Noções de Informatica - Aula 09 PDF

E-book de Questes da Disciplina Noes de Informtica Comentadas pelo Professor Lnin
Questes Comentadas
CESPE SEGURANA DA INFORMAO
Professor Alexandre Lnin Carneiro v 1.0
E-book Questes PowerPoint - CESPE Prof. Alexandre Lnin
INTRODUO ........................................................................................... 2 LISTA DAS QUESTES .............................................................................. 3

*** GERAIS *** ............................................................................................................................................... 3 *** MALWARES / ATAQUES *** ..................................................................................................................... 6 *** FIREWALL / VPN*** ................................................................................................................................ 9 *** BACKUP *** ............................................................................................................................................ 10 *** CRIPTOGRAFIA CERTIFICADO DIGITAL *** .......................................................................................... 11 *** SEGURANA - AVANADAS *** ............................................................................................................. 14
QUESTES COMENTADAS ........................................................................ 19

*** GERAIS *** ............................................................................................................................................. 19 *** MALWARES / ATAQUES *** ................................................................................................................... 27 *** FIREWALL / VPN*** .............................................................................................................................. 37 *** BACKUP *** ............................................................................................................................................ 42 *** CRIPTOGRAFIA CERTIFICADO DIGITAL *** .......................................................................................... 46 *** SEGURANA - AVANADAS *** ............................................................................................................. 56
GABARITOS ........................................................................................... 75
Prof. Alexandre Lnin
www.estrategiaconcursos.com.br
1/75
INTRODUO Este E-book contm questes comentadas pelo professor Lnin. So questes sobre Noes de Informtica Segurana da Informao aplicadas em provas da banca CESPE. O tpico Segurana envolve no s aspectos relacionados aos ataques provocados por malwares e mecanismos de defesa de sistemas informatizados. Inclui o tema criptografia e certificao digital, bem como mecanismos de cpia de segurana (backup). As questes presentes neste e-book vo das mais triviais quelas que so mais adequadas aos especialistas. Ainda assim, no caso destas ltimas, elas aparecem aqui e acol nos certames organizados pelo CESPE. Por isso, classifiquei estas questes como Avanadas. Minha sugesto que voc resolva as questes antes de ler os comentrios, pois assim fixar melhor os assuntos tratados e poder se concentrar mais naquelas questes onde ainda existam dvidas. As dvidas podem ser enviadas para o meu e-mail no Estratgia Concursos: alexandrelenin@estrategiaconcursos.com.br ou no prprio frum da disciplina.
Observao: esta a primeira verso do e-book e conto com vocs para as crticas e sugestes. Assim poderei melhorar o e-book e corrigir eventuais falhas. Como estmulo aos ajudantes, para cada nova falha encontrada e relatada garante o envio da verso 2.0 do e-book, com as questes que irei comentar no primeiro semestre deste ano.
Bons estudos e at j. Lnin
Total de Questes Comentadas neste E-book: 84 ltima atualizao: Janeiro/2013.
2/75
LISTA DAS QUESTES *** GERAIS *** 1. (CESPE/2010/AGU/Agente Administrativo) A informao um ativo que, como qualquer outro ativo importante para os negcios, tem valor para a organizao e, por isso, deve ser adequadamente protegida. 2. (CESPE/2009/ANATEL/TCNICO ADMINISTRATIVO) Com o desenvolvimento da Internet e a migrao de um grande nmero de sistemas especializados de informao de grandes organizaes para sistemas de propsito geral acessveis universalmente, surgiu a preocupao com a segurana das informaes no ambiente da Internet. Acerca da segurana e da tecnologia da informao, julgue o item seguinte. A disponibilidade e a integridade so itens que caracterizam a segurana da informao. A primeira representa a garantia de que usurios autorizados tenham acesso a informaes e ativos associados quando necessrio, e a segunda corresponde garantia de que sistemas de informaes sejam acessveis apenas queles autorizados a acess-los. 3. (CESPE/2009/MMA) A responsabilidade pela segurana de um ambiente eletrnico dos usurios. Para impedir a invaso das mquinas por vrus e demais ameaas segurana, basta que os usurios no divulguem as suas senhas para terceiros. 4. (CESPE/2009/TRE-MG) assinale a opo correta. Considerando a segurana da informao,
A. A instalao de antivrus garante a qualidade da segurana no computador. B. Toda intranet consiste em um ambiente totalmente seguro porque esse tipo de rede restrito ao ambiente interno da empresa que implantou a rede. C. O upload dos arquivos de atualizao suficiente para a atualizao do antivrus pela Internet. D. O upload das assinaturas dos vrus detectados elimina-os. E. Os antivrus atuais permitem a atualizao de assinaturas de vrus de forma automtica, sempre que o computador for conectado Internet. 5. (CESPE/2010/UERN/Agente Tcnico Administrativo) Uma das formas de se garantir a segurana das informaes de um website no coloc-lo em rede, o que elimina a possibilidade de acesso por pessoas intrusas.
Prof. Alexandre Lnin www.estrategiaconcursos.com.br 3/75
6. (CESPE/2010/TRE-MT/Analista Judicirio/Tecnologia da Informao/Adaptada) A confidencialidade tem a ver com salvaguardar a exatido e a inteireza das informaes e mtodos de processamento. Para tanto, necessrio que os processos de gesto de riscos identifiquem, controlem, minimizem ou eliminem os riscos de segurana que podem afetar sistemas de informaes, a um custo aceitvel. 7. (CESPE/2010/TRE-MT/Analista Judicirio/Tecnologia da Informao) A segurana fsica objetiva impedir acesso no autorizado, danos ou interferncia s instalaes fsicas e s informaes da organizao. A proteo fornecida deve ser compatvel com os riscos identificados, assegurando a preservao da confidencialidade da informao. 8. (CESPE/2010/TRE-MT/Tcnico Judicirio/Programao de Sistemas) Disponibilidade a garantia de que o acesso informao seja obtido apenas por pessoas autorizadas. 9. (CESPE/2010/EMBASA/Analista de Saneamento - Analista de TI rea: Desenvolvimento) O princpio da autenticao em segurana diz que um usurio ou processo deve ser corretamente identificado. Alm disso, todo processo ou usurio autntico est automaticamente autorizado para uso dos sistemas. 10. (CESPE/2010/TRE.BA/ANALISTA/Q.28) Confidencialidade, disponibilidade e integridade da informao so princpios bsicos que orientam a definio de polticas de uso dos ambientes computacionais. Esses princpios so aplicados exclusivamente s tecnologias de informao, pois no podem ser seguidos por seres humanos. (CESPE/2010/Escrivo de Polcia Federal)
4/75
Considerando a figura acima, que apresenta uma janela com algumas informaes da central de segurana do Windows de um sistema computacional (host) de uso pessoal ou corporativo, julgue os prximos itens, a respeito de segurana da informao. 11. (CESPE/2010/Escrivo de Polcia Federal) A atualizao automtica disponibilizada na janela exibida acima uma funo que est mais relacionada distribuio de novas funes de segurana para o sistema operacional do que distribuio de novos patches (remendos) que corrijam as vulnerabilidades de cdigo presentes no sistema operacional. 12. (CESPE/2010/Escrivo de Polcia Federal) Na figura acima, o firewall assinalado como ativado, em sua configurao padro, possui um conjunto maior de regras para bloqueio de conexes originadas de fora do computador do que para as conexes originadas de dentro do computador. 13. (CESPE/2010/Escrivo de Polcia Federal) A configurao da proteo contra malwares exposta na figura indica que existe no host uma base de assinaturas de vrus instalada na mquina. 14. (CESPE/2010/MPU/Tcnico do Ministrio Pblico da Unio/Administrativo) De acordo com o princpio da disponibilidade, a informao s pode estar disponvel para os usurios aos quais ela destinada, ou seja, no pode haver acesso ou alterao dos dados por parte de outros usurios que no sejam os destinatrios da informao.
*** MALWARES / ATAQUES *** 15. (CESPE/2003/INSS/Tcnico do Seguro Social) O worm um tipo de vrus de computador que utiliza mensagens de e-mail para disseminar pela Internet arquivos infectados. 16. (CESPE/2003/INSS/Tcnico do Seguro Social) O spam, uma das ltimas novidades em ataques a computadores, um vrus de computador que implementa a tcnica denominada DDoS (distributed denial of service), que visa travar ou deixar momentaneamente inoperante um servio de rede, servidor ou equipamento ligado em rede. 17. (CESPE/2011/CBMDF/Praa Bombeiro Militar Operacional) Os antivrus devem ser atualizados constantemente para que no percam sua eficincia em razo do surgimento de novos vrus de computador. 18. (CESPE/2010/UERN/Agente Tcnico Administrativo) O uso de um programa anti-spam garante que software invasor ou usurio malintencionado no acesse uma mquina conectada a uma rede. 19. (CESPE/2010/SEDU-ES/AGENTE DE SUPORTE EDUCACIONAL) Vrus um programa que pode se reproduzir anexando seu cdigo a um outro programa, da mesma forma que os vrus biolgicos se reproduzem. 20. (CESPE/2010/SEDU-ES/AGENTE DE SUPORTE EDUCACIONAL) Spywares so programas que agem na rede, checando pacotes de dados, na tentativa de encontrar informaes confidenciais tais como senhas de acesso e nomes de usurios. 21. (CESPE/2010/SEDU-ES/AGENTE DE SUPORTE EDUCACIONAL/Q. 44) Cavalos-de-troia, adwares e vermes so exemplos de pragas virtuais. 22. (CESPE/2011/TRE-ES/Tcnico Judicirio) Considerando a relevncia do comportamento dos usurios para a garantia da segurana da informao, julgue o item seguinte. A desativao de antivrus instalado em um computador pode comprometer a segurana da informao, visto que o computador, a partir dessa operao, pode ser acessado por usurios ou aplicaes no autorizados.
6/75
23. (CESPE/2010/MPU/Tcnico do Ministrio Pblico da Unio/Administrativo) Acerca de conceitos bsicos de segurana da informao, julgue o item seguinte. Cavalo de Troia exemplo de programa que atua na proteo a um computador invadido por hackers, por meio do fechamento de portas, impedindo o controle remoto do sistema. 24. (CESPE/2003/INSS/Tcnico do Seguro Social) O worm um tipo de vrus de computador que utiliza mensagens de e-mail para disseminar pela Internet arquivos infectados. 25. (CESPE/2008/STF/Tcnico Judicirio Administrativa) Acerca de conceitos e tecnologias relacionados Internet e a intranet, julgue o item subsequente. Arquivos que armazenam documentos gerados a partir do Microsoft Word de verso superior ou igual 2003 so imunes a infeco por vrus de macro, devido incapacidade de esse tipo de vrus infectar arquivos com extenso .doc obtidos por meio do referido programa. 26. (CESPE/2008/PRF-POLICIAL RODOVIRIO FEDERAL) Com relao a vrus de computador, phishing, pharming e spam, julgue os itens seguintes. I. Uma das vantagens de servios webmail em relao a aplicativos clientes de correio eletrnico tais como o Mozilla ThunderbirdTM 2 est no fato de que a infeco por vrus de computador a partir de arquivos anexados em mensagens de e-mail impossvel, j que esses arquivos so executados no ambiente do stio webmail e no no computador cliente do usurio. II. Phishing e pharming so pragas virtuais variantes dos denominados cavalos-de-troia, se diferenciando destes por precisarem de arquivos especficos para se replicar e contaminar um computador e se diferenciando, entre eles, pelo fato de que um atua em mensagens de e-mail trocadas por servios de webmail e o outro, no. III. O uso de firewall e de software antivrus a nica forma eficiente atualmente de se implementar os denominados filtros anti-spam. IV. Se o sistema de nomes de domnio (DNS) de uma rede de computadores for corrompido por meio de tcnica denominada DNS cache poisoning, fazendo que esse sistema interprete incorretamente a URL (uniform resource locator) de determinado stio, esse sistema pode estar sendo vtima de pharming. V. Quando enviado na forma de correio eletrnico para uma quantidade considervel de destinatrios, um hoax pode ser considerado um tipo de spam, em que o spammer cria e distribui histrias falsas, algumas delas denominadas lendas urbanas. A quantidade de itens certos igual a A 1.
B 2. C 3. D 4. E 5. 27. (CESPE - 2010 - BASA - Tcnico Cientfico - Servio Social) Port scanner um programa que, se instalado em um computador, permite que um invasor volte a acess-lo quando quiser para invadi-lo. Geralmente instalado a partir de programas do tipo cavalo-de-troia ou at por e-mail. 28. (CESPE/2010/MPU/Tcnico do Ministrio Pblico da Unio) O utilitrio Windows Defender propicia, quando instalado em computadores que utilizam o sistema operacional Windows XP ou Windows 7, proteo contra ataques de vrus.
29. (CESPE/2009-04/MMA) Antivrus, worms, spywares e crackers so programas que ajudam a identificar e combater ataques a computadores que no esto protegidos por firewalls. 30. (CESPE/2010/UERN/TCNICO DE NVEL SUPERIOR) Vrus, worms e cavalos de troia so exemplos de software mal-intencionados que tm o objetivo de, deliberadamente, prejudicar o funcionamento do computador. O firewall um tipo de malware que ajuda a proteger o computador contra cavalos de troia.
*** FIREWALL / VPN*** 31. (CESPE - 2010 - BASA - Tcnico Cientfico - Administrao) Uma rede do tipo VPN (virtual private network) fundamental para evitar que vrus ou programas maliciosos entrem nos computadores de determinada empresa, j que esse tipo de rede configurado de modo a bloquear qualquer arquivo que no seja reconhecido pelo firewall nela instalado. 32. (CESPE/2010/MPU/Tcnico do Ministrio Pblico da Unio) Considere que a equipe de suporte tcnico de determinada empresa necessite fazer escolhas, configuraes e procedimentos concernentes a segurana da informao da rede de computadores dessa empresa. Nessa situao, julgue o item seguinte. Configurar o firewall da rede para bloquear os pacotes destinados a qualquer servidor de HTTP externo medida que impede que os funcionrios dessa empresa utilizem os computadores para acessar a Internet. 33. (CESPE/2010/MPU/Tcnico do Ministrio Pblico da Unio) Considere que a equipe de suporte tcnico de determinada empresa necessite fazer escolhas, configuraes e procedimentos concernentes a segurana da informao da rede de computadores dessa empresa. Nessa situao, julgue o item seguinte. Considere que essa empresa tenha adotado um sistema de deteco de intrusos embasado em anomalias. Nessa situao, o sistema adotado cria um perfil de trfego a partir da operao normal do sistema sem depender de conhecimentos prvios de ataques j registrados. 34. (CESPE/2011/TRE-ES/Tcnico Judicirio) Para se abrirem arquivos anexados a mensagens recebidas por correio eletrnico, sem correr o risco de contaminar o computador em uso, necessrio habilitar o firewall do Windows. 35. (CESPE/2010/EMBASA/Analista de Saneamento) Um firewall em uma rede considerado uma defesa de permetro e consegue coibir todo tipo de invaso em redes de computadores. 36. (CESPE/2010/TRE-BA/Tcnico Judicirio/rea Administrativa) Uma das formas de bloquear o acesso a locais no autorizados e restringir acessos a uma rede de computadores por meio da instalao de firewall, o qual pode ser instalado na rede como um todo, ou apenas em servidores ou nas estaes de trabalho.
37. (CESPE/2010/TRE-BA/ANALISTA/Q.27) Firewall um recurso utilizado para a segurana tanto de estaes de trabalho como de servidores ou de toda uma rede de comunicao de dados. Esse recurso possibilita o bloqueio de acessos indevidos a partir de regras preestabelecidas. 38. (CESPE/2010/UERN/TCNICO DE NVEL SUPERIOR-Adaptada) Firewall um sistema constitudo de software e hardware que verifica informaes oriundas da Internet ou de uma rede de computadores e que permite ou bloqueia a entrada dessas informaes, estabelecendo, dessa forma, um meio de proteger o computador de acesso indevido ou indesejado. 39. (CESPE - 2010 - INCA - Assistente em Cincia e Tecnologia) VPN (virtual private network) uma rede virtual que pode compartilhar a infraestrutura fsica das redes pblicas de transferncia de dados, mas que possui protocolos de segurana e de controle de acesso mais restritos, como criptografia e uso de firewall, para restringir acessos no autorizados. *** BACKUP *** 40. (CESPE/2011/TRE-ES/Tcnico Judicirio) Em relao aos mecanismos de segurana da informao, julgue o item subsequente. A criao de backups no mesmo disco em que esto localizados os arquivos originais pode representar risco relacionado segurana da informao. 41. (CESPE/2006/SEFAZ-AC/Auditor da Receita Estadual) Existem muitas maneiras de perder informaes em um computador involuntariamente, como em decorrncia de queda de energia, relmpago, inundaes, ou simplesmente falha de equipamento. Por isso, essencial ter cpias de segurana. Acerca desse assunto, assinale a opo incorreta. a) O Usurio deve fazer cpias de backup dos seus arquivos regularmente e os manter em um local separado, pois, assim, pode obter parcialmente ou totalmente as informaes de volta caso algo acontea aos originais no computador. b) Existem muitas formas de fazer o backup das suas informaes. O backup pode ser feito em hardware, software ou at mesmo mediante um servio via Web. c) Um CD-RW um CD em que podem ser gravadas informaes (RW significa regravvel). Como muitos computadores novos j vm com uma unidade de CD-RW interna, uma maneira de fazer backup consiste na utilizao desse tipo de mdia.
d) A maioria das pessoas no faz backup por falta de opo de software, pois a compra de aplicativos com esse objetivo bastante onerosa, o que ocorre devido ao fato de os sistemas operacionais atuais no darem suporte a esse tipo de ferramenta. 42. (CESPE/2009/IBAMA/ANALISTA AMBIENTAL) Para criar uma cpia de segurana da planilha, tambm conhecida como backup, suficiente clicar a ferramenta .
43. (CESPE/2010/DETRAN-ES/Tcnico Superior) A ferramenta de backup do Windows 7 permite escolher a mdia em que as cpias sero gravadas. Entretanto, quando a mdia escolhida for CD ou DVD, no ser possvel gerar backups incrementais. Nessas mdias, sempre que houver a necessidade de gerar uma cpia de segurana, ela ser uma cpia completa. 44. (CESPE/2010/SEDU-ES/AGENTE DE SUPORTE EDUCACIONAL) Backup o termo utilizado para definir uma cpia duplicada de um arquivo, um disco, ou um dado, feita com o objetivo de evitar a perda definitiva de arquivos importantes. 45. (CESPE/2010/AGU/Agente Administrativo) Backup, um procedimento que deve ser realizado mensal ou anualmente, tem a finalidade de garantir a proteo de dados, inclusive contra ataques de worms. *** CRIPTOGRAFIA CERTIFICADO DIGITAL *** 46. (CESPE/2010/CAIXA-NM1/ TCNICO BANCRIO) Assinale a opo correta a respeito de certificao digital. A Autoridade certificadora a denominao de usurio que tem poderes de acesso s informaes contidas em uma mensagem assinada, privada e certificada. B A autoridade reguladora tem a funo de emitir certificados digitais, funcionando como um cartrio da Internet. C O ITI (Instituto Nacional de Tecnologia da Informao) tambm conhecido como Autoridade Certificadora Raiz Brasileira. D PKI ou ICP o nome dado ao certificado que foi emitido por uma autoridade certificadora. E Um certificado digital pessoal, intransfervel e no possui data de validade.
