Exercícios da Parte II: Segurança da Informação – Walter Cunha Criptografia (CESPE/PCF-PF 03 – 2002) 1. A quebra de sistemas criptográficos simétricos sempre depende da descoberta da chave secreta utilizada no processo criptográfico. 2. Um princípio básico para a utilização de senhas em serviços de segurança, tais como autentificação e controle de acesso, consiste em não armazenar a senha diretamente pois o acesso a tal entidade de armazenamento poria em risco toda a segurança do sistema. Ao contrário, é armazenado um resumo da senha, gerado normalmente por algum tipo de função digestora unidirecional. Ataques de força bruta a esses sistemas podem ser bem sucedidos, caso se encontre a mensagem original utilizada na entrada da função (isto é, a senha) ou alguma outra mensagem que resulte em um mesmo resumo que aquele gerado para a mensagem original. 3. Em uma infra-estrutura de chave pública (ICP), a quebra do certificado (violação da chave privada) de uma autoridade certificadora (AC) invalida todos os certificados assinados por esta AC. Assim, toda a segurança da ICP depende da segurança da chave privada da AC raiz. 4. Chaves criptográficas consideradas seguras contra ataques de força bruta, para os padrões de processamento atuais, devem possuir pelo menos 128 bits, tanto para criptografia simétrica quanto para criptografia assimétrica. 5. Sistemas criptográficos são ditos simétricos ou de chave secreta quando a chave utilizada para cifrar é a mesma utilizada para decifrar. Sistemas assimétricos ou de chave pública utilizam chaves distintas para cifrar e decifrar. Algoritmos simétricos são geralmente mais eficientes computacionalmente que os assimétricos e por isso são preferidos para cifrar grandes massas de dados ou para operações online. 6. O único sistema criptográfico matematicamente inviolável é o denominado sistema de chave única. Todos os demais sistemas, para utilização em condições reais de aplicação, são teoricamente violáveis, ou seja, dados recursos e tempo ilimitados e quantidade suficiente de criptograma gerado com uma mesma chave, é possível, sempre, determinar, de forma unívoca, a chave utilizada. 7. Uma técnica eficiente para tornar um sistema criptográfico mais forte é se utilizar um algoritmo de compressão de dados após a cifração. 8. Ao comparar sistemas criptográficos simétricos e assimétricos, conclui-se que aqueles facilitam a geração e a troca das chaves, enquanto estes facilitam a distribuição e o armazenamento das mesmas. (CESPE/PCF-PF 03 REG – 2004) 9. Em um processo de assinatura digital, comumente é gerado um valor condensado (hash) do documento que se deseja assinar e, após isso, esse valor é criptografado utilizando-se chave privada (assimétrica) que somente as partes envolvidas na comunicação desse documento devem conhecer. Dessa forma, ao enviar o documento original e o respectivo valor condensado criptografado, o destinatário poderá validar a assinatura do documento e verificar a sua integridade. 10. O algoritmo DES (data encryption standard) efetua exatamente as mesmas operações durante o processo de cifração e o de decifração. A única diferença percebida entre os dois processos está na ordem de aplicação das chaves parciais (chaves de round). 11. O algoritmo de criptografia assimétrica RSA (Rivest, Shamir e Adleman) tem sua segurança fundamentada na dificuldade de se fatorar números inteiros muito grandes. Além de ser utilizado para criptografar mensagens a serem enviadas por canais inseguros de comunicação, o RSA também pode ser aplicado na criptografia de chaves simétricas que são utilizadas na criptografia simétrica de mensagens. 12. A esteganografia pode ser utilizada com o objetivo de disfarçar a existência de determinadas informações. Atualmente, a esteganografia utiliza o BMS (bit mais significativo) para embutir informações, o que degrada, contudo, a informação hospedeira, pois modifica seu conteúdo. (CESPE/PCF-PF 03 NAC – 2004) 13. O algoritmo criptográfico DES é uma cifra de substituição que mapeia um bloco de texto claro de 64 bits em um outro bloco de criptograma de 64 bits. 14. MD5 e SHA-1 são funções de resumo de mensagem (funções hash). Esses algoritmos têm a finalidade de garantir a integridade e a autenticidade para mensagens de tamanho arbitrário. (BACEN 2005 – Analista Área 1 – FCC) 15. Em uma criptografia, o conceito de força bruta significa uma técnica para: a) ocultar determinada informação para torná-la imperceptível. b) eliminar todas as redundâncias da cifra c) tornar complexa a relação entre a chave e a cifra d) acrescentar aleatoriedade aos dados, tornando maior o caos. e) quebrar uma criptografia simétrica por meio de busca exaustiva da chave. (BNDES 2005 – Analista de Suporte – NCE/UFRJ) 16. O algoritmo de criptografia que, por definição, trabalha com uma chave de tamanho efetivo de 56 bits é: (A) 3DES (B) AES (C) DES (D) BLOWFISH (E) IDEA Normas 17. (CESPE/ACE TI TCU – 2005) Conforme a ISO-17799:2000, são exemplos de itens de acervo de uma organização que devem ser inventariados: bases de dados e arquivos de dados, documentação de sistemas, manuais de usuário, material de treinamento, procedimentos operacionais ou de suporte, planos de continuidade, arranjos para restauração de sistema e informações arquivadas, aplicativos de software, software de sistema, ferramentas de desenvolvimento e utilitários, equipamentos computacionais e de comunicação, mídias magnéticas, mobiliário e acomodações. Conforme o modelo ITIL, esses elementos devem ser gerenciados por meio de processos de gerência de configuração, e informações acerca dos mesmos devem ser armazenadas em uma base de dados de gerência de configuração. CESPE/ACE TI TCU – 2007 Julgue os itens que se seguem, considerando que, na proposta organizacional descrita na figura III, a empresa tenha implantado um programa de gestão de segurança da informação embasado na ABNT NBR ISO/IEC 17799 (ISO 17799). 18. (CESPE/ACE TI TCU – 2007) A seleção de controles de segurança da informação a implantar deverá ser fundamentada principalmente na identificação das ameaças aos ativos organizacionais. Para cada ameaça mapeada, deverão ser identificados os controles de segurança aplicáveis. 19. O estabelecimento de controles visando a proteção aos dados privados tratados no âmbito dessa organização deve ser prioritário frente aos controles que visam a garantia da continuidade dos negócios da organização. 20. A organização deverá estabelecer um programa avançado de treinamento técnico em segurança da informação para todos os seus empregados relacionados com a prestação de atividades-fim relacionadas ao seu negócio. 21. A política corporativa de segurança da informação deverá ser elaborada somente após o estabelecimento das políticas de segurança no desenvolvimento de software e de segurança em operações de TI. CESPE - PF 2004 - Perito Área 3 A política de segurança é um conjunto de diretrizes, normas, procedimentos e instruções de trabalho que estabelecem os critérios de segurança para serem adotados no nível local ou a institucional, visando o estabelecimento, a padronização e a normalização da segurança tanto no âmbito humano quanto tecnológico. Acerca das boas práticas para elaboração, implantação e monitoração da política de segurança, julgue os itens seguintes. 22. A elaboração de uma política de segurança institucional deve refletir, sobretudo, o know-how de segurança dos profissionais envolvidos com a sua elaboração e não a cultura da organização. 23. A política de segurança não deve ter caráter punitivo, mas conscientizador e participativo. Assim, na política de segurança não se definem sanções ou penalidades aplicáveis em caso de descumprimento das normas. Ao contrário, definem-se responsabilidades e o impacto do não cumprimento adequado do papel de cada um na gestão da segurança como um todo. 24. A política precisa ser aprovada pela administração da organização e formalmente comunicada a todos que devem cumpri-la, caso contrário sua aplicação torna-se de difícil controle e aceitação. 25. Uma fonte primária para a definição dos requisitos de segurança consiste na avaliação de riscos dos ativos de informação. Essa análise permite ainda equilibrar os gastos com os controles de segurança de acordo com os danos causados aos negócios gerados pelas potenciais falhas na segurança. 26. (ESAF/AFC STN INFRA 2008) Segundo a norma ISO BS 17799, a definição das responsabilidades gerais e específicas no que se refere à gestão da segurança da informação, compreendendo inclusive o registro dos incidentes de segurança, deve ser estabelecida no(a) a) Processo de restauração. b) Política de segurança. c) Análise de riscos. d) Acordo de confidencialidade. e) Auditoria de segurança. 27. (ESAF/AFC CGU INFRA 2008) Segundo a Norma ABNT NBR ISO/IEC 17799: 2005, é correto considerar a seguinte recomendação a fim de garantir uma adequada segurança em Recursos Humanos: a) documentar procedimentos operacionais. b) monitorar e analisar criticamente os serviços terceirizados. c) analisar criticamente os registros (logs) de falhas. d) autenticar adequadamente os usuários em conexões externas. e) estabelecer um processo formal disciplinar para funcionários em casos de violação da segurança da informação. 28. (ESAF/AFC CGU INFRA 2008) De acordo com a ISO/IEC 17799:2005, a fim de evitar a interrupção de serviços e das atividades do negócio e proteger os processos críticos de desastres, em tempo hábil, recomenda-se implantar a) acordo de termos e condições de contratação de funcionários. b) política de uso de controles criptográficos. c) plano de continuidade do negócio. d) acordo de confidencialidade. e) política para a troca de informações com partes externas. 29. NÃO é considerado um fator crítico de sucesso para a implementação da norma de segurança da informação, NBR 17799, A) a ampla divulgação do programa de segurança e conscientização de todos os envolvidos. B) a promoção de um plano de educação, treinamento e reciclagem. C) o comprometimento explícito dos diretores. D) o entendimento dos requisitos de segurança e dos processos de avaliação e gerenciamento de riscos. E) a implantação de um plano de contingência e de recuperação. Gabarito 01. E 02. C 03. C 04. C 05. C 06. C 07. E 08. C 09. E 10. C 11. C 12. E 13. C 14. E 15. E 16. C 17. C 18. E 19. ANULADA 20. E 21. E 22. E 23. E 24. C 25. C 26. B 27. E 28. C 29. E