Aula 00

NOES DE INFORMTICA (TEORIA E EXERCCIOS) P/POLCIA RODOVIRIA FEDERAL
AULA 0 NOES DE INFORMTICA APRESENTAO Ol queridos (as) amigos (as), meus cumprimentos!
Fora, garra, motivao e persistncia a todos!! Sinto-me muito motivada por iniciar aqui no Ponto esta nova edio do curso de Noes de Informtica (em Teoria e Exerccios Comentados) que ser direcionada ao certame da Polcia Rodoviria Federal (PRF).
Sero
ao
todo
10
aulas,
em os
que
teremos que
RESUMOS ser 800
TERICOS explorados questes,
contemplando pela banca e
pontos
podem de
os dos
COMENTRIOS concursos
provenientes
realizados
preferencialmente pelo CESPE/UnB, para que voc possa se antecipar ao estilo de cobrana que encontrar na sua prova.
Profa Patrcia Lima Quinto www.pontodosconcursos.com.br
Assim, como sabemos que a chave para voc ter um excelente resultado na prova de informtica est no estudo disciplinado da matria e na resoluo constante de inmeras questes, este curso foi criado para auxili-lo neste grande desafio, rumo sua aprovao. A satisfao e motivao esto cada vez maiores, e ser um enorme prazer trabalhar com cada um de vocs neste curso rumo ao to sonhado cargo pblico ! Antes de partir para o desenvolvimento da teoria e dos exerccios, gostaria de me apresentar. Vamos l! Sou a Profa Patrcia Lima Quinto, moro em Belo Horizonte e tenho ministrado aulas de informtica no Ponto dos Concursos desde 2009 (visando certames como Senado Federal, Banco do Brasil, INSS, Polcia Federal, Polcia Rodoviria Federal, Senado Federal, MPU, TCU, Ministrio da Fazenda, Petrobrs, MPOG, ABIN, TRE, TRT, TSE, ANEEL, SEFAZ-DF, SEFAZ-RJ, SEFAZ-SC, SEFAZ-SP, ISS-RJ, ISS-BH, ISS-SP, SUSEP, TJ-DFT, ANVISA, CGU, dentre outros), alm de integrar a equipe dos professores que atuam no Coaching para Concursos do Ponto, assessorando os candidatos para que consigam atingir seu objetivo: a aprovao em concurso pblico, de forma mais rpida e eficiente. Auxilio tambm os candidatos na elaborao dos recursos (Ponto
Recursos). Tambm tenho lecionado disciplinas tcnicas do curso de Sistemas de Informao e Cincia da Computao, tanto na graduao, quanto na ps-graduao. Sou instrutora autorizada CISCO e autora do livro de questes comentadas de informtica para concursos (Foco: FCC), pela Editora GEN/Mtodo, sob a coordenao dos grandes mestres Vicente Paulo e Marcelo Alexandrino, que j est na segunda tiragem da segunda edio, disponvel em: http://www.editorametodo.com.br/produtos_descricao.asp?codigo_produto= 2303. Aproveitem!
Profa Patrcia Lima Quinto
www.pontodosconcursos.com.br
Sou mestre em Engenharia de Sistemas e Computao pela COPPE/UFRJ, ps-graduada em Gerncia de Informtica e bacharel em Informtica pela Universidade Federal de Viosa (UFV). Atuo como membro da Sociedade Brasileira de Computao e da Comisso de Estudo de Segurana da Informao da ABNT, que cria as normas sobre gesto da Segurana da Informao no Brasil; sou editora da revista InfraMagazine; tenho
certificaes tcnicas na rea de segurana, redes e percia forense; alm de artigos publicados a nvel nacional e internacional com temas da rea de informtica. E como no poderia deixar de ser, nas horas vagas, tambm concurseira, j tendo sido aprovada em vrios concursos, como: Analista de Tecnologia da Informao/Suporte, Prodabel (2012); Analista do Ministrio Pblico MG (2012); Professora titular do Departamento de Cincia da Computao do Instituto Federal de Educao, Cincia e Tecnologia (2011); Professora substituta do Departamento de Cincia da Computao da Universidade Federal de Juiz de Fora (2011); Analista de Sistemas, Dataprev (2011); Analista de Sistemas, Infraero (2011); Analista -TIC, Prodemge (2011); Analista de Sistemas, Prefeitura de Juiz de Fora (2007); Analista de Sistemas, SERPRO (concursos de 2001 e 2005); etc.
PLANEJAMENTO DAS AULAS No decorrer do curso disponibilizarei os pontos tericos de relevncia, em conformidade com o contedo cobrado no edital n 1 de 11 de junho de 2013, e, ento trabalharemos as questes comentadas em sua ntegra.
Tpicos do edital abordados neste curso: NOES DE INFORMTICA 1 Noes de sistema operacional Windows. 2 Edio de textos, planilhas e apresentaes (ambiente BrOffice). 3 Redes de computadores. 3.1 Conceitos bsicos, ferramentas, aplicativos e procedimentos de Internet e intranet. 3.2 Programas de navegao (Mozilla Firefox e Google Chrome). 3.3 Programas de correio eletrnico (Mozilla Thunderbird). 3.4 Stios de busca e pesquisa na Internet. 3.5 Grupos de discusso. 3.7 Computao na nuvem (cloud computing). 4 Conceitos de organizao e de gerenciamento de informaes, arquivos, pastas e programas. 5 Segurana da informao. 5.1 Procedimentos de segurana. 5.2 Noes de vrus, worms e pragas virtuais. 5.3 Aplicativos para segurana (antivrus, firewall, anti-spyware etc.). 5.4 Procedimentos de backup. 5.5 Armazenamento de dados na nuvem (cloud storage).
Tambm estarei destacando, ao final de cada aula, no MEMOREX, o que devo tomar nota como mais importante da matria, permitindo melhor fixao dos assuntos apresentados por aula. Ao fim de cada aula ser apresentada tambm a lista com todos os exerccios nela comentados, para que possa, a seu critrio, resolv-los antes de ver o gabarito e ler os comentrios correspondentes.
Distribuio das aulas: Ao todo teremos 10 aulas de Informtica, alm dessa Aula Demonstrativa, conforme disposio listada a seguir, para que voc possa obter total sucesso ao fazer a prova de informtica da PRF!!
Bem, passada a apresentao inicial, espero que este curso seja de grande valia para o seu estudo, fazendo-o superar os desafios vindouros na prova! Por fim, para aqueles que venham a se matricular no curso, ainda teremos o frum para troca de informaes e/ou esclarecimento de dvidas que porventura surgirem. Estarei atenta ao frum, e ser um prazer t-los conosco nessa trajetria de MUITO SUCESSO! Aceitam o convite?
Profa Patrcia Lima Quinto Instagram: patriciaquintao Facebook: http://www.facebook.com/professorapatriciaquintao (Todo dia com novas dicas, desafios e muito mais, espero vocs por l para CURTIR a pgina!)
Como temos um longo caminho pela frente, vamos ao trabalho!! Lembrando que essa apenas uma aula de degustao, para
entenderem a dinmica de nossas aulas, ok!
AULA 0 CONCEITOS BSICOS DE SEGURANA DA INFORMAO E PROTEO CONTRA VRUS, WORMS E DERIVADOS (PARTE I)
Contedo desta Aula Segurana da Informao e tpicos relacionados. Reviso em tpicos e palavras-chave (MEMOREX). Lista de Questes Comentadas. Consideraes finais. Bibliografia. Questes Apresentadas na Aula. Gabarito.
