Questões de Concurso
Para comperve - ufrn
Foram encontradas 11.161 questões
Resolva questões gratuitamente!
Junte-se a mais de 4 milhões de concurseiros!
O Regulamento Geral de Proteção de Dados ou GDPR (General Data Protection Regulation) recentemente adotado pela União Europeia (UE) é um rigoroso conjunto de regras sobre privacidade, válido para a UE, baseado em três pilares: governança de dados, gestão de dados e transparência de dados. No Brasil, existe a Lei Geral de Proteção de Dados (Lei nº 13.709) ou LGPD, sancionada em 14 de agosto de 2018 e que entrará em vigor a partir de agosto de 2020. O principal objetivo da LGPD é garantir transparência no uso dos dados das pessoas físicas em quaisquer meios. Esta lei altera a Lei nº 12.965, de 23 de abril de 2014, popularmente chamada de Marco Civil da Internet.
Considerando que a empresa Security10, criada e sediada apenas no Brasil, comercializa soluções de TI no mercado nacional e recentemente fechou contrato com uma empresa em Londres para a comercialização de seus produtos na UE, ela deve
Uma boa política de segurança deve cobrir diferentes aspectos da organização, orientando sobre a necessidade de implementação de diferentes níveis de controle. Sobre alguns desses controles, analise as afirmativas abaixo.
I Controles físicos referem-se à restrição de acesso indevido de pessoas a áreas críticas da empresa (ex: sala de servidores) e restrições de uso de equipamentos ou sistemas por funcionários mal treinados.
II Controles lógicos referem-se a qualquer tipo de aplicação ou equipamento que usa da tecnologia para impedir que pessoas acessem documentos, dados ou qualquer tipo de informação sem a devida autorização.
III Controles pessoais referem-se ao monitoramento de atividade digital dos funcionários e à cobrança de assiduidade na avaliação do funcionário.
IV Controles organizacionais referem-se ao acompanhamento dos fatores de risco de TI identificados na organização.
Em relação aos controles que devem fazer parte da política de segurança, estão corretas as
afirmativas
O servidor Web da Security10 sofreu um ataque distribuído de negação de serviço, também conhecido como DDoS (Distributed Denial of Service), onde um computador mestre denominado master pode ter sob seu comando até milhares de computadores escravos ou zombies.
A rede formada pelo master e seus zombies, criada a fim de organizar o ataque de DDoS, é denominada
O protocolo SSL (Secure Sockets Layer) é muito útil na proteção do canal de comunicação, sendo bastante utilizado para fornecer uma camada adicional de segurança às aplicações web. Sobre as características do SSL, analise as afirmativas abaixo.
I O SSL opera entre as camadas de Transporte e Aplicação, segundo o modelo TCP/IP.
II TLS (Transport Layer Security) é uma especificação de outro padrão para suportar o SSL em redes TCP/IP e é definido na RFC 5246.
III O protocolo SSL fornece serviços básicos de confidencialidade e integridade a entidades de aplicação. É o caso do HTTP (Hypertext Transfer Protocol) que utiliza o SSL para fornecer navegação segura na Web, sendo então referenciado como HTTPS.
IV Por padrão, para o HTTPS é utilizada a porta 8080.
Em relação ao SSL, estão corretas as afirmativas
Considere o trecho abaixo
A Cartilha de Segurança para Internet da CERT.br é uma renomada fonte de informação sobre segurança da informação. Em uma de suas versões, entre outros conceitos, traz as definições de diferentes tipos de códigos maliciosos. Segundo a cartilha, há um tipo de código malicioso que torna inacessível os dados armazenados, geralmente usando criptografia, e exige pagamento de resgate para restabelecer o acesso ao usuário. O pagamento do resgate geralmente é feito via bitcoins. SimpleLocker e WannaCry são exemplos conhecidos desse tipo de código malicioso
O trecho define claramente um
O departamento de TI da Security10 está envolvido no desenvolvimento de uma aplicação Web, mas está com receio de lançá-la em produção sem antes efetuar alguns testes de segurança. Como João acabou de ser admitido para a vaga em segurança, coube a ele realizar essa tarefa. Seu chefe de equipe sabe que, para a realização deste tipo de teste, é comum a utilização de plataformas que incluem recursos como proxy, scanner de vulnerabilidades e rastreamento de mensagens e conteúdo e, portanto, disponibilizou o seu próprio computador para que João realize os testes.
