Prévia do material em texto
Aula 04 Questões Comentadas de Informática p/ INSS - Técnico de Seguro Social - 2016 Professor: Victor Dalton Questões comentadas de Informática para INSS Técnico de Seguro Social Prof Victor Dalton ʹ Aula 04 Prof. Victor Dalton www.estrategiaconcursos.com.br 1 de 71 AULA 04: Segurança da Informação SUMÁRIO PÁGINA Introdução 1 Exercícios Comentados 2 Considerações Finais 27 Exercícios 28 Reforço outras bancas 42 Olá amigos e amigas! É chegada a nossa bateria final de exercícios! Particularmente, gosto muito do assunto de hoje, Segurança da Informação. Criptografia e ameaças trazem muitos conceitos e ideias que estão mais envolvidos com o nosso dia a dia do que a gente pensa. De quebra, estamos treinando para o CESPE e seu estilo de questões. Podemos começar? Observação importante: este curso é protegido por direitos autorais (copyright), nos termos da Lei 9.610/98, que altera, atualiza e consolida a legislação sobre direitos autorais e dá outras providências. Grupos de rateio e pirataria são clandestinos, violam a lei e prejudicam os professores que elaboram os cursos. Valorize o trabalho de nossa equipe adquirindo os cursos honestamente através do site Estratégia Concursos ;-) 65337778315 Questões comentadas de Informática para INSS Técnico de Seguro Social Prof Victor Dalton ʹ Aula 04 Prof. Victor Dalton www.estrategiaconcursos.com.br 2 de 71 EXERCÍCIOS COMENTADOS 1ª Questão) (CESPE ± ANATEL ± Analista Administrativo ± Suporte e Infraestrutura de TI - 2014) Para que a criptografia de chave pública seja considerada segura, uma das premissas é que o conhecimento do algoritmo, o conhecimento de uma das chaves e a disponibilidade de amostras de texto cifrado sejam, em conjunto, insuficientes para determinar a outra chave. Correto. Mesmo conhecendo o algoritmo e uma das chaves, normalmente a pública, é matematicamente inviável descobrir a chave privada para decifrar uma mensagem. Consolidados estes conceitos, a criptografia de chave pública é segura. 2ª Questão) (CESPE ± ANATEL ± Analista Administrativo ± Suporte e Infraestrutura de TI - 2014) A assinatura eletrônica vinculada a um certificado emitido no âmbito da ICP-Brasil tem função específica e restrita de determinar a não violação do conteúdo de um documento assinado eletronicamente, e não conduz à presunção de autenticidade do emissor do documento subscrito. Errado! Um certificado válido emitido no âmbito da ICP-Brasil também assegura a autenticidade do emissor do documento. (CESPE ± ANTAQ ± Analista Administrativo ± Infraestrutura de TI - 2014) No que diz respeito aos fundamentos de criptografia e certificação digital, julgue os itens subsecutivos. Nesse contexto, considere que a sigla AC, sempre que utilizada, se refira a autoridade certificadora. 3 Para a obtenção da chave pública de uma AC, utiliza-se um esquema de gerenciamento de chaves públicas, denominado infraestrutura de chaves públicas (ICP). No Brasil, a ICP-Brasil é organizada de forma hierárquica, em que uma AC raiz certifica outras ACs e, posteriormente, estas, bem como a AC raiz, emitem certificados para os usuários finais. Errado! 90% da sentença está correta. O único equívoco foi insinuar que a AC raiz também emite certificados aos usuários finais. Ela emite somente para as outras ACs imediatamente abaixo do seu nível. 65337778315 Questões comentadas de Informática para INSS Técnico de Seguro Social Prof Victor Dalton ʹ Aula 04 Prof. Victor Dalton www.estrategiaconcursos.com.br 3 de 71 4 Cada certificado digital emitido por uma AC é específico para determinado usuário final e pode ser revogado a qualquer momento pela respectiva AC. Correto. 5 Na criptografia simétrica, a mesma chave compartilhada entre emissor e receptor é utilizada tanto para cifrar quanto para decifrar um documento. Na criptografia assimétrica, utiliza-se um par de chaves distintas, sendo a chave pública do receptor utilizada pelo emissor para cifrar o documento a ser enviado; posteriormente, o receptor utiliza sua chave privada para decifrar o documento. Correto. Explicação bem didática de ambas as criptografias. 6 A utilização adequada dos mecanismos de criptografia permite que se descubra qualquer alteração em um documento por partes não autorizadas, o que garante a confidencialidade do documento. Errado! A garantia de não alteração de um documento se relaciona com o princípio da integridade. Confidencialidade é a garantia de que a informação será acessada somente por quem de direito. 7 Para a utilização de criptografia assimétrica, a distribuição das chaves públicas é comumente realizada por meio de certificado digital, que contém o nome do usuário e a sua chave pública, sendo a autenticidade dessas informações garantida por assinatura digital de uma terceira parte confiável, denominada Autoridade Certificadora. Correto. A Autoridade Certificadora garante a autenticidade do dono do Certificado e, ao fornecer a chave pública, garante que somente o dono do certificado pode decifrar as mensagens que lhe forem enviadas. 65337778315 Questões comentadas de Informática para INSS Técnico de Seguro Social Prof Victor Dalton ʹ Aula 04 Prof. Victor Dalton www.estrategiaconcursos.com.br 4 de 71 (CESPE ± ANTAQ ± Analista Administrativo ± Infraestrutura de TI - 2014) Julgue os itens a seguir, relativos aos ataques em redes e aplicações corporativas. 8 Um ataque de SQL injection tenta explorar as características da linguagem SQL, principalmente do interpretador de comandos SQL, podendo danificar as informações armazenadas em um servidor, sem, entretanto, conseguir quebrar a confidencialidade desse conteúdo. Errado! O ataque SQL tanto pode danificar as informações de um servidor quanto extraí-las. Ao extrair informações, viola-se a confidencialidade do conteúdo. 9 O ataque cross-site scripting, executado quando um servidor web inclui, nos dados de uma página web enviada para um usuário legítimo, um conjunto de dados que tenham sido previamente recebidos de um usuário malicioso, permite que se roube de um usuário legítimo senhas, identificadores de sessões e cookies. Correto. 10 Em um ataque de DDoS, que objetiva deixar inacessível o recurso computacional para os usuários legítimos, um computador mestre controla milhares de computadores zumbis que acessam um sistema ao mesmo tempo (um servidor web, por exemplo), com o objetivo de esgotar seus recursos. Correto. O DDoS, em virtude da aparência legítima de requisições de acesso, é uma das formas de ataque mais difíceis de serem combatidas. (CESPE ± SUFRAMA ± Analista de Sistemas - 2014) No que se refere à segurança da informação, julgue os itens a seguir. 11 Para averiguar a integridade de um arquivo de computador a ser transmitido por um meio inseguro, pode-se gerar um hash antes da transmissão e verificar o hash após a transmissão. 65337778315 Questões comentadas de Informática para INSS Técnico de Seguro Social Prof Victor Dalton ʹ Aula 04 Prof. Victor Dalton www.estrategiaconcursos.com.br 5 de 71 Correto. O hash, ao ser verificado após a transmissão, garante a autenticidade do remetente e a integridade da mensagem. 12 A utilização de algoritmos de criptografiagarante a disponibilidade e a autenticidade de informações em ambientes de tecnologia da informação. Errado! A criptografia não se relaciona diretamente com a disponibilidade da informação. Disponibilidade é o acesso à informação quando deseja-se acessá-la. Isto é garantido por meio de infraestrutura, permissões de acesso... enfim, por outros meios. (CESPE ± TCDF ± Analista de Administração Pública - Sistemas de TI - 2014) Acerca de criptografia e da infraestrutura de chave pública, julgue os itens subsecutivos. 13 A assinatura digital é gerada por criptografia assimétrica mediante a utilização de uma chave pública para codificar a mensagem. Errado! Na assinatura digital, utiliza-se a chave privada para assinar a mensagem. Assim, por meio da chave pública, constata-se a autenticidade do autor da mensagem. 14 A técnica de criptografia de chave única utiliza a mesma chave para criptografar e descriptografar uma mensagem. Correto. Esta é a criptografia simétrica. 15 A lista de certificados revogados (LCR) de uma infraestrutura de chaves públicas deve ser emitida pela autoridade certificadora, que também é responsável por emitir e gerenciar certificados digitais. Correto. Responsabilidades da AC. 65337778315 Questões comentadas de Informática para INSS Técnico de Seguro Social Prof Victor Dalton ʹ Aula 04 Prof. Victor Dalton www.estrategiaconcursos.com.br 6 de 71 (CESPE ± TJ/SE ± Analista Judiciário ± Análise de Sistemas - 2014) Em relação à segurança e à proteção de informações na Internet, julgue os itens subsequentes. 16 Cavalo de Troia, também conhecido como trojan, é um programa malicioso que, assim como os worms, possui instruções para autorreplicação. Errado! Trojans não são autorreplicantes! Worms são... 17 Spyware é um programa ou dispositivo que monitora as atividades de um sistema e transmite a terceiros informações relativas a essas atividades, sem o consentimento do usuário. Como exemplo, o keylogger é um spyware capaz de armazenar as teclas digitadas pelo usuário no teclado do computador. Correto. 