47. (CESPE/2010/MPU/Tcnico do Ministrio Pblico da Unio) Considere que, em determinada empresa, o funcionrio Haroldo precise passar informaes confidenciais para o seu chefe, Jlio. Para maior segurana, os dados so transmitidos criptografados pela rede da empresa. Rogrio, outro funcionrio da empresa, est tentando indevidamente interceptar as informaes trocadas entre Haroldo e Jlio. Com base nessa situao hipottica, julgue o item, acerca de configuraes e do emprego dos sistemas de criptografia. Considere que Haroldo e Jlio se comuniquem utilizando um sistema de criptografia de chave pblica, sem assinatura digital. Nesse caso, se Rogrio, passando-se por Haroldo, enviar uma mensagem criptografada para Jlio, este pode no ter como saber que a mensagem no foi enviada por Haroldo. 48. (CESPE/2010/MPU/Tcnico do Ministrio Pblico da Unio) Considere que, em determinada empresa, o funcionrio Haroldo precise passar informaes confidenciais para o seu chefe, Jlio. Para maior segurana, os dados so transmitidos criptografados pela rede da empresa. Rogrio, outro funcionrio da empresa, est tentando indevidamente interceptar as informaes trocadas entre Haroldo e Jlio. Com base nessa situao hipottica, julgue o item, acerca de configuraes e do emprego dos sistemas de criptografia. Mesmo que Haroldo e Jlio coloquem normalmente os seus nomes no corpo das mensagens trocadas entre eles, esse procedimento no facilita o deciframento no autorizado das mensagens, j que os dados so criptografados. 49. (CESPE/2010/MPU/Tcnico do Ministrio Pblico da Unio) Considere que, em determinada empresa, o funcionrio Haroldo precise passar informaes confidenciais para o seu chefe, Jlio. Para maior segurana, os dados so transmitidos criptografados pela rede da empresa. Rogrio, outro funcionrio da empresa, est tentando indevidamente interceptar as informaes trocadas entre Haroldo e Jlio. Com base nessa situao hipottica, julgue o item, acerca de configuraes e do emprego dos sistemas de criptografia. Caso Haroldo utilize assinatura digital em suas mensagens, Jlio pode comprovar se uma mensagem supostamente enviada por Haroldo partiu realmente dele. Alm disso, caso Haroldo resolva negar que tenha enviado dada mensagem, tendo ele efetivamente a enviado, Jlio pode provar que a mensagem de fato de Haroldo. 50. (CESPE/2011/TRE-ES/Tcnico Judicirio) Com relao a mecanismos de segurana da informao, julgue o item abaixo. A assinatura digital realizada por meio de um conjunto de dados criptografados, associados a um
documento do qual so funo. Esse mecanismo garante a integridade, a autenticidade e a confidencialidade do documento associado. 51. (CESPE/2010/EMBASA/Analista de Saneamento/Analista de Tecnologia da Informao) Na criptografia de chave pblica, os usurios usam um par de chaves, sendo que o que realizado com uma chave s pode ser desfeito com a outra chave. 52. (CESPE/2010/AGU/Contador) Um arquivo criptografado fica protegido contra contaminao por vrus. 53. (CESPE/2010/EMBASA/Analista de Saneamento) Na criptografia de chave nica ou simtrica, o tamanho da chave no importante no processo de cifrar porque a segurana est embutida no ocultamento do cdigo contra criptoanlise. 54. (CESPE/2010/Caixa/Tcnico Bancrio/Adaptada) A assinatura digital facilita a identificao de uma comunicao, pois baseia-se em criptografia simtrica de uma nica chave. 55. (CESPE/2010/Caixa/Tcnico Bancrio/Adaptada) O destinatrio de uma mensagem assinada utiliza a chave pblica do remetente para garantir que essa mensagem tenha sido enviada pelo prprio remetente. 56. (CESPE/2010/EMBASA/Analista de Saneamento - Analista de Tecnologia da Informao) Um certificado digital possui alguns atributos comuns, entre os quais esto a assinatura do emissor do certificado e o prazo de validade. 57. (CESPE/2010/Caixa/Tcnico Bancrio/Administrativo) Uma autoridade de registro emite o par de chaves do usurio que podem ser utilizadas tanto para criptografia como para assinatura de mensagens eletrnicas. 58. (CESPE/2010/MPU/Tcnico do Ministrio Pblico da Unio/ Administrativo) Acerca de conceitos bsicos de segurana da informao, julgue o item seguinte. recomendvel que, entre as medidas de segurana propostas para gerenciar um ambiente automatizado, seja includa a instalao, em rede, de ameaas que possam servir de armadilhas para usurios mal-intencionados, como criptografia, algoritmos, assinatura digital e antivrus.
13/75
*** SEGURANA - AVANADAS *** 59. (CESPE/2010/Banco da Amaznia/Tcnico Cientfico Especialidade: TI Redes e Telecomunicaes) A poltica de segurana cumpre trs principais funes: define o que e mostra por que se deve proteger; atribui responsabilidades pela proteo; e serve de base para interpretar situaes e resolver conflitos que venham a surgir no futuro. A segurana da informao procura garantir a preservao da confidencialidade, a integridade e a disponibilidade da informao. Relativamente s normas ISO 27001, ISO 27002, ISO 27005 e ISO 15999, julgue os itens seguintes. 60. (CESPE/2010/Banco da Amaznia/Tcnico Cientfico Especialidade: TI Segurana da Informao/ Q.51) Um incidente de segurana da informao refere-se a um ou mais riscos no desejados ou esperados que possuem significativa probabilidade de comprometer os ativos de informao e ameaam a segurana da informao. 61. (CESPE/2010/Banco da Amaznia/Tcnico Cientfico Especialidade: TI Segurana da Informao/Q.54) Uma organizao deve ser capaz de inventariar seus ativos, identificar seus respectivos valores e importncias e indicar um proprietrio responsvel por eles. A informao deve ser classificada em termos de sua utilidade, adequabilidade e nvel de segurana. 62. (CESPE/2010/Banco da Amaznia/Tcnico Cientfico Especialidade: TI Segurana da Informao /Q. 52) So exemplos de ativos de uma organizao a informao e os processos de apoio, sistemas e redes. Os requisitos de segurana, em uma organizao, so identificados por meio de anlise sistemtica dos riscos de segurana. 63. (CESPE/2010/Banco da Amaznia/Tcnico Cientfico Especialidade: TI Segurana da Informao/Q.53) Entre os ativos associados a sistemas de informao em uma organizao, incluem-se as bases de dados e arquivos, os aplicativos e os equipamentos de comunicao (roteadores, secretrias eletrnicas etc). 64. (CESPE/2010/Banco da Amaznia/Tcnico Cientfico Especialidade: TI Segurana da Informao/Q.55) conveniente que, na classificao das informaes e seu respectivo controle de proteo, considerem-se as necessidades de compartilhamento ou restrio de informaes. Ao se tornar pblica, uma informao frequentemente deixa de ser sensvel ou crtica.
14/75
Com base nas normas ABNT NBR ISO/IEC 27001:2006 e 27002:2005, julgue os itens que se seguem. 65. (CESPE/2008/MCT/Tecnologista Pleno Segurana de Sistemas de Informao) A seo 5 da norma ISO/IEC 27001 trata de como a informao deve ser classificada, de acordo com a sua necessidade de segurana e controle de acesso. 66. (CESPE/2007/TCU/Analista de Controle Externo Auditoria de TI) Julgue o item a seguir. Diferentemente do tratamento de incidentes de segurana em tecnologia da informao (TI) em geral, o tratamento de incidentes de segurana da informao por meio da abordagem de times de resposta a incidentes de segurana busca encontrar a causa raiz de vrios outros incidentes similares antes da realizao das aes de conteno. 67. (CESPE/2008/TCU/Analista de Controle Externo-TI/Q. 182) Segundo a norma 17799/2005, no caso de desenvolvimento de software por mo-de-obra terceirizada, necessrio estabelecer controles adicionais para testar e detectar, antes da instalao desse software, a presena de cdigo troiano. 68. (CESPE/2008/TCU/Analista de Controle Externo-TI/Q. 183) Considerando-se que, em muitas organizaes pblicas, h urgncia na adoo de controles visando-se melhoria do atual nvel de segurana da informao, um administrador de segurana da informao deve implementar, independentemente da anlise e da avaliao de riscos de segurana da informao em curso, um conjunto de controles mnimos controles primrios , os quais, segundo a norma 17799/2005, devem ser implementados em todos os casos. 69. (CESPE/2008/TCU/Analista de Controle Externo-TI/Q. 184) As ameaas e perturbaes da ordem pblica que podem, eventualmente, afetar o funcionamento de uma organizao pblica federal, mesmo que apenas indiretamente relacionadas aos sistemas de tecnologia da informao e comunicao (TIC) dessas organizaes, devem ser consideradas nas diretrizes de implementao de controle de proteo do meio ambiente e contra ameaas externas, conforme previsto na norma 17799/2005. 70. (CESPE/2006/ANCINE/Analista Administrativo TI/Q.114) Conforme o princpio de segregao de responsabilidades, definido em modelos como COBIT e ISO-17799, uma mesma pessoa no deve acumular as funes de iniciador e de autorizador de aes, como solicitar aquisio de produtos e atestar o recebimento dos mesmos.
15/75
71. (CESPE/2007/TCU/Analista de Controle Externo/Auditoria de TI/Q. 148) A NBR 17799 prescreve explicitamente que as instalaes de processamento da informao gerenciadas por uma organizao devem estar fisicamente separadas daquelas que so gerenciadas por terceiros. Esse controle est descrito no captulo 9 da referida NBR, juntamente com outros relacionados a ameaas externas como exploses e perturbaes sociais, e controle de acesso com mltiplos fatores de autenticao, como senhas, smart cards e biometria. 72. (CESPE/2007/TCU/Analista de Controle Externo/Auditoria de TI/Q. 150) Um plano de continuidade de negcios distingue-se de um plano de recuperao de desastres por vrios aspectos, entre os quais a maior nfase no gerenciamento de riscos. 73. (CESPE/2007/TCU/Analista de Controle Externo TI/Q. 140) A seleo de controles de segurana da informao a implantar dever ser fundamentada principalmente na identificao das ameaas aos ativos organizacionais. Para cada ameaa mapeada, devero ser identificados os controles de segurana aplicveis. 74. (CESPE/2007/TCU/Analista de Controle Externo-TI/Q.142) A organizao dever estabelecer um programa avanado de treinamento tcnico em segurana da informao para todos os seus empregados relacionados com a prestao de atividades-fim relacionadas ao seu negcio. 75. (CESPE/2007/TCU/Analista de Controle Externo TI/Q. 143) A poltica corporativa de segurana da informao dever ser elaborada somente aps o estabelecimento das polticas de segurana no desenvolvimento de software e de segurana em operaes de TI. 76. (CESPE/ANEEL/2010/Q. 116) A gesto de continuidade de negcios complementar gesto de riscos e tem como foco o desenvolvimento de uma resposta a uma interrupo causada por um incidente de difcil previso, materializada na forma de um plano de continuidade de negcios. 77. (CESPE/2007/TCU/Analista de Controle Externo TI/Q. 144) Todo evento de segurana da informao identificado no mbito da organizao corresponder a uma ou mais violaes da poltica de segurana da informao da organizao. 78. (CESPE/2007/TCU/Analista de Controle Externo TI/Q. 145) Os riscos de segurana da informao identificados no mbito da organizao devero ser analisados quanto s possveis opes de tratamento: mitigao
ou reduo; aceitao; eliminao ou quatro alternativas de tratamento, a implantao de controles a mitigao de menor nvel ou que atendam a definidos.
contorno; e transferncia. Entre as que apresenta maior demanda por ou reduo. Os riscos aceitos so os critrios de avaliao previamente
79. (CESPE/2009/ANATEL/Analista Administrativo TI/Arquitetura de solues/Q. 89) Acerca das normas ABNT NBR ISO/IEC 27001:2006 e ABNT NBR ISO/IEC 17799:2005, correto afirmar que ambas apresentam orientaes para a seleo de controles de segurana e enunciam menos de uma centena de controles. (CESPE/2009/ANATEL/Analista Administrativo TI/Arquitetura de solues)
Figura "a". A Figura "a", obtida na norma ABNT NBR ISO/IEC 27001:2006, apresenta um modelo de gesto da segurana da informao. Julgue os itens subsequentes acerca das informaes apresentadas e dos conceitos de segurana da informao. 80. (CESPE/2009/ANATEL/Analista Administrativo TI/Arquitetura de solues/Q.86) Considere as diferentes fases do ciclo de gesto no modelo da figura "a" plan, do, check e act. A definio de critrios para a avaliao e para a aceitao dos riscos de segurana da informao que ocorrem no escopo para o qual o modelo da figura est sendo estabelecido, implementado, operado, monitorado, analisado criticamente, mantido e melhorado ocorre, primariamente, durante a fase do. 81. (CESPE/2009/ANATEL/Analista Administrativo TI/Arquitetura de solues/Q. 87/Adaptada) A anlise de vulnerabilidades aplicvel no
contexto da figura "a" emprega tcnicas automatizadas e manuais, que variam amplamente, sendo o tipo de ameaa sob anlise um fator mais correlacionado a essa variao que o tipo do ativo sob anlise. 82. (CESPE/2009/ANTAQ/Analista Administrativo Informtica) Julgue o item seguinte. A anlise de vulnerabilidades, quando realizada no arcabouo de uma atividade de anlise de riscos, precedida, usualmente, da anlise de ameaas, mas antecede a anlise de controles, podendo cada controle inexistente ser traduzido em uma vulnerabilidade existente. 83. (CESPE/2009/ANATEL/Analista Administrativo TI/Arquitetura de solues/Q. 88) A identificao de eventos que podem causar interrupes aos processos de negcio e das probabilidades e impactos de tais interrupes, associada s consequncias para a segurana de informao, constitui atividade executada no mbito da gesto de continuidade de negcios, embora se constitua, mais especificamente, atividade de anlise de risco. 84. (CESPE/2009/ANATEL/Analista Administrativo TI/Arquitetura de solues/Q. 90) Testes de mesa, testes de recuperao em local alternativo e ensaio geral so tcnicas que podem ser empregadas na gesto da continuidade de negcios, conforme prescrio na norma ABNT NBR ISO/IEC 17799:2005.
18/75
QUESTES COMENTADAS *** GERAIS *** 1. (CESPE/2010/AGU/Agente Administrativo) A informao um ativo que, como qualquer outro ativo importante para os negcios, tem valor para a organizao e, por isso, deve ser adequadamente protegida. Comentrios Atualmente, a informao um bem valioso para qualquer organizao. Como tal, deve ser protegido. GABARITO: C. 2. (CESPE/2009/ANATEL/TCNICO ADMINISTRATIVO) Com o desenvolvimento da Internet e a migrao de um grande nmero de sistemas especializados de informao de grandes organizaes para sistemas de propsito geral acessveis universalmente, surgiu a preocupao com a segurana das informaes no ambiente da Internet. Acerca da segurana e da tecnologia da informao, julgue o item seguinte. A disponibilidade e a integridade so itens que caracterizam a segurana da informao. A primeira representa a garantia de que usurios autorizados tenham acesso a informaes e ativos associados quando necessrio, e a segunda corresponde garantia de que sistemas de informaes sejam acessveis apenas queles autorizados a acess-los. Comentrios O trecho que define a disponibilidade como "a garantia de que usurios autorizados tenham acesso a informaes e ativos associados quando necessrio" est correto, no entanto, a afirmativa de que a integridade "a garantia de que sistemas de informaes sejam acessveis apenas queles autorizados a acess-los" falsa (nesse caso o termo correto seria confidencialidade!). A disponibilidade garante que a informao e todos os canais de acesso ela estejam sempre disponveis quando um usurio autorizado quiser acess-la. Como dica para memorizao, temos que a confidencialidade o segredo e a disponibilidade poder acessar o segredo quando se desejar!!. J a integridade garante que a informao deve ser mantida na condio em que foi liberada pelo seu proprietrio, garantindo a sua proteo contra mudanas intencionais, indevidas ou acidentais a informao. Em outras palavras, a informao deve manter todas as caractersticas originais durante sua existncia. Estas caractersticas originais so as estabelecidas pelo proprietrio da informao quando da criao ou manuteno da informao (se a informao for alterada por quem possui tal direito, isso no invalida a integridade).
GABARITO: E. 3. (CESPE/2009/MMA) A responsabilidade pela segurana de um ambiente eletrnico dos usurios. Para impedir a invaso das mquinas por vrus e demais ameaas segurana, basta que os usurios no divulguem as suas senhas para terceiros. Comentrios Tanto a empresa que cria e hospeda o ambiente eletrnico, quanto os usurios desse ambiente, devem entender a importncia da segurana, atuando como guardies da rede. No divulgar senhas um quesito muito importante, mas existem outros mecanismos de invaso como exploradores de portas abertas (pontos de acesso), programas que tentam descobrir senhas por tentativa e erro (fora bruta), programas que analisam os dados que passam pela rede, etc. Faz parte dos procedimentos de segurana, ainda, a ateno quanto ao uso de programas que possam conter vrus e outros softwares maliciosos. No adiante, por exemplo, nunca divulgar a sua senha e abrir um programa infectado. GABARITO: E. 4. (CESPE/2009/TRE-MG) assinale a opo correta. Considerando a segurana da informao,
A. A instalao de antivrus garante a qualidade da segurana no computador. B. Toda intranet consiste em um ambiente totalmente seguro porque esse tipo de rede restrito ao ambiente interno da empresa que implantou a rede. C. O upload dos arquivos de atualizao suficiente para a atualizao do antivrus pela Internet. D. O upload das assinaturas dos vrus detectados elimina-os. E. Os antivrus atuais permitem a atualizao de assinaturas de vrus de forma automtica, sempre que o computador for conectado Internet. Comentrios Item A. O antivrus uma das medidas que podem ser teis para melhorar a segurana do seu equipamento, desde que esteja atualizado. O item A ERRADO. Item B. No podemos afirmar que a intranet de uma empresa totalmente segura, depende de como foi implementada. Item ERRADO. Item C. O upload implica na transferncia de arquivo do seu computador para um computador remoto na rede, o que no o caso da questo. Item ERRADO.
