3135542 Ano: 2023
Disciplina: TI - Segurança da Informação
Banca: FCC
Orgão: TJ-BA

Provas:

Analista Judiciário - TI
Provas ×

GestãoGestão de RiscosISO 27005: Gestão de Riscos de Segurança da Informação

O Processo de Gestão dos Riscos é um processo contínuo e iterativo constituído de fases e atividades, possibilitando a segurança efetiva em sistemas de Tecnologia da Informação e Comunicação no que tange ao processamento, ao armazenamento e à transmissão de informações. Nesse contexto, a rase que envolve a decisão entre reter, evitar, transferir ou reduzir os riscos é

Provas

Questão presente nas seguintes provas

3135541 Ano: 2023
Disciplina: TI - Segurança da Informação
Banca: FCC
Orgão: TJ-BA

Provas:

Analista Judiciário - TI
Provas ×

CriptografiaCriptografia Assimétrica
CriptografiaCriptografia Simétrica

Os dois métodos de criptografia mais comuns possuem vantagens e desvantagens no que diz respeito a suas aplicações. Sobre esse tema e os algoritmos de criptografia AES e RSA,

A

o processo de encriptação RSA é mais lento do que criptografia AES.

B

o AES utiliza criptografia assimétrica e RSA, simétrica.

C

o RSA utiliza apenas uma chave pública, enquanto o AES utiliza uma pública e outra privada.

D

o processo de criação de chaves AES ocorre a partir da escolha de dois números primos, quanto maior o número primo menor será o desempenho.

E

os algoritmos de criptografia AES e RSA são exemplos de criptografia assimétrica.

Provas

Questão presente nas seguintes provas

3135528 Ano: 2023
Disciplina: TI - Segurança da Informação
Banca: FCC
Orgão: TJ-BA

Provas:

Analista Judiciário - TI
Provas ×

Ataques e Golpes e AmeaçasAtaques à Camada de AplicaçãoSQL Injection
Ataques e Golpes e AmeaçasAtaques à Camada de AplicaçãoXSS: Cross-Site-Scripting
AAA: Autenticação, Autorização e AuditoriaFalhas de Autenticação e Gerenciamento de Sessão
Frameworks e NormasOWASP

Uma equipe de Analistas do Tribunal de Justiça reuniu-se com o objetivo de estabelecer as prioridades para as ações de segurança da informação com base nos três primeiros Top 10 da OWASP (202112022). As prioridades que definiram foram atuar na mitigação de ataques do tipo:

A

Quebra de controle de acesso, Falhas criptográficas (anteriormente conhecida como Exposição de dados sensíveis) e Injection (Cross-Síte Scripting faz parte dessa categoria).

B

Falha de identificação e autenticação (anteriormente conhecida como Registro e monitoramentos insuficientes), Quebra de controle de acesso e Falha na íntegridade de dados e software (uma nova categoria).

C

lnjection (Cross-Síte Scripting faz parte dessa categoria), Metadata manipulation risk (uma nova categoria) e Falhas criptográficas (anteriormente conhecido como Exposição de dados sensíveis).

D

Falsificação de solicitação do lado do servidor, Quebra de controle de acesso e Componente desatualizado e vulnerável (conhecido anteriormente como Vulnerabilidades e Exposições Comuns - CVEs).

E

Falhas criptográficas, Design Inseguro (uma nova categoria) e injectíon (Cross-Síte Scrípting - CSS raz parte dessa categoria).

Provas

Questão presente nas seguintes provas

3135525 Ano: 2023
Disciplina: TI - Segurança da Informação
Banca: FCC
Orgão: TJ-BA

Provas:

Analista Judiciário - TI
Provas ×

Análise de VulnerabilidadesPenetration Test (Pentest)

Um Analista do Tribunal de Justiça foi requisitado a esclarecer dúvidas sobre os diferentes tipos de testes que poderiam ser utilizados na instituição. Dessa forma, ele afirmou corretamente que o teste

A

que garante que uma aplicação web satisfaz certos critérios como performance, throughput de dados ou tempo de resposta é o teste de integração. Esse teste é usado também para se identificar bottlenecks de um sistema, determinar o compliance com os requisitos não-funcionais de performance e coletar outras informações como hardware necessário para a operação da aplicação.

B

conhecido como Pentest busca vulnerabilidades e possui 3 tipos: whíte box, no qual o pentester realiza um falso ataque usando as informações que conhece sobre a rede, simulando um ataque interno; black box, em que o pentester não possui informações sobre a rede, simulando invasões externas por cibercriminosos; e gray box, que mistura características dos dois anteriores.

C

que permite detectar defeitos que podem ser introduzidos quando dois ou mais módulos de software são unidos, bem como avaliar o ajuste global e a função dos elementos de software combinados é o teste de desempenho. Esse teste ocorre sempre após os testes unitários, uma vez que avalia como todas as unidades funcionam quando combinadas.

D

funcional, também conhecido como teste de caixa-branca, é uma validação de software na qual determinada funcionalidade é verificada, sem considerar a estrutura do código-fonte, os detalhes de implementação ou os cenários de execução; o foco é apenas as entradas e saídas do sistema, sem se preocupar com a estrutura interna do programa.

E

conhecido como Risktest é amplo e almeja detectar o maior número de riscos possíveis, sem necessariamente analisar a fundo cada um deles; já o teste de vulnerabilidades se concentra em um número menor de riscos, mas tenta levantar o máximo de informações sobre eles, verificando se são genuínos e como podem ser combatidos.

Provas

Questão presente nas seguintes provas

3132227 Ano: 2023
Disciplina: TI - Segurança da Informação
Banca: INQC
Orgão: Pref. Sant'ana Livramento-RS

Provas:

Técnico de Informática
Provas ×

Conceitos BásicosTerminologiaVulnerabilidade
Ataques e Golpes e AmeaçasMalwaresRootkit

Em um ambiente corporativo, um computador apresenta comportamentos estranhos, como lentidão extrema, erros frequentes e acesso a arquivos e pastas que o usuário não autorizou. O antivírus instalado não detectou nenhuma ameaça. Suspeitando de um possível ataque, o administrador decide investigar mais a fundo. Após análise, ele descobre um programa malicioso que se escondeu profundamente no sistema operacional, explorando vulnerabilidades e ocultando suas atividades para evitar a detecção. Que termo técnico descreve esse tipo de programa malicioso?

Provas

Questão presente nas seguintes provas

3130050 Ano: 2023
Disciplina: TI - Segurança da Informação
Banca: FCC
Orgão: TRT-12

Provas:

Analista Judiciário - TI
Provas ×

Considerando a segurança da rede e dos sistemas do Tribunal Regional do Trabalho (TRT), um IDS

A

é um sistema ativo, enquanto o IPS é um sistema passivo. Assim, o IPS automatiza o procedimento de detectar um intruso e o IDS previne e impede os ataques, devendo ser usados em conjunto no TRT.

B

pode ser usado da mesma forma que um IPS, de maneira intercambiável, para proteger a rede e os sistemas do TRT, uma vez que funcionam de forma semelhante.

C

e um IPS devem ser implantados, pois ambos atuam de forma preventiva, identificando e bloqueando atividades suspeitas antes que elas causem danos à rede e aos sistemas do TRT.

D

deve ser implantado como uma solução de hardware e um IPS deve ser implantado, de forma conjunta, como uma solução de software, trabalhando, de forma intercambiável, para identificar e prevenir intrusões aos sistemas e à rede do TRT.

E

busca monitorar e identificar atividades suspeitas e intruses após a sua ocorrência e um IPS busca agir de forma proativa para bloquear atividades maliciosas, devendo ambos serem utilizados para proteger a rede e os sistemas do TRT.

Provas

Questão presente nas seguintes provas

3130048 Ano: 2023
Disciplina: TI - Segurança da Informação
Banca: FCC
Orgão: TRT-12

Provas:

Analista Judiciário - TI
Provas ×

Análise de VulnerabilidadesAnálise de Tráfego e Logs
Ataques e Golpes e AmeaçasMalwaresSpyware

Uma Analista do Tribunal Regional do Trabalho precisa implementar um sistema de monitoramento de tráfego de rede. Considerando os desafios de segurança e privacidade envolvidos, a abordagem correta, dentre as opções elencadas, é:

A

Enviar copias de todo o tráfego de rede para um servidor externo, visando o backup dos dados e sua recuperação futura.

B

Capturar todo o tráfego de rede através de um sniffer ativa, incluindo conteúdo sensivel, para análise em tempo real.

C

Criptografar todos os dados da rede, tornando-os inacessiiveis para qualquer análise, impedindo, assim, a ação de hackers e a exposição de dados sensiveis.

D

Utilizar um sniffer de rede passivo, para obter o desempenho real dos dados dos usuários, e um ativo, para analisar dados preditives e alertas.

E

Utilizar um sniffer configurado para capturar apenas tráfego da rede local, excluindo comunicações externas.

Provas

Questão presente nas seguintes provas

3130040 Ano: 2023
Disciplina: TI - Segurança da Informação
Banca: FCC
Orgão: TRT-12

Provas:

Analista Judiciário - TI
Provas ×

Para responder a questão, examine o programa C# abaixo.

Enunciado 3478730-1

O programa C# faz referência ao SHA-256. Associando a criptografia com a segurança em redes sem fio, é correto afirmar que o

A

SHA-256 pode ser utilizado para criar hashes dos certificados digitais, que são usados para autenticar os dispositivos na rede, em uma implementação de WPA2 com autenticação baseada em certificados (como o EAP-TLS).

B

SHA-256 é um protocolo de segurança para redes sem fio, que utiliza um hash criptográfico pertencente á familia das funções hash SHA-2 (Security Hash Algorithm 2nd generation). O hash resultante é uma sequência de bytes que é única para os dados de entrada.

C

WPA2 não contém mecanismos de autenticação: assim, é necessário acrescentar o uso de chaves pré-compartilhadas (PSK) e a autenticação baseada em servidores, usando protocolos criptográficos como o SHA-256.

D

WPA2 é um método de hash criptográfico para redes sem fio, que utiliza o protocolo de criptografia AES-CCMP (Advanced Encryption Security-Counter Mode Cipher Block Chaining Message Authentication Ciphered Protocol) para proteger os dados transmitidos entre dispositivos na rede

E

WPA (Wi-Fi Protected Access) utiliza o protocolo SHA-256 para criptografar dados e o método EAP (Extensible Authentication Protocol) para autenticação.

Provas

Questão presente nas seguintes provas

3130033 Ano: 2023
Disciplina: TI - Segurança da Informação
Banca: FCC
Orgão: TRT-12

Provas:

Analista Judiciário - TI
Provas ×

AAA: Autenticação, Autorização e AuditoriaOAuth

OAuth2 foi construído com base em quatro papéis (ou atores) principais, cada um com responsabilidades específicas no processo de autorização. Esses papéis são: