Questões de Concurso Sobre segurança da informação

Foram encontradas 14.734 questões

Q919245 Segurança da Informação
O usuário U1 precisa compartilhar uma chave simétrica K com o usuário U2. Para prover controle de integridade, autenticidade e sigilo para a chave K, o usuário U1 deve gerar a sua assinatura digital para essa chave e, em seguida, criptografar a chave K e sua assinatura com a
Alternativas
Q919244 Segurança da Informação
Os códigos maliciosos fazem inúmeras vítimas e provocam os mais variados prejuízos. Quando esse código se instala na máquina da vítima para permitir conexões remotas, funcionando como um controle remoto, é classificado como
Alternativas
Q919243 Segurança da Informação
O perímetro de segurança da técnica de defesa em profundidade visa a aumentar a segurança da borda da rede. O componente do perímetro que visa a intermediar as mensagens de nível de aplicação entre clientes internos e servidores externos, para impor a política de segurança da empresa, é o
Alternativas
Q919113 Segurança da Informação
Considere o seguinte protocolo de autenticação, especificado na recomendação X.509.
A→B: A{ta,ra,B} B→A: B{tb,rb,A,ra} A→B: A{rb,B}
Onde:
A→B significa envio de informação de A para B;
X{M} representa o envio da mensagem M assinada por X (a mensagem e a assinatura da mensagem enviada);
ta e tb são marcas (estampas) de tempo;
ra e rb são números únicos gerados por A e B respectivamente;
A e B são os identificadores das entidades envolvidas na autenticação.
Sobre esse mecanismo de autenticação, assinale a alternativa correta.
Alternativas
Q919107 Segurança da Informação
O acesso aos recursos de um sistema operacional requer a autenticação do usuário. Essa autenticação pode ser realizada por meio de senhas de acesso. Entretanto, essa forma de autenticação pode sofrer ataques. Para tornar mais robusta a autenticação por meio de senhas e reduzir a probabilidade de ataques bem sucedidos, a estratégia mais eficiente, entre as apresentadas nas alternativas abaixo, é
Alternativas
Q919095 Segurança da Informação
Ao ser utilizado o comando secure shell (SSH) para estabelecer sessões remotas de trabalho, é necessário que o usuário forneça, no momento da conexão, seu nome de usuário e sua senha. Para evitar tal procedimento, é possível fazer a autenticação gerando um par de chaves, pública e privada, e armazenando, adequadamente, essas chaves em diretórios específicos nas máquinas envolvidas na conexão. Considerando essa situação, assinale a alternativa correta.
Alternativas
Q919088 Segurança da Informação
Considerando as propriedades de confidencialidade, integridade, autenticidade, disponibilidade e irretratabilidade (não repúdio) da segurança da informação, o emprego de funções de resumo criptográfico (hash) garante, única e exclusivamente, a propriedade da
Alternativas
Ano: 2018 Banca: FAURGS Órgão: BANRISUL Prova: FAURGS - 2018 - BANRISUL - Gestão de TI |
Q919026 Segurança da Informação

Um dos itens mais relevantes da infraestrutura de TI de organizações bancárias consiste na segurança da comunicação de dados. Ataques a essa infraestrutura por crackers provenientes de equipamentos externos podem ter consequências catastróficas para a instituição. Um dos tipos de ataque de maior potencial destrutivo nesse sentido são os ataques de canal lateral (em inglês side-channel attacks).


Considere as afirmações abaixo sobre ataques de canal lateral.


I - Ataques de canal lateral são habilitados quando um atacante possui acesso a classes de informação adicionais sobre o canal de comunicação, tais como a dissipação de potência ou o consumo de corrente elétrica do canal, as emissões eletromagnéticas deste, etc.

II - Na prática, não é possível evitar o vazamento de informações por todos os possíveis canais laterais existentes.

III - Podem ser efetivos apenas para efetuar ataques sobre criptografia de chave privada, mas não para criptografia baseada em chave pública.


Quais estão corretas?

Alternativas
Ano: 2018 Banca: FAURGS Órgão: BANRISUL Prova: FAURGS - 2018 - BANRISUL - Gestão de TI |
Q919010 Segurança da Informação
O gerenciamento de riscos é um dos trabalhos mais importantes para um gerente de projeto, pois riscos podem ameaçar o projeto, o software em desenvolvimento ou a organização.
O primeiro estágio do processo de gerenciamento de riscos é
Alternativas
Ano: 2018 Banca: FAURGS Órgão: BANRISUL Prova: FAURGS - 2018 - BANRISUL - Gestão de TI |
Q919007 Segurança da Informação

Considere as seguintes afirmações sobre Política de Segurança, em particular com foco no que a ISO/IEC 27002 estabelece para relacionamentos com fornecedores.


I - Requisitos de segurança da informação para a mitigação de riscos associados ao acesso do fornecedor aos ativos organizacionais devem ser acordados com o fornecedor e documentados.

II - Requisitos relevantes de segurança da informação devem ser estabelecidos e acordados com cada fornecedor que pode acessar, processar, armazenar, comunicar ou fornecer componentes de infraestrutura de TI para as informações da organização.

III - Acordos com fornecedores devem incluir requisitos que tratem dos riscos de segurança da informação, associados aos serviços de tecnologia da informação e comunicação e à cadeia de suprimento dos produtos.


Quais estão corretas?

Alternativas
Ano: 2018 Banca: FAURGS Órgão: BANRISUL Prova: FAURGS - 2018 - BANRISUL - Teste de Software |
Q918907 Segurança da Informação
Os testes de segurança são projetados para investigar vulnerabilidades no ambiente, sendo tarefa do testador de segurança identificar pontos vulneráveis. Considere os seguintes elementos de segurança.
I - Firewall (bloqueadores contra ataques) II - Autenticação , III - Criptografia
Quais podem ser implementados para proteção contra essas vulnerabilidades?
Alternativas
Q918884 Segurança da Informação
Considere as falhas de segurança abaixo.
I - Integer overflow II - Injeção de comandos III - Vazamento de informações sensíveis IV - Execução remota de comandos V - Ataques de força bruta
Quais podem ser evitadas por meio de boas práticas de programação segura?
Alternativas
Q918883 Segurança da Informação
No contexto de segurança de dados, qual das alternativas abaixo melhor define um Zero-Day?
Alternativas
Q918882 Segurança da Informação
A linha de log abaixo foi retirada de um servidor web.
    GET /index.php?user=1'%20or%20'1'%20=%20'1&pass=1'%20or%20'1'%20=%20'1
Qual das alternativas melhor descreve o ataque?
Alternativas
Q918881 Segurança da Informação
Em uma análise realizada em um servidor comprometido, observaram-se as seguintes linhas nos logs de acesso:
Dec 19 21:59:14 localhost sshd[12297]: Failed password for invalid user root from 10.0.0.100 port 46290 ssh2 Dec 19 21:59:15 localhost sshd[12297]: Failed password for invalid user test from 10.0.0.100 port 46290 ssh2 Dec 19 21:59:17 localhost sshd[12299]: Failed password for invalid user admin from 10.0.0.100 port 46325 ssh2 Dec 19 21:59:19 localhost sshd[12301]: Failed password for invalid user info from 10.0.0.100 port 46351 ssh2 Dec 19 21:59:22 localhost sshd[12303]: Failed password for invalid user pi from 10.0.0.100 port 46378 ssh2 Dec 19 21:59:24 localhost sshd[12305]: Failed password for invalid user user from 10.0.0.100 port 46403 ssh2 Dec 19 21:59:27 localhost sshd[12307]: Failed password for invalid user postgres from 10.0.0.100 port 46435 ssh2 Dec 19 21:59:30 localhost sshd[12309]: Failed password for invalid user mysql from 10.0.0.100 port 46464 ssh2
Considere as afirmações abaixo sobre essas linhas.
I - A utilização de criptografia forte impede que esse tipo de ataque seja bem-sucedido. II - Limitar o número de pacotes TCP SYN por endereço IP de origem é uma forma de mitigar esse tipo de ataque. III - Descrevem uma varredura destinada às portas do protocolo UDP.
Quais estão corretas?
Alternativas
Q918880 Segurança da Informação
Considere as afirmações abaixo sobre os diferentes tipos de códigos maliciosos.
I - Técnicas como ofuscação e polimorfismo são utilizadas por atacantes para dificultar a análise de um código malicioso. II - Um Spyware pode capturar dados bancários inseridos pelo usuário em um sistema comprometido. III - Ransomware é um tipo de código malicioso que exige pagamento de resgate para restabelecer o acesso de dados armazenados em um dispositivo. IV - Backdoor é um código malicioso que permite o retorno de um atacante a um sistema comprometido. V - RootKit é um código malicioso que tem por objetivo ocultar as atividades do invasor no sistema comprometido.
Quais estão corretas?
Alternativas
Q918879 Segurança da Informação
Durante uma investigação de um incidente de segurança, constatou-se que o seguinte código estava embutido em um determinado website:
Imagem associada para resolução da questão


Considere as afirmações abaixo sobre esse código.
I - Trata-se de ataque no qual se pretende modificar a configuração dos servidores de nomes de um dispositivo.

II - É um ataque que disponibiliza a configuração dos servidores de nomes utilizados pelo website.

III - Trata-se de um ataque do tipo Cross-Site Request Forgery (CSRF).

IV - É um ataque que pretende sobrecarregar o sistema com dados aleatórios para ter acesso a dados da memória de um servidor web.

V - Trata-se de uma requisição que informa ao website qual a configuração de resolução de nomes utilizada pelo usuário.

Quais estão corretas?
Alternativas
Q918878 Segurança da Informação
Considere as afirmações abaixo sobre phishing.
I - Phishing é um ataque que pretende obter dados pessoais e financeiros. II - Ataques de phishing podem empregar diferentes técnicas, incluindo: engenharia social, páginas web falsas e sequestro de DNS (DNS Hijacking). III - A utilização de senhas fortes impede que um ataque de phishing seja bem-sucedido.
Quais estão corretas?
Alternativas
Q918877 Segurança da Informação
Considere as afirmações abaixo sobre ataques de negação de serviço (DoS).
I - Ataques de negação de serviço distribuído não pretendem invadir sistemas, mas sim coletar informações sensíveis do sistema-alvo. II - Uma botnet é capaz de realizar poderosos ataques de negação de serviço. III - Serviços como NTP (123/UDP), SNMP (161/UDP) e CharGEN (19/UDP) são utilizados para amplificar ataques de negação de serviço. IV - O ataque denominado TCP SYN Flood vale-se das características do processo de three-way-handshaking do protocolo TCP para consumir recursos de um sistema-alvo, pretendendo torná-lo inacessível. V - Provedores de Internet que implementam filtro anti-spoofing em seus equipamentos estão livres de originar certos tipos de ataques de negação de serviço.
Quais estão corretas?
Alternativas
Q918876 Segurança da Informação
Qual dos espécimes abaixo NÃO é considerado um malware do tipo Advanced Persistent Threat (APT)?
Alternativas
Respostas
9101: D
9102: E
9103: C
9104: E
9105: E
9106: E
9107: D
9108: C
9109: A
9110: E
9111: E
9112: C
9113: A
9114: C
9115: B
9116: E
9117: D
9118: D
9119: D
9120: D