Pgina 07 26 29 42 43 44 48
O que Significa Segurana? colocar tranca nas portas de sua casa? ter as informaes guardadas de forma suficientemente segura para que pessoas sem autorizao no tenham acesso a elas? Vamos nos
preparar para que a prxima vtima no seja voc !!! A segurana uma palavra que est presente em nosso cotidiano e refere-se a um estado de proteo, em que estamos livres de perigos e incertezas!
Segurana da informao o processo de proteger a informao de diversos tipos de ameaas externas e internas para garantir a continuidade dos negcios, minimizar os danos aos negcios e maximizar o retorno dos investimentos e as oportunidades de negcio.
Em uma corporao, a segurana est ligada a tudo o que manipula direta ou indiretamente a informao (inclui-se a tambm a prpria informao e os usurios!!!), e que merece proteo. Esses elementos so chamados de ATIVOS, e podem ser divididos em: tangveis: informaes impressas, mveis, hardware (Ex.:impressoras, scanners); intangveis: marca de um produto, nome da empresa, confiabilidade de um rgo federal etc.; lgicos: informaes armazenadas em uma rede, sistema ERP (sistema de gesto integrada), etc.; fsicos: galpo, sistema de eletricidade, estao de trabalho, etc; humanos: funcionrios.
Quanto maior for a organizao maior ser sua dependncia com relao informao, que pode estar armazenada de vrias formas: impressa em papel, em meios digitais (discos, fitas, DVDs, disquetes, pendrives, etc.), na mente das pessoas, em imagens armazenadas em fotografias/filmes... Solues pontuais isoladas no resolvem toda a problemtica associada segurana da informao. Segurana se faz em pedaos, porm todos eles integrados, como se fossem uma corrente.
Segurana se faz protegendo todos os elos da corrente, ou seja, todos os ativos (fsicos, tecnolgicos e humanos) que compem seu negcio. Afinal, o poder de proteo da corrente est diretamente associado ao elo mais fraco! Princpios da Segurana da Informao A segurana da informao busca proteger os ativos de uma empresa ou indivduo com base na preservao de alguns princpios. Vamos ao estudo de cada um deles!! Os quatro princpios considerados centrais ou principais, mais comumente cobrados em provas, so: a Confidencialidade, a Integridade, a Disponibilidade e a Autenticidade ( possvel encontrar a sigla CIDA, ou DICA, para fazer meno a estes princpios!). Disponibilidade Integridade Confidencialidade Autenticidade Figura. Mnemnico DICA
Confidencialidade (ou sigilo): a garantia de que a informao no ser conhecida por quem no deve. O acesso s informaes deve ser limitado, ou seja, somente as pessoas explicitamente autorizadas podem acess-las. Perda de confidencialidade significa perda de segredo. Se uma informao for confidencial, ela ser secreta e dever ser guardada com segurana, e no divulgada para pessoas sem a devida autorizao para acess-la. Exemplo: o nmero do seu carto de crdito s poder ser conhecido por voc e pela loja em que usado. Se esse nmero for descoberto por algum mal intencionado, o prejuzo causado pela perda de
confidencialidade poder ser elevado, j que podero se fazer passar por voc para realizar compras pela Internet, proporcionando-lhe prejuzos financeiros e uma grande dor de cabea!
Integridade: destaca que a informao deve ser mantida na condio em que foi liberada pelo seu proprietrio, garantindo a sua proteo contra mudanas intencionais, indevidas ou acidentais. Em outras palavras, a garantia de que a informao que foi armazenada a que ser recuperada!!!
A quebra de integridade pode ser considerada sob 2 aspectos: 1. alteraes nos elementos que suportam a informao - so feitas alteraes na estrutura fsica e lgica em que uma informao est armazenada. Por exemplo quando so alteradas as
configuraes de um sistema para ter acesso a informaes restritas; 2. alteraes do contedo dos documentos: ex1.: imagine que algum invada o notebook que est sendo utilizado para realizar a sua declarao do Imposto de Renda deste ano, e, momentos antes de voc envi-la para a Receita Federal a mesma alterada sem o seu consentimento! Neste caso, a
informao no ser transmitida da maneira adequada, o que quebra o princpio da integridade; ex2: alterao de sites por hackers (vide a figura seguinte, retirada de http://www.g1.globo.com). Acesso em jun. 2011.
Figura. Site da Cia - Agncia de Inteligncia do governo Americano que teve seu contedo alterado indevidamente em jun. 2011.
Disponibilidade: a garantia de que a informao deve estar disponvel, sempre que seus usurios (pessoas e empresas autorizadas) necessitarem, no importando o motivo. Em outras palavras, a garantia que a informao sempre poder ser acessada!!! Como exemplo, h quebra do princpio da disponibilidade quando voc decidir enviar a sua declarao do Imposto de Renda pela Internet, no ltimo dia possvel, e o site da Receita Federal estiver indisponvel.
Autenticidade (considerada por alguns autores como autenticao): a capacidade de garantir a identidade de uma pessoa (fsica ou jurdica) que
a
acessa
as
informaes quem se
do
sistema
ou
de
um
servidor (de 10
(computador)
Prof Patrcia Lima Quinto
com
estabelece
uma
transao
comunicao, como um e-mail, ou comercial, como uma venda on-line). por meio da autenticao que se confirma a identidade da pessoa ou entidade que presta ou acessa as informaes! Recursos como senhas (que, teoricamente, s o usurio conhece), biometria, assinatura digital e certificao digital so usados para essa finalidade.
O que queremos sob a tica de segurana? Desejamos entregar a informao CORRETA, para a pessoa CERTA, no momento CORRETO, confirmando a IDENTIDADE da pessoa ou
entidade que presta ou acessa as informaes!!! Entenderam?? Eis a essncia da aplicao dos quatro princpios acima destacados. Ainda, cabe destacar que a perda de pelo menos um desses princpios j ir ocasionar impactos ao negcio (a surgem os incidentes de segurana!!) Quando falamos em segurana da informao, estamos nos referindo a salvaguardas para manter a confidencialidade, integridade,
disponibilidade e demais aspectos da segurana das informaes dentro das necessidades do cliente!
Outros princpios podem ser tambm levados em considerao, como por exemplo: Confiabilidade: pode ser caracterizada como a condio em que um sistema de informao presta seus servios de forma eficaz e eficiente, ou melhor, um sistema de informao ir desempenhar o papel que foi proposto para si.
11
Confiabilidade: visa garantir que um sistema vai se comportar (vai realizar seu servio) segundo o esperado e projetado (ser confivel, fazer bem seu papel).