18 Vírus são programas que podem apagar arquivos importantes armazenados no computador, podendo ocasionar, até mesmo, a total inutilização do sistema operacional. Correto. 19 Um tipo específico de phishing, técnica utilizada para obter informações pessoais ou financeiras de usuários da Internet, como nome completo, CPF, número de cartão de crédito e senhas, é o pharming, que redireciona a navegação do usuário para sítios falsos, por meio da técnica DNS cache poisoning. Correto. (CESPE ± TJ/SE ± Analista Judiciário ± Suporte Técnico em Infraestrutura - 2014) Considerando que as técnicas associadas à criptografia 65337778315 Questões comentadas de Informática para INSS Técnico de Seguro Social Prof Victor Dalton ʹ Aula 04 Prof. Victor Dalton www.estrategiaconcursos.com.br 7 de 71 são comumente empregadas para se atingir requisitos de segurança, julgue os itens a seguir. 20 Em sistemas de uso prático, são usadas as técnicas simétricas e as assimétricas combinadas. Correto. É normal a utilização da criptografia assimétrica para trocar a chave simétrica, quando estabelecidas sessões curtas de comunicação (como, por exemplo, o acesso a um site com certificado). 21 A confidencialidade pode ser obtida pelo uso da criptografia simétrica e da assimétrica. Correto. Criptografia, em primeiro lugar, preocupa-se com a confidencialidade da informação. 22 Em conjunto com as funções de resumo criptográfico (hash), a criptografia simétrica proporciona autenticidade. Errado! Seria a criptografia assimétrica. 23 A criptografia assimétrica proporciona o não repúdio, não proporcionando, porém, a autenticidade. Errado! O não-repúdio é um conceito que vai além da autenticidade. Autenticade é você saber quem enviou, não-repúdio é o autor não poder negar que foi ele quem enviou. Caso os instrumentos criptográficos assegurem o não- repúdio, a autenticidade automaticamente é assegurada. 24 As funções de resumo criptográfico oferecem garantia probabilística de inforjabilidade. Correto. Inforjabilidade é a impossibilidade de falsificação. O hash assegura garantia probabilística de inforjabilidade, na medida em que é 65337778315 Questões comentadas de Informática para INSS Técnico de Seguro Social Prof Victor Dalton ʹ Aula 04 Prof. Victor Dalton www.estrategiaconcursos.com.br 8 de 71 matematicamente improvável adulterar uma mensagem de modo a produzir exatamente o mesmo hash da mensagem original. (CESPE ± TJ/AC ± Técnico em Informática - 2012) Julgue os itens a seguir, a respeito de aplicativos usados no combate a pragas virtuais. 25 O antispyware é um software que se destina especificamente a detectar e remover spywares, enquanto o antivírus é uma ferramenta que permite detectar e remover alguns programas maliciosos, o que inclui certos tipos de spywares. Correto. 26 Por serem de difícil detecção, os worms só podem ser combatidos por ferramentas específicas para esse fim, que se denominam antiworms. Errado! Worms são combatidos com firewall, que impedem sua propagação pela rede. 27 Sistemas de prevenção à intrusão (IPS) e sistemas de detecção de intrusão (IDS) são sistemas concebidos com os mesmos propósitos. A diferença entre eles encontra-se no público-alvo. Enquanto os IPS são sistemas voltados para os usuários domésticos, os IDS focam as grandes redes corporativas. Errado! A diferença básica entre um Intrusion Detection System (IDS) para um Intrusion Prevention System (IPS) é que os sistemas de prevenção são ativos, enquanto os sistemas de detecção são passivos. Enquanto o IDS informa sobre um potencial ataque, o IPS promove tentativas de parar o ataque. Um outro grande avanço sobre o IDS é que o IPS tem a capacidade de prevenir LQYDV}HV� FRP� ³DVVLQDWXUDV´� FRQKHFLGDV�� PDV� WDPEpP� SRGH� LPSHGLU� DOJXQV� DWDTXHV�QmR�FRQKHFLGRV��GHYLGR�D�VXD�EDVH�GH�GDGRV�GH�³FRPSRUWDPHQWRV´�GH� ataques genéricos. Visto como uma combinação GH� ,'6�H�GH�XPD�³FDPDGD�GH� DSOLFDomR� )LUHZDOO´� SDUD� SURWHomR�� o IPS geralmente é considerado a geração seguinte do IDS. 65337778315 Questões comentadas de Informática para INSS Técnico de Seguro Social Prof Victor Dalton ʹ Aula 04 Prof. Victor Dalton www.estrategiaconcursos.com.br 9 de 71 28 As ferramentas antispam permitem combater o recebimento de mensagens consideradas spam e, em geral, baseiam-se na análise do conteúdo das mensagens. Correto. As ferramentas antispam costumam integrar os webmails e os aplicativos comerciais de email, como Outlook e Thunderbird. 29 O recurso de segurança denominado firewall pode ser implementado por software ou por hardware. Correto. Além dos aplicativos Firewall, existem soluções comerciais de hardware, de grandes fabricantes comerciais. Firewall da CISCO 30 O firewall é configurado pelo seu fabricante para que proteja uma rede local de computadores, com base no perfil dos usuários dessa rede. Errado! O firewall deve ser configurado pelo administrador da rede, com base nas necessidades da organização. Se os usuários da rede desejarem utilizar torrent, por exemplo, e isso for contrário ao interesse da organização, o firewall pode ser configurado para não permitir a utilização dessas portas. 31 O uso de programas antivíruscontinuamente atualizados é uma prática suficiente para se evitar que um worm contamine um computador. Errado! Worms não se instalam em arquivos, portanto, não são encontrados por antivírus. 65337778315 Questões comentadas de Informática para INSS Técnico de Seguro Social Prof Victor Dalton ʹ Aula 04 Prof. Victor Dalton www.estrategiaconcursos.com.br 10 de 71 (CESPE ± CNJ ± Técnico Judiciário: Programação de Sistemas - 2013) Com relação a conceitos de segurança da informação, julgue os itens a seguir. 32 Vírus de macro infectam arquivos criados por softwares que utilizam linguagem de macro, como as planilhas eletrônicas Excel e os documentos de texto Word. Os danos variam de alterações nos comandos do aplicativo à perda total das informações. Correto. Por isso que Excel e Word sempre perguntam ao usuário se ele GHVHMD�³+DELOLWDU�0DFURV´��TXDQGR�DEUH�DOJXP�DUTXLYR�TXH�SRVVXD�HVVH�UHFXUVR� 33 Vírus de script registram ações dos usuários e são gravados no computador quando da utilização de um pendrive infectado. Errado! Vírus de script são comandos maliciosos inseridos em scripts de páginas web. Quem registra ações dos usuários são os keyloggers, ou os mouseloggers. Eles são ativados quando uma página maliciosa é aberta. 34 A utilização de sistemas biométricos dispensa a segurança de dados de forma isolada, uma vez que o acesso é mais restrito em decorrência do alto controle de erro, não havendo necessidade de intervenção do programador no testamento dos dados. Errado! Sistemas com biometria, como, por exemplo, uma catraca, exige segurança na tramitação dos seus dados, bem como pode exigir o teste e a verificação de eventuais erros, por parte do programador. 35 A proteção aos recursos computacionais inclui desde aplicativos e arquivos de dados até utilitários e o próprio sistema operacional. Correto. Lembrando, ainda, que até mesmo a proteção física das instalações fazem parte das medidas de segurança de um sistema. 65337778315 Questões comentadas de Informática para INSS Técnico de Seguro Social Prof Victor Dalton ʹ Aula 04 Prof. Victor Dalton www.estrategiaconcursos.com.br 11 de 71 36 Para aumentar a segurança de um programa, deve-se evitar o uso de senhas consideradas frágeis, como o próprio nome e identificador de usuário, sendo recomendada a criação de senhas consideradas fortes, ou seja, aquelas que incluem, em sua composição, letras (maiúsculas e minúsculas), números e símbolos embaralhados, totalizando, preferencialmente, mais de seis caracteres. Correto. 37 O princípio da autenticidade é garantido quando o acesso à informação é concedido apenas a pessoas explicitamente autorizadas. Errado! Esse é o princípio da confidencialidade. O princípio da autenticidade é aquele no qual é possível atestar que a entidade emissora da mensagem realmente é quem diz ser. (CESPE ± MPE/PI ± Técnico Ministerial ± Informática - 2011) Julgue os itens a seguir, a respeito de segurança da informação. 38 O firewall do Windows tem funcionalidades apropriadas que possibilitam o bloqueio de algumas solicitações de conexão ao computador pessoal de um usuário. Correto. Quando não existe nenhum firewall instalado no computador, o firewall do Windows é ativo e permite uma série de configurações. 39 (CESPE ± TJDFT ± Técnico Judiciário Área Administrativa - 2013) Backdoor é uma forma de configuração do computador para que ele engane os invasores, que, ao acessarem uma porta falsa, serão automaticamente bloqueados. Errado! Backdoor é uma falha de segurança que pode existir em um programa de computador ou sistema operacional, que pode permitir a invasão do sistema. 65337778315 Questões comentadas de Informática para INSS Técnico de Seguro Social Prof Victor Dalton ʹ Aula 04 Prof. Victor Dalton www.estrategiaconcursos.com.br 12 de 71 (CESPE ± ANAC ± Analista Administrativo: Cargo 4 ±2012) Julgue os próximos itens, relativos aos conceitos sobre criptografias, algoritmos simétricos e assimétricos de criptografia. 40 O algoritmo RSA, baseado na construção de chaves públicas e privadas, utiliza números primos, e, quanto maior for o número primo escolhido, mais seguro será o algoritmo. Certa. O RSA é um algoritmo de chave assimétrica, e sua segurança está diretamente relacionada à dificuldade de decifrar grandes números primos. 41 A técnica utilizada para esconder uma mensagem secreta dentro de uma maior, de modo que não se possa discernir a presença ou o conteúdo da mensagem oculta é denominada estenografia. Errada. Esteganografia. A cara do CESPE. 42 O DES (data encryption standard) triplo utiliza, exatamente, por três vezes o algoritmo DES, além de uma mesma chave de 56 bits para criptografar mensagens. Errada. Opa! O 3-DES realmente usa o algoritmo DES 3 vezes, mas ele usa três chaves diferentes, e não a mesma chave. Lembro ainda que a chave possui 64bits, sendo 56 bits efetivamente utilizados no algoritmo e 8 bits de paridade. Acerca de certificação digital, julgue os próximos itens. 43 A Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil) é uma cadeia hierárquica e de confiança que viabiliza a emissão de certificados digitais para a identificação virtual do cidadão no Brasil, conforme os padrões e normas estipulados pela CERTISIGN, à qual se subordina hierarquicamente em nível mundial. 65337778315 Questões comentadas de Informática para INSS Técnico de Seguro Social Prof Victor Dalton ʹ Aula 04 Prof. Victor Dalton www.estrategiaconcursos.com.br 13 de 71 Errada. A ICP-Brasil é subordinada à Presidência da República, e a CERTISIGN é uma autoridade certificadora de 1º nível, diretamente subordinada à AC-Raiz. Veja mais em http://www.iti.gov.br/index.php/icp-brasil/estrutura. 44 Assim como pessoas físicas, as micro e pequenas empresas também podem comprovar sua identidade no meio virtual, realizar transações comerciais e financeiras com validade jurídica, participar de pregões eletrônicos e trocar mensagens no mundo virtual com segurança e agilidade com o e-CPF Simples. Certa. O e-CPF é a versão eletrônica do CPF para a pessoa física, enquanto o e-CPF Simples é a versão para as micro e pequenas empresas. (CESPE ± ANCINE ± Analista Administrativo: Área 2 ±2013) Julgue os próximos itens, acerca de segurança da informação. 45 No que tange à autenticação, a confiabilidade trata especificamente da proteção contra negação, por parte das entidades envolvidas em uma comunicação, de ter participado de toda ou parte desta comunicação. Errada. Trata-se do não-repúdio. 46 A assinatura digital, que é uma unidade de dados originada de uma transformação criptográfica, possibilita que um destinatário da unidade de dados comprove a origem e a integridade dessa unidade e se proteja contra falsificação. Certa. (CESPE ± BACEN ± Analista - Área 2 ±2013) A respeito de fundamentos de assinatura digital e certificado digital, julgue os itens subsequentes. 47 A autoridade certificadora é responsável por divulgar informações caso o certificado por ela emitido não seja mais confiável. 65337778315 Questões comentadas de Informática para INSS Técnico de Seguro Social Prof Victor Dalton ʹ Aula 04 Prof. Victor Dalton www.estrategiaconcursos.com.br 14 de 71 Certa. Quando um certificado perde a validadeou a sua confiabilidade, é responsabilidade da autoridade certificadora revogá-lo. 48 O uso de assinatura digital objetiva comprovar a autenticidade e a integridade de uma informação, sendo a integridade garantida mediante a codificação de todo o conteúdo referente à assinatura. Errada. As funções de hash servem justamente para não precisar codificar toda a mensagem, mas sim um resumo dela. (CESPE ± SERPRO ± Analista ± Desenvolvimento de Sistemas ± 2013) Acerca dos requisitos de segurança da informação, julgue os itens a seguir. 49 Um ataque à infraestrutura de conectividade de um banco à Internet, interrompendo o acesso a seus serviços de home banking, afeta a disponibilidade. Certa. Se a informação deixa de estar disponível, é a disponibilidade a característica afetada. 50 O furto de um notebook que contenha prontuários e resultados de exames dos pacientes de um médico afeta a confiabilidade das informações. Errada. Nesse caso, a confidencialidade será afetada, uma vez que esta informação estará de posse de pessoas não autorizadas a acessar a informação. Ainda, se esses prontuários estivessem somente nesse notebook, a disponibilidade também seria afetada. (CESPE ± SERPRO ± Analista ± Desenvolvimento de Sistemas ± 2013) Julgue os itens a seguir, referentes à criptografia e assinatura e certificação digitais. 51 Um certificado digital consiste na cifração do resumo criptográfico de uma chave pública com a utilização da chave privada de uma autoridade certificadora. 65337778315 Questões comentadas de Informática para INSS Técnico de Seguro Social Prof Victor Dalton ʹ Aula 04 Prof. Victor Dalton www.estrategiaconcursos.com.br 15 de 71 Errada. Um certificado digital pode ter a chave pública de uma entidade cifrada com a chave privada da Autoridade Certificadora. Assim, ao decifrar a chave pública da entidade usando a chave pública da AC, existe a confiança na procedência da chave. 52 Uma assinatura digital consiste na cifração do resumo criptográfico de uma mensagem ou arquivo, com o uso da chave privada de quem assina. Certa. (CESPE ± CNPQ ± Cargo 1 - 2011) Sistemas de segurança da informação são frequentemente comparados a uma corrente com muitos elos que representam os componentes desenvolvidos, tais como equipamento, software, protocolos de comunicação de dados, e outros, incluindo o usuário humano. Na literatura sobre segurança da informação, o usuário humano é frequentemente referenciado como o elo mais fraco. Internet: <www.cienciasecognicao.org> (com adaptações). Tendo como referência o texto acima, julgue os próximos itens, referentes ao comportamento do usuário quanto à segurança da informação. 53 A fim de se preservar a integridade, a confidencialidade e a autenticidade das informações corporativas, é necessário que os empregados e os contratados do órgão sejam treinados, de forma que se conscientizem da importância da segurança da informação e se familiarizem com os procedimentos adequados na ocorrência de incidentes de segurança. Correto. De nada adianta a utilização das mais complexas tecnologias para a proteção da informação se as pessoas responsáveis por sua segurança são mal treinadas e/ou mal orientadas. 54 O fato de pesquisa de Alan S. Brown (Generating and Remembering Passwords ± 2004) mostrar que mais da metade dos entrevistados guardavam cópias escritas de suas VHQKDV� FRQILUPD� TXH� R� XVXiULR� KXPDQR� p� ³R� HOR� PDLV� IUDFR´�GR processo de segurança da informação, situação que é compensada pela utilização combinada de firewalls, anti-vírus ou pela utilização dos UPP (user protectors passwords). 65337778315 Questões comentadas de Informática para INSS Técnico de Seguro Social Prof Victor Dalton ʹ Aula 04 Prof. Victor Dalton www.estrategiaconcursos.com.br 16 de 71 Errado! &RPR�DILUPDGR�QR�LWHP�DQWHULRU��QmR�H[LVWH�³FRPSHQVDomR´�SDUD�D� falha humana. Firewalls e antivírus não protegem a máquina de um acesso indevido realizado por um intruso que apoderou-se da senha de um usuário, porque estava escrita em um papel, ou por qualquer outro motivo. UPP (user protectors passwords) não existe. (CESPE ± MPE/PI ± Cargos 1 a 5 e 7 a 9 - 2011) Julgue os itens a seguir, relacionados à segurança da informação. 55 Caso computadores estejam conectados apenas a uma rede local, sem acesso à Internet, a instalação de firewall em cada computador da rede é suficiente para evitar a contaminação por vírus de um computador dessa rede. Errado! O CESPE não se cansa de repetir essa ideia. Firewalls não impedem a contaminação por vírus! Além do mais, não há necessidade de instalação de Firewalls em cada computador da empresa. Firewalls devem ser instalados em pontos da rede que sejam vulneráveis, como, por exemplo, no proxy que fornece o acesso à Internet, ou nos pontos que fornecem acesso à rede sem fio (wireless). (CESPE ± SESA/ES ± Todos os cargos - 2011) Acerca dos conceitos e aplicações de Internet e intranet, organização e segurança de informações, julgue os itens a seguir. 56 O certificado digital é uma das tecnologias que permite identificar se um sítio de informações é reconhecido pelos registradores de domínio da Internet, se seu endereço é válido e se é garantida a segurança dos usuários que baixarem arquivos gerados por certificados autoassinados. Errado! O Certificado Digital é, na prática, um arquivo de computador que contém um conjunto de informações referentes a entidade para o qual o certificado foi emitido (seja uma empresa, pessoa física ou computador) mais a chave pública referente à chave privada que acredita-se ser de posse unicamente da entidade especificada no certificado. Voltando à questão, ela até começa correta, uma vez que o Certificado Digital, como consequência, valida o site que está sendo acessado como OHJtWLPR�� 0DV� ³garantida a segurança dos usuários que baixarem arquivos gerados por certificados autoassinados´� p� XP� HUUR�� &HUWLILFDGRV� TXH� QmR� VmR� assinados por autoridades certificadoras são perigosos, pois podem ser utilizados 65337778315 Questões comentadas de Informática para INSS Técnico de Seguro Social Prof Victor Dalton ʹ Aula 04 Prof. Victor Dalton www.estrategiaconcursos.com.br 17 de 71 para fins maliciosos. Recomendo a leitura de http://cartilha.cert.br/criptografia/ para complementar seus estudos, caso você ainda tenha dúvidas. 57 Uma das formas de se aplicar o conceito de disponibilidade da informação é por meio da realização de cópias de segurança, que contribuem para a restauração dos dados ao seu ponto original (de quando foi feita a cópia), o que reduz as chances de perda de informação em situações de panes, roubos, queda de energia, entre outras. Correto. Disponibilidade da informação relaciona-se com a informação estar sempre disponível, quando necessário. Logo, a criação de cópias de segurança é um procedimento que colabora com a manutenção desse princípio. (CESPE ± SSP/CE ± Cargos 1 a 5 e 7 a 9 - 2012) Julgue os itens que se seguem, referentes a segurança da informação. 58 O antivírus, para identificar um vírus, faz uma varredura no código do arquivo que chegou e compara o seu tamanho com o tamanho existente na tabela de alocação de arquivo do sistema operacional. Caso encontre algum problema no código ou divergência de tamanho, a ameaça é bloqueada. Errada! O antivírus compara o código de um arquivo com padrões maliciosos conhecidos, em sua base de dados. Por isso a importânciade manter os antivírus sempre atualizados, de modo que ele saiba reconhecer os vírus mais novos. (CESPE ± SEGER/ES ± Todos os cargos - 2010) Considerando que, em uma intranet, os servidores web estejam configurados para uso de certificados digitais, julgue os itens subsequentes. 59 Entre as características de um certificado digital inclui-se a existência de um emissor, do prazo de validade e de uma assinatura digital. Correto. O emissor do certificado é a Autoridade Certificadora. O prazo de validade é o período para o qual o certificado tem valor e a assinatura digital é um recurso que permite a assinatura de uma mensagem pelo emissor. Ela é feita com a chave privada do emissor, e, ao utilizar a chave pública para decifrar, é verificada a autenticidade do emissor, bem como a integridade da mensagem enviada. 65337778315 Questões comentadas de Informática para INSS Técnico de Seguro Social Prof Victor Dalton ʹ Aula 04 Prof. Victor Dalton www.estrategiaconcursos.com.br 18 de 71 60 O uso do protocolo https assegura que as informações trafegadas utilizem certificados digitais. Correto. Sites com https utilizam certificados digitais. Atenção: sites cujos certificados foram assinados por autoridades certificadoras possuem um cadeado exibido pelo navegador de Internet. Em caso de certificados autoassinados, o navegador de internet emite um aviso, e pergunta se você deseja continuar navegando pelo referido site. (CESPE ± Assembleia Legislativa/CE ± Cargo 10 - 2011) Em relação a segurança da informação e procedimentos de segurança, julgue os seguintes itens. 61 Worms são programas que se espalham em uma rede, criam cópias funcionais de si mesmo e infectam outros computadores. Certo. Os worms são autorreplicantes. 62 ELIMINAR 63 O adware, tipo de firewall que implementa segurança de acesso às redes de computadores que fazem parte da Internet, evita que essas redes sejam invadidas indevidamente. Errado! Adware não é firewall! É um malware, relacionado à publicidade. (CESPE ± Corpo de Bombeiros /DF ± Todas as áreas - 2011) Julgue os itens a seguir, relacionados a conceitos de sistema operacional, aplicativos e procedimentos de Internet e intranet e segurança da informação. 64 Phishing é um programa utilizado para combater spyware, adware e keyloggers, entre outros programas espiões. Errado! Phishing é uma fraude virtual que normalmente chega por e-mail, com a tentativa de convencer o usuário de que ele precisa preencher um formulário com seus dados ou clicar em um determinado link para baixar um 65337778315 Questões comentadas de Informática para INSS Técnico de Seguro Social Prof Victor Dalton ʹ Aula 04 Prof. Victor Dalton www.estrategiaconcursos.com.br 19 de 71 arquivo, que na verdade é um vírus, e o site, se acessado, roubará todos os dados digitados. 65 Os procedimentos de backup devem ser executados com frequência para se evitar a perda de dados. Uma ação recomendável é manter uma cópia das informações críticas em local diferente do computador em que essas informações se encontrem. Correto. A norma ISO 27002 recomenda esse tipo de procedimento. (CESPE ± Câmara dos Deputados 2012 ± Analista Legislativo: Técnica Legislativa - 2012) Acerca de noções de vírus de computador e técnicas de segurança da informação, julgue os itens que se seguem. 66 O termo Spam, consiste de emails não solicitados que são enviados, normalmente, apenas para uma única pessoa e têm sempre conteúdo comercial. Essa mensagem não transporta vírus de computador ou links na Internet. Errado! Inverta tudo. Spam é um tipo de email enviado em massa, pode ter conteúdo comercial, pornográfico, bancário, etc. Ainda, pode transportar vírus ou indicar links maliciosos na internet. 67 A finalidade do uso de certificados digitais em páginas na Internet, por meio de HTTPS, é evitar que o conteúdo total dos dados de camada de aplicação, se capturados durante o tráfego, sejam identificados por quem o capturou. Certo. Com HTTPS, o conteúdo é enviado de maneira criptografada, utilizando os princípios de chave pública e privada. 68 O termo phishing designa a técnica utilizada por um fraudador para obter dados pessoais de usuários desavisados ou inexperientes, ao empregar informações que parecem ser verdadeiras com o objetivo de enganar esses usuários. Correto. 65337778315 Questões comentadas de Informática para INSS Técnico de Seguro Social Prof Victor Dalton ʹ Aula 04 Prof. Victor Dalton www.estrategiaconcursos.com.br 20 de 71 (CESPE ± ANAC ± Técnico em Regulação áreas 1,3 e 4 - 2012) Com relação aos conceitos de segurança da informação, julgue os itens subsequentes. 69 Um firewall pessoal é uma opção de ferramenta preventiva contra worms. Correto. Worms procuram replicar-se pela rede sem conhecimento do usuário. Uma computador com firewall pode impedir a propagação de worms, bem como o seu recebimento. 70 Com o certificado digital que é emitido pelo próprio titular do certificado, podem-se realizar transações seguras com qualquer empresa que ofereça serviços pela Internet. Errado! Certificados autoassinados podem pertencer a sites maliciosos. Lembre-se disso! (CESPE ± FNDE ± Técnico em Financiamento e Execução de Programas e Projetos Educacionais - 2012) Julgue o próximo item, relativos à segurança da informação. 71 Trojans ou cavalos de troia são programas capazes de multiplicar-se mediante a infecção de outros programas maiores. Eles não têm o objetivo de controlar o sistema, porém tendem a causar efeitos indesejados. Já os worms causam efeitos altamente destrutivos e irreparáveis. Ao contrário dos trojans, os worms utilizam o email como principal canal de disseminação, mas não possuem a capacidade de produzir cópias de si mesmos ou de algumas de suas partes. Errado! Os conceitos de worms e trojans estão invertidos, no começo. Os Worms se multiplicam, enquanto os Trojans podem ter efeitos altamente destrutivos. Trojans podem ser enviados por email, mas esse é o ponto forte dos Worms, que, além disso, produzem cópias de si mesmo, ou de algumas partes. (CESPE ± FNDE ± Especialista em Financiamento e Execução de Programas e Projetos Educacionais - 2012) Julgue os itens subsecutivos, referentes a conceitos de segurança da informação. 65337778315 Questões comentadas de Informática para INSS Técnico de Seguro Social Prof Victor Dalton ʹ Aula 04 Prof. Victor Dalton www.estrategiaconcursos.com.br 21 de 71 72 Como forma de garantir a disponibilidade de informação mantida em meios eletrônicos, deve-se fazer o becape de arquivos dos dados originais. Normalmente, sempre que o procedimento de becape é executado, o sistema operacional do equipamento faz uma cópia da totalidade dos dados em meio de armazenamento distinto do utilizado para guarda dos dados originais. Errado! Apenas a parte final. O Sistema Operacional, por padrão, faz backup no próprio disco rígido. Para fazer backup em outra mídia, é necessário a intervenção do usuário. 73 Embora sejam considerados programas espiões, os spywares também são desenvolvidos por empresas com o objetivo de coletar legalmente informações acessíveis de usuários. Correto. Quando você autoriza a Microsoft, ou outra empresa, a enviar GDGRV� GH�PDQHLUD� DQ{QLPD� SDUD� ³DMXGDU� D� DSULPRUDU� R� VRIWZDUH´�� WDO� WDrefa é realizada por um spyware. 74 Para protegerum computador contra os efeitos de um worm, pode-se utilizar, como recurso, um firewall pessoal. Correto. O firewall ajuda a proteger contra worms, pois fecha portas que eles utilizam para se reproduzir, pela rede. (CESPE ± Câmara dos Deputados ± Analista Legislativo: Técnico em Material e Patrimônio - 2012) Julgue os itens que se seguem, acerca de procedimentos e conceitos de segurança da informação. 75 Para garantir que os computadores de uma rede local não sofram ataques vindos da Internet, é necessária a instalação de firewalls em todos os computadores dessa rede. Errado! Para proteger uma rede de computadores de ataques oriundos da Internet, basta a instalação de um firewall no computador que realiza o Proxy da rede, ou seja, o computador que centraliza o acesso externo da rede. 65337778315 Questões comentadas de Informática para INSS Técnico de Seguro Social Prof Victor Dalton ʹ Aula 04 Prof. Victor Dalton www.estrategiaconcursos.com.br 22 de 71 76 Ao se realizar um procedimento de backup de um conjunto arquivos e pastas selecionados, é possível que o conjunto de arquivos e pastas gerado por esse procedimento ocupe menos espaço de memória que aquele ocupado pelo conjunto de arquivos e pastas de que se fez o backup. Correto. O backup pode empregar algum método de compressão, diminuindo o espaço em disco ocupado originalmente. 77 Os worms, assim como os vírus, infectam computadores, mas, diferentemente dos vírus, eles não precisam de um programa hospedeiro para se propagar. Correto. Worms se reproduzem sem a necessidade de um programa hospedeiro. (CESPE ± TRE/RJ ± Conhecimentos Básicos cargos 1 a 7 ± 2012) A respeito de segurança da informação, julgue os itens subsequentes. 78 É possível executar um ataque de desfiguração (defacement) ² que consiste em alterar o conteúdo da página web de um sítio ² aproveitando-se da vulnerabilidade da linguagem de programação ou dos pacotes utilizados no desenvolvimento de aplicação web. Correto. Os ataques de defacement são aqueles que modificam sites legítimos. Sites de instituições públicas são alvos constantes desse tipo de invasão, utilizada por grupos hackers para fazer protestos de cunho político. 79 Nos procedimentos de backup, é recomendável que as mídias do backup sejam armazenadas no mesmo local dos dados de origem, a fim de tornar a recuperação dos dados mais rápida e eficiente. Errado! Preconiza-se guardar as mídias de backup em local distinto dos dados de origem, para evitar que ambos sejam atingidos por um mesmo desastre, como um incêndio ou roubo. 65337778315 Questões comentadas de Informática para INSS Técnico de Seguro Social Prof Victor Dalton ʹ Aula 04 Prof. Victor Dalton www.estrategiaconcursos.com.br 23 de 71 (CESPE ± TJ/AC ± Técnico em Informática - 2012) No que se refere a procedimentos de segurança, julgue os seguintes itens. 80 A execução dos procedimentos de segurança da informação estabelecida em uma empresa compete ao comitê responsável pela gestão da segurança da informação. Errado! A execução dos procedimentos de segurança da informação é de responsabilidade de TODOS, da diretoria executiva ao estagiário mais novo da organização. 81 A atualização automática on-line do sistema operacional é uma prática que garante que o computador não sofrerá infecção por bots. Errado! Atualizar o sistema operacional certamente colabora para a correção de falhas de segurança. Mas garantir é um verbo muito forte, e que não se aplica à questão. 82 Para garantir a confidencialidade de informações críticas de uma empresa, devem ser estabelecidos procedimentos não só para a guarda e disponibilização dessas informações, mas também para o seu descarte. Correto. Confidencialidade diz respeito à garantia que somente as pessoas autorizadas podem visualizar a informação. E, naturalmente, medidas devem ser tomadas desde a geração da informação até o seu descarte. Documento sigiloso na lixeira, sem triturar, pode ser facilmente lido, não é mesmo? (CESPE ± TJDFT ± Técnico Judiciário Área Administrativa - 2013) Acerca de redes de computadores e segurança da informação, julgue os itens subsequentes. 83 Autenticidade é um critério de segurança para a garantia do reconhecimento da identidade do usuário que envia e recebe uma informação por meio de recursos computacionais. 65337778315 Questões comentadas de Informática para INSS Técnico de Seguro Social Prof Victor Dalton ʹ Aula 04 Prof. Victor Dalton www.estrategiaconcursos.com.br 24 de 71 Correto. E a consequência natural da autenticidade é o não-repúdio, que é a impossibilidade do autor negar a autoria de sua mensagem. 84 Nobreak é um equipamento que mantém, durante determinado tempo, em caso de falta de energia elétrica na rede, o funcionamento de computadores que a ele estiverem conectados. Correto. O estabilizador, por sua vez, apenas gerencia pequenos desvios de tensão na eletricidade, pois não possui bateria para manter a energia em caso de queda na rede elétrica. 85 Nas empresas, um mesmo endereço IP é, geralmente, compartilhado por um conjunto de computadores, sendo recomendável, por segurança, que dez computadores, no máximo, tenham o mesmo endereço IP. Errado! Primeiro, vamos destrinchar alguns conceitos. Todo computador, em uma rede, possui um único endereço IP. Entretanto, nem sempre o endereço IP dessa rede será o endereço IP que você possuirá perante a internet. Se você estiver conectado em uma rede corporativa, ou mesmo estiver em uma rede comum, com um roteador, poderá fazer essa verificação. Em seu computador, verifique as propriedades de conexão da sua rede, em uma tela similar a esta (exemplo para Windows): 65337778315 Questões comentadas de Informática para INSS Técnico de Seguro Social Prof Victor Dalton ʹ Aula 04 Prof. Victor Dalton www.estrategiaconcursos.com.br 25 de 71 $R�FOLFDU�QR�ERWmR�³'HWDOKHV´��GHQWUH�YiULDV�LQIRUPDo}HV��YRFr�SRGHUi�YHU�R� Endereço IPv4, que é o seu endereço IP em sua rede interna, e o Gateway Padrão, que é o endereço IP da sua porta de acesso à Internet. Nesse tipo de rede, o Gateway realiza uma operação chamada Network Address Translation (NAT). Na prática, isso quer dizer que o Gateway (ou o seu roteador) adota um outro endereço IP, de forma a identificá-lo unicamente em toda a internet. Mas por que isso acontece? Para que não haja necessidade de um IP distinto para cada máquina dentro de uma rede interna. Tente verificar você mesmo: acesse www.meuenderecoip.com no seu nevegador de internet, e esse site te dirá o endereço IP que você é visto na internet. Será o endereço IP da internet do seu roteador, ou do seu gateway. E se você puder fazer o mesmo teste em outro computador vizinho, na mesma rede, vai verificar que o endereço IP na internet será o mesmo, apesar das propriedades da rede local mostrarem diferentes endereços de rede interna. Logo, a questão está correta? Não, pois não existe esse limite de dez computadores por roteador, ou gateway. Teoricamente não existe limite, mas, na prática, as empresas fazem um balanceamento de carga nos seus gateways, pois a rede pode ficar congestionada se muitas máquinas utilizarem um único gateway, dependendo do tipo de demanda que as máquinas fazem da internet (se é pra ver emails, realizar videoconferências, baixar arquivos muito grandes, cada uso exige a internet de uma forma diferente). 86 Acriptografia, mecanismo de segurança auxiliar na preservação da confidencialidade de um documento, transforma, por meio de uma chave de codificação, o texto que se pretende proteger. Correto. Definição de criptografia. 87 (CESPE ± FUB ± Todos os cargos - 2015) Vírus é um programa autossuficiente capaz de se propagar automaticamente pelas redes enviando cópias de si mesmo de um computador para outro. Errado! Definição de worm. 65337778315 Questões comentadas de Informática para INSS Técnico de Seguro Social Prof Victor Dalton ʹ Aula 04 Prof. Victor Dalton www.estrategiaconcursos.com.br 26 de 71 88 (CESPE ± TCU ± Técnico Federal de Controle Externo - 2015) Um dos procedimentos de segurança quanto à navegação na Internet é sair das páginas que exigem autenticação por meio dos botões ou links destinados para esse fim, como, por exemplo, Sair, Desconectar, Logout etc., e não simplesmente fechar o browser. Correto. Realizar esses procedimentos garante que a sessão é encerrada também no servidor o qual o usuário está conectado, evitando ações maliciosas de terceiros. 89 (CESPE ± TCU ± Técnico Federal de Controle Externo - 2015) O vírus do tipo stealth, o mais complexo da atualidade, cuja principal característica é a inteligência, foi criado para agir de forma oculta e infectar arquivos do Word e do Excel. Embora seja capaz de identificar conteúdos importantes nesses tipos de arquivos e, posteriormente, enviá-los ao seu criador, esse vírus não consegue empregar técnicas para evitar sua detecção durante a varredura de programas antivírus. Errado! Vírus que infectam arquivos do Word e Excel são vírus de macro. Ainda, o vírus stealth é conhecido justamente por empregar técnicas para evitar sua detecção, e não o contrário, como insinua a questão. 65337778315 Questões comentadas de Informática para INSS Técnico de Seguro Social Prof Victor Dalton ʹ Aula 04 Prof. Victor Dalton www.estrategiaconcursos.com.br 27 de 71 CONSIDERAÇÕES FINAIS E finalmente encerramos nossa reta final! Agora é esperar o edital. E você já larga na frente. Que venha o INSS! Victor Dalton 65337778315 Questões comentadas de Informática para INSS Técnico de Seguro Social Prof Victor Dalton ʹ Aula 04 Prof. Victor Dalton www.estrategiaconcursos.com.br 28 de 71 LISTA DE EXERCÍCIOS CESPE 1ª Questão) (CESPE ± ANATEL ± Analista Administrativo ± Suporte e Infraestrutura de TI - 2014) Para que a criptografia de chave pública seja considerada segura, uma das premissas é que o conhecimento do algoritmo, o conhecimento de uma das chaves e a disponibilidade de amostras de texto cifrado sejam, em conjunto, insuficientes para determinar a outra chave. 2ª Questão) (CESPE ± ANATEL ± Analista Administrativo ± Suporte e Infraestrutura de TI - 2014) A assinatura eletrônica vinculada a um certificado emitido no âmbito da ICP-Brasil tem função específica e restrita de determinar a não violação do conteúdo de um documento assinado eletronicamente, e não conduz à presunção de autenticidade do emissor do documento subscrito. (CESPE ± ANTAQ ± Analista Administrativo ± Infraestrutura de TI - 2014) No que diz respeito aos fundamentos de criptografia e certificação digital, julgue os itens subsecutivos. Nesse contexto, considere que a sigla AC, sempre que utilizada, se refira a autoridade certificadora. 3 Para a obtenção da chave pública de uma AC, utiliza-se um esquema de gerenciamento de chaves públicas, denominado infraestrutura de chaves públicas (ICP). No Brasil, a ICP-Brasil é organizada de forma hierárquica, em que uma AC raiz certifica outras ACs e, posteriormente, estas, bem como a AC raiz, emitem certificados para os usuários finais. 4 Cada certificado digital emitido por uma AC é específico para determinado usuário final e pode ser revogado a qualquer momento pela respectiva AC. 5 Na criptografia simétrica, a mesma chave compartilhada entre emissor e receptor é utilizada tanto para cifrar quanto para decifrar um documento. Na criptografia assimétrica, utiliza-se um par de chaves distintas, sendo a chave pública do receptor utilizada pelo emissor para cifrar o documento a ser enviado; posteriormente, o receptor utiliza sua chave privada para decifrar o documento. 6 A utilização adequada dos mecanismos de criptografia permite que se descubra qualquer alteração em um documento por partes não autorizadas, o que garante a confidencialidade do documento. 65337778315 Questões comentadas de Informática para INSS Técnico de Seguro Social Prof Victor Dalton ʹ Aula 04 Prof. Victor Dalton www.estrategiaconcursos.com.br 29 de 71 7 Para a utilização de criptografia assimétrica, a distribuição das chaves públicas é comumente realizada por meio de certificado digital, que contém o nome do usuário e a sua chave pública, sendo a autenticidade dessas informações garantida por assinatura digital de uma terceira parte confiável, denominada Autoridade Certificadora. (CESPE ± ANTAQ ± Analista Administrativo ± Infraestrutura de TI - 2014) Julgue os itens a seguir, relativos aos ataques em redes e aplicações corporativas. 8 Um ataque de SQL injection tenta explorar as características da linguagem SQL, principalmente do interpretador de comandos SQL, podendo danificar as informações armazenadas em um servidor, sem, entretanto, conseguir quebrar a confidencialidade desse conteúdo. 9 O ataque cross-site scripting, executado quando um servidor web inclui, nos dados de uma página web enviada para um usuário legítimo, um conjunto de dados que tenham sido previamente recebidos de um usuário malicioso, permite que se roube de um usuário legítimo senhas, identificadores de sessões e cookies. 10 Em um ataque de DDoS, que objetiva deixar inacessível o recurso computacional para os usuários legítimos, um computador mestre controla milhares de computadores zumbis que acessam um sistema ao mesmo tempo (um servidor web, por exemplo), com o objetivo de esgotar seus recursos. (CESPE ± SUFRAMA ± Analista de Sistemas - 2014) No que se refere à segurança da informação, julgue os itens a seguir. 11 Para averiguar a integridade de um arquivo de computador a ser transmitido por um meio inseguro, pode-se gerar um hash antes da transmissão e verificar o hash após a transmissão. 12 A utilização de algoritmos de criptografia garante a disponibilidade e a autenticidade de informações em ambientes de tecnologia da informação. 65337778315 Questões comentadas de Informática para INSS Técnico de Seguro Social Prof Victor Dalton ʹ Aula 04 Prof. Victor Dalton www.estrategiaconcursos.com.br 30 de 71 (CESPE ± TCDF ± Analista de Administração Pública - Sistemas de TI - 2014) Acerca de criptografia e da infraestrutura de chave pública, julgue os itens subsecutivos. 13 A assinatura digital é gerada por criptografia assimétrica mediante a utilização de uma chave pública para codificar a mensagem. 14 A técnica de criptografia de chave única utiliza a mesma chave para criptografar e descriptografar uma mensagem. 15 A lista de certificados revogados (LCR) de uma infraestrutura de chaves públicas deve ser emitida pela autoridade certificadora, que também é responsável por emitir e gerenciar certificados digitais.(CESPE ± TJ/SE ± Analista Judiciário ± Análise de Sistemas - 2014) Em relação à segurança e à proteção de informações na Internet, julgue os itens subsequentes. 16 Cavalo de Troia, também conhecido como trojan, é um programa malicioso que, assim como os worms, possui instruções para autorreplicação. 17 Spyware é um programa ou dispositivo que monitora as atividades de um sistema e transmite a terceiros informações relativas a essas atividades, sem o consentimento do usuário. Como exemplo, o keylogger é um spyware capaz de armazenar as teclas digitadas pelo usuário no teclado do computador. 18 Vírus são programas que podem apagar arquivos importantes armazenados no computador, podendo ocasionar, até mesmo, a total inutilização do sistema operacional. 19 Um tipo específico de phishing, técnica utilizada para obter informações pessoais ou financeiras de usuários da Internet, como nome completo, CPF, número de cartão de crédito e senhas, é o pharming, que redireciona a navegação do usuário para sítios falsos, por meio da técnica DNS cache poisoning. 65337778315 Questões comentadas de Informática para INSS Técnico de Seguro Social Prof Victor Dalton ʹ Aula 04 Prof. Victor Dalton www.estrategiaconcursos.com.br 31 de 71 (CESPE ± TJ/SE ± Analista Judiciário ± Suporte Técnico em Infraestrutura - 2014) Considerando que as técnicas associadas à criptografia são comumente empregadas para se atingir requisitos de segurança, julgue os itens a seguir. 20 Em sistemas de uso prático, são usadas as técnicas simétricas e as assimétricas combinadas. 21 A confidencialidade pode ser obtida pelo uso da criptografia simétrica e da assimétrica. 22 Em conjunto com as funções de resumo criptográfico (hash), a criptografia simétrica proporciona autenticidade. 23 A criptografia assimétrica proporciona o não repúdio, não proporcionando, porém, a autenticidade. 24 As funções de resumo criptográfico oferecem garantia probabilística de inforjabilidade. (CESPE ± TJ/AC ± Técnico em Informática - 2012) Julgue os itens a seguir, a respeito de aplicativos usados no combate a pragas virtuais. 25 O antispyware é um software que se destina especificamente a detectar e remover spywares, enquanto o antivírus é uma ferramenta que permite detectar e remover alguns programas maliciosos, o que inclui certos tipos de spywares. 26 Por serem de difícil detecção, os worms só podem ser combatidos por ferramentas específicas para esse fim, que se denominam antiworms. 27 Sistemas de prevenção à intrusão (IPS) e sistemas de detecção de intrusão (IDS) são sistemas concebidos com os mesmos propósitos. A diferença entre eles encontra-se no público-alvo. Enquanto os IPS são sistemas voltados para os usuários domésticos, os IDS focam as grandes redes corporativas. 65337778315 Questões comentadas de Informática para INSS Técnico de Seguro Social Prof Victor Dalton ʹ Aula 04 Prof. Victor Dalton www.estrategiaconcursos.com.br 32 de 71 28 As ferramentas antispam permitem combater o recebimento de mensagens consideradas spam e, em geral, baseiam-se na análise do conteúdo das mensagens. 29 O recurso de segurança denominado firewall pode ser implementado por software ou por hardware. 30 O firewall é configurado pelo seu fabricante para que proteja uma rede local de computadores, com base no perfil dos usuários dessa rede. 31 O uso de programas antivírus continuamente atualizados é uma prática suficiente para se evitar que um worm contamine um computador. (CESPE ± CNJ ± Técnico Judiciário: Programação de Sistemas - 2013) Com relação a conceitos de segurança da informação, julgue os itens a seguir. 