A entidade J enviou uma mensagem (M) assinada para a entidade K, utilizando o padrão RSA de assinatura digital. A assinatura digital (AD) de M está acompanhada do certificado digital de J (Cert_J/AC), emitido pela Autoridade Certificadora (AC). A entidade K tem confiança na AC; logo, o certificado digital da AC (Cert_AC/AC), emitido pela própria AC, está armazenado na sua base de certificados digitais confiáveis. Ambos os certificados digitais Cert_J/AC e Cert_AC/AC passaram no teste de validação de certificados digitais, e a cadeia de certificados está verificada com sucesso.

Como parte do processo de verificação da AD de M, a entidade K deve decriptar a AD com a(as) chave(s)

Mensagens não solicitadas em forma de e-mails, conhecidas como spam, são muito utilizadas para enganar os usuários de sistemas de informação. As soluções antispam possuem um papel crucial para evitar ataques de engenharia social executados por meio de spams que representam verdadeiras ameaças aos usuários. Nesse contexto, considere que um indivíduo recebeu um e-mail contendo um spam com um link malicioso que o direcionará para uma página web falsa de um banco de investimentos, com o objetivo de coletar as suas credenciais de acesso a esse sistema.

Essa ação maliciosa é conhecida como

O Domain Name System (DNS) é um sistema hierárquico e distribuído de gestão de nomes para computadores e serviços. Uma resolução de um nome pode envolver consultas a vários servidores DNS; logo, para otimizar consultas futuras, as respostas são, em geral, mantidas em cache durante um período de tempo determinado. Se um Man-In-The-Middle conseguir interceptar uma consulta DNS, poderá inserir um resultado falso para a consulta na cache do servidor DNS que realizou a consulta.

Esse ataque ao serviço DNS é conhecido como DNS Cache

Os dados sensíveis devem ser protegidos por meio de práticas de segurança projetadas para impedir a divulgação não autorizada e a violação dos dados. Dentre as práticas usadas para proteção de dados em repouso, pode- -se destacar a criptografia simétrica. Um exemplo de um algoritmo de criptografia simétrica é o

O certificado digital ICP-Brasil é um documento eletrônico que tem como principal função comprovar a identidade do cidadão ou da empresa em meios eletrônicos, proporcionando uma forma legal e segura de assinar digitalmente documentos e transações realizadas nesses ambientes. Esse certificado digital deve ser à prova de fraude, e sua integridade e sua autenticidade podem ser verificadas através da validação da sua assinatura digital e da validação da cadeia de certificados.

O certificado emitido para o cidadão é assinado APENAS pelo(a)

Uma empresa sofreu um ataque que provocou a interrupção dos serviços de rede para os seus funcionários, usuários legítimos do sistema dessa empresa. Esse ataque foi feito utilizando uma técnica de negação que forçou os servidores de serviços de rede publicamente acessíveis a produzirem uma inundação de mensagens de controle do tipo SYN/ACK do protocolo TCP para cima do alvo.

Esse tipo de ataque é o de

Uma empresa de desenvolvimento de softwares adota, em seus projetos de sistemas, princípios de segurança para reduzir os riscos relacionados à segurança e para aumentar a resistência a ataques. Um desses princípios, visa manter o design o mais simples e o menor possível e, como consequência, tornar mais fácil de ser revisada e mais difícil de conter erros a parte desse sistema que depende de segurança.

Esse é o princípio de

Com relação à Data Loss Prevention (DLP), analise as afirmativas a seguir.

I. A DLP ajuda a proteger informações confidenciais, identificando e monitorando o uso de dados sensíveis dentro e fora de uma organização.

II. A DLP geralmente é implementada por meio de soluções de software que podem ser personalizadas de acordo com as necessidades da organização.

III. A DLP se concentra apenas em prevenir a perda de dados intencional por parte dos empregados, não levando em conta as ameaças externas.

Está correto o que se afirma em

Com relação ao monitoramento de comportamento em redes de computadores, analise as afirmativas a seguir e assinale (V) para a verdadeira e (F) para a falsa.

( ) Rastreia o tráfego de rede para identificar ameaças e anomalias.

( ) É capaz de detectar atividades suspeitas, como tentativas de acesso a portas não autorizadas e varreduras de rede.

( ) É uma ferramenta usada exclusivamente para fins de conformidade regulatória.

As afirmativas são, respectivamente,

Com relação à gestão de riscos de segurança da informação, analise as afirmativas a seguir e assinale (V) para a afirmativa verdadeira e (F) para a falsa.

( ) A vida útil do gerenciamento de risco em segurança da informação é uma atividade ampla e organizacional.

( ) A análise de risco qualitativa envolve a avaliação subjetiva de ameaças.

( ) A seleção de controles de segurança, no processo de gerenciamento de riscos em segurança da informação, não é necessária.

As afirmativas são, respectivamente,