No-repdio (irretratabilidade): a garantia de que um agente no consiga negar (dizer que no foi feito) uma operao ou servio que modificou ou criou uma informao. Tal garantia condio necessria para a validade jurdica de documentos e transaes digitais. S se pode garantir o no-repdio quando houver autenticidade e integridade (ou seja, quando for possvel determinar quem mandou a mensagem e garantir que a mesma no foi alterada).
Legalidade: aderncia do sistema legislao. Auditoria: a possibilidade de rastrear o histrico dos eventos de um sistema para determinar quando e onde ocorreu uma violao de segurana, bem como identificar os envolvidos nesse processo.
Privacidade:
diz
respeito
ao
direito
fundamental de cada indivduo de decidir quem deve ter acesso aos seus dados pessoais. A privacidade a capacidade de um sistema manter incgnito um usurio
(capacidade de um usurio realizar operaes em um sistema sem que seja identificado), impossibilitando a ligao direta da identidade do usurio com as aes por este realizadas. Privacidade uma caracterstica de segurana requerida, por exemplo, em eleies secretas.
12
Uma informao privada deve ser vista, lida ou alterada somente pelo seu dono. Esse princpio difere da confidencialidade, pois uma informao pode ser considerada confidencial, mas no privada.
Incidente de segurana da informao: indicado por um simples ou por uma srie de eventos de segurana da informao indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operaes do negcio e ameaar a segurana. Exemplos: invaso
digital; violao de padres de segurana de informao.
Vulnerabilidades de Segurana Vulnerabilidade uma fragilidade que poderia ser explorada por uma ameaa para concretizar um ataque.
Outro conceito bastante comum para o termo: Vulnerabilidade uma evidncia ou fragilidade que eleva o grau de exposio dos ativos que sustentam o negcio, aumentando a probabilidade de sucesso pela investida de uma ameaa. Ainda, trata-se de falha no projeto, implementao ou configurao de software ou sistema operacional que, quando explorada por um atacante, resulta na violao da segurana de um computador.
O conhecimento do maior nmero de vulnerabilidades possveis permite equipe de segurana tomar medidas para proteo, evitando assim ataques e consequentemente perda de dados. No h uma receita ou lista padro de vulnerabilidades. Esta deve ser levantada junto a cada organizao ou ambiente. Sempre se deve ter em mente o que precisa ser protegido e de quem precisa ser protegido de acordo
13
com as ameaas existentes. Podemos citar, como exemplo inicial, uma anlise de ambiente em uma sala de servidores de conectividade e Internet com a seguinte descrio: a sala dos servidores no possui controle de acesso fsico!! Eis a vulnerabilidade detectada nesse ambiente.
Outros exemplos de vulnerabilidades: ambientes com informaes sigilosas com acesso no controlado; software mal desenvolvido; hardware sem o devido
acondicionamento e proteo; falta de atualizao de software e hardware;
falta
de
mecanismos
de
ausncia de pessoal capacitado para a segurana; instalaes padro; prediais fora do
monitoramento e controle (auditoria); inexistncia segurana; ausncia de recursos para combate a incndios, etc. de polticas de
Ameaas Segurana Ameaa algo que possa provocar danos segurana da informao, prejudicar as aes da empresa e sua sustentao no negcio, mediante a explorao de uma determinada vulnerabilidade.
14
Em outras palavras, uma AMEAA tudo aquilo que pode comprometer a segurana de um sistema, podendo ser acidental (falha de hardware, erros de programao, desastres naturais, erros do usurio, bugs de software, uma ameaa secreta enviada a um endereo incorreto, etc.) ou deliberada (roubo, espionagem, fraude, sabotagem, invaso de hackers, entre outros). Ameaa pode ser uma pessoa, uma coisa, um evento ou uma ideia capaz de causar dano a um recurso, em termos de confidencialidade, integridade, disponibilidade concorrente, acidentalmente etc. Como erro exemplos humano de ameaa de podemos arquivos etc.), destacar: digitais
cracker, etc.),
(deleo
acidentes
naturais
(inundao
funcionrio
insatisfeito, tcnicas (engenharia social, etc.), ferramentas de software (sniffer, cavalo de troia, etc.).
Basicamente existem dois tipos de ameaas: internas e externas. Ameaas externas: so aqui representadas por todas as tentativas de ataque e desvio de informaes vindas de fora da empresa. Normalmente essas tentativas so realizadas por pessoas com a inteno de prejudicar a empresa ou para utilizar seus recursos para invadir outras empresas.
15
Ameaas internas: esto presentes, independentemente das empresas estarem ou no conectadas Internet. Podem causar desde incidentes leves at os mais graves, como a inatividade das operaes da empresa.
Resumindo, temos que...
Os
ATIVOS
so
os
elementos
que
sustentam
operao do negcio e estes sempre traro consigo VULNERABILIDADES que, por sua vez, submetem os ativos a AMEAAS.
Risco RISCO a medida da exposio qual o sistema computacional est sujeito. Depende da probabilidade de uma ameaa atacar o sistema e do impacto resultante desse ataque. Smola (2003, p. 50) diz que risco a probabilidade de ameaas explorarem vulnerabilidades, provocando perdas de confidencialidade, integridade e disponibilidade, causando, possivelmente, impactos nos negcios. Como exemplo de um risco pode-se imaginar um funcionrio insatisfeito e um martelo ao seu alcance; nesse caso o funcionrio poderia danificar algum ativo da informao. Existem algumas maneiras de se classificar o grau de risco no mercado de segurana, mas de uma forma simples, poderamos tratar como alto, mdio e baixo risco. No caso do nosso exemplo da sala dos servidores, poderamos dizer que, baseado na vulnerabilidade encontrada, a ameaa associada de alto risco.
16
Ciclo da Segurana Como mostrado na figura seguinte os ATIVOS de uma organizao precisam ser protegidos, pois esto sujeitos a VULNERABILIDADES. Se as vulnerabilidades aumentam, aumentam-se os riscos permitindo a explorao por uma ameaa e a concretizao de um ataque. Se estas ameaas crescem, aumentam-se ainda mais os riscos de perda da integridade, disponibilidade e confidencialidade da informao podendo causar impacto nos negcios. Nesse contexto, MEDIDAS DE SEGURANA devem ser tomadas, os riscos devem ser analisados e diminudos para que se estabelea a segurana dos ativos da informao.
protege
Ativos
sujeitos
Ciclo da segurana
Medidas de Segurana
diminui
Riscos
aumenta
Vulnerabilidades
limitados Impactos no negcio

aumenta aumenta aumenta
permitem
Ameaas
Confidencialidade Integridade Disponibilidade causam perdas
Figura. Ciclo da Segurana da Informao (MOREIRA, 2001)
17
Noes de Vrus, Worms e outras Pragas virtuais AMEAAS Segurana da Informao!! Voc sabe o significado de malware? Malware (combinao de malicious software programa malicioso)!
O termo Malware usado para todo e quaisquer softwares maliciosos, programados com o intuito de prejudicar os sistemas de informao, alterar o funcionamento de programas, roubar informaes, causar lentides de redes computacionais, dentre outros.
Resumindo, malwares so programas que executam deliberadamente computador!! aes mal-intencionadas em um
Uma dica: caso tenha condies de baixar alguns vdeos da Internet, no site http://www.antispam.br/videos/ so disponibilizados os vdeos do Cert.Br que ilustram de forma bem didtica a diferena entre os diversos tipos de malware (como vrus, worms, screenloggers, etc.), bem como os mecanismos de defesa principais contra as ameaas da Internet. uma boa fonte de informao para todos vocs!! Tambm recomendo a cartilha
http://cartilha.cert.br/livro/cartilha-seguranca-internet.pdf. Aproveitem!!
Cert.br (2012) destaca algumas das diversas maneiras como os cdigos maliciosos (malwares) podem infectar ou comprometer um computador. So elas:
18
por
meio
da
explorao
de
vulnerabilidades
(falhas
de
segurana)
existentes nos programas instalados; por meio da auto-execuo de mdias removveis infectadas,
como pen-drives; pelo acesso a pginas da Web maliciosas, com a utilizao de navegadores vulnerveis; por meio da ao direta de atacantes que, aps invadirem o computador, incluem arquivos contendo cdigos maliciosos; pela execuo de arquivos previamente infectados, obtidos em anexos de mensagens eletrnicas, via mdias removveis, em pginas Web ou diretamente de outros computadores (atravs do compartilhamento de recursos). Uma vez instalados, os cdigos maliciosos passam a ter acesso aos dados armazenados no computador e podem executar aes em nome dos usurios, de acordo com as permisses de cada usurio. Na categoria de malwares so includos os vrus de computador, Worms, entre outras beldades do mundo da informtica.
Os tipos mais comuns de malware sero detalhados a seguir: -vrus, -worms, -bots, -cavalos de troia (trojans), -spyware, -keylogger, -screenlogger, -ransomwares, -backdoors, -rootkits, etc.
19
Vrus So pequenos cdigos de programao maliciosos que se agregam a arquivos e so transmitidos com eles. Em outras palavras, tecnicamente, um vrus um programa (ou parte de um programa) que se anexa a um arquivo de programa qualquer (como se o estivesse parasitando) e depois disso procura fazer cpias de si mesmo em outros arquivos semelhantes. Quando o arquivo aberto na memria RAM, o vrus tambm , e, a partir da se propaga infectando, isto , inserindo cpias de si mesmo e se tornando parte de outros programas e arquivos de um computador. O vrus depende da execuo do programa ou arquivo hospedeiro para que possa se tornar ativo e dar continuidade ao processo de infeco. Alguns vrus so inofensivos, outros, porm, podem danificar um sistema operacional e os programas de um computador. A seguir destacamos alguns arquivos que podem ser portadores de vrus de computador: arquivos executveis: com extenso .exe ou .com; arquivos de scripts (outra forma de executvel): extenso .vbs; atalhos: extenso .lnk ou .pif; proteo de tela (animaes que aparecem automaticamente quando o computador est ocioso): extenso .scr; documentos do MS-Office: como os arquivos do Word (extenso .doc ou .dot), arquivos do Excel (.xls e .xlt), apresentaes do Powerpoint (.ppt e .pps), bancos de dados do Access (.mdb). arquivos multimdia do Windows Media Player: msicas com extenso .WMA, vdeos com extenso .WMV, dentre outros.
20
Dentre os principais tipos de vrus conhecidos merecem destaque: Vrus Polimrficos Alteram seu formato (mudam de forma)
constantemente. A cada nova infeco, esses vrus geram uma nova sequncia de bytes em seu cdigo, para que o antivrus se confunda na hora de executar a varredura e no reconhea o invasor.
Vrus
Usa a criptografia para se defender sendo capaz de alterar
Oligomrfico tambm a rotina de criptografia em um nmero de vezes pequeno. Um vrus que possui duas rotinas de
decriptografia ento classificado como oligomrfico (Luppi, 2006). Vrus de Boot Infectam o setor de boot (ou MBR Master Boot Record Registro Mestre de Inicializao) dos discos rgidos. Obs.: o Setor de Boot do disco rgido a primeira parte do disco rgido que lida quando o computador ligado. Essa rea lida pelo BIOS (programa responsvel por acordar o computador) a fim de que seja encontrado o Sistema Operacional (o programa que vai controlar o computador durante seu uso). Vrus de Macro Macro: conjunto de comandos que so armazenados em alguns aplicativos e utilizados para automatizar tarefas repetitivas. Vrus que infectam documentos que contm macros.
Um exemplo seria, em um editor de textos, definir uma macro que contenha a sequncia de passos necessrios para imprimir um documento com a orientao de retrato e utilizando a escala de cores em tons de cinza. Um vrus de macro escrito de forma a explorar esta facilidade de automatizao e parte de um arquivo que
21
normalmente manipulado por algum aplicativo que utiliza macros. Para que o vrus possa ser executado, o arquivo que o contm precisa ser aberto e, a partir da, o vrus pode executar uma srie de comandos automaticamente e infectar outros arquivos no computador. Existem alguns aplicativos que possuem arquivos base (modelos) que so abertos sempre que o aplicativo executado. Caso este arquivo base seja infectado pelo vrus de macro, toda vez que o aplicativo for executado, o vrus tambm ser. Arquivos nos formatos gerados por programas da Microsoft, como o Word, Excel,
Powerpoint e Access so os mais suscetveis a este tipo de vrus. Arquivos nos formatos RTF, PDF e PostScript so menos suscetveis, mas isso no significa que no possam conter vrus.
Normal.dotPrincipal alvo de vrus de macro p/Word Vrus de Programa Vrus Stealth Infectam arquivos de programa (de inmeras
extenses, como .exe, .com,.vbs, .pif. Programado para se esconder e enganar o antivrus durante uma varredura deste programa. Tem a
capacidade de se remover da memria temporariamente para evitar que antivrus o detecte. Vrus de Script Propagam-se por meio de scripts, nome que designa uma sequncia de comandos previamente estabelecidos e que so executados automaticamente em um sistema, sem necessidade de interveno do usurio. Dois tipos de scripts muito usados so os projetados com as
22
linguagens Javascript (JS) e Visual Basic Script (VBS). Tanto um quanto o outro podem ser inseridos em pginas Web e interpretados por navegadores como Internet
Explorer e outros. Os arquivos Javascript tornaram-se to comuns na Internet que difcil encontrar algum site atual que no os utilize. Assim como as macros, os scripts no so necessariamente malficos. Na maioria das vezes executam tarefas teis, que facilitam a vida dos usurios prova disso que se a execuo dos scripts for desativada nos navegadores, a maioria dos sites passar a ser apresentada de forma incompleta ou incorreta. Vrus de Telefone Celular Propaga de telefone para telefone atravs da tecnologia bluetooth ou da tecnologia MMS (Multimedia Message Service). O servio MMS usado para enviar mensagens multimdia, isto , que contm no s texto, mas tambm sons e imagens, como vdeos, fotos e animaes. A infeco ocorre da seguinte forma: o usurio recebe uma mensagem que diz que seu telefone est prestes a receber um arquivo e permite que o arquivo infectado seja recebido, instalado e executado em seu aparelho; o vrus, ento, continua o processo de propagao para outros telefones, atravs de uma das tecnologias mencionadas
anteriormente. Os vrus de celular diferem-se dos vrus tradicionais, pois normalmente no inserem cpias de si mesmos em outros arquivos armazenados no telefone celular, mas podem ser especificamente projetados para sobrescrever arquivos de aplicativos ou do sistema operacional instalado no aparelho. Depois de infectar um telefone celular, o vrus pode realizar diversas atividades, tais como: destruir/sobrescrever arquivos;
Prof Patrcia Lima Quinto
a
23
remover contatos da agenda; efetuar ligaes telefnicas; o aparelho fica desconfigurado e tentando se conectar via Bluetooth com outros celulares; a bateria do celular dura menos do que o previsto pelo fabricante, mesmo quando voc no fica horas pendurado nele; emitir algumas mensagens multimdia esquisitas; tentar se propagar para outros telefones.
