Exercícios da Parte II: Segurança da Informação – Walter Cunha
Criptografia
(CESPE/PCF-PF 03 – 2002)
1. A quebra de sistemas criptográficos simétricos sempre depende da descoberta da chave
secreta utilizada no processo criptográfico.
2. Um princípio básico para a utilização de senhas em serviços de segurança, tais como
autentificação e controle de acesso, consiste em não armazenar a senha diretamente pois
o acesso a tal entidade de armazenamento poria em risco toda a segurança do sistema.
Ao contrário, é armazenado um resumo da senha, gerado normalmente por algum tipo
de função digestora unidirecional. Ataques de força bruta a esses sistemas podem ser
bem sucedidos, caso se encontre a mensagem original utilizada na entrada da função
(isto é, a senha) ou alguma outra mensagem que resulte em um mesmo resumo que
aquele gerado para a mensagem original.
3. Em uma infra-estrutura de chave pública (ICP), a quebra do certificado (violação da
chave privada) de uma autoridade certificadora (AC) invalida todos os certificados
assinados por esta AC. Assim, toda a segurança da ICP depende da segurança da chave
privada da AC raiz.
4. Chaves criptográficas consideradas seguras contra ataques de força bruta, para os
padrões de processamento atuais, devem possuir pelo menos 128 bits, tanto para
criptografia simétrica quanto para criptografia assimétrica.
5. Sistemas criptográficos são ditos simétricos ou de chave secreta quando a chave
utilizada para cifrar é a mesma utilizada para decifrar. Sistemas assimétricos ou de
chave pública utilizam chaves distintas para cifrar e decifrar. Algoritmos simétricos são
geralmente mais eficientes computacionalmente que os assimétricos e por isso são
preferidos para cifrar grandes massas de dados ou para operações online.
6. O único sistema criptográfico matematicamente inviolável é o denominado sistema de
chave única. Todos os demais sistemas, para utilização em condições reais de aplicação,
são teoricamente violáveis, ou seja, dados recursos e tempo ilimitados e quantidade
suficiente de criptograma gerado com uma mesma chave, é possível, sempre,
determinar, de forma unívoca, a chave utilizada.
7. Uma técnica eficiente para tornar um sistema criptográfico mais forte é se utilizar um
algoritmo de compressão de dados após a cifração.
8. Ao comparar sistemas criptográficos simétricos e assimétricos, conclui-se que aqueles
facilitam a geração e a troca das chaves, enquanto estes facilitam a distribuição e o
armazenamento das mesmas.
(CESPE/PCF-PF 03 REG – 2004)
9. Em um processo de assinatura digital, comumente é gerado um valor condensado (hash)
do documento que se deseja assinar e, após isso, esse valor é criptografado utilizando-se
chave privada (assimétrica) que somente as partes envolvidas na comunicação desse
documento devem conhecer. Dessa forma, ao enviar o documento original e o
respectivo valor condensado criptografado, o destinatário poderá validar a assinatura do
documento e verificar a sua integridade.
10. O algoritmo DES (data encryption standard) efetua exatamente as mesmas operações
durante o processo de cifração e o de decifração. A única diferença percebida entre os
dois processos está na ordem de aplicação das chaves parciais (chaves de round).
11. O algoritmo de criptografia assimétrica RSA (Rivest, Shamir e Adleman) tem sua
segurança fundamentada na dificuldade de se fatorar números inteiros muito grandes.
Além de ser utilizado para criptografar mensagens a serem enviadas por canais
inseguros de comunicação, o RSA também pode ser aplicado na criptografia de chaves
simétricas que são utilizadas na criptografia simétrica de mensagens.
12. A esteganografia pode ser utilizada com o objetivo de disfarçar a existência de
determinadas informações. Atualmente, a esteganografia utiliza o BMS (bit mais
significativo) para embutir informações, o que degrada, contudo, a informação
hospedeira, pois modifica seu conteúdo.
(CESPE/PCF-PF 03 NAC – 2004)
13. O algoritmo criptográfico DES é uma cifra de substituição que mapeia um bloco de
texto claro de 64 bits em um outro bloco de criptograma de 64 bits.
14. MD5 e SHA-1 são funções de resumo de mensagem (funções hash). Esses algoritmos
têm a finalidade de garantir a integridade e a autenticidade para mensagens de tamanho
arbitrário.
(BACEN 2005 – Analista Área 1 – FCC)
15. Em uma criptografia, o conceito de força bruta significa uma técnica para:
a) ocultar determinada informação para torná-la imperceptível.
b) eliminar todas as redundâncias da cifra
c) tornar complexa a relação entre a chave e a cifra
d) acrescentar aleatoriedade aos dados, tornando maior o caos.
e) quebrar uma criptografia simétrica por meio de busca exaustiva da chave.
(BNDES 2005 – Analista de Suporte – NCE/UFRJ)
16. O algoritmo de criptografia que, por definição, trabalha com uma chave de tamanho
efetivo de 56 bits é:
(A) 3DES
(B) AES
(C) DES
(D) BLOWFISH
(E) IDEA
Normas
17. (CESPE/ACE TI TCU – 2005) Conforme a ISO-17799:2000, são exemplos de itens de
acervo de uma organização que devem ser inventariados: bases de dados e arquivos de
dados, documentação de sistemas, manuais de usuário, material de treinamento,
procedimentos operacionais ou de suporte, planos de continuidade, arranjos para
restauração de sistema e informações arquivadas, aplicativos de software, software de
sistema, ferramentas de desenvolvimento e utilitários, equipamentos computacionais e
de comunicação, mídias magnéticas, mobiliário e acomodações. Conforme o modelo
ITIL, esses elementos devem ser gerenciados por meio de processos de gerência de
configuração, e informações acerca dos mesmos devem ser armazenadas em uma base
de dados de gerência de configuração.
CESPE/ACE TI TCU – 2007
Julgue os itens que se seguem, considerando que, na proposta organizacional descrita na
figura III, a empresa tenha implantado um programa de gestão de segurança da informação
embasado na ABNT NBR ISO/IEC 17799 (ISO 17799).
18. (CESPE/ACE TI TCU – 2007) A seleção de controles de segurança da informação a
implantar deverá ser fundamentada principalmente na identificação das ameaças aos
ativos organizacionais. Para cada ameaça mapeada, deverão ser identificados os
controles de segurança aplicáveis.
19. O estabelecimento de controles visando a proteção aos dados privados tratados no
âmbito dessa organização deve ser prioritário frente aos controles que visam a garantia
da continuidade dos negócios da organização.
20. A organização deverá estabelecer um programa avançado de treinamento técnico em
segurança da informação para todos os seus empregados relacionados com a prestação
de atividades-fim relacionadas ao seu negócio.
21. A política corporativa de segurança da informação deverá ser elaborada somente após o
estabelecimento das políticas de segurança no desenvolvimento de software e de
segurança em operações de TI.
CESPE - PF 2004 - Perito Área 3
A política de segurança é um conjunto de diretrizes, normas, procedimentos e instruções de
trabalho que estabelecem os critérios de segurança para serem adotados no nível local ou a
institucional, visando o estabelecimento, a padronização e a normalização da segurança
tanto no âmbito humano quanto tecnológico. Acerca das boas práticas para elaboração,
implantação e monitoração da política de segurança, julgue os itens seguintes.
22. A elaboração de uma política de segurança institucional deve refletir, sobretudo, o
know-how de segurança dos profissionais envolvidos com a sua elaboração e não a
cultura da organização.
23. A política de segurança não deve ter caráter punitivo, mas conscientizador e
participativo. Assim, na política de segurança não se definem sanções ou penalidades
aplicáveis em caso de descumprimento das normas. Ao contrário, definem-se
responsabilidades e o impacto do não cumprimento adequado do papel de cada um na
gestão da segurança como um todo.
24. A política precisa ser aprovada pela administração da organização e formalmente
comunicada a todos que devem cumpri-la, caso contrário sua aplicação torna-se de
difícil controle e aceitação.
25. Uma fonte primária para a definição dos requisitos de segurança consiste na avaliação
de riscos dos ativos de informação. Essa análise permite ainda equilibrar os gastos com
os controles de segurança de acordo com os danos causados aos negócios gerados pelas
potenciais falhas na segurança.
26. (ESAF/AFC STN INFRA 2008) Segundo a norma ISO BS 17799, a definição das
responsabilidades gerais e específicas no que se refere à gestão da segurança da
informação, compreendendo inclusive o registro dos incidentes de segurança, deve ser
estabelecida no(a)
a) Processo de restauração.
b) Política de segurança.
c) Análise de riscos.
d) Acordo de confidencialidade.
e) Auditoria de segurança.
27. (ESAF/AFC CGU INFRA 2008) Segundo a Norma ABNT NBR ISO/IEC 17799: 2005,
é correto considerar a seguinte recomendação a fim de garantir uma adequada
segurança em Recursos Humanos:
a) documentar procedimentos operacionais.
b) monitorar e analisar criticamente os serviços terceirizados.
c) analisar criticamente os registros (logs) de falhas.
d) autenticar adequadamente os usuários em conexões externas.
e) estabelecer um processo formal disciplinar para funcionários em casos de violação da
segurança da informação.
28. (ESAF/AFC CGU INFRA 2008) De acordo com a ISO/IEC 17799:2005, a fim de
evitar a interrupção de serviços e das atividades do negócio e proteger os processos
críticos de desastres, em tempo hábil, recomenda-se implantar
a) acordo de termos e condições de contratação de funcionários.
b) política de uso de controles criptográficos.
c) plano de continuidade do negócio.
d) acordo de confidencialidade.
e) política para a troca de informações com partes externas.
29. NÃO é considerado um fator crítico de sucesso para a implementação da norma de
segurança da informação, NBR 17799,
A) a ampla divulgação do programa de segurança e conscientização de todos os envolvidos.
B) a promoção de um plano de educação, treinamento e reciclagem.
C) o comprometimento explícito dos diretores.
D) o entendimento dos requisitos de segurança e dos processos de avaliação e
gerenciamento de riscos.
E) a implantação de um plano de contingência e de recuperação.
Gabarito
01. E
02. C
03. C
04. C
05. C
06. C
07. E
08. C
09. E
10. C
11. C
12. E
13. C
14. E
15. E
16. C
17. C
18. E
19. ANULADA
20. E
21. E
22. E
23. E
24. C
25. C
26. B
27. E
28. C
29. E