2ariz024 12:65 ‘Avidade Objetiva 3: Defesa Cberética Atividade Objetiva 3 [reseotst never | Pontuagao desta tentativa: 0,8 de 1 Pergunta 1 0,2/0,2 pts Leia 0 texto abaixo: A Lei Geral de Protegao de Dados Pessoais, Lei n® 13.709/2018, 6 a legislacao brasileira que regula as atividades de tratamento de dados pessoais e que também altera os artigos 7° e 16° do Marco Civil da Internet. [...] Sabemos que a informagao possui um valor inestimavel nos dias atuais e as empresas ja se conscientizaram que proteger seu ambiente 6 crucial para a continuidade de negécio e um possivel vazamento poder ser devastador para qualquer organizacao que lida com dados sensiveis, seja de seus colaboradores e/ou seus clientes e fornecedores. Um pentest (ou teste de intrusao/invasao) seré o divisor de Aguas para entender se as solugdes de seguranga aplicadas sua instituigao sao realmente eficientes em caso de um incidente e, além disso, como sua equipe de T! ira responder a esse possivel incidente. (Fonte: Por que o pentest é necessdrio em tempos de LGPD? Por Alan Igpdi) Acesso em: 25 abr. 2021.)(adaptado) Considerando os testes de intrusdo ou testes de penetragao ou Pentesting, avalie as afirmagées abaixo: Testes de intrusao podem ser feitos sem qualquer planejamento, pois somente ird verificar falhas em um ambiente de rede, ou sistema, ou em uma aplicagao, hitps:/famontine instucture,com/courses/15960/quizzes/67659 m2ariz024 12:65 Aividade Objoiva 2: Defesa Cberntica I Pentesting & uma técnica que verifica e reconhece, por um conjunto de testes em um ambiente de rede, ou sistema, ou em uma aplicagao, as possiveis vulnerabilidades baseadas na conexdo da rede interna ou externa, permitindo acesso nao autorizado a informagées, dados e dispositivos na rede. Ill Os testes de penetragao sao clasificados em trés tipos: Black-box, White-box e Gray-box e podem ser executados em aplicagées, aplicativos, na rede e no hardware. IV Nos testes de penetragao, a fase de "Reconhecimento" é uma investigago minuciosa nas vulnerabilidades detectadas, buscando por dados sigilosos que foram roubados, alterados ou corrompidos, e se podem trazer dano a empresa. E correto o que se afirma em: Weill hitps:/famontine instucture,com/courses/15960/quizzes/67659 am2ariz024 12:65 ‘Avidade Objetiva 3: Defesa Cberética Aalternativa esta correta, pois apenas as afirmagées I ¢ Ill s40 verdadeiras. A afirmagao II 6 verdadeira, pois Pentesting 6 a técnica que verifica e reconhece, através de um conjunto de testes na rede, sistema, ou em uma aplicagdo, as possiveis vulnerabilidades baseadas na conexo da rede interna ou extema, permitindo acesso nao autorizado a informagées, dados e dispositivos na rede, A afirmagao Ill 6 verdadeira, pois os testes de penetragao so clasificados em trés tipos: Black-box, White-box e Gray-box podem ser executados em aplicagées, aplicativos, na rede e no hardware. A afirmagao | € falsa, pois os testes de intrusdo devem ser realizados de maneira planejada, além de serem feitos em etapas. A afirmagao IV é falsa, visto que "reconhecimento” é a anlise diagnéstica dos ativos alvos, detectando os possiveis pontos fracos, as vulnerabilidades e indicando as descobertas das ameagas de rede, do servidor ou dos servigos, Pergunta 2 0,2/0,2 pts Leia o texto e observe a figura abaixo: No processo de Criptografia, uma cifra é definida sobre um par de algoritmos de encriptagao e um algoritmo de deseneriptagao (sendo composto por dois processos), conforme mostrado na figura abaixo. Bia hitps:/famantine instucture com/courses/15960/quizzes/67659 am2ariz024 12:65 ‘Avidade Objetiva 3: Defesa Cberética QR Chave A | S Texto simples — Criptografa | Leo ChaveA | ~ Texto simples +——— Descriptografa — (Fonte: Disponivel em: httpi/www,.macoratti net/Cursos/Cripto/net_criptod.htm (http://www. macorattisnet/Cursos/Cripto/net_cripto4,ntm). Acesso em: 25 abr. 2021.)