Worms (Vermes) Programas parecidos com vrus, mas que na verdade so capazes de se propagarem automaticamente atravs de redes, enviando cpias de si mesmo de computador para computador (observe que os worms apenas se copiam, no infectam outros arquivos, eles mesmos so os arquivos !!). Alm disso, geralmente utilizam as redes de comunicao para infectar outros computadores (via e-mails, Web, FTP, redes das empresas etc.). Diferentemente do vrus, o worm no embute cpias de si mesmo em outros programas ou arquivos e no necessita ser explicitamente executado para se propagar. Sua propagao se d atravs da explorao de vulnerabilidades existentes ou falhas na configurao de softwares instalados em computadores.
24
Os Worms podem se espalhar de diversas maneiras, mas a propagao via rede a mais comum. Sua caracterstica marcante a replicao (cpia funcional de si mesmo) e infeco de outros computadores SEM interveno humana e SEM necessidade de um programa hospedeiro. (Ateno)
Worms so notadamente responsveis por consumir muitos recursos. Degradam sensivelmente o desempenho de redes e podem lotar o disco rgido de computadores, devido grande quantidade de cpias de si mesmo que costumam propagar. Alm disso, podem gerar grandes transtornos para aqueles que esto recebendo tais cpias. Difceis de serem detectados, muitas vezes os worms realizam uma srie de atividades, incluindo sua propagao, sem que o usurio tenha
conhecimento. Embora alguns programas antivrus permitam detectar a presena de Worms e at mesmo evitar que eles se propaguem, isto nem sempre possvel.
Interrompemos aqui a nossa aula demonstrativa sobre conceitos bsicos de segurana da informao. Na Aula 2 daremos continuidade a esse assunto, destacando mais "dicas quentes" sobre o tema para a sua prova!
25
MEMOREX -> Direto ao PONTO! A partir deste momento vamos revisar alguns pontos IMPORTANTES da aula por intermdio de quadros sinticos, mapas mentais ou colocao de tpicos e palavras-chave, o que teremos em todas as aulas desse curso.
DNS (Domain Name System Sistema de Nomes de Domnio): Possibilita a associao de nomes amigveis (nomes de domnio) aos endereos IPs dos computadores, permitindo localiz-los por seus nomes em vez de por seus endereos IPs e vice-versa.
Endereo IP: Nmero especialmente desenvolvido para acessar um computador na Internet.
Engenharia Social: Tcnica de ataque que explora as fraquezas humanas e sociais, em vez de explorar a tecnologia.
Honeypot: um recurso computacional de segurana dedicado a ser sondado, atacado ou comprometido.
Malware (combinao de malicious software programa malicioso): Programa que executa deliberadamente aes mal-intencionadas em um computador.
Phishing ou scam: Tipo de fraude eletrnica projetada para roubar informaes particulares que sejam valiosas para cometer um roubo ou fraude posteriormente.
Pharming: Ataque que consiste em corromper o DNS em uma rede de computadores, fazendo com que a URL de um site passe a apontar para o IP de um servidor diferente do original.
26
(Fonte: MapaseQuestes)
Princpios bsicos da segurana da informao: Princpio bsico Conceito Objetivo Proteger contra o acesso Propriedade de que a informao no esteja disponvel ou revelada Confidencialidade a indivduos, entidades ou processos no autorizados. no autorizado, mesmo para dados em trnsito.
27
Princpio bsico
Conceito Propriedade de
Objetivo Proteger informao contra modificao sem permisso; garantir a fidedignidade das informaes. Proteger contra
Integridade
salvaguarda da exatido e completeza de ativos
Propriedade de estar Disponibilidade acessvel e utilizvel sob demanda por uma entidade autorizada
indisponibilidade dos servios (ou degradao); garantir aos usurios com autorizao, o acesso aos dados.
Muito bem, aps termos visto os conceitos primordiais de segurana para a prova, vamos s questes!!
Nesta aula demonstrativa exemplificarei algumas questes de outros temas tambm relacionados nossa matria de segurana da informao, ento pode acontecer de introduzirmos algum conceito diretamente nas questes, por motivos didticos. Todos prontos, ento vamos nessa :-)!
28
QUESTES DE PROVAS COMENTADAS
1. (CESPE/2013/TRT-10RJ/Analista)
As
caractersticas
bsicas
da
segurana da informao confidencialidade, integridade e disponibilidade no so atributos exclusivos dos sistemas computacionais.
Comentrios Essas caractersticas (tambm conhecidas como atributos ou princpios) atuam sobre quaisquer ativos de segurana da informao, que o que a segurana da informao quer proteger, como servidores, estaes de trabalho, sistemas computacionais, etc. Gabarito preliminar: item correto.
2. (CESPE/2013/TRT-10RJ/Analista) O vrus de computador assim denominado em virtude de diversas analogias poderem ser feitas entre esse tipo de vrus e os vrus orgnicos.
Comentrios Primeiro vamos entender que um vrus de computador um programa criado do mesmo modo que os outros programas, ou seja, trata-se de um conjunto de instrues que determinam o que o computador deve fazer, e esses programas contm ordens especficas como modificar outros programas, alterar arquivos e/ou causar vrias outras anomalias. O vrus orgnico uma partcula infecciosa muito pequena constituda de DNA ou RNA (cidos nucleicos presentes na composio dos seres vivos) que causam alterao em seu hospedeiro.
29
Percebeu a semelhana? Ambos se instalam em um organismo/sistema. Ambos causam alterao no organismo/sistema hospedeiro. Ambos so compostos por unidades semelhantes aos de seus hospedeiros (DNA ou RNA para o vrus orgnico e instrues para o vrus de computador). Gabarito preliminar: item correto.
3. (CESPE/2013/TRT-10RJ/Analista) Um computador em uso na Internet vulnervel ao ataque de vrus, razo por que a instalao e a constante atualizao de antivrus so de fundamental importncia para se evitar contaminaes.
Comentrios Afirmao correta, porque se voc se conecta Internet, ou permite que outras pessoas usem seu computador ou compartilhem arquivos com outros computadores voc est suscetvel a ataques tanto diretos dos criminosos virtuais ou indiretamente, porque esses criminosos criam softwares malintencionados com a finalidade de roubar dados ou mesmo danificar seu computador. Os programas antivrus verificam a existncia desses softwares maliciosos em emails e outros arquivos e como os malwares so atualizados a todo momento o banco de dados do antivrus deve sempre estar atualizado porque quando o programa atualizado as informaes sobre novos vrus so adicionadas a uma lista de vrus a serem verificados, ajudando a proteger o seu computador contra novos ataques. Se a lista de vrus estiver
desatualizada, o computador ficar vulnervel a novas ameaas. Gabarito: item correto.
30
4. (Cespe/Cmara dos Deputados/ Arquiteto e Engenheiros/2012) Os worms, assim como os vrus, infectam computadores, mas, diferentemente dos vrus, eles no precisam de um programa hospedeiro para se propagar.
Comentrios Tantos os Worms como os vrus so considerados como malwares (softwares maliciosos que infectam computadores), no entanto, diferentemente do vrus, o Worm no embute cpias de si mesmo em outros programas ou arquivos e no necessita ser explicitamente executado para se propagar. Gabarito: item correto.
5. (CESPE/Tcnico Administrativo Nvel Mdio PREVIC/2011) Entre os atributos de segurana da informao, incluem-se a confidencialidade, a integridade, a disponibilidade e a autenticidade. A integridade consiste na propriedade que limita o acesso informao somente s pessoas ou entidades autorizadas pelo proprietrio da informao.
Comentrios Os quatro princpios considerados centrais ou principais, mais comumente cobrados em provas, esto listados na questo, a saber: a confidencialidade, a integridade, a disponibilidade e a autenticidade ( possvel encontrar a sigla CIDA, ou DICA, para fazer meno a estes princpios!). D I C A isponibilidade ntegridade onfidencialidade utenticidade
Figura. Mnemnico DICA
31
a confidencialidade (sigilo) que evitar o acesso no autorizado s informaes, permitindo somente que pessoas explicitamente autorizadas possam acess-las. A integridade evita alteraes nos dados, garantindo que a informao que foi armazenada a que ser recuperada. Gabarito: item errado.
6. (FGV/2008/SEFAZ-RJ/Fiscal de Rendas) Analise a citao abaixo, relacionada s fraudes na Internet. Como se no bastassem vrus e spam, agora, os internautas tm que ficar atentos para outro tipo de ameaa: as fraudes online. A prtica sempre a mesma: um e-mail chega Caixa de Entrada do programa de correio eletrnico oferecendo promoes e vantagens, ou solicitando algum tipo de recadastramento. A isca para pescar os usurios so empresas conhecidas, como bancos, editoras de jornais e revistas, e lojas de comrcio eletrnico. Os golpes so bem elaborados, mas basta um pouco de ateno para verificar uma srie de incoerncias. Em geral, as mensagens so similares s originais enviadas pelas empresas, e muitas delas tm links para sites que tambm so cpias dos verdadeiros. Mas, nos dois casos, possvel ver imagens quebradas, textos fora de formatao e erros de portugus - algo difcil de ocorrer com empresas que investem tanto em marketing para atrair clientes. Bom... e o que esses fraudadores querem, afinal? Em alguns casos, o propsito fazer o internauta preencher um formulrio no site falso, enviando informaes pessoais. Outras
mensagens pedem apenas que o usurio baixe um arquivo por exemplo, um suposto questionrio que, na verdade, um programa que envia os dados pessoais e financeiros por meio da Internet. De qualquer forma, bom ficar de olho na sua Caixa de Entrada.
32
A citao caracteriza o uso de um tipo de fraude na Internet conhecido por: (A) Keylogger Malware (B) Denial of Service (C) Hoax Spammer (D) Phishing Scam (E) Trojan Horse
Comentrios Esta questo destaca o Golpe de Phishing Scam (ou simplesmente Golpe de Phishing), muito cobrado nas provas de concursos! O Phishing (ou Phishing scam) foi um termo criado para descrever o tipo de fraude que se d atravs do envio de mensagem no solicitada, que se passa por comunicao de uma instituio conhecida, como um banco, rgo do governo (Receita Federal, INSS e Ministrio do Trabalho so os mais comuns) ou site popular, e que procura induzir o acesso a pginas fraudulentas (falsificadas), projetadas para furtar dados pessoais e financeiros de usurios desavisados.
A figura listada a seguir apresenta uma isca (e-mail) envolvendo o Banco do Brasil bastante utilizada em golpes de phishing.
33
Figura. Isca de Phishing Relacionada ao Banco do Brasil A palavra phishing (de fishing) vem de uma analogia criada pelos
fraudadores, em que iscas (e-mails) so usadas para pescar informaes sensveis (senhas e dados financeiros, por exemplo) de usurios da Internet. Atualmente, este termo vem sendo utilizado tambm para se referir aos seguintes casos: mensagem que procura induzir o usurio instalao de cdigos maliciosos, projetados para furtar dados pessoais e financeiros; mensagem que, no prprio contedo, apresenta formulrios para o preenchimento e envio de dados pessoais e financeiros de usurios. O objetivo principal de um scammer (indivduo que implementa o Golpe de Phishing Scam) obter a autenticao. Isto quer dizer, reunir as informaes necessrias para se fazer passar pela VTIMA e obter alguma vantagem financeira. Em seguida, aps obter os dados do carto de crdito, fazer compras pela Internet; aps obter os dados da conta corrente ou poupana, fazer compras on-line, pagamentos ou transferncias; dentre outros. A prxima figura ilustra alguns dos temas mais explorados pelos scammers.
34
Figura. Temas mais explorados pelos Scammers no Golpe de Phishing Scam Gabarito: letra D. 7. (CESPE/2013/TRT-10RJ/Analista) A transferncia de arquivos para pendrives constitui uma forma segura de se realizar becape, uma vez que esses equipamentos no so suscetveis a malwares.
Comentrios Antes de responder a afirmao importante saber que os softwares maliciosos, ou malwares, so todos os tipos de software cujo objetivo provocar danos ao sistema. Dentro desse grupo o exemplo mais conhecido o dos vrus, que so programas que atuam sobre outros programas, como uma aplicao ou mesmo um registro do sistema, modificam seu
comportamento e consequentemente provocam danos dos mais diversos. Com a popularizao dos pendrives desenvolvedores de softwares comearam a produzir verses portteis das aplicaes (programas), incluindo os programas maliciosos (malwares). Logo a afirmao est incorreta pois dispositivos como pendrives, apesar de prticos e teis em backups (cpias de segurana) no so imunes aos malwares. Gabarito: item errado.
35
8. (FGV/2008/SEFAZ-RJ/Fiscal de Rendas) Analise os casos descritos a seguir, referentes a fraudes envolvendo o comrcio eletrnico e Internet Banking. I. O usurio recebe um e-mail de um suposto funcionrio da instituio que mantm o site de comrcio eletrnico ou de um banco, que persuade o usurio a fornecer informaes sensveis, como senhas de acesso ou nmero de cartes de crdito. II. Um hacker compromete o DNS do provedor do usurio, de modo que todos os acessos a um site de comrcio eletrnico ou Internet Banking so redirecionados para uma pgina Web falsificada, semelhante ao site verdadeiro, com o objetivo de o atacante monitorar todas as aes do usurio, como a digitao de sua senha bancria. Nesta situao, normalmente o usurio deve aceitar um novo certificado (que no corresponde ao site verdadeiro), e o endereo mostrado no browser do usurio diferente do endereo correspondente ao site verdadeiro. III. O usurio recebe um e-mail, cujo remetente o gerente do seu banco e que contm uma mensagem que solicita a execuo pelo usurio de um programa anexo ao e-mail recebido, a ttulo de obter acesso mais rpido s informaes mais detalhadas em sua conta bancria. IV. O usurio utiliza computadores de terceiros para acessar sites de comrcio eletrnico ou de Internet Banking, possibilitando o monitoramento de suas aes, incluindo a digitao de senhas ou nmero de cartes de crdito, por meio de programas especificamente projetados para esse fim.
Constituem exemplos de fraudes resultantes de Engenharia Social os casos identificados em: (A) I e II. (B) I e III. (C) II e III. (D) II e IV.
36
(E) III e IV.
Comentrios Engenharia Social uma tcnica em que o atacante (se fazendo passar por outra pessoa) utiliza-se de meios, como uma ligao telefnica ou e-mail, para PERSUADIR o usurio a fornecer informaes ou realizar determinadas aes. Exemplo: algum desconhecido liga para a sua casa e diz ser do suporte tcnico do seu provedor de acesso. Nesta ligao ele informa que sua conexo com a Internet est apresentando algum problema e, ento, solicita sua senha para corrigi-lo. Caso a senha seja fornecida por voc, este suposto tcnico poder realizar uma infinidade de atividades maliciosas com a sua conta de acesso Internet e, portanto, relacionando tais atividades ao seu nome. Vamos resoluo da questo: Item I. A descrio envolve o uso da engenharia social, j que algum (via e-mail neste caso, poderia ser por telefone!) faz uso da persuaso, da ingenuidade ou confiana do usurio, para obter informaes como nmero do carto de crdito e senha do usurio. O item I VERDADEIRO. Item II. Nesse caso, como no houve contato entre o hacker e a vtima, o golpe no pode ser configurado como engenharia social. O golpe em destaque intitulado Pharming (tambm conhecido como DNS Poisoining -
envenamento de DNS). O item II FALSO. isso mesmo pessoal!! Muita ateno neste tipo de golpe! O enunciado do item II o descreve claramente, e gostaria de complementar .... O Pharming um tipo de golpe bem mais elaborado que o Phishing, pois envolve algum tipo de redirecionamento da vtima para sites fraudulentos, atravs de alteraes nos servios de resoluo de nomes (DNS). Lembre-se de que no Pharming o servidor DNS do provedor do usurio comprometido, de modo que todos os acessos a um site de comrcio
37
eletrnico ou Internet Banking so redirecionados para uma pgina Web falsificada, semelhante ao site verdadeiro, com o objetivo de o atacante monitorar todas as aes do usurio, como a digitao de sua senha bancria. Exemplo: pode envolver alterao, no servidor DNS, do endereo IP associado ao endereo www.bradesco.com.br para que aponte para um site rplica do banco Bradesco. Item III. Novamente, o usurio recebe uma mensagem do suposto gerente do banco, induzindo-o a executar um programa qualquer. O item III VERDADEIRO. Item IV. No h engenharia social neste caso. O item IV FALSO. Gabarito: letra B.
Voc Sabia!!! Qual diferena entre Crackers e Hackers? Um do bem e o outro do mal? O termo hacker ganhou, junto opinio pblica influenciada pelos meios de comunicao, uma conotao negativa, que nem sempre corresponde realidade!! Os hackers, por sua definio geral, so aqueles que utilizam seus conhecimentos para invadir sistemas, no com o intuito de causar danos s vtimas, mas sim como um desafio s suas habilidades.
Eles invadem os sistemas, capturam ou modificam arquivos para provar sua capacidade e depois compartilham suas proezas com os colegas. Eles no tm a inteno de prejudicar, mas sim de apenas demonstrar que conhecimento poder. Exmios programadores e conhecedores dos segredos que envolvem as redes e os computadores, eles geralmente no gostam de ser confundidos com crackers.
38
Os crackers so elementos que invadem sistemas para roubar informaes e causar danos s vtimas. O termo crackers tambm uma denominao utilizada para aqueles que decifram cdigos e destroem protees de software. Atualmente, a imprensa mundial atribui qualquer incidente de segurana a hackers, em seu sentido genrico. A palavra cracker no vista nas reportagens, a no ser como cracker de senhas, que um software utilizado para descobrir senhas ou decifrar mensagens cifradas.
9. (FGV/2013/MPE-MS/ANALISTA
(INFORMTICA)
Em
relao
Segurana na Internet, assinale a afirmativa correta. (A) Envio de SPAM no considerado incidente de segurana pelo Cert.br (B) Para preservar a privacidade dos atacados, CSIRTs no disponibilizam estatsticas dos incidentes tratados. (C) Ataques de phishing no podem ser detectados via honeypots. (D) Se as senhas forem mudadas frequentemente pelo usurio, o tamanho delas passa a ser irrelevante em termos de segurana. (E) Os incidentes de segurana nas redes brasileiras devem ser reportados ao Cert.br, que mantido pelo NIC.br.
Comentrios Item A. Item errado. Cert.br (Centro de Estudos, Resposta e Tratamento de Incidentes de Segurana no Brasil) destaca um incidente de segurana como qualquer evento adverso, confirmado ou sob suspeita,
relacionado a segurana de sistemas de computao ou de redes de computadores. Exemplos de incidentes: tentativa de uso ou acesso no autorizado a sistemas ou dados, tentativa de tornar servios indisponveis, desrespeito poltica de segurana (envio de spam, etc.).
39
Item B. Item errado, j que o Cert.br mantm estatsticas sobre notificaes de incidentes a ele reportados. Cabe destacar que essas notificaes so voluntrias e refletem os incidentes ocorridos em redes que espontaneamente os notificaram ao Cert.br. Vide exemplo de uma dessas estatsticas a seguir:
Fonte: http://www.cert.br/stats/incidentes/ Item C. Item errado. Um honeypot um recurso computacional de segurana, devidamente monitorado, que dedicado a ser sondado,
atacado ou comprometido e pode ser usado para o estudo de spam, ataque de phishing, dentre outros. Item D. Item errado. O tamanho da senha sempre muito importante!! Quanto mais longa for a senha mais difcil ser para a sua descoberta. Apesar de senhas longas parecerem, a princpio, difceis de serem digitadas, com o uso frequente elas acabam sendo digitadas facilmente. Item E. Item correto. Os incidentes de segurana nas redes brasileiras devem ser reportados ao Centro de Estudos, Resposta e Tratamento de Incidentes de Segurana no Brasil (Cert.br), mantido pelo Ncleo de Informao e Coordenao do Ponto BR (NIC.br). Gabarito: letra E.
40
10.
(CESPE/MPE-PI/Tcnico Ministerial/rea: Administrativa/ 2012)
Worms so programas maliciosos que se autorreplicam em redes de computadores anexados a algum outro programa existente e instalado em computadores da rede.
Comentrios Os Worms (vermes) tm a capacidade de se propagarem automaticamente atravs de redes, enviando cpias de si mesmo de computador para computador. Sua propagao se d atravs da explorao de vulnerabilidades existentes ou falhas na configurao de softwares instalados em
computadores. Nesse caso, diferentemente do vrus, o Worm no embute cpias de si mesmo em outros programas ou arquivos e no necessita ser explicitamente executado para se propagar. Gabarito: item errado.
41
CONSIDERAES FINAIS Bem, por hoje s!!!
Desejo um excelente curso a todos. Fora!! Avante!!! Tenham a certeza e a convico de que qualquer esforo feito nessa fase ser devidamente compensado. Em outras palavras, esforce-se, mantenha-se focado e
determinado, pois, certamente, valer pena! Para aqueles que venham a se matricular no curso, ainda teremos o frum para troca de informaes e/ou esclarecimento de dvidas que porventura surgirem. Crticas e/ou sugestes so bem-vindas! Fiquem com Deus, e at a nossa prxima aula aqui no Ponto dos Concursos!!
42
BIBLIOGRAFIA QUINTO, PATRCIA LIMA. Notas de aula da disciplina Segurana da Informao. 2012. QUINTO, PATRCIA LIMA. Informtica-FCC-Questes Comentadas e Organizadas por Assunto,2. Edio. Ed. Gen/Mtodo, 2012. CERTBR. Cartilha de Segurana para Internet. Disponvel em:
<http://cartilha.cert.br/livro/cartilha-seguranca-internet.pdf>. 2012. ALBUQUERQUE, R.; RIBEIRO, B. Segurana no Desenvolvimento de Software. Rio de Janeiro: Campus, 2002. Mapas e Questes. Disponvel em: <http://www.mapasequestoes.com.br>. 2012. Mdulo Security. Disponvel em: <http://www.modulo.com.br/>. NAKAMURA, E. T., GEUS, P.L. Segurana de Redes em Ambientes Cooperativos. Ed. Novatec. 2007. RAMOS, A.; BASTOS, A.; LAYRA, A. Guia Oficial para Formao de Gestores em Segurana da Informao. 1. ed. Rio Grande do Sul: ZOUK. 2006. SMOLA, M. Gesto da Segurana da Informao. 2 ed. So Paulo: Campus Elsevier. 2003. FRANA, Jadiel. Informtica para Concursos. Editora Cincia Moderna, 2006.
43
LISTA DAS QUESTES APRESENTADAS NA AULA
1. (CESPE/2013/TRT-10RJ/Analista)
As
caractersticas
bsicas
da
segurana da informao confidencialidade, integridade e disponibilidade no so atributos exclusivos dos sistemas computacionais.
2. (CESPE/2013/TRT-10RJ/Analista) O vrus de computador assim denominado em virtude de diversas analogias poderem ser feitas entre esse tipo de vrus e os vrus orgnicos.
3. (CESPE/2013/TRT-10RJ/Analista) Um computador em uso na Internet vulnervel ao ataque de vrus, razo por que a instalao e a constante atualizao de antivrus so de fundamental importncia para se evitar contaminaes.
4. (Cespe/Cmara dos Deputados/ Arquiteto e Engenheiros/2012) Os worms, assim como os vrus, infectam computadores, mas, diferentemente dos vrus, eles no precisam de um programa hospedeiro para se propagar.
5. (CESPE/Tcnico Administrativo Nvel Mdio PREVIC/2011) Entre os atributos de segurana da informao, incluem-se a confidencialidade, a integridade, a disponibilidade e a autenticidade. A integridade consiste na propriedade que limita o acesso informao somente s pessoas ou entidades autorizadas pelo proprietrio da informao.
6. (FGV/2008/SEFAZ-RJ/Fiscal de Rendas) Analise a citao abaixo, relacionada s fraudes na Internet.
44
Como se no bastassem vrus e spam, agora, os internautas tm que ficar atentos para outro tipo de ameaa: as fraudes online. A prtica sempre a mesma: um e-mail chega Caixa de Entrada do programa de correio eletrnico oferecendo promoes e vantagens, ou solicitando algum tipo de recadastramento. A isca para pescar os usurios so empresas conhecidas, como bancos, editoras de jornais e revistas, e lojas de comrcio eletrnico. Os golpes so bem elaborados, mas basta um pouco de ateno para verificar uma srie de incoerncias. Em geral, as mensagens so similares s originais enviadas pelas empresas, e muitas delas tm links para sites que tambm so cpias dos verdadeiros. Mas, nos dois casos, possvel ver imagens quebradas, textos fora de formatao e erros de portugus - algo difcil de ocorrer com empresas que investem tanto em marketing para atrair clientes. Bom... e o que esses fraudadores querem, afinal? Em alguns casos, o propsito fazer o internauta preencher um formulrio no site falso, enviando informaes pessoais. Outras
mensagens pedem apenas que o usurio baixe um arquivo por exemplo, um suposto questionrio que, na verdade, um programa que envia os dados pessoais e financeiros por meio da Internet. De qualquer forma, bom ficar de olho na sua Caixa de Entrada.
A citao caracteriza o uso de um tipo de fraude na Internet conhecido por: (A) Keylogger Malware (B) Denial of Service (C) Hoax Spammer (D) Phishing Scam (E) Trojan Horse
45
7. (CESPE/2013/TRT-10RJ/Analista) A transferncia de arquivos para pendrives constitui uma forma segura de se realizar becape, uma vez que esses equipamentos no so suscetveis a malwares.
8. (FGV/2008/SEFAZ-RJ/Fiscal de Rendas) Analise os casos descritos a seguir, referentes a fraudes envolvendo o comrcio eletrnico e Internet Banking. I. O usurio recebe um e-mail de um suposto funcionrio da instituio que mantm o site de comrcio eletrnico ou de um banco, que persuade o usurio a fornecer informaes sensveis, como senhas de acesso ou nmero de cartes de crdito. II. Um hacker compromete o DNS do provedor do usurio, de modo que todos os acessos a um site de comrcio eletrnico ou Internet Banking so redirecionados para uma pgina Web falsificada, semelhante ao site verdadeiro, com o objetivo de o atacante monitorar todas as aes do usurio, como a digitao de sua senha bancria. Nesta situao, normalmente o usurio deve aceitar um novo certificado (que no corresponde ao site verdadeiro), e o endereo mostrado no browser do usurio diferente do endereo correspondente ao site verdadeiro. III. O usurio recebe um e-mail, cujo remetente o gerente do seu banco e que contm uma mensagem que solicita a execuo pelo usurio de um programa anexo ao e-mail recebido, a ttulo de obter acesso mais rpido s informaes mais detalhadas em sua conta bancria. IV. O usurio utiliza computadores de terceiros para acessar sites de comrcio eletrnico ou de Internet Banking, possibilitando o monitoramento de suas aes, incluindo a digitao de senhas ou nmero de cartes de crdito, por meio de programas especificamente projetados para esse fim.
Constituem exemplos de fraudes resultantes de Engenharia Social os casos identificados em:

46
(A) I e II. (B) I e III. (C) II e III. (D) II e IV. (E) III e IV.
9. (FGV/2013/MPE-MS/ANALISTA
(INFORMTICA)
Em
relao
Segurana na Internet, assinale a afirmativa correta. (A) Envio de SPAM no considerado incidente de segurana pelo Cert.br (B) Para preservar a privacidade dos atacados, CSIRTs no disponibilizam estatsticas dos incidentes tratados. (C) Ataques de phishing no podem ser detectados via honeypots. (D) Se as senhas forem mudadas frequentemente pelo usurio, o tamanho delas passa a ser irrelevante em termos de segurana. (E) Os incidentes de segurana nas redes brasileiras devem ser reportados ao Cert.br, que mantido pelo NIC.br.
10.
(CESPE/MPE-PI/Tcnico Ministerial/rea: Administrativa/ 2012)
Worms so programas maliciosos que se autorreplicam em redes de computadores anexados a algum outro programa existente e instalado em computadores da rede.
47
GABARITO 1. Item correto. 5. Item errado. 9. Letra E. 10. Item errado. 2.Item correto. 6.Letra D. 7. Item errado. 8. Letra B. 3. Item correto. 4. Item correto.
48

Aula 00

Hochgeladen von

Dokumentinformationen

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Aula 00

Hochgeladen von

Copyright:

Verfügbare Formate

NOES DE INFORMTICA (TEORIA E EXERCCIOS) P/POLCIA RODOVIRIA FEDERAL

RESUMOS ser 800

TERICOS explorados questes,

contemplando pela banca e

NOES DE INFORMTICA (TEORIA E EXERCCIOS) P/POLCIA RODOVIRIA FEDERAL

Profa Patrcia Lima Quinto

NOES DE INFORMTICA (TEORIA E EXERCCIOS) P/POLCIA RODOVIRIA FEDERAL

Profa Patrcia Lima Quinto

NOES DE INFORMTICA (TEORIA E EXERCCIOS) P/POLCIA RODOVIRIA FEDERAL

Profa Patrcia Lima Quinto

NOES DE INFORMTICA (TEORIA E EXERCCIOS) P/POLCIA RODOVIRIA FEDERAL

Profa Patrcia Lima Quinto

NOES DE INFORMTICA (TEORIA E EXERCCIOS) P/POLCIA RODOVIRIA FEDERAL

entenderem a dinmica de nossas aulas, ok!

NOES DE INFORMTICA (TEORIA E EXERCCIOS) P/POLCIA RODOVIRIA FEDERAL

Profa Patrcia Lima Quinto

NOES DE INFORMTICA (TEORIA E EXERCCIOS) P/POLCIA RODOVIRIA FEDERAL

NOES DE INFORMTICA (TEORIA E EXERCCIOS) P/POLCIA RODOVIRIA FEDERAL

NOES DE INFORMTICA (TEORIA E EXERCCIOS) P/POLCIA RODOVIRIA FEDERAL

NOES DE INFORMTICA (TEORIA E EXERCCIOS) P/POLCIA RODOVIRIA FEDERAL

Profa Patrcia Lima Quinto

NOES DE INFORMTICA (TEORIA E EXERCCIOS) P/POLCIA RODOVIRIA FEDERAL

Profa Patrcia Lima Quinto

NOES DE INFORMTICA (TEORIA E EXERCCIOS) P/POLCIA RODOVIRIA FEDERAL

digital; violao de padres de segurana de informao.

NOES DE INFORMTICA (TEORIA E EXERCCIOS) P/POLCIA RODOVIRIA FEDERAL

acondicionamento e proteo; falta de atualizao de software e hardware;

ausncia de pessoal capacitado para a segurana; instalaes padro; prediais fora do

Profa Patrcia Lima Quinto

NOES DE INFORMTICA (TEORIA E EXERCCIOS) P/POLCIA RODOVIRIA FEDERAL

Profa Patrcia Lima Quinto

NOES DE INFORMTICA (TEORIA E EXERCCIOS) P/POLCIA RODOVIRIA FEDERAL

Resumindo, temos que...

Profa Patrcia Lima Quinto

NOES DE INFORMTICA (TEORIA E EXERCCIOS) P/POLCIA RODOVIRIA FEDERAL

limitados Impactos no negcio

Confidencialidade Integridade Disponibilidade causam perdas

Figura. Ciclo da Segurana da Informao (MOREIRA, 2001)

Profa Patrcia Lima Quinto

NOES DE INFORMTICA (TEORIA E EXERCCIOS) P/POLCIA RODOVIRIA FEDERAL

Resumindo, malwares so programas que executam deliberadamente computador!! aes mal-intencionadas em um

Profa Patrcia Lima Quinto

NOES DE INFORMTICA (TEORIA E EXERCCIOS) P/POLCIA RODOVIRIA FEDERAL

Profa Patrcia Lima Quinto

NOES DE INFORMTICA (TEORIA E EXERCCIOS) P/POLCIA RODOVIRIA FEDERAL

Profa Patrcia Lima Quinto

NOES DE INFORMTICA (TEORIA E EXERCCIOS) P/POLCIA RODOVIRIA FEDERAL

Usa a criptografia para se defender sendo capaz de alterar

NOES DE INFORMTICA (TEORIA E EXERCCIOS) P/POLCIA RODOVIRIA FEDERAL

NOES DE INFORMTICA (TEORIA E EXERCCIOS) P/POLCIA RODOVIRIA FEDERAL

NOES DE INFORMTICA (TEORIA E EXERCCIOS) P/POLCIA RODOVIRIA FEDERAL

Profa Patrcia Lima Quinto

NOES DE INFORMTICA (TEORIA E EXERCCIOS) P/POLCIA RODOVIRIA FEDERAL

Profa Patrcia Lima Quinto

NOES DE INFORMTICA (TEORIA E EXERCCIOS) P/POLCIA RODOVIRIA FEDERAL

Endereo IP: Nmero especialmente desenvolvido para acessar um computador na Internet.

Honeypot: um recurso computacional de segurana dedicado a ser sondado, atacado ou comprometido.

Profa Patrcia Lima Quinto

NOES DE INFORMTICA (TEORIA E EXERCCIOS) P/POLCIA RODOVIRIA FEDERAL

Profa Patrcia Lima Quinto

NOES DE INFORMTICA (TEORIA E EXERCCIOS) P/POLCIA RODOVIRIA FEDERAL

salvaguarda da exatido e completeza de ativos

Profa Patrcia Lima Quinto

NOES DE INFORMTICA (TEORIA E EXERCCIOS) P/POLCIA RODOVIRIA FEDERAL