Item D. Assinatura de vrus ou (virus signature) refere-se s sequncias binrias (ou cdigos de mquina) que formam a maioria dos vrus (com exceo dos vrus polimrficos que alteram o seu estado a cada infeco). Essa sequncia padro permite que um software antivrus o detecte. Novos vrus contm novas assinaturas, fato que explica, porque o usurio deve manter a lista de vrus de seus sistemas antivrus sempre atualizada. Com relao questo, no ser feito upload de assinaturas de vrus para a mquina do usurio. Um programa antivrus capaz de detectar a presena de malware (vrus, vermes, cavalos de troia, etc) em e-mails ou arquivos do computador. Esse utilitrio conta, muitas vezes, com a vacina capaz de matar o malware e deixar o arquivo infectado sem a ameaa. Alguns fornecedores de programas antivrus distribuem atualizaes regulares do seu produto. Muitos programas antivrus tm um recurso de atualizao automtica. Quando o programa antivrus atualizado, informaes sobre novos vrus so adicionadas a uma lista de vrus a serem verificados. Quando no possui a vacina, ele, pelo menos, tem como detectar o vrus, informando ao usurio acerca do perigo que est iminente. Item ERRADO. Item E. Muitos programas antivrus tm um recurso de atualizao automtica. Item CERTO. Existem dois modos de transferncia de arquivo: upload e download. O upload o termo utilizado para designar a transferncia de um dado de um computador local para um equipamento remoto. O download o contrrio, termo utilizado para designar a transferncia de um dado de um equipamento remoto para o seu computador. Exemplo: Se enviarmos uma informao (ou dados) para o servidor de FTP - Estamos realizando um upload; Ao baixar um arquivo de um servidor - estamos fazendo download. GABARITO: E. 5. (CESPE/2010/UERN/Agente Tcnico Administrativo) Uma das formas de se garantir a segurana das informaes de um website no coloc-lo em rede, o que elimina a possibilidade de acesso por pessoas intrusas. Comentrios Colocar um site fora da rede significa que ningum ter acesso via rede ao site, nem mesmo as pessoas autorizadas. Alm disso, no se esquea dos acessos feitos localmente, direto na mquina em que o site est hospedado! GABARITO: E.
21/75
6. (CESPE/2010/TRE-MT/Analista Judicirio/Tecnologia da Informao/Adaptada) A confidencialidade tem a ver com salvaguardar a exatido e a inteireza das informaes e mtodos de processamento. Para tanto, necessrio que os processos de gesto de riscos identifiquem, controlem, minimizem ou eliminem os riscos de segurana que podem afetar sistemas de informaes, a um custo aceitvel. Comentrios Primeiro, a confidencialidade a garantia de segredo (sigilo). A afirmao fala da integridade. Outra coisa que no se fala em ELIMINAR riscos e sim minimiz-los. GABARITO: E. 7. (CESPE/2010/TRE-MT/Analista Judicirio/Tecnologia da Informao) A segurana fsica objetiva impedir acesso no autorizado, danos ou interferncia s instalaes fsicas e s informaes da organizao. A proteo fornecida deve ser compatvel com os riscos identificados, assegurando a preservao da confidencialidade da informao. Comentrios No esquecer que alm da proteo lgica, deve existir a proteo fsica. De nada adianta um sistema protegido dos acessos no autorizados via rede se permitido o acesso fsico mquina. Um atacante pode incendiar, quebrar, estragar, roubar e at invadir um sistema quando o mesmo no possui controles fsicos. GABARITO: C. 8. (CESPE/2010/TRE-MT/Tcnico Judicirio/Programao de Sistemas) Disponibilidade a garantia de que o acesso informao seja obtido apenas por pessoas autorizadas. Comentrios A disponibilidade garante que a informao estar l quando for preciso acessla. Obviamente, o acesso s ser permitido a quem de direito. O texto da questo afirma que a disponibilidade a garantia de que o acesso informao seja obtido apenas por pessoas autorizadas, o que a garantia da confidencialidade. GABARITO: E. 9. (CESPE/2010/EMBASA/Analista de Saneamento - Analista de TI rea: Desenvolvimento) O princpio da autenticao em segurana diz que um usurio ou processo deve ser corretamente identificado. Alm disso, todo processo ou usurio autntico est automaticamente autorizado para uso dos sistemas.
Comentrios por meio da autenticao que se confirma a identidade do usurio ou processo (programa) que presta ou acessa as informaes. No entanto, afirmar que TODO processo ou usurio autntico est automaticamente autorizado falsa, j que essa autorizao depender do nvel de acesso que ele possui. Em linhas gerais, autenticao o processo de provar que voc quem diz ser. Autorizao o processo de determinar o que permitido que voc faa depois que voc foi autenticado!! GABARITO: E. 10. (CESPE/2010/TRE.BA/ANALISTA/Q.28) Confidencialidade, disponibilidade e integridade da informao so princpios bsicos que orientam a definio de polticas de uso dos ambientes computacionais. Esses princpios so aplicados exclusivamente s tecnologias de informao, pois no podem ser seguidos por seres humanos. Comentrios Os seres humanos tambm so considerados como ativos em segurana da informao e merecem tambm uma ateno especial por parte das organizaes. Alis, os usurios de uma organizao so considerados at como o elo mais fraco da segurana, e so os mais vulnerveis. Portanto, eles tm que seguir as regras predefinidas pela poltica de segurana da organizao, e esto sujeitos a punies para os casos de descumprimento das mesmas! No adianta investir recursos financeiros somente em tecnologias e esquecer-se de treinar os usurios da organizao, pois erros comuns (como o uso de um pendrive contaminado por vrus na rede) poderiam vir a comprometer o ambiente que se quer proteger! GABARITO: E. (CESPE/2010/Escrivo de Polcia Federal)
23/75
Considerando a figura acima, que apresenta uma janela com algumas informaes da central de segurana do Windows de um sistema computacional (host) de uso pessoal ou corporativo, julgue os prximos itens, a respeito de segurana da informao. 11. (CESPE/2010/Escrivo de Polcia Federal) A atualizao automtica disponibilizada na janela exibida acima uma funo que est mais relacionada distribuio de novas funes de segurana para o sistema operacional do que distribuio de novos patches (remendos) que corrijam as vulnerabilidades de cdigo presentes no sistema operacional. Comentrios A atualizao automtica disponibilizada na janela est relacionada distribuio de novos patches (remendos/correes de segurana) que corrijam as vulnerabilidades (fragilidades) de cdigo presentes no sistema operacional. GABARITO: E. 12. (CESPE/2010/Escrivo de Polcia Federal) Na figura acima, o firewall assinalado como ativado, em sua configurao padro, possui um conjunto maior de regras para bloqueio de conexes originadas de fora do computador do que para as conexes originadas de dentro do computador. Comentrios Cumpre a funo de controlar os acessos. Uma vez estabelecidas suas regras, passam a gerenciar tudo o que deve entrar e sair da rede corporativa, tendo um conjunto maior de regras para bloqueio de conexes oriundas de fora do computador.
GABARITO: C. 13. (CESPE/2010/Escrivo de Polcia Federal) A configurao da proteo contra malwares exposta na figura indica que existe no host uma base de assinaturas de vrus instalada na mquina. Comentrios A figura destaca que no existe antivrus instalado no equipamento, e tambm mostra que a proteo contra spyware e outro malware encontra-se desatualizada. No possvel destacar pela figura que existe no host (equipamento) uma base de assinaturas de vrus. GABARITO: E. 14. (CESPE/2010/MPU/Tcnico do Ministrio Pblico da Unio/Administrativo) De acordo com o princpio da disponibilidade, a informao s pode estar disponvel para os usurios aos quais ela destinada, ou seja, no pode haver acesso ou alterao dos dados por parte de outros usurios que no sejam os destinatrios da informao. Comentrios Item Errado. A disponibilidade garante o acesso, quem garante que somente os destinatrios podem acessar a informao a Confidencialidade (segredo) e a garantia de que a informao s foi alterada por quem de direito tarefa da Integridade. claro que a Confidencialidade faz parte do processo da Integridade, pois s quem tem acesso pode ter o direito de modificar. Ao estudarmos o tema de Segurana da Informao, deparamo-nos com alguns princpios norteadores, segundo os padres internacionais. Dentre estes princpios, podemos destacar a trade CID Confidencialidade, Integridade e Disponibilidade. Estes trs atributos orientam a anlise, o planejamento e a implementao da segurana da informao nas organizaes. Confidencialidade: preocupa-se com quem acessa as informaes. Dizemos que existe confidencialidade quando somente as pessoas autorizadas possuem acesso informao. Quando contamos um segredo a algum - fazemos uma confidncia - estamos dando acesso informao. Mas no queremos que outras pessoas tenham acesso ao segredo, exceto pessoa a quem estamos contando. Em outras palavras, a confidencialidade protege as informaes de uma eventual revelao a algum no autorizado. Observe que esta proteo no se aplica apenas informao em sua forma digital; aplica-se a quaisquer mdias onde a informao esteja armazenada: CD, DVD, mdia impressa, entre outros. Alm disso, nem mesmo uma pequena parte da informao poder ser violada. A informao deve ser completamente protegida contra acessos indevidos. Se pensarmos, como exemplo, na Internet, onde os dados trafegam por vrios caminhos e passam por diversas redes de computadores at chegarem ao destino, a confidencialidade deve garantir que os dados no sero vistos nem copiados por agentes no autorizados durante todo o percurso que realizarem na grande rede mundial.
Integridade: a informao deve manter todas as caractersticas originais durante sua existncia. Estas caractersticas originais so as estabelecidas pelo proprietrio da informao quando da criao ou manuteno da informao (se a informao for alterada por quem possui tal direito, isso no invalida a integridade). Existem vrios exemplos de ataques feitos integridade da informao: alterao em mensagens que trafegam na rede; modificao de sites da Internet; substituio de textos impressos ou em mdia digital etc. Em resumo, a Integridade o princpio da proteo da informao contra a criao ou modificao no autorizada. A violao da integridade pode estar relacionada com erro humano, por atos dolosos ou no. Esta violao pode tornar a informao sem valor ou, at, perigosa, especialmente se a violao for uma alterao da informao, o que pode levar a decises equivocadas e causadoras de prejuzos. Disponibilidade: garante que a informao esteja sempre disponvel quando um usurio autorizado quiser acessar. A informao est l quando for necessrio recuper-la. Claro que no consiste em uma violao da disponibilidade as interrupes dos servios de acesso de forma autorizada ou programada, como nos casos de manuteno preventiva do sistema. A disponibilidade aplica-se informao e aos canais de acesso a ela. Veja o quadro abaixo. Ele contm um resumo com os trs princpios bsicos em segurana da informao. Segurana da Informao Princpio bsico Conceito Propriedade de que a informao no esteja disponvel ou revelada a indivduos, entidades ou processos no autorizados Propriedade de salvaguarda da exatido e completeza de ativos Objetivo
Confidencialidade
Proteger contra o acesso no autorizado, mesmo para dados em trnsito.
Integridade
Proteger informao contra modificao sem permisso; garantir a fidedignidade das informaes. Proteger contra indisponibilidade dos servios (ou degradao); garantir aos usurios com autorizao, o acesso aos dados.
Disponibilidade
Propriedade de estar acessvel e utilizvel sob demanda por uma entidade autorizada
26/75
GABARITO: E.
*** MALWARES / ATAQUES *** 15. (CESPE/2003/INSS/Tcnico do Seguro Social) O worm um tipo de vrus de computador que utiliza mensagens de e-mail para disseminar pela Internet arquivos infectados. Comentrios Esta questo foi anulada pelo CESPE. A banca no justificou publicamente as razes que a levaram a anular a questo, porm, o GABARITO oficial apontava a questo como CERTA e, sabemos, a afirmao no est correta. Os worms (vermes) so programas parecidos com vrus, mas que na verdade no devem ser assim classificados. Eles so, sim, capazes de se propagarem automaticamente por meio de redes de computadores, enviando cpias de si mesmo de computador para computador. No entanto, observe, os worms possuem uma caracterstica dos vrus: eles geram cpias de si mesmo, mas no infectam outros arquivos! Ou seja, eles mesmos so os arquivos copiados. Alm disso, os worms geralmente utilizam as redes de comunicao para infectar outros computadores (via e-mails, Web, FTP, redes das empresas etc). Diferentemente do vrus, o worm no embute cpias de si mesmo em outros programas ou arquivos e no necessita ser explicitamente executado para se propagar. Sua propagao se d atravs da explorao de vulnerabilidades existentes ou falhas na configurao de softwares instalados em computadores. Worms so notadamente responsveis por consumir muitos recursos. Degradam sensivelmente o desempenho de redes e podem lotar o disco rgido de computadores, devido grande quantidade de cpias de si mesmo que costumam propagar. E notem que eles podem gerar grandes transtornos para aqueles que esto recebendo tais cpias. Alm do mais, so difceis de serem detectados e, muitas vezes, os worms realizam uma srie de atividades, incluindo sua propagao, sem que o usurio tenha conhecimento. Embora alguns programas antivrus permitam detectar a presena de worms e at mesmo evitar que eles se propaguem, isto nem sempre possvel. Portanto, o worm certamente no um vrus de computador. bem provvel que a anulao se deve pelo cabealho da questo, que avisa que a afirmao refere-se ao Internet Explorer 5, quando, na verdade, tema de segurana da informao. Pode ser, ainda, que este tema no estivesse pacificado em 2003. Mas, se encontrar a afirmao hoje, marque ERRADO! GABARITO: A.
27/75
16. (CESPE/2003/INSS/Tcnico do Seguro Social) O spam, uma das ltimas novidades em ataques a computadores, um vrus de computador que implementa a tcnica denominada DDoS (distributed denial of service), que visa travar ou deixar momentaneamente inoperante um servio de rede, servidor ou equipamento ligado em rede. Comentrios Afirmativa errada. O Spam no um vrus de computador, nem um ataque do tipo DDoS (distributed denial of service). O Spam um tipo de mensagem recebida pelo usurio sem que ele tenha solicitado. Esses e-mails so enviados para milhares de usurios simultaneamente e podem provocar inconvenientes como: esgotamento do espao na caixa postal do usurio, perda de tempo ao abrir mensagens que no so de seu interesse, o contedo do spam pode ser ofensivo e imprprio, dentre outros. Os DDoS, por sua vez, so os ataques coordenados. Em dispositivos com grande capacidade de processamento, normalmente, necessria uma enorme quantidade de requisies para que o ataque seja eficaz. Para isso, o atacante faz o uso de uma botnet (rede de computadores zumbis sob comando do atacante) para bombardear o servidor com requisies, fazendo com que o ataque seja feito de forma distribuda (Distributed Denial of Service DDoS). No DDoS ataque de negao de servio distribudo um conjunto de computadores utilizado para tirar de operao um ou mais servios ou computadores conectados Internet. bom lembrar que o DDoS um tipo de ataque chamado de DoS (denial of service). Estes ataques de negao de servio (denial of service - DoS) consistem em impedir o funcionamento de uma mquina ou de um servio especfico. No caso de ataques a redes, geralmente ocorre que os usurios legtimos de uma rede no consigam mais acessar seus recursos. O DoS acontece quando um atacante envia vrios pacotes ou requisies de servio de uma vez, com objetivo de sobrecarregar um servidor e, como consequncia, impedir o fornecimento de um servio para os demais usurios, causando prejuzos. O DDoS um DoS que usa vrios computadores (normalmente computadores (zumbis) para coordenar um ataque DoS e, por isso, o ataque chamado de distribudo. GABARITO: E. 17. (CESPE/2011/CBMDF/Praa Bombeiro Militar Operacional) Os antivrus devem ser atualizados constantemente para que no percam sua eficincia em razo do surgimento de novos vrus de computador. Comentrios Todo cuidado pouco para que voc no seja a prxima vtima, quando se fala de vrus e outros cdigos maliciosos (malware)!! Instale um bom programa
antivrus em seu computador e o mantenha sempre atualizado, de preferncia diariamente, para que no perca sua eficincia em virtude do aparecimento de novas ameaas. Nesse processo de atualizao o software ir baixar as novas definies de vrus (que detectam os vrus conhecidos) o servio de definio de vrus consiste em arquivos que o programa antivrus usa para reconhecer os vrus e interromper suas atividades. GABARITO: C. 18. (CESPE/2010/UERN/Agente Tcnico Administrativo) O uso de um programa anti-spam garante que software invasor ou usurio malintencionado no acesse uma mquina conectada a uma rede. Comentrios O termo Spam utilizado para designar as mensagens de correio eletrnico no autorizadas ou no solicitadas, enviadas em massa, a usurios desconhecidos. A utilizao de ferramentas de combate ao spam (intituladas como anti-spam) ir filtrar as mensagens que chegam at nossa caixa postal, para evitar o recebimento de mensagens que se enquadrarem na categoria de spams. A ao mencionada no enunciado da questo no ser garantida por esse tipo de ferramenta. Como complemento, cabe destacar que Spammer aquele que usa endereos de destinatrios desconhecidos para o envio de mensagens no solicitadas em grande nmero. GABARITO: E. 19. (CESPE/2010/SEDU-ES/AGENTE DE SUPORTE EDUCACIONAL) Vrus um programa que pode se reproduzir anexando seu cdigo a um outro programa, da mesma forma que os vrus biolgicos se reproduzem. Comentrios Vrus: so pequenos cdigos de programao maliciosos que se agregam a arquivos e so transmitidos com eles. Quando o arquivo aberto na memria RAM, o vrus tambm , e, a partir da se propaga infectando, isto , inserindo cpias de si mesmo e se tornando parte de outros programas e arquivos de um computador. O vrus depende da execuo do programa ou arquivo hospedeiro para que possa se tornar ativo e dar continuidade ao processo de infeco. Alguns vrus so inofensivos, outros, porm, podem danificar um sistema operacional e os programas de um computador. GABARITO: C. 20. (CESPE/2010/SEDU-ES/AGENTE DE SUPORTE EDUCACIONAL) Spywares so programas que agem na rede, checando pacotes de dados, na
29/75
tentativa de encontrar informaes confidenciais tais como senhas de acesso e nomes de usurios. Comentrios Spyware um programa que tem por finalidade monitorar as atividades de um sistema e enviar as informaes coletadas para terceiros. GABARITO: C. 21. (CESPE/2010/SEDU-ES/AGENTE DE SUPORTE EDUCACIONAL/Q. 44) Cavalos-de-troia, adwares e vermes so exemplos de pragas virtuais. Comentrios Todos os trs programas mencionados so exemplos de pragas virtuais, conforme visto a seguir: O cavalo-de-troia um programa no qual um cdigo malicioso ou prejudicial est contido dentro de uma programao ou dados aparentemente inofensivos de modo a poder obter o controle e causar danos. Adware (Advertising software) um software projetado para exibir anncios de propaganda em seu computador. Esses softwares podem ser maliciosos! Um adware malicioso pode abrir uma janela do navegador apontando para pginas de cassinos, vendas de remdios, pginas pornogrficas, etc. Worms: so programas parecidos com vrus, mas que na verdade so capazes de se propagarem automaticamente atravs de redes, enviando cpias de si mesmo de computador para computador (observe que os worms apenas se copiam, no infectam outros arquivos, eles mesmos so os arquivos!!).
GABARITO: C. 22. (CESPE/2011/TRE-ES/Tcnico Judicirio) Considerando a relevncia do comportamento dos usurios para a garantia da segurana da informao, julgue o item seguinte. A desativao de antivrus instalado em um computador pode comprometer a segurana da informao, visto que o computador, a partir dessa operao, pode ser acessado por usurios ou aplicaes no autorizados. Comentrios Errado. O antivrus no protege o computador do acesso por usurios ou aplicativos no autorizados, mas sim busca proteger contra softwares maliciosos conhecidos. O antivrus nem mesmo pode garantir que o sistema no ser infectado por uma praga virtual ainda desconhecida. Ele se utiliza de mecanismos para preveno, procurando detectar comportamentos suspeitos em sistemas, mas no possvel garantir 100% de eficcia.
