Segurança da Informação – Exercícios de fixação 1

1- O que é o CERT.br?
R.: O CERT.br é o Grupo de Resposta a Incidentes de Segurança para a Internet brasileira,
mantido pelo NIC.br, do Comitê Gestor da Internet no Brasil. É responsável por tratar
incidentes de segurança em computadores que envolvam redes conectadas à Internet
brasileira. Atua como um ponto central para notificações de incidentes de segurança no
Brasil, provendo a coordenação e o apoio no processo de resposta a incidentes e, quando
necessário, colocando as partes envolvidas em contato.

2- Qual o foco da Segurança de Redes em comparação com a Segurança da Informação?

R.: Segurança de Redes implementa controles de segurança para garantir o nível de
segurança adequado para o ambiente de rede; Segurança da Informação tem como foco
maior a garantia da segurança do negócio da empresa, tendo assim uma visão mais ampla

3- A informação é um ativo? Por quê?

R.: Sim, pois ela possui valor para uma organização, para uma pessoa, etc.

4- Explique o significado das seguintes definições:

a. Confiabilidade
R.: Garantir que um sistema vai se comportar segundo o esperado e projetado
b. Confidencialidade
R.: propriedade de que a informação não esteja disponível para pessoas, entidades
ou processos não autorizados
c. Não-repúdio
R.: garantia de que o autor de uma informação não poderá negar falsamente a
autoria de tal informação
d. Autenticidade
R.: propriedade de assegurar as veracidades do emissor e do receptor de
informações trocadas
e. Integridade
R.: propriedade de proteger a exatidão e a completeza de ativos
f. Disponibilidade
R.: propriedade de tornar acessível e utilizável sob demanda, por fontes autorizadas
g. Legalidade
R.: Estar de acordo, seguindo e fazendo cumprir leis e regulamentos internos e
externos
h. Controle de Acesso
R.: Limitar e controlar o acesso lógico/físico aos ativos

5- O que é ciclo de vida da informação, quais suas etapas principais e qual o objetivo da Segurança
da Informação em todas as etapas?
R.: São todas as etapas ou momentos pela qual a informação passa desde a criação,
passando pelo manuseio, o transporte e o descarte. O objetivo da Segurança da Informação é
adotar medidas de proteção a todas as etapas de modo a garantir a CID de acordo com a
análise de risco realizada.
6- Responda qual o termo correspondente às definições abaixo:
a. Forma de gerenciar o risco, incluindo políticas, procedimentos, diretrizes, práticas ou
estruturas organizacionais, que podem ser de natureza administrativa, técnica, de
gestão ou legal
R.: Controle (proteção)
b. Causa potencial de um incidente indesejado, que pode resultar em dano para um
sistema ou organização
R.: Ameaça
c. Combinação da probabilidade de um evento e de suas consequências
R.: Risco
d. Fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais
ameaças
R.: Vulnerabilidade

7- Defina os seguintes termos:

a. Evento
R.: É a relação entre as ameaças, as vulnerabilidades e os danos causados
(consequências)
b. Incidente
R.: Ameaças que se concretiza e causa dano
c. Parte envolvida
R.: Indivíduos, grupos ou organizações que são afetados diretamente por um risco
d. Parte interessada
R.: Indivíduo ou grupo que tem interesse no desempenho ou sucesso de uma
organização
e. Escopo de ativos
R.: Define o conjunto de ativos que será coberto pelo processo

8- Quais definições podem ser aplicadas ao Risco e a sua percepção, critério de tolerância e
porção residual?
R.: O Risco é a probabilidade de uma ameaça explorar uma (ou várias) vulnerabilidades
causando prejuízos. Percepção de risco é a forma como um risco é visto por uma parte
envolvida. O Critério de risco é o que a organização define como tolerável. O Risco residual é
a porção que sobra após o tratamento.

9- O que é o Sistema de Gestão de Riscos?

R.: Gestão de Riscos é o processo que identifica e trata os riscos de forma sistemática e
contínua, e o Sistema de Gestão de Riscos é o conjunto de práticas e procedimentos que são
utilizados para gerenciar os riscos.

10- Quais são as etapas de uma Gestão de Riscos?

R.: Estabelecimento do Contexto
Identificação dos Riscos
Análise/avaliação dos Riscos
Tratamento do Risco
Aceitação do Risco Residual
Comunicação do Risco
Monitoração e avaliação dos resultados
11- Quais os principais tipos de ameaças à segurança da informação?
R.: Ameaças físicas e lógicas causadas, dentro do que cabe, por humanos de modo
intencional, humanos de modo acidental, por não-humanos e pordesastres.

12- O que são:

a. Ataques
R.: ações realizadas contra um sistema de informações com intenção de obter, tornar
indisponível e danificar informações
b. Backdoor
R.: brechas intencionais, não documentadas, em programas legítimos, que permitem
o acesso ao sistema por parte de seus criadores ou mantenedores
c. Hackers
R.: usuários avançados, que possuem um exímio conhecimento em informática

13- Descreva o princípio de funcionamento dos seguintes malwares:

a. Vírus
R.: um programa (ou parte de um programa) que: Necessita de um hospedeiro para
existir (um vírus se “anexa” ao conteúdo de um arquivo para viver); Consegue se
replicar (copiar) sozinho para outros arquivos (hospedeiros);
b. Cavalo de Tróia
R.: Um programa que apresenta-se como algo inofensivo e que, na verdade, esconde
objetivos maliciosos
c. Spyware
R.: um programa que monitora e registra os “hábitos” de navegação e acesso à
Internet do micro infectado
d. Adware
R.: um programa que fica “fazendo anúncios de propaganda” no micro infectado
e. Exploit
R.: um programa construído para tirar vantagem de alguma falha, ou
vulnerabilidade, conhecida em um sistema de informações
f. Worm
R.: um programa que apenas usa a estrutura das redes para se copiar de micro para
micro, degradando a velocidade da comunicação nesta estrutura

14- Qual o objetivo do conjunto de técnicas de ataque denominado Negação de Serviço? Em que
consiste o Ataque de Negação de Serviço Distribuído?
R.: Fazer o computador vítima deixar de responder às requisições verdadeiras, ou seja,
atentar contra a disponibilidade do sistema. O DDoS possui um computador mestre que pode
ter sob seu comando até milhares de computadores zumbis que realizam as tarefas de
ataque.

15- Cite três tipos de técnicas para ataques a sistemas de informação.

R.: Ataques Smurf (PING em broadcast com spoofing de IP na origem), Buffer Overflow, Ping
of Death, IP Spoofing, Phishing, Pharming (DNS Cache Poisoning), Engenharia Social
 Segurança da Informação – Exercícios de fixação 2

1- De que formas pode ser dividida a área de segurança física?

Áreas seguras, que possui o objetivo de prevenir o acesso físico não
autorizado, danos e interferências com os recursos de processamento
das informações e nas informações da organização; e Equipamento,
com o objetivo de impedir perdas, danos, furto ou comprometimento
de ativos e interrupção das atividades da organização.
2- Cite três maneiras de implementar a segurança física e do ambiente.
Estabelecendo áreas de segurança: Perímetro da segurança física,
controles de entrada física, segurança em escritórios, salas e
instalações de processamento, etc; Definindo a segurança de
equipamentos: Instalação e proteção de equipamentos, Fornecimento
elétrico, Segurança do cabeamento, etc.
3- Qual a definição de segurança lógica, e quais mecanismos de proteção podem
ser adotados (cite pelo menos três).
A segurança lógica compreende os mecanismos de proteção baseados
em software. Podem ser citados como medidas de controle senhas,
listas de controle de acesso, criptografia, firewall, sistemas de
detecção de intrusão, redes virtuais privadas.
4- O que é a Criptografia? Cite três dos seus objetivos.
São métodos e protocolos para segurança de informação.
Confidencialidade das mensagens, Integridade de dados, Identificação
de entidades, Autenticação de mensagens, Autorização e Controle de
acesso, etc
5- O que são o ciframento e o deciframento?
O processo de disfarçar a mensagem chama-se cifragem e transforma
o texto simples num criptograma. O processo de recuperar o texto
simples original a partir do criptograma denomina-se decifragem.
6- Pesquise duas técnicas de criptografia clássica além das que foram vistas em
aula.
XOR, substituição, transposição, etc
7- Como funciona a criptografia simétrica? Quais são os Modos de operação
quanto a manipulação de bits?
Utiliza a mesma chave para cifrar e decifrar. Cifragem em bloco (block
cipher): Trabalham sobre blocos (conjuntos de bits); Cifragem em fluxo
(stream cipher): Trabalham bit-a-bit.
8- Quais os outros nomes para a criptografia simétrica?
 Convencional, de chave única, de chave secreta
9- Cite dois exemplos de cifradores simétricos.
DES, 3DES, BLOWFISH, SERPENT, etc
10- Pesquise o princípio de funcionamento dos algoritmos citados no exercício 7 e
escreva o que achou mais interessante em cada um deles.
O funcionamento básico do DES consiste na criptografia de blocos de
64 bits de entrada com uma chave de 56 bits, gerando blocos de 64
bits como saída. Para obter o texto original de novo, reverte-se o
processo usando a mesma chave. Devido ao pequeno tamanho desta,
esse algoritmo já não é considerado seguro, ele poderia ser quebrado
com certa facilidade pela força bruta.
O Serpent é um algoritmo do tipo block cipher que utiliza bloco de 128
bits dividido em 4 palavras de 32 bits cada e trabalha com chaves de
128, 192 ou 256 bits, desenvolvido por Ross Anderson, Eli Biham e Lars
Knudsen. Este algoritmo foi um dos cinco finalistas da competição
promovida pelo NIST para a definição do padrão AES, ficando em
segundo lugar, depois do Rijndael.
11- Como funciona a criptografia assimétrica?
Baseia-se num par de chaves: pública, serve para cifrar; privada, serve
para decifrar.
12- Qual(is) o(s) outro(s) nome(s) para a criptografia assimétrica?
Criptografia de chave pública.
13- Cite dois exemplos de cifradores assimétricos.
RSA, El Gamal
14- Pesquise o princípio de funcionamento dos algoritmos citados no exercício 11 e
escreva o que achou mais interessante em cada um deles.
RSA: O princípio do algoritmo é construir chaves públicas e privadas
utilizando números primos. O princípio do algoritmo é construir chaves
públicas e privadas utilizando números primos. Um dos algoritmos
mais seguros de encriptação de informações atuais originou-se dos
estudos de Ronald Rivest, Adi Shamir e Leonard Adleman, um trio de
Matemáticos brilhantes que mudaram a história da Criptografia.
El Gamal: foi imaginado pela dificuldade em se calcular Logaritmos
Discretos. Permite confirmar a autenticidade de uma mensagem
enviada, mesmo que tenha sido enviada em um canal não seguro.
15- Como a assinatura digital impede a atuação de interceptadores de mensagens?
Permitindo que: O receptor tenha certeza da identidade do emissor; o
emissor não possa negar que enviou a mensagem nem contestar seu
conteúdo; o receptor não possa adulterar o conteúdo da mensagem
recebida.
16- A assinatura digital é codificada com que tipo de chave?
 A chave privada de um usuário
17- Como é feita a verificação da assinatura digital?
Executa-se a função MD, obtendo-se um hash para aquele documento,
e posteriormente, decifra-se a assinatura digital com a chave pública
do remetente. A assinatura digital decifrada deve produzir o mesmo
hash gerado pela função MD executada anteriormente. Se estes
valores são iguais é determinado que o documento não foi modificado
após a assinatura do mesmo, caso contrário o documento ou a
assinatura, ou ambos foram alterados.
18- O que é o hashing?
Produz uma assinatura a partir de uma entrada
19- Cite duas funções de hashing bastante utilizadas.
MD5, SHA-1, SHA-2
20- O que é e para que serve o certificado digital?
É um arquivo digital que contém as informações necessárias à
identificação de um indivíduo ou programa, equipamento,
componente, produto, etc, incluindo sua chave pública. Ele vincula
uma chave pública ao nome de um protagonista.
21- O que é e qual o papel da Autoridade Certificadora?
É uma entidade que emite certificados para possuidores de chaves
públicas e privadas (pessoa, dispositivo, servidor). Dentre as
atribuições estão gerar, entregar e armazenar a chave privada de
forma segura; distribuir a chave pública; etc
22- Quais os componentes básicos de um Certificado Digital?
A chave pública; Nome e endereço de e-mail; Data da validade da
chave pública; Nome da autoridade certificadora (CA); Número de
série do Certificado Digital; Assinatura Digital da Autoridade
Certificadora.
23- O que é a Autoridade de Registro?
Tem a delegação de uma AC para fazer uma investigação no
solicitante e determina se o pedido deve ser atendido e quais as
características que deve ter.
24- O que e Infra-estrutura de Chave Pública?
Determina onde os certificados digitais serão armazenados e
recuperados, de que forma estão armazenados, como um certificado é
revogado, etc.
25- Pesquise sobre a atuação de duas Autoridades Certificadoras e escreva o nome
das ACs pesquisadas.
Certisign, Caixa Economica Federal, Casa da moeda do Brasil, Valid,
etc.
 Segurança da Informação – Exercícios de fixação 3

1- O que é a Política de Segurança da Informação (PSI)?

R.: Conjunto de normas e diretrizes destinadas para proteção das informações
da organização.
2- Qual o objetivo principal da PSI?
R.: Prover uma orientação e o apoio da direção para a segurança da
informação, de acordo com os requisitos do negócio e com as leis e
regulamentações relevantes.
3- Para que a PSI seja dividida em temas, é necessário conhecer as necessidades
da organização. A partir de quais necessidades essa delimitação pode ser feita?
R.: Conhecimento do ambiente organizacional, humano e tecnológico;
Compilação das preocupações sobre segurança por parte dos usuários,
administradores e executivos da empresa.
4- Quais os tópicos nos quais os temas devem abranger?
R.: Vigência (Início e Fim); importância da Política de Segurança; quais
recursos são protegidos; quais aplicativos e softwares serão permitidos; qual
procedimento para se conceder ou revogar privilégios na rede; no caso de
violação da política, o que deve ser feito.
5- Cite exemplos de como a PSI pode ser divulgada dentro da organização.
R.: Avisos, reuniões, treinamentos, informativos.
6- Qual termo atribuído ao grupo de funcionários designados para a elaboração
da PSI da empresa, dentre outras atribuições?
R.: Comissão de segurança.
7- Que tipos de documentos são gerados a partir da PSI? Quais tipos de
acompanhamento sustentam esses documentos?
R.: Diretrizes, normas e procedimentos, sustentados pelo acompanhamento
realizado através da cultura da empresa, ferramentas e monitoramento.
8- O que é um SGSI? Qual seu objetivo?
R.: O Sistema de Gestão de Segurança da Informação preserva a
confidencialidade, integridade e disponibilidade da informação por meio da
aplicação de um processo de gestão de riscos e fornece confiança para as
partes interessadas de que os riscos são adequadamente gerenciados.
9- Qual a finalidade da norma ISO/IEC 27001?
R.: Oferecer um modelo para estabelecer, implementar, operar, monitorar,
analisar criticamente e melhorar um Sistema de Gestão de Segurança da
Informação (SGSI).
10- Qual é a relação existente entre a norma ISO/IEC 27001 e o Anexo SL da ISO?
 R.: Na versão 2013 da norma ISO/IEC 27001 houve o alinhamento com as
diretrizes do Anexo SL da ISO/IEC Directives, Part 1, Consolidated ISO
Supplement, que padroniza definições e estruturas de diferentes sistemas de
gestão ISO.
11- Qual palavra é citada frequentemente na norma que constitui a principal
característica marcante da norma ISO/IEC 27001? Por quê?
R.: Orientações do que DEVE ser feito. Os requisitos definidos nesta Norma
são genéricos e é pretendido que sejam aplicáveis a todas as organizações,
independentemente de tipo, tamanho e natureza. A exclusão de quaisquer
dos requisitos especificados nas seções de 4 a 8 na versão 2006, ou de 4 a 10
na versão 2013, não é aceitável quando uma organização reivindica
conformidade com esta Norma.
12- O que norma ISO/IEC 27002 estabelece?
R.: Diretrizes e princípios gerais para iniciar, implementar, manter e melhorar
a gestão da segurança da informação em uma organização.
13- Qual palavra é citada frequentemente na norma que constitui a principal
característica marcante da norma ISO/IEC 27002? Por quê?
R.: Orientações do que CONVÉM ser feito. Embora todos os controles sejam
importantes e devam ser considerados, a relevância de qualquer controle
deve ser determinada segundo os riscos específicos a que uma organização
está exposta. Nem todos os controles e diretrizes contidos na norma podem
ser aplicados, e controles adicionais e recomendações não incluídos podem
ser necessários.
14- Informe qual a quantidade de controles básicos recomendados pela norma
ISO/IEC 27002 na versão 2013.
R.: 114 controles básicos em 14 seções.