Aula 01 Segurança de Informação

NOES DE INFORMTICA (TEORIA E EXERCCIOS) P/ MPU
PROFa. PATRCIA LIMA QUINTO
AULA 1 - SEGURANA DA INFORMAO E TPICOS RELACIONADOS

Ol pessoal,
Sado a todos vocs, guerreiros (as), decididos (as) a conquistar a aprovao
no Ministrio Pblico da Unio (MPU). Nesta aula vamos abordar o assunto
segurana da informao.
Todos prontos? Ento vamos nessa!

Ah, espero vocs no Twitter e no Facebook, os endereos esto listados a
seguir!
Profa Patrcia Lima Quinto
Twitter: http://www.twitter.com/pquintao
Facebook: http://www.facebook.com/professorapatriciaquintao
Contedo desta Aula
Pgina
Segurana e Tpicos Relacionados.
01
Reviso em Tpicos e Palavras-chave.
52
Lista de Questes Comentadas.
56
Lista de Questes Apresentadas na Aula.
95
Gabarito.
107
www.pontodosconcursos.com.br

O que Significa Segurana?

colocar tranca nas portas de sua casa? ter as informaes
guardadas de forma suficientemente segura para que pessoas
sem
autorizao no tenham acesso a elas?
Vamos nos
preparar para que a prxima vtima no seja voc !!!
A segurana uma palavra que est presente em nosso
cotidiano e refere-se a um estado de proteo, em que
estamos livres de perigos e incertezas!
Segurana da informao o processo de proteger a
informao de diversos tipos de ameaas externas e
internas para garantir a continuidade dos negcios,
minimizar os danos aos negcios e maximizar o
retorno dos investimentos e as oportunidades de
negcio.
Em uma corporao, a segurana est ligada a tudo o que manipula direta ou
indiretamente a informao (inclui-se a tambm a prpria informao e os
usurios!!!), e que merece proteo.
Esses elementos so chamados de ATIVOS, e podem ser divididos em:
tangveis: informaes impressas, mveis, hardware (Ex.:impressoras,
scanners);
intangveis: marca de um produto, nome da empresa, confiabilidade de um

rgo federal etc.;
lgicos: informaes armazenadas em uma rede, sistema ERP (sistema de

gesto integrada), etc.;
fsicos: galpo, sistema de eletricidade, estao de trabalho, etc;
humanos: funcionrios.
Quanto maior for a organizao maior ser sua dependncia com relao
informao, que pode estar armazenada de vrias formas: impressa em papel,
em meios digitais (discos, fitas, DVDs, disquetes, pendrives, etc.), na mente
das pessoas, em imagens armazenadas em fotografias/filmes...
Solues pontuais isoladas no resolvem toda a problemtica associada
segurana da informao. Segurana se faz em pedaos, porm todos
eles integrados, como se fossem uma corrente.

Segurana se faz protegendo todos os elos da corrente, ou seja, todos

os ativos (fsicos, tecnolgicos e humanos) que compem seu negcio.
Afinal, o poder de proteo da corrente est diretamente associado ao
elo mais fraco!
Princpios da Segurana da Informao

A segurana da informao busca proteger os ativos de uma empresa ou
indivduo com base na preservao de alguns princpios. Vamos ao estudo de
cada um deles!!
Os quatro princpios considerados centrais ou principais, mais comumente
cobrados em provas, so: a Confidencialidade, a Integridade, a Disponibilidade
e a Autenticidade ( possvel encontrar a sigla CIDA, ou DICA, para fazer
meno a estes princpios!).
Disponibilidade
Integridade
Confidencialidade
Autenticidade
Figura. Mnemnico DICA
Confidencialidade (ou sigilo): a garantia de que a informao no

ser conhecida por quem no deve. O acesso s informaes deve ser
limitado, ou seja, somente as pessoas explicitamente autorizadas
podem acess-las. Perda de confidencialidade significa perda de segredo.
Se uma informao for confidencial, ela ser secreta e dever ser guardada
com segurana, e no divulgada para pessoas sem a devida autorizao
para acess-la.
Exemplo: o nmero do seu carto de crdito s poder ser conhecido
voc e pela loja em que usado. Se esse nmero for descoberto
algum mal intencionado, o prejuzo causado pela perda
confidencialidade poder ser elevado, j que podero se fazer passar
por
por
de
por
3

voc para realizar compras pela Internet, proporcionando-lhe prejuzos

financeiros e uma grande dor de cabea!
Integridade: destaca que a informao deve ser mantida na condio em

que foi liberada pelo seu proprietrio, garantindo a sua proteo contra
mudanas intencionais, indevidas ou acidentais. Em outras palavras, a
garantia de que a informao que foi armazenada a que ser
recuperada!!!
A quebra de integridade pode ser considerada sob 2 aspectos:
1. alteraes nos elementos que suportam a informao - so feitas
alteraes na estrutura fsica e lgica em que uma informao est
armazenada. Por exemplo quando so alteradas as configuraes de
um sistema para ter acesso a informaes restritas;
2. alteraes do contedo dos documentos:
ex1.: imagine que algum invada o notebook que est sendo
utilizado para realizar a sua declarao do Imposto de Renda deste
ano, e, momentos antes de voc envi-la para a Receita Federal a
mesma alterada sem o seu consentimento! Neste caso, a
informao no ser transmitida da maneira adequada, o que
quebra o princpio da integridade;
ex2: alterao de sites por hackers (vide a figura seguinte, retirada
de http://www.g1.globo.com). Acesso em jun. 2011.
Figura. Site da Cia - agncia de inteligncia do governo Americano que teve seu contedo alterado indevidamente em jun. 2011.
Disponibilidade: a garantia de que a informao deve estar disponvel,

sempre que seus usurios (pessoas e empresas autorizadas) necessitarem,
no importando o motivo. Em outras palavras, a garantia que a
informao sempre poder ser acessada!!!

Como exemplo, h quebra do princpio da disponibilidade quando voc

decidir enviar a sua declarao do Imposto de Renda pela Internet, no
ltimo dia possvel, e o site da Receita Federal estiver indisponvel.
Autenticidade (considerada por alguns autores como autenticao): a

capacidade de garantir a identidade de uma pessoa (fsica ou jurdica)
que acessa as informaes do sistema ou de um servidor
(computador) com quem se estabelece uma transao (de
comunicao, como um e-mail, ou comercial, como uma venda on-line).
por meio da autenticao que se confirma a identidade da pessoa ou
entidade que presta ou acessa as informaes! Recursos como senhas
(que, teoricamente, s o usurio conhece), biometria, assinatura digital e
certificao digital so usados para essa finalidade.
O que queremos sob a tica de segurana?

Desejamos entregar a informao CORRETA, para a pessoa CERTA, no
momento CORRETO, confirmando a IDENTIDADE da pessoa ou
entidade que presta ou acessa as informaes!!! Entenderam??
Eis a essncia da aplicao dos quatro princpios acima destacados. Ainda,
cabe destacar que a perda de pelo menos um desses princpios j ir
ocasionar impactos ao negcio (a surgem os incidentes de segurana!!)
Quando falamos em segurana da informao, estamos nos referindo a
salvaguardas
para
manter
a
confidencialidade,
integridade,
disponibilidade e demais aspectos da segurana das informaes
dentro das necessidades do cliente!
Alguns outros princpios de segurana

considerados na sua prova, como:
tambm
podem
ser
Confiabilidade: visa garantir que um sistema vai se comportar (vai

realizar seu servio) segundo o esperado e projetado (ser confivel,
fazer bem seu papel).
No-Repdio (irretratabilidade):
consiga negar um ato ou documento
necessria para a validade jurdica de
(conseguida atravs da Autenticidade de
a garantia que uma pessoa no

de sua autoria. uma condio
documentos e transaes digitais
Integridade).

Vulnerabilidades de Segurana
Vulnerabilidade uma fragilidade que poderia ser explorada por uma
ameaa para concretizar um ataque.
Outro conceito bastante comum para o termo:

Vulnerabilidade uma evidncia ou fragilidade que eleva o grau de
exposio dos ativos que sustentam o negcio, aumentando a probabilidade de
sucesso pela investida de uma ameaa.
Ainda, trata-se de falha no projeto, implementao ou configurao de
software ou sistema operacional que, quando explorada por um
atacante, resulta na violao da segurana de um computador.
O conhecimento do maior nmero de vulnerabilidades possveis permite

equipe de segurana tomar medidas para proteo, evitando assim ataques
e consequentemente perda de dados.
No h uma receita ou lista padro de vulnerabilidades. Esta deve ser
levantada junto a cada organizao ou ambiente. Sempre se deve ter em
mente o que precisa ser protegido e de quem precisa ser protegido de acordo
com as ameaas existentes. Podemos citar, como exemplo inicial, uma anlise
de ambiente em uma sala de servidores de conectividade e Internet com a
seguinte descrio: a sala dos servidores no possui controle de acesso fsico!!
Eis a vulnerabilidade detectada nesse ambiente.
Outros exemplos de vulnerabilidades:
ambientes com informaes sigilosas

com acesso no controlado;
hardware
sem
o
devido
acondicionamento e proteo;
software mal desenvolvido;
falta de atualizao de software

e hardware;
falta
de
mecanismos
de
monitoramento e controle (auditoria);
ausncia de pessoal capacitado

para a segurana;
inexistncia
segurana;
instalaes
padro;
ausncia de recursos para combate a

incndios, etc.
de
polticas
de
prediais
fora
do
Ameaas Segurana
Ameaa algo que possa provocar danos segurana da informao,
prejudicar as aes da empresa e sua sustentao no negcio, mediante a
explorao de uma determinada vulnerabilidade.

Incidente de segurana da informao: indicado por

um simples ou por uma srie de eventos de segurana
da informao indesejados ou inesperados, que tenham
uma grande probabilidade de comprometer as operaes
do negcio e ameaar a segurana. Exemplos: invaso
digital; violao de padres de segurana de informao.
Em outras palavras, uma AMEAA tudo aquilo que pode comprometer a

segurana de um sistema, podendo ser acidental (falha de hardware,
erros de programao, desastres naturais, erros do usurio, bugs de software,
uma ameaa secreta enviada a um endereo incorreto, etc.) ou deliberada
(roubo, espionagem, fraude, sabotagem, invaso de hackers, entre outros).
Ameaa pode ser uma pessoa, uma coisa, um evento ou uma ideia capaz de
causar dano a um recurso, em termos de confidencialidade, integridade,
disponibilidade etc. Como exemplos de ameaa podemos destacar:
concorrente, cracker, erro humano (deleo de arquivos digitais
acidentalmente etc.), acidentes naturais (inundao etc.), funcionrio
insatisfeito, tcnicas (engenharia social, etc.), ferramentas de software
(sniffer, cavalo de troia, etc.).
Basicamente existem dois tipos de ameaas: internas e externas.
Ameaas externas: so aqui representadas por todas as tentativas de

ataque e desvio de informaes vindas de fora da empresa. Normalmente
essas tentativas so realizadas por pessoas com a inteno de prejudicar a
empresa ou para utilizar seus recursos para invadir outras empresas.

Ameaas internas: esto presentes, independentemente das empresas

estarem ou no conectadas Internet. Podem causar desde incidentes
leves at os mais graves, como a inatividade das operaes da empresa.
Os ATIVOS so os elementos que sustentam a
operao do negcio e estes sempre traro consigo
VULNERABILIDADES que, por sua vez, submetem os
ativos a AMEAAS.
Risco
RISCO a medida da exposio qual o sistema computacional est sujeito.
Depende da probabilidade de uma ameaa atacar o sistema e do impacto
resultante desse ataque.
Smola (2003, p. 50) diz que risco a probabilidade de ameaas
explorarem
vulnerabilidades,
provocando
perdas
de
confidencialidade,
integridade
e
disponibilidade,
causando,
possivelmente, impactos nos negcios.
Como exemplo
martelo ao seu
da informao.
s informaes
de um risco pode-se imaginar um funcionrio insatisfeito e um

alcance; nesse caso o funcionrio poderia danificar algum ativo
Assim pode-se entender como risco tudo aquilo que traz danos
e com isso promove perdas para a organizao.
Existem algumas maneiras de se classificar o grau de risco no mercado de

segurana, mas de uma forma simples, poderamos tratar como alto, mdio e
baixo risco. No caso do nosso exemplo da sala dos servidores, poderamos
dizer que, baseado na vulnerabilidade encontrada, a ameaa associada de
alto risco.
Ciclo da Segurana
Como mostrado na figura seguinte os ATIVOS de uma organizao precisam
ser protegidos, pois esto sujeitos a VULNERABILIDADES.
Se as vulnerabilidades aumentam, aumentam-se os riscos permitindo a
explorao por uma ameaa e a concretizao de um ataque. Se estas
ameaas crescem, aumentam-se ainda mais os riscos de perda da integridade,
disponibilidade e confidencialidade da informao podendo causar impacto nos
negcios.
Nesse contexto, MEDIDAS DE SEGURANA devem ser tomadas, os riscos
devem ser analisados e diminudos para que se estabelea a segurana dos
ativos da informao.

Ativos
protege
Medidas de
Segurana
diminui
sujeitos
aumenta
Ciclo da
segurana
Vulnerabilidades
Riscos
permitem
limitados
Impactos no
negcio
aumenta
aumenta
aumenta
Ameaas
Confidencialidade
Integridade
Disponibilidade
causam
perdas
Figura. Ciclo da Segurana da Informao (MOREIRA, 2001)

Noes de Vrus, Worms e outras Pragas virtuais AMEAAS
Segurana da Informao!!
Voc sabe o significado de malware?
Malware (combinao de malicious software programa
malicioso)!
O termo Malware usado para todo e quaisquer softwares maliciosos,
programados com o intuito de prejudicar os sistemas de informao,
alterar o funcionamento de programas, roubar informaes, causar
lentides de redes computacionais, dentre outros.
Resumindo, malwares so programas que executam

deliberadamente aes mal-intencionadas em um
computador!!

Certbr (2012) destaca algumas das diversas maneiras como os cdigos

maliciosos (malwares) podem infectar ou comprometer um computador. So
elas:
por meio da explorao de vulnerabilidades

existentes nos programas instalados;
(falhas
por
meio
da
como pen-drives;
removveis
pelo acesso a pginas da Web maliciosas, com a utilizao de navegadores

vulnerveis;
por meio da ao direta de atacantes que, aps invadirem o computador,

incluem arquivos contendo cdigos maliciosos;
pela execuo de arquivos previamente infectados, obtidos em anexos de

mensagens eletrnicas, via mdias removveis, em pginas Web ou
diretamente de outros computadores (atravs do compartilhamento de
recursos).
auto-execuo
de
mdias
de
segurana)
infectadas,
Uma vez instalados, os cdigos maliciosos passam a ter acesso aos dados
armazenados no computador e podem executar aes em nome dos usurios,
de acordo com as permisses de cada usurio.
Na categoria de malwares so includos os vrus de computador, Worms, entre
outras beldades do mundo da informtica. Os tipos mais comuns de
malware esto detalhados a seguir:
-vrus,
-worms,
-bots,
-cavalos de troia (trojans),
-spyware,
-keylogger,
-screenlogger,
-ransomwares,
-Backdoors,
-Rootkits, etc.
Vrus
So pequenos cdigos de programao maliciosos que se agregam a
arquivos e so transmitidos com eles. Em outras palavras, tecnicamente,
um vrus um programa (ou parte de um programa) que se anexa a um
arquivo de programa qualquer (como se o estivesse parasitando) e depois
disso procura fazer cpias de si mesmo em outros arquivos semelhantes.
10

Quando o arquivo aberto na memria RAM, o vrus tambm , e, a partir

da se propaga infectando, isto , inserindo cpias de si mesmo e se
tornando parte de outros programas e arquivos de um computador.
O vrus depende da execuo do programa ou arquivo hospedeiro
para que possa se tornar ativo e dar continuidade ao processo de infeco.
Alguns vrus so inofensivos, outros, porm, podem danificar um sistema
operacional e os programas de um computador.
A seguir destacamos alguns arquivos que podem ser portadores de vrus
de computador:
arquivos executveis: com extenso .exe ou .com;
arquivos de scripts (outra forma de executvel): extenso .vbs;
atalhos: extenso .lnk ou .pif;
proteo de tela (animaes que aparecem automaticamente quando o

computador est ocioso): extenso .scr;
documentos do MS-Office: como os arquivos do Word (extenso .doc ou

.dot), arquivos do Excel (.xls e .xlt), apresentaes do Powerpoint (.ppt e
.pps), bancos de dados do Access (.mdb).
arquivos multimdia do Windows Media Player: msicas com extenso

.WMA, vdeos com extenso .WMV, dentre outros.
Dentre os principais tipos de vrus conhecidos merecem destaque:

Vrus
Polimrficos
Alteram
seu
formato
(mudam
de
forma)
constantemente. A cada nova infeco, esses vrus geram
uma nova sequncia de bytes em seu cdigo, para que o
antivrus se confunda na hora de executar a varredura e
no reconhea o invasor.
Vrus
Usa a criptografia para se defender sendo capaz de alterar
Oligomrfico tambm a rotina de criptografia em um nmero de vezes
pequeno. Um vrus que possui duas rotinas de
decriptografia ento classificado como oligomrfico (Luppi,
2006).
Vrus de
Boot
Infectam o setor de boot (ou MBR Master Boot Record

