Um perito analisa uma invasão em um sistema corporativo que utiliza SAML SSO. O atacante interceptou o token SAML e modificou seu conteúdo, conseguindo que o Service Provider aceitasse o token falsificado.
A vulnerabilidade que permitiu esse ataque foi

Sandboxes são ferramentas eficazes para análise dinâmico-comportamental de malware, mas apresentam limitações típicas. Assinale a opção que apresenta uma limitação inerente ao seu modo de operação.

Um software malicioso similar ao worm, mas possui mecanismo de comunicação com o in vasor que permite que ele controle remotamente a máquina invadida. Assinale a alternativa correta, e que representa o tipo de malware apresentado na descrição.

Durante um hackathon de segurança, uma das equipes construiu rapidamente uma funcionalidade de comentários para um sistema de compras.

Para permitir o uso de formatação HTML nos comentários, o desenvolvedor implementou o se guinte template:

Após algum tempo, um usuário publicou o seguinte texto no conteúdo do comentário:

Outros usuários que acessaram a página tiveram transferências não autorizadas de suas contas.

Com base nesse cenário, qual opção explica a falha explorada, indicando o tipo de ataque e como corrigi-la sem perder a possibilidade de exibir algum HTML formatado nos comentários?

Em algoritmos de criptografia, os modos de operação determinam como uma cifra de bloco, como o AES, processam os dados. Cada modo apresenta diferentes níveis de segurança e desempenho, dependendo de como evita padrões repetitivos e implementa aleatorização. Alguns modos podem revelar padrões nos dados originais, enquanto outros foram criados para eliminar essas fraquezas.

O texto-base descreve a função geral dos modos de operação. Aprofundando os conceitos mencionados, analise a afirmativa a seguir e complete as lacunas:
“O modo de operação __________________ do AES é vulnerável a ataques de análise de padrões porque blocos idênticos de texto claro resultam em blocos idênticos de texto cifrado. Para mitigar essa vulnerabilidade, o modo __________________ utiliza um ___________________ para tornar cada bloco dependente do anterior. No entanto, implementações inadequadas do CBC podem ser vulneráveis a ataques de __________________”.

A equipe de TI de um órgão público está atualizando a sua arquitetura de TI para adequá-la à LGPD, especialmente quanto aos requisitos técnicos de segurança previstos nos artigos 46 a 49 da lei. A equipe identificou que determinados sistemas internos processam dados sensíveis de cidadãos, incluindo biometria facial e informações de saúde.
Para atender às exigências legais, foram implementadas as seguintes medidas técnicas:
1. Criptografia dos bancos de dados e dos backups; 2. Pseudonimização dos relatórios de análise; 3. Registro detalhado de logs de acesso; 4. Controle de acesso baseado em perfis e MFA; e 5. Segmentação de rede e monitoração contínua.

Considerando os dispositivos técnicos da LGPD e boas práticas de engenharia de segurança, é correto afirmar que

Deseja-se contratar um teste de penetração para avaliar a segurança de sistemas internos e externos. O contrato exige que o fornecedor siga boas práticas internacionais, como as descritas no PTES (Penetration Testing Execution Standard) e no OWASP Testing Guide, incluindo documentação completa do escopo, regras de engajamento e limites éticos.
Considerando as etapas típicas de um pentest profissional, assinale a afirmativa correta.

No contexto da Segurança da Informação na Administração Pública, diversas organizações adotam uma Política de Uso Aceitável (PUA) como parte de seu conjunto de normativos internos, em complemento às demais políticas e controles institucionais.
Considerando o papel e o escopo típico de uma PUA em um órgão público, assinale a opção que apresenta exemplos de ações que podem ser formalmente disciplinadas por esse tipo de política.

O Engenheiro de Segurança identifica que um atacante está enviando e-mails altamente personalizados a membros-chave da equipe de TI da Assembleia, fazendo-se passar por um fornecedor de software de votação e solicitando credenciais.

Assinale a opção que identifica essa técnica de Engenharia Social.

Uma agência governamental de Engenharia de Computação precisa migrar seus dados de cidadãos para a cloud. As regulamentações de segurança e soberania de dados proíbem o armazenamento de informações sensíveis em infraestruturas compartilhadas ou fora de data centers específicos do governo.

Assinale a opção que identifica o modelo de implantação de cloud que deve ser priorizado, garantindo o controle exclusivo sobre o hardware e a infraestrutura, dentro dos limites regulatórios.