Ao proteger uma informação, deve-se pensar em três itens:

I- Confidencialidade – Garantir que somente modelos legítimos, aqueles que fazem parte do projeto de software, tenham acesso a ela.

II- Integridade – Garantir a originalidade da informação, não que se deve garantir que a informação não sofra alterações, mas sim que, caso ela sofra essas alterações, tenham procedência e representem a vontade daquele que gerou a informação, garantindo assim o seu ciclo de vida (nascimento, manutenção e destruição).

III- Disponibilidade – Garantir que a informação esteja disponível para o uso daqueles que possam utilizá-la.

Diante do exposto, pode-se afirmar que:

Com o objetivo de direcionar testes de penetração a ser executados em uma organização, um analista deve considerar os seguintes requisitos.

I Devem ser realizados ataques sem que o testador tenha conhecimento prévio acerca da infraestrutura e(ou) aplicação.

II Devem ser enviadas ao testador informações parciais e(ou) limitadas sobre os detalhes internos do programa de um sistema, simulando, por exemplo, um ataque de hacker externo.

Tendo como referência a situação hipotética apresentada, julgue o item que se segue.

O requisito II é uma descrição do teste de penetração do tipo white-box, que é normalmente considerado uma simulação de ataque por fonte interna e(ou) usuário privilegiado.

Com relação a botnets e phishing, julgue os itens a seguir.

A atual geração de dispositivos IOT (Internet das coisas) não foi concebida com foco em segurança do software, o que os torna candidatos prováveis a integrar gigantescas botnets que, entre outras atividades rentáveis, podem ser usadas para acelerar quebras de senhas para invadir contas online, minerar bitcoins e realizar ataques de negação de serviço sob encomenda.