Segurança da informação semana 3

Prévia do material em texto

Segurança da informação 
Dois princípios básicos da segurança da informação são autenticidade e integridade da 
mensagem. Identifique a opção que melhor está relacionada a esses princípios. 
 
a. Identificação correta de um usuário ou computador. 
 
b. Proteger a informação contra a sua revelação para alguém não autorizado. 
 
c. Proteger a informação contra sua modificação com código de autenticação e assinatura 
digital. 
 
d. Ter as informações acessíveis e prontas para uso. 
 
e. Garantir que é realmente o usuário. 
 
Autenticação de mensagens é um recurso de segurança viável para um conjunto de potenciais 
ameaças e ataques no contexto de comunicações por rede. São exemplos de ataques que podem 
ser minimizados através da autenticação de mensagens, exceto: 
 
a. Análise de trafego. 
 
b. Modificação de conteúdo. 
 
c. Modificação de sequência. 
 
d. Danificação de serviço. 
 
e. Modificação de tempo. 
 
Para garantir a segurança de um sistema de computadores, deve-se implementar serviços de 
segurança. Cinco serviços de segurança são caracterizados como básicos, que são: 
 
a. Disponibilidade, Confiança, Integridade, Autenticidade e Irretratabilidade. 
 
b. Disponibilidade, Confidencialidade, Integridade, Autenticidade e Irretratabilidade. 
 
c. Disponibilidade, Confiabilidade, Integridade, Autenticidade e Irretratabilidade. 
 
d. Disponibilidade, Confidencialidade, Integridade, Autorização e Irretratabilidade. 
 
e. Disponibilidade, Confidencialidade, Ilegibilidade, Autenticidade e Irretratabilidade. 
 
O médico do João emitiu um atestado digital, assinado digitalmente, definindo 14 dias de 
afastamento do trabalho a partir de uma determinada data. João enviou seu atestado ao setor de 
Recursos Humanos, lá eles verificaram o atestado através de uma ferramenta, para identificar a 
informação e a assinatura do médico, a fim de garantir a validade do atestado e da informação 
apresentada. 
Os requisitos básicos de segurança informação assegurados pela assinatura digital são: 
 
a. Autenticidade e integridade. 
 
b. Confidencialidade e irretratabilidade. 
 
c. Disponibilidade e confidencialidade. 
 
d. Confiabilidade e irretratabilidade. 
 
e. Irretratabilidade e disponibilidade. 
 
Documentos de referência (x.800 e RFC4949) de segurança classificam ataques à segurança de 
sistemas em termos de ataques ativos e passivos. Um ataque passivo tenta descobrir e utilizar a 
informação, enquanto um ataque ativo tenta alterar os recursos do sistema ou afetar sua 
operação. 
Assim, os ataques ativos são classificados em quatro categorias, que são: 
 
a. Disfarce, observação, negação de mensagens e modificação de serviço. 
 
b. Disfarce, repasse, modificação de mensagens e monitoramento de serviço. 
 
c. Escuta, modificação, repasse de mensagens e negação de serviço. 
 
d. Disfarce, repasse, modificação de mensagens e negação de serviço. 
 
e. Visualização, repasse, modificação de mensagens e disfarce de serviço. 
 
Carla recebeu um e-mail de Pedro, marcando um encontro. No entanto, ela ficou desconfiada se 
ele mesmo enviou ou foi uma outra pessoa. Uso de hash seria a maneira ideal de verificar a 
autenticidade da mensagem? 
Assinale a alternativa que não está de acordo com a situação exposta acima. 
 
a. Qualquer pessoa, incluindo intruso, pode calcular o hash de uma mensagem falsa. 
 
b. Integridade da informação não significa autenticidade. 
 
c. Redundância de chaves de assinatura. 
 
d. Apenas a origem e destino conhecerem a chave garantindo autenticidade e integridade. 
 
e. Uma chave pública para assinatura digital da mensagem. 
 
