescrever arquivos, remover ou transmitir contatos da agenda, efetuar ligações telefônicas e drenar a carga da bateria. (B) Recebido como um arquivo anexo a um e-mail, que tenta induzir o usuário a clicar sobre este arquivo para que seja executado. Quando entra em ação, infecta arquivos e programas e envia cópias de si mesmo para os e-mails encontrados nas listas de contatos gravadas no computador. (C) Escrito em linguagem de script, recebido ao acessar uma página web ou por e-mail, como um arquivo anexo ou parte do próprio e-mail escrito em HTML. Pode ser automaticamente executado, dependendo da configuração do browser e do leitor de e-mails do usuário. (D) Escrito em linguagem de macro e tenta infectar arquivos manipulados por aplicativos que utilizam esta linguagem como, por exemplo, os que compõem o Microsoft Office. (E) Após infectar um computador, tenta se propagar e continuar o processo de infecção. Para isso, necessita identificar os computadores alvos para os quais tentará se copiar, o que pode ser feito efetuando uma varredura na rede e identificando os computadores ativos. 86- (PGJ-CE-2013) Sobre criptografia, analise: Sobre estas afirmativas é correto afirmar que: (A) I trata da criptografia assimétrica e II da criptografia simétrica. A primeira utiliza uma mesma chave tanto para codificar, como para decodificar informações. (B) I trata da criptografia assimétrica e II da criptografia simétrica. A segunda é a mais indicada para garantir a confidencialidade de pequenos volumes de dados. (C) I trata da criptografia simétrica e II da criptografia assimétrica. A segunda é a mais indicada para garantir a confidencialidade de grandes volumes de dados, pois usa chave única tanto para codificar como para decodificar informações. I. Quando usada para o compartilhamento de informações, se torna complexa e pouco escalável, em virtude da necessidade de um canal de comunicação seguro para promover o compartilhamento da chave secreta entre as partes e da dificuldade de gerenciamento de grandes quantidades de chaves. II. Apesar de possuir um processamento mais lento, resolve estes problemas visto que facilita o gerenciamento (pois não requer que se mantenha uma chave secreta com cada um que desejar se comunicar) e dispensa a necessidade de um canal de comunicação seguro para o compartilhamento de chaves. INFORMÁTICA - EXERCÍCIOS SEGURANÇA DA INFORMAÇÃO 24 MANUEL ACADEMIA DO CONCURSO Sobre estas afirmativas é correto afirmar que: (D) I trata da criptografia simétrica e a II da criptografia assimétrica. A primeira é a mais indicada para garantir a confidencialidade de grandes volumes de dados, pois seu processamento é mais rápido. (E) I trata da criptografia simétrica e II da criptografia assimétrica. A primeira utiliza duas chaves distintas: uma pública e uma privada, que deve ser mantida em segredo por seu dono. 87-(TRT-12R-2013) Luiza trabalha em uma empresa com 500 funcionários. A empresa tem centenas de computadores com placas de rede conectando-os. A empresa também tem uma ou mais conexões de alta velocidade com a internet. Luiza foi contratada para evitar que um hacker possa sondar esses computadores, tentar estabelecer conexões FTP com eles, fazer conexões telnet e assim por diante. Ainda, se um funcionário cometer um erro e deixar uma vulnerabilidade na segurança, Luiza deve evitar que os hackers possam chegar nessa máquina e explorar essa fraqueza. Para evitar esta situação de risco, Luiza deve instalar na rede um: 88- (SABESP-2014) Em uma comunicação pela internet sem garantia de segurança, um intruso (Maurício) pode convencer os profissionais (Angela e Angelo) que chaves públicas falsas pertencem a eles. Assim, estabelecendo um processo de confiança entre os dois, Maurício pode fazer-se passar por ambos. Neste cenário, quando Angela enviar uma mensagem para Angelo solicitando sua chave pública, o intruso Maurício poderá interceptá-la e devolver-lhe uma chave pública forjada por ele. Ele também pode fazer o mesmo com Angelo, fazendo com que cada lado pense que está se comunicando com o outro, quando na verdade estão sendo interceptados pelo intruso. Maurício então pode decifrar todas as mensagens, cifrá-las novamente ou, se preferir, pode até substituí-las por outras mensagens. (A) sistema de criptografia assimétrica. (B) firewall em cada conexão com a internet. (C) filtro de conteúdo de e-mails. (D) poderoso antivírus. (E) sistema de criptografia simétrica. Através de um ataque deste tipo, um intruso pode causar tantos danos ou até mais do que causaria se conseguisse quebrar