GABARITO: E. 23. (CESPE/2010/MPU/Tcnico do Ministrio Pblico da Unio/Administrativo) Acerca de conceitos bsicos de segurana da informao, julgue o item seguinte. Cavalo de Troia exemplo de programa que atua na proteo a um computador invadido por hackers, por meio do fechamento de portas, impedindo o controle remoto do sistema. Comentrios Errado! O cavalo de troia, ao contrrio do que afirma a questo, um malware, um software malicioso. O cavalo de troia (trojan horse) um programa, normalmente recebido como um presente (por exemplo, carto virtual, lbum de fotos, protetor de tela, jogo, etc.), que, quando executado (com a sua autorizao!), alm de executar funes para as quais foi aparentemente projetado, tambm executa outras funes maliciosas e sem o consentimento do usurio, como por exemplo: furto de senhas e outras informaes sensveis, como nmeros de cartes de crdito; incluso de backdoors, para permitir que um atacante tenha total controle sobre o computador; alterao ou destruio de arquivos; instalao de keyloggers (programa capaz de capturar e armazenar as teclas digitadas pelo usurio no teclado de um computador) ou screenloggers (uma variante do keylogger que faz a gravao da tela do usurio, alm do teclado).
O cavalo de troia distingue-se de um vrus ou de um worm por no infectar outros arquivos, nem propagar cpias de si mesmo automaticamente. Normalmente um cavalo de troia consiste em um nico arquivo que necessita ser explicitamente executado. GABARITO: E. 24. (CESPE/2003/INSS/Tcnico do Seguro Social) O worm um tipo de vrus de computador que utiliza mensagens de e-mail para disseminar pela Internet arquivos infectados. Comentrios Esta questo foi anulada pelo CESPE. A banca no justificou publicamente as razes que a levaram a anular a questo, porm, o GABARITO oficial apontava a questo como CERTA e, sabemos, a afirmao no est correta. Os worms (vermes) so programas parecidos com vrus, mas que na verdade no devem ser assim classificados. Eles so, sim, capazes de se propagarem automaticamente por meio de redes de computadores, enviando cpias de si mesmo de computador para computador. No entanto, observe, os worms
possuem uma caracterstica dos vrus: eles geram cpias de si mesmo, mas no infectam outros arquivos! Ou seja, eles mesmos so os arquivos copiados. Alm disso, os worms geralmente utilizam as redes de comunicao para infectar outros computadores (via e-mails, Web, FTP, redes das empresas etc). Diferentemente do vrus, o worm no embute cpias de si mesmo em outros programas ou arquivos e no necessita ser explicitamente executado para se propagar. Sua propagao se d atravs da explorao de vulnerabilidades existentes ou falhas na configurao de softwares instalados em computadores. Worms so notadamente responsveis por consumir muitos recursos. Degradam sensivelmente o desempenho de redes e podem lotar o disco rgido de computadores, devido grande quantidade de cpias de si mesmo que costumam propagar. E notem que eles podem gerar grandes transtornos para aqueles que esto recebendo tais cpias. Alm do mais, so difceis de serem detectados e, muitas vezes, os worms realizam uma srie de atividades, incluindo sua propagao, sem que o usurio tenha conhecimento. Embora alguns programas antivrus permitam detectar a presena de worms e at mesmo evitar que eles se propaguem, isto nem sempre possvel. Portanto, o worm certamente no um vrus de computador. bem provvel que a anulao se deve pelo cabealho da questo, que avisa que a afirmao refere-se ao Internet Explorer 5, quando, na verdade, tema de segurana da informao. Pode ser, ainda, que este tema no estivesse pacificado em 2003. Mas, se encontrar a afirmao hoje, marque ERRADO! GABARITO: A. 25. (CESPE/2008/STF/Tcnico Judicirio Administrativa) Acerca de conceitos e tecnologias relacionados Internet e a intranet, julgue o item subsequente. Arquivos que armazenam documentos gerados a partir do Microsoft Word de verso superior ou igual 2003 so imunes a infeco por vrus de macro, devido incapacidade de esse tipo de vrus infectar arquivos com extenso .doc obtidos por meio do referido programa. Comentrios Primeiro, vamos nivelar alguns pontos sobre vrus de macro. Uma macro um conjunto de comandos que so armazenados em alguns aplicativos e utilizados para automatizar determinadas tarefas repetitivas em aplicativos como editores de texto e planilhas. Um vrus de macro um programa malicioso escrito de forma a explorar esta facilidade de automatizao e parte de um arquivo que normalmente manipulado por algum aplicativo que utiliza macros. Um vrus um programa de computador e pode ser escrito em forma de macro tambm. Este tipo de vrus pode infectar os documentos do Word (DOC).
32/75
Para que o vrus possa ser executado, o arquivo que o contm precisa ser aberto. A partir da, o vrus vai executar uma srie de comandos automaticamente e infectar outros arquivos no computador. Agora podemos marcar ERRADO nesta questo, pois os vrus de macro podem infectar os documentos com extenso ".doc". GABARITO: E. 26. (CESPE/2008/PRF-POLICIAL RODOVIRIO FEDERAL) Com relao a vrus de computador, phishing, pharming e spam, julgue os itens seguintes. I. Uma das vantagens de servios webmail em relao a aplicativos clientes de correio eletrnico tais como o Mozilla ThunderbirdTM 2 est no fato de que a infeco por vrus de computador a partir de arquivos anexados em mensagens de e-mail impossvel, j que esses arquivos so executados no ambiente do stio webmail e no no computador cliente do usurio. II. Phishing e pharming so pragas virtuais variantes dos denominados cavalos-de-troia, se diferenciando destes por precisarem de arquivos especficos para se replicar e contaminar um computador e se diferenciando, entre eles, pelo fato de que um atua em mensagens de e-mail trocadas por servios de webmail e o outro, no. III. O uso de firewall e de software antivrus a nica forma eficiente atualmente de se implementar os denominados filtros anti-spam. IV. Se o sistema de nomes de domnio (DNS) de uma rede de computadores for corrompido por meio de tcnica denominada DNS cache poisoning, fazendo que esse sistema interprete incorretamente a URL (uniform resource locator) de determinado stio, esse sistema pode estar sendo vtima de pharming. V. Quando enviado na forma de correio eletrnico para uma quantidade considervel de destinatrios, um hoax pode ser considerado um tipo de spam, em que o spammer cria e distribui histrias falsas, algumas delas denominadas lendas urbanas. A quantidade de itens certos igual a A 1. B 2. C 3. D 4. E 5. Comentrios Item I. Voc pode vir a ser contaminado por vrus a partir de qualquer tipo de servio utilizado para receber e-mails, ou seja, ao abrir arquivos anexos tanto dos Webmails quanto de programas clientes de correio eletrnico (como Mozilla
Thunderbird, Outlook Express, Outlook, etc). As mensagens de e-mail so um excelente veculo de propagao de vrus, sobretudo por meio dos arquivos anexos. Por isso, recomenda-se nunca baixar um arquivo tipo .exe (executveis) ou outros suspeitos. aconselhvel tambm nunca abrir e-mail desconhecido, exceto se for de um stio confivel, no sem antes observar os procedimentos de segurana. Logo, o item I ERRADO. Item II. O Phishing (ou Phishing scam) e o Pharming (ou DNS Poisoining) no so pragas virtuais. Phishing e Pharming so dois tipos de golpes na Internet, e, portanto, no so variaes de um cavalo de troia (trojan horse) que se trata de um programa aparentemente inofensivo que entra em seu computador na forma de carto virtual, lbum de fotos, protetor de tela, jogo, etc, e que, quando executado (com a sua autorizao!), parece lhe divertir, mas, por trs abre portas de comunicao do seu computador para que ele possa ser invadido. Normalmente consiste em um nico arquivo que necessita ser explicitamente executado. Para evitar a invaso, fechando as portas que o cavalo de troia abre, necessrio ter, em seu sistema, um programa chamado Firewall. O item II ERRADO. Item III. Para se proteger dos spams temos que instalar um anti-spam, uma nova medida de segurana que pode ser implementada independentemente do antivrus e do firewall. O uso de um firewall (filtro que controla as comunicaes que passam de uma rede para outra e, em funo do resultado permite ou bloqueia seu passo), software antivrus e filtros anti-spam so mecanismos de segurana importantes. O item III ERRADO. Item IV. O DNS (Domain Name System Sistema de Nome de Domnio) utilizado para traduzir endereos de domnios da Internet, como www.professorlenin.com, em endereos IP, como 123.123.123.123 (fictcio). Imagine se tivssemos que decorar todos os IPs dos endereos da Internet que normalmente visitamos!! O Pharming envolve algum tipo de redirecionamento da vtima para sites fraudulentos, atravs de alteraes nos servios de resoluo de nomes (DNS). Complementando, a tcnica de infectar o DNS para que ele lhe direcione para um site fantasma que idntico ao original. O item IV CERTO. Item V. Os hoaxes (boatos) so e-mails que possuem contedos alarmantes ou falsos e que, geralmente, tm como remetente ou apontam como autora da mensagem alguma instituio, empresa importante ou rgo governamental. Atravs de uma leitura minuciosa deste tipo de e-mail, normalmente, possvel identificar em seu contedo mensagens absurdas e muitas vezes sem sentido. Normalmente, os boatos se propagam pela boa vontade e solidariedade de quem os recebe. Isto ocorre, muitas vezes, porque aqueles que o recebem: confiam no remetente da mensagem; no verificam a procedncia da mensagem; no checam a veracidade do contedo da mensagem. Spam o envio em massa de mensagens de correio eletrnico (e-mails) NO autorizadas pelo destinatrio.
Portanto, o hoax pode ser considerado um spam, quando for enviado em massa para os destinatrios, de forma no-autorizada. O item V CERTO. GABARITO: B. 27. (CESPE - 2010 - BASA - Tcnico Cientfico - Servio Social) Port scanner um programa que, se instalado em um computador, permite que um invasor volte a acess-lo quando quiser para invadi-lo. Geralmente instalado a partir de programas do tipo cavalo-de-troia ou at por e-mail. Comentrios O port scanner um programa que faz uma varredura nas portas de um computador para identificar possveis brechas. GABARITO: E. 28. (CESPE/2010/MPU/Tcnico do Ministrio Pblico da Unio) O utilitrio Windows Defender propicia, quando instalado em computadores que utilizam o sistema operacional Windows XP ou Windows 7, proteo contra ataques de vrus. Comentrios A questo est errada, o Windows Defender no um antivrus, ele detecta e remove apenas spywares, trojans e adwares, mas qual a diferena entre eles? Vrus so programas que se autorreplicam, alojam-se em outros programas ou arquivos, realizam aes no solicitadas, indesejadas e podem at destruir arquivos do sistema e corromper dados causando danos. Cavalos de Tria (Trojan Horse) o nome Trojan Horse uma aluso histria do antigo cavalo de tria, o presente de grego. Conhece? Pois , dentro do presente um grande cavalo de madeira estavam escondidos os soldados inimigos. Da, j imagina no que deu, n? No caso dos computadores, so programas maliciosos. Os Cavalos de Tria so programas que parecem servir a algum propsito til, porm servem para permitir que um atacante tenha controle sobre o computador por meio de recursos como backdoors. O Cavalo de Tria no um vrus, pois no se duplica e no se dissemina como os vrus. Na maioria das vezes, ele ir instalar programas para possibilitar que um invasor tenha controle total sobre um computador. Adware (Advertising software) um tipo de software especificamente projetado para apresentar propagandas, seja por meio de um browser, seja por meio de algum outro programa instalado em um computador. Em muitos casos, os adwares tm sido incorporados a softwares e servios, constituindo uma forma legtima de patrocnio ou retorno financeiro para aqueles que desenvolvem software livre ou prestam servios gratuitos. Um exemplo do uso legtimo de adwares pode ser observado no programa de troca instantnea de mensagens MSN Messenger.
35/75
Spyware, por sua vez, o termo utilizado para se referir a uma grande categoria de software que tem o objetivo de monitorar atividades de um sistema e enviar as informaes coletadas para terceiros. Existem adwares que tambm so considerados um tipo de spyware, pois so projetados para monitorar os hbitos do usurio durante a navegao na Internet, direcionando as propagandas que sero apresentadas. Os spywares, assim como os adwares, podem ser utilizados de forma legtima, mas, na maioria das vezes, so utilizados de forma dissimulada, no autorizada e maliciosa. GABARITO: E.
29. (CESPE/2009-04/MMA) Antivrus, worms, spywares e crackers so programas que ajudam a identificar e combater ataques a computadores que no esto protegidos por firewalls. Comentrios Os antivrus so programas de proteo contra vrus de computador bastante eficazes, protegendo o computador contra vrus, cavalos de troia e uma ampla gama de softwares classificados como malware. Como exemplos cita-se McAfee Security Center Antivrus, Panda Antivrus, Norton Antivrus, Avira Antivir Personal, AVG etc. J os worms e spywares so programas classificados como malware, tendo-se em vista que executam aes mal-intencionadas em um computador!! Worms: so programas parecidos com vrus, mas que na verdade so capazes de se propagarem automaticamente atravs de redes, enviando cpias de si mesmo de computador para computador (observe que os worms apenas se copiam, no infectam outros arquivos, eles mesmos so os arquivos!!). Alm disso, geralmente utilizam as redes de comunicao para
www.estrategiaconcursos.com.br 36/75
infectar outros computadores (via e-mails, Web, FTP, redes das empresas etc). Diferentemente do vrus, o worm no embute cpias de si mesmo em outros programas ou arquivos e no necessita ser explicitamente executado para se propagar. Sua propagao se d atravs da explorao de vulnerabilidades existentes ou falhas na configurao de softwares instalados em computadores. Spyware: programa que tem por finalidade monitorar as atividades de um sistema e enviar as informaes coletadas para terceiros.
Os Crackers so indivduos dotados de sabedoria e habilidade para desenvolver ou alterar sistemas, realizar ataques a sistemas de computador, programar vrus, roubar dados bancrios, informaes, entre outras aes maliciosas. GABARITO: E. 30. (CESPE/2010/UERN/TCNICO DE NVEL SUPERIOR) Vrus, worms e cavalos de troia so exemplos de software mal-intencionados que tm o objetivo de, deliberadamente, prejudicar o funcionamento do computador. O firewall um tipo de malware que ajuda a proteger o computador contra cavalos de troia. Comentrios Os vrus, worms e cavalos de troia so exemplos de software mal-intencionados que tm o objetivo de, deliberadamente, prejudicar o funcionamento do computador, e, consequentemente, o usurio!! O cavalo de troia, por exemplo, "parece" ser inofensivo, quando na verdade no !! um presente de grego (rs)!! Fica instalado no seu computador abrindo portas para que a mquina seja acessada remotamente, pode funcionar como um keylogger ao capturar as informaes digitadas no computador, etc, portanto, a primeira parte da assertiva est correta. A assertiva tornou-se falsa ao afirmar que o firewall um tipo de malware, um absurdo! O malware (malicious software) um software destinado a se infiltrar em um sistema de computador de forma ilcita, com o intuito de causar algum dano ou roubo de informaes (confidenciais ou no), e no esse o objetivo do firewall. GABARITO: E. *** FIREWALL / VPN*** 31. (CESPE - 2010 - BASA - Tcnico Cientfico - Administrao) Uma rede do tipo VPN (virtual private network) fundamental para evitar que vrus ou programas maliciosos entrem nos computadores de determinada empresa, j que esse tipo de rede configurado de modo a bloquear qualquer arquivo que no seja reconhecido pelo firewall nela instalado.
Comentrios A VPN busca transmitidos. GABARITO: E. 32. (CESPE/2010/MPU/Tcnico do Ministrio Pblico da Unio) Considere que a equipe de suporte tcnico de determinada empresa necessite fazer escolhas, configuraes e procedimentos concernentes a segurana da informao da rede de computadores dessa empresa. Nessa situao, julgue o item seguinte. Configurar o firewall da rede para bloquear os pacotes destinados a qualquer servidor de HTTP externo medida que impede que os funcionrios dessa empresa utilizem os computadores para acessar a Internet. Comentrios A implementao do firewall como filtro de pacotes feita nos roteadores da rede que usam uma tabela de filtragem para tomar deciso sobre o descarte ou no de pacotes. O firewall pode ser configurado para que a porta de origem 80 esteja bloqueada, impedindo a sada de pacotes destinados a qualquer servidor HTTP externo. Desta forma, FOROUZAN interpreta que a organizao pode impedir que seus funcionrios tenham acesso Internet. A idia, entretanto, pode ser colocada em um contexto mais amplo de outros servios da Internet (e-mails, compartilhamento de arquivos, programas de mensagens instantneas, etc). A interpretao mais ampla a mais correta, uma vez que o procedimento de filtragem dos pacotes apenas limitou o acesso Internet, mas no impediu o acesso. Referncia: FOROUZAN, Behrouz. Comunicao de dados e redes de computadores. Porto Alegre: Bookman, 2006 (p. 741) GABARITO: E. 33. (CESPE/2010/MPU/Tcnico do Ministrio Pblico da Unio) Considere que a equipe de suporte tcnico de determinada empresa necessite fazer escolhas, configuraes e procedimentos concernentes a segurana da informao da rede de computadores dessa empresa. Nessa situao, julgue o item seguinte. Considere que essa empresa tenha adotado um sistema de deteco de intrusos embasado em anomalias. Nessa situao, o sistema adotado cria um perfil de trfego a partir da operao normal do sistema sem depender de conhecimentos prvios de ataques j registrados. Comentrios IDS (Intrusion Detection Systems) so sistemas de deteco de intrusos, que tm por finalidade detectar atividades incorretas, maliciosas ou anmalas, em tempo real, permitindo que algumas aes sejam tomadas. Geram logs para casos de tentativas de ataques e para casos em que um ataque teve sucesso.
segurana
da
comunicao,
criptografando
os
dados
Mesmo sistemas com Firewall devem ter formas para deteco de intrusos. Assim como os firewalls, os IDSs tambm podem gerar falsos positivos (Uma situao em que o firewall ou IDS aponta uma atividade como sendo um ataque, quando na verdade no ).
Existem os mtodos de deteco e para cada um dos tipos de deteco, existem duas tcnicas bastante utilizadas para detectar intrusos: deteco de anomalias e deteco de assinaturas. A tcnica de deteco de anomalias foi bem descrita pela questo, basta agora conhecermos a tcnica de deteco de assinaturas que envolve a procura em trafego de rede de bytes ou sequncias de pacotes conhecidos como maliciosos. Uma vantagem chave desse mtodo que assinaturas so fceis de serem desenvolvidas e entendidas se sabida o comportamento da rede que se esta tentando identificar e se comparadas s deteces por anomalia, so muito mais eficientes, gerando um numero bem menor de alarmes falsos; GABARITO: C. 34. (CESPE/2011/TRE-ES/Tcnico Judicirio) Para se abrirem arquivos anexados a mensagens recebidas por correio eletrnico, sem correr o risco de contaminar o computador em uso, necessrio habilitar o firewall do Windows. Comentrios Item Errado. Ainda que o usurio habilite o firewall, este no protege o usurio no que se refere aos anexos das mensagens recebidas. Se o servio de mensagens est autorizado a passar pelo firewall, ento os anexos chegaro ao seu destino. Em poucas palavras, podemos dizer que o firewall um sistema para controlar o acesso s redes de computadores, e foi desenvolvido para evitar acessos no autorizados em uma rede local ou rede privada de uma corporao. A norma internacional sobre o tema (RFC 2828) define o termo firewall como sendo uma ligao entre redes de computadores que restringem o trfego de comunicao de dados entre a parte da rede que est dentro ou antes do firewall, protegendo-a assim das ameaas da rede de computadores que est fora ou depois do firewall. Esse mecanismo de proteo geralmente utilizado para proteger uma rede menor (como os computadores de uma empresa) de uma rede maior (como a Internet). O firewall funciona como sendo uma ligao entre redes de computadores que restringem o trfego de comunicao de dados entre a parte da rede que est dentro ou antes do firewall, protegendo -a assim das ameaas da rede de computadores que est fora ou depois do firewall. GABARITO: E.
39/75
35. (CESPE/2010/EMBASA/Analista de Saneamento) Um firewall em uma rede considerado uma defesa de permetro e consegue coibir todo tipo de invaso em redes de computadores. Comentrios O firewall, como o nome sugere (traduzindo = parede de fogo) uma barreira tecnolgica entre dois pontos de uma rede, onde normalmente o nico ponto de acesso entre a rede interna e a Internet. O firewall dever permitir somente a passagem de trfego autorizado. Alm disso, tem a funo de filtrar todo o trfego de rede que passa por ele, dizendo o que permitido e o que bloqueado ou rejeitado. Pode ser comparado com uma sequncia de perguntas e respostas. Por exemplo, o firewall faz uma pergunta ao pacote de rede, se a resposta for correta ele deixa passar o trfego ou encaminha a requisio a outro equipamento, se a resposta for errada ele no permite a passagem ou ento rejeita o pacote. O firewall no consegue coibir todos os tipos de invaso. Um firewall qualquer nunca vai proteger uma rede de seus usurios internos, independente da arquitetura, tipo, sistema operacional ou desenvolvedor, pois os usurios podem manipular os dados dentro das corporaes das formas mais variadas possveis, como exemplo, se utilizando de um pen drive, para roubar ou passar alguma informao para um terceiro ou at mesmo para uso prprio. Um firewall nunca ir proteger contra servios ou ameaas totalmente novas, ou seja, se hoje surgir um novo tipo de ataque spoofing, no necessariamente esse firewall vai proteger desse tipo de ataque, pois uma nova tcnica existente no mercado e at o final de sua implementao, no se tinha conhecimento sobre a mesma, o que acarreta na espera de uma nova verso que supra essa necessidade. Um firewall tambm no ir proteger contra vrus, pois os vrus so pacotes de dados como outros quaisquer. Para identificar um vrus necessria uma anlise mais criteriosa, que onde o antivrus atua. GABARITO: E. 36. (CESPE/2010/TRE-BA/Tcnico Judicirio/rea Administrativa) Uma das formas de bloquear o acesso a locais no autorizados e restringir acessos a uma rede de computadores por meio da instalao de firewall, o qual pode ser instalado na rede como um todo, ou apenas em servidores ou nas estaes de trabalho. Comentrios O Firewall uma das ferramentas da segurana da informao, que interage com os usurios de forma transparente, permitindo ou no o trfego da rede interna para a Internet, como da Internet para o acesso a qualquer servio que se encontre na rede interna da corporao e/ou instituio. Desta forma todo o trfego, tanto de entrada como de sada em uma rede, deve passar por este controlador que aplica de forma implcita algumas das polticas de segurana adotadas pela corporao. Esse recurso pode ser utilizado para a segurana
40/75
tanto de estaes de trabalho como de servidores ou de toda uma rede de comunicao de dados. GABARITO: C. 37. (CESPE/2010/TRE-BA/ANALISTA/Q.27) Firewall um recurso utilizado para a segurana tanto de estaes de trabalho como de servidores ou de toda uma rede de comunicao de dados. Esse recurso possibilita o bloqueio de acessos indevidos a partir de regras preestabelecidas. Comentrios Firewall um filtro que monitora o trfego das comunicaes que passam de uma rede para outra e, de acordo com regras preestabelecidas, permite ou bloqueia seu passo. De acordo com o CESPE, pode ser instalado na rede como um todo, ou apenas nos servidores, ou nas estaes de trabalho sem problemas. Vrios objetivos para a segurana de uma rede de computadores podem ser atingidos com a utilizao de firewalls. Dentre eles destacam-se: segurana: evitar que usurios externos, vindos da Internet, tenham acesso a recursos disponveis apenas aos funcionrios da empresa autorizados. Com o uso de firewalls de aplicao, pode-se definir que tipo de informao os usurios da Internet podero acessar (somente servidor de pginas e correio eletrnico, quando hospedados internamente na empresa); confidencialidade: pode ocorrer que empresas tenham informaes sigilosas veiculadas publicamente ou vendidas a concorrentes, como planos de ao, metas organizacionais, entre outros. A utilizao de sistemas de firewall de aplicao permite que esses riscos sejam minimizados; produtividade: comum os usurios de redes de uma corporao acessarem sites na Internet que sejam improdutivos como sites de pornografia, piadas, chat etc. O uso combinado de um firewall de aplicao e um firewall de rede pode evitar essa perda de produtividade; performance: o acesso Internet pode tornar-se lento em funo do uso inadequado dos recursos. Pode-se obter melhoria de velocidade de acesso a Internet mediante controle de quais sites podem ser visitados, quem pode visit-los e em que horrios sero permitidos. A opo de gerao de relatrios de acesso pode servir como recurso para anlise dos acessos.
GABARITO: C. 38. (CESPE/2010/UERN/TCNICO DE NVEL SUPERIOR-Adaptada) Firewall um sistema constitudo de software e hardware que verifica informaes oriundas da Internet ou de uma rede de computadores e que permite ou bloqueia a entrada dessas informaes, estabelecendo, dessa forma, um meio de proteger o computador de acesso indevido ou indesejado. Comentrios
O firewall pode ser formado por um conjunto complexo de equipamentos e softwares, ou somente baseado em software, o que j tornaria incorreta a questo, no entanto, a banca CESPE optou pela anulao da questo. A funo do firewall controlar o trfego entre duas ou mais redes, com o objetivo de fornecer segurana, prevenir ou reduzir ataques ou invases s bases de dados corporativas, a uma (ou algumas) das redes, que normalmente tm informaes e recursos que no devem estar disponveis aos usurios da(s) outra(s) rede(s). Complementando, no so todas as informaes oriundas da Internet ou de uma rede de computadores que sero bloqueadas, ele realiza a filtragem dos pacotes e, ento, bloqueia SOMENTE as transmisses NO PERMITIDAS! GABARITO: ANULADO. 39. (CESPE - 2010 - INCA - Assistente em Cincia e Tecnologia) VPN (virtual private network) uma rede virtual que pode compartilhar a infraestrutura fsica das redes pblicas de transferncia de dados, mas que possui protocolos de segurana e de controle de acesso mais restritos, como criptografia e uso de firewall, para restringir acessos no autorizados. Comentrios Este um bom conceito de VPN para ser lembrado. GABARITO: C.
*** BACKUP *** 40. (CESPE/2011/TRE-ES/Tcnico Judicirio) Em relao aos mecanismos de segurana da informao, julgue o item subsequente. A criao de backups no mesmo disco em que esto localizados os arquivos originais pode representar risco relacionado segurana da informao. Comentrios Claro que pode representar risco (Item correto). Pense comigo. A ideia do backup proteger os dados contra eventuais danos aos dados originais. Se forem perdidos por qualquer motivo, ento realizamos uma restaurao de backup e os dados retornam para a verso do backup. Mas se o local de armazenamento do backup o mesmo onde os dados a serem preservados esto, caso ocorra dano ao equipamento de armazenamento, ambos sero perdidos! Por isso as cpias de backup devem ser armazenadas em locais diferentes daqueles onde os dados originais esto e, at, guardados em prdios distintos (vai que um terremoto acaba com todo o prdio). Acha que demais? Pois
mesmo assim existem riscos. Lembra-se do World Trade Center? Pois , uma das empresas tinha escritrios em ambas as torres e o backup dos dados utilizados por um dos escritrios ficava guardado no outro por segurana... GABARITO: C. 41. (CESPE/2006/SEFAZ-AC/Auditor da Receita Estadual) Existem muitas maneiras de perder informaes em um computador involuntariamente, como em decorrncia de queda de energia, relmpago, inundaes, ou simplesmente falha de equipamento. Por isso, essencial ter cpias de segurana. Acerca desse assunto, assinale a opo incorreta. a) O Usurio deve fazer cpias de backup dos seus arquivos regularmente e os manter em um local separado, pois, assim, pode obter parcialmente ou totalmente as informaes de volta caso algo acontea aos originais no computador. b) Existem muitas formas de fazer o backup das suas informaes. O backup pode ser feito em hardware, software ou at mesmo mediante um servio via Web. c) Um CD-RW um CD em que podem ser gravadas informaes (RW significa regravvel). Como muitos computadores novos j vm com uma unidade de CD-RW interna, uma maneira de fazer backup consiste na utilizao desse tipo de mdia. d) A maioria das pessoas no faz backup por falta de opo de software, pois a compra de aplicativos com esse objetivo bastante onerosa, o que ocorre devido ao fato de os sistemas operacionais atuais no darem suporte a esse tipo de ferramenta. Comentrios O procedimento de backup (cpia de segurana) pode ser descrito de forma simplificada como copiar dados com o objetivo de posteriormente recuperar as informaes, caso haja algum problema com os dados originais. A ideia do backup proteger os dados contra eventuais danos aos dados originais. Se forem perdidos por qualquer motivo, ento realizamos uma restaurao de backup e os dados retornam para a verso do backup. Ento, uma medida de segurana preventiva. Podem-se copiar os dados para outro local na mesma unidade de disco? Sim, permitido e um backup. Posso, pode exemplo, copiar minhas msicas que esto armazenadas na pasta Msicas para uma nova pasta no mesmo disco rgido. Mas, pense comigo: E se o disco rgido apresentar uma falha que impea seu uso?. Neste caso eu perderei todos os arquivos do disco, ou seja, os arquivos originais e as cpias! Por isso as cpias de backup devem ser armazenadas em locais diferentes daqueles onde os dados originais esto e, at, guardados em prdios distintos (vai que um terremoto acaba com todo o prdio). Acha que demais? Pois mesmo assim existem riscos. Lembra-se do World Trade Center? Pois , uma das empresas tinha escritrios em ambas as torres e o backup dos dados
utilizados por um dos escritrios ficava guardado no outro por segurana. A letra a fala deste assunto e est correta. A letra b, no mesmo sentido, acerta ao citar como mecanismos de backup o hardware (equipamento que guarda os dados), o software, que gerencia o armazenamento e mecanismos da Web, que permitem o armazenamento de dados (Google Drive, Skydrive, Dropbox e outros). A letra C tambm est correta, pois a mdia regravvel armazenamento de dados e posterior reutilizao da mdia regravvel. til no
Finalmente, a letra d o GABARITO da questo e est errada pois para se copiar arquivos com o objetivo de salvaguarda dos dados no necessrio um software especial e oneroso. Existem vrias opes gratuitas e ainda podemos recorrer s ferramentas de cpia j existentes nos sistemas operacionais. GABARITO: D. 42. (CESPE/2009/IBAMA/ANALISTA AMBIENTAL) Para criar uma cpia de segurana da planilha, tambm conhecida como backup, suficiente clicar a ferramenta Comentrios Backup refere-se cpia de dados de um dispositivo para o outro com o objetivo de posteriormente os recuperar (os dados), caso haja algum problema. Essa cpia pode ser realizada em vrios tipos de mdias, como CDs, DVSs, fitas DAT etc de forma a proteg-los de qualquer eventualidade. O boto utilizado para salvar um documento!! GABARITO: E. 43. (CESPE/2010/DETRAN-ES/Tcnico Superior) A ferramenta de backup do Windows 7 permite escolher a mdia em que as cpias sero gravadas. Entretanto, quando a mdia escolhida for CD ou DVD, no ser possvel gerar backups incrementais. Nessas mdias, sempre que houver a necessidade de gerar uma cpia de segurana, ela ser uma cpia completa. Comentrios possvel fazer backup em outra unidade ou DVD. E se estiver usando as edies Professional ou Ultimate do Windows 7, voc tambm ter a opo de fazer o backup dos arquivos em uma rede. A seguir vamos checar como se d a realizao de backup no Windows 7. No campo Pesquisar programas e arquivos digite a palavra backup. Na Caixa de dilogo seguinte possvel selecionar as vrias opes de backup e, ainda, a criao de um Ponto de restaurao do sistema .
44/75
Tipos de Backup possveis: Backup normal Um backup normal copia todos os arquivos selecionados e os marca como arquivos que passaram por backup (o atributo de arquivo desmarcado). Com backups normais, voc s precisa da cpia mais recente do arquivo ou da fita de backup para restaurar todos os arquivos. Geralmente, o backup normal executado quando voc cria um conjunto de backup pela primeira vez. Backup incremental Um backup incremental copia somente os arquivos criados ou alterados desde o ltimo backup normal ou incremental e os marca como arquivos que passaram por backup (o atributo de arquivo desmarcado). Se voc utilizar uma combinao dos backups normal e incremental, precisar do ltimo conjunto de backup normal e de todos os conjuntos de backups incrementais para restaurar os dados. Em resumo, o incremental, inclui apenas os arquivos que ainda no foram copiados (ou foram alterados) at o momento, considerando o backup completo e todos os backups parciais.
Backup diferencial Um backup diferencial copia arquivos criados ou alterados desde o ltimo backup normal ou incremental. No marca os arquivos como arquivos que passaram por backup (o atributo de arquivo no desmarcado). Se voc estiver executando uma combinao dos backups normal e diferencial, a restaurao de arquivos e pastas exigir o ltimo backup normal (e incrementais, se existirem) e o ltimo backup diferencial. GABARITO: E. 44. (CESPE/2010/SEDU-ES/AGENTE DE SUPORTE EDUCACIONAL) Backup o termo utilizado para definir uma cpia duplicada de um arquivo, um disco, ou um dado, feita com o objetivo de evitar a perda definitiva de arquivos importantes. Comentrios O termo backup (cpia de segurana) est relacionado s cpias feitas de um arquivo ou de um documento, de um disco, ou um dado, que devero ser guardadas sob condies especiais para a preservao de sua integridade no que diz respeito tanto forma quanto ao contedo, de maneira a permitir o resgate de programas ou informaes importantes em caso de falha ou perda dos originais. GABARITO: C. 45. (CESPE/2010/AGU/Agente Administrativo) Backup, um procedimento que deve ser realizado mensal ou anualmente, tem a finalidade de garantir a proteo de dados, inclusive contra ataques de worms. Comentrios O backup objetiva proteger os dados contra perda. uma cpia de segurana que permite a recuperao dos dados em caso de incidentes. GABARITO: E. *** CRIPTOGRAFIA CERTIFICADO DIGITAL *** 46. (CESPE/2010/CAIXA-NM1/ TCNICO BANCRIO) Assinale a opo correta a respeito de certificao digital. A Autoridade certificadora a denominao de usurio que tem poderes de acesso s informaes contidas em uma mensagem assinada, privada e certificada. B A autoridade reguladora tem a funo de emitir certificados digitais, funcionando como um cartrio da Internet.
C O ITI (Instituto Nacional de Tecnologia da Informao) tambm conhecido como Autoridade Certificadora Raiz Brasileira. D PKI ou ICP o nome dado ao certificado que foi emitido por uma autoridade certificadora. E Um certificado digital pessoal, intransfervel e no possui data de validade. Comentrios Item A. Autoridade certificadora (AC) o termo utilizado para designar a entidade que emite, renova ou revoga certificados digitais de outras ACs ou de titulares finais. Alm disso, emite e publica a LCR (Lista de Certificados Revogados). Item ERRADO. Item B. A Autoridade Certificadora (AC) a entidade responsvel por emitir certificados digitais. Item ERRADO. Item C. A Autoridade Certificadora RAIZ (AC Raiz) primeira autoridade da cadeia de certificao e compete a ela emitir, expedir, distribuir, revogar e gerenciar os certificados das AC de nvel imediatamente subsequente, gerenciar a lista de certificados emitidos, revogados e vencidos, e executar atividades de fiscalizao e auditoria das ACs e das ARs e dos prestadores de servio habilitados na ICP. A funo da AC-Raiz foi delegada ao Instituto Nacional de Tecnologia da Informao ITI, autarquia federal atualmente ligada Casa Civil da Presidncia da Repblica. Logo, o ITI tambm conhecido como Autoridade Certificadora Raiz Brasileira. A AC-Raiz s pode emitir certificados s ACs imediatamente subordinadas, sendo vedada de emitir certificados a usurios finais. Item CERTO. Item D. PKI (Public Key Infrastrusture) a infraestrutura de chaves pblicas. A ICP-Brasil um exemplo de PKI. Item ERRADO. Item E. Um certificado digital um documento eletrnico que identifica pessoas, fsicas ou jurdicas, URLs, contas de usurio, servidores (computadores) dentre outras entidades. Este documento na verdade uma estrutura de dados que contm a chave pblica do seu titular e outras informaes de interesse. Contm informaes relevantes para a identificao real da entidade a que visam certificar (CPF, CNPJ, endereo, nome, etc) e informaes relevantes para a aplicao a que se destinam. O certificado digital precisa ser emitido por uma autoridade reconhecida pelas partes interessadas na transao. Chamamos essa autoridade de Autoridade Certificadora, ou AC. Dentre as informaes que compem um certificado temos: Verso: indica qual formato de certificado est sendo seguido Nmero de srie: identifica unicamente um certificado dentro do escopo do seu emissor. Algoritmo: identificador dos algoritmos de hash+assinatura utilizados pelo emissor para assinar o certificado. Emissor: entidade que emitiu o certificado.
Validade: data de emisso e expirao. Titular: nome da pessoa, URL ou demais informaes que esto sendo certificadas. Chave pblica: informaes da chave pblica do titular. Extenses: campo opcional para estender o certificado. Assinatura: valor da assinatura digital feita pelo emissor.
Item ERRADO. GABARITO: C. 47. (CESPE/2010/MPU/Tcnico do Ministrio Pblico da Unio) Considere que, em determinada empresa, o funcionrio Haroldo precise passar informaes confidenciais para o seu chefe, Jlio. Para maior segurana, os dados so transmitidos criptografados pela rede da empresa. Rogrio, outro funcionrio da empresa, est tentando indevidamente interceptar as informaes trocadas entre Haroldo e Jlio. Com base nessa situao hipottica, julgue o item, acerca de configuraes e do emprego dos sistemas de criptografia. Considere que Haroldo e Jlio se comuniquem utilizando um sistema de criptografia de chave pblica, sem assinatura digital. Nesse caso, se Rogrio, passando-se por Haroldo, enviar uma mensagem criptografada para Jlio, este pode no ter como saber que a mensagem no foi enviada por Haroldo. Comentrios A assinatura digital busca resolver dois problemas no garantidos apenas com uso da criptografia para codificar as informaes: a Integridade e a Procedncia. Ela utiliza uma funo chamada one-way hash function, tambm conhecida como: compression function, cryptographic checksum, message digest ou fingerprint. Essa funo gera uma sequencia de smbolos nica (hash) sobre uma informao, se esse valor for o mesmo tanto no remetente quanto destinatrio, significa que essa informao no foi alterada. Mesmo assim isso ainda no garante total integridade, pois a informao pode ter sido alterada no seu envio e um novo hash pode ter sido calculado. Para solucionar esse problema, utilizada a criptografia assimtrica com a funo das chaves num sentido inverso, onde o hash criptografado usando a chave privada do remetente, sendo assim o destinatrio de posse da chave pblica do remetente poder decriptar o hash. Dessa maneira garantimos a procedncia, pois somente o remetente possui a chave privada para codificar o hash que ser aberto pela sua chave pblica. J o hash, gerado a partir da informao original, protegido pela criptografia, garantir a integridade da informao. Um certificado de chave pblica, normalmente denominado apenas de certificado, uma declarao assinada digitalmente que vincula o valor de uma chave pblica identidade da pessoa, ao dispositivo ou ao servio que contm a chave particular correspondente. GABARITO: C.
48. (CESPE/2010/MPU/Tcnico do Ministrio Pblico da Unio) Considere que, em determinada empresa, o funcionrio Haroldo precise passar informaes confidenciais para o seu chefe, Jlio. Para maior segurana, os dados so transmitidos criptografados pela rede da empresa. Rogrio, outro funcionrio da empresa, est tentando indevidamente interceptar as informaes trocadas entre Haroldo e Jlio. Com base nessa situao hipottica, julgue o item, acerca de configuraes e do emprego dos sistemas de criptografia. Mesmo que Haroldo e Jlio coloquem normalmente os seus nomes no corpo das mensagens trocadas entre eles, esse procedimento no facilita o deciframento no autorizado das mensagens, j que os dados so criptografados. Comentrios Qualquer informao a mais pode ser uma dica fundamental para um Criptoanalista decifrar uma mensagem criptografada, mas o que Criptoanalista? um perito em criptoanlise a arte de determinar a chave ou decifrar mensagens sem conhecer a chave. Uma pessoa no autorizada que tem acesso a alguns dos elementos de um criptosistema denominada de atacante, ele pode ser passivo onde apenas obtm cpias dos elementos, ou pode ser ativo , este, alm de obter copias ainda pode alterar alguns dos elementos. So cinco tipos mais comuns de ataque (ou criptoanlise) e todos eles supe que o criptoanalista possui conhecimento total sobre os mtodos de cifragem e decifragem utilizados, mas no sobre as chaves. Temos ento: 1 - Ataque do texto cifrado (cyphertext-only): esta disposio do criptoanalista uma grande quantidade de mensagens cifradas, onde ele desconhece as originais e as chaves utilizadas, neste caso sua tarefa recuperar as mensagens normais (deduzir as chaves utilizadas). 2 - Ataque do texto conhecido (known-plaintext): esta disposio do criptoanalista uma grande quantidade de mensagens cifradas e tambm as mensagens originais equivalentes, neste caso a tarefa deduzir as chaves usadas (ou um mtodo para recuperar mensagens cifradas com a mesma chave). 3 - Ataque adaptativo do texto escolhido (adaptative-choosenplaintext): no mtodo de Ataque do texto conhecido, o criptoanalista poderia ser capaz de fornecer somente uma grande quantidade de mensagens de uma s vez; agora ele pode fornecer um pequeno conjunto, analisar os resultados, fornecer outro conjunto e assim por diante. Sua tarefa deduzir as chaves utilizadas. Alguns mtodos de cifragem como o RSA so muito vulnerveis a este ataque. 4 - Ataque do texto cifrado escolhido (choosen-cyphertext): o criptoanalista no s tem uma grande quantidade de mensagens e seus equivalentes cifrados, mas pode produzir uma mensagem cifrada especfica para ser decifrada e obter o resultado produzido. utilizado quando se tem
uma "caixa-preta" que faz decifragem automtica. Sua tarefa deduzir chaves utilizadas. 5 - Ataque da chave escolhida (choosen-key): o criptoanalista pode testar o sistema com diversas chaves diferentes, ou pode convencer diversos usurios legtimos do sistema a utilizarem determinadas chaves. Neste Ultimo caso, a finalidade imediata seria de decifrar as mensagens cifradas com essas chaves. GABARITO: E. 49. (CESPE/2010/MPU/Tcnico do Ministrio Pblico da Unio) Considere que, em determinada empresa, o funcionrio Haroldo precise passar informaes confidenciais para o seu chefe, Jlio. Para maior segurana, os dados so transmitidos criptografados pela rede da empresa. Rogrio, outro funcionrio da empresa, est tentando indevidamente interceptar as informaes trocadas entre Haroldo e Jlio. Com base nessa situao hipottica, julgue o item, acerca de configuraes e do emprego dos sistemas de criptografia. Caso Haroldo utilize assinatura digital em suas mensagens, Jlio pode comprovar se uma mensagem supostamente enviada por Haroldo partiu realmente dele. Alm disso, caso Haroldo resolva negar que tenha enviado dada mensagem, tendo ele efetivamente a enviado, Jlio pode provar que a mensagem de fato de Haroldo. Comentrios Na criptografia, Assinatura Digital uma forma de autenticar uma informao digital e providencia a prova inegvel que a mensagem veio do emissor. A assinatura digital busca resolver dois problemas no garantidos apenas com uso da criptografia para codificar as informaes: a Integridade e a Procedncia. Ela utiliza uma funo chamada one-way hash function, tambm conhecida como: compression function, cryptographic checksum, message digest ou fingerprint. Essa funo gera uma sequencia de smbolos nica (hash) sobre uma informao, se esse valor for o mesmo tanto no remetente quanto destinatrio, significa que essa informao no foi alterada. Mesmo assim isso ainda no garante total integridade, pois a informao pode ter sido alterada no seu envio e um novo hash pode ter sido calculado. Para solucionar esse problema, utilizada a criptografia assimtrica com a funo das chaves num sentido inverso, onde o hash criptografado usando a chave privada do remetente, sendo assim o destinatrio de posse da chave pblica do remetente poder decriptar o hash. Dessa maneira garantimos a procedncia, pois somente o remetente possui a chave privada para codificar o hash que ser aberto pela sua chave pblica. J o hash, gerado a partir da informao original, protegido pela criptografia, garantir a integridade da informao.
50/75
Assinatura Digital. O emissor gera um hash da mensagem (1), codifica este hash com sua chave privada (2), combina esta assinatura digital com a mensagem e a envia. O receptor recebe a mensagem(4) e calcula o hash dela (5). Enquanto isso, ele utilize a chave pblica do emissor para obter o hash contido na assinatura digital (6). O receptor compara os valores dos hashs (7). Caso os valores sejam idnticos o receptor pode inferir que a mensagem no foi modificada desde a emisso. Alm disso, a mensagem realmente veio do emissor, pois s ele possui a chave privada que foi utilizada para assinar
51/75
digitalmente a mensagem. E ao mesmo tempo, o emissor no pode negar que enviou a mensagem, afinal ele a assinou com sua chave privada. GABARITO: C. 50. (CESPE/2011/TRE-ES/Tcnico Judicirio) Com relao a mecanismos de segurana da informao, julgue o item abaixo. A assinatura digital realizada por meio de um conjunto de dados criptografados, associados a um documento do qual so funo. Esse mecanismo garante a integridade, a autenticidade e a confidencialidade do documento associado. Comentrios A questo errou ao afirmar que a assinatura digital garante a confidencialidade de um documento. A autenticidade, sim, o principal objetivo da assinatura digital. A integridade vem a reboque, pois se houver alguma alterao no documento a autenticidade ficaria prejudicada. A confidencialidade no entra nesta questo automaticamente. Se possvel obter a confidencialidade tambm? Sim, claro, mas envolve mais passos no processo de gerao da mensagem criptografada. S a assinatura no garante. Explico. A assinatura digital busca resolver dois problemas no garantidos apenas com uso da criptografia para codificar as informaes: a Integridade e a Procedncia (Autenticidade). Trabalhando com a ideia de criptografia assimtrica (duas chaves, uma pblica e outra privada), podemos criptografar uma mensagem com nossa chave privada e, assim, todos podero visualizar a mensagem usando a nossa chave pblica para reverter o processo. Bem, se somente a minha chave pblica consegue reverter o processo e somente eu tenho o outro par, podemos concluir que o detentor da chave privada foi o autor da mensagem, certo? Essa a ideia por detrs da assinatura digital. Garante quem enviou (quem criptografou) e s vai ser possvel reverter o processo se a mensagem ainda a original (integridade). GABARITO: E. 51. (CESPE/2010/EMBASA/Analista de Saneamento/Analista de Tecnologia da Informao) Na criptografia de chave pblica, os usurios usam um par de chaves, sendo que o que realizado com uma chave s pode ser desfeito com a outra chave. Comentrios Na criptografia de chave pblica existem duas chaves. Lembre-se, que se existisse apenas uma chave e esta fosse pblica, no teria sentido criptografar. Temos um par de chaves, uma pblica e outra privada. Criptografamos com uma e fazemos o inverso com a outra. Publicamos uma e mantemos uma em segredo. Quer mandar algo para mim de forma secreta, use minha chave pblica para gerar o texto secreto. Somente o detentor da chave privada (eu) poder transformar em texto claro.
Exemplo: Quando Alice quer mandar uma mensagem para Bob, ela procura a chave pblica dele em um diretrio e usa esta chave para encriptar a mensagem. Bob, ao receber a mensagem de Alice, usa a sua chave privada para decriptar a mensagem e l-la. Este sistema tambm permite a autenticao digital de mensagens, ou seja, possvel garantir ao receptor a identidade do transmissor e a integridade da mensagem. Quando uma mensagem encriptada com uma chave privada, ao invs da chave pblica, o resultado uma assinatura digital: uma mensagem que s uma pessoa poderia produzir, mas que todos possam verificar. Normalmente autenticao se refere ao uso de assinaturas digitais: a assinatura um conjunto inforjvel de dados assegurando o nome do autor ou funcionando como uma assinatura de documentos. Isto indica que a pessoa concorda com o que est escrito. Alm do que, evita que a pessoa que assinou a mensagem depois possa se livrar de responsabilidades, alegando que a mensagem foi forjada (garantia do no-repdio). GABARITO: C. 52. (CESPE/2010/AGU/Contador) Um arquivo criptografado fica protegido contra contaminao por vrus. Comentrios O arquivo criptografado no elimina a possibilidade de infeco por vrus. Lembre-se de que a criptografia modifica os smbolos do texto, mas no impede a incluso de vrus na sequncia. GABARITO: E. 53. (CESPE/2010/EMBASA/Analista de Saneamento) Na criptografia de chave nica ou simtrica, o tamanho da chave no importante no processo de cifrar porque a segurana est embutida no ocultamento do cdigo contra criptoanlise. Comentrios O tamanho da chave de extrema importncia no processo de cifrar. especialmente quando falamos em chave nica. Uma chave pequena facilita o processo de descoberta da chave. Uma chave de uma posio (8 bits ou 1 byte) possui 256 possibilidades. J uma chave com 64 bits (8 posies 8 bytes) possui 264 possibilidades. A segurana de uma criptografia simtrica (chave nica) est mesmo no segredo da chave, j que nica. Da, quanto maior a chave, mais difcil ser de ser descoberta. GABARITO: E.
53/75
54. (CESPE/2010/Caixa/Tcnico Bancrio/Adaptada) A assinatura digital facilita a identificao de uma comunicao, pois baseia-se em criptografia simtrica de uma nica chave. Comentrios A assinatura digital facilita a identificao de uma comunicao sim, mas baseia-se em criptografia assimtrica com par de chaves: uma pblica e outra privada. GABARITO: E. 55. (CESPE/2010/Caixa/Tcnico Bancrio/Adaptada) O destinatrio de uma mensagem assinada utiliza a chave pblica do remetente para garantir que essa mensagem tenha sido enviada pelo prprio remetente. Comentrios Esta uma das utilidades do uso de criptografia assimtrica. O emissor utiliza sua chave privada para encriptar a mensagem, sendo possvel a decriptao apenas com sua chave pblica. Assim, pode-se confirmar que o emissor quem diz ser, pois somente a chave dele permite decriptar a mensagem. GABARITO: C. 56. (CESPE/2010/EMBASA/Analista de Saneamento - Analista de Tecnologia da Informao) Um certificado digital possui alguns atributos comuns, entre os quais esto a assinatura do emissor do certificado e o prazo de validade. Comentrios O Certificado Digital, tambm conhecido como Certificado de Identidade Digital, associa a identidade de um titular a um par de chaves eletrnicas (uma pblica e outra privada) que, usadas em conjunto, fornecem a comprovao da identidade. So elementos comuns dos certificados digitais: Informao de atributo: a informao sobre o objeto que certificado. No caso de uma pessoa, isto pode incluir seu nome, nacionalidade e endereo e-mail, sua organizao e o departamento da organizao onde trabalha. Chave de informao pblica: a chave pblica da entidade certificada. O certificado atua para associar a chave pblica informao de atributo, descrita acima. A chave pblica pode ser qualquer chave assimtrica, mas usualmente uma chave RSA. Assinatura da Autoridade em Certificao (CA): A CA assina os dois primeiros elementos e, ento, adiciona credibilidade ao certificado. Quem recebe o certificado verifica a assinatura e acreditar na informao de atributo e chave pblica associadas se acreditar na Autoridade em
Certificao. Validade.
Dentre os atributos do certificado deve estar a Data de
O Certificado Digital pode ser usado em uma grande variedade de aplicaes, como comrcio eletrnico, groupware (Intranets e Internet) e transferncia eletrnica de fundos. Dessa forma, um cliente que compre em um shopping virtual, utilizando um Servidor Seguro, solicitar o Certificado de Identidade Digital deste Servidor para verificar: a identidade do vendedor e o contedo do Certificado por ele apresentado. Da mesma forma, o servidor poder solicitar ao comprador seu Certificado de Identidade Digital, para identific-lo com segurana e preciso. Caso qualquer um dos dois apresente um Certificado de Identidade Digital adulterado, ele ser avisado do fato, e a comunicao com segurana no ser estabelecida. O Certificado de Identidade Digital emitido e assinado por uma Autoridade Certificadora Digital (Certificate Authority). Para tanto, esta autoridade usa as mais avanadas tcnicas de criptografia disponveis e de padres internacionais (norma ISO X.509 para Certificados Digitais), para a emisso e chancela digital dos Certificados de Identidade Digital. GABARITO: C. 57. (CESPE/2010/Caixa/Tcnico Bancrio/Administrativo) Uma autoridade de registro emite o par de chaves do usurio que podem ser utilizadas tanto para criptografia como para assinatura de mensagens eletrnicas. Comentrios a autoridade de registro recebe as solicitaes de certificados dos usurios e as envia autoridade certificadora que os emite. GABARITO: E. 58. (CESPE/2010/MPU/Tcnico do Ministrio Pblico da Unio/ Administrativo) Acerca de conceitos bsicos de segurana da informao, julgue o item seguinte. recomendvel que, entre as medidas de segurana propostas para gerenciar um ambiente automatizado, seja includa a instalao, em rede, de ameaas que possam servir de armadilhas para usurios mal-intencionados, como criptografia, algoritmos, assinatura digital e antivrus. Comentrios Afirmativa Errada. Criptografia, algoritmos e assinatura digital e antivrus so mecanismos de proteo e no ameaas. Ao invs de servir como armadilhas para usurios mal-intencionados, estes mecanismos servem para reduzir o risco de que alguma ameaa seja bem-sucedida. GABARITO: E.
55/75
*** SEGURANA - AVANADAS *** 59. (CESPE/2010/Banco da Amaznia/Tcnico Cientfico Especialidade: TI Redes e Telecomunicaes) A poltica de segurana cumpre trs principais funes: define o que e mostra por que se deve proteger; atribui responsabilidades pela proteo; e serve de base para interpretar situaes e resolver conflitos que venham a surgir no futuro. Comentrios Conforme Moreira (2001) a Poltica de Segurana um conjunto de normas e diretrizes destinadas proteo dos ativos da organizao, sendo caracterizada pela tentativa de manter a confidencialidade, a integridade e a disponibilidade da mesma, independentemente de onde ela esteja. A Poltica de Segurana passa a ter uma importante funo, visando proteo dos ativos para que os negcios no parem e o ambiente fique seguro. A poltica de segurana da informao tem como objetivo prover uma orientao e apoio da direo para a segurana da informao de acordo com os requisitos do negcio e com as leis e regulamentaes relevantes (ABNT NBR ISO/IEC 27002:2005). Algumas observaes: deve prever o que pode ou no ser feito na instituio e o que ser considerado inaceitvel; atribui direitos e responsabilidades s pessoas que lidam com os recursos computacionais de uma instituio e com as informaes neles armazenados.; tudo que descumprir a poltica de segurana considerado um incidente de segurana; na poltica esto definidas as penalidades s quais esto sujeitos aqueles que no cumprirem a poltica.
GABARITO: C. A segurana da informao procura garantir a preservao da confidencialidade, a integridade e a disponibilidade da informao. Relativamente s normas ISO 27001, ISO 27002, ISO 27005 e ISO 15999, julgue os itens seguintes. 60. (CESPE/2010/Banco da Amaznia/Tcnico Cientfico Especialidade: TI Segurana da Informao/ Q.51) Um incidente de segurana da informao refere-se a um ou mais riscos no desejados ou esperados que possuem significativa probabilidade de comprometer os ativos de informao e ameaam a segurana da informao. Comentrios Um incidente qualquer evento no previsto nos padres de segurana da informao que podem causar danos materiais, financeiros, humanos, reduo
de qualidade de servios e at mesmo interrupo dos mesmos (CAMPOS, 2007).
Figura. Impacto de incidentes de segurana nos negcios Fonte: Laureano (2005) As ameaas so elementos causadores de incidentes que colocam em risco as informaes e os seus ativos atravs de explorao de falhas, originando assim prejuzos de confidencialidade, integridade e disponibilidade e, em consequncia disso, os impactos negativos aos negcios da empresa (CAMPOS, 2007). Assim, o conceito mencionado na questo o de ameaa e no incidente! GABARITO: E. 61. (CESPE/2010/Banco da Amaznia/Tcnico Cientfico Especialidade: TI Segurana da Informao/Q.54) Uma organizao deve ser capaz de inventariar seus ativos, identificar seus respectivos valores e importncias e indicar um proprietrio responsvel por eles. A informao deve ser classificada em termos de sua utilidade, adequabilidade e nvel de segurana. Comentrios A norma ABNT NBR ISO/IEC 27002:200, em sua seo 7.1.1 destaca vrios tipos de ativos, como: a) ativos de informao: base de dados e arquivos, documentao de sistema, informaes sobre pesquisa, material de treinamento, procedimentos de suporte ou continuidade do negcio, procedimentos de recuperao, informaes armazenadas; contratos e acordos, manuais de usurio, operao, planos de trilhas de auditoria e
b) ativos de software: aplicativos, sistemas, ferramentas de desenvolvimento e utilitrios;