Registro Mestre de Inicializao) dos discos rgidos.
Obs.: o Setor de Boot do disco rgido a primeira parte do
disco rgido que lida quando o computador ligado. Essa
rea lida pelo BIOS (programa responsvel por acordar
o computador) a fim de que seja encontrado o Sistema
Operacional (o programa que vai controlar o computador
durante seu uso).
Vrus de
Vrus que infectam documentos que contm macros.
11

Macro
Macro:
conjunto
de
comandos
que
so
armazenados em alguns aplicativos e utilizados
para automatizar tarefas repetitivas.
Um exemplo seria, em um editor de textos, definir uma
macro que contenha a sequncia de passos necessrios
para imprimir um documento com a orientao de retrato e
utilizando a escala de cores em tons de cinza.
Um vrus de macro escrito de forma a explorar esta
facilidade de automatizao e parte de um arquivo que
normalmente manipulado por algum aplicativo que utiliza
macros. Para que o vrus possa ser executado, o arquivo
que o contm precisa ser aberto e, a partir da, o vrus pode
executar uma srie de comandos automaticamente e
infectar outros arquivos no computador.
Existem alguns aplicativos que possuem arquivos base
(modelos) que so abertos sempre que o aplicativo
executado. Caso este arquivo base seja infectado pelo vrus
de macro, toda vez que o aplicativo for executado, o vrus
tambm ser. Arquivos nos formatos gerados por
programas da Microsoft, como o Word, Excel,
Powerpoint e Access so os mais suscetveis a este
tipo de vrus. Arquivos nos formatos RTF, PDF e PostScript
so menos suscetveis, mas isso no significa que no
possam conter vrus.
Normal.dotPrincipal alvo de vrus de macro p/Word

Vrus de
Programa
Infectam arquivos de programa

extenses, como .exe, .com,.vbs, .pif.
(de
inmeras
Vrus
Stealth
Programado para se esconder e enganar o antivrus

durante uma varredura deste programa. Tem a
capacidade de se remover da memria temporariamente
para evitar que antivrus o detecte.
Vrus de
Script
Propagam-se por meio de scripts, nome que designa

uma sequncia de comandos previamente estabelecidos e
que so executados automaticamente em um sistema, sem
necessidade de interveno do usurio.
Dois tipos de scripts muito usados so os projetados com as
linguagens Javascript (JS) e Visual Basic Script (VBS).
Tanto um quanto o outro podem ser inseridos em pginas
12

Web e interpretados por navegadores como Internet

Explorer e outros. Os arquivos Javascript tornaram-se to
comuns na Internet que difcil encontrar algum site atual
que no os utilize. Assim como as macros, os scripts no
so necessariamente malficos. Na maioria das vezes
executam tarefas teis, que facilitam a vida dos usurios
prova disso que se a execuo dos scripts for desativada
nos navegadores, a maioria dos sites passar a ser
apresentada de forma incompleta ou incorreta.
Vrus de
Telefone
Celular
Propaga de telefone para telefone atravs da tecnologia

bluetooth ou da tecnologia MMS (Multimedia Message
Service). O servio MMS usado para enviar mensagens
multimdia, isto , que contm no s texto, mas tambm
sons e imagens, como vdeos, fotos e animaes.
A infeco ocorre da seguinte forma: o usurio recebe uma
mensagem que diz que seu telefone est prestes a receber
um arquivo e permite que o arquivo infectado seja recebido,
instalado e executado em seu aparelho; o vrus, ento,
continua o processo de propagao para outros telefones,
atravs
de
uma
das
tecnologias
mencionadas
anteriormente.
Os vrus de celular diferem-se dos vrus tradicionais, pois
normalmente no inserem cpias de si mesmos em outros
arquivos armazenados no telefone celular, mas podem ser
especificamente projetados para sobrescrever arquivos de
aplicativos ou do sistema operacional instalado no aparelho.
Depois de infectar um telefone celular, o vrus pode realizar
diversas atividades, tais como:
destruir/sobrescrever arquivos;
remover contatos da agenda;
efetuar ligaes telefnicas;
o aparelho fica desconfigurado e

tentando
se
conectar
via
Bluetooth com outros celulares;
a bateria do celular dura menos

do que o previsto pelo fabricante,
mesmo quando voc no fica
horas pendurado nele;
emitir
algumas
mensagens
multimdia esquisitas;
tentar se propagar para outros

telefones.
13

Worms (Vermes)
Programas parecidos com vrus, mas que na verdade so capazes
de se propagarem automaticamente atravs de redes,
enviando cpias de si mesmo de computador para computador
(observe que os worms apenas se copiam, no infectam outros
arquivos, eles mesmos so os arquivos !!). Alm disso, geralmente
utilizam as redes de comunicao para infectar outros computadores (via
e-mails, Web, FTP, redes das empresas etc.).
Diferentemente do vrus, o worm no embute cpias de si mesmo em
outros programas ou arquivos e no necessita ser explicitamente
executado para se propagar. Sua propagao se d atravs da
explorao de vulnerabilidades existentes ou falhas na configurao de
softwares instalados em computadores.
Os Worms podem se espalhar de diversas maneiras, mas a
propagao via rede a mais comum. Sua caracterstica marcante
a replicao (cpia funcional de si mesmo) e infeco de outros
computadores SEM interveno humana e SEM necessidade de
um programa hospedeiro. (Ateno)
Worms so notadamente responsveis por consumir muitos recursos.

Degradam sensivelmente o desempenho de redes e podem lotar o
disco rgido de computadores, devido grande quantidade de cpias
de si mesmo que costumam propagar. Alm disso, podem gerar
grandes transtornos para aqueles que esto recebendo tais cpias.
Difceis de serem detectados, muitas vezes os worms realizam uma srie de
atividades, incluindo sua propagao, sem que o usurio tenha
conhecimento. Embora alguns programas antivrus permitam detectar a
presena de Worms e at mesmo evitar que eles se propaguem, isto nem
sempre possvel.
Bots (Robs)
De modo similar ao worm, um programa capaz de se propagar
automaticamente, explorando vulnerabilidades existentes ou falhas na
configurao de software instalado em um computador.
Adicionalmente ao worm, dispe de mecanismos de comunicao com o
invasor, permitindo que o bot seja controlado remotamente. Os bots
esperam por comandos de um hacker, podendo manipular os sistemas
infectados, sem o conhecimento do usurio.
Segundo CertBr(2012) a comunicao entre o invasor e o computador
infectado pelo bot pode ocorrer via canais de IRC, servidores Web e redes
do tipo P2P, entre outros meios. Ao se comunicar, o invasor pode enviar
14

instrues para que aes maliciosas sejam executadas, como desferir

ataques, furtar dados do computador infectado e enviar spam.
Nesse ponto, cabe destacar um termo que j foi cobrado vrias
vezes em prova pela banca!! Trata-se do significado do termo botnet,
juno da contrao das palavras robot (bot) e network (net). Uma rede
infectada por bots denominada de botnet (tambm conhecida como rede
zumbi), sendo composta geralmente por milhares desses elementos
maliciosos que ficam residentes nas mquinas, aguardando o comando de
um invasor.
Quanto mais zumbis (zombie computers) participarem da botnet mais
potente ela ser. Um invasor que tenha controle sobre uma botnet pode
utiliz-la para coletar informaes de um grande nmero de computadores,
aumentar a potncia de seus ataques, por exemplo, para enviar centenas
de milhares de e-mails de phishing ou spam, desferir ataques de negao
de servio etc. (CERT.br, 2012).
O esquema simplificado apresentado a seguir destaca o funcionamento
bsico de uma botnet (CERT.br, 2012):
o atacante propaga um tipo especfico de bot com a inteno de
infectar e conseguir a maior quantidade possvel de mquinas zumbis;
essas mquinas zumbis ficam ento disposio do atacante, agora
seu controlador, espera dos comandos a serem executados;
quando o controlador deseja que uma ao seja realizada, ele envia
s mquinas zumbis os comandos a serem executados, usando, por
exemplo, redes do tipo P2P ou servidores centralizados;
as mquinas zumbis executam ento os comandos recebidos, durante
o perodo predeterminado pelo controlador;
quando a ao encerrada, as mquinas zumbis voltam a ficar
espera dos prximos comandos a serem executados.
Trojan Horse (Cavalo de Troia)

um programa aparentemente inofensivo que entra em seu computador na
forma de carto virtual, lbum de fotos, protetor de tela, jogo etc., e que,
quando executado (com a sua autorizao!), parece lhe divertir, mas, por
trs abre portas de comunicao do seu computador para que ele possa ser
invadido.
15

Por definio, o Cavalo de Troia distingue-se de um vrus ou

de um worm por no infectar outros arquivos, nem
propagar cpias de si mesmo automaticamente.
O trojans ficaram famosos na Internet pela facilidade de uso, e por

permitirem a qualquer pessoa possuir o controle de um outro computador
apenas com o envio de um arquivo.
Os trojans atuais so divididos em duas partes, que so: o servidor e o
cliente. Normalmente, o servidor encontra-se oculto em algum outro
arquivo e, no momento em que o arquivo executado, o servidor se instala
e se oculta no computador da vtima. Nesse momento, o computador j
pode ser acessado pelo cliente, que enviar informaes para o servidor
executar certas operaes no computador da vtima.
O Cavalo de Troia no um vrus, pois no se duplica e no se
dissemina como os vrus.
Na maioria das vezes, ele ir instalar programas para possibilitar que um
invasor tenha controle total sobre um computador.
Estes programas podem permitir que o invasor:
veja e copie
computador;
instalao de keyloggers ou screenloggers (descubra todas as senhas

digitadas pelo usurio);
furto de senhas e outras informaes sensveis, como nmeros de

cartes de crdito;
incluso de backdoors, para permitir que um atacante tenha total

controle sobre o computador;
formate o disco rgido do computador, etc.
ou
destrua
todos
os
arquivos
armazenados
no
16

Exemplos comuns de Cavalos de Troia so programas que voc recebe ou

obtm de algum site e que parecem ser apenas cartes virtuais animados,
lbuns de fotos de alguma celebridade, jogos, protetores de tela, entre
outros. Enquanto esto sendo executados, estes programas podem ao
mesmo tempo enviar dados confidenciais para outro computador, instalar
backdoors, alterar informaes, apagar arquivos ou formatar o disco rgido.
Figura. Um spam contendo um Cavalo de Troia. O usurio ser

infectado se clicar no link e executar o anexo.
H diferentes tipos de trojans, classificados de acordo com as aes maliciosas
que costumam executar ao infectar um computador. Alguns desses tipos
apontados por Certbr (2012) so:
Trojan Downloader: instala outros cdigos maliciosos, obtidos de sites

na Internet.
Trojan Dropper: instala outros cdigos maliciosos, embutidos no

prprio cdigo do trojan.
Trojan Backdoor: inclui backdoors, possibilitando o acesso remoto do

atacante ao computador.
Trojan DoS: instala ferramentas de negao de servio e as utiliza para

desferir ataques.
Trojan Destrutivo: altera/apaga arquivos e diretrios, formata o disco

rgido e pode deixar o computador fora de operao.
Trojan Clicker: redireciona a navegao do usurio para sites

especficos, com o objetivo de aumentar a quantidade de acessos a estes
sites ou apresentar propagandas.
Trojan Proxy: instala um servidor de proxy, possibilitando que o

computador seja utilizado para navegao annima e para envio de
spam.
17

Trojan Spy: instala programas spyware e os utiliza para coletar

informaes sensveis, como senhas e nmeros de carto de crdito, e
envi-las ao atacante.
Trojan Banker: coleta dados bancrios do usurio, atravs da

instalao de programas spyware que so ativados nos acessos aos sites
de Internet Banking. similar ao Trojan Spy porm com objetivos mais
especficos.
Spyware
Trata-se de um programa espio (spy em ingls = espio), que tem
por finalidade monitorar as atividades de um sistema e enviar as
informaes coletadas para terceiros.
Pode ser usado tanto de forma legtima quanto maliciosa, dependendo de
como instalado, das aes realizadas, do tipo de informao monitorada e
do uso que feito por quem recebe as informaes coletadas. Vamos
diferena entre seu uso:
Legtimo: quando instalado em um computador pessoal, pelo prprio
dono ou com consentimento deste, com o objetivo de verificar se
outras pessoas o esto utilizando de modo abusivo ou no autorizado.
Malicioso: quando executa aes que podem comprometer a
privacidade do usurio e a segurana do computador, como monitorar
e capturar informaes referentes navegao do usurio ou
inseridas em outros programas (por exemplo, conta de usurio e
senha).
Alguns tipos especficos de programas spyware so:
Keylogger (Copia as teclas digitadas!)
Um tipo de malware que capaz de capturar e armazenar as teclas
digitadas pelo usurio no teclado de um computador. Dentre as
informaes capturadas podem estar o texto de um e-mail, dados digitados
na declarao de Imposto de Renda e outras informaes sensveis, como
senhas bancrias e nmeros de cartes de crdito. Em muitos casos, a
ativao do keylogger condicionada a uma ao prvia do usurio, como
por exemplo, aps o acesso a um site especfico de comrcio eletrnico ou
Internet Banking. Normalmente, o keylogger contm mecanismos que
permitem o envio automtico das informaes capturadas para terceiros
(por exemplo, atravs de e-mails).
18

Screenloggers (Copia as telas acessadas!)

As instituies financeiras desenvolveram os teclados virtuais para evitar
que os keyloggers pudessem capturar informaes sensveis de usurios.
Ento, foram desenvolvidas formas mais avanadas de keyloggers, tambm
conhecidas como screenloggers capazes de: armazenar a posio do
cursor e a tela apresentada no monitor, nos momentos em que o mouse
clicado, ou armazenar a regio que circunda a posio onde o mouse
clicado.
Normalmente, o keylogger vem como parte de um programa spyware ou
cavalo de troia. Desta forma, necessrio que este programa seja
executado para que o keylogger se instale em um computador. Geralmente,
tais programas vm anexados a e-mails ou esto disponveis em sites na
Internet. Existem ainda programas leitores de e-mails que podem estar
configurados para executar automaticamente arquivos anexados s
mensagens. Neste caso, o simples fato de ler uma mensagem suficiente
para que qualquer arquivo anexado seja executado.
Adware (Advertising software)
Projetado especificamente para apresentar propagandas. Este tipo de
programa geralmente no prejudica o computador. O adware apresenta
anncios, cria cones ou modifica itens do sistema operacional com o intuito
de exibir alguma propaganda. Um adware malicioso pode abrir uma janela
do navegador apontando para pginas de cassinos, vendas de remdios,
pginas pornogrficas, etc. Um exemplo do uso legtimo de adwares pode
ser observado no programa de troca instantnea de mensagens MSN
Messenger.
Ransomwares (Pede resgate)

So softwares maliciosos que, ao infectarem um computador, criptografam
todo ou parte do contedo do disco rgido. Os responsveis pelo software
exigem da vtima, um pagamento pelo "resgate" dos dados.
Em 2012, a McAfee observou o aumento do nmero de
ameaas mveis, com a expanso do ransomware
(sequestro de equipamentos) para dispositivos
mveis. O desenvolvimento e a distribuio de tecnologias
de ransomware sofisticadas, que impedem o uso de
telefones ou tablets e ameaam mant-los assim at que um
resgate seja pago, so uma tendncia considervel em
2013. Como os atacantes sequestram a capacidade de o
usurio acessar seus dados, as vtimas tero as opes de
perder suas informaes ou pagar resgate para recuperar o
acesso.
Fonte:
http://adrenaline.uol.com.br/seguranca/noticias/15160/mcafeepreve-as-principais-ameacas-para-2013.html
19

Backdoors (Abre portas)

Normalmente um atacante procura garantir uma forma de retornar a um
computador comprometido, sem precisar recorrer aos mtodos utilizados na
realizao da invaso. Na maioria dos casos, tambm inteno do
atacante poder retornar ao computador comprometido sem ser notado. A
esses programas que permitem o retorno de um invasor a um computador
comprometido, utilizando servios criados ou modificados para este fim, dse o nome de backdoor.
A forma usual de incluso de um backdoor consiste na disponibilizao de
um novo servio ou substituio de um determinado servio por uma verso
alterada, normalmente possuindo recursos que permitam acesso remoto
(atravs da Internet). Pode ser includo por um invasor ou atravs de um
cavalo de troia. Programas de administrao remota, como BackOrifice,
NetBus, Sub-Seven, VNC e Radmin, se mal configurados ou utilizados sem o
consentimento do usurio, tambm podem ser classificados como
backdoors.
Rootkit
Tipo de malware cuja principal inteno se camuflar, para assegurar a sua
presena no computador comprometido, impedindo que seu cdigo seja
encontrado por qualquer antivrus. Isto possvel por que esta aplicao
tem a capacidade de interceptar as solicitaes feitas ao sistema
operacional, podendo alterar o seu resultado.
O invasor, aps instalar o rootkit, ter acesso privilegiado ao computador
previamente comprometido, sem precisar recorrer novamente aos mtodos
utilizados na realizao da invaso, e suas atividades sero escondidas do
responsvel e/ou dos usurios do computador.
Um rootkit pode fornecer programas com as mais diversas funcionalidades.
Dentre eles, merecem destaque:
programas para esconder atividades e informaes deixadas pelo

invasor, tais como arquivos, diretrios, processos etc.;
backdoors, para assegurar o acesso futuro do invasor ao computador

comprometido;
programas para remoo de evidncias em arquivos de logs;
sniffers, para capturar informaes na rede onde o computador est

localizado, como por exemplo senhas que estejam trafegando em claro,
ou seja, sem qualquer mtodo de criptografia;
scanners, para
computadores.
mapear
potenciais
vulnerabilidades
em
outros
20

