TECNOLOGIA DA INFORMAO

http://socratesfilho.com

SEGURANA DA INFORMAO EM EXERCCIOS VOLUME 1

PROF. SCRATES ARANTES FILHO http://socratesfilho.com

Ol, pessoal,
Meu nome Scrates Arantes T. Filho, sou Bacharel em Cincia da Computao
pela UnB e Especialista em Segurana de Redes pela FGF. Atualmente, sou Analista
Legislativo do Senado Federal. Fui Analista de Finanas e Controle da ControladoriaGeral da Unio (CGU), entre 2006 e 2009; Analista Jnior, entre 2004 e 2006, na Caixa
Econmica Federal; e Tcnico Bancrio, entre 2002 e 2004, tambm na Caixa Econmica
Federal.
Comecei os meus estudos para concursos desde 2004, quando me formei, e, com
muito esforo, consegui a aprovao em diversos concursos, tanto na rea de Tecnologia
da Informao (TI), como em alguns concursos generalistas.
Para chegar at aqui, o caminho foi rduo e sofrido, mas felizmente tive sucesso. Se
vocs forem disciplinados e seguirem o mesmo caminho de estudos pesados, vocs
tambm tero um futuro promissor!
Este material se trata de uma coletnea de exerccios de Segurana da Informao
extrados de provas de concursos de Tecnologia da Informao. Para cada bateria de
exerccios, sero colocados os exerccios, para que os alunos treinem seus
conhecimentos, e em seguida, sero apresentados os gabaritos das provas, com os
comentrios.
Nesse volume, foram includos os exerccios dos concursos a seguir:
Questes de Certo/Errado:
CESPE ABIN 2010 Oficial Tcnico de Inteligncia rea de Desenvolvimento e
Manuteno de Sistemas
CESPE ABIN 2010 Oficial Tcnico de Inteligncia rea de Suporte a Rede de Dados
CESPE ABIN 2010 Agente Tcnico de Inteligncia rea de Tecnologia da Informao
CESPE TRT / 21 Regio 2010 - Analista Judicirio Especialidade: Tecnologia da
Informao
CESPE FUB 2011 Tcnico de Tecnologia da Informao
CESPE Superitendncia Nacional de Previdncia Complementar/PREVIC 2011 Analista
Administrativo - Tecnologia da Informao
CESPE STM 2011 - Analista Judicirio Especialidade: Tecnologia da Informao
CESPE DETRAN/ES 2011 - Tcnico Superior Formao 3 Analista de Sistemas
CESPE TRE/ES 2011 - Analista Judicirio Especialidade: Anlise de Sistemas
CESPE TRE/ES 2011 Tcnico Judicirio Especialidade: Operao de Computadores
CESPE TRE/ES 2011 Tcnico Judicirio Especialidade: Programao de Sistemas
Questes de mltipla escolha:
ESAF CVM 2010 Analista rea: Infraestrutura de TI
FGV Fundao Oswaldo Cruz (FIOCRUZ) 2010 - Tecnologista em Sade Pblica
Segurana da Informao
CESPE INMETRO 2010 - Pesquisador-Tecnologista em Metrologia e Qualidade rea:
Arquitetura de Solues de Softwares
CESPE INMETRO 2010 - Pesquisador-Tecnologista em Metrologia e Qualidade rea:
Cincia da Computao
CESPE INMETRO 2010 - Pesquisador-Tecnologista em Metrologia e Qualidade - rea:
Desenvolvimento de Sistemas
CESPE INMETRO 2010 - Pesquisador-Tecnologista em Metrologia e Qualidade rea:
Gesto da Informao
CESPE INMETRO 2010 - Pesquisador-Tecnologista em Metrologia e Qualidade rea:
Infraestrutura e Redes de Tecnologia da Informao

2
O contedo deste curso de uso exclusivo de (NOME POR EXTENSO DO ALUNO) (CPF
DO ALUNO), vedada, por quaisquer meios e a qualquer ttulo, a sua reproduo,
cpia,
divulgao,
e
distribuio,
sujeitando-se
os
infratores

responsabilizao civil e criminal.

SEGURANA DA INFORMAO EM EXERCCIOS VOLUME 1

PROF. SCRATES ARANTES FILHO http://socratesfilho.com

CESPE INMETRO 2010 - Pesquisador-Tecnologista em Metrologia e Qualidade rea:

Informtica Aplicada Metrologia Legal
CGGT/Prefeitura do Rio de Janeiro/RJ Tribunal de Contas do Municpio do Rio de Janeiro
(TCM/RJ) 2011 Analista de Informao

Algumas das provas podem estar com os gabaritos preliminares, o que ser
informado para cada bateria de exerccios. Nesses casos, fique atento para verificar
qualquer mudana do gabarito posteriormente.
Outros materiais disponveis:
1) Teoria e exerccios:
Redes de Computadores para concursos pblicos mais informaes em
http://socratesfilho.wordpress.com/cursos-de-ti/redes-de-computadores-paraconcursos-publicos/
Segurana da Informao para Concursos Nvel Avanado (Perito da
PF e TCU) mais informaes em http://socratesfilho.wordpress.com/cursosde-ti/seguranca-da-informacao-para-concursos/
2) Somente exerccios:
Redes de Computadores em Exerccios Volume 1 mais informaes
em http://socratesfilho.wordpress.com/questoes-de-provas-comentadas/redesexercicios-volume-1/
recomendvel que o aluno tenha conhecimento sobre Segurana da Informao e
tambm em Redes de Computadores, j que h questes multidisciplinares.
Agora, vamos ao que interessa, ou seja, aos exerccios!

3
O contedo deste curso de uso exclusivo de (NOME POR EXTENSO DO ALUNO) (CPF
DO ALUNO), vedada, por quaisquer meios e a qualquer ttulo, a sua reproduo,
cpia,
divulgao,
e
distribuio,
sujeitando-se
os
infratores

responsabilizao civil e criminal.

SEGURANA DA INFORMAO EM EXERCCIOS VOLUME 1

PROF. SCRATES ARANTES FILHO http://socratesfilho.com

(CESPE ABIN 2010 Oficial Tcnico de Inteligncia rea de Desenvolvimento e

Manuteno de Sistemas)
Questes de prova:
Julgue o item abaixo, a respeito de mecanismos de segurana da informao,
considerando que uma mensagem tenha sido criptografada com a chave pblica de
determinado destino e enviada por meio de um canal de comunicao.
25) A mensagem criptografada com a chave pblica do destinatrio garante que somente
quem gerou a informao criptografada e o destinatrio sejam capazes de abri-la.
Acerca da Poltica de Segurana da Informao (PSI) nos rgos e entidades da
administrao pblica federal, instituda pelo Decreto n. 3.505/2000, julgue os seguintes
itens.
38) Cabe Secretaria de Defesa Nacional, assessorada pelo Comit Gestor da
Segurana da Informao e pelo Departamento de Pesquisa e Desenvolvimento
Tecnolgico da ABIN, estabelecer normas, padres, nveis, tipos e demais aspectos
relacionados ao emprego dos produtos que incorporem recursos criptogrficos, de modo
a assegurar-lhes confidencialidade, autenticidade e integridade, assim como a garantir a
interoperabilidade entre os sistemas de segurana da informao.

39) Os membros do Comit Gestor da Segurana da Informao s podem participar de

processos, no mbito da segurana da informao, de iniciativa do setor privado, caso
essa participao seja julgada imprescindvel para atender aos interesses da defesa
nacional, a critrio do Comit Gestor e aps aprovao do Gabinete de Segurana
Institucional da Presidncia da Repblica.
40) Entre os objetivos da PSI, insere-se o estmulo participao competitiva do setor
produtivo no mercado de bens e de servios relacionados com a segurana da
informao, incluindo-se a fabricao de produtos que incorporem recursos criptogrficos.
<?php
$n = $_POST["login"];
$s = $_POST["senha"];
include "conecta_mysql.inc";
$r = mysql_query("SELECT * FROM usuario where
login='$n'");
$l = mysql_num_rows ($r);
if($l==0) {
echo "<html><body><p>Nao encontrado!</p>";
echo "<p><a href=\"login.html\">Voltar</a></p>";
echo "</body></html>";
} else {
if ($s != mysql_result($r, 0, "senha")) {
echo "<html><body><p>Incorreta!</p>";
4
O contedo deste curso de uso exclusivo de (NOME POR EXTENSO DO ALUNO) (CPF
DO ALUNO), vedada, por quaisquer meios e a qualquer ttulo, a sua reproduo,
cpia,
divulgao,
e
distribuio,
sujeitando-se
os
infratores

responsabilizao civil e criminal.

SEGURANA DA INFORMAO EM EXERCCIOS VOLUME 1

PROF. SCRATES ARANTES FILHO http://socratesfilho.com

echo "<p><a href=\"login.html\">Voltar</a></p>";

echo "</body></html>";
} else {
setcookie("nu", $u);
setcookie("su", $s);
header ("Location: pagina_inicial.php");
}
}
?>
Considerando o script PHP apresentado acima, julgue os prximos itens.
67) A senha do usurio que est no banco de dados no foi criptografada com um hash,
fato que torna a aplicao vulnervel a ataques de dicionrio.
ERRADO. O que deixa a aplicao vulnervel a ataques de dicionrio e outros
68) O banco de dados MySQL usado pelo script, mas a conexo com o banco deveria
ter sido encerrada ou devolvida ao pool ao final do script, fato que no se concretiza.
69) O pedido HTTP que pode ser atendido por esse script no poder conter cookies de
nomes nu e su, alm de estar sujeito a ataques de SQL injection.
A respeito de segurana da informao, julgue os prximos itens.
105) A gesto da continuidade de negcios um processo que deve ser realizado no
caso de perdas no funcionamento rotineiro de um ambiente computacional. Por envolver
excessivos recursos humanos, financeiros e de informao, uma empresa somente deve
defini-lo caso tenham sido identificadas ameaas potenciais que possam ocasionar riscos
imediatos ao negcio.
106) O modo de anlise de trfego realizada por um sistema de deteco de intruso
(IDS) do tipo deteco de comportamento (behaviour detection) fundamenta-se na busca
por padres especficos de trfego externo que seja embasado em assinatura.
107) A implantao de uma VPN pode ser realizada por meio da conexo de LANs via
Internet, interligando-as a circuitos dedicados locais, como uma espcie de WAN
corporativa.
108) Um firewall Linux pode ser implementado por meio de um servidor proxy. Nesse
caso, as devidas autorizaes do usurio e as demais opes de configurao so
conferidas em uma tabela.
109) O padro pretty good privacy (PGP) utiliza, para a criptografia de chave pblica, o
mtodo RSA, de chave simtrica, e pode ocultar o nome do remetente da mensagem.
110) As assinaturas digitais atuam sob o princpio bsico da confidencialidade da
informao, uma vez que conferem a autenticao da identidade do remetente de uma
mensagem. No entanto, tal soluo no garante a integridade da informao, que deve
ser conferida por meio de tecnologias adicionais de criptografia.
5
O contedo deste curso de uso exclusivo de (NOME POR EXTENSO DO ALUNO) (CPF
DO ALUNO), vedada, por quaisquer meios e a qualquer ttulo, a sua reproduo,
cpia,
divulgao,
e
distribuio,
sujeitando-se
os
infratores

responsabilizao civil e criminal.

SEGURANA DA INFORMAO EM EXERCCIOS VOLUME 1

PROF. SCRATES ARANTES FILHO http://socratesfilho.com

111) A norma ABNT NBR ISO/IEC 27002 apresenta critrios para a organizao geral do
sistema de gesto da segurana da informao. Por ser uma norma genrica, que apenas
prope diretrizes, no pode ser utilizada para fins de certificao, pois no apresenta
controles especficos a serem tomados como base para a proteo de ativos em uma
empresa.

6
O contedo deste curso de uso exclusivo de (NOME POR EXTENSO DO ALUNO) (CPF
DO ALUNO), vedada, por quaisquer meios e a qualquer ttulo, a sua reproduo,
cpia,
divulgao,
e
distribuio,
sujeitando-se
os
infratores

responsabilizao civil e criminal.

SEGURANA DA INFORMAO EM EXERCCIOS VOLUME 1

PROF. SCRATES ARANTES FILHO http://socratesfilho.com

(CESPE ABIN 2010 Oficial Tcnico de Inteligncia rea de Desenvolvimento e

Manuteno de Sistemas)
Gabaritos:
25) ERRADO. A mensagem criptografada com a chave pblica do destinatrio s pode
ser aberta (descriptografada) apenas pelo destinatrio, pois s ele tem acesso sua
chave privada. Alm disso, quem gerou a mensagem j tem acesso mensagem em
claro.
38) O gabarito preliminar da questo estava ERRADO, mas a questo foi ANULADA. De
acordo com o Decreto n 3.505/2000, cabe Secretaria-Executiva do Conselho de Defesa
Nacional estabelecer normas, padres, nveis, tipos e demais aspectos relacionados ao
emprego dos produtos que incorporem recursos criptogrficos, de modo a assegurar a
confidencialidade, a autenticidade, a integridade e o no-repdio, assim como a
interoperabilidade entre os Sistemas de Segurana da Informao. Para essas
atribuies, ela assesorada apenas pelo Comit Gestor da Segurana da Informao e
receber apoio tcnico da ABIN no tocante a atividades de carter cientfico e tecnolgico
relacionadas segurana da informao
39) CERTO.
40) CERTO.
67) ERRADO. O que deixa a aplicao vulnervel a ataques de dicionrio e outros
semelhantes, como os de fora bruta, :
a ausncia de nmero mximo de tentativas antes de bloquear o sistema, e
a falta de regras para criao de senhas seguras pelos usurios.
A ausncia de hash na senha serve para evitar que a senha seja transmitida em claro
pela rede, de forma a impedir que um atacante a obtenha com uma escuta de rede.
68) CERTO. No h nada no cdigo que indique o encerramento da conexo com o BD, o
que deixaria o script mais seguro.
69) ERRADO. O pedido HTTP dever conter os cookies de nomes nu e su para funcionar.
105) ERRADO. A gesto da continuidade do negcio um processo que deve ser
realizado quando h alguma perda no funcionamento roteineiro de um ambiente
computacional que afetem o funcionamento do negcio da empresa. A empresa pode
definir o processo de GCN mesmo que ainda no tenha sido identificada alguma ameaa
em potencial que ocasione riscos imediatos ao negcio.
106) ERRADO. O tipo de deteco por comportamento no IDS se fundamenta em
alteraes anormais no comportamento do trfego de uma rede, e no em padres
especficos de trfego que indiquem um ataque (assinaturas de ataque).
107) CERTO.
108) CERTO.
109) O gabarito definitivo foi anulado, mas a questo est ERRADA, porque o RSA um
algoritmo de criptografia assimtrica (chave assimtrica).
110) ERRADO. As assinatura digitais garantem a autenticidade e no-repdio da origem,
alm da integridade da informao.
111) ERRADO. norma 27001 que apresenta os requisitos (critrios) para a organizao
de um sistema de gesto de segurana da informao. A norma 27002, apresenta as
diretrizes para diretrizes e princpios gerais para implantar a gesto de segurana da
informao em uma organizao. A norma 27001 utiliza as diretrizes da 27002 como
7
O contedo deste curso de uso exclusivo de (NOME POR EXTENSO DO ALUNO) (CPF
DO ALUNO), vedada, por quaisquer meios e a qualquer ttulo, a sua reproduo,
cpia,
divulgao,
e
distribuio,
sujeitando-se
os
infratores

responsabilizao civil e criminal.

SEGURANA DA INFORMAO EM EXERCCIOS VOLUME 1

PROF. SCRATES ARANTES FILHO http://socratesfilho.com

controles especficos para serem tomados como base para proteo dos ativos, para fins
de certificao.

8
O contedo deste curso de uso exclusivo de (NOME POR EXTENSO DO ALUNO) (CPF
DO ALUNO), vedada, por quaisquer meios e a qualquer ttulo, a sua reproduo,
cpia,
divulgao,
e
distribuio,
sujeitando-se
os
infratores

responsabilizao civil e criminal.