c) ativos fsicos: equipamentos computacionais, comunicao, mdias removveis e outros equipamentos;
equipamentos
de
d) servios: servios de computao e comunicaes, utilidades gerais, por exemplo aquecimento, iluminao, eletricidade e refrigerao; e) pessoas e suas qualificaes, habilidades e experincias; f) intangveis, tais como a reputao e a imagem da organizao. A organizao s ir classificar seus ativos se o custo associado a essa atividade for justificvel em relao aos benefcios de segurana. A classificao da informao no obrigatria, e sim opcional! GABARITO: E. 62. (CESPE/2010/Banco da Amaznia/Tcnico Cientfico Especialidade: TI Segurana da Informao /Q. 52) So exemplos de ativos de uma organizao a informao e os processos de apoio, sistemas e redes. Os requisitos de segurana, em uma organizao, so identificados por meio de anlise sistemtica dos riscos de segurana. Comentrios A segurana uma palavra que est presente em nosso cotidiano e refere-se a um estado de proteo, livre de perigos e incertezas. Em uma corporao, a segurana est ligada a todos os objetos de valor, que necessitam de proteo. Tais objetos so considerados como ativos (RAMOS et al., 2006). Segundo Smola (2003), ativo tudo aquilo que tem um valor significativo para a empresa. So os elementos que compem e processam a informao, incluindo ela mesma. O termo ativo tem origem na rea financeira, podendo ser descrito como um elemento de valor para um indivduo ou empresa, e, portanto, merece ser protegido. Exemplificando, os ativos seriam as informaes, equipamentos, usurios, aplicaes e processos de apoio. Quanto aos requisitos de segurana, em uma organizao, cabe destacar que so identificados por meio de anlise sistemtica dos riscos de segurana da informao. GABARITO: C. 63. (CESPE/2010/Banco da Amaznia/Tcnico Cientfico Especialidade: TI Segurana da Informao/Q.53) Entre os ativos associados a sistemas de informao em uma organizao, incluem-se as bases de dados e arquivos, os aplicativos e os equipamentos de comunicao (roteadores, secretrias eletrnicas etc). Comentrios Ramos et al. (2006) destacam que os ativos podem ser divididos em:
58/75
tangvel: informaes digitais (impressoras, scanners) etc;
ou
impressas,
mveis,
hardwares
intangvel: marca de um produto, nome da empresa, confiabilidade de um rgo federal etc; lgico: informaes armazenadas em uma rede, sistema ERP, rede VOIP etc; fsico: galpo, sistema de eletricidade, estao de trabalho etc; humano: funcionrios.
Os ativos, dentro do contexto de uma organizao, devem estar relacionados aos negcios da empresa. Se os aplicativos e os equipamentos no tiverem ligao com os negcios, ento no podero ser classificados como ativos associados a sistemas de informao, como o exemplo das secretrias eletrnicas. GABARITO: E. 64. (CESPE/2010/Banco da Amaznia/Tcnico Cientfico Especialidade: TI Segurana da Informao/Q.55) conveniente que, na classificao das informaes e seu respectivo controle de proteo, considerem-se as necessidades de compartilhamento ou restrio de informaes. Ao se tornar pblica, uma informao frequentemente deixa de ser sensvel ou crtica. Comentrios A organizao deve classificar a informao e definir seus respectivos controles de proteo levando em considerao as necessidades de compartilhamento ou restrio de informaes e os respectivos impactos nos negcios. Essa classificao deve ser de responsabilidade do proprietrio do ativo, e deve haver uma anlise crtica em intervalos regulares, para assegurar que a classificao est atualizada e no nvel apropriado. Esta classificao deve ser feita pelo proprietrio (gestor) de cada uma delas, em um momento inicial e posteriormente em prazos pr-definidos, onde uma informao pode ser reclassificada de acordo com os requisitos de confidencialidade que ainda representa para a organizao. Alguns ativos de informao perdem totalmente o valor depois de um determinado evento. GABARITO: C. Com base nas normas ABNT NBR ISO/IEC 27001:2006 e 27002:2005, julgue os itens que se seguem. 65. (CESPE/2008/MCT/Tecnologista Pleno Segurana de Sistemas de Informao) A seo 5 da norma ISO/IEC 27001 trata de como a informao deve ser classificada, de acordo com a sua necessidade de segurana e controle de acesso. Comentrios
A Seo 5 da norma ISO/IEC 27001 trata sobre as responsabilidades da direo. Segundo a norma, a direo deve fornecer evidncias do seu comprometimento com o estabelecimento, implementao, operao, monitoramento, anlise crtica, manuteno e melhoria do SGSI. Portanto, em momento algum isso mencionado nessa seo. A seo que trata sobre gesto de ativos, da NBR ISO/IEC 27002, menciona de forma mais genrica sobre a classificao de ativos. GABARITO: E. 66. (CESPE/2007/TCU/Analista de Controle Externo Auditoria de TI) Julgue o item a seguir. Diferentemente do tratamento de incidentes de segurana em tecnologia da informao (TI) em geral, o tratamento de incidentes de segurana da informao por meio da abordagem de times de resposta a incidentes de segurana busca encontrar a causa raiz de vrios outros incidentes similares antes da realizao das aes de conteno. Comentrios O time de resposta a incidentes tem que agir de forma IMEDIATA, nas aes de conteno. O conhecimento das experincias passadas j pode e/ou deve existir e esse grupo no pode parar para encontrar a causa raiz de outros incidentes similares durante esse momento de tratamento do incidente. GABARITO: E. 67. (CESPE/2008/TCU/Analista de Controle Externo-TI/Q. 182) Segundo a norma 17799/2005, no caso de desenvolvimento de software por mo-de-obra terceirizada, necessrio estabelecer controles adicionais para testar e detectar, antes da instalao desse software, a presena de cdigo troiano. Comentrios Quanto ao desenvolvimento terceirizado de software, a norma ABNT NBR ISO/IEC 17799:2005 (renumerada para ABNT NBR ISO/IEC 27002) destaca que a organizao deve supervisionar e monitorar o desenvolvimento terceirizado de software, de forma a levar em considerao os itens relacionados a seguir: a realizao de testes antes da instalao para detectar a presena de cdigo malicioso e troiano; a realizao de acordos de licenciamento, propriedade do cdigo e direitos de propriedade intelectual; a certificao da qualidade e exatido do servio realizado; as provises para custdia no caso de falha da terceira parte.
GABARITO: C.
60/75
68. (CESPE/2008/TCU/Analista de Controle Externo-TI/Q. 183) Considerando-se que, em muitas organizaes pblicas, h urgncia na adoo de controles visando-se melhoria do atual nvel de segurana da informao, um administrador de segurana da informao deve implementar, independentemente da anlise e da avaliao de riscos de segurana da informao em curso, um conjunto de controles mnimos controles primrios , os quais, segundo a norma 17799/2005, devem ser implementados em todos os casos. Comentrios A norma ABNT NBR ISO/IEC 17799:2005 (renumerada para ABNT NBR ISO/IEC 27002) trata a avaliao dos riscos como uma atividade fundamental para ajuste das necessidades de controles. Assim, ANTES de se implementar qualquer controle, deve-se fazer uma anlise e avaliao dos riscos de segurana. Ainda, no h controles mnimos OBRIGATRIOS a serem implementados, ou seja, nem todos os controles e diretrizes contidos na norma podem ser aplicados. Alm disto, controles adicionais e recomendaes no includos na norma podem ser necessrios. A ABNT NBR ISO/IEC 27002 NO uma norma impositiva, ela faz recomendaes de segurana baseadas nas melhores prticas relacionadas segurana da informao, de forma que qualquer empresa possa fazer a implementao e a adaptao da norma de acordo com a sua convenincia ou necessidade. GABARITO: E. 69. (CESPE/2008/TCU/Analista de Controle Externo-TI/Q. 184) As ameaas e perturbaes da ordem pblica que podem, eventualmente, afetar o funcionamento de uma organizao pblica federal, mesmo que apenas indiretamente relacionadas aos sistemas de tecnologia da informao e comunicao (TIC) dessas organizaes, devem ser consideradas nas diretrizes de implementao de controle de proteo do meio ambiente e contra ameaas externas, conforme previsto na norma 17799/2005. Comentrios A norma ABNT NBR ISO/IEC 17799:2005 (renumerada para ABNT NBR ISO/IEC 27002), em proteo contra ameaas externas e do meio ambiente, destaca que a organizao deve ter uma proteo fsica contra incndios, enchentes, terremotos, exploses, perturbaes da ordem pblica e outras formas de desastres. Nesse caso, devem-se levar em considerao todas as ameaas segurana representadas por instalaes vizinhas (como o risco de exploso em um prdio vizinho). Tambm ressalta que os equipamentos para contingncia e mdia de backup devem ficar a uma distncia segura, para que no sejam danificados por um desastre que afete o local principal. GABARITO: C.
61/75
70. (CESPE/2006/ANCINE/Analista Administrativo TI/Q.114) Conforme o princpio de segregao de responsabilidades, definido em modelos como COBIT e ISO-17799, uma mesma pessoa no deve acumular as funes de iniciador e de autorizador de aes, como solicitar aquisio de produtos e atestar o recebimento dos mesmos. Comentrios Segregar funes criar um sistema de controle que consiste na separao de funes potencialmente conflitantes, como autorizao, aprovao, execuo, controle e contabilizao das operaes. Em ambiente de TI o princpio aplicado com o objetivo de reduzir os riscos de uso acidental ou deliberado dos sistemas. Caso haja possibilidade de conluios, faz-se necessrio o planejamento de controles que envolvam duas ou mais pessoas, diminudo os riscos de fraudes (ALASI, 2006). Um exemplo da necessidade de segregao de responsabilidades pode ser visto em funes como: programao, criao de bancos de dados (BDs) e incluso de informaes. Um administrador de BDs criar a base dados, que o programador usar para o desenvolvimento das rotinas de acesso, enquanto o usurio incluir os dados na base. interessante prevenir que tanto o programador, quanto o administrador do banco, possam alterar os dados includos pelo usurio. O controle das operaes deve ser exercido atravs de mtodos de aprovaes, de acordo com as responsabilidades e os riscos envolvidos. Na medida do possvel, a pessoa que autoriza no deve ser a que aprova para no expor a risco os interesses da organizao. As funes devem ser bem definidas, escritas e assinadas pelos responsveis, que assim, assumem o compromisso de no apenas cumpri-las, como tambm no exercer a funo de responsabilidade de outros. Em empresas menores, mesmo indivduo, como banco de dados. Nesse atividades, trilhas de considerados. GABARITO: C. 71. (CESPE/2007/TCU/Analista de Controle Externo/Auditoria de TI/Q. 148) A NBR 17799 prescreve explicitamente que as instalaes de processamento da informao gerenciadas por uma organizao devem estar fisicamente separadas daquelas que so gerenciadas por terceiros. Esse controle est descrito no captulo 9 da referida NBR, juntamente com outros relacionados a ameaas externas como exploses e perturbaes sociais, e controle de acesso com mltiplos fatores de autenticao, como senhas, smart cards e biometria. Comentrios geralmente vrias funes so acumuladas por um por exemplo, a de programador e administrador de caso, convm que controles como monitorao de auditoria e o acompanhamento gerencial sejam
62/75
A ABNT NBR ISO/IEC 17799:2005 (renumerada para ABNT NBR ISO/IEC 27002) no faz prescries, e sim, RECOMENDAES de segurana baseadas nas melhores prticas relacionadas segurana da informao, de forma que a empresa segue se desejar!! (Ela no uma norma impositiva, guardem isso!!). GABARITO: E. 72. (CESPE/2007/TCU/Analista de Controle Externo/Auditoria de TI/Q. 150) Um plano de continuidade de negcios distingue-se de um plano de recuperao de desastres por vrios aspectos, entre os quais a maior nfase no gerenciamento de riscos. Comentrios Planos de continuidade de negcios (PCNs) tm como propsito permitir que uma organizao recupere ou mantenha suas atividades em caso de uma interrupo das operaes normais de negcios. Os PCNs so ativados para dar suporte s atividades crticas necessrias para cumprir os objetivos da organizao, e podem ser executados integral ou parcialmente e em qualquer etapa da resposta a um incidente. Segundo ALASI (2006) a fase de avaliao de riscos e anlise de impactos no negcio compe uma das etapas de elaborao de um PCN e tem como objetivo levantar as ameaas a que o negcio est exposto; uma inspeo fsica realizada nos sites onde h processamento de dados ou operao de processos considerados crticos para o negcio, essa inspeo fsica busca controles de segurana fsica nas instalaes. De posse dessa anlise, e atravs de entrevistas com pessoas envolvidas com a manuteno e operao das instalaes possvel fazer uma anlise de risco que ser base para implementao de controles que mitigam esses riscos e anlise de uma possvel estratgia de contingncia. J a Anlise de Impactos nos Negcios feita buscando identificar os processos crticos que suportam a cadeia de valor, e qual impacto para o negcio caso as ameaas mapeadas venham a se concretizar. O plano de recuperao de desastres (tambm conhecido como Disaster Recovery Plan) um plano focado exclusivamente na recuperao de ativos de TI danificados por uma catstrofe ou por uma falha de sistema.
63/75
Figura. Linha do tempo de um incidente GABARITO: C. 73. (CESPE/2007/TCU/Analista de Controle Externo TI/Q. 140) A seleo de controles de segurana da informao a implantar dever ser fundamentada principalmente na identificao das ameaas aos ativos organizacionais. Para cada ameaa mapeada, devero ser identificados os controles de segurana aplicveis. Comentrios A seleo de controles dever ser fundamentada principalmente na avaliao dos riscos de segurana da informao. GABARITO: E. 74. (CESPE/2007/TCU/Analista de Controle Externo-TI/Q.142) A organizao dever estabelecer um programa avanado de treinamento tcnico em segurana da informao para todos os seus empregados relacionados com a prestao de atividades-fim relacionadas ao seu negcio. Comentrios No h necessidade de se fornecer treinamento tcnico em segurana da informao para TODOS os seus empregados. Se desejar, tal treinamento poder ser fornecido aos empregados relacionados com a prestao de atividades relacionadas com a rea de segurana da informao. GABARITO: E.
64/75
75. (CESPE/2007/TCU/Analista de Controle Externo TI/Q. 143) A poltica corporativa de segurana da informao dever ser elaborada somente aps o estabelecimento das polticas de segurana no desenvolvimento de software e de segurana em operaes de TI. Comentrios As polticas de segurana no desenvolvimento de software e de segurana em operaes de TI iro fazer parte da poltica corporativa de segurana, que dever ser estabelecida primeiramente. GABARITO: E. 76. (CESPE/ANEEL/2010/Q. 116) A gesto de continuidade de negcios complementar gesto de riscos e tem como foco o desenvolvimento de uma resposta a uma interrupo causada por um incidente de difcil previso, materializada na forma de um plano de continuidade de negcios. Comentrios Os negcios da organizao podem ser interrompidos por uma grande variedade de incidentes, como falhas tecnolgicas, atos de terrorismo etc. No entanto, para a maioria desses incidentes, h como fazer uma previso e, portanto, tomar medidas preventivas para evitar que realmente se tornem realidade. Nesse contexto temos a gesto de riscos!! Mas como a organizao precisa estar preparada para enfrentar situaes no previstas que atinjam seus recursos de informao, para os incidentes de difcil deteco (que no foram previstos e que podem causar uma interrupo) utilizamos a gesto de continuidade de negcios, com o objetivo de fazer com que os negcios da organizao no sejam interrompidos em virtude do incidente. O Plano de Continuidade de Negcios, nesse contexto, ir listar as medidas de resposta ao incidente que devem ser realizadas de forma que a organizao continue trabalhando e, em seguida, volte situao anterior de normalidade. GABARITO: C. 77. (CESPE/2007/TCU/Analista de Controle Externo TI/Q. 144) Todo evento de segurana da informao identificado no mbito da organizao corresponder a uma ou mais violaes da poltica de segurana da informao da organizao. Comentrios Existem eventos de segurana da informao que no iro provocar a violao da poltica de segurana da informao da organizao. GABARITO: E. 78. (CESPE/2007/TCU/Analista de Controle Externo TI/Q. 145) Os riscos de segurana da informao identificados no mbito da organizao
devero ser analisados quanto s possveis opes de tratamento: mitigao ou reduo; aceitao; eliminao ou contorno; e transferncia. Entre as quatro alternativas de tratamento, a que apresenta maior demanda por implantao de controles a mitigao ou reduo. Os riscos aceitos so os de menor nvel ou que atendam a critrios de avaliao previamente definidos. Comentrios O processo de gesto dos riscos de uma empresa passa pelas etapas listadas a seguir. =>Estabelecimento de contexto para avaliao dos riscos, que envolve: 1) identificar uma metodologia de anlise/avaliao de riscos adequada ao SGSI e aos requisitos legais, regulamentares e de segurana da informao para o negcio; 2) desenvolver critrios para aceitao de riscos e identificar os nveis aceitveis de risco (risco residual). =>Identificao dos riscos De acordo com o contexto em que a entidade est inserida, necessrio identificar os ativos dentro do escopo do SGSI e os seus proprietrios, alm de identificar as ameaas a esses ativos, as vulnerabilidades que podem ser exploradas pelas ameaas, os impactos que as perdas de confidencialidade, integridade e disponibilidade podem causar organizao. =>Anlise e mensurao dos riscos Aps a identificao dos riscos, necessrio: 1) avaliar os impactos para o negcio da organizao que podem resultar de falhas de segurana; 2) avaliar a probabilidade real da ocorrncia de falhas de segurana, com base nas ameaas e vulnerabilidades, nos impactos associados a estes ativos, e nos controles atualmente implementados; 3) estimar os nveis de riscos e determinar se so aceitveis ou no. =>Tratamento dos riscos O tratamento de riscos pode incluir as seguintes medidas: 1) aplicar os controles apropriados (mitigar riscos); 2) no fazer nada para combater o risco, desde que isso no viole as polticas da organizao (aceitar os riscos que se enquadrem no risco residual); 3) evitar situaes que aumentem os riscos(evitar riscos); e 4) transferir os riscos associados ao negcio a outras partes, por exemplo, seguradoras e fornecedores (transferir riscos). =>Monitorao e reviso dos riscos O processo de gerenciamento dos riscos contnuo, uma vez que o contexto dos negcios em que uma entidade est inserida muda constantemente. Dessa
maneira, os riscos devem ser monitorados e revisados periodicamente para se adequar s mudanas no contexto. GABARITO: C. 79. (CESPE/2009/ANATEL/Analista Administrativo TI/Arquitetura de solues/Q. 89) Acerca das normas ABNT NBR ISO/IEC 27001:2006 e ABNT NBR ISO/IEC 17799:2005, correto afirmar que ambas apresentam orientaes para a seleo de controles de segurana e enunciam menos de uma centena de controles. Comentrios importante destacar que o grupo internacional JTC1/SC27, formado pelas organizaes ISO e IEC, criou em 2000 a norma ISO/IEC 17799 baseada na primeira parte da norma britnica BS 7799. Esse grupo promoveu a reviso da ISO/IEC 17799, renomeando-a para ISO/IEC 17799:2005. Posteriormente, a ABNT NBR ISO/IEC 17799:2005 foi renumerada para NBR ISO/IEC 27.002, conforme quadro a seguir.
Quanto questo cabe destacar que a norma ABNT NBR ISO/IEC 17799:2005 (renumerada para ABNT NBR ISO/IEC 27002) enuncia diretrizes de segurana da informao, utilizadas na implementao dos controles. Ela no estabelece orientaes para a seleo dos controles!!
67/75
a norma ABNT NBR ISO/IEC 27001:2006 que estabelece as orientaes para a seleo dos controles e define os controles com base nas diretrizes da norma ABNT NBR ISO/IEC 17799:2005 (renumerada para ABNT NBR ISO/IEC 27002). Complementando, cabe destacar que a 27001 usada para fins de certificao (faz referncia aos controles apenas para fins de checagem para certificao). a norma que deve ser adotada como base para uma organizao que deseja implantar um Sistema de Gesto de Segurana da Informao (SGSI). A rigor, essa norma uma especificao (documento que utilizado para a realizao de auditorias e consequente certificao de um SGSI). GABARITO: E. (CESPE/2009/ANATEL/Analista Administrativo TI/Arquitetura de solues)
Figura "a". A Figura "a", obtida na norma ABNT NBR ISO/IEC 27001:2006, apresenta um modelo de gesto da segurana da informao. Julgue os itens subsequentes acerca das informaes apresentadas e dos conceitos de segurana da informao. 80. (CESPE/2009/ANATEL/Analista Administrativo TI/Arquitetura de solues/Q.86) Considere as diferentes fases do ciclo de gesto no modelo da figura "a" plan, do, check e act. A definio de critrios para a avaliao e para a aceitao dos riscos de segurana da informao que ocorrem no escopo para o qual o modelo da figura est sendo estabelecido, implementado, operado, monitorado, analisado criticamente, mantido e melhorado ocorre, primariamente, durante a fase do. Comentrios A Figura "a" destaca o modelo conhecido como Plan-Do-Check-Act (PDCA) aplicado aos processos do SGSI (Sistema de Gesto da Segurana da
Informao). Cabe destacar que a norma ABNT NBR ISO/IEC 27001 adota esse modelo para estruturar todos os processos do SGSI. A tabela seguinte destaca as principais caractersticas de cada fase do modelo: Fase Plan (planejar) SGSI) (estabelecer Caracterstica o Estabelecer a poltica de segurana da informao, os objetivos, processos e os procedimentos do SGSI.
Do (fazer, executar) (implementar Implementar e operar a poltica, e operar o SGSI) os procedimentos, controles e processos do SGSI. Check (checar) (monitorar analisar criticamente o SGSI) e Monitorar, analisar criticamente, realizar auditorias e medir o desempenho dos processos.
Act (agir) (manter e melhorar o Manter e melhorar o SGSI, por SGSI) meio de aes corretivas e preventivas, visando ao seu contnuo aperfeioamento. A definio dos critrios para a avaliao e para a aceitao de riscos de segurana da informao ocorre, primariamente, durante a fase de planejamento da segurana (Plan). Essa etapa visa estabelecer a poltica, processos e procedimentos do SGSI, relevantes para a gesto de riscos e a melhoria da segurana da informao para produzir resultados de acordo com as polticas e objetivos globais de uma organizao. GABARITO: E. 81. (CESPE/2009/ANATEL/Analista Administrativo TI/Arquitetura de solues/Q. 87/Adaptada) A anlise de vulnerabilidades aplicvel no contexto da figura "a" emprega tcnicas automatizadas e manuais, que variam amplamente, sendo o tipo de ameaa sob anlise um fator mais correlacionado a essa variao que o tipo do ativo sob anlise. Comentrios As vulnerabilidades so os elementos a serem rastreados e eliminados de um ambiente de TI, sendo este um dos primeiros passos para a implementao da segurana. O conhecimento do maior nmero de vulnerabilidades possveis permite equipe de segurana tomar medidas para proteo, evitando assim ataques e conseqentemente perda de dados. No h uma receita ou lista padro de vulnerabilidades. Esta deve ser levantada junto a cada organizao ou ambiente em questo, com a utilizao de tcnicas automatizadas e/ou manuais, cuja escolha ir variar em decorrncia do ativo sob anlise. Sempre se deve ter em mente o que precisa ser protegido e de quem precisa ser protegido de acordo com as ameaas existentes.
Os ativos so os elementos que sustentam a operao do negcio e estes sempre traro consigo VULNERABILIDADES que, por sua vez, submetem os ativos a AMEAAS. Finalizando, quando nos referimos a vulnerabilidades elas esto associadas aos ativos e no s ameaas ou s tcnicas de anlise (automatizadas ou manuais)!
GABARITO: E. 82. (CESPE/2009/ANTAQ/Analista Administrativo Informtica) Julgue o item seguinte. A anlise de vulnerabilidades, quando realizada no arcabouo de uma atividade de anlise de riscos, precedida, usualmente, da anlise de ameaas, mas antecede a anlise de controles, podendo cada controle inexistente ser traduzido em uma vulnerabilidade existente. Comentrios Inicialmente, vamos ao entendimento sobre vulnerabilidades de segurana e ameaas!! Vulnerabilidade o ponto pelo qual algum pode ser atacado, molestado ou ter suas informaes corrompidas. Um conceito bastante comum para o termo vulnerabilidade, encontrado em provas de concursos: trata-se de falha no projeto, implementao ou configurao de software ou sistema operacional que, quando explorada por um atacante, resulta na violao da segurana de um computador. Em outras palavras,
70/75
vulnerabilidade uma fragilidade presente ou associada a um ativo de segurana que poderia ser explorada por uma ameaa para concretizar um ataque. Podemos citar como exemplo inicial, uma anlise de ambiente em uma sala de servidores de conectividade e Internet com a seguinte descrio: a sala dos servidores no possui controle de acesso fsico!! Eis a vulnerabilidade detectada nesse ambiente. Outros exemplos de vulnerabilidades: uso de senhas no encriptadas, mal formuladas e mal utilizadas; ambientes com informaes sigilosas com acesso no controlado; software mal desenvolvido; hardware sem o devido acondicionamento e proteo; falta de atualizao de software e hardware; falta de mecanismos de monitoramento e controle (auditoria); ausncia de pessoal capacitado para a segurana; inexistncia de polticas de segurana.
As vulnerabilidades por si s no provocam incidentes, pois so elementos passivos, necessitando para tanto de um agente causador da condio favorvel, que so as ameaas. Ameaa algo que possa provocar danos segurana da informao, prejudicar as aes da empresa e sua sustentao no negcio, mediante a explorao de uma determinada vulnerabilidade. Bem, aps o estudo dos principais conceitos sobre vulnerabilidades e ameaas, vamos ao entendimento das aes que podem ser realizadas na identificao/anlise/avaliao e tratamento dos riscos. Nesse caso, temos que: 1)identificar os ativos dentro do escopo do SGSI e os proprietrios destes ativos; 2)identificar as ameaas a esses ativos; 3)identificar as vulnerabilidades que podem ser exploradas pelas ameaas; 4)identificar os impactos que as perdas de confidencialidade, integridade e disponibilidade podem causar aos ativos. 5)realizar a anlise e avaliao dos riscos; 6)identificar e avaliar as opes para o tratamento dos riscos. Possveis aes incluem: 6.1.aplicar os controles apropriados;
6.2.aceitar os riscos; 6.3.evitar riscos; 6.4.transferir os riscos associados ao negcio a outras partes, como seguradoras etc. A anlise de ameaas geralmente precede a anlise das vulnerabilidades de segurana. J a anlise de vulnerabilidades ir tambm ser realizada antes da anlise dos controles apropriados que devem ser implementados. Cabe destacar que se eu no tenho um controle que deveria ter sido implementado, ento tenho a uma vulnerabilidade! GABARITO: C. 83. (CESPE/2009/ANATEL/Analista Administrativo TI/Arquitetura de solues/Q. 88) A identificao de eventos que podem causar interrupes aos processos de negcio e das probabilidades e impactos de tais interrupes, associada s consequncias para a segurana de informao, constitui atividade executada no mbito da gesto de continuidade de negcios, embora se constitua, mais especificamente, atividade de anlise de risco. Comentrios A atividade mencionada na questo pode ser aplicada tanto no mbito da gesto de continuidade de negcios, quando na anlise de riscos de segurana. GABARITO: C. 84. (CESPE/2009/ANATEL/Analista Administrativo TI/Arquitetura de solues/Q. 90) Testes de mesa, testes de recuperao em local alternativo e ensaio geral so tcnicas que podem ser empregadas na gesto da continuidade de negcios, conforme prescrio na norma ABNT NBR ISO/IEC 17799:2005. Comentrios Conforme prescrito na norma ABNT NBR ISO/IEC 17799:2005 (renumerada para ABNT NBR ISO/IEC 27002) os planos de continuidade do negcio devem ser testados e atualizados regularmente, de forma a assegurar sua permanente atualizao e efetividade. Nesse contexto diversas tcnicas devem ser usadas para fornecer garantia de que os planos funcionaro na vida real, como as listadas a seguir: a) testes de mesa (faz-se a leitura em conjunto dos procedimentos de um grupo/equipe discutindo os arranjos para recuperao); b) simulaes (particularmente para treinar pessoas em seus papis de gerenciamento ps-incidente/crise); c) testes da recuperao tcnica (garantindo que os sistemas de informao podem ser restaurados eficientemente);
d) testar recuperao em um site alternativo (executando processos do negcio em paralelo com operaes de recuperao longe do site principal); e) testes das facilidades e servios de fornecimento (garantindo que servios e produtos providos externamente satisfaro o compromisso contratado); f) ensaios completos (testando se a organizao, pessoal, equipamento, facilidades e processos conseguem lidar com interrupes). Segundo a ISO/IEC 17799:2005 (renumerada para ABNT NBR ISO/IEC 27002), as tcnicas podem ser usadas por qualquer organizao e devem refletir a natureza do plano de recuperao especfico. A seguir disponibilizamos um quadro resumo sobre tipos e mtodos de teste de estratgias de Gesto de Continuidade de Negcios. Segundo a NBR 15999, os testes devem ser realistas, planejados cuidadosamente e acordados com as partes interessadas, de modo que haja um risco mnimo de interrupo dos processos de negcio, e de forma a minimizar a chance de que ocorra um incidente como resultado direto do teste. Todo teste deve ter objetivos claramente definidos. Relatrios e anlises que demonstrem se os objetivos do teste foram alcanados devem ser elaborados aps o teste. Alm disso, importante que seja elaborado um relatrio psteste, que contenha recomendaes juntamente de uma previso de tempo para a implementao destas. A escala e a complexidade dos testes devem ser apropriadas aos objetivos de recuperao da organizao. O programa de testes deve considerar o papel de todas as partes envolvidas, inclusive principais fornecedores, parceiros terceirizados e outros que poderiam participar das atividades de recuperao. A organizao deve inclu-los nos testes.
73/75
GABARITO: C.
74/75
GABARITOS 001. 002. 003. 004. 005. 006. 007. 008. 009. 010. 011. 012. 013. 014. 015. 016. 017. 018. 019. 020. 021. 022. 023. 024. 025. 026. 027. 028. 029. 030. 031. 032. 033. 034. 035. 036. 037. 038. 039. C E E E E E C E E E E C E E A E C E C C C E E A E B E E E E E E C E E C C X C 040. 041. 042. 043. 044. 045. 046. 047. 048. 049. 050. 051. 052. 053. 054. 055. 056. 057. 058. 059. 060. 061. 062. 063. 064. 065. 066. 067. 068. 069. 070. 071. 072. 073. 074. 075. 076. 077. 078. C D E E C E C C E C E C E E E C C E E C E E C E C E E C E C C E C E E E C E C 079. 080. 081. 082. 083. 084. E E E C C C
75/75

