SEGURANÇA DA INFORMAÇÃO – PROF.

SÓCRATES FILHO –
http://socratesfilho.wordpress.com

Comentários sobre prova do TRE/PR 2009

(CESPE – TRE/PR – 2009 – Analista Judiciário – Especialidade: Análise de Sistemas)

A figura acima ilustra como um sistema de gerenciamento de segurança da

informação (SGSI) considera as entradas de requisitos de segurança de informação e
as expectativas das partes interessadas, e como as ações necessárias e os processos
de segurança da informação produzidos resultam no atendimento a esses requisitos e
expectativas. Considerando essa figura, julgue os itens a seguir.

86) O gerenciamento dos riscos envolve atividades que procuram impedir um ataque
antes que ele ocorra e(ou) que reduzam os efeitos de uma ameaça.
R: Certo. Esse é o espírito do que preconiza a 27001.

87) Tomar as ações corretivas e preventivas para alcançar a melhoria contínua, com
base nos resultados da auditoria interna do SGSI, na revisão gerencial ou em outra
informação pertinente, faz parte da fase do planejamento do SGSI.
R: Errado. A tomada de ações corretivas e preventivas são parte da fase “manutenção
e melhoria do SGSI” (Act).

A dependência nos sistemas de informação e serviços ilustra o quanto as

organizações estão cada vez mais vulneráveis às ameaças de segurança. A
informação pode ser impressa ou escrita em papel, armazenada eletronicamente,
transmitida pelo correio ou através de meios eletrônicos, exibida em filmes ou falada
em conversas. Independentemente da forma apresentada ou do meio usado para
compartilhar ou armazenar a informação, ela deve ser adequadamente protegida. A
respeito de segurança da informação, julgue os próximos itens.

88) A confidencialidade tem o objetivo de garantir que apenas pessoas autorizadas

tenham acesso à informação. Essa garantia deve ser obtida em todos os níveis, desde
a geração da informação, passando pelos meios de transmissão, até chegar ao seu
destino e ser devidamente armazenada ou, se necessário, destruída sem possibilidade
de recuperação.

 
 SEGURANÇA DA INFORMAÇÃO – PROF. SÓCRATES FILHO –
http://socratesfilho.wordpress.com

R: Certo. Apesar de não ser comum em TI, a destruição da mensagem para evitar que
o segredo seja revelado é algo que pode ser utilizado, principalmente em informações
muito sensíveis, que envolvem segurança nacional, por exemplo.

89) O processo de proteção da informação contra modificações não autorizadas ou

acidentais, conhecido como processo de irretratabilidade, garante a integridade da
informação, mas não necessariamente garante que o seu conteúdo esteja correto.
R: Errado. O processo não é chamado de irretratabilidade, mas sim de integridade, e
ele garante a irretratabilidade. Houve uma troca de posição entre os dois termos na
questão.

A figura acima ilustra o esquema geral para a criptografia DES (data encription
standard), projetado para permitir que a decodificação seja feita com a mesma chave
da codificação.
Considerando essa figura, julgue os itens seguintes.

90) O DES é uma cifragem de bloco que utiliza uma chave de 56 bits para criar uma
tabela de chaves. Ao utilizar tal tabela, o DES realiza manipulações de bits sobre o
texto simples e, para decriptar o texto cifrado, simplesmente reverte tudo.
R: Certo. Quando há a decifração ele faz todos os passos da cifração só que na ordem
inversa.

91) Criptoanálise diferencial e linear são tipos de ataques, porém, não podem ser
utilizados no DES com 16 etapas.

 
 SEGURANÇA DA INFORMAÇÃO – PROF. SÓCRATES FILHO –
http://socratesfilho.wordpress.com

R: Errado. Criptoanálise diferencial e criptoanálise linear são tipos de ataque que

analisam os as características entre os textos cifrados e decifrados, bit a bit, buscando
fazer uma predição da saída do bloco a partir das entradas. Essas modalidades de
criptoanálise podem ser utilizadas para tentar decifrar o algoritmo DES como forma de
facilitar a descoberta da chave.

Criptografia assimétrica é uma forma de criptossistema em que a criptografia e a

decriptografia são realizadas usando diferentes chaves — uma chave pública e uma
chave privada. A respeito de criptografia assimétrica, julgue os itens a seguir.

92) A figura a seguir mostra o uso da criptografia de chave pública para oferecer
autenticação.

R: Certo. Esse é o processo de criptografia para autenticação da origem da

mensagem, ou assinatura digital.

93) A figura a seguir ilustra o uso da criptografia de chave pública para garantir a
confidencialidade das informações.

R: O gabarito está errado, mas deveria ser correto, pois a figura ilustra o processo de
confidencialidade das informações. Essa questão cabe recurso.

Acerca da análise e avaliação de riscos e da seleção de controles, julgue os próximos

itens, segundo a norma ISO/IEC 27002.

 
 SEGURANÇA DA INFORMAÇÃO – PROF. SÓCRATES FILHO –
http://socratesfilho.wordpress.com

94) Os gastos com os controles não necessitam ser balanceados de acordo com o
negócio.
R: Errado. De acordo com a ISO 27002, sempre é necessário fazer uma avaliação dos
controles de acordo com a avaliação de riscos que o negócio sofre, para que os custos
dos controles não sejam maiores que os seus benefícios.

95) Convém que a análise e avaliação de riscos seja repetida periodicamente para
contemplar quaisquer mudanças que possam influenciar os resultados desse
procedimento.
R: Certo. A análise/avaliação de riscos deve ser repetida periodicamente, já que as
ameaças e os riscos do negócio costumam ser variáveis com o passar do tempo.

(CESPE – TRE/PR – 2009 – Técnico Judiciário – Especialidade: Operação de

computadores)

Com relação à segurança da informação, julgue os próximos itens.

86) Firewalls são equipamentos típicos do perímetro de segurança de uma rede,

sendo responsáveis pela detecção e contenção de ataques e intrusões.
R: Errado. Os firewalls não fazem a detecção de ataques e intrusões como os IPS,
mas fazem uma filtragem dos pacotes de redes que podem ser maliciosos e promover
ataques.

87) A criptografia pode prover confidencialidade, integridade, autenticidade e

disponibilidade.
R: O gabarito está errado, mas da forma como a questão foi apresentada, cabe
recurso. A criptografia auxilia a prover confidencialidade, integridade e disponibilidade,
e, no caso da criptografia assimétrica, também autenticidade e irretratabilidade.

88 Uma aplicação típica da esteganografia é prover privacidade em VPN.

R: Errado. Esteganografia é o processo de esconder uma mensagem dentro de outra
de forma que ela passe despercebida. Não tem a mesma função da criptografia que
serve para prover a confidencialidade, integridade, e autenticidade.

89) A criação de cópias de segurança é um procedimento básico para a continuidade

do negócio e recuperação de desastres.
R: Certo.

90) Cópias de segurança devem ser testadas periodicamente para verificar o estado
do seu meio de suporte e devem ser guardadas em local distinto das instalações onde
se encontram os dados nelas gravados.
R: Certo. Isso é expressamente recomendado na ISO 27002.

(CESPE – TRE/PR – 2009 – Técnico Judiciário – Especialidade: Programação de

Sistemas)

Julgue os itens de 96 a 100, relativos à segurança da informação.

96) Na criptografia, os algoritmos de cifragem e decifragem são públicos, enquanto as

chaves são secretas.

 
 SEGURANÇA DA INFORMAÇÃO – PROF. SÓCRATES FILHO –
http://socratesfilho.wordpress.com

R: O gabarito está certo, mas a questão está muito genérica e cabe recurso, já que na
criptografia assimétrica, apenas a chave privada é secreta, podendo a chave pública
ser divulgada.

97) A técnica S-box realiza uma substituição no nível de bits e inclui três componentes:
um codificador, um decodificador e, internamente, uma implementação da P-box. A P-
box permuta a saída do decodificador e o codificador converte a saída da P-box de
volta para código binário cifrado, com a mesma quantidade de bits encontrada na
entrada do decodificador.
R: Certo. Essa questão foi muito específica, e o CESPE apelou.

98) No método RSA, a chave de decodificação consiste em um par de inteiros (n, e)

em que n é o produto de dois inteiros quaisquer, não primos, e e é tal que mdc(e, F(n))
= 1, em que F é a função de Euler.
R: Errado. De acordo com o RSA, n é o produto de dois números inteiros primos
quaisquer, e e deve ser um número primo de (p-1).(q-1).

99) Em um código de chave pública, cada usuário divulga um conjunto de números

que será utilizado para um remetente enviar-lhe uma mensagem criptografada. Esse
conjunto é denominado chave de decodificação e é indispensável para a decodificação
da mensagem.
R: Errado. Primeiro, é encaminhado um único número que representa a chave e não
um conjunto de números. Essa chave é denominado chave de codificação ou cifração
e não é necessário para a decodificação da mensagem, apesar de guardar relação
com a chave de decifração.

100) Criptografia é o processo de converter dados em um formato que não é

entendido por pessoas não autorizadas. Os dados já descriptografados são
denominados texto cifrado.
R: Errado. Dados descriptografados são chamados texto em claro ou pleno.