Aluno: ___________________________________________
implementando um NAP (proteção de acesso à rede) em um
1) Uma das maneiras de promover a segurança em conexões
na World Wide Web é a utilização do Hypertext Transfer
Protocol Secure (HTTPS) em lugar do Hypertext Transfer
Protocol (HTTP). A seu respeito é correto afirmar que
a) para estabelecer uma conexão HTTPS, o servidor deve
ser capaz de criptografar e decriptografar o conteúdo
transmitido; a mesma capacidade não é necessária da
parte do cliente (navegador).
b) para o uso do protocolo HTTPS é necessário que o
cliente (navegador) esteja habilitado a processar e
armazenar pacotes de informação conhecidos como
cookies.
c) o port reservado pela Internet Assigned Numbers
Authority (IANA) para conexões HTTPS é o de
número 22.
d) estritamente falando, HTTPS não é um protocolo
diferente do protocolo HTTP mas, simplesmente, um
nome para o uso do protocolo HTTP através de uma
conexão criptografada.
e) o protocolo HTTPS permite a transmissão segura entre
cliente e servidor sem a necessidade de certificados
digitais emitidos por terceiros.
2) Um problema bastante comum e perigoso em aplicações
web é o CSRF (Cross-Site Request Forgery). Um ataque
CSRF consiste em
a) encerrar as seções abertas dos usuários.
b) inserir um vírus em uma rede via protocolo http.
c) derrubar um servidor por meio de ataque de DoS.
d) inserir códigos SQL para a execução de uma aplicação.
e) inserir requisições em uma sessão aberta pelo usuário.
3) Para viabilizar uma comunicação segura no ambiente da
Internet, vários protocolos de segurança podem ser
adotados.
No caso do serviço Web, para garantir a segurança na
comunicação, deve-se adotar o protocolo
a) HTML over SSL
b) HTML Secure
c) HTTP over SSL
d) HTTP Secure
e) XML Secure
4) Tipo de vulnerabilidade de segurança em aplicações web
que permite ao atacante inserir códigos maliciosos numa
página web para que sejam executados no momento que tais
páginas forem acessadas:
a) ICS.
b) RFI.
c) SQL Injection.
d) XSS.
5) Bloquear o acesso de pessoas a sistemas críticos é muito
importante, principalmente diante dos aspectos ligados à
LGPD.
Assinale a sequência que apresenta um bom exemplo de
mecanismos de segurança, de acordo com a proposta do
autor Marcos Sêmola, quando se trata de, respectivamente,
“O que você sabe?”; “O que você tem?”; “O que você é?”.
a) Senha; cartão; biometria.
b) Cartão; senha; biometria.
c) Biometria; senha; cartão.
d) Cartão; biometria; senha.
6) Amanda trabalha em uma consultoria X e está
cliente. O objetivo de Amanda com tal implementação é
manter a integridade dos computadores da rede corporativa.
Para proteger o acesso à rede de forma adequada, deve
existir uma infraestrutura de rede que forneça à área de
funcionalidade:
a) validação de integridade: determina se os
computadores estão em conformidade com os
requisitos de integridade do sistema;
b) zona desmilitarizada: impede que um usuário
autorizado com um computador em conformidade
carregue um programa mal-intencionado na rede;
c) restrição de rede: permite o acesso à rede, desde que o
computador do usuário atenda aos requisitos de política
de integridade;
d) correção: restringe o acesso à rede ou à comunicação
para clientes que não estão em conformidade com os
requisitos de integridade do sistema;
e) conformidade contínua: fornece as atualizações
necessárias para permitir que o computador corrija seu
estado de integridade não compatível.
