Segurança da Informação - Políticas de Segurança de Informação - Centro de Seleção e de Promoção de Eventos UnB (CESPE) - 2020 - TJPA/PA - Analista Judiciário - Análise de Sistemas (Suporte)
Texto 4A04-I
Um hacker invadiu o sistema computacional de determinada instituição e acessou indevidamente informações pessoais dos colaboradores e servidores. Durante a ação, foram alterados os registros de logs do sistema operacional e das aplicações, a fim de dificultar o trabalho de auditoria. Após o ocorrido, identificaram-se as seguintes ações do hacker.
I Exploração, a partir da Internet, de uma vulnerabilidade da página de notícias do portal da instituição localizada no servidor web, o que permitiu o acesso não autorizado à rede interna.
II Utilização de um script para alteração dos registros dos logs, com a troca dos endereços IP reais por fictícios.
III Quebra das credenciais administrativas do servidor de banco de dados dos sistemas internos, a partir do servidor web e utilização da técnica de ataques de dicionário.
IV Acesso de forma não autorizada ao servidor de banco de dados dos sistemas internos, para efetuar a extração das informações pessoais de colaboradores e servidores.
A equipe incumbida de analisar o caso concluiu que o risco era conhecido e considerado alto, já tendo sido comunicado à alta gestão da instituição; a vulnerabilidade explorada e sua correção eram conhecidas havia mais de seis meses, bem como a inexistência de dependências e da troca de dados entre os servidores de web e banco de dados; o incidente poderia ter sido evitado com o uso eficaz dos controles de segurança da informação.
-
A) disponibilidade, pelo acesso indevido às informações pessoais, e a integridade, pela alteração dos registros.
B) disponibilidade, pela alteração dos registros, e a integridade, pelo acesso indevido às informações pessoais.
C) confidencialidade, pelo acesso indevido às informações pessoais, e a integridade, pela alteração dos registros.
D) confidencialidade, pela alteração dos registros, e a integridade, pelo acesso indevido às informações pessoais.
E) confidencialidade, pela alteração dos registros, e a disponibilidade, pelo acesso indevido às informações pessoais.
Segurança da Informação - Segurança na Internet - Centro de Seleção e de Promoção de Eventos UnB (CESPE) - 2020 - TJPA/PA - Analista Judiciário - Análise de Sistemas (Suporte)
Texto 4A3-I
Em um espaço público ABC, um hacker instalou um ponto de acesso gratuito à Internet, do tipo wi-fi sem senha, e deu à rede o identificador ABCfree. O hacker configurou essa rede de modo que usuários que a ela se conectassem e tentassem acessar sítios de mídias sociais fossem direcionados para páginas clonadas, nas quais as credencias de acesso dos usuários eram solicitadas. De posse dessas credenciais, um programa criado pelo hacker estabelecia conexões reais com as mídias sociais e interceptava transparentemente todas as comunicações dos usuários nas plataformas, acessando indevidamente todo o seu conteúdo.
Com o objetivo de evitar que um usuário seja vítima de um ataque como o descrito no texto 4A3-I, foram propostas as seguintes ações.
I Conectar-se a redes wi-fi públicas somente quando exigirem senhas para acesso.
II Certificar-se de que as comunicações na Internet sejam criptografadas por meio de protocolos como TLS.
III Usar serviços de VPN para aumentar a segurança de privacidade das comunicações na Internet.
IV Observar e considerar advertências de programas navegadores sobre sítios potencialmente inseguros.
São ações preventivas adequadas para o referido objetivo apenas as apresentadas nos itens
-
A) I e II.
B) I e III.
C) II e IV.
D) I, III e IV.
E) II, III e IV.
Segurança da Informação - Ataques e ameaças - Centro de Seleção e de Promoção de Eventos UnB (CESPE) - 2020 - TJPA/PA - Analista Judiciário - Análise de Sistemas (Suporte)
Texto 4A3-I
Em um espaço público ABC, um hacker instalou um ponto de acesso gratuito à Internet, do tipo wi-fi sem senha, e deu à rede o identificador ABCfree. O hacker configurou essa rede de modo que usuários que a ela se conectassem e tentassem acessar sítios de mídias sociais fossem direcionados para páginas clonadas, nas quais as credencias de acesso dos usuários eram solicitadas. De posse dessas credenciais, um programa criado pelo hacker estabelecia conexões reais com as mídias sociais e interceptava transparentemente todas as comunicações dos usuários nas plataformas, acessando indevidamente todo o seu conteúdo.
-
A) man-in-the-middle.
B) SIM cloning.
C) IP spoofing.
D) ping of death.
E) DoS (denial of service).
Segurança da Informação - Ataques e ameaças - Centro de Seleção e de Promoção de Eventos UnB (CESPE) - 2020 - TJPA/PA - Analista Judiciário - Análise de Sistemas (Suporte)
-
A) Todos os dados pessoais, cadastrais e financeiros que estiverem armazenados no banco de dados de usuários do provedor podem ser copiados durante o ataque.
