Exerccios para Prova Software Seguro

1 Explique sobre o estouro de buffer baseado em pilha.

R.: Ocorre um estouro de buffer baseado em pilha quando um buffer
declarado na pilha sobrescrito copiando-se um volume de dados maior do
que o buffer. buffer esttico.

2 O que um modelo de ameaas?

R.: uma anlise baseada em segurana que ajuda as pessoas a
determinar s riscos de segurana mais altos impostos ao produto e como os
prprios ataques podem se manifestar.

3- Qual objetivo do modelo de ameaas?

R.: Determinar quais ameaas exigem atenuao e como atenuar as
ameaas

4- Informe como formado o processo de modelagem de ameaas.

R.:
Monte a equipe de modelagem das ameaas.
Decomponha o aplicativo.
Determine as ameaas ao sistema.
Classifique as ameaas por risco decrescente.
Escolha como responder as ameaas.
Escolha tcnicas para atenuar as ameaas.
Escolha as tecnologias adequadas para as tcnicas identificadas


5 O que uma ACL?

R.: Access Control List Lista de Controle de Acesso, um mtodo de controle
de acesso empregado por muitos sistemas operacionais para determinar at
que ponto uma conta tem permisso para acessar um recurso.



6 O que compe uma ACL?

R.: O Windows NT e verses posteriores contm dois tipos de ACLs: Listas
discricionrias de controle de acesso (DACLs) Lista de controle de acesso de
sistema (SACLs)







7 Como formado o processo para definio de boas ACLs?

R.: O processo de definio de uma ACL adequada para seus recursos
simples:

1. Determine os recursos que voc utiliza.
2. Determine os requisitos de acesso
definidos pela empresa.
3. Determine a tecnologia de controle de
acesso adequada.
4. Converta os requisitos de acesso na
tecnologia de controle de acesso.


8 Cite problemas que podem ser ocasionados com o uso de ACLs
fracas

R.: ACLs fracas podem aumentar a possibilidade de os usurios mal
intencionados afetarem a operao do sistema negando a outras
pessoas acesso aos recursos.


9 - Informe e comente os componentes mais importantes de uma ACE.

R.: Uma ACE inclui dois componentes importantes: Uma conta representada
pelo Security ID (SID) da conta; Uma descrio sobre o que esse SID pode
fazer para o recurso em questo.

10 - Alm das ACLs, existem outros mtodos para proteger recursos, cite-
os.

R.:

Papis no Framework .NET;
Papis no COM+;
Restries de IP;
Gatilhos e permisses do SQL Server.



As ACLs so a ltima linha de defesa contra ataques a um objeto
persistente. Uma boa ACL pode significar a diferena entre um objeto mantido
seguro e uma rede comprometida Utilize ACLs para fornecer uma defesa
valiosa e eficaz em camadas.






11 - Explique com suas palavras o que uma criptografia de dados.

R.: So tcnicas para esconder informao de acesso no autorizado atravs de
cdigos, sendo um dos principais mecanismos de segurana.

12 - Informe os principais efeitos de uso da criptografia.


R.:

proteger os dados sigilosos armazenados em seu computador, como o
seu arquivo de senhas e a sua declarao de Imposto de Renda;
criar uma rea (partio) especfica no seu
computador, na qual todas as informaes que forem l gravadas sero
automaticamente criptografadas;
proteger seus backups contra acesso indevido, principalmente aqueles
enviados para reas de armazenamento externo de mdias;
proteger as comunicaes realizadas pela Internet, como os e-mails
enviados/recebidos e as transaes bancrias e comerciais realizadas.

13 - De acordo com o tipo de chave usada, os mtodos
criptogrficos podem ser subdivididos em duas grandes categorias,
quais so?

R.: criptografia de chave simtrica e criptografia de chaves assimtricas.

14 -Diferencie a criptografia de chave simtrica e a de chaves
assimtricas.


R.:
Criptografia de chaves simtricas

Uma Tambm chamada de criptografia de chave secreta ou nica, utiliza uma
mesma chave tanto para codificar como para decodificar informaes, sendo
usada principalmente para garantir a confidencialidade dos dados. Exemplos:
AES, Blowfish, RC4, 3DES e
IDEA.

Criptografia de chaves assimtricas

Tambm conhecida como criptografia de chave pblica, utiliza duas chaves
distintas: uma pblica, que pode ser livremente divulgada, e uma privada, que
deve ser mantida em segredo por seu dono. Exemplos: RSA, DSA, ECC e
Diffie-Hellman

15 - Explique o que a funo hash.


R.: um mtodo criptogrfico que, quando aplicado sobre uma informao,
independente do tamanho que ela tenha, gera um resultado nico e de amanho
fixo.


16 - O que um certificado digital?

R.: um registro eletrnico composto por um conjunto de dados que distingue
uma entidade e associa a ela uma chave pblica. Ele pode ser emitido para
pessoas, empresas, equipamentos ou servios na rede (por exemplo, um site
Web) e pode ser homologado para diferentes usos, como confidencialidade e
assinatura digital.

Assinatura Digital: Permite comprovar a autenticidade e a integridade de uma
informao, ou seja, que ela foi realmente gerada por quem diz ter feito isto e
que ela no foi alterada.