Revisão Segurança de Software

Prévia do material em texto

Kahoot
Revisão Segurança de Software 2B
Teste seus conhecimentos sobre pilares da SI, criptografia de chave pública, ransomware,
engenharia social e defesas como firewall e IDS. Explore cenários reais: sequestro de dados,
sniffing, spoofing… Mostrar mais
Perguntas (39)
1 - Quiz 2 - Quiz
3 - Quiz 4 - Quiz
5 - Quiz 6 - Quiz
O que permite acessar um sistema contornando seus
controles de segurança e autenticação padrão?
RRansomwareansomwareRansomware PPhishinghishingPhishing
BBackdoorackdoorBackdoor Cavalo de TroiaCavalo de TroiaCavalo de Troia
Se um invasor acessa dados restritos, criptografá-los e
está pedindo um valor em dinheiro para
descriptografar, ele:
Está usando Ataque de ForçaEstá usando Ataque de Força
BrutaBruta
Está usando Ataque de Força
Bruta Está usando Engenharia SocialEstá usando Engenharia SocialEstá usando Engenharia Social
Está usando BackdoorEstá usando BackdoorEstá usando Backdoor Está usando RansomwareEstá usando RansomwareEstá usando Ransomware
Qual tipo de criptografia utiliza um par de chaves
distintas (uma pública e uma privada)?
EEsteganografiasteganografiaEsteganografia Criptografia de HashCriptografia de HashCriptografia de Hash
AAssimétricassimétricaAssimétrica SSimétricaimétricaSimétrica
Para que José envie uma mensagem secreta apenas
para Maria, qual chave ele usa para cifrar?
A chave pública de JoséA chave pública de JoséA chave pública de José SSua própria chave privadaua própria chave privadaSua própria chave privada
A chave privada de MariaA chave privada de MariaA chave privada de Maria A chave pública de MariaA chave pública de MariaA chave pública de Maria
A mensagem foi cifrada com a chave pública de Maria.
O que ela usará para decifrar o texto?
A chave privada de JoséA chave privada de JoséA chave privada de José SSua própria chave privadaua própria chave privadaSua própria chave privada
SSua própria chave públicaua própria chave públicaSua própria chave pública UUma chave simétricama chave simétricaUma chave simétrica
O que é diretamente comprometido quando um
sistema corporativo apresenta constante instabilidade
e fica fora do ar?
AA autenticidade dos usuários. autenticidade dos usuários.A autenticidade dos usuários. AA integridade do banco de integridade do banco de
dados.dados.
A integridade do banco de
dados.
AA disponibilidade das disponibilidade das
informações.informações.
A disponibilidade das
informações. AA confidencialidade dos dados. confidencialidade dos dados.A confidencialidade dos dados.
7 - Quiz 8 - Quiz
9 - Quiz 10 - Quiz
11 - Quiz 12 - Quiz
13 - Quiz 14 - Quiz
Permitir que usuários imprimam ou copiem dados
sem controle ou identificação afeta qual pilar da
segurança?
CConfidencialidadeonfidencialidadeConfidencialidade IIntegridadentegridadeIntegridade
DDisponibilidadeisponibilidadeDisponibilidade LLegalidadeegalidadeLegalidade
Aplicar regras de negócio e critérios de validação na
entrada de dados ajuda a GARANTIR qual aspecto?
AA integridade das integridade das
informações.informações.
A integridade das
informações. OO acesso irrestrito. acesso irrestrito.O acesso irrestrito.
AA lentidão do sistema. lentidão do sistema.A lentidão do sistema. OO vazamento de dados. vazamento de dados.O vazamento de dados.
Qual é a principal ação realizada por um ataque de
ransomware em um sistema?
AApagar permanentemente ospagar permanentemente os
dados.dados.
Apagar permanentemente os
dados.
Utilizar a CPU para minerarUtilizar a CPU para minerar
criptomoedas.criptomoedas.
Utilizar a CPU para minerar
criptomoedas.
