TECNOLOGIA DA INFORMAÇÃO

Documentos relacionados
TECNOLOGIA DA INFORMAÇÃO

NOÇÕES DE INFORMÁTICA. Segurança da Informação Certificação Digital Parte 2

NOÇÕES DE INFORMÁTICA. Segurança da Informação Certificação Digital Parte 1

Prof. Ravel Silva ( SIMULADO 01 - PERITO PF QUESTÕES

Simulado Aula 01 INSS INFORMÁTICA. Prof. Márcio Hunecke

LÉO MATOS INFORMÁTICA

Aspectos importantes como a autenticação e autorização. Tipos de ameaças: Atividade não autorizada; Downloads não autorizados; Redes: local de transmi

Instituto Superior de Tecnologia em Ciências da Computação de Petrópolis VPN Virtual Private Network

Segurança Informática em Redes e Sistemas

Questões de Concursos Aula 01 INSS INFORMÁTICA. Prof. Márcio Hunecke

Segurança conceitos básicos. Sistemas Distribuídos

INFORMÁTICA Professor: Daniel Garcia

Aula 8 Segurança em Redes Sem-fio

Informática Questões Aulas 08, 09 e 10 Prof. Márcio Hunecke

Gestão da Segurança da Informação

3/9/2011. Segurança da Informação. Segurança da Informação. O que é Segurança e seguro? Prof. Luiz A. Nascimento Auditoria e Segurança de Sistemas

Desenvolvimento de Aplicações Distribuídas

Antivirus Antimalware

Segurança da Informação Aula 8 Certificação Digital

Segurança da Informação Aula 7 Assinaturas Digitais e HASH.

Questões de Concursos Aula 02 INSS INFORMÁTICA. Prof. Márcio Hunecke

Redes de Computadores

Segurança Sistemas Distribuídos. junho de 2017

Questões Comentadas CESPE PHP 74 questões comentadas Desenvolvimento de Sistemas Rogério Araújo

Segurança e Auditoria de Sistemas. Confiança Mútua Assinatura Digital Certificado Digital

Segurança do Ambiente Físico Para garantir adequada segurança do ambiente físico, é necessário combinar as seguintes medidas: o De prevenção; o Detecç

Agenda. Criptografia e Segurança Certificado Digital Assinatura Digital

Segurança da Informação

Bot. Programa malicioso. Dispõe de mecanismos de comunicação com o invasor que permitem que ele seja controlado remotamente.

AULA 5: Criptografia e Esteganografia

SSC120 - Sistemas de Informação Segurança em Sistemas de Informação

Ferramenta de apoio a Segurança

AULA 10 CRIPTOGRAFIA E SEGURANÇA DE DADOS CERTIFICADOS DIGITAIS ESTRUTURA DE UMA ICP 26/03/2016 PROF. FABIANO TAGUCHI

Capítulo 8. Segurança de redes

ABIN Quadro de provas CONHECIMENTOS BÁSICOS

Entendendo a criptografia e como ela pode ser usada na prática. Italo Valcy Universidade Federal da Bahia CERT.

Exercícios de Revisão Redes de Computadores Edgard Jamhour. SSL, VPN PPTP e IPsec

A experiência de quem trouxe a internet para o Brasil agora mais perto de você

Também conhecidos como programas. Conjunto de instruções organizadas que o processador irá executar. É o software que torna o computador útil.

ANEXO VII Perfil para futuros concursos de TI da UNIFESP

CENTRAL DE CURSOS 30/05/2014

Informática Facilitada para Concursos. Prof. André Fernandes

Unidade III. Unidade III. Existe uma tendência dos sistemas de informação a funcionarem cada vez mais em Intranets e na Internet.

Introdução em Segurança de Redes

FUNDAÇÃO CELPE DE SEGURIDADE SOCIAL - CELPOS CONTROLE DE APROVAÇÃO REVISADO PELO ÓRGÃO NORMATIVO. Luiza M. Prestrêlo de Lima Diretoria Executiva

A CASA DO SIMULADO DESAFIO QUESTÕES MINISSIMULADO 122/360

Criptografia Simétrica e Assimétrica, Hash, e Assinatura Digital

22/06/ :30 Leite Júnior QUESTÕES CESPE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO PÚBLICA

Redes de Computadores I Seminário Novas Tecnologias em Redes. VPN-Virtual Private Network. Anderson Gabriel

AULA 08 CRIPTOGRAFIA E SEGURANÇA DE DADOS CRIPTOGRAFIA ASSIMÉTRICA CHAVES E ALGORITMOS 23/04/2016 PROF. FABIANO TAGUCHI

AULA EXPOSITIVA SOBRE: CONCEITOS E IMPLEMENTAÇÃO DE FIREWALL, VPN E SSH (REDES PRIVADAS E SERVIÇOS DE ACESSO REMOTO)

