Questões de Segurança da Informação do ano 2022

#Questão 1068774 - Segurança da Informação, Ataques e ameaças, FGV, 2022, PC-AM, Perito Criminal - 4ª Classe - Processamento de Dados

Clickjacking (ou UI redressing attack) é uma das formas de ataques perigosos em aplicações Web.
Assinale a opção que descreve uma forma de proteção, mesmo parcial, contra clickjacking.

A) A aplicação deve fazer uso e checagem de tokens aleatórios nos formulários.

B) O lado servidor da aplicação deve fazer uso do cabeçalho HTTP X-Frame-Options com a opção DENY.

C) Cookies usados pela aplicação devem ser criados com a opção Secure.

D) Entradas de dados de usuários na aplicação devem ser filtradas para evitar o uso de comandos SQL.

E) O lado cliente da aplicação deve evitar o redirecionamento de páginas para o protocolo HTTP não seguro.

#Questão 1068775 - Segurança da Informação, Norma ISO 27001, FGV, 2022, PC-AM, Perito Criminal - 4ª Classe - Processamento de Dados

Analise as afirmativas a seguir sobre a norma NBR ISO/IEC 27701:
I. Essa norma indica que o termo “segurança da informação”, usado na norma NBR ISO/IEC 27001, deva ser considerado como “segurança da informação e privacidade”.

II. A norma coloca como conveniente a existência um ponto de contato para ser usado pelo cliente, em relação ao tratamento de dados pessoais.
III. De acordo com a norma, a ocorrência de um evento de segurança da informação implica necessariamente em uma probabilidade alta de acesso não autorizado a dados pessoais, sensíveis ou não.
Está correto apenas o que se afirma em

A) I.

B) II.

C) III.

D) I e II.

E) I e III.

#Questão 1068776 - Segurança da Informação, Análise de Vulnerabilidade e Gestão de Riscos, FGV, 2022, PC-AM, Perito Criminal - 4ª Classe - Processamento de Dados

Sobre o ciclo de desenvolvimento seguro de aplicações, assinale V para a afirmativa verdadeira e F para a falsa.
( ) Uma das práticas definidas pelo modelo SDL da Microsoft é a modelagem de ameaças.
( ) Uma análise estática de segurança (SAST) exige que a aplicação já esteja em funcionamento.
( ) O conserto de vulnerabilidades descobertas por meio de análise dinâmica de segurança (DAST) costuma custar mais caro do que aquelas descobertas no início do ciclo de desenvolvimento.
As afirmativas são, respectivamente,

A) F, F, V.

B) F, V, V.

C) V, F, V.

D) V, V, F.

E) F, V, F.

#Questão 1068777 - Segurança da Informação, Ataques e ameaças, FGV, 2022, PC-AM, Perito Criminal - 4ª Classe - Processamento de Dados

Ao analisar, por meio de engenharia reversa, um código malicioso em ambiente Windows, um perito verificou que o malware fazia uso das chamadas SetWindowsHookEx e CreateRemoteThread. Isso indica que o malware estava provavelmente fazendo API hooking.
A conclusão do perito é que o malvware estava tentando realizar

A) injeção DLL.

B) ataque cross site scripting.

C) sniffing de rede.

D) injeção SQL.

E) ataque cross site request forgery.

#Questão 1068778 - Segurança da Informação, Criptografia, FGV, 2022, PC-AM, Perito Criminal - 4ª Classe - Processamento de Dados

Analise as afirmativas abaixo sobre o algoritmo de criptografia assimétrica Diffie-Helmann:
I. Não é vulnerável a ataques “man-in-the-middle”.
II. Pode ser utilizado tanto para assinatura digital quanto para geração de chave simétrica.
III. Pode ser usado de três maneiras diferentes: anônimo, estático e efêmero, sendo essa última considerada a maneira mais segura.
Está correto apenas o que se afirma em