Em sistemas de segurança da informação, diferentes técnicas criptográficas oferecem garantias distintas sobre a proteção de dados. Uma necessidade comum é permitir que terceiros possam verificar a autenticidade e a integridade de uma mensagem, sem a necessidade de acessar seu conteúdo original. Considerando essa necessidade, assinale a técnica criptográfica que atende a esses requisitos:

Sobre a auditoria interna do Sistema de Gestão da Segurança da Informação (SGSI), conforme a NBR ISO/IEC 27001:2022, considere as seguintes afirmações a seguir:

I. A organização deve estabelecer um programa de auditoria interna que defina frequência, métodos, responsabilidades e critérios.

II. O programa de auditoria deve considerar a criticidade dos processos auditados e resultados de auditorias anteriores.

III. As auditorias internas devem ser realizadas apenas por auditores externos para garantir imparcialidade.

É correto o que se afirma em:

Em um sistema de distribuição de atualizações de software, arquivos são transferidos via rede para milhares de dispositivos. Para garantir a integridade dos arquivos após o download, cada arquivo é acompanhado de um hash criptográfico (ex: SHA-256) calculado no servidor. Os dispositivos recalculam o hash localmente e comparam com o valor original para detectar corrupções ou alterações maliciosas durante a transmissão. Para esse cenário de verificação de integridade de arquivos, qual é a propriedade mais crítica da função hash?

Em um contexto de planejamento de Recuperação de Desastres (DRP), imagine que uma organização precisa definir seus objetivos para minimizar o impacto de uma interrupção nos seus sistemas e dados. Assinale entre as alternativa seguintes, que apresentam métricas de DRP, aquela que estabelece o período máximo tolerável durante o qual os dados podem ser perdidos devido a um incidente antes que cause danos significativos ao negócio:

Dentre os modos de operação do algoritmo de criptografia simétrica AES listados, aquele que intrinsecamente fornece confidencialidade, integridade e autenticidade dos dados criptografados através de um mecanismo de autenticação integrado, sem depender de protocolos ou técnicas adicionais, é:

Durante a implementação de um Sistema de Gestão de Segurança da Informação (SGSI) em uma empresa de tecnologia, a equipe de segurança foi encarregada de garantir conformidade com a NBR ISO/IEC 27001:2022. Durante o processo, surgiu a necessidade de definir controles técnicos e administrativos adequados. Para isso, os profissionais consultaram também a NBR ISO/IEC 27002:2022. Assinale a alternativa que descreve corretamente a relação entre a NBR ISO/IEC 27001:2022 e a NBR ISO/IEC 27002:2022:

Durante uma auditoria de segurança em um sistema de dados financeiros, a equipe responsável identificou uma vulnerabilidade crítica em um micro serviço responsável pela autenticação do sistema. O sistema estava aceitando tokens JWT cujo cabeçalho (header) especificava o algoritmo "none". Um atacante, explorando essa falha, conseguiu gerar manualmente um token falso com privilégios de administrador, obtendo acesso não autorizado a recursos sensíveis do sistema. Em relação à autenticação e autorização baseadas em tokens JWT, assinale a alternativa que descreve corretamente a implicação direta de permitir o uso do algoritmo "none":

Durante uma análise forense em um data center, uma equipe identificou que um atacante obteve acesso a um espelhamento de porta (port mirroring) em um switch core. O tráfego estava protegido com HTTPS. Apesar disso, o atacante conseguiu interceptar dados sensíveis de um sistema legado. Com relação a alternativas que explicam corretamente como o sniffing pode ser viável mesmo em ambientes com criptografia TLS, analise as afirmações abaixo:

I. O uso de algoritmos TLS fracos ou obsoletos (ex.: TLS 1.0 ou RC4) pode permitir o ataque a sessões criptografadas;

II. Se um cliente aceitar certificados inválidos ou autoassinados, um atacante pode inserir seu próprio certificado para executar um ataque do tipo Man-in-the-Middle;

III. O espelhamento de porta (port mirroring) remove a criptografia TLS do tráfego capturado, tornando os dados legíveis para o atacante;

É correto o que se afirma em:

Em um ambiente de rede corporativa complexo, segmentado em múltiplas VLANs (Virtual Local Area Networks) e com switches gerenciáveis, dotados de recursos avançados de segurança, a equipe de segurança da informação está implementando mecanismos para mitigar o risco de sniffing — ou seja, a interceptação não autorizada do tráfego de rede por agentes internos ou externos. Com base em práticas para mitigação contra sniffing em redes locais, analise as afirmações abaixo:

I. A utilização de criptografia fim a fim (ex.: TLS, IPSec) nas aplicações críticas contribui para preservar a confidencialidade dos dados.

II. A habilitação de mecanismos como DHCP Snooping e Dynamic ARP Inspection (DAI) nos switches contribui para bloquear ataques de ARP spoofing e falsos servidores DHCP, frequentemente utilizados para em sniffing.

III. A aplicação de políticas de Access Control Lists (ACLs) nos switches, associadas às VLANs, permite restringir o tráfego lateral entre segmentos da rede e contribui para o isolamento do tráfego interno.

É correto o que se afirma em

No protocolo OAuth 2.0, qual é o ator responsável por verificar a identidade do usuário final e obter seu consentimento antes de emitir um código de autorização?