Figura. Tabela comparativa dos principais tipos de malware
Fonte: CertBr (2012)

Ataques a Sistemas Computacionais
Ataque uma alterao no fluxo normal de uma informao que afeta
um dos servios oferecidos pela segurana da informao. Ele
decorrente de uma vulnerabilidade que explorada por um atacante em
potencial.
A figura seguinte representa um fluxo de informaes e quatro ameaas
possveis para a segurana de um sistema de informao:
21

Interrupo: ataque na transmisso da mensagem, em que o fluxo de

dados interrompido. Um exemplo pode ser a danificao de
componentes de hardware ou a queda do sistema de comunicao por
sabotagem.
Interceptao: este um ataque sobre a confidencialidade. Ocorre

quando uma pessoa no autorizada tem acesso s informaes
confidenciais de outra. Um exemplo seria a captura de dados na rede ou a
cpia ilegal de um arquivo.
Modificao: este um ataque integridade da mensagem. Ocorre

quando uma pessoa no autorizada, alm de interceptar as mensagens,
altera o contedo da mensagem e envia o contedo alterado para o
destinatrio.
Fabricao: este um ataque sobre a autenticidade. Uma pessoa no

autorizada insere mensagens no sistema assumindo o perfil de um usurio
autorizado.
Figura - Exemplos de ataques contra um sistema de informao
22

Os principais tipos de ataque so:
Engenharia Social
o mtodo de se obter dados importantes de pessoas atravs da velha
lbia. A engenharia social a tcnica que explora as fraquezas
humanas e sociais, em vez de explorar a tecnologia. Guarde isso!!!
Em redes corporativas que so alvos mais apetitosos para invasores, o
perigo ainda maior e pode estar at sentado ao seu lado. Um colega
poderia tentar obter sua senha de acesso mesmo tendo uma prpria, pois
uma sabotagem feita com sua senha parece bem mais interessante do que
com a senha do prprio autor.
Phishing (tambm conhecido como Phishing scam, ou apenas scam)

Importante!!!
Phishing um tipo de fraude eletrnica projetada para roubar
informaes particulares que sejam valiosas para cometer um roubo ou
fraude posteriormente.
O golpe de phishing realizado por uma pessoa mal-intencionada atravs
da criao de um website falso e/ou do envio de uma mensagem eletrnica
falsa, geralmente um e-mail ou recado atravs de scrapbooks como no stio
Orkut, entre outros exemplos.
Utilizando de pretextos falsos, tenta enganar o receptor da mensagem e
induzi-lo a fornecer informaes sensveis (nmeros de cartes de crdito,
senhas, dados de contas bancrias, entre outras).
As duas figuras seguintes apresentam iscas (e-mails) utilizadas em golpes
de phishing, uma envolvendo o Banco de Brasil e a outra o Serasa.
Figura. Isca de Phishing Relacionada ao Banco do Brasil
23

Figura. Isca de Phishing Relacionada ao SERASA
A palavra phishing (de fishing) vem de uma analogia criada pelos

fraudadores, em que iscas (e-mails) so usadas para pescar
informaes sensveis (senhas e dados financeiros, por exemplo) de
usurios da Internet.
Atualmente, este termo vem sendo utilizado tambm para se referir aos
seguintes casos:
mensagem que procura induzir o usurio instalao de cdigos

maliciosos, projetados para furtar dados pessoais e financeiros;
mensagem que, no prprio contedo, apresenta formulrios para o

preenchimento e envio de dados pessoais e financeiros de
usurios.
Pharming
O Pharming uma tcnica que utiliza o sequestro ou a "contaminao"
do servidor DNS (Domain Name Server) para levar os usurios a um
site falso, alterando o DNS do site de destino. O sistema tambm pode
redirecionar os usurios para sites autnticos atravs de proxies
controlados, que podem ser usados para monitorar e interceptar a
digitao.
Os sites falsificados coletam nmeros de cartes de crdito, nomes de
contas, senhas e nmeros de documentos. Isso feito atravs da exibio
de um pop-up para roubar a informao antes de levar o usurio ao site
real. O programa mal-intencionado usa um certificado auto-assinado para
fingir a autenticao e induzir o usurio a acreditar nele o bastante para
inserir seus dados pessoais no site falsificado. Outra forma de enganar o
usurio sobrepor a barra de endereo e status de navegador para induzilo a pensar que est no site legtimo e inserir suas informaes.
24

Nesse contexto, programas criminosos podem ser instalados nos PCs dos
consumidores para roubar diretamente as suas informaes. Na maioria dos
casos, o usurio no sabe que est infectado, percebendo apenas uma
ligeira reduo na velocidade do computador ou falhas de funcionamento
atribudas a vulnerabilidades normais de software.
Sniffing
Processo de captura das informaes da rede por meio de um
software de escuta de rede (conhecido como sniffer, farejador ou
ainda capturador de pacote), capaz de interpretar as informaes
transmitidas no meio fsico.
Sniffers (farejadores ou ainda capturadores de pacotes): por padro,
os computadores (pertencentes mesma rede) escutam e respondem
somente pacotes endereados a eles. Entretanto, possvel utilizar um
software que coloca a interface num estado chamado de modo promscuo.
Nessa condio o computador pode monitorar e capturar os dados
trafegados atravs da rede, no importando o seu destino legtimo.
Os programas responsveis por capturar os pacotes de rede so chamados
Sniffers, Farejadores ou ainda Capturadores de Pacote. Eles exploram o fato
do trfego dos pacotes das aplicaes TCP/IP no utilizar nenhum tipo de
cifragem nos dados. Dessa maneira um sniffer atua na rede farejando
pacotes na tentativa de encontrar certas informaes, como nomes de
usurios, senhas ou qualquer outra informao transmitida que no esteja
criptografada.
A dificuldade no uso de um sniffer que o atacante precisa instalar o
programa em algum ponto estratgico da rede, como entre duas mquinas,
(com o trfego entre elas passando pela mquina com o farejador) ou em
uma rede local com a interface de rede em modo promscuo.
Denial of Service (DoS)
25

Os ataques de negao de servio (denial of service - DoS) consistem

em impedir o funcionamento de uma mquina ou de um servio especfico.
No caso de ataques a redes, geralmente ocorre que os usurios legtimos de
uma rede no consigam mais acessar seus recursos.
O DoS acontece quando um atacante envia vrios pacotes ou requisies de
servio de uma vez, com objetivo de sobrecarregar um servidor e, como
consequncia, impedir o fornecimento de um servio para os demais
usurios, causando prejuzos.
No DoS o atacante utiliza um computador para tirar de
operao um servio ou computador(es) conectado(s)
Internet!!.
Como exemplo deste tipo de ataque tem-se o seguinte contexto: gerar uma
sobrecarga no processamento de um computador, de modo que o usurio
no consiga utiliz-lo; gerar um grande trfego de dados para uma rede,
ocasionando a indisponibilidade dela; indisponibilizar servios importantes
de um provedor, impossibilitando o acesso de seus usurios.
Cabe ressaltar que se uma rede ou computador sofrer um DoS, isto no
significa que houve uma invaso, pois o objetivo de tais ataques
indisponibilizar o uso de um ou mais computadores, e no invadi-los.
CAIU EM PROVA (Polcia Federal)

26

Um dos mais conhecidos ataques a um computador conectado a

uma rede o de negao de servio (DoS Denial Of Service), que
ocorre quando um determinado recurso torna-se indisponvel devido
ao de um agente que tem por finalidade, em muitos casos,
diminuir a capacidade de processamento ou de armazenagem de
dados.
Distributed Denial of Service (DDoS) -> So os ataques coordenados!

Em dispositivos com grande capacidade de processamento, normalmente,
necessria uma enorme quantidade de requisies para que o ataque seja
eficaz. Para isso, o atacante faz o uso de uma botnet (rede de
computadores zumbis sob comando do atacante) para bombardear o
servidor com requisies, fazendo com que o ataque seja feito de forma
distribuda (Distributed Denial of Service DDoS).
No DDoS - ataque de negao de servio distribudo-,
um conjunto de computadores utilizado para tirar de
operao um ou mais servios ou computadores
conectados Internet.
Veja a notcia seguinte, e fiquem ligados sobre o tema!

