Contatos - getussponline.files.wordpress.com · (Teoria e Questões de Concurso) ... Auditor-Fiscal...

13/09/2015

1

Contatos: E-mail: [email protected] Blog: http://profanadeinformatica.blogspot.com.br/ Facebook: https://www.facebook.com/anapinf

Livro Informática para Concursos

Teoria e Questões - 3a edição

Capítulo 09 – Segurança da Rede e da

Informação (Teoria e Questões de Concurso)

Atenção: Algumas questões foram adaptadas

mailto:[email protected]

http://profanadeinformatica.blogspot.com.br/

http://profanadeinformatica.blogspot.com.br/

https://www.facebook.com/anapinf

13/09/2015

2

09 – Segurança da Rede e da Informação:

Criptografia - Processo de TUNELAMENTO

O D SPT - M

C.C. C.D.


Banco do Brasil 2011 cargo Escriturário

No contexto de segurança do acesso a distância a computadores, é o processo de TUNELAMENTO que encapsula o pacote de dados, previamente protegido por mecanismos que o torna ilegível, podendo, dessa forma, trafegar em uma rede pública até chegar ao seu destino, onde é desencapsulado e tornado legível. (CERTO ou ERRADO)

13/09/2015

3


Criptografia – Simétrica

O D SPT - M

C.C. C.D.


Criptografia – Assimétrica

O D SPT - M

C.C. C.D.

C. Pública C. Privada

Assinatura

Digital

13/09/2015

4


BB DF / 2OO6 – Escriturário

Uma mensagem enviada de X para Y e criptografada e decriptografada, respectivamente, pelas chaves.

a) publica de Y (que X conhece) e privada de Y

b) privada de Y (que X conhece) e publica de X


Criptografia – HASH

assinatura cifrada

13/09/2015

5


ICMS-SP 2009

Um Agente foi acionado para estudar a respeito dos conceitos de certificação digital. Após alguma leitura, ele descobriu que NÃO tinha relação direta com o assunto o uso de

a) chave pública.

b) assinatura cifrada.

c) assinatura digital.

d) chave privada.

e) assinatura eletrônica.


Assinatura eletrônica

Por vezes confundida, tem um significado diferente: refere-se a qualquer mecanismo, não necessariamente criptográfico, para identificar o remetente de uma mensagem eletrônica. A legislação pode validar tais assinaturas eletrônicas como endereços Telex e cabo, bem como a transmissão por fax de assinaturas manuscritas em papel.

13/09/2015

6


Auditor-Fiscal do INSS 2002 Os problemas de segurança e crimes por computador são de especial importância para os projetistas e usuários de sistemas de informação. É correto : a) confiabilidade é a garantia de que as informações armazenadas ou transmitidas não sejam alteradas. b) integridade é a garantia de que os sistemas estarão disponíveis quando necessários. c) confiabilidade é a capacidade de conhecer as identidades das partes na comunicação. d) autenticidade é a garantia de que os sistemas desempenharão seu papel com eficácia em um nível de qualidade aceitável. e) privacidade é a capacidade de controlar quem vê as informações e sob quais condições.


Auditor-Fiscal do INSS 2002 Uma informação, para ser considerada segura, precisa manter seus aspectos de confidenciabilidade. A confidenciabilidade é a: a) propriedade de evitar a negativa de autoria de transações por parte do usuário, garantindo ao destinatário o dado sobre a autoria da informação recebida. b) garantia de que o sistema se comporta como esperado, em geral após atualizações e retificações de erro. c) análise e responsabilização de erros de usuários autorizados do sistema. d) garantia de que as informações não poderão ser acessadas por pessoas não autorizadas. e) propriedade que garante o acesso às informações através dos sistemas oferecidos.

13/09/2015

7


Esquema do Certificado Digital

RA

CA C.D.

Data de Vencimento

+

Dados de quem o pedi-o

+

T.E.C.

Empresa, O.P.,

U.F., CA(s)

https

ssl

Chave

Privada

Chave Pública 1

Chave Pública 2

Chave Pública N


Gestor-MG 2005

Somente após a definição de uma regra de criptografia exclusiva para a Internet pelas entidades certificadoras, foi possível a transmissão de dados entre uma rede corporativa interna e a Internet. (CERTO ou ERRADA)

13/09/2015

8


AFRFB 2005 cargo Auditor

Analise as seguintes afirmações relacionadas à certificação digital, políticas de segurança e segurança na Internet:

I. Os protocolos de gerenciamento de certificação digital devem suportar o processo de atualização de chaves onde todos os pares de chaves devem ser atualizados regularmente. Nesse processo, os pares de chaves são substituídos, mas os certificados equivalentes são mantidos.

II. Uma Autoridade Registradora (Registration Authority – RA) pode servir de intermediária entre a CA (Certification Authority) e seus usuários, ajudando as CAs em funções como “Aceitar e autorizar solicitações para revogação de certificado”.


III. Um recurso poderoso das hierarquias de certificado é que todas as partes devem confiar automaticamente em todas as autoridades certificadoras.

Indique a opção que contenha todas as afirmações verdadeiras.

a) I e II

b) I, II e III

c) III

d) I

e) II

13/09/2015

9


TRF 4ª Região/2010 Analista Judiciário

Um firewall de filtragem de pacotes examina todos os dados enviados de fora da LAN e rejeita pacotes de dados com base em regras predefinidas, como rejeitar pacote de certas redes ou portas. (CERTO ou ERRADA)


Link para a Cartilha de Segurança http://cartilha.cert.br/

http://cartilha.cert.br/


13/09/2015

10









13/09/2015

11




Certificados Digitais ICP Brasil

• O certificado digital é um documento eletrônico que possibilita comprovar a identidade de uma pessoa, empresa ou site, no meio digital/eletrônico, assegurando as transações online e a troca eletrônica de documentos, mensagens e dados.

• Com o certificado digital ICP Brasil é possível acessar os serviços do site da Receita Federal, assinar documentos eletrônicos com validade jurídica, autenticar-se em sites, assinar a Nota Fiscal Eletrônica e muito mais.



13/09/2015

12


Em relação à forma de armazenamento e período de validade, o certificado digital pode ser do tipo:

• A1: O certificado digital é armazenado no seu computador e tem validade de 1 ano;

• A3: O certificado digital é armazenado em um dispositivo criptográfico (Token USB ou Smart Card) e tem validade de 3 anos; Com o certificado digital ICP Brasil é possível acessar os serviços do site da Receita Federal, assinar documentos eletrônicos com validade jurídica, autenticar-se em sites, assinar a Nota Fiscal Eletrônica e muito mais.


Referente à utilização e finalidade do certificado digital, ele pode ser do tipo:

• e-CPF - Certificado digital para pessoas físicas, versão eletrônica do CPF;

• e-CNPJ - Certificado digital para empresas, versão eletrônica do CNPJ;

• NF-e - Certificado digital utilizado somente na emissão de notas fiscais eletrônicas;

https://www.rapidssl.com.br/certificado-digital/e-cpf.php



https://www.rapidssl.com.br/certificado-digital/e-cnpj.php



https://www.rapidssl.com.br/certificado-digital/nota-fiscal-eletronica.php



13/09/2015

13


Atualmente diversos segmentos já utilizam os Certificados Digitais ICP Brasil em suas atividades. Com essa tecnologia você e a sua empresa pode:

• Acessar a Conectividade Social ICP da Caixa Econômica Federal.

• Assinar contratos digitais.

• Acompanhar processos legais.

• Verificar a autenticidade das informações do Diário Oficial (versão on-line).

• Declarar Imposto de Renda via Internet.

• Assinar as notas fiscais eletrônicas para a sua emissão (certificado NF-e).


• Recuperar informações sobre o histórico de declarações.

• Acessar os serviços do site da Receita Federal (e-CAC, DIPJ, certidões, etc).

• Entregar o IRPJ, a DCTF e a DIPJ.

• Fazer a Redarf.

• Gerar procurações eletrônicas.

• Acompanhar processos tributários eletronicamente.

• Acessar serviços online do Poder Judiciário (e-DOC, e-PET, etc).

• Acessar os mais diversos serviços online do Governo.

13/09/2015

14


TLS (Transport Layer Security)

Assim como o seu antecessor SSL (Secure Sockets Layer ), é um protocolo de segurança que protege as telecomunica-ções via internet para serviços como e-mail (SMTP), navegação por páginas (HTTPS) e outros tipos de transferência de dados.

As diferenças entre o SSL e o TLS

TLS tem a capacidade de trabalhar em portas de acesso diferentes e usa algoritmos de criptografia mais fortes.


TELEBRAS 2013 cargo Contador

Acerca do Sistema Público de Escrituração Digital (SPED), depois de validada a consistência das informações prestadas mediante o uso do programa validador fornecido pelo SPED, o arquivo digital é assinado por meio de certificado digital, tipo A1 ou A3 e, logo em seguida, transmitido. (CERTO ou ERRADO)

13/09/2015

15


TRF 2014 1º R cargo Analista Judiciário Área Apoio Especializado Especialidade Biblioteconomia

Um usuário de computador ingressou em um site de jogos e acessou um jogo disponível online. Assim que o usuário acessou o jogo, um aviso surgiu na tela do seu computador indagando se ele permitiria ou não que o aplicativo da internet (jogo) acessasse os dados do seu computador e o usuário permitiu. Assim que o jogo foi iniciado, o computador do usuário foi infectado com um vírus de forma perceptível. A infecção por vírus poderia ter sido evitada


a) se o usuário tivesse um sistema de firewall, mesmo diante do fato do usuário ter autorizado o acesso aos dados da sua máquina. b) se o usuário tivesse um antivírus que poderia tê-lo alertado sobre o perigo de um software baixado da internet e impedido sua execução. c) com a adoção de anti-spyware que impediria que qualquer malware fosse instalado independentemente da atualização de listas de malware. d) com a instalação do protocolo SSL no computador pessoal do usuário, independente da adoção de SSL no servidor de jogos.

13/09/2015

16


TJ CE 2014 cargo Nível Médio

Um certificado digital é um arquivo no computador que identifica o usuário. Acerca desse assunto, assinale a opção correta.

a) Os aplicativos de email ainda não possuem recursos que possibilitem a utilização da tecnologia do certificado digital.

b) Por questões de segurança, a chave pública do usuário não faz parte do certificado digital.

c) Na prática, os certificados digitais não podem ser utilizados por um tribunal de justiça para comprovar a autoria, por exemplo, de um processo eletrônico.

d) Um certificado digital pode ser emitido tanto para uma pessoa quanto para um computador.


Desenho Esquema de Segurança

BASTION HOST

HONEY POT

Usuário Final

Enviando E-MAIL

DMZ

SERVIDOR PROXY

FIREWALL

SERVIDORES

Estação de Trabalho 1

Estação de Trabalho 2

INTRANET

INTERNET (SPT-M)

PORTA 80 (http)

TCP/IP

IDS

13/09/2015

17


AFRF 2005 cargo Auditor

Analise as seguintes afirmações relacionadas aos conceitos básicos de Segurança da Informação:

I. O IP spoofing é uma técnica na qual o endereço real do atacante é mascarado, de forma a evitar que ele seja encontrado. É normalmente utilizada em ataques a sistemas que utilizam endereços IP como base para autenticação.

II. O NAT, componente mais eficaz para se estabelecer a segurança em uma rede, é uma rede auxiliar que fica entre a rede interna, que deve ser protegida, e a rede externa, normalmente a Internet, fonte de ataques.


III. O SYN flooding é um ataque do tipo DoS, que consiste em explorar mecanismos de conexões TCP, prejudicando as conexões de usuários legítimos.

IV. Os Bastion host são equipamentos que atuam com proxies ou gateways entre duas redes, permitindo que as requisições de usuários externos cheguem à rede interna.


a) I e II b) II e III c) III e IV d) I e III e) II e IV

13/09/2015

18


AFRF/ 2005

Analise as seguintes afirmações relacionadas à segurança e uso da Internet:

I. Engenharia Social é um termo que designa a prática de obtenção de informações por intermédio da exploração de relações humanas de confiança, ou outros métodos que enganem usuários e administradores de rede.

II. Port Scan é a prática de varredura de um servidor ou dispositivo de rede para se obter todos os serviços TCP e UDP habilitados.


III. Backdoor são sistemas simuladores de servidores que se destinam a enganar um invasor, deixando-o pensar que está invadindo a rede de uma empresa.

IV. Honey Pot é um programa implantado secretamente em um computador com o objetivo de obter informações e dados armazenados, interferir com a operação ou obter controle total do sistema.



13/09/2015

19


TRE MS 2007 cargo Analista

Uma DMZ (Zona Desmilitarizada) é um segmento de rede parcialmente protegido que para possibilitar maior segurança na Internet deve estar associada ao mecanismo de proteção

a) Plano de contingência.

b) Proxy.

c) Criptografia.

d) Firewall.

e) Sistema de detecção de intrusão.


• Plano de contingência – consiste num conjunto de estratégias e procedimentos que devem ser adotados quando a instituição ou uma área se depara com problemas que comprometem o andamento normal.

• Sistema de detecção de intrusão – Programa, ou um conjunto de programas, cuja função ´e detectar atividades maliciosas ou anômalas.

13/09/2015

20


MPU 2004 cargo Técnico

Analise as seguintes afirmações relativas à segurança da informação.

I. O Denial of Service (DoS) é um ataque que consiste em sobrecarregar um servidor com uma quantidade excessiva de solicitações de serviços. Há muitas variantes, como os ataques distribuídos de negação de serviço (DDoS) que paralisam vários sites ao mesmo tempo.

II. O Firewall baseado em aplicações trabalha como se fosse um analista de tráfego. Verifica as requisições provenientes de usuários remotos e bloqueia ou não a sua utilização. O cliente e o servidor conversam diretamente, dispensando o uso do servidor proxy para intermediar a conexão.


III. Firewall baseado em filtragem de pacotes, utiliza endereços IP e portas de acesso para, por meio de um conjunto de regras estabelecidas pelo administrador, bloquear ou permitir o tráfego entre duas redes.

IV. Usualmente, alguns tipos de tráfego devem ser sempre aceitos pelo Firewall. Os mais importantes e que nunca devem ser rejeitados são os pacotes cujo destinatário é o próprio Firewall e os pacotes provenientes da rede externa, mas com endereço de origem da rede interna.



13/09/2015

21


TRT 24 Região/2006

Um texto cifrado pelo Código de César é um exemplo de criptografia do tipo

a) substituição monoalfabética.

b) substituição polialfabética.

c) assimétrica.

d) transposição.

e) quântica.


Técnicas de criptografia • Assimétrica; • Quântica; • Simétrica; • Substituição monoalfabética; • Substituição polialfabética; • Transposição.

13/09/2015

22


Lista das principais portas usadas pelo TCP/IP:

Fonte: www.iana.org/assignments/port-numbers


AFC/CGU - 2003/2004

O HTTPS é um serviço de segurança que é prestado na porta de comunicação

a) 110 e utiliza o POP3.

b) 80 e utiliza o TCP e o UDP.

c) 443 e utiliza o TCP e o UDP.

d) 21 e utiliza o FTP.

e) 25 e utiliza o DNS.

http://www.iana.org/assignments/port-numbers



13/09/2015

23


MPPE/2006 cargo Analista

Permissão dada a um cracker para controlar o micro infectado, por uma porta aberta inadvertidamente pelo usuário. Normalmente é um programa que vem embutido em um arquivo recebido por e-mail ou baixado da rede. Ao executar o arquivo, o usuário libera uma função que abre uma porta para que o autor do programa passe a controlar o computador de modo completo ou restrito. Esta invasão, do tipo backdoor, por sua forma disfarçada de entrega, é freqüentemente associada a um tipo de malware conhecido por

a) trojan horse. b) hoax . c) keylogger.

d) boot. e) adware.


PC SP 2009 Investigador

Qual o nome da ferramenta ou programa usado para monitorar o tráfego de redes e descobrir portas abertas ou outras falhas de segurança?

a) SETUP.

b) SMTP.

c) SSL.

d) SNMP.

e) SNIFFER.

13/09/2015

24


Tem mais:

• Conceitos gerais de segurança na rede (Algoritmo hash, Assinatura digital, Assinatura eletrônica, Backdoor, Bastion host, DMZ, Engenharia social, Firewall, Hoax, Honey pot, Keylogger, Malware, Phishing, Phreaking, Ping da morte, Sniffer, Spyware, Warez);

• Mecanismos de endereço de rede (NAT, HNAT, SNAT);

• Invasores de rede (Hacker, Cracker);

• Autoridade de rede (CA, RA); • Técnicas de criptografia (Assimétrica, Quântica, Simétrica,

Substituição monoalfabética, Substituição polialfabética, Transposição.);


• Vírus de computador (Camuflados, Cavalo de troia (Trojans), De boot, De macro, Polimórficos, Worm, Hijackers Wabbit.);

• Serviço SSL (Secure Socket Layer ou Camada de Conexão Segura);

• IDS (SSL, IPSec, Redes com Switches, Redes de Alta Velocidade );

• Intrusão (Roubo de informações, Negação de serviços);

• Tipo do ataque: ativo contra o TCP (Mitnick );

• Tipo do ataque: intrusão (Adware, Bot, Rootkit, Exploit );

• Tipo do ataque: negação de serviços (Nuke, Smurf, SYN Flooding , Fragmentação, Land);

13/09/2015

25


• Tipo do ataque: obtenção de informações (IP spoofing, Port Scanning);

• Política de Segurança de Informações (Autenticidade, Confidencialidade, Disponibilidade, Integridade, Legalidade, Privacidade, Vulnerabilidade );

• Os responsáveis por elaborar a Política de Segurança de Informações;

• Assuntos que devem ser abordados na Política de Segurança de Informações;

• O nível de profundidade dos assuntos abordados na Política de Segurança de Informações;


• Processo de implantação da Política de Segurança;

• A divulgação da Política de Segurança de Informações;

• Política de Segurança de Informações violada;

• A Política de Segurança de Informações pode ser alterada? ;

• Auditoria de Sistemas de Informação (Introdução, Objetivos, Tipos de auditoria, Ciclo de vida, Ferramentas para auditoria de sistemas;

• Boas práticas em Segurança da Informação (Introdução, Controles de acesso – Lógico e Direitos e permissões de acesso);

13/09/2015

26


• Plano de contingências (Introdução, A importância do plano de contingências, O objetivo do plano de contingências, Elaboração do plano de contingências, Assuntos que devem ser abordados no plano de contingências, Alta gerência e a elaboração do plano de contingências, O plano de contingências deve ser teste, Quando o plano de contingências deve ser atualizado ).

Apresentação: L A N Ç A M E N T O

!!!

Contatos - getussponline.files.wordpress.com · (Teoria e Questões de Concurso) ... Auditor-Fiscal...

Documents

Transcript of Contatos - getussponline.files.wordpress.com · (Teoria e Questões de Concurso) ... Auditor-Fiscal...