Monitorar as senhas digitadasMonitorar as senhas digitadas
(Keylogger).(Keylogger).
Monitorar as senhas digitadas
(Keylogger).
CCriptografar dados e exigirriptografar dados e exigir
um resgate financeiro.um resgate financeiro.
Criptografar dados e exigir
um resgate financeiro.
Qual o foco do treinamento de usuários na prevenção
contra o ransomware?
SSubstituir a necessidade deubstituir a necessidade de
usar antivírus.usar antivírus.
Substituir a necessidade de
usar antivírus.
EEvitar que cliquem em linksvitar que cliquem em links
de phishing e e-mails falsos.de phishing e e-mails falsos.
Evitar que cliquem em links
de phishing e e-mails falsos.
IImpedir que hackers realizemmpedir que hackers realizem
ataques de força bruta.ataques de força bruta.
Impedir que hackers realizem
ataques de força bruta.
EEnsinar a fazer engenhariansinar a fazer engenharia
reversa no malware.reversa no malware.
Ensinar a fazer engenharia
reversa no malware.
Qual medida garante a recuperação dos dados após
um sequestro por ransomware?
TTer e testar uma política deer e testar uma política de
backup (cópias debackup (cópias de
segurança).segurança).
Ter e testar uma política de
backup (cópias de
segurança).
CContratar um novo provedor deontratar um novo provedor de
internet.internet.
Contratar um novo provedor de
internet.
IInstalar um firewall após onstalar um firewall após o
ataque.ataque.
Instalar um firewall após o
ataque.
PPagar o resgate exigidoagar o resgate exigido
imediatamente.imediatamente.
Pagar o resgate exigido
imediatamente.
Qual técnica fundamental garante a proteção e o
sigilo dos dados em um sistema?
UUso exclusivo de redesso exclusivo de redes
públicas.públicas.
Uso exclusivo de redes
públicas.
DDesativação de logs deesativação de logs de
auditoria.auditoria.
Desativação de logs de
auditoria.
UUso de senhas e criptografiaso de senhas e criptografia
forte.forte.
Uso de senhas e criptografia
forte.
UUso de senhas fracasso de senhas fracas
compartilhadas.compartilhadas.
Uso de senhas fracas
compartilhadas.
Para garantir a recuperação de um sistema após uma
falha grave, o que é essencial?
UUsar criptografia de ponta asar criptografia de ponta a
ponta.ponta.
Usar criptografia de ponta a
ponta.
TTrocar as senhas da equiperocar as senhas da equipe
mensalmente.mensalmente.
Trocar as senhas da equipe
mensalmente.
PPlano de recuperação elano de recuperação e
backups frequentes.backups frequentes.
Plano de recuperação e
backups frequentes.
AApenas instalar um antivíruspenas instalar um antivírus
atualizado.atualizado.
Apenas instalar um antivírus
atualizado.
Qual dupla de ferramentas protege a rede e alerta
sobre tentativas de invasão?
Phishing e Engenharia Social.Phishing e Engenharia Social.Phishing e Engenharia Social. Ransomware e Cavalos deRansomware e Cavalos de
Troia.Troia.
Ransomware e Cavalos de
Troia.
CCriptografia simétrica eriptografia simétrica e
assimétrica.assimétrica.
Criptografia simétrica e
assimétrica.
Firewalls e detecção deFirewalls e detecção de
intrusão (IDS).intrusão (IDS).
Firewalls e detecção de
intrusão (IDS).
15 - Quiz 16 - Quiz
17 - Quiz 18 - Quiz
19 - Quiz 20 - Quiz
21 - Quiz 22 - Quiz
Capturar dados confidenciais na rede sem que o
remetente saiba é um ataque de...?
FFabricaçãoabricaçãoFabricação IInterceptaçãonterceptaçãoInterceptação
MModificaçãoodificaçãoModificação IInterrupçãonterrupçãoInterrupção
Alterar o valor de uma transferência bancária antes
que ela chegue ao banco é um ataque de...?