Correção da prova AV1 de Segurança da Informação Prof. Dr. Eng. Fred Sauer

, INDICE. Capítulo I - Introdução 1

Estratégias de Aprovação Desvendando as Carreiras

Gestão de Segurança da Informação. Interpretação da norma NBR ISO/IEC 27001:2006. Curso e Learning Sistema de

CEM CADERNO DE EXERCÍCIOS MASTER. Informática. Período:

Segurança da Informação. Alberto Felipe Friderichs Barros

TECNOLOGIA DA INFORMAÇÃO

SEGURANÇA CRIPTOGRAFIA E SEGURANÇA DE DADOS. As funções de cifra são consideradas totalmente seguras se:

Simulado Aula 03 TJ-RS INFORMÁTICA. Prof. Deodato Neto

SISTEMA DE SEGURANÇA DATA: 04/05/2017. CESPE/UnB Prova Objetiva Gabarito Somente em Sala Compilação Cespe/UnB 2017 v.

WEP, WPA e EAP. Rodrigo R. Paim

DESCRIÇÃO E JUSTIFICATIVAS TECNICAS SOBRE A INFLUÊNCIA DO SISTEMA OPERACIONAL NA SEGURANÇA DOS SERVIÇOS IPS

Software para Assinatura Digital

SERVIÇO PÚBLICO FEDERAL MINISTÉRIO DA EDUCAÇÃO INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DE MINAS GERAIS IFMG

Transcrição:

TECNOLOGIA DA INFORMAÇÃO http://socratesfilho.com

Olá, pessoal, Meu nome é Sócrates Arantes T. Filho, sou Bacharel em Ciência da Computação pela UnB e Especialista em Segurança de Redes pela FGF. Atualmente, sou Analista Legislativo do Senado Federal. Fui Analista de Finanças e Controle da Controladoria- Geral da União (CGU), entre 2006 e 2009; Analista Júnior, entre 2004 e 2006, na Caixa Econômica Federal; e Técnico Bancário, entre 2002 e 2004, também na Caixa Econômica Federal. Comecei os meus estudos para concursos desde 2004, quando me formei, e, com muito esforço, consegui a aprovação em diversos concursos, tanto na área de Tecnologia da Informação (TI), como em alguns concursos generalistas. Para chegar até aqui, o caminho foi árduo e sofrido, mas felizmente tive sucesso. Se vocês forem disciplinados e seguirem o mesmo caminho de estudos pesados, vocês também terão um futuro promissor! Este material se trata de uma coletânea de exercícios de Segurança da Informação extraídos de provas de concursos de Tecnologia da Informação. Para cada bateria de exercícios, serão colocados os exercícios, para que os alunos treinem seus conhecimentos, e em seguida, serão apresentados os gabaritos das provas, com os comentários. Nesse volume, foram incluídos os exercícios dos concursos a seguir: Questões de Certo/Errado: CESPE ABIN 2010 Oficial Técnico de Inteligência Área de Desenvolvimento e Manutenção de Sistemas CESPE ABIN 2010 Oficial Técnico de Inteligência Área de Suporte a Rede de Dados CESPE ABIN 2010 Agente Técnico de Inteligência Área de Tecnologia da Informação CESPE TRT / 21ª Região 2010 - Analista Judiciário Especialidade: Tecnologia da Informação CESPE FUB 2011 Técnico de Tecnologia da Informação CESPE Superitendência Nacional de Previdência Complementar/PREVIC 2011 Analista Administrativo - Tecnologia da Informação CESPE STM 2011 - Analista Judiciário Especialidade: Tecnologia da Informação CESPE DETRAN/ES 2011 - Técnico Superior Formação 3 Analista de Sistemas CESPE TRE/ES 2011 - Analista Judiciário Especialidade: Análise de Sistemas CESPE TRE/ES 2011 Técnico Judiciário Especialidade: Operação de Computadores CESPE TRE/ES 2011 Técnico Judiciário Especialidade: Programação de Sistemas Questões de múltipla escolha: ESAF CVM 2010 Analista Área: Infraestrutura de TI FGV Fundação Oswaldo Cruz (FIOCRUZ) 2010 - Tecnologista em Saúde Pública Segurança da Informação Arquitetura de Soluções de Softwares Ciência da Computação CESPE INMETRO 2010 - Pesquisador-Tecnologista em Metrologia e Qualidade - Área: Desenvolvimento de Sistemas Gestão da Informação Infraestrutura e Redes de Tecnologia da Informação 2

