Questão do mês de abril

Acerca do processo ilustrado na figura acima, que apresenta as principais atividades envolvidas na gestão de riscos, conforme a ABNT NBR ISO/IEC 27005, publicada em 2008, julgue os próximos itens.

1- 167 Durante o início da adoção da gestão de riscos em uma organização, a aplicação de métodos quantitativos para cálculo do nível de risco ocorre principalmente durante a estimativa de riscos e tende a oferecer resultados mais confiáveis e eficazes comparativamente ao uso de métodos quantitativos, sobretudo quando os ativos no escopo apresentam elevada intangibilidade.

Errada. Interessante notar que a questão compara o método quantitativo com ele mesmo, logo, por questão de lógica, um método não pode ser melhor do que ele mesmo. A realidade é que existem dois métodos, o quantitativo e o qualitativo, o primeiro estima o impacto em valores (R$) e o segundo baseado em uma escala, geralmente probabilística. Um outro erro na questão é que o método quantitativo não não é indicado para situações onde os ativos apresentam elevada intangibilidade, porque se torna ineficaz a ação de quantificar a perda em um risco associada a um ativo deste tipo.

2- 168 A alta gestão da organização em escopo exerce maior influência sobre o ponto de decisão 1 que sobre o ponto de decisão 2, bem como contribui ativamente para prover informações quanto às fases de identificação de riscos, de definição do contexto e de análise crítica de riscos.

A alta administração da organização não executa a análise/avaliação de risco, ela aprova como que este processo deve ser realizado e define o critério de aceitação de risco, que é o ponto 2.

A respeito do diagrama acima, que apresenta um modelo conceitual sistêmico da norma ABNT NBR ISO/IEC 27001, julgue os itens 169 e 170.

3- 169 No modelo em apreço, o subsistema de planejamento do SGSI possui sobreposição de atividades com a fase de definição do contexto presente na norma ABNT NBR ISO/IEC 27005 bem como produz uma informação de saída similar àquela produzida durante o processo de aceitação do risco da mesma ABNT NBR ISO/IEC 27005.

Correto. A fase de definição de contexto da 27005 tem um propósito semelhante ao da 27001.

4- 170 Entre os documentos e registros cujo controle é demandado pela norma ABNT NBR ISO/IEC 27001, destacam-se como documentos a declaração da política de segurança, o relatório de análise/avaliação de risco e a declaração de aplicabilidade; além disso, destacam-se como registros os livros de visitantes, os relatórios de auditoria, as ocorrências de incidentes de segurança e outros registros, inclusive de não conformidade.

Correto. A 27001 define um conjunto de documentos que mostrarão o que precisa ser feito e exige que haja registros, que são as evidências de que o que se está propondo fazer, realmente está sendo feito.

CESPE, TCU, auditor federal de controle externo, cargo 3

Questão do mês de março

Reconhecendo que a segurança do protocolo IP é um importante aspecto no contexto de uma rede segura com arquitetura TCP/IP, o IETF vem publicando várias RFCs que definem uma capacidade específica de segurança no nível IP (IPSec), incluindo funcionalidades de autenticação e de confidencialidade como extensões para esse protocolo nas suas versões 4 e 6. Acerca do IPSec, julgue os itens abaixo.

1 Um conceito-chave que aparece tanto nos mecanismos de autenticação, quanto de confidencialidade do IPSec é a associação de segurança. Uma associação desse tipo consiste em um relacionamento bidirecional entre um transmissor e um receptor.

Neste item encontramos uma típica pegadinha, se o candidato não estiver bem atento ele fatalmente não irá acertar. O erro está na palavra “bidirecional”. Em uma conexão IPSec é estabelecido uma associação de segurança para cada sentido, sendo esta, portanto, “unidirecional”.

2 O mecanismo de authentication header (AH) do IPSec provê suporte tanto para a integridade dos dados, quanto para a autentificação dos pacotes IP.

Item verdadeiro. Além dos serviços de autenticidade e integridade, opcionalmente também é oferecido o serviço de anti-relay.

3 O suporte a IPSec é opcional em IPv4 e IPv6.

No IPv6 o IPSec já é nativo, ele já faz parte da implementação.

4 Para efeito do AH, os dados de autenticação são calculados sobre o pacote IP integral, excluindo qualquer campo que possa ser modificado em trânsito. Tais campos são considerados como bits zero para o propósito de cálculos nos pontos de origem e destino.

Correto. Em uma comunicação, os pacotes podem passar por diversos caminhos e nessas passagens alguns campos do cabeçalho desses pacotes podem ser alterados, tal como o campo TTL.

5 O mecanismo de encapsulating security payload (ESP) provê suporte tanto à integridade quanto à confidencialidade dos pacotes IP. Em função de requisitos de aplicação, esse mecanismo pode ser usado para cifrar tanto o segmento da camada de transporte (TCP e UDP, por exemplo), quanto o pacote IP inteiro, sendo tais modos de utilização conhecidos, respectivamente, como ESP em modo transporte e ESP em modo túnel.

Verdadeiro. Embora originalmente o ESP ofereça o serviço de confidencialidade, ele pode utilizar, os serviços de autenticidade e integridade oferecidos pelo AH. Então é correto dizer que o ESP tem suporte a estes serviços.