B) Os serviços de acesso à Web, comunicação, email, entre outros oferecidos pelo provedor, ficam totalmente indisponíveis para os usuários, em razão da sobrecarga de tráfego, até que os servidores DNS sejam reinstalados e reconfigurados.
C) Usuários finais do provedor que tentarem acessar sítios legítimos, como os de instituições financeiras, serão direcionados a sítios falsos, nos quais suas credenciais de acesso às contas poderão ser capturadas e, posteriormente, utilizadas em transações financeiras fraudulentas.
D) Todos os arquivos dos servidores DNS do provedor são criptografados e todas as informações do cache DNS ficam inacessíveis até que o provedor quebre a chave de criptografia ou pague o resgate exigido pelos atacantes para fornecer a chave de criptografia.
E) As credenciais de acesso ao provedor dos usuários finais são capturadas assim que digitadas quando eles se conectam, podendo ser instalado software malicioso em suas máquinas, caso estejam vulneráveis, com o objetivo de incorporá-las às botnets controladas pelos atacantes.
Segurança da Informação - Segurança de sistemas de informação - Centro de Seleção e de Promoção de Eventos UnB (CESPE) - 2020 - TJPA/PA - Analista Judiciário - Análise de Sistemas (Suporte)
-
A) utilizar protocolos de criptografia nas conexões a páginas e serviços na Web.
B) realizar becape dos dados regularmente e verificar a integridade dele.
C) utilizar senhas que sejam de difícil dedução e formadas por letras maiúsculas e minúsculas, números e caracteres especiais.
D) garantir que sistemas, ativos de rede, servidores e aplicações estejam constantemente atualizados e bem configurados.
E) instalar sistemas antivírus em estações de trabalho de servidores que acessem regularmente a Internet.
Segurança da Informação - Ataques e ameaças - Centro de Seleção e de Promoção de Eventos UnB (CESPE) - 2020 - TJPA/PA - Analista Judiciário - Análise de Sistemas (Suporte)
-
A) DDoS (distributed denial of service)
B) procedimento de defacement
C) ataque de phishing
D) keylogger
E) vírus
Segurança da Informação - Certificação Digital - Centro de Seleção e de Promoção de Eventos UnB (CESPE) - 2020 - TJPA/PA - Analista Judiciário - Análise de Sistemas (Suporte)
-
A) da autenticação de uma via.
B) da consulta à lista de certificados revogados.
C) da autenticação de duas vias.
D) das informações de chaves e da política de certificado.
E) da autenticação de três vias.
Segurança da Informação - Políticas de Segurança de Informação - Centro de Seleção e de Promoção de Eventos UnB (CESPE) - 2020 - TJPA/PA - Analista Judiciário - Análise de Sistemas (Suporte)
A respeito das políticas de segurança da informação nas organizações, julgue os itens a seguir.
I Essas políticas provêm fundamentos conceituais para a construção de uma infraestrutura de segurança da informação nas organizações.
II Devem-se evitar, nas políticas de segurança, definições de papéis internos à organização ou de diretrizes de acessos a recursos, em razão do nível de detalhamento exigido nessas definições.
III Uma política de segurança da informação deve identificar realisticamente os recursos informacionais, as atividades e operações críticas da organização, além de apoiar a gestão da segurança da informação.
IV A definição da política de segurança da informação deve contemplar requisitos oriundos de ameaças identificadas para a segurança da informação da organização, atuais e futuras.
Estão certos apenas os itens
-
A) I e II.
B) I e III.
C) II e IV
D) I, III e IV.
E) II, III e IV.
Segurança da Informação - Ataques e ameaças - Instituto Brasileiro de Formação e Capacitação (IBFC) - 2020 - TRE PA - Técnico Judiciário - Operação de Computadores
-
A) SQL Injection
B) XSS
C) DDoS
D) Flood
Segurança da Informação - Sistemas de Prevenção-Detecção de Intrusão - Centro de Seleção e de Promoção de Eventos UnB (CESPE) - 2020 - TJPA/PA - Analista Judiciário - Análise de Sistemas (Suporte)
Os sistemas de detecção de intrusão servem para fornecer avisos de invasão para que a área de segurança possa mitigar os danos ou, ainda, impedir o ataque. A esse respeito, julgue os itens a seguir.
I Honeypots são sistemas planejados para atrair um atacante para uma área diferente, longe dos sistemas críticos.
II A detecção de intrusão permite a coleta de informações sobre as técnicas de intrusão e, portanto, pode contribuir para a melhoria da estrutura de prevenção de intrusão.
III A detecção de intrusão é baseada na premissa de que o comportamento do intruso é diferente do comportamento de um usuário legítimo, podendo assim, ser quantificada.
Assinale a opção correta.
-
A) Apenas o item I está certo.
B) Apenas o item II está certo.
C) Apenas os itens I e III estão certos.
D) Apenas os itens II e III estão certos.
E) Todos os itens estão certos.
