1ª.

Lista de Exercícios – Segurança da Informação - FATEC

1. Explique os seguintes requisitos gerais de segurança:

a. Integridade.
Integridade corresponde à preservação da precisão, consistência e confiabilidade das
informações e sistemas pela empresa ao longo dos processos ou de seu ciclo de vida.
b. Disponibilidade.
A disponibilidade está relacionada ao tempo e à acessibilidade que se tem dos dados e
sistemas da empresa, ou seja, se eles podem ser consultados a qualquer momento pelos
colaboradores.
c. Confidencialidade.
A confidencialidade tem a ver com a privacidade dos dados da organização. Esse conceito
se relaciona às ações tomadas para assegurar que informações confidenciais e críticas não
sejam roubadas dos sistemas organizacionais por meio de ciberataques, espionagem, entre
outras práticas.

2. O que é uma ameaça?

3. Explique os passos a serem seguidos para atacar uma rede?

4. Qual a diferença entre um vírus e um Worm ? Como cada um deles se reproduz ?

5. Descreva os tipos de autenticação que os sistemas computacionais podem utilizar.

6. Quais os pilares da segurança que são garantidos pelos princípios da criptografia?

7. Explique o que é técnica de sniffer, para o que é utilizada e como pode ser
neutralizada.

8. Explique o ataque de DDOS.

9. Conceitue Adware, spyware, keylogger, cavalo-de-troia, hacker, cracker.

10. O que você entende por engenharia social? Cite exemplos.

11. Explique a importância de uma política de segurança?

12. Explique o que é um ataque por injeção de SQL?

13. Defina ameaça. Cite as principais ameaças internas existentes em uma empresa.

14. É o nome dado a uma rede de computadores controlada remotamente através de

infecção registrada por worms e utilizada em fraudes como DDoS:
(A) HoneyNet
(B) Picorede
(C) Hotspot
(D) Botnet
(E) Ad-hoc

15. Sistema de proteção que utiliza características físicas e/ou comportamentais para
identificar um indivíduo:
(A) Esteganografia
(B) Criptografia
(C) Biometria
(D) Captcha
(E) Assinatura digital

16. São as características que melhor definem um documento assinado digitalmente:

(A) Confidencialidade e Credibilidade
(B) Criptografia e Proteção
(C) Integridade e Autenticidade
(D) Disponibilidade e Confidencialidade
(E) Proteção e Criptografia
17. Após infectar uma máquina, permite que o cracker invada o sistema ou instale códigos
maliciosos tendo em vista sua característica de abrir portas facilita estes tipos de fraudes:
(A) Bot
(B) Vírus
(C) Trojan-horse
(D) Backdoor
(E) Ransonware

18. O “Teclado Virtual” é um mecanismo que na segurança de dados digitados através de

páginas da web, comumente utilizado em sites de instituições bancárias. O “Teclado Virtual”
é um importante agente no combate a um spyware, conhecido como:
(A) Adware
(B) Verme
(C) Key-logger
(D) Hijacker
(E) Sniffer

19. É um malware que se apossa de navegadores da internet, alterando sua “homepage”

e impedindo acesso às páginas pretendidas pelo usuário:
(A) Sniffer
(B) Hijacker
(C) Ranson
(D) Bot
(E) NetBios

20. Neste local são encontrados os computadores que possuem acesso externo tanto
para envio quanto para recebimento de dados, como acesso a sites, e-mails ou mensageiros.
Tem como objetivo impedir danos ao restante dos computadores presentes em uma rede
local. Fica situada entre a rede local e a internet:
(A) Firewall
(B) Captcha
(C) Servidor DNS
(D) Rede de Perímetro
(E) Servidor DHCP

21. Marque a opção que não corresponde a uma extensão utilizada por cavalos-de-tróia:
(A) EXE (executável)
(B) ZIP (compactado)
(C) ODT (opendocumento)
(D) SCR (proteção de tela)
(E) BAT (lote)

22. Para que um determinado documento seja enviado por e-mail, sem que no entanto
este seja visto ou descoberto por pessoas não autorizadas, pode-se utilizar uma técnica que
permite camuflar o arquivo, escondendo-o dentro de outro arquivo. Esta técnica é chamada:
(A) Encapsulamento
(B) Tunneling
(C) Criptografia
(D) Esteganografia
(E) Digitalização

23. O dispositivo de segurança que bloqueia e-mails não solicitados, que geralmente são
enviados para um grande número de pessoas, é conhecido por:
A) spyware;
B) filtro anti-spam;
C) SSL;
D) Worms;
E) SSH.

24. Em uma instituição bancária, o acesso a determinadas informações deve ser limitado
àqueles funcionários autorizados pelo proprietário da informação, uma vez que o vazamento
desse tipo de informação representa quebra de sigilo bancário, expondo a instituição a riscos.
O princípio que limita o acesso às informações tão somente às entidades legítimas é
denominado
(A) acessibilidade.
(B) responsabilidade.
(C) confidencialidade.
(D) integridade.
(E) disponibilidade.
25. A informação é um dos ativos mais importantes em uma empresa. Proteger os
processos mais críticos do negócio corporativo, reduzir a probabilidade de ocorrência de
incidentes relacionados à segurança e recuperar os danos em casos de desastres e incidentes
são objetivos, entre outros, da implementação de um(a)
(A) controle de acesso.
(B) plano de desenvolvimento.
(C) Política de Segurança.
(D) política de informação.
(E) rotina de backup.

26. Qual dos princípios básicos da segurança da informação enuncia a garantia de que uma
informação não foi alterada durante seu percurso, da origem ao destino?
(A)Não-repúdio
(B)Integridade
(C)Autenticidade
(D)Disponibilidade
(E)Confidencialidade

27. HTTPS pode ser definido como um protocolo utilizado para :

(A)acessar páginas com transferência criptografada de dados.
(B)atribuir endereços IP aos computadores da intranet.
(C)enviar e receber e-mails.
(D)permitir o gerenciamento dos nós de uma intranet.
(E)realizar o armazenamento de páginas da World Wide Web

28. Descreva 02 vulnerabilidades descritas no OWASP TOP 10.

29. Descreva as principais características de chaves pública e chaves privadas. Cite 02 algoritmos
de chaves pública e 02 algoritmos de chave privada.

30. Os tipos de IDS – Sistema de Detecção de Intrusão são

a) IDS baseado em Honeypot (HIDS), IDS baseado em Rede (NIDS), IDS Híbrido.
b) IDS baseado em Serviço (SIDS), IDS baseado em Rede (NIDS)
c) IDS baseado em Host (HIDS), IDS baseado em Scanning (SIDS)
d) IDS baseado em Host (HIDS), IDS baseado em Rede (NIDS), IDS Híbrido
e) IDS baseado em Bloqueio (BIDS), IDS baseado em Prevenção (PIDS), IDS Híbrido.

31. O funcionário de uma empresa recebeu, pelo webmail, uma mensagem supostamente do banco
no qual tem conta, informando que ele havia sido sorteado e ganhara um prêmio de um milhão de reais.
Para resgatar o prêmio, o funcionário foi orientado a clicar em um link e digitar seus dados pessoais e
bancários. Após seguir as orientações e enviar os dados digitados, percebeu que o endereço do banco
era falso, mas muito semelhante ao endereço verdadeiro. O funcionário foi vítima de um tipo de fraude
conhecida como
a) defacing
b) worming
c) phishing
d) keylogging
e) joking

32. Os ataques relativos à segurança da informação baseiam-se em aspectos técnicos, físicos e/ou
humanos. O tipo de ataque que está baseado principalmente no aspecto humano é:
a) Worm
b) Spoofing
c) Engenharia social;
d) Negação de serviço;
e) Buffer overflow.

33. Uma aplicação de reservas de passagens aéreas suporta reescrita de URL. Nesta aplicação,
um usuário autenticado do site envia um e-mail do link a seguir para que seus amigos saibam que ele
efetuou a compra.
http://abc.com/sale/saleitems;jsessionid=2P0OC2JSNDLPSKHCJUN2JV?dest=Tokio

Isso favorece principalmente um ataque de

a) Quebra de Autenticação e Gerenciamento de Sessão

b) Injeção de código.
c) Cross-Site Scripting (XSS).
d) Referência Insegura e Direta a Objetos.
e) Cross-Site Request Forgery (CSRF).