FFabricaçãoabricaçãoFabricação IInterrupçãonterrupçãoInterrupção
MModificaçãoodificaçãoModificação IInterceptaçãonterceptaçãoInterceptação
Inserir dados falsos ou se passar por outro usuário
autorizado no sistema caracteriza qual ataque?
FFabricaçãoabricaçãoFabricação MModificaçãoodificaçãoModificação
IInterceptaçãonterceptaçãoInterceptação IInterrupçãonterrupçãoInterrupção
Qual tipo de ataque explora a vulnerabilidade humana,
considerada o "elo mais fraco" da SI?
Interceptação (Sniffing)Interceptação (Sniffing)Interceptação (Sniffing) Negação de Serviço (DoS)Negação de Serviço (DoS)Negação de Serviço (DoS)
Força BrutaForça BrutaForça Bruta Engenharia SocialEngenharia SocialEngenharia Social
Diferente dos ataques que buscam falhas no software,
qual método insiste até conseguir acesso?
Ataque de Força BrutaAtaque de Força BrutaAtaque de Força Bruta Engenharia SocialEngenharia SocialEngenharia Social
Injeção de SQLInjeção de SQLInjeção de SQL Sniffingde RedeSniffing de RedeSniffing de Rede
Se um invasor descobre a senha e lê todos os dados
privados do usuário, qual pilar foi violado?
CConfidencialidadeonfidencialidadeConfidencialidade IIrretratabilidaderretratabilidadeIrretratabilidade
DDisponibilidadeisponibilidadeDisponibilidade IIntegridadentegridadeIntegridade
Ter uma senha muito fraca deixa o usuário altamente
suscetível a qual tipo de ataque?
Engenharia SocialEngenharia SocialEngenharia Social Força BrutaForça BrutaForça Bruta
Negação de Serviço (DDoS)Negação de Serviço (DDoS)Negação de Serviço (DDoS) Interceptação (Sniffing)Interceptação (Sniffing)Interceptação (Sniffing)
Para evitar senhas fracas, uma Política de Senhas atua
diretamente sobre qual categoria?
NNos usuários (seresos usuários (seres
humanos)humanos)
Nos usuários (seres
humanos) NNo hardware dos servidoreso hardware dos servidoresNo hardware dos servidores
NNa infraestrutura de redea infraestrutura de redeNa infraestrutura de rede NNos softwares e firewallsos softwares e firewallsNos softwares e firewalls
23 - Quiz 24 - Quiz
25 - Quiz 26 - Quiz
27 - Quiz 28 - Quiz
29 - Quiz 30 - Quiz
O que garante que apenas remetente e destinatário
consigam "entender" a mensagem na rede?
DDisponibilidadeisponibilidadeDisponibilidade CConfidencialidadeonfidencialidadeConfidencialidade
IIntegridadentegridadeIntegridade AAutenticaçãoutenticaçãoAutenticação
A garantia de que uma mensagem não foi alterada,
por acidente ou má intenção, refere-se à:
Disponibilidade de AcessoDisponibilidade de AcessoDisponibilidade de Acesso AAutenticidadeutenticidadeAutenticidade
Integridade da MensagemIntegridade da MensagemIntegridade da Mensagem CConfidencialidadeonfidencialidadeConfidencialidade
Qual dispositivo de segurança bloqueia acessos
indesejados usando diversas regras de rede?
Switch de DistribuiçãoSwitch de DistribuiçãoSwitch de Distribuição FFirewallirewallFirewall
Software AntivírusSoftware AntivírusSoftware Antivírus Criptografia AssimétricaCriptografia AssimétricaCriptografia Assimétrica
Para evitar ataques de adivinhação de senhas (força
bruta), o que o sistema deve fazer?
LLimitar tentativas e aplicarimitar tentativas e aplicar
tempo de bloqueio.tempo de bloqueio.
