Marina recebeu uma ligação de um suposto funcionário que dizia estar fazendo uma pesquisa sanitária sobre uma pandemia.

Marina passou suas informações pessoais e profissionais, que permitiram ao falso funcionário acessar um sistema com suas credenciais.

A técnica empregada pelo falso funcionário para conseguir as informações de Marina é:

Durante uma auditoria externa contratada pelo Tribunal de Justiça ao departamento de segurança da informação, foram avaliados os sistemas existentes seguindo a Norma ABNT NBR ISO/IEC 27001. Durante a avaliação, houve a necessidade de prover um sistema de gerenciamento de senhas interativo e com qualidade.

Para criar o seu sistema, o departamento de segurança deve fazer uso do objetivo de controle:

Ana precisa enviar a mensagem M para Bráulio de forma sigilosa pela rede do Tribunal de Justiça atendendo aos requisitos de segurança: autenticidade, não repúdio, integridade e confidencialidade. Para isso, Ana deve enviar uma chave secreta K para Bráulio e gerar uma assinatura digital AD(M).

Considerando que a chave K deve ser conhecida apenas por Ana e Bráulio, após esse processo deve-se cifrar K e AD(M) com a chave:

PedidosSemEstresse é uma aplicação Web destinada a digitalizar o processo de pedidos de serviços de um órgão da administração pública. A interface de PedidosSemEstresse utilizada pelos usuários faz chamadas a uma API RESTful e não utiliza facilidades de login único (single sign-on – SSO). Recentemente, o usuário interno João utilizou suas próprias credenciais com privilégios somente de execução de métodos GET para explorar vulnerabilidades e teve acesso direto a API RESTful. Assim, João fez chamadas a métodos POST com sucesso.

Com base no OWASP Top Ten, a vulnerabilidade explorada por João é da categoria:

De acordo com o Decreto nº 10.543, de 13 de novembro de 2020, que dispõe sobre o uso de assinaturas eletrônicas na administração pública federal, existem diferentes níveis para a assinatura digital.

O nível obrigatório para os atos assinados pelo presidente da República e pelos ministros de Estado é a chamada assinatura eletrônica:

Sobre o mecanismo baseado em propriedade, pode-se afirmar que:

Trata-se de um programa de computador que é instalado sem o consentimento do usuário, capaz de observar e roubar informações pessoais e, depois, encaminhar estas informações para uma fonte externa na internet. O trecho refere-se ao:

Acerca de sistemas de detecção de intrusos (IDS e IPS), assinale V para a afirmativa verdadeira e F para a falsa.

( ) Aprendizado de máquina (machine learning) tem sido utilizado para aumentar a eficiência de IDS baseados em comportamento.

( ) A maior ocorrência de pacotes criptografados na rede tem dificultado o NIDS (Network IDS) a detectar ataques.

( ) IPS baseados em assinatura trazem o risco de bloquear tráfego legitimo.

As afirmativas são, respectivamente,

Clickjacking (ou UI redressing attack) é uma das formas de ataques perigosos em aplicações Web.

Assinale a opção que descreve uma forma de proteção, mesmo parcial, contra clickjacking.

Analise as afirmativas a seguir sobre a norma NBR ISO/IEC 27701:

I. Essa norma indica que o termo “segurança da informação”, usado na norma NBR ISO/IEC 27001, deva ser considerado como “segurança da informação e privacidade”.

II. A norma coloca como conveniente a existência um ponto de contato para ser usado pelo cliente, em relação ao tratamento de dados pessoais.

III. De acordo com a norma, a ocorrência de um evento de segurança da informação implica necessariamente em uma probabilidade alta de acesso não autorizado a dados pessoais, sensíveis ou não.

Está correto apenas o que se afirma em