Aplicações criptográficas em geral utilizam técnicas algorítmicas para geração de número 
aleatório. Analise as afirmações a seguir: 
 
I. Um gerador de número aleatório verdadeiro toma como entrada uma fonte que é aleatório, em 
geral chamada de fonte de entropia 
II. Um pseudo gerador de número aleatório toma como entrada um valor fixo denominado de 
semente e produz uma sequência de bits de saída usando um algoritmo determinístico. 
III. A semente é gerada por um gerador de número aleatório verdadeiro. 
IV. Um algoritmo que é usado para produzir uma sequência de bits tão grande quando necessária é 
chamada de gerador de número aleatório verdadeiro. 
 
 Apenas I e III estão corretas. 
 
 Apenas I e II estão corretas. 
 
 Apenas I e IV estão corretas. 
 
 Apenas III e IV estão corretas. 
 
 Apenas II e III estão corretas. 
 
 
 
______ é a proteção dos dados contra ataques passivos. Denomina-se ______ o que impede 
que impede o emissor ou o receptor neguem uma mensagem transmitida e, desta forma, 
quando uma mensagem é enviada, o receptor pode provar que o emissor alegado de fato a 
transmitiu. Como o serviço de ______ se relaciona com ataque ativos, tratamos da detecção em 
vez da prevenção. 
 
A alternativa que melhor preenche as lacunas é: 
 
 Confidencialidade, Irretratabilidade, Integridade. 
 
 Irretratabilidade, Confidencialidade, Integridade. 
 
 Confidencialidade, Integridade, Irretratabilidade. 
 
 Integridade, Irretratabilidade, Confidencialidade. 
 
 Irretratabilidade, Integridade, Confidencialidade. 
 
Os geradores de números pseudoaleatórios têm sido um assunto de muita pesquisa ao longo dos 
anos, tendo sido desenvolvido um grande número de algoritmos. Analise as afirmações a seguir. 
 
I. Cifras de blocos simétricas, cifras assimétricas e funções de hash e códigos de autenticação de 
mensagens são três categorias de algoritmos criptográficos. 
II. Para aplicações criptográficas, a semente que serve como entrada do gerador de número 
pseudoaleatório (PRNG) deve ser segura. 
III. O PRNG é não determinístico. 
IV. Um gerador de números verdadeiramente aleatórios (TRNG) pode produzir uma sequência 
binária com alguma propensão. 
 
 Apenas I, II e IV estão corretas. 
 
 Apenas I, II e III estão corretas. 
 
 Apenas II e III estão corretas. 
 
 Apenas I e IV estão corretas. 
 
 Apenas II, III e IV estão corretas. 
 
 
 
 
 
 
 
 
 
Em termos de aleatoriedade, o requisito para um PRNG é o que o fluxo de bits gerado pareça 
ser aleatório, embora determinístico. O NIST SP 800-22 estabelece que os testes devem buscar 
estabelecer três características. Julgue as afirmações a seguir: 
 
I. Escalabilidade: qualquer teste que se aplique a uma sequência também pode ser aplicado a 
subsequências extraídas aleatoriamente. 
II. Uniformidade: em qualquer ponto na geração de uma sequência de bits aleatórios ou 
pseudoaleatórios, a ocorrência de zero ou um é igual. 
III. Consistência: o comportamento de um gerado precisa ser coerente entre os valores iniciais 
(sementes). 
IV. Teste de frequência: é o mais básico e deve ser incluído em qualquer pacote de testes. 
 
 Apenas I e III estão corretas. 
 
 Apenas I, II e III estão corretas. 
 
 Apenas I e II estão corretas. 
 
 Apenas II e III estão corretas. 
 
 Apenas I, III e IV estão corretas. 
 