Limitar tentativas e aplicar
tempo de bloqueio.
VValidar apenas a senha, sem oalidar apenas a senha, sem o
usuário.usuário.
Validar apenas a senha, sem o
usuário.
MMostrar dicas da senha após 3ostrar dicas da senha após 3
erros.erros.
Mostrar dicas da senha após 3
erros. PPermitir tentativas ilimitadas.ermitir tentativas ilimitadas.Permitir tentativas ilimitadas.
Na tela de login, por que a validação deve ocorrer
APENAS após inserir todos os dados?
PPara facilitar a recuperação deara facilitar a recuperação de
contas.contas.
Para facilitar a recuperação de
contas.
PPara economizarara economizar
processamento do servidor.processamento do servidor.
Para economizar
processamento do servidor.
PPara o usuário não esquecer aara o usuário não esquecer a
senha tão rápido.senha tão rápido.
Para o usuário não esquecer a
senha tão rápido.
PPara evitar que descubramara evitar que descubram
quais usuários existem.quais usuários existem.
Para evitar que descubram
quais usuários existem.
Por que um sistema seguro oculta seus detalhes
(versão, manuais) antes do login?
PPara deixar a interface maisara deixar a interface mais
minimalista.minimalista.
Para deixar a interface mais
minimalista.
PPara cumprir a lei de direitosara cumprir a lei de direitos
autorais.autorais.
Para cumprir a lei de direitos
autorais.
PPara evitar vazar dados úteisara evitar vazar dados úteis
a um invasor.a um invasor.
Para evitar vazar dados úteis
a um invasor.
PPara reduzir o consumo deara reduzir o consumo de
banda de internet.banda de internet.
Para reduzir o consumo de
banda de internet.
Na gestão de riscos, como chamamos uma fraqueza
ou deficiência que pode ser explorada no sistema?
Incidente de SegurançaIncidente de SegurançaIncidente de Segurança VVulnerabilidadeulnerabilidadeVulnerabilidade
Recurso LógicoRecurso LógicoRecurso Lógico AAmeaçameaçaAmeaça
Qual o nome do evento ou ação que tem o potencial
de causar danos aos componentes de um sistema?
AAmeaçameaçaAmeaça Risco AceitávelRisco AceitávelRisco Aceitável
Recurso FísicoRecurso FísicoRecurso Físico VVulnerabilidadeulnerabilidadeVulnerabilidade
31 - Quiz 32 - Quiz
33 - Quiz 34 - Quiz
35 - Quiz 36 - Quiz
37 - Quiz 38 - Quiz
Na segurança, como é chamado um componente do
sistema, seja ele físico (hardware) ou lógico (dado)?
Recurso / AtivoRecurso / AtivoRecurso / Ativo Risco ResidualRisco ResidualRisco Residual
Vulnerabilidade InternaVulnerabilidade InternaVulnerabilidade Interna Ameaça ExternaAmeaça ExternaAmeaça Externa
Enquanto a Disponibilidade foca no acesso ao sistema,
a Integridade foca em garantir o quê?
QQue os dados não soframue os dados não sofram
alterações indevidas.alterações indevidas.
Que os dados não sofram
alterações indevidas.
QQue o autor não negue o envioue o autor não negue o envio
da mensagem.da mensagem.
Que o autor não negue o envio
da mensagem.
QQue a conexão de rede sejaue a conexão de rede seja
sempre rápida.sempre rápida.
Que a conexão de rede seja
sempre rápida.
QQue apenas usuáriosue apenas usuários
autorizados leiam o dado.autorizados leiam o dado.
Que apenas usuários
autorizados leiam o dado.
Qual grande problema da criptografia simétrica a
Infraestrutura de Chave Pública resolve?
LLentidão no processamento.entidão no processamento.Lentidão no processamento. OO limite de tamanho das limite de tamanho das
mensagens enviadas.mensagens enviadas.
O limite de tamanho das
mensagens enviadas.
