Questões de Concurso – Aprova Concursos

1)

Q877224 - Cebraspe (Cespe) - 2025 - SEFAZ-RJ - Auditor

Um analista forense coletou um arquivo de um servidor suspeito e calculou seu hash SHA-256 antes e após a transferência, tendo obtido o mesmo valor:

hash original: a1b2c3d4e5f6...
hash após transferência: a1b2c3d4e5f6...
Ao abrir o arquivo, o analista verificou que parte do conteúdo estava corrompida, embora o tamanho do arquivo e os metadados permanecessem inalterados.

Nessa situação hipotética, conforme os procedimentos forenses padrão, o referido analista deverá

a) ignorar a corrupção, pois o hash comprova a autenticidade do arquivo.
b) usar um algoritmo de hash diferente (como MD5) para verificar novamente o arquivo.
c) registrar a inconsistência, coletar novamente o arquivo e verificar os hashes.
d) descartar imediatamente a evidência, devido à corrupção verificada.
e) considerar a evidência válida porque o hash não foi alterado.

2)

Q877231 - Cebraspe (Cespe) - 2025 - SEFAZ-RJ - Auditor

Assinale a opção em que é apresentado item a ser necessariamente considerado na definição de critérios básicos de impacto desenvolvidos em função do montante dos danos ou custos à organização causados por um evento relacionado à gestão de riscos de segurança da informação.

a) expectativas e percepções das partes interessadas
b) diferentes critérios para a aceitação do risco
c) perda de oportunidades de negócio e de valor financeiro
d) recurso para monitoramento de controles relacionados
e) plano de tratamento dos riscos vigente

3)

Q877236 - Cebraspe (Cespe) - 2025 - SEFAZ-RJ - Auditor

Os certificados digitais autoassinados são utilizados com baixo ou nenhum risco de segurança para as organizações

a) para criptografia de conteúdo de email pela Internet.
b) no acesso de usuários externos a redes corporativas por meio de VPN.
c) na proteção de tráfego entre servidores web e navegadores e de comunicações.
d) em ambiente de desenvolvimento de software para testagem da comunicação segura pela rede.
e) para assinatura digital de códigos de software em ambientes de produção.

4)

Q877223 - Cebraspe (Cespe) - 2025 - SEFAZ-RJ - Auditor

Após análise detalhada, a equipe de gerenciamento de problemas de determinada empresa identificou falhas recorrentes em um sistema de reservas on-line causadas por um bug em uma atualização recente do software. Um workaround foi documentado e compartilhado com o Service Desk, mas a correção definitiva só estará disponível na próxima versão do sistema, que estará pronta em 30 dias.

Com base nessa situação hipotética, assinale a opção em que é apresentada a terminologia correta para o registro da situação no sistema de gerenciamento de serviço.

a) liberação planejada
b) requisição de serviços
c) incidente crítico
d) mudança emergencial
e) erro conhecido

5)

Q877235 - Cebraspe (Cespe) - 2025 - SEFAZ-RJ - Auditor

Assinale a opção em que é apresentada recomendação de segurança em norma padrão a usuários de dispositivos endpoint corporativos.

a) encerramento de sessões ativas e finalização de serviços quando não forem mais necessários
b) utilização de dispositivos corporativos em propósitos pessoais somente quando conectados a redes externas à organização
c) não realização de backup dos dados armazenados no dispositivo quando conectados a redes sem fio
d) bloqueio da limpeza remota de dados nos dispositivos corporativos para evitar a perda de dados sensíveis armazenados
e) armazenamento em nuvem privada dos artefatos privados desenvolvidos nos equipamentos corporativos

6)

Q877234 - Cebraspe (Cespe) - 2025 - SEFAZ-RJ - Auditor

Um sistema de consulta a registros de rede, disponível em uma intranet corporativa, recebe parâmetros de entrada a partir de requisições HTTP e utiliza-os na composição de comandos de consulta ao seu repositório de dados. Durante um teste de vulnerabilidades relacionadas a ataques contra aplicações, a seguinte entrada foi fornecida por um programa testador no parâmetro de consulta de endereço IP da aplicação:

10.0.0.1'; DELETE FROM registros; --

Após o envio da requisição, um comportamento indesejado ocorreu e verificou-se que o artifício poderia ser objetivamente usado em um ataque real.

Em relação à situação hipotética apresentada, assinale a opção correta.

a) O ataque foi viabilizado por uma falha do sistema operacional relacionada ao controle de permissões de arquivos temporários, o que permitiu a execução arbitrária de comandos de manipulação de dados pelo usuário remoto.
b) A vulnerabilidade decorre do uso de interpolação textual sem mecanismos de separação lógica entre dados e comandos, o que permite a injeção de código no interpretador de consultas.
c) O ataque caracteriza uma parametrização adicional indevida, viabilizada pela ausência de isolamento entre a camada de rede e o sistema operacional.
d) O uso do método HTTP para envio de dados é incorreto, o que impede o tratamento seguro de entradas potencialmente maliciosas.
e) A entrada fornecida manipula a lógica booleana da cláusula de filtragem, o que resulta em uma condição sempre falsa e instrui incorretamente o sistema sobre como manusear os dados.

7)

Q877227 - Cebraspe (Cespe) - 2025 - SEFAZ-RJ - Auditor

Assinale a opção correta a respeito das tecnologias MPLS (multiprotocol label switching) e SD-WAN (software-defined wide area network).

a) O SD-WAN utiliza uma abordagem centrada em software para gerenciar a conectividade WAN.
b) A implementação do SD-WAN requer a substituição completa da infraestrutura de rede existente.
c) A tecnologia MPLS substitui completamente o roteamento IP nas redes.
d) O MPLS permite a criação de rotas virtuais privadas, sem o isolamento do tráfego de diferentes clientes em uma rede compartilhada.
e) A principal vantagem do SD-WAN sobre o MPLS é a sua capacidade de fornecer uma largura de banda garantida e previsível para todas as aplicações.

8)

Q877226 - Cebraspe (Cespe) - 2025 - SEFAZ-RJ - Auditor

O WAF (web application firewalls)

a) elimina a necessidade de desenvolvimento de código seguro nas aplicações web.
b) protege as aplicações web contra todos os tipos de ataques cibernéticos conhecidos.
c) funciona exclusivamente no nível de rede (camada 3 do modelo OSI) para proteger aplicações web.
d) substitui outras práticas de segurança, como o uso de SSL/TLS e a implementação de políticas de segurança de rede.
e) pode ser implementado em modo de detecção (passivo) ou em modo de prevenção (ativo).

9)

Q877233 - Cebraspe (Cespe) - 2025 - SEFAZ-RJ - Auditor

Na gestão de vulnerabilidades técnicas, a realização de testes de invasão planejados, documentados e repetíveis bem como a utilização de ferramentas de varredura inserem-se no processo de

a) relatoria de vulnerabilidades.
b) comunicação de vulnerabilidades.
c) avaliação de vulnerabilidades.
d) enfrentamento de vulnerabilidades.
e) identificação de vulnerabilidades.

10)

Q877225 - Cebraspe (Cespe) - 2025 - SEFAZ-RJ - Auditor

Acerca das técnicas antiforenses, assinale a opção correta.

a) A esteganografia em imagens JPEG é detectável com 100% de precisão com o uso de assinaturas estatísticas, ainda que sejam utilizados algoritmos avançados, como o F5.
b) O TrueCrypt, apesar de descontinuado, ainda é considerado seguro para a criptografia de discos devido à implementação de algoritmos pós-quânticos, que resistem a ataques de computadores quânticos.
c) O sistema de arquivos Rubberhose foi projetado para fornecer negação plausível por meio de criptografia, o que permite a existência — não provada sem a chave — de múltiplos volumes ocultos.
d) O apagamento seguro é suficiente para impedir a recuperação de dados em SSD modernos, pois ignora o wear-leveling.
e) A criptografia homomórfica é técnica antiforense eficaz para evitar a detecção de conteúdo durante análises dinâmicas, visto que permite operações com dados criptografados sem descriptografá-los.

11)

Q877237 - Cebraspe (Cespe) - 2025 - SEFAZ-RJ - Auditor

No que se refere à prevenção e tratamento de incidentes de segurança da informação, o processo que consiste em identificar, analisar e caracterizar artefatos reportados de software suspeitos de constituir técnicas e métodos dos adversários denomina-se análise

a) funcional.
b) de sistema.
c) de rede.
d) de malware.
e) forense.

Questões de Concurso – Aprova Concursos

Milhares de questões com o conteúdo atualizado para você praticar e chegar ao dia da prova preparado!