Questão sobre Protocolo SSL - Segurança da Informação

Question 1

Batizada de Drown, a séria vulnerabilidade descoberta afeta HTTPS e outros serviços que dependem de SSL e TLS, alguns dos
protocolos mais essenciais para segurança na internet. O Drown aproveita que na rede, além de servidores que usam TLS por
padrão, há outros que também suportam ........ e, explorando a vulnerabilidade do protocolo antigo, podem quebrar a criptografia
do padrão TLS. Em testes realizados pelos pesquisadores, um PC normal foi capaz de quebrar a criptografia TLS em um
servidor vulnerável em menos de 1 minuto. Durante um período, os pesquisadores realizaram uma ampla varredura na internet e
descobriram que 33% de todo tráfego HTTPS pode estar vulnerável ao ataque Drown. É importante ressaltar que a quebra da
criptografia depende também da capacidade de monitorar o tráfego TLS, mas isto é facilmente realizável em redes públicas ou a
partir da invasão da rede tanto no lado do cliente como do lado do servidor. Como a vulnerabilidade está do lado do servidor,
não há nada que possa ser feito no lado do cliente, que nem fica sabendo que o ataque está acontecendo.
(Disponível em: https://blog.leverage.inf.br/2016/03/01/drown-attack-nova-vulnerabilidade-no-tls/. Acessado em: 03 jul. 2017)
Ao ler esta notícia, da qual foi omitido o protocolo de segurança, um Analista Judiciário concluiu, corretamente, que

Accepted Answer

a solução passa por desabilitar o suporte a SSL v2 nos servidores, bem como outras configurações do SSL v3 e versões posteriores, pois este é um protocolo mais antigo e vulnerável.

Answer

para se proteger é preciso garantir que as chaves públicas não sejam utilizadas em lugares com conexão ao protocolo SSL v1, incluindo servidores web, SMTP, IMAP e POP, ou outro serviço que suporte o SSL v1.

Answer

todos os serviços oferecidos com o protocolo HTTPS são vulneráveis e, portanto, não confiáveis. É necessário adquirir o certificado EV MDC TLS com SGC − Server Gated Cryptography com chave de 512 bits.

Answer

caso existam vários servidores que compartilhem a mesma chave pública, apenas os servidores que suportam o SSL v3 ficam vulneráveis, os demais servidores que usam somente TLS ficam seguros.

Answer

caso o servidor HTTPS possua certificado PCI-DSS, este pode usar a chave privada usada em outro servidor (como o servidor de e-mail) que tenha suporte para SSL v2, sem riscos de sofrer o ataque.

Question 2

Com relação a IDS, analise as afirmativas a seguir:
I. NIDS baseados em assinaturas determinam tráfego malicioso a
partir dos endereços IP contidos nos cabeçalhos das mensagens
interceptadas.
II. NIDS são mais eficientes do que HIDS para evitar ataques em
locais onde o tráfego de rede é baseado em SSL.
III. IDS baseados em detecção de anomalias sofrem com maior
ocorrência de falsos positivos.
Está correto somente o que se afirma em:

Accepted Answer

III;

Answer

I;

Answer

II;

Answer

I e II;

Answer

I e III.

Question 3

A opção correta em relação ao protocolo SSL é:

Accepted Answer

combina criptografia assimétrica e simétrica para garantir segurança no tráfego de dados;

Answer

dada a importância do tráfego Web, foi criado para aumentar especificamente a segurança do protocolo HTTP;

Answer

garante a autenticação através da utilização necessária de certificados digitais X.509 em ambos os lados da comunicação;

Answer

o lado cliente é quem define unilateralmente os algoritmos de criptografia a serem usados na comunicação;

Answer

nem todos os protocolos de roteamento de tráfego são suportados pelo SSL.

Question 4

Existem vários protocolos criptográficos que podem ser usados para garantir a segurança das informações transferidas através de redes TCP/IP. Alguns são para aplicações específicas e outros são para uso geral. O SSL, protocolo criptográfico mais popular da Internet, opera

Accepted Answer

sobre a camada de transporte e abaixo da camada de aplicação, o que o torna independente dos protocolos de transporte e de aplicação.

Answer

abaixo da camada de rede garantindo a autenticidade e privacidade das informações dos usuários.

Answer

sobre a camada de aplicação, o que o torna dependente do protocolo de aplicação e garante a privacidade das informações dos usuários.

Answer

diretamente na camada de enlace, garantindo a autenticidade e privacidade das informações dos usuários.

Answer

diretamente na camada física, o que o torna independente de qualquer protocolo.

Question 5

Dadas as afirmações a seguir,  I. A principal limitação da tecnologia Zope/Plone é a impossibilidade de utilizar comunicação segura com criptografia SSL. II. Zope é um servidor de aplicação Web configurável e totalmente construído em Java, além de ser compatível com servidores de aplicação JBoss. III. Enquanto o Zope é um servidor de aplicação, o Plone é um gerenciador de conteúdo que pode ser hospedado em servidores Zope. IV. Apesar de sua facilidade em editar conteúdo, a principal limitação do Plone é a impossibilidade de gerenciar usuários, com diferentes níveis de permissões de edição. verifica-se que somente

Accepted Answer

III é verdadeira.

Answer

I e II são verdadeiras.

Answer

II é verdadeira.

Answer

III e IV são verdadeiras.

Answer

IV é verdadeira.

Question 6

Em relação ao TLS, marque V para verdadeiro ou F para falso e, em seguida,assinale a alternativa que apresenta a sequência correta.

( ) Foi embutido na versão 2 do SSL.
( ) Habilita computadores que executam o Windows Server 2008 (ou superior) a acessar recursos em servidores de arquivos da classe Unix.
( ) Sua chave de sessão ficou mais difícil de ser violada por criptoanálise.
( ) A versão 3 do SSL e o TLS não conseguiram interoperar.

Accepted Answer

F/ F/ V/ V

Answer

F/ V/ V/ F

Answer

F/ F/ F/ F

Answer

V/ F/ V/ F

Answer

V/ V/ F/ V

Question 7

Os protocolos criptográficos que conferem segurança de comunicação na Internet para serviços como email (SMTP), navegação por páginas (HTTP) e outros tipos de transferência de dados são caracterizados pela sigla:

Accepted Answer

SSL.

Answer

IDS

Answer

WPA.

Answer

OSI.

Answer

EAP

Question 8

Com  relação às políticas de Segurança da  Informação, analise as  afirmativas a seguir.  I.  O serviço NAT é usado para ligar de forma segura dois pontos  por meio de uma rede pública.  II.  A  autenticidade  de  um  documento  pode  ser  obtida  através  do uso de certificação digital.  III.  Para garantir a integridade e confidencialidade da informação  que  transita  em uma  rede, pode-se utilizar o protocolo  SSL,  que opera no nível de enlace.  Assinale:

Accepted Answer

se apenas a afirmativa II estiver correta.

Answer

se apenas as afirmativas I e II estiverem corretas

Answer

se apenas as afirmativas II e III estiverem corretas

Answer

se apenas as afirmativas I e III estiverem corretas

Answer

se apenas a afirmativa I estiver correta.

Question 9

O acesso a sites com segurança depende do protocolo SSL. Para que a conexão entre navegador e servidor Web seja estabelecida, é necessária a troca de um certificado digital. Em relação a este recurso de segurança, NÃO é correto o que se afirma em:

Accepted Answer

A cada certificado recebido pelo navegador, o navegador deve se conectar à certificadora, para verificar a validade desse certificado.

Answer

Com a chave pública confirmada pelo certificado digital, o protocolo SSL estabelece uma chave de sessão.

Answer

O objetivo do certificado digital é garantir que a chave pública do servidor Web é correta, evitando o ataque do homem do meio.

Answer

Um certificado digital é emitido por uma certificadora, usando um processo que primeiro calcula o sumário de mensagem sobre as informações de um site e, em seguida, criptografa esse resultado com a chave privada da certificadora.

Question 10

A respeito de criptografia simétrica, analise as afirmativas a seguir:
I. Exemplo de algoritmos de criptografia simétrica são o AES, Blowfish e RC4.
II. Para ser considerada segura nos padrões atuais, o tamanho mínimo de chave simétrica deve ser 1024 bits.
III. O protocolo SSL utiliza essa forma de criptografia para cifragem dos dados, pois demanda menos poder de processamento.
Está correto somente o que se afirma em:

Accepted Answer

I e III;

Answer

I;

Answer

II;

Answer

III;

Answer

I e II;

Questões de concursos sobre "Protocolo SSL" | Segurança da Informação - página 1

Q14343 - FCC Analista Judiciário - Análise de Sistemas 2017

Q14368 - FGV Analista Censitário - Análise de Sistemas - Suporte à Comunicação e Rede 2017

Q14369 - FGV Analista Censitário - Análise de Sistemas - Suporte à Comunicação e Rede 2017

Q14649 - ESAF Analista de Finanças e Controle - Tecnologia da Informação 2004

Q15525 - COPEVE-UFAL Analista de Tecnologia da Informação 2012

Q15691 - CETRO Analista Administrativo - Área 5 - Prova Anulada 2013

Q15742 - IBFC Perito Criminal - Engenharia da Computação 2013

Q15856 - FGV Analista de Sistemas 2013

Q15894 - FUMARC Analista de Sistemas 2014

Q16250 - FGV Analista da Defensoria Pública - Analista de Redes e Comunicação de Dados 2015