7) Em um ambiente de acesso à Internet, constituem medidas
mais adequadas para minimizar os problemas de segurança
e produtividade e riscos de contaminação por vírus, trojans
e outros códigos maliciosos:
a) Utilizar filtros para inspeção de conteúdos maliciosos
nos acessos à Web.
b) Adotar políticas de acesso e log para e-mails
recebidos/enviados.
c) Manter atualizadas as ferramentas de antivírus nas
estações de trabalho.
d) Adotar políticas de segurança, ferramentas antivírus e
filtro de inspeção de conteúdo em e-mail e acessos a
Web.
e) Implementar antivírus e ferramenta anti-spam.
8) Observe as afirmativas abaixo sobre segurança de dados na
Internet:
I. A Internet tem permitido atos de violência física
ou psicológica, intencionais e repetidos,
praticados com o objetivo de intimidar ou agredir
outro indivíduo (ou grupo de indivíduos) incapaz
de se defender.
II. A Internet é inundada por e-mails alarmantes ou
falsos, também conhecidos como lendas urbanas,
que simulam notificações de órgãos
governamentais ou empresas idôneas, e têm por
objetivo causar falsos alardes ou propagar vírus,
causando embaraços ao usuário.
III. Destinatários de e-mail tentam se passar por uma
pessoa ou entidade confiável, como com o
objetivo de obter dados pessoais ou informações
privilegiadas do usuário.
As afirmativas I, II e III descrevem, respectivamente,
conceitos de:
a) bullying, hoax e phishing scams
b) hoax, spoofing e spam
c) trojan horse, spoofing e phishing scam
d) spam, bullying e trojan horse
9) A Lei Geral de Proteção de Dados Pessoais (LGPD – Lei n° 11) O nome dado a uma rede formada por computadores
13.709, de 14 de agosto de 2018) foi promulgada para invadidos por software malicioso sob controle de um
proteger os direitos fundamentais de liberdade e de mesmo indivíduo ou programa é
privacidade e a livre formação da personalidade de cada a) Honeynet.
indivíduo. Essa Lei versa sobre o tratamento de dados b) Botnet.
pessoais, dispostos em meio físico ou digital, feito por c) Extranet.
pessoa física ou jurídica de direito público ou privado, e d) Zombienet.
engloba um amplo conjunto de operações efetuadas em e) Wormnet.
meios manuais ou digitais. Considere as asserções a seguir
sobre a LGPD. 12) Constituem medidas preventivas que tornam um programa
I. O Controlador é definido pela Lei como a pessoa leitor de e-mails mais seguro:
natural ou jurídica, de direito público ou privado, I. Desligar as opções que permitem abrir ou executar
a quem competem as decisões referentes ao automaticamente arquivos ou programas anexados
tratamento de dados pessoais, tais como as às mensagens.
finalidades e os meios do tratamento (art. 5º, VI). II. Desligar as opções de execução de JavaScript e de
No âmbito da Administração Pública, o programas Java.
Controlador será a pessoa jurídica do órgão ou III. Manter, preferencialmente, o modo de
entidade pública sujeita à Lei, representada pela visualização de e-mails no formato HTML.
autoridade imbuída de adotar as decisões acerca do IV. Evitar clicar diretamente em links exibidos no
tratamento de tais dados. conteúdo do e-mail; digitar o endereço
II. O Encarregado é a pessoa natural ou jurídica, de diretamente no browser (presumindo que ele esteja
direito público ou privado, que realiza o adequadamente configurado).
tratamento de dados pessoais em nome do É correto o que consta APENAS em:
controlador (art. 5º, VII), podendo ser agentes a) I e III.
públicos, no sentido amplo, que exerçam tal b) II e IV.
função, bem como pessoas jurídicas diversas c) I, II e IV.
daquela representada pelo Controlador, que d) I, III e IV.
exerçam atividade de tratamento, no âmbito de e) II, III e IV.
contrato ou de instrumento congênere. ]
III. O Operador, definido pelo art. 5º, VIII, é a pessoa 13) A LGPD prevê a realização do tratamento de dados
indicada pelo controlador e encarregado para atuar pessoais, mediante o consentimento do titular dos dados,
como canal de comunicação entre o controlador, para o cumprimento de obrigação legal ou regulatória e para
os titulares dos dados e a Autoridade Nacional de a realização de estudos ou a execução de contratos a pedido
Proteção de Dados (ANPD). do titular. Entretanto, as situações que envolvam segurança
IV. Na hipótese legal de tratamento de dados pela pública e defesa nacional não serão objeto de aplicação da
administração pública, é dispensado o referida lei.
consentimento do titular do dado, desde que seja a) Certo
para o tratamento e uso compartilhado de dados b) Errado
necessários à execução de políticas públicas
previstas em leis e em regulamentos, ou 14) Sobre TLS, analise as assertivas e assinale a alternativa que
respaldadas em contratos, convênios ou aponta a(s) correta(s).
instrumentos congêneres, observadas as I. O TLS foi embutido no SSL na versão 3.
disposições do Capítulo IV da Lei. II. A maioria dos sites de comércio eletrônico na Web
Estão corretas apenas as asserções utiliza SSL/TLS para estabelecer sessões
a) I e III. autenticadas e seguras entre cliente e servidor.
b) II e III. III. A partir da criação do TLS o SSL continua sendo
c) I e IV. forte no mercado, embora o TLS provavelmente o
d) II e IV. substituía aos poucos.
IV. A limitação do TLS é a de ser uma tecnologia
10) Um projeto de segurança para a intranet de uma instituição fechada, desta forma a compatibilidade com outras
deve sempre ser focado em benefícios. A segurança reduz aplicações fica comprometida.
os riscos, mantém a informática sob controle e possibilita a
implementação de aplicações que aumentem a a) Apenas I
produtividade. Com relação a esse assunto, assinale a opção b) Apenas I, II e III.
que apresenta aspecto que NÃO é considerado segurança c) Apenas I, III e IV.
em uma intranet. d) Apenas II, III e IV.
a) Atenção à segurança na integração da intranet com a e) I, II, III e IV.
internet.
b) Criptografa das informações, evitando ações de 15) O ato pelo qual uma pessoa tenta se passar por outra,
grampos e analisadores de protocolos. atribuindo-se uma falsa identidade, com a finalidade de
c) Identifcação dos usuários, de preferência integrada obter vantagens indevidas, é definido como furto de
com a rede e com os demais sistemas. identidade (identity theft).
d) Restrição da quantidade de usuários que acessam a a) Certo
intranet simultaneamente. b) Errado
16) Sobre o protocolo TLS, é correto afirmar que
a) é um protocolo utilizado para o envio de mensagem de
e-mail, utilizando técnicas de criptografia para
segurança dos dados.
b) fornece o controle, a identificação e a transferência de
dados na Web, utilizando o conjunto de protocolos
TCP/IP.
c) é utilizado para troca de texto de forma bidirecional,
permitindo a funcionalidade de um terminal interativo
e remoto.
d) é uma extensão do protocolo IP que fornece maior
confiabilidade, autenticidade e integridade para a
comunicação na Internet.
e) provê segurança para transferência de dados pela
Internet, utilizando técnicas de autenticação e
criptografia.
17) Leia cada uma das afirmativas abaixo e assinale
Verdadeiro(V) ou Falso(F):
(__) Hoax é uma mensagem que possui conteúdo alarmante
ou falso e que, geralmente, tem como remetente, ou aponta
como autora, alguma instituição ou órgão governamental.
(__) Phishing é um tipo de fraude por meio do qual um
golpista tenta obter dados pessoais e financeiros de um
usuário, pela combinação de meios técnicos e engenharia
social.
(__) Malware é um tipo de vírus que se propaga, de forma
automática, no computador infectado.
(__) Worm é uma praga virtual que diferente do vírus
precisa da interação do usuário para se propagar.
a) F - F - F - V
b) V - V - V - F
c) V - F - V - F
d) V - V - F - F
e) V - V - V - F
18) Analise as seguintes afirmativas acerca de golpes/fraudes
na Internet. Em seguida, assinale com V as verdadeiras e
com F as falsas.
