5983640467

01/12/2022 19:33
A
Nome: Matrícula: ________________

Disciplina: ARA0076 / SEGURANÇA CIBERNÉTICA Data: ___ /___ /______

Período: 2022.2 / AV3 Turma: 3002

Leia com atenção as questões antes de responder.

É proibido o uso de equipamentos eletrônicos portáteis e consulta a materiais de qualquer natureza durante a realização da prova.

Boa prova.

1. _______ de 1,00

Quais são os três princípios fundamentais do Mundo da cibersegurança?

Confidencialidade, Integridade e Vulnerabilidade.

Comunicação, Integridade e Disponibilidade.
NDA
Confidencialidade, Integridade e Disponibilidade.
Conexão, Rede e Internet.

2. _______ de 1,00

Quais são as principais ameaças à segurança Cibernética?

NDA
1. Malware
2. Ransomware
3. Spyware
4. Eng. Social
5. Pentest

1. HTTPS
2. Eng.Social
3. Spyware
4. Phishing
5. DDoS

1. Malware
2. Ransomware
3. Spyware
4. Phishing
5. Android e Windows

1. Malware
2. Ransomware
3. Spyware
4. Phishing
5. DDoS

3. _______ de 1,00

OWASP basicamente significa Open Web Application Security Project , é uma comunidade online global sem fins
lucrativos composta por dezenas de milhares de membros e centenas de capítulos que produz artigos, documentação,
ferramentas e tecnologias no campo da segurança de aplicativos da web.

As 10 principais vulnerabilidades OWASP em 2020 são:

1. Injeção e Conexão de Internet

 2. Autenticação Quebrada
3. Exposição de dados sensíveis
4. Entidades externas HTTP(XXE)
5. Controle de acesso quebrado
6. Configurações incorretas de segurança
7. Cross-Site Scripting (XSS)
8. Desserialização Insegura
9. Usando componentes com vulnerabilidades conhecidas
10. Registro e monitoramento insuficientes.

NDA
1. Injeção
2. Autenticação Quebrada
3. Exposição de dados sensíveis
4. Entidades externas XML (XXE)
5. Controle de acesso quebrado
6. Configurações incorretas de segurança
7. Cross-Site Scripting (XSS)
8. Desserialização Insegura
9. Usando componentes com vulnerabilidades conhecidas
10. Registro e monitoramento insuficientes.

1. Injeção
2. Autenticação Quebrada
3. Exposição de dados sensíveis
4. Entidades externas JSON(XXE)
5. Controle de acesso Liberado
6. Configurações Corretasd de segurança
7. Cross-Site Scripting (XSS)
8. Desserialização Insegura
9. Usando componentes com vulnerabilidades conhecidas
10. Registro e monitoramento insuficientes.

1. Injeção
2. Autenticação Quebrada
3. Exposição de dados sensíveis
4. Entidades externas XML (XXE)
5. Controle de acesso quebrado
6. Configurações incorretas de segurança
7. Cross-Site Scripting (XSS)
8. Serialização Insegura
9. Usando componentes com vulnerabilidades desconhecidas
10. Registro e monitoramento insuficientes.

4. _______ de 1,00

Qual a característica de um ataque do tipo ¿Cross Site Scripting¿ (XSS) que motiva esse
nome mais específico, ao invés de simplesmente ¿Injeção de Código¿?

O código irá se multiplicar sozinho por vários sites, sem precisar ser executado. Por isso o nome é ¿cross site¿.
O XSS é um tipo específico de injeção de código que trata de comandos de banco de dados por SQL.
O código injetado é executado no computador do usuário, podendo expor informações daquele computador.
O XSS não é inofensivo para a empresa, não sendo motivo de preocupação.
A característica que o distingue é que o código injetado é executado no servidor da empresa.

5. _______ de 1,00

O que é Hardening Linux?

Hardening é uma técnica de blindagem de sistemas que envolve um processo de mapeamento das ameaças,
mitigação dos riscos e execução das atividades corretivas com foco na Empresa.
Hardening é uma técnica de Vulnerabidade de sistemas que envolve um processo de mapeamento das ameaças,
mitigação dos riscos e execução das atividades corretivas com foco na infra estrutura.
NDA
Hardening é uma técnica de blindagem de sistemas que envolve um processo de mapeamento das ameaças,
mitigação dos riscos e execução das atividades corretivas com foco na infra estrutura.
Hardening é uma técnica de blindagem do Usuário que envolve um processo de mapeamento das ameaças,
mitigação dos riscos e execução das atividades corretivas com foco na infra estrutura.

