Contatos: E-mail: [email protected] Blog: http

Transcrição

13/09/2015
Contatos:
E-mail:
[email protected]
Blog:
http://profanadeinformatica.blogspot.c
om.br/
Facebook:
https://www.facebook.com/anapinf
Livro
Informática para Concursos
Teoria e Questões - 3a edição
Capítulo
09 – Segurança da Rede e da
Informação
(Teoria e Questões de Concurso)
Atenção: Algumas questões foram adaptadas
1
13/09/2015
09 – Segurança da Rede e da Informação:
Criptografia - Processo de TUNELAMENTO
O
D
SPT - M
C.C.
C.D.
Banco do Brasil 2011 cargo Escriturário
No contexto de segurança do acesso a distância a computadores, é
o processo de TUNELAMENTO que encapsula o pacote de dados,
previamente protegido por mecanismos que o torna ilegível,
podendo, dessa forma, trafegar em uma rede pública até chegar ao
seu destino, onde é desencapsulado e tornado legível. (CERTO ou
ERRADO)
2
13/09/2015
Criptografia – Simétrica
O
D
SPT - M
C.D.
C.C.
Criptografia – Assimétrica
O
D
SPT - M
C.C.
C.D.
C. Pública
C. Privada
Assinatura
Digital
3
13/09/2015
BB DF / 2OO6 – Escriturário
Uma mensagem enviada de X para Y e criptografada e
decriptografada, respectivamente, pelas chaves.
a) publica de Y (que X conhece) e privada de Y
b) privada de Y (que X conhece) e publica de X
Criptografia – HASH
assinatura cifrada
4
13/09/2015
ICMS-SP 2009
Um Agente foi acionado para estudar a respeito dos conceitos de
certificação digital. Após alguma leitura, ele descobriu que NÃO
tinha relação direta com o assunto o uso de
a) chave pública.
b) assinatura cifrada.
c) assinatura digital.
d) chave privada.
e) assinatura eletrônica.
Assinatura eletrônica
Por vezes confundida, tem um significado diferente: refere-se a
qualquer mecanismo, não necessariamente criptográfico, para
identificar o remetente de uma mensagem eletrônica. A legislação
pode validar tais assinaturas eletrônicas como endereços Telex e
cabo, bem como a transmissão por fax de assinaturas manuscritas
em papel.
5
13/09/2015
Auditor-Fiscal do INSS 2002 Os problemas de segurança e crimes
por computador são de especial importância para os projetistas e
usuários de sistemas de informação. É correto :
a) confiabilidade é a garantia de que as informações armazenadas
ou transmitidas não sejam alteradas.
b) integridade é a garantia de que os sistemas estarão disponíveis
quando necessários.
c) confiabilidade é a capacidade de conhecer as identidades das
partes na comunicação.
d) autenticidade é a garantia de que os sistemas desempenharão
seu papel com eficácia em um nível de qualidade aceitável.
e) privacidade é a capacidade de controlar quem vê as informações
e sob quais condições.
Auditor-Fiscal do INSS 2002 Uma informação, para ser considerada
segura, precisa manter seus aspectos de confidenciabilidade. A
confidenciabilidade é a:
a) propriedade de evitar a negativa de autoria de transações por
parte do usuário, garantindo ao destinatário o dado sobre a autoria
da informação recebida.
b) garantia de que o sistema se comporta como esperado, em geral
após atualizações e retificações de erro.
c) análise e responsabilização de erros de usuários autorizados do
sistema.
d) garantia de que as informações não poderão ser acessadas por
pessoas não autorizadas.
e) propriedade que garante o acesso às informações através dos
sistemas oferecidos.
6
13/09/2015
Esquema do Certificado Digital
ssl
CA
https
C.D.
Data de Vencimento
+
Dados de quem o pedi-o
+
T.E.C.
RA
Chave Pública 1
Empresa, O.P.,
U.F., CA(s)
Chave
Privada
Chave Pública 2
Chave Pública N
Gestor-MG 2005
Somente após a definição de uma regra de criptografia exclusiva
para a Internet pelas entidades certificadoras, foi possível a
transmissão de dados entre uma rede corporativa interna e a
Internet. (CERTO ou ERRADA)
7
13/09/2015
AFRFB 2005 cargo Auditor
Analise as seguintes afirmações relacionadas à certificação digital,
políticas de segurança e segurança na Internet:
I. Os protocolos de gerenciamento de certificação digital devem
suportar o processo de atualização de chaves onde todos os pares
de chaves devem ser atualizados regularmente. Nesse processo, os
pares de chaves são substituídos, mas os certificados equivalentes
são mantidos.
II. Uma Autoridade Registradora (Registration Authority – RA) pode
servir de intermediária entre a CA (Certification Authority) e seus
usuários, ajudando as CAs em funções como “Aceitar e autorizar
solicitações para revogação de certificado”.
III. Um recurso poderoso das hierarquias de certificado é que todas
as partes devem confiar automaticamente em todas as autoridades
certificadoras.
Indique a opção que contenha todas as afirmações verdadeiras.
a) I e II
b) I, II e III
c) III
d) I
e) II
8
13/09/2015
TRF 4ª Região/2010 Analista Judiciário
Um firewall de filtragem de pacotes examina todos os dados
enviados de fora da LAN e rejeita pacotes de dados com base em
regras predefinidas, como rejeitar pacote de certas redes ou
portas. (CERTO ou ERRADA)
Link para a Cartilha de Segurança
http://cartilha.cert.br/
9
13/09/2015
10
13/09/2015
Certificados Digitais ICP Brasil
• O certificado digital é um documento eletrônico que possibilita
comprovar a identidade de uma pessoa, empresa ou site, no
meio digital/eletrônico, assegurando as transações online e a
troca eletrônica de documentos, mensagens e dados.
• Com o certificado digital ICP Brasil é possível acessar os serviços
do site da Receita Federal, assinar documentos eletrônicos com
validade jurídica, autenticar-se em sites, assinar a Nota Fiscal
Eletrônica e muito mais.
11
13/09/2015
Em relação à forma de armazenamento e período de validade, o
certificado digital pode ser do tipo:
• A1: O certificado digital é armazenado no seu computador e tem
validade de 1 ano;
• A3: O certificado digital é armazenado em um dispositivo
criptográfico (Token USB ou Smart Card) e tem validade de 3
anos; Com o certificado digital ICP Brasil é possível acessar os
serviços do site da Receita Federal, assinar documentos
eletrônicos com validade jurídica, autenticar-se em sites, assinar
a Nota Fiscal Eletrônica e muito mais.
Referente à utilização e finalidade do certificado digital, ele pode
ser do tipo:
• e-CPF - Certificado digital para pessoas físicas, versão eletrônica
do CPF;
• e-CNPJ - Certificado digital para empresas, versão eletrônica do
CNPJ;
• NF-e - Certificado digital utilizado somente na emissão de notas
fiscais eletrônicas;
12
13/09/2015
Atualmente diversos segmentos já utilizam os Certificados Digitais
ICP Brasil em suas atividades. Com essa tecnologia você e a sua
empresa pode:
• Acessar a Conectividade Social ICP da Caixa Econômica Federal.
• Assinar contratos digitais.
• Acompanhar processos legais.
• Verificar a autenticidade das informações do Diário Oficial
(versão on-line).
• Declarar Imposto de Renda via Internet.
• Assinar as notas fiscais eletrônicas para a sua emissão (certificado
NF-e).
• Recuperar informações sobre o histórico de declarações.
• Acessar os serviços do site da Receita Federal (e-CAC, DIPJ,
certidões, etc).
•
•
•
•
•
•
Entregar o IRPJ, a DCTF e a DIPJ.
Fazer a Redarf.
Gerar procurações eletrônicas.
Acompanhar processos tributários eletronicamente.
Acessar serviços online do Poder Judiciário (e-DOC, e-PET, etc).
Acessar os mais diversos serviços online do Governo.
13
13/09/2015
TLS (Transport Layer Security)
Assim como o seu antecessor SSL (Secure Sockets Layer ), é um
protocolo de segurança que protege as telecomunicações via internet para serviços como e-mail (SMTP), navegação por
páginas (HTTPS) e outros tipos de transferência de dados.
As diferenças entre o SSL e o TLS
TLS tem a capacidade de trabalhar em portas de acesso diferentes
e usa algoritmos de criptografia mais fortes.
TELEBRAS 2013 cargo Contador
Acerca do Sistema Público de Escrituração Digital (SPED), depois de
validada a consistência das informações prestadas mediante o uso
do programa validador fornecido pelo SPED, o arquivo digital é
assinado por meio de certificado digital, tipo A1 ou A3 e, logo em
seguida, transmitido. (CERTO ou ERRADO)
14
13/09/2015
TRF 2014 1º R cargo Analista Judiciário Área Apoio Especializado
Especialidade Biblioteconomia
Um usuário de computador ingressou em um site de jogos e
acessou um jogo disponível online. Assim que o usuário acessou o
jogo, um aviso surgiu na tela do seu computador indagando se ele
permitiria ou não que o aplicativo da internet (jogo) acessasse os
dados do seu computador e o usuário permitiu. Assim que o jogo
foi iniciado, o computador do usuário foi infectado com um vírus
de forma perceptível. A infecção por vírus poderia ter sido evitada
a) se o usuário tivesse um sistema de firewall, mesmo diante do
fato do usuário ter autorizado o acesso aos dados da sua máquina.
b) se o usuário tivesse um antivírus que poderia tê-lo alertado
sobre o perigo de um software baixado da internet e impedido sua
execução.
c) com a adoção de anti-spyware que impediria que qualquer
malware fosse instalado independentemente da atualização de
listas de malware.
d) com a instalação do protocolo SSL no computador pessoal do
usuário, independente da adoção de SSL no servidor de jogos.
15
13/09/2015
TJ CE 2014 cargo Nível Médio
Um certificado digital é um arquivo no computador que identifica o
usuário. Acerca desse assunto, assinale a opção correta.
a) Os aplicativos de email ainda não possuem recursos que
possibilitem a utilização da tecnologia do certificado digital.
b) Por questões de segurança, a chave pública do usuário não faz
parte do certificado digital.
c) Na prática, os certificados digitais não podem ser utilizados por
um tribunal de justiça para comprovar a autoria, por exemplo, de
um processo eletrônico.
d) Um certificado digital pode ser emitido tanto para uma pessoa
quanto para um computador.
Desenho Esquema de Segurança
PORTA 80
(http)
Usuário
Final
Enviando
E-MAIL
DMZ
BASTION
HOST
HONEY
POT
IDS
Estação de
Trabalho 1
SERVIDOR
PROXY
FIREWALL
SERVIDORES
TCP/IP
Estação de
Trabalho 2
INTRANET
INTERNET (SPT-M)
16
13/09/2015
AFRF 2005 cargo Auditor
Analise as seguintes afirmações relacionadas aos conceitos básicos
de Segurança da Informação:
I. O IP spoofing é uma técnica na qual o endereço real do atacante
é mascarado, de forma a evitar que ele seja encontrado. É
normalmente utilizada em ataques a sistemas que utilizam
endereços IP como base para autenticação.
II. O NAT, componente mais eficaz para se estabelecer a segurança
em uma rede, é uma rede auxiliar que fica entre a rede interna,
que deve ser protegida, e a rede externa, normalmente a Internet,
fonte de ataques.
III. O SYN flooding é um ataque do tipo DoS, que consiste em
explorar mecanismos de conexões TCP, prejudicando as conexões
de usuários legítimos.
IV. Os Bastion host são equipamentos que atuam com proxies ou
gateways entre duas redes, permitindo que as requisições de
usuários externos cheguem à rede interna.
a) I e II
b) II e III
c) III e IV
d) I e III
e) II e IV
17
13/09/2015
AFRF/ 2005
Analise as seguintes afirmações relacionadas à segurança e uso da
Internet:
I. Engenharia Social é um termo que designa a prática de obtenção
de informações por intermédio da exploração de relações humanas
de confiança, ou outros métodos que enganem usuários e
administradores de rede.
II. Port Scan é a prática de varredura de um servidor ou dispositivo
de rede para se obter todos os serviços TCP e UDP habilitados.
III. Backdoor são sistemas simuladores de servidores que se
destinam a enganar um invasor, deixando-o pensar que está
invadindo a rede de uma empresa.
IV. Honey Pot é um programa implantado secretamente em um
computador com o objetivo de obter informações e dados
armazenados, interferir com a operação ou obter controle total do
sistema.
a) I e II
b) II e III
c) III e IV
d) I e III
e) II e IV
18
13/09/2015
TRE MS 2007 cargo Analista
Uma DMZ (Zona Desmilitarizada) é um segmento de rede
parcialmente protegido que para possibilitar maior segurança na
Internet deve estar associada ao mecanismo de proteção
a) Plano de contingência.
b) Proxy.
c) Criptografia.
d) Firewall.
e) Sistema de detecção de intrusão.
• Plano de contingência – consiste num conjunto de estratégias e
procedimentos que devem ser adotados quando a instituição ou
uma área se depara com problemas que comprometem o
andamento normal.
• Sistema de detecção de intrusão – Programa, ou um conjunto de
programas, cuja função ´e detectar atividades maliciosas ou
anômalas.
19
13/09/2015
MPU 2004 cargo Técnico
Analise as seguintes afirmações relativas à segurança da
informação.
I. O Denial of Service (DoS) é um ataque que consiste em
sobrecarregar um servidor com uma quantidade excessiva de
solicitações de serviços. Há muitas variantes, como os ataques
distribuídos de negação de serviço (DDoS) que paralisam vários
sites ao mesmo tempo.
II. O Firewall baseado em aplicações trabalha como se fosse um
analista de tráfego. Verifica as requisições provenientes de usuários
remotos e bloqueia ou não a sua utilização. O cliente e o servidor
conversam diretamente, dispensando o uso do servidor proxy para
intermediar a conexão.
III. Firewall baseado em filtragem de pacotes, utiliza endereços IP e
portas de acesso para, por meio de um conjunto de regras
estabelecidas pelo administrador, bloquear ou permitir o tráfego
entre duas redes.
IV. Usualmente, alguns tipos de tráfego devem ser sempre aceitos
pelo Firewall. Os mais importantes e que nunca devem ser
rejeitados são os pacotes cujo destinatário é o próprio Firewall e os
pacotes provenientes da rede externa, mas com endereço de
origem da rede interna.
a) I e II b) II e III
c) III e IV
d) I e III
e) II e IV
20
13/09/2015
TRT 24 Região/2006
Um texto cifrado pelo Código de César é um exemplo de
criptografia do tipo
a) substituição monoalfabética.
b) substituição polialfabética.
c) assimétrica.
d) transposição.
e) quântica.
Técnicas de criptografia
• Assimétrica;
• Quântica;
• Simétrica;
• Substituição monoalfabética;
• Substituição polialfabética;
• Transposição.
21
13/09/2015
Lista das principais portas usadas pelo TCP/IP:
Fonte: www.iana.org/assignments/port-numbers
AFC/CGU - 2003/2004
O HTTPS é um serviço de segurança que é prestado na porta de
comunicação
a) 110 e utiliza o POP3.
b) 80 e utiliza o TCP e o UDP.
c) 443 e utiliza o TCP e o UDP.
d) 21 e utiliza o FTP.
e) 25 e utiliza o DNS.
22
13/09/2015
MPPE/2006 cargo Analista
Permissão dada a um cracker para controlar o micro infectado, por
uma porta aberta inadvertidamente pelo usuário. Normalmente é
