Questões de Concurso
Sobre segurança de sistemas de informação em segurança da informação
Foram encontradas 627 questões
A respeito de modos de operação de cifra, julgue o item que se segue.
A ação do usuário em mexer o mouse aleatoriamente em um
computador é incapaz de gerar entropia.
Acerca de criptografia e segurança em computadores, julgue o próximo item.
Um dos objetivos da segurança em computadores é a
manutenção da privacidade, que garante que as ações de uma
entidade sejam associadas exclusivamente a ela.
Em relação a sistemas ICS/SCADA, julgue o item a seguir.
Em sistemas SCADA, o uso de comunicação por meio de
satélite tem aumentado como resposta a fatores de segurança.
Em relação a sistemas ICS/SCADA, julgue o item a seguir.
Na configuração típica de um sistema ICS/SCADA, a
utilização de um CLP exige a sua ligação a uma unidade
terminal remota.
Em relação a sistemas ICS/SCADA, julgue o item a seguir.
O emprego de protocolos é um fator positivo em relação à
segurança de sistemas SCADA, já que, embora proprietários,
eles são de conhecimento público e, portanto, amplamente
avaliados quanto à segurança.
Considerando o acesso a um sítio de uma empresa, desenvolvido em arquitetura Web/PHP, julgue o item a seguir, a respeito de segurança de aplicações web.
Situação hipotética: Um empregado da empresa que deveria
ter acesso apenas a seu contracheque, ao inspecionar o código,
observou que é possível alterar os seus dados GET de busca e
acessar o contracheque de outro empregado, do qual conhece
o user, que é o filtro do sistema. Assertiva: Essa situação
ilustra um problema de cross-site scripting (XSS), que pode
ser resolvido alterando-se o método do formulário para post.
O item a seguir apresenta uma situação hipotética seguida de uma assertiva a ser julgada a respeito de identificação de vulnerabilidades por inspeção de código.
Um arquivo de configuração é acessado por uma classe Java
que guarda, em um objeto em memória, o acesso ao
dataSource do banco de dados do servidor. Quando
compilado, esse arquivo é criptografado. Nesse caso, para
evitar alteração ou modificação do arquivo por terceiros, uma
solução seria guardar o arquivo no repositório GIT, de
forma privada.
Acerca de testes de penetração, julgue o item seguinte.
Na situação apresentada na figura a seguir, de acordo com o OSSTMM (The Open Source Security Testing Methodology Manual), seria correto classificar o teste de penetração como um teste do tipo tandem, mas não como um teste double blind, haja vista que, na técnica tandem, o alvo não recebe notificação prévia referente ao alcance da auditoria, aos canais testados e aos vetores de teste.

Acerca de testes de penetração, julgue o item seguinte.
Situação hipotética: O acesso a uma aplicação web com permissão de administrador é realizado por meio do valor informado em uma variável, conforme a seguir.
http://www.site.com.br/aplicacacao?profile=as cs23f8g7por04
Assertiva: Nesse caso, de acordo com a OWASP (Open Web Application Security Project), o teste de penetração black-box automatizado é efetivo para encontrar uma vulnerabilidade, dados o valor fixo para a variável e a forma de passagem: pedido via GET.
Com o objetivo de direcionar testes de penetração a ser executados em uma organização, um analista deve considerar os seguintes requisitos.
I Devem ser realizados ataques sem que o testador tenha conhecimento prévio acerca da infraestrutura e(ou) aplicação.
II Devem ser enviadas ao testador informações parciais e(ou) limitadas sobre os detalhes internos do programa de um sistema, simulando, por exemplo, um ataque de hacker externo.
Tendo como referência a situação hipotética apresentada, julgue o item que se segue.
O requisito II é uma descrição do teste de penetração do tipo
white-box, que é normalmente considerado uma simulação de
ataque por fonte interna e(ou) usuário privilegiado.
A respeito de inteligência de ameaças em fontes abertas (OSINT), julgue o item a seguir.
Informações obtidas por meio de OSINT são menos confiáveis
e menos precisas que aquelas obtidas usando-se disciplinas de
inteligência tradicionais.
A respeito de inteligência de ameaças em fontes abertas (OSINT), julgue o item a seguir.
OSINT é potencialmente uma fonte de informação rápida e
economicamente viável, e a informação e a inteligência
derivadas de OSINT podem ser potencialmente
compartilhadas.
Julgue o item seguinte, a respeito da análise de artefatos maliciosos.
Executar com sucesso o disassembly não é um problema
simples de resolver haja vista que sequências de código
executável podem ter várias representações — algumas que
podem ser inválidas — e, ao final, pode-se causar erros na
funcionalidade real do programa.
Com relação à análise de linha do tempo e à aquisição de dados em memória, julgue o seguinte item.
A extração de uma imagem da memória de um sistema,
conhecida como dump de memória, permite identificar os
processos que estavam em execução no momento da extração,
bem como os arquivos, as bibliotecas, chaves de registro ou
sockets em uso por cada processo.
Acerca dos conceitos de organização e de gerenciamento de arquivos, dos procedimentos e dos aplicativos para segurança da informação, julgue o item subsequente.
Treinamento e conscientização dos empregados a respeito
de segurança da informação são mecanismos preventivos
de segurança que podem ser instituídos nas organizações,
uma vez que as pessoas são consideradas o elo mais fraco
da cadeia de segurança.
I- Engenharia Social é a prática utilizada para obter acesso a informações importantes ou sigilosas em organizações ou sistemas por meio da enganação ou exploração da confiança das pessoas. II- O MITM é um tipo de ataque na qual o atacante é capaz de ler, inserir e modificar mensagens entre duas entidades sem que estas tenham conhecimentos de que a ligação entre ambas está comprometida. Este tipo de ataque é portanto um dos mais fáceis de ser detectado, visto que é uma prática que exige muito processamento da máquina. III- O Spoofing consiste em esconder a verdadeira identidade do atacante na rede. IV- O Sniffing consiste na monitorização do tráfego na rede entre um cliente e um servidor.
A despeito de os esforços de promoção da governança para a Internet privilegiarem o engajamento de atores governamentais e não governamentais, as agendas e os espaços institucionais internacionais voltados para o intercâmbio de experiências e para a discussão de propostas políticas relacionadas à promoção da segurança cibernética no plano global são, no presente, de caráter eminentemente intergovernamental e de alcance regional.
A respeito da gestão de segurança da informação, julgue o item subsequente.
Em um acesso a sistemas e aplicações mediante log-on,
recomenda-se que, caso ocorra uma condição de erro,
o sistema não informe qual parte do dado de entrada está
correta ou incorreta.