o algoritmo de criptografia empregado pelos profissionais. A garantia para evitar este ataque é representada ......, que consistem em chaves públicas assinadas por uma terceira parte de confiança, que evitam tentativas de substituição de uma chave pública por outra. De posse de um destes, Angelo teria, além da sua chave pública, mais informações como seu nome, endereço e outros dados pessoais, e a assinatura de alguém em quem Angela deposita sua confiança: uma autoridade de certificação ou CA (Certification Authority). (A) pelos certificados digitais. (B) pelas assinaturas eletrônicas. (C) pelos algoritmos de criptografia simétrica. (D) por documentos gerados por hashing. (E) pela infraestrutura brasileira de criptografia. A lacuna do texto é corretamente preenchida por: INFORMÁTICA - EXERCÍCIOS SEGURANÇA DA INFORMAÇÃO 25 MANUEL ACADEMIA DO CONCURSO 89- (SABESP-2014) É uma solução para a identificação efetiva do dono das chaves públicas distribuídas entre um grupo de pessoas. Trata-se de um documento eletrônico com diversos dados sobre o emissor e o seu titular, assinado por uma Autoridade Certificadora, com a função de ligar uma pessoa ou entidade a uma chave pública. Possui um tempo de vida (uma data de validade) devido à evolução dos dispositivos de processamento. Este prazo pode variar de 1 a 3 anos para o usuário final e de 3 a 20 anos nas unidades certificadoras. Após a expiração do prazo é recomendada a geração de um novo par de chaves. Algumas informações que geralmente constam neste documento são: chave pública do titular, endereço de e-mail, validade, identificação da Autoridade Certificadora, número de série do documento, dentre outras. Considerando as informações do texto acima, pode-se afirmar que trata-se de I e utiliza criptografia II : As lacunas I e II são correta e, respectivamente preenchidas com (A) assinatura digital - assimétrica (B) filtro de conteúdo - simétrica (C) certificado digital - assimétrica (D) certificado digital - simétrica (E) filtro de conteúdo - assimétrica 90- (ICMS/RJ-2014) O site Convergência Digital divulgou a seguinte notícia: O Brasil segue como o no 1 na América Latina em atividades maliciosas e figura na 4a posição mundial, ficando atrás apenas dos EUA, China e Índia, de acordo a Symantec. Os ataques por malwares cresceram 81%. ... Um desses malwares segue sendo o grande vilão nas corporações, sendo responsável por mais de 220 milhões de máquinas contaminadas no mundo. É um programa capaz de se propagar automaticamente pelas redes, enviando cópias de si mesmo de computador para computador. (Adaptado de: http://convergenciadigital.uol.com.br/cgi/cgilua.exe/sys/start.htm?infoid= 34673&sid=18#.UlqcCNKsiSo) Considerando que o malware citado como vilão não se propaga por meio da inclusão de cópias de si mesmo em outros programas ou arquivos, mas sim pela execução direta de suas cópias ou pela exploração automática de vulnerabilidades existentes em programas instalados em computadores, tratase de um (A) backdoor . (B) vírus de macro. (C) botnet. (D) worm. (E) spyware. Essa é a definição de WORM. 91- (ICMS/RJ-2014) Considere: − Funciona como uma impressão digital de uma mensagem, gerando, a partir de uma entrada de tamanho variável, um valor fixo pequeno. − Este valor está para o conteúdo da mensagem assim como o dígito verificador de uma conta-corrente está para o número da conta ou o check sum está para os valores que valida. − É utilizado para garantir a integridade do conteúdo da mensagem que representa. − Ao ser utilizado, qualquer modificação no conteúdo da mensagem será detectada, pois um novo cálculo do seu valor sobre o conteúdo modificado resultará em um valor bastante distinto. INFORMÁTICA - EXERCÍCIOS SEGURANÇA DA INFORMAÇÃO Os itens acima descrevem ( A) um Hash criptográfico. ( B) um Certificado digital. ( C) uma Assinatura digital. ( D) um Algoritmo de chave pública. (E) um Algoritmo de chave secreta. Essa é a definição de HASH. 26 MANUEL ACADEMIA DO CONCURSO 92-(ICMS/PE-2014) O método criptográfico normalmente utilizado para gerar assinaturas digitais que, quando aplicado sobre uma informação, independentemente do tamanho que ela tenha, gera um resultado único e de tamanho fixo é chamado de 93-(ICMS/PI-2015) Na Secretaria da Fazenda do Estado do Piauí a assinatura digital permite comprovar que uma informação foi realmente gerada por quem diz tê-la gerado e que ela não foi alterada. Isto equivale a afirmar, respectivamente, que é possível comprovar que uma informação (A) patch. (B) hoax. (C) compact brief. (D) abstract key. (E) hash. (A) é autêntica e confidencial. (B) é autêntica e está íntegra. (C) não pode ser repudiada e é autêntica. (D) não pode ser repudiada e é confidencial. (E) é privada e está sempre disponível. 94- (ICMS/PI-2015) Em determinada instituição, João envia uma mensagem criptografada para Antônio, utilizando criptografia assimétrica. Para codificar o texto da mensagem, João usa (D) a chave privada de Antônio. Para Antônio decodificar a mensagem que recebeu de João, ele terá que usar a chave pública, relacionada (A) a chave privada de Antônio. Para Antônio decodificar a mensagem que recebeu de João, ele terá que usar sua chave privada. Cada um conhece apenas sua própria chave privada. (B) a chave pública de Antônio. Para Antônio decodificar a mensagem que recebeu de João, ele terá que usar a chave privada, relacionada à chave pública usada no processo por João. Somente Antônio conhece a chave privada. (C) a chave pública de Antônio. Para Antônio decodificar a mensagem que recebeu de João, ele terá que usar a chave privada, relacionada à chave pública usada no processo por João. Ambos conhecem a chave privada. à chave privada usada no processo por João. Ambos conhecem a chave privada. (E) sua chave privada. Para Antônio decodificar a mensagem que recebeu de João, ele terá que usar sua chave pública. Somente João conhece a chave privada. 95- (ICMS/PI-2015) Em um dos documentos presentes no site da Secretaria da Fazenda do Estado do Piauí consta o seguinte texto: Um padrão específico de certificado digital usado na ICP Brasil (ICP/BR) é citado em ambos os textos e especifica, entre várias outras coisas, o formato dos certificados digitais, de tal maneira que se possa amarrar firmemente um nome a uma chave pública, permitindo autenticação forte. Trata-se do padrão Além dos arquivos digitais no padrão definido em norma e do aplicativo GeraTEDeNF, a empresa deverá possuir um certificado digital, em um padrão específico, emitido por Autoridade Certificadora credenciada à ICP/BR que contenha o CNPJ da empresa. O uso de certificado digital de pessoa física emitido por Autoridade Certificadora credenciada à ICP/BR, que contenha o CPF do titular será permitido desde que a SEFAZ-PI seja comunicada previamente através da apresentação do Termo de Outorga de Poderes para Assinatura e Transmissão de Arquivos Digitais firmada pelo representante legal da empresa. (http://sefaz.pi.gov.br/phocadownload/userupload/4f3e3e7dd5/orientacao_envio_conve nio_115_pela_internet.pdf (A) X509.v6. (B) SET. (C) PGP. (D) X509.v3. (E) SPDK/SDSI. No site http://nf-eletronica.com consta o seguinte texto adaptado: O Projeto Nota Fiscal Eletrônica (NF-e) exige o uso de Certificado Digital em um padrão específico, emitido por Autoridade Certificadora credenciada à ICP/BR. (http://nf-eletronica.com/blog/?page_id=59) INFORMÁTICA - EXERCÍCIOS SEGURANÇA DA INFORMAÇÃO 27 MANUEL ACADEMIA DO CONCURSO DPF-2014-AGENTE-CESPE-UNB- Julgue os próximos itens, acerca de vírus, worms, pragas virtuais e aplicativos para segurança. 99-DEPEN-2015 - Um sistema de detecção de intrusão de rede que se baseia em assinatura necessita que sejam carregados os padrões de assinatura de ataques, como, por exemplo, o padrão de comunicação de um determinado vírus de computador. 96- Os hijackers são exemplos de códigos maliciosos que, sem que os usuários percebam, invadem computadores e, por exemplo, modificam o registro do Windows. 97- Embora os firewalls sejam equipamentos ou softwares utilizados no controle das conexões de uma rede, eles não protegem computadores contra ataques internos. 100-DEPEN-2015 - Um certificado digital contém, entre outros aspectos, a chave privada do emissor do certificado para que seja possível a verificação da chave pública. 98- Computadores infectados por botnets podem ser controlados remotamente bem como podem atacar outros computadores sem que os usuários percebam. GABARITO 01 C 21 E 41 B 61 A 81 02 D 22 B 42 A 62 C 82 E 03 A 23 E 43 B 63 B 83 C 04 E 24 A 44 B 64 D 84 C 05 D 25 D 45 D 65 D 85 E 06 C 26 C 46 B 66 A 86 D 07 D 27 C 47 C 67 C 87 B 08 C 28 C 48 E 68 B 88 A D 69 E 89 C B 09 A 29 E 49 10 B 30 C 50 B 70 C 90 D 11 C 31 C 51 E 71 D 91 A D 72 B 92 E 12 E 32 E 52 13 B 33 C 53 A 73 A 93 B 14 C 34 C 54 E 74 E 94 B B 75 E 15 C 35 C 55 95 D 16 C 36 A 56 B 76 A 96 C 17 E 37 B 57 B 77 D 97 C 18 B 38 A 58 A 78 D 98 C 19 B 39 B 59 A 79 D 99 C 20 B 40 B 60 C 80 A 100 E INFORMÁTICA - EXERCÍCIOS SEGURANÇA DA INFORMAÇÃO You can get it if you really want, But you must try, Try and try, You'll succeed at last ! Jimmy Cliff 28 MANUEL