Concurso Petrobrás – Prova de Conhecimentos Específicos – Analista de Sistemas Júnior Processos de Negócio – Questões das áreas de Redes e Segurança
Buenas, pessoal! Tudo tranquilo?
Como este é meu primeiro artigo, permitam que eu me apresente: sou o professor Evandro Dalla Vecchia, chegando no Estratégia em 2018 e espero ajudá-los a conquistarem o grande sonho do serviço público!
Sou perito criminal no IGP/RS (área de computação forense) desde 2004 e entre 2006 e 2017 também lecionei em universidades, nas áreas de redes de computadores e segurança da informação. Em 2014, publiquei o livro “Perícia Digital – Da Investigação à Análise Forense”, e há um bom tempo leciono em cursos de pós-graduação nas áreas de perícia criminal, perícia digital e auditoria de T.I.
Antes de começar a comentar as questões do último domingo, aproveito para divulgar o curso de Computação Forense, que está no forno… deem uma espiada na ementa: https://www.estrategiaconcursos.com.br/curso/computacao-forense-para-concursos-curso-regular-2018-com-videoaulas/.
Vamos lá…
—
59
Considere o gráfico abaixo:
(ver gráfico na prova)
Supondo-se que o protocolo que gera, aproximadamente, o comportamento registrado no gráfico acima seja TCP Reno, quais são, aproximadamente, os intervalos de tempo em que, respectivamente, a partida lenta e a prevenção de congestionamento do TCP estão em execução?
(A) [1, 6]; [20, 23] e [6, 13]; [14,19]
(B) [1, 6]; [20, 23] e [13, 14]; [19, 20]
(C) [6, 13]; [14,19] e [1, 6]; [20, 23]
(D) [13, 14]; [19, 20] e [1.6]; [20, 23]
(E) [13, 14]; [19, 20] e [6, 13]; [14,19]
Comentários: Essa questão parece complicada, mas garanto que mesmo sem conhecer o TCP Reno, seria possível respondê-la. Basta lembrar um pouco os conceitos relacionados ao controle de congestionamento:
- Partida lenta: o valor da Congestion Window (cwnd) costuma começar em 1 MSS (Maximum Segment Size) e aumenta 1 MSS toda vez que um segmento transmitido é reconhecido. Então, se não houver erro, o crescimento é exponencial: 1, 2, 4, 8, 16, …Analisando o gráfico, podemos observar uma curva exponencial nos intervalos [1, 6] e [20, 23]. Dessa forma, já ficaríamos entre as alternativas A e B;
- Prevenção de congestionamento: ao entrar nesse estado, o valor de cwnd é cerca de metade de seu valor quando foi encontrado um congestionamento pela última vez (ou seja, um novo congestionamento poderia ocorrer em seguida). Assim, o cwnd começa a ser aumentado de 1 em 1. Quando ocorre um evento de perda, cwnd é ajustado para metade de seu valor e quando há timeout, passa a ter valor 1.
Analisando o gráfico, podemos verificar um comportamento linear entre [6, 13] e [14, 19], o que faltava para descobrirmos a resposta!
O TCP Reno (versão atual do TCP) incluiu a recuperação rápida, mas esse assunto nem foi cobrado na questão!
Gabarito: A
—
60
As redes sociais são uma nova forma de comunicação. Se há algum tempo as redes eram dominadas por jovens, hoje não é mais possível definir um único tipo de público adepto das redes sociais. Pessoas de todas as idades, classes sociais e dos mais diversos interesses e formação são, com muita naturalidade, assíduas frequentadoras das redes. Analistas desse fenômeno contemporâneo veem muitos aspectos positivos nessa atividade, mas apontam alguns negativos.
Um dos aspectos negativos que preocupa esses analistas, porque pode ser considerado consequência de invasão de privacidade, é o(a)
(A) compartilhamento de informações públicas, antecipando o noticiário da mídia escrita.
(B) acompanhamento empresarial das tendências de consumo dos usuários.
(C) reencontro com pessoas que fizeram parte das vidas dos usuários em algum momento.
(D) redução da capacidade de comunicação verbal entre os jovens.
(E) possibilidade de estabelecer contato com amigos e parentes a qualquer instante por meio de ferramenta de comunicação assíncrona.
Comentários: O foco da questão é a invasão de privacidade. Primeiro vamos analisar o porquê de não ser as seguintes alternativas: (A) compartilhar informação pública não é invasão de privacidade! (C) reencontrar pessoas do passado também não! (D) a redução da comunicação verbal entre jovens não invade a privacidade de ninguém! (E) comunicar-se de forma assíncrona também não, afinal, você responde quando quiser…
A alternativa (B) é um exemplo de invasão de privacidade, pois muitas empresas acompanham o comportamento dos consumidores e direcionam ofertas de acordo com o seu consumo.
Gabarito: B
—
63
A Infraestrutura de Chaves Públicas Brasileira regula a validação de uma assinatura digital ICP-Brasil, realizada sobre um documento eletrônico, com o estabelecimento de alguns critérios.
Um desses critérios utiliza resultados hash do documento, que têm como uma de suas finalidades
(A) facilitar a criptografia do documento original.
(B) assegurar a integridade do conteúdo digital, mostrando que não houve alteração desse conteúdo desde a criação da assinatura digital pelo signatário.
(C) assegurar a autoria, decifrando a assinatura digital com a chave criptográfica secreta, contida no certificado digital do signatário.
(D) proporcionar a recuperação do documento original com a aplicação da chave secreta do destinatário sobre o hash.
(E) proporcionar a recuperação do documento original com a aplicação da chave pública do remetente sobre o hash.
Comentários: O procedimento de assinatura digital através de um certificado digital ocorre da seguinte maneira: (1) é aplicado um algoritmo de hash sobre o documento; (2) o hash é cifrado com a chave privada do signatário; (3) o hash é decifrado com a chave pública do signatário; (4) é calculado o hash do documento; (5) é realizada a comparação do hash gerado e do hash decifrado – se foram o mesmo, a assinatura é validada.
O passo (1) serve para garantir a integridade do documento e também para tornar mais rápido o processo de criptografia, pois se a criptografia fosse realizada sobre um documento grande, demoraria mais tempo.
Gabarito: B
—
64
Os sistemas computacionais estão sujeitos a ataques tanto passivos quanto ativos.
Ataques passivos, tais como o monitoramento ou a análise de tráfego, ameaçam principalmente os requisitos de
(A) confidencialidade
(B) irretratabilidade
(C) autenticidade
(D) disponibilidade
(E) integridade
Comentários: O monitoramento de tráfego através de um sniffer é um ataque passivo que possibilita a captura e análise dos dados dos pacotes. Caso os dados não estejam protegidos (criptografia, por exemplo), a ameaça principal ocorre sobre o requisito de confidencialidade, pois os dados podem ser lidos (inclusive dados sensíveis, como senhas ou dados de cartões de crédito).
Gabarito: A
—
65
A norma ISO 27002 estabelece que o objetivo da classificação das informações (atribuição de grau de confidencialidade) é a garantia de que os ativos de informação receberão um nível de proteção adequado. Ainda segundo a norma, as informações devem ser classificadas para indicar a necessidade, as prioridades e o grau de proteção.
Com base nesse objetivo, a norma estabelece diretrizes para essa classificação, entre as quais se inclui a de
(A) atribuir o processo de revisão do nível de confidencialidade de um documento à alta gerência.
(B) manter a responsabilidade pela atribuição do nível de confidencialidade de um documento com o setor de TI.
(C) manter os rótulos de classificação originais nos documentos oriundos de outras organizações.
(D) manter o princípio de equidade que garante aos funcionários com funções similares o mesmo direito de acesso às informações classificadas.
(E) rotular as informações e as saídas geradas pelos sistemas que tratam dados confidenciais, segundo seu valor e sensibilidade para a organização.
Comentários: Copiei a seguir um trecho da norma 27002 que ajuda a responder essa questão.
“8.2 Classificação da informação
Objetivo: Assegurar que a informação receba um nível adequado de proteção, de acordo com a sua importância para a organização.
8.2.1 Classificação da informação
Controle
Convém que a informação seja classificada em termos do seu valor, requisitos legais, sensibilidade e criticidade para evitar modificação ou divulgação não autorizada.
Diretrizes para implementação
Convém que a classificação e os controles de proteção, associados para a informação, leve em consideração as necessidades do negócio para compartilhar ou restringir a informação bem como os requisitos legais. Convém que outros ativos além dos ativos de informação também sejam classificados de acordo com a classificação da informação armazenada, processada, manuseada ou protegida pelo ativo.”
Gabarito: E
—
66
Em ambientes computacionais, muitas aplicações que oferecem funcionalidades distintas são usadas simultaneamente pelos usuários.
Para possibilitar esse uso simultâneo, sem que o usuário tenha de fazer autenticações distintas em cada uma das aplicações, os administradores podem implantar uma infraestrutura de autenticação com suporte a
(A) Unique Login Control (ULC)
(B) Single Sign-On (SSO)
(C) One-Time Password (OTP)
(D) One-Time Token (OTT)
(E) Unique-Auth Database (UAD)
Comentários: Como o próprio nome diz, Single Sign-On é uma propriedade de controle de acesso de múltiplos sistemas. Com ele, o usuário necessita de apenas um ID e senha para ter acesso aos diversos sistemas. Não confundir com One-Time Password, que é uma senha de utilização única!
Gabarito: B
—
Espero ter ajudado! Grande abraço!
https://www.facebook.com/profevandrodallavecchia/