A técnica de spoofing é muito empregada em testes de penetração e ataques cibernéticos. Ao usar spoofing pode-se escolher entre diversas possibilidades. Por exemplo, a aplicação apenas da técnica de IP spoofing permite

A OWASP (Open Web Application Security Project) é uma organização sem fins lucrativos dedicada a melhorar a segurança de software. O OWASP Top 10 é um documento de conscientização padrão para desenvolvedores e segurança de aplicações Web. Ele representa um amplo consenso sobre os 10 riscos de segurança mais críticos para as aplicações desse tipo.

A seguir são apresentados três riscos de segurança existentes na OWASP Top 10 do ano de 2021. Correlacione esses riscos com as falhas de desenvolvimento Web apresentadas na sequência.

1. Controle de Acesso Quebrado (Broken Access Control).

2. Falhas Criptográficas (Cryptographic Failures).

3. Injeção (Injection).

( ) A transmissão de senhas de login é realizada em texto claro, sendo possível sua visualização em interceptações.

( ) Comandos maliciosos são inseridos em campos de interação com o usuário, como os de login e senha, permitindo acesso não autorizado.

( ) Um usuário comum consegue acessar áreas administrativas sem a necessidade de autenticação.

A relação correta, na ordem apresentada, é:

O Tribunal de Justiça do Estado de Roraima está aprimorando seu Sistema de Gestão de Segurança da Informação (SGSI) e, para isso, segue as diretrizes da ABNT NBR ISO/IEC 27007:2021. A equipe de TI está classificando e controlando seus ativos de informação, visando proteger dados sensíveis e garantir a continuidade dos serviços judiciais. Durante esse processo, eles identificaram a necessidade de estabelecer níveis adequados de proteção para diferentes tipos de ativos.

Com base na situação apresentada, a equipe precisa definir critérios para a classificação dos ativos de informação, a fim de implementar controles de segurança apropriados.

Assinale a opção que apresenta um princípio fundamental na classificação dos ativos de informação.

De acordo com a norma ISO/IEC 27001, a organização precisa definir a aplicabilidade e os limites do sistema de gestão da segurança da informação para estabelecer o seu escopo.

Em relação ao tema, avalie as afirmativas a seguir e assinale (V) para a verdadeira e (F) para a falsa no que se refere ao que a organização deve considerar para a determinação do escopo descrito acima.

( ) Questões internas e externas importantes para o seu propósito e que afetam sua capacidade para atingir os resultados desejados do seu sistema de gestão da segurança da informação.

( ) Requisitos das partes interessadas relevantes para a segurança da informação, os quais podem incluir requisitos legais e regulamentares, bem como obrigações contratuais.

( ) Interfaces e dependências entre as atividades desempenhadas pela organização e aquelas que são executadas por outras instituições.

As afirmativas são, respectivamente,

Com base nas normas ABNT referentes à segurança da informação, julgue as afirmativas a seguir.

I. A Norma ABNT NBR ISO/IEC 27001:2022 estabelece requisitos genéricos e aplicáveis a todas as instituições, de qualquer tipo, tamanho ou natureza.

II. A Norma ABNT NBR ISO/IEC 27002:2022 fornece orientações para ajudar as organizações a cumprirem os requisitos da ABNT NBR ISO/IEC 27005 em relação às ações para abordar riscos de segurança da informação.

III. A Norma ABNT NBR ISO/IEC 27005:2022 determina os requisitos para estabelecer, implementar, manter e melhorar continuamente um sistema de gestão da segurança da informação dentro do contexto da organização.

Está correto o que se afirma em

O TJ-RR realiza backups completos aos domingos e backups diferenciais diariamente durante a semana. Após uma falha crítica no sistema na sexta-feira, a equipe de TI precisa restaurar os dados o mais rápido possível para retomar as operações.

Sabendo que o objetivo é minimizar o tempo de restauração, o seguinte procedimento melhoraria significativamente o processo de recuperação dos dados. Assinale-o.

Para garantir a continuidade dos negócios e a proteção adequada dos dados, uma organização deve definir claramente os objetivos de RTO (Recovery Time Objective) e RPO (Recovery Point Objective). Esses conceitos ajudam a estabelecer estratégias eficazes de recuperação e minimizam o impacto de incidentes.

Considerando a importância dos objetivos de recuperação em um plano de continuidade de negócios, assinale a opção que apresenta corretas definições para RTO e RPO.

Julgue os itens subsequentes, relativos a análise de tráfego.

Para que o Wireshark seja utilizado em um sistema Windows 11, é necessário um driver de dispositivo que, uma vez instalado, permite que qualquer usuário sem poderes administrativos altere configurações da placa de rede no computador em questão.

Considerando os tipos de ataques comuns a redes de computadores e sistemas, julgue os itens a seguir.

Em um ataque DDoS, que é normalmente volumétrico e torna os sistemas indisponíveis para usuários legítimos, pode haver vários IPs de origem e um ou múltiplos endereços IPs de destino na rede do alvo.

O MySQL Native Kerberos Authentication permite a autenticação direta de usuários por meio de LDAP e Active Directory, suportando protocolos como User/Password e GSSAPI Kerberos.