FACULDADE QI

Portaria de Credenciamento 226/09 Portaria de Credenciamento 226/09 D.O.U. 12/03/2009

Curso Superior de Tecnologia em Anlise e Desenvolvimento de Sistemas

Disciplina Segurana de Software

Juliano Quadrado

Reviso N2
1. Do que trata a segurana da informao?
a. A segurana da informao (SI) trata de um conjunto de medidas e normas com
o objetivo de proteger as informaes. um processo cclico.
b. Gerencia riscos, vulnerabilidades
2. Quais so os 5 atributos de segurana? Comente sobre cada um deles.
Integridade
Disponibilidade
Confidencialidade
Autenticidade
Irretratabilidade ou No Repudio
3. O que um ataque?
a. Qualquer tentativa, bem ou mal sucedida, de acesso ou uso no autorizado de
um servio, computador ou rede.
b. Se caracteriza por uma explorao de vulnerabilidade, engenharia social, ou
algo instalado na maquina da vitima.
c. As motivaes para um ataque so diversas, desde a curiosidade at o crime.
d. Existe relatos de uma empresa especialista em segurana, que existia um cliente
que tinha a rede administrada por um invasor durante um bom perodo de
tempo, onde os logs no eram auditados ento o administrador real da rede
no sabia o que estava acontecendo.
e. No Brasil no temos leis claras que condenem ataques como crime
4. O que uma invaso?
a. o resultado de um ataque bem sucedido
5. Cite e comente cada pilar do trip de sustentao da segurana da informao.
6. Defina e comente os passos de um ataque:
1 - Levantamento de informaes.
2 - Obteno e testes de ferramentas.
3 - Aplicao de ferramentas no alvo.
4 - Explorao dos resultados
7. Porque necessrio antes de investir em segurana fazer uma avaliao de riscos?
a. Para saber qual riscos estamos expostos, e no criar uma fortaleza para
proteger informaes irrelevantes.
8. O risco resultado de qual equao? Comente sobre cada fator:
a. RISCO = VULNERABILIDADE * AMEAA * IMPACTO
b. Vulnerabilidade uma falha no sistema, onde um atacante poder explorar.
c. Ameaa - Existncia de agentes motivados a explorar as falhas no sistema.
d. Impacto - Quando acontecer um incidente, qual ser o prejuzo que este ataque
ir causar?
9. Para se proteger devemos reduzir os fatores da frmula de risco, como reduzir cada
fator?
__________________________________________________________________________
1
 FACULDADE QI
Portaria de Credenciamento 226/09 Portaria de Credenciamento 226/09 D.O.U. 12/03/2009
Curso Superior de Tecnologia em Anlise e Desenvolvimento de Sistemas

a. Vulnerabilidade Atualizaes?
b. Ameaa Disponibilizar somente onde necessrio
c. Impacto - Replicao
10. Se o atacante avisar sobre um furo de segurana, podemos considerar isto como
antitico? Comente sua opinio.
a. Se for apenas um aviso no chega a ser considerado como antitico
b. Se houver alguma alterao, ai sim considerado
11. Quais podem ser as motivaes para um ataque?
a. Vingana A mais usada
b. Notoriedade grupo de Hacker ex. Anonymous
c. Lucro Roubo de informaes que possam gerar lucros
d. Investigao legal.
12. Um ataque pode ser executado em 4 etapas, apresente e comente estas etapas
a. 1 - Levantamento de informaes.
b. 2 - Obteno e testes de ferramentas.
c. 3 - Aplicao de ferramentas no alvo.
d. 4 - Explorao dos resultados
13. Cite e comente os passos do processo para o controle de acesso
Identificao e autenticao de usurios
Alocao, gerncia e monitoramento de privilgios
Limitao, monitoramento e desabilitao de acessos
Preveno de Acessos no autorizados
14. Quais os princpios bsicos de uma Politica de Segurana da Informao e qual o
Segredo do sucesso de uma PSI.
a. Como a organizao ir proteger, controlar e monitorar seus recursos
computacionais e suas informaes?
b. Responsabilidades das funes relacionadas com a segurana.
c. Discriminao das principais ameaas, riscos e impactos envolvidos.
d. PSI integrada a politica de segurana em geral
e. Envolvimento de todos
15. Quais so os considerados fatores de sucesso de uma politica de segurana da
informao?
a. Vigilncia
i. Todos os funcionrios da organizao devem entender a importncia.
ii. Processo regular e consistente.
b. Atitude
i. Postura e a conduta em relao segurana.
ii. Fcil acesso e que seu contedo seja de conhecimento de todos os
funcionrios.
c. Estratgia
i. Adaptar as mudanas.
ii. No influenciem negativamente no andamento dos negcios.
d. Tecnologia
i. Mltiplas tecnologias ou independente.

__________________________________________________________________________
2
 FACULDADE QI
Portaria de Credenciamento 226/09 Portaria de Credenciamento 226/09 D.O.U. 12/03/2009
Curso Superior de Tecnologia em Anlise e Desenvolvimento de Sistemas

16. Porque ter Gesto de TI necessrio no ambiente organizacional?

a. Para que a Ti ande alinhada ao negcio. No ter servios desconexos com a
finalidade da organizao.
17. O que ROI? Quando alcanado?
a. Retorno sobre o Investimento, alcanado quando as receitas se equivalem as
despesas de investimento.
18. Porque a TI precisa justificar o ROI?
a. TI cara, vista como custo e no investimento
b.
c. rganizaes.
d.
e.
f.
19. Qual a diferena entre Gesto de TI e Governana de TI?
a. Gesto de TI - Foca em fornecer servios de TI e produtos de forma eficiente e
eficaz, e o gerenciamento das operaes de TI
b. Governana de TI - Se preocupa com as operaes e performance dos negcios,
transformando e posicionando a TI para alcanar os requisitos do negcio.
20. O que o COBIT? Para que serve?
a. para tecnologia da informao
b.
c.
d.
e.
f. na gesto de TI.
21. Quais so os domnios do Cobit?
a. Planejar e organizar
b.
c.
d. avaliao
22. Qual a finalidade do ITIL
a. Tratar a TI como servio, utilizar boas praticas para este fim.
23. Quais as diferenas entre o modelo OSI e o TCP/IP?
a. TCP/IP combina os aspectos das camadas de apresentao e de sesso dentro
da sua camada de aplicao;
b. P/IP combina as camadas fsica e de enlace do OSI em uma camada ;
c.
desenvolveu, portanto o modelo TCP/IP ganha credibilidade apenas por causa
dos seus protocolos;
d. a rede foi criada em torno de protocolos especficos
relacionados ao OSI, embora todos usem o modelo OSI para guiar os estudos.
24. Qual a diferena entre IPV4 e IPV6?

__________________________________________________________________________
3
 FACULDADE QI
Portaria de Credenciamento 226/09 Portaria de Credenciamento 226/09 D.O.U. 12/03/2009
Curso Superior de Tecnologia em Anlise e Desenvolvimento de Sistemas

a. A principal e que o ?IPV4 no foi desenvolvido pensando em segurana e o IPV6

sim, e o tabamnho do endereamento que no primeiro de 32bits e no
segundo de 128bits
25. Porque o IPV6 foi criado?
a. Dentre vrios motivos, o principal foi aumentar a demanda de endereamento
que esta se esgotando no IPV4
26. O que um Firewall? Qual sua principal finalidade?
a. Mantm invasores fora
b.
c.
organizao.
27. Para que serve um Proxy
a. um mecanismo do firewall que atende a requisies repassando os dados do
cliente.
b.
c. -se ter um ganho de performance na rede ao se
armazenar pginas e arquivos muito utilizados na sua cache.
28. O que uma VPN
a. VPN Virtual Private Network ( Rede privada virtual).
b.
c.
confidencialidade, autenticao e integridade.
d. mercado podem ser consideradas seguras.
e.
29. Para que serve o NAT? Qual a finalidade da criao dele.
a. Diminuir o uso de IP Quente
b. Serve para mascarar ips internos na internet, controle de acesso.
30. O que criptografia?
31. Qual a diferena entre Criptografia e Criptoanalise?
a. O objetivo da criptografia a pesquisa e desenvolvimento de mtodos e
tcnicas para proteger as informaes
b.
ilegveis
c. A Criptoanlise visa a descoberta de meios que permitam a quebra das
tcnicas de criptografia.
d.
encontrada no processo de cifragem e no pelo uso da chave correta de
decifragem.
32. O que Esteganografia?
a. Arte de escrever mensagens escondidas de modo que tenham conhecimento da
mesma apenas quem a enviou e quem deve receb-la;
b.
c.

__________________________________________________________________________
4
 FACULDADE QI
Portaria de Credenciamento 226/09 Portaria de Credenciamento 226/09 D.O.U. 12/03/2009
Curso Superior de Tecnologia em Anlise e Desenvolvimento de Sistemas

d. esteganofrafia de criptografia, pois enquanto a

criptografia visa ocultar e embaralhar a mensagem, a estaganografia visa
apenas ocultar a mensagem
33. Quais a diferena entre a criptografia clssica e a contempornea?
a. A criptografia clssica muito frgil, se conhecer os algoritmos envolvidos
b. A contempornea muito difcil inferir a senha ou o texto original conhecendo-
se o algoritmo e o texto cifrado, muito difcil inferir a senha conhecendo-se o
algoritmo, o texto cifrado e o texto original
34. Quais so os elementos de um modelo bsico de um criptosistema?
a. uma mensagem a ser cifrada (M)
b.
c.
d.
e.
f.
35. Comente sobre a premissa de Kerchkoffs
a. O atacante conhece tudo menos a chave
b.
36. Comente e represente com os elementos uma Encriptao e Decriptao
a. E (M, Ke) = Cm
b. D (Cm, Kd) = M
37. Quais os tipos de criptografia de chaves existem?

38. Qual o maior problema enfrentado na criptografia de chaves simtricas?

a. Troca de chaves por meio seguro

39. Descreva como o processo de troca de mensagem utilizando chaves assimtricas e

simtricas.
a. Troca de chaves pblicas e privadas, cifragem de chave simtrica com chave
pblica e envio pela rede...
40. O que a infraestrutura de chaves pblicas? Que o responsvel por ela no Brasil?
a. No Brasil existe o ICP-Brasil
b.
digitais
c.
d. ificadora Raiz (AC-Raiz),
tambm, tem o papel de credenciar e descredenciar os demais participantes da
cadeia, supervisionar e fazer auditoria dos processos.

__________________________________________________________________________
5