Escolar Documentos
Profissional Documentos
Cultura Documentos
EXA ME FIN A L D E
SEGU R AN Ç A IN FOR MÁ TIC A E DA S C OMU N ICA Ç ÕES
CORRECÇAO
Curso: LEIT 1ª Época
Turma: I41/ I42 Data: 20-Jun-2019
Ano Lectivo: 2019 – 1º Semestre Duração: 120 min.
Docente: Engº. Emírcio Zeca Vieira Pontuação: 300
NOME: Nº
1. Sobre o firewall iptables, assinale a alternativa que apresenta o comando para bloquear conexões que
12 chegam à porta SSH padrão do servidor:
2. “O planeamento da política de segurança deve ser feito tendo como directriz o carácter geral e
20 abrangente de todos os pontos, incluindo as regras que devem ser obedecidas por todos. Essas regras
devem especificar quem pode aceder quais recursos, quais são os tipos de usos permitidos no sistema,
bem como os procedimentos e controlos necessários para proteger as informações. Uma visão geral do
planeamento pode ser observada, na qual a pirâmide mostra que as (os) _____________ ficam no topo,
acima das (dos) _____________ e _____________.”
a) Normas, Políticas e Procedimentos.
b) Políticas, Procedimentos e Normas.
c) Procedimentos, Normas e Políticas.
d) Políticas, Normas e Processos.
e) Políticas, Normas e Procedimentos.
Uma das características importante de uma política é que ela deve ser curta o
suficiente para que seja lida e conhecida por todos os funcionários da empresa.
A essa política de alto nível devem ser acrescentados: Politicas, Normas e
Procedimentos específicos para sectores e áreas particulares, como por exemplo,
para a área de informática.
3. Escolha uma das opções e justifique. Você trabalha no escritório de uma grande empresa, e recebe uma
20 ligação telefónica de uma pessoa alegando ser de uma Central de Atendimento. A pessoa pergunta a sua
senha (password).
Que tipo de ameaça é essa?
a) Ameaça natural.
b) Ameaça organizacional.
c) Engenharia social.
d) Manipulador tecnológico.
4. Escolha uma das opções e justifique. A assinatura digital é um dos métodos disponíveis para gerar
20 documentos digitais com validade legal. Uma das fases da assinatura é a geração de um hash (resumo),
onde podem ser utilizados algoritmos de função hash, tais como, MD5, SHA-1 SHA-256. Uma das
propriedades de uma função hash é:
a) Resistência à dificuldade.
b) Resistência à colisão.
c) Resistência à imagem.
d) Resistência à visualização.
O Hash gera um código de 128 bytes, ou seja, existem 2^128 códigos, portanto é
quase impossível dois textos diferentes usarem o mesmo hash, por isso que é
resistente à colisões.
b) II;
c) III;
d) I e II;
e) I e III.
Algoritmo DSA/DSS, foi desenvolvido para servir como padrão oficial para assinatura
digital, utiliza como função hash o algoritmo SHA-1 com HASH de 224, 256, 384 ou 512
bits. O algoritmo de assinatura (chave pública) é semelhante ao ELGAMAL e funciona com
tamanho de chave entre 2048 e 3072 bits. É utilizado apenas para assinar digitalmente,
não cifra nem faz troca de chave e tem como base o problema de logaritmo discreto.
Assim o ECDSA é variante do DSA que permite algumas vantagens, entre ela a redução do
tamanho da chave para trazer o mesmo nível de garantia de segurança.
6. Escolha uma das opções e justifique. Mesmo com a utilização de um firewall na rede, um dos servidores
20 HTTP de uma empresa foi atacado. O ataque em questão pode ser identificado e bloqueado
automaticamente porque na mesma rede tinha sido instalado um:
a) Servidor DNS interno;
b) IPS;
c) Proxy;
d) Servidor VPN;
e) PDC.
7. Escolha uma das opções e justifique. Após a invasão de um sistema, uma análise identificou que o
25 ataque ocorreu devido a uma falha de programação em um aplicativo, que permitiu que fossem
ultrapassados os limites de uma área sua de entrada de dados, sobrescrevendo a memória adjacente e
inserindo um código malicioso. Essa circunstância é denominada:
a) Cross-Site Scripting (XSS);
b) SQL injection;
c) Race Condition;
d) Backdoor;
e) Buffer Overflow.
Marque a alternativa que contém a sequência que completa correctamente a expressão anterior e
justifique a sua opção.
a) Freenas, Debian, storage
b) pfSense, FreeBSD, firewall
c) pfSense, Debian, firewall
d) Netscape, Windows, Navegador
e) Ubuntu, FreeBSD, storage
O Pfsense é um sistema livre baseado em FreeBSD adaptado tanto para o seu uso
como roteador, como também para o seu uso como firewall. Ele é um sistema de
appliances que são prontas para serem instaladas e que contam uma série de
recursos diferentes, como controlo avançado de banda, VPN, autenticação Radius,
balanceamento de link e muitos outros.
