Segurança de Sistemas de Bancos de Dados U4 - AVALIAÇÃO DA UNIDADE

Segurança de Sistemas de Bancos de Dados U4 - AVALIAÇÃO DA UNIDADE

Uma coisa que todo profissional de segurança e todo administrador de bancos de dados aprende logo no início da carreira é que nem toda requisição ao banco de dados é válida só porque vem de uma origem autorizada. Um ataque insidioso pode estar contido nos pacotes, disfarçado de uma sequência de requisições SQL. Entender que tipo de ataque é este e como ele veio a ser disseminado é fundamental para que possamos evita-lo nos ambientes que vierem a estar sob nossa responsabilidade.

Sobre o ataque de SQL Injection (Injeção de código SQL), podemos afirmar que:

Escolha uma:

a. É um ataque obsoleto, pois tendo sido descoberto no fim da década de 1990 já foi resolvido muito tempo atrás

b. É um ataque baseado em Engenharia Social, cuja execução se baseia na falta de treinamento dos funcionários da organização

c. É um ataque recém-descoberto, baseado em um vírus devastador que infecta os emojis do Facebook

d. É um ataque antigo, descoberto no fim da década de 1990, mas que ainda causa prejuízos nos dias de hoje

e. É um ataque realizado de dentro da empresa, pois é preciso ter acesso à execução de linhas de código SQL para injeta-las com códigos maliciosos

Ao invés de permitir a construção dinâmica de comandos, as aplicações – assim como a interface Web — podem trabalhar com alternativas fixas, pré-determinadas pelo sistema como um todo, evitando que comandos sejam criados em tempo real. Os comandos são, ao invés disso, montados como se fossem um quebra-cabeça, com a peças já prontas para serem usadas. Desta forma não é possível passar parâmetros errôneos por meio de um comando.

O texto acima se refere a uma técnica de prevenção contra SQL Injection. De que técnica se trata?

Escolha uma:

a. Validação de entrada

b. Comandos parametrizados

c. Manter o software sempre atualizado

d. Segurança dirigida ao/pelo domínio

e. Whitelisting/blacklisting

Estamos sempre em busca de chances de ganhos, por exemplo, estando “antenados” a descontos em produtos e serviços de nosso interesse. O engenheiro social usa esta característica em seu favor, por exemplo, quando afirma que haverá alguma chance de ganho pessoal caso a vítima realize alguma ação.

A característica da natureza humana a que o texto acima se refere leva o nome de:

Escolha uma:

a. Busca por oportunidades de gratificação

b. Desejo de Agradar

c. Dever Moral

d. Respeito à Autoridade

e. Culpa

Não é difícil entender porque o compartilhamento de senhas pessoais é problemático. Há várias razões para não compartilharmos senhas, expostas em pesquisas e estudos de segurança, sendo que a principal delas é o chamado “roubo de identidade”.

Analise as asserções a seguir:

I. O compartilhamento de senhas é indesejável em situações profissionais.

PORQUE

II. O compartilhamento de senhas impede a atribuição de responsabilidade

Analisando-se as asserções acima, conclui-se que:

Escolha uma:

a. As duas afirmações são verdadeiras, e a segunda justifica a primeira.

b. A primeira afirmação é verdadeira, e a segunda é falsa.

c. A primeira afirmação é falsa, e a segunda é verdadeira.

d. b. As duas afirmações são falsas.

e. As duas afirmações são verdadeiras, e a segunda não justifica a primeira.

Ao descrever os procedimentos que devem constar em políticas de segurança, com o objetivo de que a organização esteja conforme os requisitos de várias normas vigente, sabe-se que o acesso físico é focado por várias normas e padrões. As normas e padrões de indústria que requerem conformidade física (no tocante à tecnologia da informação, claro), são:

   ISO/IEC 27001

   NIST 800-53

   HIPAA Standard

   PCI DSS 2,0

   AUP V5.0

Por que é importante a conformidade de um ambiente físico com os padrões de indústria?

Escolha uma:

a. Porque é mais barato seguir as normas estouradas pela indústria, o que vai sempre economizar dinheiro e custos para os clientes da organização.

b. Na verdade, a conformidade com as normas não é importante.

c. Porque a legislação determina que as organizações sejam conforme as normas, sob pena de multas e perdas de contrato por quebra de decoro comercial.

d. Porque a conformidade com os padrões de segurança mostram que a a organização se preocupa em implantar medidas reconhecidamente positivas para garantir sua segurança.

e. Porque os clientes não compram da organização se a mesma não atender estes requisitos.