AA necessidade de usar firewalls necessidade de usar firewalls
de borda.de borda.
A necessidade de usar firewalls
de borda.
OO problema da distribuição problema da distribuição
segura de chaves.segura de chaves.
O problema da distribuição
segura de chaves.
Uma vantagem exclusiva do uso de chaves
assimétricas na ICP é a garantia de:
RRedundância de hardware emedundância de hardware em
servidores.servidores.
Redundância de hardware em
servidores.
Irretratabilidade viaIrretratabilidade via
Assinatura Digital.Assinatura Digital.
Irretratabilidade via
Assinatura Digital.
Negação de Serviço (DDoS).Negação de Serviço (DDoS).Negação de Serviço (DDoS). AAlta velocidade de criptografia.lta velocidade de criptografia.Alta velocidade de criptografia.
Quais são os três pilares tradicionais originais que
formam a base da Segurança da Informação?
Disponibilidade, AutenticaçãoDisponibilidade, Autenticação
e Autorizaçãoe Autorização
Disponibilidade, Autenticação
e Autorização
Privacidade, Criptografia ePrivacidade, Criptografia e
FirewallFirewall
Privacidade, Criptografia e
Firewall
Autenticidade, IrretratabilidadeAutenticidade, Irretratabilidade
e Auditoriae Auditoria
Autenticidade, Irretratabilidade
e Auditoria
Confidencialidade,Confidencialidade,
Integridade eIntegridade e
DisponibilidadeDisponibilidade
Confidencialidade,
Integridade e
Disponibilidade
Qual pilar moderno garante que o autor não possa
negar ter enviado uma mensagem ou feito uma ação?
Irretratabilidade (NãoIrretratabilidade (Não
Repúdio)Repúdio)
Irretratabilidade (Não
Repúdio) DDisponibilidadeisponibilidadeDisponibilidade
Integridade de DadosIntegridade de DadosIntegridade de Dados CConfidencialidadeonfidencialidadeConfidencialidade
Qual pilar moderno atesta QUEM acessa, enquanto o
pilar tradicional garante o sistema SEMPRE no ar?
Auditoria e Controle de AcessoAuditoria e Controle de AcessoAuditoria e Controle de Acesso Privacidade ePrivacidade e
ConfidencialidadeConfidencialidade
Privacidade e
Confidencialidade
Autenticidade eAutenticidade e
DisponibilidadeDisponibilidade
Autenticidade e
Disponibilidade Irretratabilidade e IntegridadeIrretratabilidade e IntegridadeIrretratabilidade e Integridade
Diferente da criptografia tradicional, qual é o principal
objetivo da esteganografia?
AAcelerar o envio dos pacotescelerar o envio dos pacotes
na rede.na rede.
Aceleraro envio dos pacotes
na rede.
OOcultar a própria existênciacultar a própria existência
da mensagem.da mensagem.
Ocultar a própria existência
da mensagem.
CCompactar o tamanho doompactar o tamanho do
arquivo final.arquivo final.
Compactar o tamanho do
arquivo final. EEmbaralhar o texto para leitura.mbaralhar o texto para leitura.Embaralhar o texto para leitura.
39 - Quiz
Detalhes
Máx. 40 participantes. Faça upgrade para ter mais
Atualizado: há 10 horas • Visibilidade: Privado
Créditos de mídia
Imagem da capa: sarayut Thaneerat/Moment/Getty Images
Além da comunicação secreta, qual é uma aplicação
prática comum da esteganografia?
MMarcas d'água invisíveis emarcas d'água invisíveis em
imagens.imagens.
Marcas d'água invisíveis em
imagens.
CCriação de senhasriação de senhas
inquebráveis.inquebráveis.
Criação de senhas
inquebráveis.
BBalanceamento de carga emalanceamento de carga em
servidores.servidores.
Balanceamento de carga em
servidores.
Bloqueio automático deBloqueio automático de
ataques DDoS.ataques DDoS.
Bloqueio automático de
ataques DDoS.