Informática Aplicada à Metrologia Legal CGGT/Prefeitura do Rio de Janeiro/RJ Tribunal de Contas do Município do Rio de Janeiro (TCM/RJ) 2011 Analista de Informação Algumas das provas podem estar com os gabaritos preliminares, o que será informado para cada bateria de exercícios. Nesses casos, fique atento para verificar qualquer mudança do gabarito posteriormente. Outros materiais disponíveis: 1) Teoria e exercícios: Redes de Computadores para concursos públicos mais informações em http://socratesfilho.wordpress.com/cursos-de-ti/redes-de-computadores-paraconcursos-publicos/ Segurança da Informação para Concursos Nível Avançado (Perito da PF e TCU) mais informações em http://socratesfilho.wordpress.com/cursosde-ti/seguranca-da-informacao-para-concursos/ 2) Somente exercícios: Redes de Computadores em Exercícios Volume 1 mais informações em http://socratesfilho.wordpress.com/questoes-de-provas-comentadas/redesexercicios-volume-1/ É recomendável que o aluno tenha conhecimento sobre Segurança da Informação e também em Redes de Computadores, já que há questões multidisciplinares. Agora, vamos ao que interessa, ou seja, aos exercícios! 3

(CESPE ABIN 2010 Oficial Técnico de Inteligência Área de Desenvolvimento e Manutenção de Sistemas) Questões de prova: Julgue o item abaixo, a respeito de mecanismos de segurança da informação, considerando que uma mensagem tenha sido criptografada com a chave pública de determinado destino e enviada por meio de um canal de comunicação. 25) A mensagem criptografada com a chave pública do destinatário garante que somente quem gerou a informação criptografada e o destinatário sejam capazes de abri-la. Acerca da Política de Segurança da Informação (PSI) nos órgãos e entidades da administração pública federal, instituída pelo Decreto n.º 3.505/2000, julgue os seguintes itens. 38) Cabe à Secretaria de Defesa Nacional, assessorada pelo Comitê Gestor da Segurança da Informação e pelo Departamento de Pesquisa e Desenvolvimento Tecnológico da ABIN, estabelecer normas, padrões, níveis, tipos e demais aspectos relacionados ao emprego dos produtos que incorporem recursos criptográficos, de modo a assegurar-lhes confidencialidade, autenticidade e integridade, assim como a garantir a interoperabilidade entre os sistemas de segurança da informação. 39) Os membros do Comitê Gestor da Segurança da Informação só podem participar de processos, no âmbito da segurança da informação, de iniciativa do setor privado, caso essa participação seja julgada imprescindível para atender aos interesses da defesa nacional, a critério do Comitê Gestor e após aprovação do Gabinete de Segurança Institucional da Presidência da República. 40) Entre os objetivos da PSI, insere-se o estímulo à participação competitiva do setor produtivo no mercado de bens e de serviços relacionados com a segurança da informação, incluindo-se a fabricação de produtos que incorporem recursos criptográficos. <?php $n = $_POST["login"]; $s = $_POST["senha"]; include "conecta_mysql.inc"; $r = mysql_query("select * FROM usuario where login='$n'"); $l = mysql_num_rows ($r); if($l==0) { echo "<html><body><p>nao encontrado!</p>"; echo "<p><a href=\"login.html\">voltar</a></p>"; echo "</body></html>"; } else { if ($s!= mysql_result($r, 0, "senha")) { echo "<html><body><p>incorreta!</p>"; 4