6. _______ de 1,00

Por definição hardening é um processo que mapea as ameaças, através de ação dos riscos e execução das atividades
corretivas, tento como foco principal a infraestrutura, e seu objetivo principal é de torná-la preparada para enfrentar
tentativas de ataque. Com base no texto podemos entende-se por Hardening.

um software para a detecção de invasão a servidores de redes.

a tolerância a falhas e o bom desempenho de sistemas.
os processos para a auditoria de segurança de servidores.
os controles implantados no tráfego das redes.
as medidas e ações que visam proteger um sistema de invasores.

7. _______ de 1,00

Algoritmos criptológicos simétricos são conhecidos da humanidade desde os tempos mais primórdios, e na segunda guerra
mundial a máquina ENIGMA ficou conhecida por ter sido usada pelos alemães para as comunicações sigilosas estratégicas.
Já a criptografia simétrica passou a ser conhecida da década de 70 em diante.

Sobre a criptologia e seu uso atual, avalie as assertivas a seguir e a relação entre elas:

I - A principal fragilidade da criptografia simétrica é resolvida com a substituição pela criptografia assimétrica.

PORQUE

II - A criptografia assimétrica oferece mecanismos para troca segura de chaves sem a demanda de contato direto entre os
pares de uma comunicação privada.

A respeito dessas assertivas, assinale a opção correta:

A assertiva I é uma proposição verdadeira, mas II é uma proposição falsa.

As assertivas I e II são proposições verdadeiras, mas II não é uma justificativa correta para a I.
As assertivas I e II são proposições falsas.
As assertivas I e II são proposições verdadeiras, e a II é uma justificativa correta para a I.
A assertiva I é uma proposição falsa, mas II é uma proposição verdadeira.

8. _______ de 1,00

Com base em recuperação de desastres complete o paragrafo abaixo.

O plano de recuperação de desastres determina como você faz o backup dos seus dados. As opções incluem
armazenamento em nuvem, backups com suporte de fornecedores e backups de dados internos fora da sede. Para
responder a eventos de desastres naturais,

NDA
os backups não devem ser feitos no local.
os backups não devem ser feitos na nuvem.
os backups devem ser feitos no local.
os backups devem ser feitos na nevem

9. _______ de 1,00

O protocolo Wi-Fi 802.11 é um dos mais utilizados atualmente. Sua maior vulnerabilidade está presente na utilização do:

WPA 2 (Wi-Fi Protected Access version 2)

WPA (Wi-Fi Protected Access)
Ethernet
WEP (Wired Equivalent Privacy)
WPS (Wi-Fi Protected Setup)

10. _______ de 1,00

A segurança da informação compreende um conjunto muito amplo de processos e procedimentos que, visam garantir que as
empresas possam estar em um nível aceitável de segurança, minimizando os riscos que possam comprometer a disponibilidade,
integridade e a confidencialidade seus ativos, para isso vários documentos são desenvolvidos, esses documentos descrevem as
ações e procedimentos que devem ser seguidos para garantir a segurança e minimizar os impactos em caso de falhas.

Nesse contexto existe um documento que tem como principal objetivo descrever os procedimentos para restaurar, em tempo
hábil, os serviços e sistemas que sustentam os processos críticos do negócio em caso de falhas severas, e que possam
comprometer a continuidade do negócio como, por exemplo: em caso de incêndio, inundação, destruição dos servidores entre
outros.

Com base nas informações apresentadas no texto, podemos afirmar que o documento de segurança que descreve os
procedimentos para recuperar os serviços e sistemas em tempo hábil diante de situações extremas é.

Um DRP, (inglês Disaster Recovery Plan) Plano de Recuperação de Desastre.

O PRI. Plano de Resposta a Incidentes.
A PSI, Política de Segurança da Informação.
A ISO 27002.
A ISO 27001.

Avaliação Digital - (AVDS)

1. _______ de 1,25

Ao participar de um seminário de segurança cibernética, um Técnico ficou ciente que a indústria de segurança está
trabalhando na popularização dos filtros de tráfego para aplicações em nuvem, incluindo serviços de segurança para
aplicações web no modelo SaaS, com uma oferta cada vez mais variada e de custo acessível. Estes dispositivos são
posicionados em situações estratégicas das redes locais e da nuvem, sendo capazes de detectar pequenas ou grandes
anomalias, em relação ao padrão de tráfego, e disparar mecanismos de alerta, proteção ou destravamento de ataques. Um
especialista em segurança afirmou que grandes empresas exploradoras da nuvem, como Amazon, Cisco, IBM e provedores
de infraestrutura de nuvens públicas ou híbridas de todos os portes estão ajudando a disseminar a adoção deste tipo de
dispositivo como forma de mitigação dos riscos nesse ambiente.