32 Vírus de macro infectam arquivos criados por softwares que utilizam linguagem de macro, como as planilhas eletrônicas Excel e os documentos de texto Word. Os danos variam de alterações nos comandos do aplicativo à perda total das informações. 33 Vírus de script registram ações dos usuários e são gravados no computador quando da utilização de um pendrive infectado. 34 A utilização de sistemas biométricos dispensa a segurança de dados de forma isolada, uma vez que o acesso é mais restrito em decorrência do alto controle de erro, não havendo necessidade de intervenção do programador no testamento dos dados. 35 A proteção aos recursos computacionais inclui desde aplicativos e arquivos de dados até utilitários e o próprio sistema operacional. 36 Para aumentar a segurança de um programa, deve-se evitar o uso de senhas consideradas frágeis, como o próprio nome e identificador de usuário, 65337778315 Questões comentadas de Informática para INSS Técnico de Seguro Social Prof Victor Dalton ʹ Aula 04 Prof. Victor Dalton www.estrategiaconcursos.com.br 33 de 71 sendo recomendada a criação de senhas consideradas fortes, ou seja, aquelas que incluem, em sua composição, letras (maiúsculas e minúsculas), números e símbolos embaralhados, totalizando, preferencialmente, mais de seis caracteres. 37 O princípio da autenticidade é garantido quando o acesso à informação é concedido apenas a pessoas explicitamente autorizadas. (CESPE ± MPE/PI ± Técnico Ministerial ± Informática - 2011) Julgue os itens a seguir, a respeito de segurança da informação. 38 O firewall do Windows tem funcionalidades apropriadas que possibilitam o bloqueio de algumas solicitações de conexão ao computador pessoal de um usuário. 39 (CESPE ± TJDFT ± Técnico Judiciário Área Administrativa - 2013) Backdoor é uma forma de configuração do computador para que ele engane os invasores, que, ao acessarem uma porta falsa, serão automaticamente bloqueados. (CESPE ± ANAC ± Analista Administrativo: Cargo 4 ±2012) Julgue os próximos itens, relativos aos conceitos sobre criptografias, algoritmos simétricos e assimétricos de criptografia. 40 O algoritmo RSA, baseado na construção de chaves públicas e privadas, utiliza números primos, e, quanto maior for o número primo escolhido, mais seguro será o algoritmo. 41 A técnica utilizada para esconder uma mensagem secreta dentro de uma maior, de modo que não se possa discernir a presença ou o conteúdo da mensagem oculta é denominada estenografia. 42 O DES (data encryption standard) triplo utiliza, exatamente, por três vezes o algoritmo DES, além de uma mesma chave de 56 bits para criptografar mensagens. Acerca de certificação digital, julgue os próximos itens. 65337778315 Questões comentadas de Informática para INSS Técnico de Seguro Social Prof Victor Dalton ʹ Aula 04 Prof. Victor Dalton www.estrategiaconcursos.com.br 34 de 71 43 A Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil) é uma cadeia hierárquica e de confiança que viabiliza a emissão de certificados digitais para a identificação virtual do cidadão no Brasil, conforme os padrões e normas estipulados pela CERTISIGN, à qual se subordina hierarquicamente em nível mundial. 44 Assim como pessoas físicas, as micro e pequenas empresas também podem comprovar sua identidade no meio virtual, realizar transações comerciais e financeiras com validade jurídica, participar de pregões eletrônicos e trocar mensagens no mundo virtual com segurança e agilidade com o e-CPF Simples. (CESPE ± ANCINE ± Analista Administrativo: Área 2 ±2013) Julgue os próximos itens, acerca de segurança da informação. 45 No que tange à autenticação, a confiabilidade trata especificamenteda proteção contra negação, por parte das entidades envolvidas em uma comunicação, de ter participado de toda ou parte desta comunicação. 46 A assinatura digital, que é uma unidade de dados originada de uma transformação criptográfica, possibilita que um destinatário da unidade de dados comprove a origem e a integridade dessa unidade e se proteja contra falsificação. (CESPE ± BACEN ± Analista - Área 2 ±2013) A respeito de fundamentos de assinatura digital e certificado digital, julgue os itens subsequentes. 47 A autoridade certificadora é responsável por divulgar informações caso o certificado por ela emitido não seja mais confiável. 48 O uso de assinatura digital objetiva comprovar a autenticidade e a integridade de uma informação, sendo a integridade garantida mediante a codificação de todo o conteúdo referente à assinatura. (CESPE ± SERPRO ± Analista ± Desenvolvimento de Sistemas ± 2013) Acerca dos requisitos de segurança da informação, julgue os itens a seguir. 65337778315 Questões comentadas de Informática para INSS Técnico de Seguro Social Prof Victor Dalton ʹ Aula 04 Prof. Victor Dalton www.estrategiaconcursos.com.br 35 de 71 49 Um ataque à infraestrutura de conectividade de um banco à Internet, interrompendo o acesso a seus serviços de home banking, afeta a disponibilidade. 50 O furto de um notebook que contenha prontuários e resultados de exames dos pacientes de um médico afeta a confiabilidade das informações. (CESPE ± SERPRO ± Analista ± Desenvolvimento de Sistemas ± 2013) Julgue os itens a seguir, referentes à criptografia e assinatura e certificação digitais. 51 Um certificado digital consiste na cifração do resumo criptográfico de uma chave pública com a utilização da chave privada de uma autoridade certificadora. 52 Uma assinatura digital consiste na cifração do resumo criptográfico de uma mensagem ou arquivo, com o uso da chave privada de quem assina. (CESPE ± CNPQ ± Cargo 1 - 2011) Sistemas de segurança da informação são frequentemente comparados a uma corrente com muitos elos que representam os componentes desenvolvidos, tais como equipamento, software, protocolos de comunicação de dados, e outros, incluindo o usuário humano. Na literatura sobre segurança da informação, o usuário humano é frequentemente referenciado como o elo mais fraco. Internet: <www.cienciasecognicao.org> (com adaptações). Tendo como referência o texto acima, julgue os próximos itens, referentes ao comportamento do usuário quanto à segurança da informação. 53 A fim de se preservar a integridade, a confidencialidade e a autenticidade das informações corporativas, é necessário que os empregados e os contratados do órgão sejam treinados, de forma que se conscientizem da importância da segurança da informação e se familiarizem com os procedimentos adequados na ocorrência de incidentes de segurança. 54 O fato de pesquisa de Alan S. Brown (Generating and Remembering Passwords ± 2004) mostrar que mais da metade dos entrevistados guardavam cópias escritas de suas VHQKDV� FRQILUPD� TXH� R� XVXiULR� KXPDQR� p� ³R� HOR� PDLV� IUDFR´�GR processo de segurança da informação, situação que é compensada pela 65337778315 Questões comentadas de Informática para INSS Técnico de Seguro Social Prof Victor Dalton ʹ Aula 04 Prof. Victor Dalton www.estrategiaconcursos.com.br 36 de 71 utilização combinada de firewalls, anti-vírus ou pela utilização dos UPP (user protectors passwords). (CESPE ± MPE/PI ± Cargos 1 a 5 e 7 a 9 - 2011) Julgue os itens a seguir, relacionados à segurança da informação. 55 Caso computadores estejam conectados apenas a uma rede local, sem acesso à Internet, a instalação de firewall em cada computador da rede é suficiente para evitar a contaminação por vírus de um computador dessa rede. (CESPE ± SESA/ES ± Todos os cargos - 2011) Acerca dos conceitos e aplicações de Internet e intranet, organização e segurança de informações, julgue os itens a seguir. 56 O certificado digital é uma das tecnologias que permite identificar se um sítio de informações é reconhecido pelos registradores de domínio da Internet, se seu endereço é válido e se é garantida a segurança dos usuários que baixarem arquivos gerados por certificados autoassinados. 57 Uma das formas de se aplicar o conceito de disponibilidade da informação é por meio da realização de cópias de segurança, que contribuem para a restauração dos dados ao seu ponto original (de quando foi feita a cópia), o que reduz as chances de perda de informação em situações de panes, roubos, queda de energia, entre outras. (CESPE ± SSP/CE ± Cargos 1 a 5 e 7 a 9 - 2012) Julgue os itens que se seguem, referentes a segurança da informação. 58 O antivírus, para identificar um vírus, faz uma varredura no código do arquivo que chegou e compara o seu tamanho com o tamanho existente na tabela de alocação de arquivo do sistema operacional. Caso encontre algum problema no código ou divergência de tamanho, a ameaça é bloqueada. (CESPE ± SEGER/ES ± Todos os cargos - 2010) Considerando que, em uma intranet, os servidores web estejam configurados para uso de certificados digitais, julgue os itens subsequentes. 59 Entre as características de um certificado digital inclui-se a existência de um emissor, do prazo de validade e de uma assinatura digital. 65337778315 Questões comentadas de Informática para INSS Técnico de Seguro Social Prof Victor Dalton ʹ Aula 04 Prof. Victor Dalton www.estrategiaconcursos.com.br 37 de 71 60 O uso do protocolo https assegura que as informações trafegadas utilizem certificados digitais. (CESPE ± Assembleia Legislativa/CE ± Cargo 10 - 2011) Em relação a segurança da informação e procedimentos de segurança, julgue os seguintes itens. 61 Worms são programas que se espalham em uma rede, criam cópias funcionais de si mesmo e infectam outros computadores. 62 O dropbox, ferramenta de backup disponibilizada na Internet, permite que sejam feitos backups somente do tipo diferencial. 63 O adware, tipo de firewall que implementa segurança de acesso às redes de computadores que fazem parte da Internet, evita que essas redes sejam invadidas indevidamente. (CESPE ± Corpo de Bombeiros /DF ± Todas as áreas - 2011) Julgue os itens a seguir, relacionados a conceitos de sistema operacional, aplicativos e procedimentos de Internet e intranet e segurança da informação. 64 Phishing é um programa utilizado para combater spyware, adware e keyloggers, entre outros programas espiões. 65 Os procedimentos de backup devem ser executados com frequência para se evitar a perda de dados. Uma ação recomendável é manter uma cópia das informações críticas em local diferente do computador em que essas informações se encontrem. (CESPE ± Câmara dos Deputados 2012 ± Analista Legislativo: Técnica Legislativa - 2012) Acerca de noções de vírus de computador e técnicas de segurança da informação, julgue os itens que se seguem. 66 O termo Spam, consiste de emails não solicitados que são enviados, normalmente, apenas para uma única pessoa e têm sempre conteúdo comercial. Essa mensagem não transporta vírus de computador ou links na Internet. 65337778315 Questões comentadas de Informática para INSS Técnico de Seguro Social Prof Victor Dalton ʹ Aula 04 Prof. Victor Dalton www.estrategiaconcursos.com.br 38 de 71 67 A finalidade do uso de certificados digitaisem páginas na Internet, por meio de HTTPS, é evitar que o conteúdo total dos dados de camada de aplicação, se capturados durante o tráfego, sejam identificados por quem o capturou. 68 O termo phishing designa a técnica utilizada por um fraudador para obter dados pessoais de usuários desavisados ou inexperientes, ao empregar informações que parecem ser verdadeiras com o objetivo de enganar esses usuários. (CESPE ± ANAC ± Técnico em Regulação áreas 1,3 e 4 - 2012) Com relação aos conceitos de segurança da informação, julgue os itens subsequentes. 69 Um firewall pessoal é uma opção de ferramenta preventiva contra worms. 70 Com o certificado digital que é emitido pelo próprio titular do certificado, podem-se realizar transações seguras com qualquer empresa que ofereça serviços pela Internet. (CESPE ± FNDE ± Técnico em Financiamento e Execução de Programas e Projetos Educacionais - 2012) Julgue o próximo item, relativos à segurança da informação. 71 Trojans ou cavalos de troia são programas capazes de multiplicar-se mediante a infecção de outros programas maiores. Eles não têm o objetivo de controlar o sistema, porém tendem a causar efeitos indesejados. Já os worms causam efeitos altamente destrutivos e irreparáveis. Ao contrário dos trojans, os worms utilizam o email como principal canal de disseminação, mas não possuem a capacidade de produzir cópias de si mesmos ou de algumas de suas partes. (CESPE ± FNDE ± Especialista em Financiamento e Execução de Programas e Projetos Educacionais - 2012) Julgue os itens subsecutivos, referentes a conceitos de segurança da informação. 72 Como forma de garantir a disponibilidade de informação mantida em meios eletrônicos, deve-se fazer o becape de arquivos dos dados originais. Normalmente, sempre que o procedimento de becape é executado, o sistema operacional do equipamento faz uma cópia da totalidade dos dados em meio de armazenamento distinto do utilizado para guarda dos dados originais. 65337778315 Questões comentadas de Informática para INSS Técnico de Seguro Social Prof Victor Dalton ʹ Aula 04 Prof. Victor Dalton www.estrategiaconcursos.com.br 39 de 71 73 Embora sejam considerados programas espiões, os spywares também são desenvolvidos por empresas com o objetivo de coletar legalmente informações acessíveis de usuários. 74 Para proteger um computador contra os efeitos de um worm, pode-se utilizar, como recurso, um firewall pessoal. (CESPE ± Câmara dos Deputados ± Analista Legislativo: Técnico em Material e Patrimônio - 2012) Julgue os itens que se seguem, acerca de procedimentos e conceitos de segurança da informação. 75 Para garantir que os computadores de uma rede local não sofram ataques vindos da Internet, é necessária a instalação de firewalls em todos os computadores dessa rede. 76 Ao se realizar um procedimento de backup de um conjunto arquivos e pastas selecionados, é possível que o conjunto de arquivos e pastas gerado por esse procedimento ocupe menos espaço de memória que aquele ocupado pelo conjunto de arquivos e pastas de que se fez o backup. 77 Os worms, assim como os vírus, infectam computadores, mas, diferentemente dos vírus, eles não precisam de um programa hospedeiro para se propagar. (CESPE ± TRE/RJ ± Conhecimentos Básicos cargos 1 a 7 ± 2012) A respeito de segurança da informação, julgue os itens subsequentes. 78 É possível executar um ataque de desfiguração (defacement) ² que consiste em alterar o conteúdo da página web de um sítio ² aproveitando-se da vulnerabilidade da linguagem de programação ou dos pacotes utilizados no desenvolvimento de aplicação web. 79 Nos procedimentos de backup, é recomendável que as mídias do backup sejam armazenadas no mesmo local dos dados de origem, a fim de tornar a recuperação dos dados mais rápida e eficiente. (CESPE ± TJ/AC ± Técnico em Informática - 2012) No que se refere a procedimentos de segurança, julgue os seguintes itens. 65337778315 Questões comentadas de Informática para INSS Técnico de Seguro Social Prof Victor Dalton ʹ Aula 04 Prof. Victor Dalton www.estrategiaconcursos.com.br 40 de 71 80 A execução dos procedimentos de segurança da informação estabelecida em uma empresa compete ao comitê responsável pela gestão da segurança da informação. 81 A atualização automática on-line do sistema operacional é uma prática que garante que o computador não sofrerá infecção por bots. 82 Para garantir a confidencialidade de informações críticas de uma empresa, devem ser estabelecidos procedimentos não só para a guarda e disponibilização dessas informações, mas também para o seu descarte. (CESPE ± TJDFT ± Técnico Judiciário Área Administrativa - 2013) Acerca de redes de computadores e segurança da informação, julgue os itens subsequentes. 83 Autenticidade é um critério de segurança para a garantia do reconhecimento da identidade do usuário que envia e recebe uma informação por meio de recursos computacionais. 84 Nobreak é um equipamento que mantém, durante determinado tempo, em caso de falta de energia elétrica na rede, o funcionamento de computadores que a ele estiverem conectados. 85 Nas empresas, um mesmo endereço IP é, geralmente, compartilhado por um conjunto de computadores, sendo recomendável, por segurança, que dez computadores, no máximo, tenham o mesmo endereço IP. 86 A criptografia, mecanismo de segurança auxiliar na preservação da confidencialidade de um documento, transforma, por meio de uma chave de codificação, o texto que se pretende proteger. 87 (CESPE ± FUB ± Todos os cargos - 2015) Vírus é um programa autossuficiente capaz de se propagar automaticamente pelas redes enviando cópias de si mesmo de um computador para outro. 65337778315 Questões comentadas de Informática para INSS Técnico de Seguro Social Prof Victor Dalton ʹ Aula 04 Prof. Victor Dalton www.estrategiaconcursos.com.br 41 de 71 88 (CESPE ± TCU ± Técnico Federal de Controle Externo - 2015) Um dos procedimentos de segurança quanto à navegação na Internet é sair das páginas que exigem autenticação por meio dos botões ou links destinados para esse fim, como, por exemplo, Sair, Desconectar, Logout etc., e não simplesmente fechar o browser. 89 (CESPE ± TCU ± Técnico Federal de Controle Externo - 2015) O vírus do tipo stealth, o mais complexo da atualidade, cuja principal característica é a inteligência, foi criado para agir de forma oculta e infectar arquivos do Word e do Excel. Embora seja capaz de identificar conteúdos importantes nesses tipos de arquivos e, posteriormente, enviá-los ao seu criador, esse vírus não consegue empregar técnicas para evitar sua detecção durante a varredura de programas antivírus. GABARITO CESPE 1.c 2.e 3.e 4.c 5.c 6.e 7.c 8.e 9.c 10.c 11.c 12.e 13.e 14.c 15.c 16.e 17.c 18.c 19.c 20.c 21.c 22.e 23.e 24.c 25.c 26.e 27.e 28.c 29.c 30.e 31.e 32.c 33.e 34.e 35.c 36.c 37.e 38.c 39.e 40.c 41.e 42.e 43.e 44.c 45.e 46.c 47.c 48.e 49.c 50.e 51.c 52.c 53.c 54.e 55.e 56.e 57.c 58.e 59.c 60.c 61.c 62.e 63.e 64.e 65.c 66.e 67.c 68.c 69.c 70.e 71.e 72.e 73.c 74.c 75.e 76.c 77.c 78.c 79.e 80.e 81.e 82.c 83.c 84.c 85.e 86.c 87.e 88.c 89.e 65337778315 Questões comentadas de Informática para INSS Técnico de Seguro Social Prof Victor Dalton ʹ Aula 04 Prof. Victor Dalton www.estrategiaconcursos.com.br 42 de 71 EXERCÍCIOS COMENTADOS OUTRAS BANCAS