um programa que vem embutido em um arquivo recebido por email ou baixado da rede. Ao executar o arquivo, o usuário libera
uma função que abre uma porta para que o autor do programa
passe a controlar o computador de modo completo ou restrito.
Esta invasão, do tipo backdoor, por sua forma disfarçada de
entrega, é freqüentemente associada a um tipo de malware
conhecido por
a) trojan horse.
b) hoax .
c) keylogger.
d) boot.
e) adware.
PC SP 2009 Investigador
Qual o nome da ferramenta ou programa usado para monitorar o
tráfego de redes e descobrir portas abertas ou outras falhas de
segurança?
a) SETUP.
b) SMTP.
c) SSL.
d) SNMP.
e) SNIFFER.
23
13/09/2015
Tem mais:
• Conceitos gerais de segurança na rede (Algoritmo hash,
Assinatura digital, Assinatura eletrônica, Backdoor, Bastion host,
DMZ, Engenharia social, Firewall, Hoax, Honey pot, Keylogger,
Malware, Phishing, Phreaking, Ping da morte, Sniffer, Spyware,
Warez);
• Mecanismos de endereço de rede (NAT, HNAT, SNAT);
• Invasores de rede (Hacker, Cracker);
• Autoridade de rede (CA, RA);
• Técnicas de criptografia (Assimétrica, Quântica, Simétrica,
Substituição monoalfabética, Substituição polialfabética,
Transposição.);
• Vírus de computador (Camuflados, Cavalo de troia (Trojans), De
boot, De macro, Polimórficos, Worm, Hijackers Wabbit.);
• Serviço SSL (Secure Socket Layer ou Camada de Conexão Segura);
• IDS (SSL, IPSec, Redes com Switches, Redes de Alta Velocidade );
• Intrusão (Roubo de informações, Negação de serviços);
• Tipo do ataque: ativo contra o TCP (Mitnick );
• Tipo do ataque: intrusão (Adware, Bot, Rootkit, Exploit );
• Tipo do ataque: negação de serviços (Nuke, Smurf, SYN Flooding ,
Fragmentação, Land);
24
13/09/2015
• Tipo do ataque: obtenção de informações (IP spoofing, Port
Scanning);
• Política de Segurança de Informações (Autenticidade,
Confidencialidade, Disponibilidade, Integridade, Legalidade,
Privacidade, Vulnerabilidade );
• Os responsáveis por elaborar a Política de Segurança de
Informações;
• Assuntos que devem ser abordados na Política de Segurança de
Informações;
• O nível de profundidade dos assuntos abordados na Política de
Segurança de Informações;
•
•
•
•
•
Processo de implantação da Política de Segurança;
A divulgação da Política de Segurança de Informações;
Política de Segurança de Informações violada;
A Política de Segurança de Informações pode ser alterada? ;
Auditoria de Sistemas de Informação (Introdução, Objetivos,
Tipos de auditoria, Ciclo de vida, Ferramentas para auditoria de
sistemas;
• Boas práticas em Segurança da Informação (Introdução,
Controles de acesso – Lógico e Direitos e permissões de acesso);
25
13/09/2015
• Plano de contingências (Introdução, A importância do plano de
contingências, O objetivo do plano de contingências, Elaboração
do plano de contingências, Assuntos que devem ser abordados
no plano de contingências, Alta gerência e a elaboração do plano
de contingências, O plano de contingências deve ser teste,
Quando o plano de contingências deve ser atualizado ).
Apresentação:
L
A
N
Ç
A
M
E
N
T
O
!!!
26

Contatos: E-mail: [email protected] Blog: http

Transcrição

Documentos relacionados

Empresas do Simples com mais de cinco funcionários devem usar

EUROTRONICS QM 201 - Português INMETRO

Extensão de garantia para nobreaks e estabiliz... http://www.sms

PROCURAÇÃO PARA O CERTIFICADO DE NFE Cidade, data

Instituto Brasileiro do Meio Ambiente e dos Recursos Naturais

Eduardo Pedro Krupa

Instituto Brasileiro do Meio Ambiente e dos Recursos

Janine Schneiders - PET Computação

Certificado - VI MEPT - Instituto Federal Farroupilha

ISO 4001:2004 Certificate Pinhais