(adaptado.) No processo mostrado na figura acima, tem-se: + Bia cria uma mensagem; + Amensagem de Bia é encriptada com uma chave A; * Bia envia a mensagem encriptada para Leo; + Leo usa a chave A para decriptar a mensagem; + Leo Ié a mensagem decriptada Considerando a figura sobre criptografia e seus tipos, avalie as afirmagdes abaixo: 1Uma chave piblica é utilizada pelo destinatario, aplicando algoritmos para criptografar onde acontece a autenticidade do autor e do remetente. Il Na imagem, é usado 0 tipo de Criptografia de Chave Simétrica, pois hitps:/famontine instucture,com/courses/15960/quizzes/67659 amausva0nt 12:58 [Aividade Objelva 3: Dafesa Cerna utiliza um tipo de chave simples, onde a mesma chave é usada para a codificagao e decodificagao. Ill E usado 0 tipo de Chave Assimétrica, pois ¢ para a codificagao e decodificagao so utilizadas duas chaves sendo uma privada e outra publica. E correto o que se afirma em Il, apenas. A alternativa esta correta, pois apenas a afirmagao Il é verdadeira. A afirmagao II é verdadeira, pois na figura é usado 0 tipo de Criptografia de Chave Simétrica, que é um tipo de chave simples que 6 utilizada para a codificagao e decodificagao. A afirmagao | ¢ falsa, pois uma chave publica utilizada pelo destinatario, aplicando algoritmos para criptografar onde acontece ‘a autenticidade do autor e do remetente acontece em tipos de Chave Assimétrica e essa nao é a siluagao ilustrada na figura. A afirmagao III é falsa, pois 0 tipo de Chave Assimétrica é usado para a codificagao e decodificagao de duas chaves, sendo uma privada e outra publica e, na situagao ilustrada na figura, utiliza-se uma Unica chave para a codificagao e decodificagao, Pergunta 3 91 0,2 pts Leia 0 texto abaixo: hitps:/famontine instucture,com/courses/15960/quizzes/67659 sm2ariz024 12:65 ‘Avidade Objetiva 3: Defesa Cberética Teste de intrusdo utiliza ferramentas automatizadas e processos manuais para explorar o sistema em busca de vulnerabilidades, simulando um ataque real. Assim, o profissional que realiza a simulagdo adota o papel de um hacker que tenta descobrir formas de invadir a rede. Esse profissional informara os pontos falhos existentes que podem comprometer a seguranga dos dados corporativos para que a organizagao possa agir preventivamente para deixar seus sistemas mais seguros. Em geral, ha trés tipos de testes de intrusdo. Sao eles: - Blackbox: nessa opgdo, quem esté executando o teste nao tem nenhuma informagdo sobre a estrutura tecnolégica e sistemica da empresa a ser invadida. Essa op¢do é a mais utilizada, pois é a que melhor simula um ataque real, visto que um hacker real tentara realizar sua invasdo sem nenhum conhecimento prévio. - Whitebox: nesse tipo de teste, o profissional possuird todas as informagées sobre o sistema e infraestrutura tecnologia da organizagao. Ele é realizado para que seja possivel realizar uma andlise ampla e precisa. - Graybox: 0 terceiro tipo de teste de intrusao 6 executado com algumas informagdes sobre os sistemas corporativos para que 0 profissional consiga explorar de forma mais direcionada alguns pontos especificos da seguranga.” O teste de intrusao funciona como uma ferramenta proativa para que as organizagées possam lidar com o universo do cibercrime antes mesmo que uma ameaca consiga invadir seus sistemas. Portanto, contar com esse tipo de pratica pode ser um grande diferencial estratégico para as empresas se tornarem mais confidveis diante do mercado, (Fonte: Disponivel em: _https://blogbrasil.westcon,com/o-que-um- teste-de-intrusao-e-qual-a-importancia-para-as-empresase/ Jlwww.auzac.com.brit. wasao/relatorios-gerenciais-e ‘Acesso em: 25 abr. 2021.)(adaptado) Considerando as afirmagées apresentadas sobre os tipos de testes de intrusdo, assinale a opgao correta: hitps:/famontine instucture,com/courses/15960/quizzes/67659 em2ariz024 12:65 ‘Avidade Objetiva 3: Defesa Cberética Teste Backbox é subdividido em dois tipos: Blind que é 0 teste que 0 especialista nao tem conhecimento da infraestrutura a ser testada, € 0 alvo, também nao sabe 0 que sera testado e o Double Blind que é teste que o especialista no tem conhecimento da rede a ser testada, mas 0 alvo tem conhecimento do que sera testado. Aalternativa esta incorrela, pois 0 Teste Blackbox é subdividido ‘em dois tipos: Blind que é teste que 0 especialista nao tem ‘conhecimento da rede a ser testada, mas 0 alvo tem, ‘conhecimento do que seré testado. ¢ 0 Double Blind que é 0 teste que o especialista nao tem conhecimento da infraestrutura a ser testada, e 0 alvo, também nao sabe o que serd testado. E correto afirmar que os o teste Whitebox é sub tipos: 0 Tadem que é um teste que 0 especialista e 0 alvo possuem conhecimento total dos testes que serdo executados @ 0 Reversal que é um teste onde o especialista tem conhecimento total da rede a ser testada. idido em dois No Teste Graybox o especialista obtém as informagdes completas, pois a andlise inicia com todas as informagées detalhadas para efetuar o ataque em si. O Teste Black box é mais especifico e detalhado que o Whitebox devido ao especialista ter acesso a toda e qualquer informagao da rede € as informagées obtidas em te: testes Whitebox 's Blackbox podem ser adquiridas em Teste Whitebox é subdividido em dois tipos: Tandem, que 6 um teste que 0 especialista e 0 alvo possuem conhecimento total dos testes que serdo executados e 0 Reversal que colabora para que o especialista tenha conheciment total da rede a ser testada. © Teste Whitebbox é indicado em situagdes em que a empresa quer ter © conhecimento exato de como um atacante percebe ou compreende algumas partes da infraestrutura organizacional hitps:femontine instucture.comicaurses/15960/quizzesi57659 mm2ariz024 12:55 ‘Avidade Objetiva 3: Defesa Cberética Pergunta 4 0,2/0,2 pts Leia 0 texto abaixo: “O objetivo do PenTest é provar que ao realizar testes que simulam ataques reais utilizando as mesmas técnicas e ferramentas que seriam utilizadas por crackers é possivel prevenir-se de alguns ataques, assim aumentando a seguranga de um sistema. E com a utilizagao de uma metodologia adequada para o teste que podem e devem ser aplicadas para chegar em resultados mais conclusivos e, também, algumas ferramentas para automatizar esses ataques é possivel facilitar esses resultados, assim podendo avaliar melhor o grau de vulnerabilidade do sistema computacional de uma organizagao. Onde as principais metodologias existentes no mercado mundial, séo: OSSTMM - Open Source Security Testing Methodology Manual; ISSAF - Information Systems Security Assessment Framework; OWASP - Open Web Application Security Project; WASC- TC - Web Application Security Consortium Threat Classification” (Fonte: PenTest o que 6? Por Bruno Branco. Blog MBM solution, 13/02/2020. Disponivel em: https://blog,mbmsolutions,com,br/pentest-o-que-e/ (https://blog,mbmsolutions.com,br/pentest-o-que-el) Acesso em: 25 abr. 2021.)(adaptado) Analisando as metodologias usadas na realizagao dos testes de penetragao, avalie as seguintes assergées ¢ a relacdo proposta entre elas. | Existem varios tipos de metodologias que podem ser aplicadas em um teste de penetracdo, considerando o cendrio e o escopo do projeto gerando testes corretos. PORQUE IA Metodologia OWASP deve ser usada em redes sem fio ea Metodologia OSSTMM em servidores web. hitps:/famontine instucture,com/courses/15960/quizzes/67659 an2ariz024 12:55 ‘Avidade Objetiva 3: Defesa Cberética A respeito dessas assergoes, assinale a op¢ao correta: As assergées |e | sigdes verdadeiras, e a Il é uma justificativa da | As assergGes |e Il so proposigbes verdadeiras, mas a Il nao é uma justificativa da | A assergao | é uma proposicao verdadeira, e a Il é uma proposigao fatsa A alternativa esta correta, pois a assergao | é uma proposicéo verdadeira, ¢ a assercao Il é uma proposicao falsa. A assergao | é verdadeira, pois existem varios tipos de metodologias que podem ser aplicadas em um teste de penetragdo. A necessidade de ter varias metodologias para o teste de penetragao ocorre, justamente, pelas particularidades de cada cenario © escopo de projeto que devem ser considerados ao definir os testes corretos. A assergao II é falsa, pois a metodologia OWASP é indicada para testes em servidores e aplicagdes web, enquanto, a metodologia OSSTMM é focada em mensurar a seguranga digital atendendo 098 objetivos do negécio, incluindo a seguranga fisica, légica ¢ humana. sigdo falsa, e all é uma As assergdes e ll sdo p Pergunta 5 0,2/0,2 pts hitps:/famontine instucture,com/courses/15960/quizzes/67659 om2ariz024 12:65 ‘Avidade Objetiva 3: Defesa Cberética Leia 0 texto abaixo’ “O grande hackeamento. Assim alguns analistas qualificam o mais recente e audacioso ataque cibernético macigo que os Estados Unidos vinham sofrendo desde o primeiro semestre. Os hackers penetraram nas entranhas dos setores mais protegidos do Governo dos EUA, como o Departamento do Tesouro. Altos funcionarios da inteligéncia ¢ especialistas em seguranga e pericia forense computacional apontam a Russia e suas principais unidades de espionagem cibernética como responsaveis pela espetacular violagao dos sistemas. Velhos e incémodos conhecidos. Além do mais, tudo foi descoberto trés meses depois de o presidente russo, Vladimir Putin, propor a Washington uma trégua para evitar incidentes no ciberespaco” (Fonte: Anatomia do grande ataque cibernético que comprometeu 0 eixo da Administragdo dos EUA por Pablo Guimén e Maria R. Sahuquillo, El Pais, 29/012/2020, Disponivel em: https://brasil.elpais.com/internacional/2020-12-29/anatomia-do- grande-ataque-cibernetico-que-comprometeu-o-eixo-da- administracao-dos-eua.html (https://brasil,e|pais.com/internacional/2020-12-2: ataque-cibernetico-que-comprometeu-0-eixo-da-admini gua,html), Acesso em: 24 abr, 2021. Assinale a alternativa que melhor define ataque cibernético: ie em um Bach do € Ihe permite um controle remoto. Consi que permite ao invasor 0 acesso door, um trojan ao sistema inf So tentativas de acesso nao autorizado, de roubo, alteragao, exposicdo € destruigao aos dados dos usuarios e, também, uma interrupgao dos sistemas e dispositivos das empresas. hitps:/famontine instucture,com/courses/15960/quizzes/67659 ron2ariz024 12:65 ‘Avidade Objetiva 3: Defesa Cberética A altemnativa correta. Ataques cibernéticos so tentativas de acesso ndo autorizado, de roubo, alteragao, exposi¢ao & destruigao aos dados dos usuarios e, também, uma interrupgdo dos sistemas e dispositivos das empresas. Consiste em uma escuta clandestina com 0 objetivo de armazenar 0 contetido de cada pacote trafegado, realizando a violagao da confidencialidade, Invasao de uma rede de computadores de uma organizagao nao governamental. E a ndo realizaco da protegao de um conjunto de processos e metodologias, com 0 objetivo de preservar o valor da informagao para um individuo ou uma organizagao. Pontuaco do teste: 0,8 de 1 hitps:femontine instucture.comicaurses/15960/quizzesi57659 nm