Noções de Informatica - Aula 09 PDF

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Noções de Informatica - Aula 09 PDF

Enviado por

Direitos autorais:

Formatos disponíveis

E-book de Questes da Disciplina Noes de Informtica Comentadas pelo Professor Lnin

Professor Alexandre Lnin Carneiro v 1.0

E-book Questes PowerPoint - CESPE Prof. Alexandre Lnin

INTRODUO ........................................................................................... 2 LISTA DAS QUESTES .............................................................................. 3

QUESTES COMENTADAS ........................................................................ 19

Prof. Alexandre Lnin

E-book Questes PowerPoint - CESPE Prof. Alexandre Lnin

Bons estudos e at j. Lnin

Total de Questes Comentadas neste E-book: 84 ltima atualizao: Janeiro/2013.

Prof. Alexandre Lnin

E-book Questes PowerPoint - CESPE Prof. Alexandre Lnin

E-book Questes PowerPoint - CESPE Prof. Alexandre Lnin

Prof. Alexandre Lnin

E-book Questes PowerPoint - CESPE Prof. Alexandre Lnin

E-book Questes PowerPoint - CESPE Prof. Alexandre Lnin

Prof. Alexandre Lnin

E-book Questes PowerPoint - CESPE Prof. Alexandre Lnin

E-book Questes PowerPoint - CESPE Prof. Alexandre Lnin

E-book Questes PowerPoint - CESPE Prof. Alexandre Lnin

E-book Questes PowerPoint - CESPE Prof. Alexandre Lnin

E-book Questes PowerPoint - CESPE Prof. Alexandre Lnin

E-book Questes PowerPoint - CESPE Prof. Alexandre Lnin

E-book Questes PowerPoint - CESPE Prof. Alexandre Lnin

Prof. Alexandre Lnin

E-book Questes PowerPoint - CESPE Prof. Alexandre Lnin

Prof. Alexandre Lnin

E-book Questes PowerPoint - CESPE Prof. Alexandre Lnin

Prof. Alexandre Lnin

E-book Questes PowerPoint - CESPE Prof. Alexandre Lnin

E-book Questes PowerPoint - CESPE Prof. Alexandre Lnin

E-book Questes PowerPoint - CESPE Prof. Alexandre Lnin

Prof. Alexandre Lnin

E-book Questes PowerPoint - CESPE Prof. Alexandre Lnin

E-book Questes PowerPoint - CESPE Prof. Alexandre Lnin

E-book Questes PowerPoint - CESPE Prof. Alexandre Lnin

Prof. Alexandre Lnin

E-book Questes PowerPoint - CESPE Prof. Alexandre Lnin

E-book Questes PowerPoint - CESPE Prof. Alexandre Lnin

Prof. Alexandre Lnin

E-book Questes PowerPoint - CESPE Prof. Alexandre Lnin

E-book Questes PowerPoint - CESPE Prof. Alexandre Lnin

E-book Questes PowerPoint - CESPE Prof. Alexandre Lnin

Proteger contra o acesso no autorizado, mesmo para dados em trnsito.

Prof. Alexandre Lnin

E-book Questes PowerPoint - CESPE Prof. Alexandre Lnin

Prof. Alexandre Lnin

E-book Questes PowerPoint - CESPE Prof. Alexandre Lnin

E-book Questes PowerPoint - CESPE Prof. Alexandre Lnin

Prof. Alexandre Lnin

E-book Questes PowerPoint - CESPE Prof. Alexandre Lnin

E-book Questes PowerPoint - CESPE Prof. Alexandre Lnin

E-book Questes PowerPoint - CESPE Prof. Alexandre Lnin

Prof. Alexandre Lnin

E-book Questes PowerPoint - CESPE Prof. Alexandre Lnin

E-book Questes PowerPoint - CESPE Prof. Alexandre Lnin

E-book Questes PowerPoint - CESPE Prof. Alexandre Lnin

Prof. Alexandre Lnin

E-book Questes PowerPoint - CESPE Prof. Alexandre Lnin

Prof. Alexandre Lnin

E-book Questes PowerPoint - CESPE Prof. Alexandre Lnin

E-book Questes PowerPoint - CESPE Prof. Alexandre Lnin

Prof. Alexandre Lnin

E-book Questes PowerPoint - CESPE Prof. Alexandre Lnin