Acerca de segurança da informação, julgue os itens a seguir, com base na norma ABNT NBR ISO/IEC 27002:2013.
Uma das premissas do controle de acesso na segurança da informação é a implementação da regra de que tudo é proibido, a menos que seja expressamente permitido.
A respeito de escalabilidade, segurança, balanceamento de carga, fail-over e replicação de estados em sistema gerenciador web, julgue os itens subsequentes
O fato de várias ferramentas de snapshots configurarem uma validade para cada cópia e, vencido o prazo, cópia ser apagada e o espaço reutilizado para um novo becape é um problema que pode ser solucionado, em um sistema gerenciador web, por meio da desduplicação na origem, tecnologia que permite guardar apenas os segmentos de dados únicos das VMs em cada snapshot, o que economiza tanto em armazenamento como em I/O de becape e tráfego na rede.
Acerca do desenvolvimento seguro de software, julgue os itens seguintes.
São exemplos de falhas de XSS (cross-site scripting) a injeção de SQL e o LDAP (lightweight directory access protocol), criado como alternativa ao DAP.
Acerca do desenvolvimento seguro de software, julgue os itens seguintes.
Aplicações web que não protegem informações sensíveis, tais como dados de cartões de crédito, recorrem à criptografia no armazenamento ou no trânsito dos dados e a precauções especiais quando as informações trafegam pelo navegador.
Acerca do desenvolvimento seguro de software, julgue os itens seguintes.
Em ataques do tipo man-in-the-middle, embora o atacante possa interceptar a conexão do atacado e, dessa forma, produzir uma falha de injeção (conhecida como project mogul), o protocolo de change cipher spec, por meio do método de compressão mogul cipher, determina o algoritmo de criptografia e o algoritmo de MAC a ser utilizados, além de definir o tamanho de hash.
Acerca de prevenção e tratamento de incidentes, julgue os itens seguintes.
Filtros de pacotes tradicionais são considerados firewall porque podem executar uma política de filtragem com base na combinação de endereços e números de porta, examinando cada datagrama e determinando, a partir de regras específicas, se ele deve passar ou ficar.
Acerca de prevenção e tratamento de incidentes, julgue os itens seguintes.
Um dos princípios que norteiam o gerenciamento de privilégios administrativos é o privilégio mínimo, de acordo com o qual as políticas de controle de acesso devem ser as fechadas, ou seja, somente os acessos especificamente autorizados são permitidos.
A respeito de sistemas de arquivos, duplicação e recuperação de dados apagados ou corrompidos, julgue os próximos itens.
Na duplicação de um disco rígido para fins forenses, são copiados os dados regulares presentes, os arquivos apagados, os fragmentos remanescentes de arquivos e os dados que eventualmente se encontrem armazenados no espaço localizado fora dos limites das partições.
Julgue os itens seguintes, a respeito da análise de artefatos maliciosos.
Executar com sucesso o disassembly não é um problema simples de resolver haja vista que sequências de código executável podem ter várias representações — algumas que podem ser inválidas — e, ao final, pode-se causar erros na funcionalidade real do programa.
Julgue os itens a seguir, relativos a injeção de código, engenharia reversa e exfiltração (ou desinfiltração) de dados.
Situação hipotética: Uma mudança maliciosa da chamada ao sistema web ocorreu por meio de substituição de valor de uma variável e inserção de outra, conforme a manipulação de URL a seguir.
Assertiva: Essa situação descreve respectivamente um ataque por meio da técnica de persistência — em que há mudança no valor dos parâmetros ou variáveis — e da técnica de lateralidade — em que há a inserção de outras variáveis e(ou) parâmetros.
A gerência de riscos na segurança da informação inclui o uso de diversos tipos e recursos de segurança. Um recurso de segurança categorizado como mecanismo de controle de acesso lógico é
Considere que o Analista especializado em Tecnologia da Informação está especificando as técnicas e os recursos para a implantação da segurança da informação no Tribunal Regional do Trabalho da 6ª Região. Para alcançar o objetivo de garantir a integridade da informação transmitida pela internet, o Analista deve utilizar
Certificação digital é amplamente utilizada na Internet e em diversos sistemas. No Brasil, a ICP-Brasil, sob a responsabilidade do ITI, é quem regulamenta e mantém a autoridade certificadora brasileira. A respeito da certificação digital e suas características, julgue o item subsequente.
O uso de HSM (hardware security module) para a geração e a manipulação das chaves utilizadas em autoridades certificadoras é prática não recomendada pelo ITI, já que impossibilita a recuperação da chave pública.
Julgue o seguinte item, a respeito dos algoritmos RSA e AES e de noções de criptografia.
O RSA é suscetível a um ataque conhecido como ataque de Wiener, que pode expor a chave privada de um sistema criptográfico RSA se os parâmetros utilizados para definir a chave privada forem considerados pequenos, e consequentemente, tido como matematicamente inseguros.
Acerca de redes de computadores e segurança, julgue o item que se segue.
Os softwares de spyware têm como principal objetivo adquirir informações confidenciais de empresas e são usados como uma forma de espionagem empresarial.