O AES (Advanced Encrption Standard) é um algoritmo de criptografia simétrica definido pelo 
National Institute for Standards e Technology (NIST), dos Estados Unidos, como um algoritmo 
de criptografia-padrão, reconhecidamente seguro. Esse algoritmo opera sobre blocos de 128 
bits, utilizando chaves de 129, 192 ou 256 bits. 
Considerando a seguinte afirmação: “O AES-256 é considerado atualmente, a melhor escolha 
para um criptossistema simétrico de propósito geral”, concluímos que o AES-256 é a melhor 
opção porque: 
 
a. O algoritmo AES é desconhecido dos hackers. 
 
b. A chave utilizada é de tamanho conhecido. 
 
c. O tamanho da chave (256 bits) torna o algoritmo secreto mais confiável. 
 
d. Quanto maior o tamanho da chave, melhor é a difusão e a confusão das mensagens. 
 
e. O tamanho da chave associada ao algoritmo AES torna-o mais robusto. 
 
Carla utilizou uma ferramenta para criptografar uma informação a ser transmitida para Fabiana 
com o objetivo de proteger a informação contraacesso não autorizado. O requisito básico de 
segurança da informação assegurado pela criptografia é a: 
 
a. Autenticidade. 
 
b. Confidencialidade. 
„ c. Disponibilidade. 
 
d. Confiabilidade. 
 
e. Irretratabilidade. 
 
Conforme definido por Claude Shannon, no projeto de cifras seguras, há dois princípios básicos 
que os algoritmos de criptografia (cifragem) devem preservar, difusão e confusão. 
I. Difusão – cada caractere da mensagem cifrada deve depender do maior número possível 
de caracteres da mensagem às claras e da chave. 
II. Confusão – relação entre a mensagem clara, cifrada e a chave deve ter alta 
complexidade. 
Analise as afirmativas acima e assinale: 
 
a. Se somente a afirmativa I estiver correta. 
 
b. Se somente a afirmativa II estiver correta. 
 
c. Se nenhuma das afirmativas estiver correta. 
 
d. Se todas as afirmativas estiverem corretas. 
 
e. Há 1 princípio básico não definido. 
 
Além dos conceitos clássicos que já conhecemos há conceitos adicionais importantes nas 
aplicações modernas de segurança computacional. Julgue as afirmações a seguir e assinale a 
alternativa correta. 
 
I. A autenticidade é a propriedade de que certos registros ou transações não sejam 
atribuíveis a qualquer indivíduo. 
II. O anonimato é a habilidade de determinar que afirmações, políticas e permissões 
oriundas de pessoas ou sistemas são genuínas. 
III. A garantia refere-se a como a confiança é fornecida e gerenciada em sistemas de 
computação. 
IV. Os conceitos de garantia, anonimato e autenticidade são independentes entre si. 
 
Apenas I e II estão corretas. 
 
Apenas II e III estão corretas. 
 
Apenas II e III estão corretas. 
 
Apenas III e IV estão corretas. 
 
Apenas I e IV estão corretas. 
 
 
 
Acerca da confidencialidade e integridade é correto afirmar que 
 
I. A integridade é a propriedade da informação ser acessível e modificável no momento 
oportuno por aqueles que estejam autorizados a isso. 
II. A confidencialidade é evitar a revelação não autorizada da informação, ou seja ela 
envolve a proteção dos dados. 
III. A integridade é a propriedade de que a informação não foi alterada de maneira não 
autorizada. 
IV. A confidencialidade refere-se a como a confiança é fornecida e gerenciada em sistemas 
de computação. 
 
Apenas I e III estão corretas. 
 
Apenas I e IV estão corretas. 
 
Apenas II e III estão corretas. 
 
Apenas II e IV estão corretas. 
 
Apenas I e II estão corretas. 
 
Considere os modos de encriptação para uma cifra de blocos ECB e CBC e as afirmações e 
escolha a alternativa correta. 
 
I. O ECB tem a vantagem da simplicidade e pode tolerar a perda de um bloco, assim como pode 
ocorrer se os blocos estão sendo enviados em pacote em uma rede. 
II. A desvantagem do CBC é que o algoritmo de encriptação é determinístico, de modo que cada 
texto puro apresenta um único texto cifrado associado. 
III. O modo CBC não permite que a encriptação de blocos seja feita independentemente. 
IV. O ECB tem a vantagem de que se blocos idênticos aparecerem em sequências distintas na 
sequência de entrada, então provavelmente eles terão encriptações diferentes na sequência de 
saída. 
 