echo "<p><a href=\"login.html\">voltar</a></p>"; echo "</body></html>"; } else { setcookie("nu", $u); setcookie("su", $s); header ("Location: pagina_inicial.php"); } }?> Considerando o script PHP apresentado acima, julgue os próximos itens. 67) A senha do usuário que está no banco de dados não foi criptografada com um hash, fato que torna a aplicação vulnerável a ataques de dicionário. ERRADO. O que deixa a aplicação vulnerável a ataques de dicionário e outros 68) O banco de dados MySQL é usado pelo script, mas a conexão com o banco deveria ter sido encerrada ou devolvida ao pool ao final do script, fato que não se concretiza. 69) O pedido HTTP que pode ser atendido por esse script não poderá conter cookies de nomes nu e su, além de estar sujeito a ataques de SQL injection. A respeito de segurança da informação, julgue os próximos itens. 105) A gestão da continuidade de negócios é um processo que deve ser realizado no caso de perdas no funcionamento rotineiro de um ambiente computacional. Por envolver excessivos recursos humanos, financeiros e de informação, uma empresa somente deve defini-lo caso tenham sido identificadas ameaças potenciais que possam ocasionar riscos imediatos ao negócio. 106) O modo de análise de tráfego realizada por um sistema de detecção de intrusão (IDS) do tipo detecção de comportamento (behaviour detection) fundamenta-se na busca por padrões específicos de tráfego externo que seja embasado em assinatura. 107) A implantação de uma VPN pode ser realizada por meio da conexão de LANs via Internet, interligando-as a circuitos dedicados locais, como uma espécie de WAN corporativa. 108) Um firewall Linux pode ser implementado por meio de um servidor proxy. Nesse caso, as devidas autorizações do usuário e as demais opções de configuração são conferidas em uma tabela. 109) O padrão pretty good privacy (PGP) utiliza, para a criptografia de chave pública, o método RSA, de chave simétrica, e pode ocultar o nome do remetente da mensagem. 110) As assinaturas digitais atuam sob o princípio básico da confidencialidade da informação, uma vez que conferem a autenticação da identidade do remetente de uma mensagem. No entanto, tal solução não garante a integridade da informação, que deve ser conferida por meio de tecnologias adicionais de criptografia. 5

111) A norma ABNT NBR ISO/IEC 27002 apresenta critérios para a organização geral do sistema de gestão da segurança da informação. Por ser uma norma genérica, que apenas propõe diretrizes, não pode ser utilizada para fins de certificação, pois não apresenta controles específicos a serem tomados como base para a proteção de ativos em uma empresa. 6

(CESPE ABIN 2010 Oficial Técnico de Inteligência Área de Desenvolvimento e Manutenção de Sistemas) Gabaritos: 25) ERRADO. A mensagem criptografada com a chave pública do destinatário só pode ser aberta (descriptografada) apenas pelo destinatário, pois só ele tem acesso à sua chave privada. Além disso, quem gerou a mensagem já tem acesso à mensagem em claro. 38) O gabarito preliminar da questão estava ERRADO, mas a questão foi ANULADA. De acordo com o Decreto nº 3.505/2000, cabe à Secretaria-Executiva do Conselho de Defesa Nacional estabelecer normas, padrões, níveis, tipos e demais aspectos relacionados ao emprego dos produtos que incorporem recursos criptográficos, de modo a assegurar a confidencialidade, a autenticidade, a integridade e o não-repúdio, assim como a interoperabilidade entre os Sistemas de Segurança da Informação. Para essas atribuições, ela é assesorada apenas pelo Comitê Gestor da Segurança da Informação e receberá apoio técnico da ABIN no tocante a atividades de caráter científico e tecnológico relacionadas à segurança da informação 39) CERTO. 40) CERTO. 67) ERRADO. O que deixa a aplicação vulnerável a ataques de dicionário e outros semelhantes, como os de força bruta, é: a ausência de número máximo de tentativas antes de bloquear o sistema, e a falta de regras para criação de senhas seguras pelos usuários. A ausência de hash na senha serve para evitar que a senha seja transmitida em claro pela rede, de forma a impedir que um atacante a obtenha com uma escuta de rede. 68) CERTO. Não há nada no código que indique o encerramento da conexão com o BD, o que deixaria o script mais seguro. 69) ERRADO. O pedido HTTP deverá conter os cookies de nomes nu e su para funcionar. 105) ERRADO. A gestão da continuidade do negócio é um processo que deve ser realizado quando há alguma perda no funcionamento roteineiro de um ambiente computacional que afetem o funcionamento do negócio da empresa. A empresa pode definir o processo de GCN mesmo que ainda não tenha sido identificada alguma ameaça em potencial que ocasione riscos imediatos ao negócio. 106) ERRADO. O tipo de detecção por comportamento no IDS se fundamenta em alterações anormais no comportamento do tráfego de uma rede, e não em padrões específicos de tráfego que indiquem um ataque (assinaturas de ataque). 107) CERTO. 108) CERTO. 109) O gabarito definitivo foi anulado, mas a questão está ERRADA, porque o RSA é um algoritmo de criptografia assimétrica (chave assimétrica). 110) ERRADO. As assinatura digitais garantem a autenticidade e não-repúdio da origem, além da integridade da informação. 111) ERRADO. É norma 27001 que apresenta os requisitos (critérios) para a organização de um sistema de gestão de segurança da informação. A norma 27002, apresenta as diretrizes para diretrizes e princípios gerais para implantar a gestão de segurança da informação em uma organização. A norma 27001 utiliza as diretrizes da 27002 como 7

controles específicos para serem tomados como base para proteção dos ativos, para fins de certificação. 8

2026 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback