Questões Questionáveis no Simulado do CompTIA Sec+

Hoje eu deveria estar comemorando: passei na certificação de segurança do CompTIA Security+. Aqui na Tempest há todo um programa de incentivos para que a gente tire essas certificações, muito embora os veteranos insistem muito para a gente não fique se achando "os maiorais" só porque passamos nelas e que o fato de você ter passado em certas provas não necessariamente garante competência na vida real. No processo de estudar e fazer simulados para tirar minha certificação, comecei a perceber que a advertência tem mesmo sua razão de ser: vou mostrar algumas questões do simulado que são "forçadas de barra" e outras que estão, pura e simplesmente, erradas.

Eis alguns exemplos tirados do simulado CompTIA.Braindump.SY0-201.v2010-09-04 (procurem no Google que vocês acham de onde baixá-lo).

Exemplo 1: CRL contém chave privada?!

Como eu passei alguns anos trabalhando na equipe de Infra-Estrutura de Chaves Públicas da Tempest, eu achei que iria tirar essa questão de letra:

"LCR é abreviatura de Lista de Certificados Revogados. Que tipos de chaves estão inclusas em uma LCR?: A) tanto chaves públicas quanto privadas; B) chaves públicas; C) chaves esteganográficas; D) chaves privadas;"

Comecei estranhando já a pergunta: como até o artigo da Wikipedia ensina, LCRs contêm a lista dos números seriais dos certificados que foram revogados pela CA que a emitiu, bem como as datas em que foram revogados.

A princípio fiquei meio confuso, pois nenhuma das repostas fazia sentido para mim... Mas, se admitirmos que o número de série identifica um certificado específico e que o certificado contém uma chave pública, pode-se dizer, por essa lógica meio indireta, que uma CRL "inclui" uma chave pública.

Então, marquei a letra "B" e, para minha surpresa, estava errado! Quando cliquei no botão de "mostrar a resposta", fiquei chocado em ver que a resposta "correta" era a alternativa A: "tanto chave pública quanto privada".

Quer dizer então que se eu sair pegando as CRLs de todas as Autoridades Certificadoras que estão disponíveis na Internet eu vou conseguir pegar as chaves privadas de todo mundo!? Claro que não!

Se eles tivessem dito "quais chaves são afetadas pela LCR", eu daria até pra aceitar que fossem tanto a pública quanto a privada (e isso admitindo que as aplicações checam as LCRs, o que muitas não fazem). Mas dizer que elas estão "inclusas" na LCR é um erro crasso.

Eis aqui o screenshot pra ninguém dizer que estou inventando:

Exemplo 2: DES é um algoritmo de critografia assimétrica?

Novamente cheguei cheio de auto-confiança no que parecia uma pergunta básica sobre algoritmos de criptografia:

"Leve os seguintes algoritmos de criptografia assimétrica em consideração, quais deles foi aplicado primeiro? A) AES; B) Serpent; C) Whirlpool; D) DES;"

Nesse caso, o teste pede para que seja levado em consideração os algorítmos de critografia assimétrica, mas nenhuma das opções é um algoritmo assimétrico: o AES, o Serpent e o DES são algoritmos simétricos e o Whirlpool é um algoritmo de hash criptográfico! Se tivesse uma opção "nenhuma das alternativas", eu a teria marcado sem hesitar.

Eis aí o screenshot com a resposta que eles consideram correta:

Daria pra aceitar essa resposta se o enunciado tivesse dito "algoritmo simétrico", pois o DES foi inventado e adotado antes de todos os demais.

Exemplo 3: 802.1x é o padrão para redes sem fio?

Vejam essa pérola:

O simulado pergunta, qual é o padrão que define as comunicações sem fio? De acordo com o simulado a resposta correta, seria a alternativa "C", 802.1x.

Pensei eu – está errado! O 802.1x é um padrão para controle de acesso de rede baseado em porta de rede (PNAC). Hoje em dia a maioria do roteadores/switches, AccessPoints, PCs, notebooks e até smartphones já suportam o 802.1x. Ele pode ser utilizando tanto em redes LAN ou WLAN. Para ser mais preciso e talvez um pouco pedante, o nome correto do padrão é 802.1X (com "X" maiúsculo).

O ardil deles eu só entendi quando achei essa questão no livro referência CompTIA Security+ Deluxe Study Guide:

Using 802.1x Wireless Protocols: The IEEE 802.1x protocols represent a broad range of wireless protocols for wireless communications. There are two major families of standards, for wireless communications: the 802.11 family and the 802.16 family.

Dá pra perceber que o material de estudo e o simulado, estão utilizando o "x" como uma "variável" para abstrair os possíveis dígitos 1 ou 6 (x=1 para 802.11, que é, realmente padrão das onipresentes redes WiFi e x=6 para o 802.16, conhecido como WiMAX.) Que "casca de banana" maldosa: o "x" minúsculo representa um dígito, mas a tendência de muita gente talvez seja entender o 802.1x como uma grafia ligeiramente errada de 802.1X.

Até onde eu pesquisei, essa nomenclatura "802.1x" com "x" minúsculo não é oficialmente utilizada pelo IEEE ou qualquer outra organização de padrões internacionais, nem as "gigantes da rede" como Cisco, IBM, 3Com não utiliza e também não faz parte do "vocabulário" dos administradores de rede mundo afora.

Então, na minha opinião, não cabe a CompTIA ou o seu material de estudo, criar tal nomenclatura e ainda pior, cobrar isso no exame que diz ser dentro dos padrões internacionais.

Sobre a prova

Confesso que estava com muito mais medo dos meus conceitos estarem diferentes dos elaboradores da prova do que não saber sobre o assunto... Tentei literalmente decorar algumas questões e conceitos para agradar os elaboradores da prova :(

Mas acredito que fui bem, de um score máximo de 900, consegui 850. Levei aproximadamente 100 minutos para responder as 100 questões da prova, revisar e finalizar. Poucas foram as perguntas que estavam realmente iguais as dos simulados. Tinha várias semelhantes, mas sempre com uma "casquinha-de-banana" que tinha que prestar atenção... Várias dessas questões tive que realmente parar e pensar.

No fim, foi um desafio interessante, aprendi algumas coisas sobre leis de custódia de evidência, extintores e coisas do tipo, alguns outros conceitos na área de disponibilidade que não conhecia e reforcei ainda mais os meus conhecimentos nas áreas de segurança e redes como um todo.

Mas esses erros e armadilhas me abriram os olhos e me fizeram entender que os veteranos da Tempest têm razão quando dizem que passar nessas provas é muito mais "dizer o que o avaliador quer ouvir" do que realmente responder o que é tecnicamente correto.

Comentários
Aceita-se formatação à la TWiki. HTML e scripts são filtrados. Máximo 15KiB.

 
Enviando... por favor aguarde...
Comentário enviado com suceso -- obrigado.
Ele aparecerá quando os moderadores o aprovarem.
Houve uma falha no envio do formulário!
Deixei uma nota para os admins verificarem o problema.
Perdoe-nos o transtorno. Por favor tente novamente mais tarde.
Victor Hora | 2010-11-18 11:52:40 | permalink | topo

Enildo,

Obrigado pelo comentário! :)

Piero,

Em primeiro lugar, obrigado pelo comentário e pelo interesse no post.

Olha, em relação a primeira questão, realmente não faz sentido a alternativa "A", pois como eu mesmo mencionei, as LCRs não contém chaves privadas ou públicas.

As LCRs contém apenas os nṹmeros seriais dos certificados que foram revogados! O único tipo de chave que normalmente está associada a uma LCR é referente a assinatura digital da da AC que emitiu aquela LCR.

Basta você pensar que se uma LCR conter chaves privadas, elas não seriam mais privadas e estariam publicamente disponíveis para qualquer um! Até porque as LCRs devem estar disponíveis publicamente para download. Não seria um absurdo!?

Não faria também sentido as LCRs conterem as chaves públicas dos certificados que foram revogados, pois isso aumentaria o tamanho da LCR de forma considerável. A título de exemplo a CRL do Departamento de Defesa dos USA (DoD) hoje está com 20MB, contendo somente o número serial dos certificados, imagine se tivesse todas as chaves públicas!?

Seria interessante se você postasse aqui, onde você achou o material que explicava esse conceito...

Obrigado pelo comentário. :)

Abraço,

Victor.

Piero Lima | 2010-10-16 23:50:13 | permalink | topo

Oi Victor td bem? antes de mais nada, gostaria de lhe parabenizar por sua nova conquista!! do comptia.... estive olhando o assunto onde comentou as questões erradas da prova e no texto da primeira questão errada, tinha uma indicação ao site do wikipedia...fui ate o site para estudar sobre o assunto, e pelo que eu entendi a escolha certa seria a primeira, A, desculpe minha ignorância no assunto pois eu estou começando agora a me interessar pelo seus textos e tenho gostado muito dos assuntos, por isso minha dúvida segue o link http://pt.wikipedia.org/wiki/Criptografia_de_chave_pública

grande abraço

Enildo | 2010-10-07 09:45:54 | permalink | topo

Grande Victor, antes de mais nada parabéns. Realmente todos os testes alem das "cascas de banana" tem esse infortúnio de respostas erradas ou não ter opções devidamente corretas.

abs