O dispositivo mencionado é o:

Web Application Firewall − WAF.

Demilitarized Zone − DMZ do tipo Proxy.
Network Access Control − NAC Agentless.
Virtual Private Node − VPN.
Unified Threat Mechanism − UTM.

2. _______ de 1,25

Um desenvolvedor criou uma aplicação WEB que possui diversas áreas com informações criticas ou sigilosas. Para tentar ocultar
essas informações do acesso por usuários não autorizados, o desenvolvedor tentou proteger algumas funcionalidades críticas do
sistema, apenas criando uma supressão dos links ou URLs dentro da aplicação para usuários não autorizados. Um atacante
conseguiu descobrir quais os links que estavam suspensos, que davam acesso às informações restritas, e conseguiu realizar
ações que normalmente não são autorizadas para os usuários que não possuam os devidos privilégios, fazendo uso do acesso
direto aos links ou URLs que dão acesso a essas informações.

Fonte o autor (Gilberto Gonzaga)

Com base nas informações apresentadas no texto sobre o ataque realizado na aplicação WEB, criada pelo desenvolvedor, e
possível afirmar que:

O atacante fez uso de uma vulnerabilidade comum classificada pela OWASP como sendo uma Autenticação falha e
Gerenciamento de Sessão.
O atacante fez uso de uma vulnerabilidade comum classificada pela OWASP como sendo uma Falha de Restrição de
Acesso à URL.
O atacante fez uso de uma vulnerabilidade comum classificada pela OWASP como sendo uma Execução maliciosa de
arquivos.
O atacante fez uso de uma vulnerabilidade comum classificada pela OWASP como sendo uma Referência Insegura
Direta a Objetos.
O atacante fez uso de uma vulnerabilidade comum classificada pela OWASP como sendo uma Falha de Injeção de
SQL.

3. _______ de 1,25

Existem muitos riscos bem conhecidos e de domínio público que são úteis como fontes de referências para que pesquisadores e
desenvolvedores aprendam como identificá-los e evitar que estejam presentes nos sistemas. Uma das fontes mais conhecidas é o
Top 10 da OWASP (OWASP Top Ten, 2020). Trata-se de um relatório que descreve os principais riscos de segurança de
aplicativos da web. O foco do relatório está nas dez principais vulnerabilidades e é atualizado regularmente. Assim, o risco de
segurança que corre quando dados não confiáveis são enviados para um interpretador como parte de um comando ou consulta
legítima. Os dados hostis do atacante podem enganar o interpretador levando-o a executar comandos não pretendidos ou a
aceder a dados sem a devida autorização (Adaptado OWASP Top 2017). Este risco de segurança é conhecido como:

Exposição de Dados
Entidades Externas de XML (XXE)
Quebra de Controle de Acessos
Injeção
Quebra de Autenticação

4. _______ de 1,25

Qual a consequência do uso de softwares cujo ciclo de vida terminou?

Exposição a vulnerabilidades, pois o fabricante não é mais obrigado a corrigi-las

Pode acarretar apenas danos à imagem de empresa, que será vista como ultrapassada
Significa que existe uma boa gestão de recursos computacionais na empresa
Lentidão de acesso
Economia de recursos

5. _______ de 1,25

O alvo do ataque de desserialização insegura são aplicações da web que serializam e desserializam dados. Serialização é uma
forma de transformar objetos (estrutura de dados) de uma aplicação e convertê-los em um formato que pode ser usado para
armazenar os dados, ou fazer streaming. A desserialização é o processo contrário: Os dados serializados são convertidos em
objetos que podem ser usados pelas aplicações. Um ataque de desserialização insegura ocorre no processo de desserialização,
ou seja, antes que os dados sejam transformados em objetos e possam ser usados pelos aplicativos. Esse tipo de ataque é o
resultado da desserialização de dados de fontes não confiáveis. As consequências podem ser ataques de negação de serviço
(DDoS) e de execução remota de código. Entre as medidas que podem evitar esse tipo de ataque estão: Monitoramento da
desserialização, verificações de tipos e proibição de desserialização de dados de fontes não confiáveis.

Para evitar desserializações inseguras, a recomendação é não aceitar objetos serializados de fontes não confiáveis. Além disso, a
OWASP também dá a seguinte recomendação (INSECURE DESERIALIZATION, 2020):

Não impor restrições de tipo durante a desserialização dos dados antes da criação do objeto, pois a aplicação foi
desenvolvida para receber um conjunto de dados com tipos pré-definidos;
Restringir a conectividade de rede, somente de entrada de servidores que desserializam;
Monitorar o comportamento de usuários que raramente fazem desserialização;
Com o objetivo de impedir a criação de objetos com riscos de segurança, ou a violação de dados, deve-se implementar
verificações de integridade, como assinaturas digitais em qualquer objeto serializado;
Sempre que possível, executar código que desserializa dados em ambientes de alto privilégio;

6. _______ de 1,25

Ataques na internet são as tentativas de criminosos cibernéticos de destruir, danificar ou tornar indisponível
uma rede de sistemas. Tais infrações podem fazer com que dados sigilosos sejam roubados ou expostos,
causando a extorsão e exposição de informações confidenciais armazenadas.
Estes ataques geralmente ocorrem com diversos objetivos, visando diferentes alvos e usando variadas
técnicas. Qualquer serviço, computador ou rede acessível pela Internet pode ser alvo de um ataque, da mesma
forma que também qualquer computador com acesso à Internet pode participar de um ataque. Existem muitas
razões para os criminosos lançarem ataques na Internet, desde simples entretenimento a atividades ilegais.
Suas motivações geralmente estão relacionadas à exibição de poder, prestígio, finanças, ideologia e
motivações empresariais.
Disponível em: < https://wcsconectologia.com.br/blog/ataques-ciberneticos-o-que-sao-e-como-se-proteger/>.
Acesso em: 01 set. 2021.
Uma das vulnerabilidades comuns classificadas pelo OWASP tem como característica fazer com que o
navegador de um dispositivo alvo do ataque que esteja autenticado em uma aplicação WEB legitima, por
exemplo, seja forçado a enviar uma requisição pré-autenticada a um servidor Web vulnerável sem os devidos
tratamentos de segurança, que por sua vez força o navegador do dispositivo da vítima a executar ações
maliciosas a favor do atacante. Com base nas informações apresentadas sobre esse tipo de ataque, podemos
concluir que:

Trata-se de um ataque de Referência Insegura Direta a Objetos.

Trata-se de um ataque de Execução maliciosa de arquivos.
Trata-se de um ataque de Autenticação falha e Gerenciamento de Sessão.
 Trata-se de um ataque de Cross Site Scripting (XSS).
Trata-se de um ataque de Cross Site Request Forgery (CSRF).

7. _______ de 1,25

Os ataques que exploram a vulnerabilidade de quebra de controle de acesso restringem a quantidade de seções ou páginas
que os visitantes podem acessar. O controle de acesso é uma segmentação de responsabilidades em que administradores e
os demais usuários devem ter direitos distintos sobre as funcionalidades e dados dos sistemas. No entanto, muitos sistemas
não trabalham dessa forma, como, por exemplo, alguns dos principais sistemas de gerenciamento de conteúdo (JERKOVIC;
SINKOVIC, 2017). Alguns exemplos que precisam de controle para acessar são:

1. Servidores via FTP/SFTP/SSH;

2. Painel administrativo de um site;
3. Aplicativos do servidor;
4. Sites de Navegação;
5. Bancos de dados;

Marque a alternativa abaixo que contém todos os exemplos, da lista acima, que precisam de controle:

II, III, IV e V
I, III, IV e V
I, II e III
II, IV e V
I, II, III e V

8. _______ de 1,25

De acordo como OWASP - Open Web Application Security Project os ataques no nível das aplicações tem cada vez
aumentado nos últimos anos. Esta organização não governamental tem sido de grande ajuda na publicação de conteúdos
que contribuem para o desenvolvimento de software mais seguro.

Fonte: https://owasp.org/

Sobre esta instituição julgue as asserções abaixo:

I - O OWASP é uma Instituição com fins lucrativos. Neste sentido, o conteúdo oferecido precisa ser remunerado pelos
desenvolvedores.

II - Dentre os conteúdos publicados pelo OWASP é possível se encontrar um detalhamento técnico de como se
desencadeiam alguns tipos de ataques a aplicações web, a exemplo do Sql-injection e XSS.

III - O OWASP também publica conteúdos que ajudam as empresas a se prevenirem contra ataques cibernéticos em sua
infraestrutura de redes e ambientes operacionais.

Está correto o que se afirma em:

Apenas I e III são verdadeiras

Todas são verdadeiras
Apenas I e II são verdadeiras
Apenas II é verdadeira
Apenas II e III são verdadeiras

Campus: Prova Impressa em 01/12/2022 por

GILBERTO GIL ADELITO TOSTA INACIO DA SILVA

Ref.: 5983640467 Prova Montada em 30/11/2022