(__) O pharming é um tipo de golpe que redireciona um
usuário para um site falso.
(__) O phishing é um tipo de fraude em que o adversário se
utiliza da combinação de meios técnicos e engenharia social
para lograr sucesso.
(__) O furto de identidade é quando o adversário tenta se
passar por um usuário, em geral, legítimo.
(__) O boato (hoax) é um tipo de golpe em que engenharia
social é utilizada eminentemente para invadir computadores
alheios.
Assinale a alternativa que apresenta a sequência
CORRETA.
a) V V V F.
b) V V F F.
c) F V V F.
d) V F F V.
19) É conhecido como um arquivo eletrônico que contém dados
de uma pessoa ou instituição, utilizados para comprovar sua
identidade. Este arquivo pode estar armazenado em um
computador ou em outra mídia, como um token ou smart
card. Estamos falando em:
a) Mídia digital.
b) Certificado digital.
c) Token Smart.
d) Certificado inteligente.
e) Token digital
20) O golpe de Pharming é um ataque que consiste em
a) corromper o DNS, fazendo com que a URL de um site
passe a apontar para um servidor diferente do original.
b) alterar as tabelas de roteamento para que o roteador
desvie os pacotes para um falso servidor.
c) impedir que o servidor DNS converta o endereço em
um número IP e assim congestionar a rede.
d) instalar um programa cliente no servidor de destino
para capturar senhas e endereços de sites.
e) travar um servidor de páginas através do envio de
pacotes IP inválidos.
21) Assinale a alternativa que apresenta um método utilizado
como base para o ataque de segurança chamado de
pharming.
a) Envenenamento de cache de DNS.
b) Negação de serviço distribuída.
c) Código malicioso escondido em arquivos.
d) Troca de endereços nos cabeçalhos IP das mensagens.
e) Troca de portas nos cabeçalhos TCP das mensagens.
22) Considere as afirmações abaixo sobre phishing.
I. Phishing é um ataque que pretende obter dados
pessoais e financeiros.
II. Ataques de phishing podem empregar diferentes
técnicas, incluindo: engenharia social, páginas
web falsas e sequestro de DNS (DNS Hijacking).
III. A utilização de senhas fortes impede que um
ataque de phishing seja bem-sucedido.
Quais estão corretas?
a) Apenas I.
b) Apenas II.
c) Apenas III.
d) Apenas I e II.
e) I, II e III.
23) De acordo com o CERT.br: “Phishing, phishing-scam ou
phishing/scam, é o tipo de fraude por meio da qual um
golpista tenta obter dados pessoais e financeiros de um
usuário, pela utilização combinada de meios técnicos e
engenharia social.”. Qual dos exemplos abaixo pode ser
atribuído a uma situação que envolve phishing?
a) Acesso indevido: caso esteja mal configurado ou
possua vulnerabilidades o programa de distribuição de
arquivos pode permitir o acesso indevido a diretórios e
arquivos (além dos compartilhados).
b) Coleta de informações pessoais: dados preenchidos por
você em formulários Web também podem ser gravados
em cookies, coletados por atacantes ou códigos
maliciosos e indevidamente acessados, caso não
estejam criptografados.
c) Noiva russa: alguém deixa um recado em sua rede
social contendo insinuações sobre um possível
relacionamento amoroso entre vocês. Esta pessoa mora
em outro país, geralmente a Rússia, (...) para que ela
possa vir até o seu país, necessita ajuda financeira para
as despesas de viagem.
d) Solicitação de recadastramento: você recebe uma
mensagem, supostamente enviada pelo grupo de
suporte da instituição de ensino que frequenta ou da
empresa em que trabalha, informando que o serviço de
e-mail está passando por manutenção e que é
necessário o recadastramento.