A ferramenta adequada para a realização dos testes requisitados é
Em Segurança Web, é bastante comum confundir o ataque de XSS (Cross-site Scripting) com o ataque de CSRF (Cross-site Request Forgery).
A diferença entre esses ataques está na
O chefe do departamento de TI da Security10 enviou para João, por e-mail, o programa simples em linguagem C, mostrado abaixo, com intuito de aferir os conhecimentos do novo contratado sobre segurança de software.
L1. void LerParametros (char *arg);
L2. void main (int argc, char *argv[]) {
L3. if (arg > 1){
L4. printf ("Parametros informados: %s\n", argv[1]);
L5. LerParametros (argv[1]);
L6. }
L7. }
L8. void LerParametros (char *arg) {
L9. char buffer[10];
L10. strcpy (buffer, arg);
L11. printf (buffer);
L12. }
Junto ao código, estava a mensagem: “João, por favor, verifique esse código. Sei que estamos fazendo algo errado e, com isso, expondo uma vulnerabilidade de segurança comum em programação, mas não consigo perceber qual. Falamos mais sobre isso na segunda”. João, ao analisar o código enviado, concluiu que esse apresenta como vulnerabilidade
Considere que o departamento de TI da empresa Security10 está analisando a possibilidade de utilizar o IPSec para aumentar a segurança da rede. No entanto, sua equipe ainda tem algumas dúvidas sobre o funcionamento do IPSec, no que diz respeito aos dois tipos de serviços oferecidos. Eles leram que um dos serviços protege e verifica a integridade dos dados, permitindo certificar que o dado não foi alterado durante o seu transporte. Neste tipo de serviço, o campo protocolo IP do datagrama é definido com o valor 50. Já o outro serviço encripta os dados e garante a confidencialidade destes durante o seu transporte, tendo o campo protocolo IP do datagrama definido com o valor 51.
Os tipos de serviço do IPSec retratados na circunstância acima são
O iptables é conhecido como o aplicativo de firewall Linux padrão. Na verdade, o iptables é apenas uma ferramenta que controla o módulo netfilter do Linux, permitindo a filtragem de pacotes. A operação do iptables é baseada em regras que são expressas em um conjunto de comandos. No departamento de TI da Security10, João terá que revisar o conjunto de regas do script atual de firewall iptables utilizado na empresa. Analisando as 2.954 linhas do arquivo de script, João se deparou com a seguinte REGRA-Y, definida a partir da sequência de comandos abaixo.
echo "0" > /proc/sys/net/ipv4/tcp_syncookies
$IPTABLES -N REGRA-Y
$IPTABLES -A INPUT -i $WAN -p tcp --syn -j REGRA-Y
$IPTABLES -A REGRA-Y -m limit --limit 1/s --limit-burst 4 -j RETURN
$IPTABLES -A REGRA-Y -j DROP
A REGRA-Y definida permite impedir o ataque de
A Segurança Computacional possui uma terminologia própria. Uma padronização na utilização dessa terminologia garante o correto entendimento entre os diferentes agentes envolvidos. Em relação a isso, considere as seguintes afirmações sobre a Segurança Computacional.
I A segurança física visa providenciar mecanismos para restringir o acesso às áreas críticas da organização a fim de garantir a integridade e autenticidade dos dados.
II Uma ameaça pode ser definida como algum evento que pode ocorrer e acarretar algum perigo a algum ativo da rede. As ameaças podem ser intencionais ou não-intencionais.
III São ameaças mais comuns às redes de computadores: o acesso não-autorizado, o reconhecimento (ex: PortScan) e a negação de serviço (ex: DoS ou DDoS).
IV O “Tripé da Segurança” é formado de Pessoas, Processos e Políticas de Segurança. De nada adianta uma Política de Segurança se Pessoas e Processos não forem considerados.
Em relação à Segurança Computacional, estão corretas as afirmativas
Conheça nossos planos