9. Um exemplo de tipo de ataque a uma aplicação Web é baseado na inclusão de código malicioso no
25 servidor, onde as requisições realizadas pelos usuários são respondidas utilizando fontes de dados não
confiáveis. Exemplos de consequências desse tipo de ataque podem ser: o encaminhamento do usuário
a um site malicioso; roubo da sessão de usuário, entre outros. Nesse cenário, marque o item que
corresponde à vulnerabilidade abordada e justifique a sua opção.
a) SQL Injection.
b) Cross-Site Scripting (XSS).
c) Web Hacking.
d) Falha de Injecção de Código.
e) Cross-Site Request Forgery (CSRF).
10. Escolha uma das opções e justifique. O objectivo de um Plano de Continuidade de Negócios (PCN) é
20 garantir que serviços essenciais, por exemplo, de uma empresa sejam devidamente identificados e
preservados mesmo após a ocorrência de desastres. Não compõe o PCN o …
21 e procedimentos necessários para criar, gerir, armazenar, distribuir e revogar Certificados de Chave
Pública. Assim faça a correspondência entre os grupos de trabalho, tendo em conta os papéis e
privilégios que a elas são atribuídos.
Armazena com segurança os artefactos
sensíveis da PKI e controla o seu levantamento
Gestão de Topo 1 1
e devolução de acordo com as regras
estabelecidas.
Autorizados a instalar, configurar e manter o
Administradores de
2 2 sistema, mas com acesso controlado a
Segurança
informação relacionada com segurança.
Responsáveis pela aprovação da
Operadores de
3 3 geração/revogação/suspensão do certificado
Registo
do titular.
Administradores de Autorizados a consultar arquivos e registos de
4 4
Sistema auditoria dos sistemas da PKI.
Com a responsabilidade geral pela
Operadores de
5 5 administração da implementação das políticas
Sistema
e práticas de segurança.
Responsáveis por operar o sistema no dia-a-
Auditores de Sistema 6 6 dia, por exemplo: autorizados a efectuar o
backup e a recuperação do sistema.
Responsável pelas decisões de gestão e pela
Custódia 7 7 nomeação de todos os elementos dos grupos
de trabalho.
12. Tendo em conta as boas práticas, para se dar início ao processo de extinção num Centro de Dados é
20 necessário a confirmação de alarme por parte de dois detectores automáticos de incêndio ou pela
activação manual do sistema. Neste âmbito, descreva os Agentes Extintores Gasosos.
13. Redes sem fio são amplamente utilizadas para a conexão de usuários em ambientes que permitam alta
27 mobilidade ou onde não seja possível prover infra-estrutura cabeada. Devido a sua arquitectura, redes
sem fio possuem diversos problemas de segurança. No que se refere a segurança de redes sem fio e
alguns dos ataques conhecidos a esse tipo de redes, análise a frase que se segue:
Krack (key reinstallation attack) é um tipo de ataque que funciona contra o Wi-Fi protected access II
(WPA2) sob determinadas condições. Satisfeitas essas condições, sistemas Android e Linux podem ser
enganados por esse ataque para reinstalar uma chave de criptografia toda composta por zeros.
O ataque KRACK explora uma fragilidade no handshake do protocolo WPA2 (Wi-Fi Protected
Access II), que é usado para estabelecer uma chave de criptografia para criptografar o
tráfego.
O ataque funciona contra o protocolo WPA1 e o WPA2 e contra qualquer conjunto de cifras
que esteja a ser usado (WPA-TKIP, AES-CCMP e GCMP). O KRACK permite que os atacantes
tenham acesso a chave de criptografia utilizada na rede e assim desencriptem os pacotes
navegando na rede Wi-Fi. A senha da rede Wi-Fi não é exposta, mesmo assim o ataque
permite capturar todos os pacotes de rede, e assim ter acesso a todas as comunicações
dos usuários (exceptos acessos criptografados, como SSL, VPN, SSH, entre outros), além
de injectar pacotes na rede wireless da vítima.
14. Toda actividade de negócio, não importa qual seja o ramo de actuação ou o porte da empresa, está
20 eventualmente sujeita a interrupções ou situações adversas que dificultem ou impeçam suas operações.
Como é que se desenvolve um Plano de Continuidade de Negócios (PCN).
“Ter sucesso é falhar repetidamente, mas sem perder o entusiasmo” – Winston Churchill
BOM TRABALHO!