Um novo sistema operacional foi instalado nos servidores de um Centro de Dados, e a equipe de segurança recebeu a informação de que o novo sistema pode ter uma vulnerabilidade dia-zero. As vulnerabilidades dia-zero são perigosas porque são desconhecidas e suas correções ainda não foram produzidas.

Durante o período de espera pela correção, os usuários ficam sujeitos às tentativas de explorações dessas vulnerabilidades pelos hackers.

Uma das formas utilizadas pelos hackers para a descoberta das vulnerabilidades dia-zero é o fuzzing, cujo processo de funcionamento consiste em:

Marcelo está elaborando a política de segurança em seu órgão e incluiu orientações sobre criação de senhas fortes para acesso aos sistemas, principalmente aqueles acessados pela internet. A orientação do Marcelo visa proteger seus usuários contra ataques de hackers que utilizam software automático para descobrir senhas fracas.

A técnica para obtenção de senhas da qual Marcelo está tentando proteger seus usuários é:

Os analistas de segurança da informação estão pesquisando como mitigar riscos e monitorar ameaças que podem surgir no futuro.

No modelo de ameaças STRIDE, a ameaça que tenta violar o princípio da confidencialidade é:

Carlos recebeu um e-mail que parecia pertencer ao seu banco e, sem perceber, baixou e instalou um software malicioso no seu computador. A partir desse software, um criminoso cibernético passou a ter o controle do computador de Carlos.

O software malicioso instalado no computador de Carlos é:

Marina recebeu uma ligação de um suposto funcionário que dizia estar fazendo uma pesquisa sanitária sobre uma pandemia.

Marina passou suas informações pessoais e profissionais, que permitiram ao falso funcionário acessar um sistema com suas credenciais.

A técnica empregada pelo falso funcionário para conseguir as informações de Marina é:

Durante uma auditoria externa contratada pelo Tribunal de Justiça ao departamento de segurança da informação, foram avaliados os sistemas existentes seguindo a Norma ABNT NBR ISO/IEC 27001. Durante a avaliação, houve a necessidade de prover um sistema de gerenciamento de senhas interativo e com qualidade.

Para criar o seu sistema, o departamento de segurança deve fazer uso do objetivo de controle:

Ana precisa enviar a mensagem M para Bráulio de forma sigilosa pela rede do Tribunal de Justiça atendendo aos requisitos de segurança: autenticidade, não repúdio, integridade e confidencialidade. Para isso, Ana deve enviar uma chave secreta K para Bráulio e gerar uma assinatura digital AD(M).

Considerando que a chave K deve ser conhecida apenas por Ana e Bráulio, após esse processo deve-se cifrar K e AD(M) com a chave:

PedidosSemEstresse é uma aplicação Web destinada a digitalizar o processo de pedidos de serviços de um órgão da administração pública. A interface de PedidosSemEstresse utilizada pelos usuários faz chamadas a uma API RESTful e não utiliza facilidades de login único (single sign-on – SSO). Recentemente, o usuário interno João utilizou suas próprias credenciais com privilégios somente de execução de métodos GET para explorar vulnerabilidades e teve acesso direto a API RESTful. Assim, João fez chamadas a métodos POST com sucesso.

Com base no OWASP Top Ten, a vulnerabilidade explorada por João é da categoria:

De acordo com o Decreto nº 10.543, de 13 de novembro de 2020, que dispõe sobre o uso de assinaturas eletrônicas na administração pública federal, existem diferentes níveis para a assinatura digital.

O nível obrigatório para os atos assinados pelo presidente da República e pelos ministros de Estado é a chamada assinatura eletrônica:

Sobre o mecanismo baseado em propriedade, pode-se afirmar que: