Segurança de Sistemas de Bancos de Dados U1 - Avaliação da Unidade

Segurança de Sistemas de Bancos de Dados U1 - Avaliação da Unidade

O americano Kevin Mitnick atuou como contraventor digital de 1979 até sua apreensão e condenação em 1995. Entre as várias técnicas que usava para burlar a segurança das empresas que atacava, uma era bem simples: ele ligava para alguém com acesso ao sistema que queria invadir e se apresentava como sendo do setor de suporte da própria empresa, fazendo algumas atualizações de software. Pedia, em algum momento da conversa, para que o usuário passasse seu usuário e senha ao sistema de interesse, e depois de mais alguma conversa, desligava o telefone e realizava a invasão.

No processo descrito acima, quais dimensões/elementos da segurança eram burlados por Kevin Mitnick?

Escolha uma:

a. Disponibilidade, irretratabilidade.

b. Confidencialidade e Autenticidade.

c. Confidencialidade, Integridade, Disponibilidade.

d. Autenticidade, Irretratabilidade.

e. Integridade, Disponibilidade, apenas.

<br>

Em 2007, em função de um segmento de rede wi-fi não adequadamente seguro, a rede de lojas de departamento TJX teve sua rede invadida e neste processo mais de 45 milhões de números e registros de cartão de crédito foram acessados indevidamente. Até conseguir resolver o problema, a TJX incorreu em um prejuízo superior a 50 milhões de dólares.

No caso descrito acima, podemos afirmar que o impacto da situação foi:

Escolha uma:

a. O acesso indevido de mais de 45 milhões de números e registros de cartões de crédito.

b. Não houve impacto no caso descrito.

c. O prejuízo de mais de 50 milhões de dólares.

d. A invasão da rede.

c. A não adequação da segurança do segmento wi-fi.

Azevedo, Castro e Serrão (2011) citam as pessoas como ponto inicial de fragilidade dos bancos de dados. O racional é que em que pese haver controles para evitar que pessoas não autorizadas acessem o sistema de bancos de dados, sempre vai haver um contingente de usuários que de fato são autorizados a acessar estes bancos de dados.

Estes usuários expõem duas fragilidades inerentes aos bancos de dados. São elas:

Escolha uma:

a. Acesso aos servidores por funcionários autorizados e Acesso aos equipamentos de rede por funcionários não autorizados.

b. Vulnerabilidades de equipamentos de redes pertencentes à organização e Erros não encontrados no software em operação.

c. Acesso a credenciais por parte de pessoas não autorizadas e Acesso mal-intencionado por parte de pessoas autorizadas.

d. Acesso ao prédio da empresa por parte de funcionários autorizados e Acesso mal-intencionado por pessoas sem credenciais.

e. Acesso à Internet por parte de ex-funcionários mal-intencionados e Acesso à Internet por parte de funcionários autorizados.

No caso da __________ dos bancos de dados, a ameaça é a ____________ dos dados no momento em que o usuário precise acessá-los (e como há usuários ativos 24h/dia, na vasta maioria dos casos, esta _____________ deve ser 24x7, ou seja: 24 horas por dia, 7 dias por semana).

Assinale a alternativa que preenche adequadamente as lacunas do texto acima.

Escolha uma:

a. disponibilidade, indisponibilidade, disponibilidade.

b. confidencialidade, falta de sigilo, confidencialidade.

c. vulnerabilidade, ameaça, vulnerabilidade.

d. autenticidade, ilegitimidade, autenticidade.

e. integridade, fraude, integridade.

Observe os casos de violação de bancos de dados à esquerda e as lições aprendidas, à direita:

I	AOL, 2004	A	O perímetro de entrada na rede — em especial a rede Wi-Fi devem ser protegidos e checados constantemente.
II	TJMaxx, 2007	B	Testar o software é fundamental, pois erros podem comprometer a segurança.
III	Advocate Health Care, 2012	C	É fundamental prevenir a engenharia social, o que se consegue com treinamento e conscientização.
IV	Facebook, 2013	D	Criptografia de banco de dados não é opcional, mas sim fundamental.

                                                                

Escolha uma:

a. I-D, II-C, III-B, IV-A.

b. I-A, II-B, III-C, IV-D.

c. I-D, II-A, III-D, IV-B.

d. I-B, II-A, III-D, IV-C.

e. I-C, II-B, III-D, IV-A.