 Apenas I, III e IV estão corretas. 
 
 Apenas II e III estão corretas. 
 
 Apenas I, II e IV estão corretas. 
 
 Apenas I e II estão corretas. 
 
 Apenas I, II e III estão corretas. 
 
 
 
 
 
O algoritmo criptográfico mais versátil é a função de hash criptográfica, sendo usada em 
diversas aplicações de segurança e protocolos da Internet. Julgue as afirmações a seguir e 
assinale a alternativa correta. 
 
I. A autenticação de mensagem é obtida usando um código de autenticação de mensagens (MAC), 
também conhecida como função de hash chaveada. 
II. Qualquer um que conhecer a chave privada do usuário pode verificar a integridade da 
mensagem que está associada à assinatura digital. 
III. No caso da assinatura digital, o valor de hash da mensagem é encriptado com a chave privada 
do usuário. 
IV. A autenticação de mensagem é um mecanismo ou serviço usado para verificar a integridade de 
uma mensagem. 
 
 Apenas II, III e IV estão corretas. 
 
 Apenas I, III e IV estão corretas. 
 
 Apenas II e III estão corretas. 
 
 Apenas I e IV estão corretas. 
 
 Apenas I, II e IV estão corretas. 
 
Dentre os testes de aleatoriedade oferecidos pelo NIST SP 800-22 é preciso haver um 
conhecimento básico de análise estatística. A título de entendimento é importante saber a 
diferença entre eles. Julgue as afirmações a seguir sobre três testes do NIST SP 800-22. 
 
I. Teste de rodadas: é o mais básico e deve ser incluído em qualquer pacote de testes. O objetivo é 
determinar se o número de uns e zeros em uma sequência e mais ou menos o mesmo que seria 
esperado para uma sequência verdadeiramente aleatória. 
II. Teste de frequência: trata-se do número total de rodadas na sequência, na qual uma rodada é 
uma sequência ininterrupta de bits idênticos limitados antes e depois com um bit do valor 
oposto 
III. Teste da estatística universal de Maurer: o foco é o número de bits entre padrões 
correspondentes, medida relacionada ao tamanho de uma sequência compactada. 
IV. Teste de imprevisibilidade direta: teste para verificar se a semente é desconhecida e, se positivo, 
o próximo bit de saída na sequência deverá ser imprevisível. 
 
 Apenas I, III e IV estão corretas. 
 
 Apenas I e II estão corretas. 
 
 Apenas II está correta. 
 
 Apenas III está correta. 
 
 Apenas I e III estão corretas. 
 
 
 
 
Sobre o uso de números aleatórios em aplicações de segurança de redes, não é correto afirmar 
que: 
 
a. São gerados em uma sessão, como chave de sessão em transações bancárias. 
 
b. São gerados em esquemas de distribuição de chaves e de autenticação mútua. 
 
c. São gerados na geração de chave pública para criptografia assimétrica. 
 
d. São gerados na criação de senhas fortes em sistemas automatizados. 
 
e. São gerados para definição de fluxos de bits em criptografia assimétrica. 
 
A arquitetura de segurança da ISO define um serviço de segurança como aquele fornecido 
por uma camada de protocolo de comunicação de sistemas abertos, que garante a segurança 
adequada dos sistemas ou das transferências de dados. Julgue as afirmações a seguir e 
assinale a alternativa correta: 
A confidencialidade oferece proteção contra negação, por parte de uma das enti-dades 
envolvidas em uma comunicação, de ter participado de toda ou parte dela. 
I. A autenticação está relacionada à certeza de que a entidade se comuni-cando é aquela que 
afirma ser. 
II. O controle de acesso relaciona-se ao uso não autorizado de um recurso, ou seja, esse 
serviço controla que pode ter acesso a um recurso. 
III. A irretratabilidade oferece uma proteção dos dados contra a divulgação não autorizada. 
Apenas I e II estão corretas. 
Apenas I e IV estão 
corretas. 
Apenas II e IV estão 
corretas. 
Apenas II e III estão 
corretas. 
Apenas I e III estão 
corretas.