Este item aborda também um outro aspecto, que é o modo de funcionamento do IPSec que pode ser do tipo transporte, quando a criptografia é aplicada na camada de Transpoorte e modo túnel, quando a criptografia é aplicada na camada de Rede criptografando o pacote inteiro sendo inclusive muito utilizado para implementação de VPNs.

CESPE, Polícia Federal -2002, ÁREA 3 – COMPUTAÇÃO CIENTÍFICA

Questão do mês de fevereiro

No dia 31/01/2010, muitos fizeram a prova para o concurso do BACEN. Ouvi muitas reclamações sobre a prova. Muitas pessoas alegavam que ela estava muito difícil. Então, vamos resolver algumas questões para tentar quebrar um pouco este gelo.

20 Suponha que um estudante brasileiro tenha descoberto um algoritmo, determinístico e extremamente rápido, capaz de fatorar um número inteiro de qualquer tamanho. Essa proeza
(A) não afetaria a segurança do RSA, que é baseado em curvas elípticas.
O RSA não é baseado em curvas elípticas. Curvas elepticas, como o próprio nome diz, é baseado na matemática elíptica e o seu funcionamento é diferente ao da criptografia Assimétrica, que é o caso do RSA.
(B) não inviabilizaria o uso do algoritmo assimétrico AES em protocolos de rede.
O AES não é um algoritmo Assimétrico, mas sim Simétrico.
(C) tornaria inseguros os certificados digitais com chaves geradas pelo RSA.
O RSA trabalha com números inteiros, geralmente muito grandes. Então caso alguém tente "quebrar" um sistema que utiliza este algoritmo, é necessário fatorar o número que compõe uma das chaves. Este processo é muito díficil e dependendo do tamanho da chave, pode levar séculos e séculos, de acordo com a capacidade computacional que temos hoje, é claro. O fato é, se alguém descobrir como fator número de qualquer tamanho de forma rápida, a segurança do RSA é comprometida por completo.
(D) tornaria inseguro o FTP (File Transfer Protocol), que utiliza SSL.
O FTP não utiliza o SSL. Ambos estão na camada de aplicação do modelo TCP/IP. Em relação ao modelo OSI, o FTP está na camada de aplicação e o SSL na de apresentação. Mas a verdade é que o FTP não faz uso do SSL. O SFTP sim, ele pode fazer uso do SSL.
(E) inviabilizaria o uso na prática do algoritmo de hash 3DES de 168 bits.
O algoritmo 3DES não é de hash. Ele é um algoritmo simétrico.

21 Um fabricante de software disponibiliza atualizações de seus produtos no site http://www.exemplodefabricante.com.br/update, que é sempre divulgado nas seções de ajuda dos aplicativos. Considerando-se que existe um arquivo SHA-1 associado a cada atualização disponível para download, é INCORRETO afirmar que o(a)
(A) objetivo desse mecanismo, embora imperfeito, é garantir ao usuário que as atualizações baixadas estejam íntegras em relação à origem.
A essência da utilização de algoritmo hash é justamente poder verificar a integridade dos dados.
(B) algoritmo de hash utilizado é, atualmente, passível de ataques de colisão em tempo computacionalmente viável.
Esta notícia foi divulgada aproximadamente em 2005 por três estudantes de uma universidade da Chima.
(C) mecanismo de integridade utilizado está limitado a arquivos menores que 2 PB, em virtude do limite atual de 64 bits.
O erro aqui está em limitar o tamanho em 2 PB.
(D) protocolo utilizado para download (HTTP) não oferece, nativamente, garantia de confidencialidade dos dados.
Exatamente, o HTTP não faz uso de nenhum algoritmo criptográfico para poder garantir a confidencialidade.
(E) utilização do HTTPS, em vez do HTTP, melhoraria significativamente a segurança do download das atualizações.
Embora não tenha sido sitado no enunciado da questão a necessidade de garantia de outros aspectos da segurança além da integridade, com a utilização do HTTPS seria possível a criptografia dos dados transmitidos e autenticidade.

Vamos lá, essas são com vocês!

Resposta da questão do mês de janeiro

Com certeza todos acharam as perguntas muito fáceis, então vamos às respostas:

1 - Em uma organização, a segurança da informação é responsabilidade corporativa do gerente e deve ser mantida no âmbito particular desse gerente.

Questão errada, porque a Segurança da Informação deve ser uma decisão estratégica da organização. Sendo, por tanto, uma responsabilidade coorporativa e não apenas de um departamento ou muito menos um gerente.
2 - A disponibilidade e a integridade são itens que caracterizam a segurança da informação. A primeira representa a garantia de que usuários autorizados tenham acesso a informações e ativos associados quando necessário, e a segunda corresponde à garantia de que sistemas de informações sejam acessíveis apenas àqueles autorizados a acessá-los.
Esta também está errada, uma vez que disponibilidade e integridade fazem parte dos itens que caracterizam a segurança da informação, mas não são só esses , faltou citar outros aspectos, tais como: confidencialidade, autenticidade e legalidade. Para completar o erro na questão, integridade é a garantia de que informações sejam ALTERADAS apenas por àqueles autorizados.

CESPE, ANATEL, 08/03/09, cargo 16-caderno ALFA