Conforme destaca http://www.torresonline.com.br/entenda-como-aconteceua-queda-dos-servidores-dos-sites-do-governo-brasileiro/
o
ataque
distribudo por negao de servio (DDoS, do ingls Distributed Denialof-Service attack) atinge sua meta excedendo os limites do servidor. Para tal
faanha, os responsveis pelo ataque criam
programas maliciosos que so instalados em
diversas mquinas, as quais realizaro mltiplos
acessos simultneos ao site em questo.
E como os servidores possuem limitaes com
relao ao nmero de acessos em um mesmo
instante, acaba ocorrendo que o servidor no
aguenta atender s requisies e retirado do ar. Um ataque distribudo por
negao de servio pode simplesmente reiniciar os servidores ou pode causar o
travamento total do sistema que opera por trs do site.
Os zumbis tambm tm culpa
Para aumentar a eficcia do ataque, um DDoS muitas vezes conta com a ajuda
de mquinas zumbis, que integram uma rede zumbi. Computadores desse
tipo foram infectados por pragas que tornam o acesso internet
extremamente lento, isso porque eles esto sob o comando de outra
mquina, tambm conhecido como computador-mestre. Importante
27

E justamente por contar com uma legio de mquinas atacando que os DDoS
tm grande eficincia. Por se tratar de milhares computadores realizando o
ataque, fica muito mais difcil combat-lo, porque os responsveis pela
segurana do servidor no conseguem estabelecer regras para impedir todos
os acessos que esto causando danos.
SYN Flood
O SYN Flood um dos mais populares ataques de negao de servio. O
ataque consiste basicamente em se enviar um grande nmero de
pacotes de abertura de conexo, com um endereo de origem
forjado (IP Spoofing), para um determinado servidor.
O servidor ao receber estes pacotes, coloca uma entrada na fila de
conexes em andamento, envia um pacote de resposta e fica aguardando
uma confirmao da mquina cliente. Como o endereo de origem dos
pacotes falso, esta confirmao nunca chega ao servidor. O que
acontece que em um determinado momento, a fila de conexes em
andamento do servidor fica lotada, a partir da, todos os pedidos de
abertura de conexo so descartados e o servio inutilizado. Esta
inutilizao persiste durante alguns segundos, pois o servidor ao descobrir
que a confirmao est demorando demais, remove a conexo em
andamento da lista. Entretanto se o atacante persistir em mandar pacotes
seguidamente, o servio ficar inutilizado enquanto ele assim o fizer.
Man-in-the-middle
Trata-se de uma espcie de ataque de escuta de rede, em que o
atacante atua como um intermedirio entre a vtima e o servidor,
sem que nenhuma das duas partes saiba.
Primeiro o atacante intercepta uma tentativa vlida de conexo da vtima
com o servidor e se faz passar pela vtima fornecendo as informaes de
login e senha dela. Em seguida, o servidor responde a informao ao
atacante, que responde vtima se fazendo passar pelo servidor. Com isso,
o atacante tem a possibilidade de, alm de interceptar, fazer modificaes
nas transaes feitas pelo usurio, alm de continuar a sesso aps a
vtima solicitar o seu encerramento.
Ataques de senhas
A utilizao de senhas seguras um dos pontos fundamentais para uma
estratgia efetiva de segurana, no entanto, muitos usurios priorizam a
convenincia ao invs da segurana e utilizam senhas fceis de serem
descobertas e inseguras.
As duas principais tcnicas de ataque a senhas so:
Ataque de Dicionrio: nesse tipo de ataque so utilizadas

combinaes de palavras, frases, letras, nmeros, smbolos, ou
28

qualquer outro tipo de combinao geralmente que possa ser utilizada

na criao das senhas pelos usurios. Os programas responsveis por
realizar essa tarefa trabalham com diversas permutaes e
combinaes sobre essas palavras. Quando alguma dessas
combinaes se referir senha, ela considerada como quebrada
(Cracked).
Geralmente as senhas esto armazenadas criptografadas utilizando
um sistema de criptografia HASH. Dessa maneira os programas
utilizam o mesmo algoritmo de criptografia para comparar as
combinaes com as senhas armazenadas. Em outras palavras, eles
adotam a mesma configurao de criptografia das senhas, e ento
criptografam as palavras do dicionrio e comparam com senha.
Fora-Bruta: enquanto as listas de palavras, ou dicionrios, do

nfase na velocidade, o segundo mtodo de quebra de senhas se
baseia simplesmente na repetio. Fora-Bruta uma forma de se
descobrir senhas que compara cada combinao e permutao
possvel de caracteres at achar a senha. Este um mtodo muito
poderoso para descoberta de senhas, no entanto extremamente
lento porque cada combinao consecutiva de caracteres
comparada. Ex: aaa, aab, aac ..... aaA, aaB, aaC... aa0, aa1, aa2,
aa3... aba, aca, ada...
Ping of Death
Ele consiste em enviar um pacote IP com tamanho maior que o
mximo permitido (65.535 bytes) para a mquina atacada. O pacote
enviado na forma de fragmentos (porque nenhuma rede permite o trfego
de pacotes deste tamanho), e quando a mquina destino tenta montar
estes fragmentos, inmeras situaes podem ocorrer: a maioria trava,
algumas reinicializam, outras exibem mensagens no console, etc.
Dumpster diving ou trashing

a atividade na qual o lixo verificado em busca de informaes
sobre a organizao ou a rede da vtima, como nomes de contas e
senhas, informaes pessoais e confidenciais. Muitos dados sigilosos podem
ser obtidos dessa maneira.
Esteganografia: a tcnica de esconder um arquivo dentro de outro

arquivo, podendo ser uma imagem, documento de texto, planilha eletrnica
etc., s que utilizando criptografia. Ao esconder um arquivo em uma
imagem, por exemplo, ao envi-la para o destinatrio desejado, voc tem
que se assegurar que quem receber a imagem dever conhecer o mtodo
de exibio e a senha utilizada na proteo deste arquivo.
29

Figura 1 Esteganografia
Cookies
So pequenos arquivos que so instalados em seu computador durante
a navegao, permitindo que os sites (servidores) obtenham
determinadas informaes. isto que permite que alguns sites o
cumprimentem pelo nome, saibam quantas vezes voc o visitou, etc.
Spams
So mensagens de correio eletrnico no autorizadas ou no
solicitadas. O spam no propriamente uma ameaa segurana, mas um
portador comum delas. So spams, por exemplo, os e-mails falsos que
recebemos como sendo de rgos como Receita Federal ou Tribunal Superior
Eleitoral. Nesse caso, os spams costumam induzir o usurio a instalar um dos
malwares que vimos anteriormente.
Como podemos reduzir o volume de spam que chega at nossas caixas
postais?
A resposta bem simples! Basta navegar de forma consciente na rede.
Este conselho o mesmo que recebemos para zelar pela nossa segurana no
trnsito ou ao entrar e sair de nossas casas.
A seguir destacamos as principais dicas que foram reportadas pelo CertBr
(2006) para que os usurios da Internet desfrutem dos recursos e benefcios
da rede, com segurana:
Preservar as informaes pessoais, tais como: endereos de e-mail, dados

pessoais e, principalmente, cadastrais de bancos, cartes de crdito e
senhas. Um bom exerccio pensar que ningum forneceria seus
dados pessoais a um estranho na rua, ok? Ento, por que liber-la
na Internet?
Ter, sempre que possvel, e-mails separados para assuntos pessoais,

profissionais, para as compras e cadastros on-line. Certos usurios mantm
um e-mail somente para assinatura de listas de discusso.
30

No caso das promoes da Internet, geralmente, ser necessrio preencher

formulrios. Ter um e-mail para cadastros on-line uma boa prtica
para os usurios com o perfil descrito. Ao preencher o cadastro, procure
desabilitar as opes de recebimento de material de divulgao do site e de
seus parceiros, pois justamente nesse item que muitos usurios atraem
spam, inadvertidamente!
No ser um "clicador compulsivo", ou seja, o usurio deve procurar

controlar a curiosidade de verificar sempre a indicao de um site em um email suspeito de spam. Pensar, analisar as caractersticas do e-mail e
verificar se no mesmo um golpe ou cdigo malicioso.
No
ser
um
"caa-brindes",
"papa-liquidaes"
ou
"destruidor-de-promoes", rs! Ao receber e-mails sobre brindes,
promoes ou descontos, reserve um tempo para analisar o e-mail, sua
procedncia e verificar no site da empresa as informaes sobre a
promoo em questo. Vale lembrar que os sites das empresas e
instituies financeiras tm mantido alertas em destaque sobre os golpes
envolvendo seus servios. Assim, a visita ao site da empresa pode
confirmar a promoo ou alert-lo sobre o golpe que acabou de receber por
e-mail!
Ferramentas de combate ao spam (anti-spams) so geralmente

disponibilizadas do lado dos servidores de e-mail, filtrando as mensagens
que so direcionadas nossa caixa postal. Importante que se tenha um
filtro anti-spam instalado, ou ainda, usar os recursos anti-spam oferecidos
por seu provedor de acesso.
Alm do anti-spam, existem outras ferramentas bastante importantes para

o usurio da rede: anti-spyware, firewall pessoal e antivrus, estudadas
nesta aula.
Correntes
Geralmente pedem para que o usurio (destinatrio) repasse a mensagem um

determinado nmero de vezes ou, ainda, "para todos os amigos" ou "para
todos que ama". Utilizada para coletar e-mail vlidos para ataques de SPAM
posteriores.
Hoaxes (Boatos)
So as histrias falsas recebidas por e-mail, sites de relacionamentos e na
Internet em geral, cujo contedo, alm das conhecidas correntes, consiste em
apelos dramticos de cunho sentimental ou religioso, supostas campanhas
filantrpicas, humanitrias ou de socorro pessoal ou, ainda, falsos vrus que
ameaam destruir, contaminar ou formatar o disco rgido do computador. A
figura seguinte destaca um exemplo de hoax recebido em minha caixa de eProfa Patrcia Lima Quinto
31

mails. O remetente e destinatrios foram embaados de propsito por questo

de sigilo.
Figura. Exemplo de um hoax (boato) bastante comum na Internet

Outros casos podem ser visualizados na Internet, vide por exemplo o
endereo: http://www.quatrocantos.com/LENDAS/.
Wardriving
O termo wardriving foi escolhido por Peter Shipley para batizar a atividade de
dirigir um automvel procura de redes sem fio abertas, passveis de invaso.
Warchalcking
Prtica de escrever em caladas e paredes a giz (da o nome, Guerra do Giz) o
endereo de redes sem fio desprotegidas, abertas para o uso de terceiros.
32

Bullying (do ingls bully, "tiranete" ou "valento")

Bullying so todas as formas de atitudes agressivas intencionais e
repetitivas que ridicularizam o outro. Atitudes como comentrios
maldosos, apelidos ou gracinhas que caracterizam algum, e outras formas
que causam dor e angstia, e executados dentro de uma relao desigual de
poder que so caractersticas essenciais que tornam possvel a intimidao da
vtima.
Captcha
Mecanismo usado em filtros do tipo Challenge/response. Um captcha
normalmente uma sequncia aleatria de letras e nmeros distorcidos,
apresentados na forma de uma imagem. O remetente de uma mensagem
deve digitar a combinao do captcha e confirmar, para que a, a mensagem
seja
encaminhada.
Tambm
utilizado
em
cadastros
na
web.
Challenge/response: um tipo de filtro que emite um desafio para o
remetente do e-mail ou usurio de um site. O usurio precisa fornecer uma
resposta (response) ao desafio para que uma mensagem seja entregue ou
para que acesse uma pgina ou site.
Fonte: http://www.tecmundo.com.br/2861-o-que-e-captcha-.htm
Fonte: http://www.tecmundo.com.br/2861-o-que-e-captcha-.htm
33

Procedimentos de Segurana
Diante desse grande risco, uma srie de procedimentos de segurana,
considerados como boas prticas de segurana podem ser implementadas
para salvaguardar os ativos da organizao (CertBR, 2006), como os
destacadas a seguir:
Cuidados com Contas e Senhas (j caiu em prova!)
Criar uma senha que contenha pelo menos oito caracteres, compostos de
letras, nmeros e smbolos;
jamais utilizar como senha seu nome, sobrenomes, nmeros de

documentos, placas de carros, nmeros de telefones, datas que possam
ser relacionadas com voc ou palavras que faam parte de dicionrios;
utilizar uma senha diferente para cada servio (por exemplo, uma senha
para o banco, outra para acesso rede corporativa da sua empresa,
outra para acesso a seu provedor de Internet etc.);
alterar a senha com frequncia;
criar tantos usurios com privilgios normais, quantas forem as pessoas

que utilizam seu computador;
utilizar o usurio Administrator

estritamente necessrio.
(ou
root)
somente
quando
for
Cuidados com Malwares (j caiu em prova!)
*Vrus
Instalar e manter atualizado um bom programa antivrus;
atualizar as assinaturas do antivrus, de preferncia diariamente;
configurar o antivrus para verificar os arquivos obtidos pela Internet,

discos rgidos (HDs), flexveis (disquetes) e unidades removveis, como
CDs, DVDs e pen drives;
desabilitar no seu programa leitor de e-mails a auto-execuo de

arquivos anexados s mensagens;
no executar ou abrir arquivos recebidos por e-mail ou por outras fontes,

mesmo que venham de pessoas conhecidas. Caso seja necessrio abrir o
arquivo, certifique-se que ele foi verificado pelo programa antivrus;
utilizar na elaborao de documentos formatos menos suscetveis

propagao de vrus, tais como RTF, PDF ou PostScript etc.
34

* Worms, bots e botnets
Seguir todas as recomendaes para preveno contra vrus listadas no

item anterior;
manter o sistema operacional e demais softwares sempre atualizados;
aplicar todas as correes de segurana (patches) disponibilizadas pelos

fabricantes, para corrigir eventuais vulnerabilidades existentes nos
softwares utilizados;
instalar um firewall pessoal, que em alguns casos pode evitar que uma
vulnerabilidade existente seja explorada (observe que o firewall no
corrige as vulnerabilidades!!) ou que um worm ou bot se propague.
*Cavalos de troia, backdoors, keyloggers e spywares
Seguir todas as recomendaes para preveno contra vrus, worms e

bots;
instalar um firewall pessoal, que em alguns casos pode evitar o acesso

a um backdoor j instalado em seu computador etc.;
utilizar pelo menos uma ferramenta anti-spyware e mant-la sempre

atualizada.
Elaborao de uma Poltica de Segurana com o objetivo de solucionar

ou minimizar as vulnerabilidades encontradas na organizao.
Nesse contexto, dos principais itens necessrios para uma boa poltica de
segurana pode-se citar os seguintes:
Possuir instalaes fsicas adequadas que ofeream o mnimo necessrio

para garantia da integridade dos dados.
Controle de umidade, temperatura e presso.
Sistema de aterramento projetado para suportar as descargas eltricas,

extintores de incndio adequados para equipamentos eltricos/eletrnicos.
Uso adequado de equipamentos de proteo e segurana tais como: UPS

(no-break), filtro de linha, estabilizador de tenso.
Manuteno do computador, limpeza e poltica da boa utilizao.
Utilizao de sistemas operacionais que controlem o acesso de usurios e

que possuem um nvel de segurana bem elaborado, juntamente com o
controle de senhas.
Utilizao de sistemas de proteo de uma rede de computadores, tais

como Firewall (sistema que filtra e monitora as aes na rede).
Software antivrus atualizado constantemente.
Sistema de criptografia (ferramenta que garante a segurana em todo

ambiente computacional que precise de sigilo em relao s informaes
35

que manipula). No envio de mensagens uma mensagem criptografada e

se for interceptada dificilmente poder ser lida, somente o destinatrio
possuir o cdigo necessrio.
Treinamento e conscientizao de funcionrios para diminuir as falhas

humanas.
Realizao de backups (cpia de segurana para salvaguardar os dados,

geralmente mantida em CDs, DVDs, fitas magnticas, pendrives,
etc., para que possam ser restaurados em caso de perda dos dados
originais).
Procedimentos de Backup (Cpia de segurana)
O procedimento de backup (cpia de segurana) pode ser descrito de forma

simplificada como copiar dados de um dispositivo para o outro com o
objetivo de posteriormente recuperar as informaes, caso haja algum
problema.
Um backup envolve cpia de dados em um meio fisicamente separado do
original, regularmente, de forma a proteg-los de qualquer eventualidade.
Ou seja, copiar nossas fotos digitais, armazenadas no HD (disco rgido), para
um DVD fazer backup. Se houver algum problema com o HD ou se
acidentalmente apagarmos as fotos, podemos ento restaurar os arquivos a
partir do DVD. Nesse exemplo, chamamos as cpias das fotos no DVD de
cpias de segurana ou backup. Chamamos de restaurao o processo de
copiar de volta ao local original as cpias de segurana.
importante estabelecer uma poltica de backup que obedece a critrios
bem definidos sobre a segurana da informao envolvida. Em suma, o
objetivo principal dos backups garantir a disponibilidade da informao.
Por isso a poltica de backup um processo relevante no contexto de
segurana dos dados.
Existem, basicamente, dois mtodos de Backup.
No Windows XP, por exemplo, tem-se o software Microsoft Backup, que ir

ajud-lo nesta tarefa. Ao clicar com o boto direito do mouse no cone de um
arquivo do Windows XP, e selecionar a opo Propriedades; em seguida, guia
36

geral ->Avanado, ser exibida uma caixa o arquivo est pronto para ser
arquivado, marcada como padro (No Windows XP, leia-se arquivo morto).
A tela seguinte desta a opo de arquivo morto obtida ao clicar com o boto
direito do mouse no arquivo intitulado lattes.pdf, do meu computador que
possui o sistema operacional Windows Vista.
Quando um arquivo est com esse atributo marcado, significa que ele
dever ser copiado no prximo backup.
Se estiver desmarcado, significa que, provavelmente, j foi feito um backup
deste arquivo.
As principais tcnicas (tipos) de Backup, que podem ser combinadas com os
mecanismos de backup on-line e off-line, esto listadas a seguir:
**NORMAL (TOTAL ou GLOBAL)
COPIA TODOS os arquivos e pastas selecionados.
DESMARCA o atributo de arquivo morto (arquivamento): limpa os

marcadores!!
Caso necessite restaurar o backup normal, voc s precisa da cpia mais

recente.
Normalmente, este backup executado quando voc cria um conjunto de

backup pela 1 vez.
Agiliza o processo
restaurado.
de
restaurao,
pois
somente
um
backup
ser
**INCREMENTAL
Copia somente os arquivos CRIADOS ou ALTERADOS desde o ltimo
backup normal ou incremental.
37

O atributo de arquivamento (arquivo morto) DESMARCADO: limpa os

marcadores!!
**DIFERENCIAL
Copia somente os arquivos CRIADOS ou ALTERADOS desde o ltimo

backup normal ou incremental.
O atributo de arquivamento (arquivo morto) NO ALTERADO: no limpa

os marcadores!!
**CPIA (AUXILIAR ou SECUNDRIA)
Faz o backup de arquivos e pastas selecionados.

os marcadores!
**DIRIO
Copia todos os arquivos e pastas selecionados que foram ALTERADOS

DURANTE O DIA da execuo do backup.

os marcadores!
Quanto RECUPERAO do backup:

Para recuperar um disco a partir de um conjunto de backups (normal +
incremental) ser necessrio o primeiro (normal) e todos os incrementais.
Para recuperar um disco a partir de um conjunto de backups (normal +
diferencial) basta o primeiro (normal) e o ltimo diferencial, j que este
contm tudo que diferente do primeiro.
Aplicativos para Aprimoramento da Segurana
**Antivrus
Ferramentas preventivas e corretivas, que detectam (e, em muitos casos,
removem) vrus de computador e outros programas maliciosos (como
spywares e cavalos de troia).
No impedem que um atacante explore alguma vulnerabilidade existente no
computador. Tambm no evita o acesso no autorizado a um backdoor
instalado no computador.
Dicas!!
interessante manter, em seu computador:
Um antivrus funcionando constantemente (preventivamente).
Esse programa
(preventivo).
antivrus
verificando
os
e-mails
constantemente
38

O recurso de atualizaes automticas das definies de vrus habilitado.
As definies de vrus atualizadas constantemente (nem que para isso seja

necessrio, todos os dias, executar a atualizao manualmente).
Figura. Telas do antivrus AVG e Panda
Figura. Panda Cloud Antivrus => Usa a "nuvem de Internet" como recurso
para proteger o computador do usurio.
**AntiSpyware
O malware do tipo spyware pode se instalar no computador sem o seu
conhecimento e a qualquer momento que voc se conectar Internet, e pode
infectar o computador quando voc instala alguns programas usando um CD,
DVD ou outra mdia removvel. Um spyware tambm pode ser programado
para ser executado em horrios inesperados, no apenas quando instalado.
39

A ferramenta antispyware uma forte aliada do antivrus, permitindo a

localizao e bloqueio de spywares conhecidos e desconhecidos. Exemplo de
ferramentas antispyware: Windows Defender, Spybot etc.
Combate a Cdigos Maliciosos
O combate a cdigos maliciosos poder envolver uma srie de aes, como:
instalao de ferramentas antivrus e antispyware no computador,

lembrando de mant-las atualizadas frequentemente. A banca pode citar
ferramentas antimalware nesse contexto tambm;
no realizar abertura de arquivos suspeitos recebidos por e-mail;
fazer a instalao de patches de segurana e atualizaes corretivas de

softwares e do sistema operacional quando forem disponibilizadas
(proteo contra worms e bots), etc.
**IPS/IDS, Firewalls
O IDS (Intrusion Detection Systems) procura por ataques j catalogados e
registrados, podendo, em alguns casos, fazer anlise comportamental do
sistema.
O IPS (Sistema de Preveno de Intruso) que faz a deteco de
ataques e intruses, e no o firewall!! Um IPS um sistema que detecta e
obstrui automaticamente ataques computacionais a recursos protegidos.
Diferente dos IDS tradicionais, que localizam e notificam os administradores
sobre anomalias, um IPS defende o alvo sem uma participao direta humana.
O firewall no tem a funo de procurar por ataques.
Ele realiza a filtragem dos pacotes e, ento, bloqueia
as transmisses no permitidas. Dessa forma, atua
entre a rede externa e interna, controlando o trfego de
informaes que existem entre elas, procurando certificar-se
de que este trfego confivel, em conformidade com a
poltica de segurana do site acessado. Tambm pode ser
utilizado para atuar entre redes com necessidades de
segurana distintas.
A RFC 2828 (Request for Coments n 2828) define o termo firewall como
sendo uma ligao entre redes de computadores que restringe o trfego
de comunicao de dados entre a parte da rede que est dentro ou
antes do firewall, protegendo-a assim das ameaas da rede de
computadores que est fora ou depois do firewall. Esse mecanismo de
proteo geralmente utilizado para proteger uma rede menor (como os
computadores de uma empresa) de uma rede maior (como a Internet).
40

Um firewall deve ser instalado no ponto de conexo entre as redes, onde,

atravs de regras de segurana, controla o trfego que flui para dentro e para
fora da rede protegida. Pode ser desde um nico computador, um
software sendo executado no ponto de conexo entre as redes de
computadores ou um conjunto complexo de equipamentos e
softwares.
Figura. Firewall
Deve-se observar que isso o torna um potencial gargalo para o trfego de
dados e, caso no seja dimensionado corretamente, poder causar atrasos e
diminuir a performance da rede.
Os firewalls so implementados, em regra, em dispositivos que fazem a
separao da rede interna e externa, chamados de estaes guardis
(bastion hosts). Quando o bastion host cai, a conexo entre a rede interna e
externa pra de funcionar.
As principais funcionalidades oferecidas pelos firewalls so:
regular o trfego de dados entre uma rede local e a rede externa no

confivel, por meio da introduo de filtros para pacotes ou aplicaes;
impedir a transmisso e/ou recepo de acessos nocivos ou no autorizados

dentro de uma rede local;
mecanismo de defesa que restringe o fluxo de dados entre redes, podendo

criar um log do trfego de entrada e sada da rede;
proteo de sistemas vulnerveis ou crticos, ocultando informaes de rede

como nome de sistemas, topologia da rede, identificaes dos usurios etc.
DMZ - Zona Desmilitarizada
Tambm chamada de Rede de Permetro. Trata-se de uma pequena rede

situada entre uma rede confivel e uma no confivel, geralmente
entre a rede local e a Internet.
A funo de uma DMZ manter todos os servios que possuem acesso
externo (navegador, servidor de e-mails) separados da rede local
limitando o dano em caso de comprometimento de algum servio nela
presente por algum invasor. Para atingir este objetivo os computadores
presentes em uma DMZ no devem conter nenhuma rota de acesso rede
41

local. O termo possui uma origem militar, significando a rea existente entre
dois inimigos em uma guerra.
Figura. DMZ
RAID - Redundant Array of Independent Disks
(Matriz redundante de discos independentes)
Tecnologia utilizada para combinar diversos discos rgidos (IDE, SATA ou SCSI)
para que sejam reconhecidos, pelo sistema operacional, como apenas UMA
nica unidade de disco. Existem vrios tipos (chamados modos) de RAID, e
os mais comuns so:
RAID 0 (Stripping - Enfileiramento)
Cada modo desses combina os discos rgidos de formas diferentes para

obterem resultados diferentes.
Combina dois (ou mais) HDs para que os dados gravados sejam divididos
entre eles.
No caso de um RAID 0 entre dois discos, os arquivos salvos nesse conjunto

sero gravados METADE em um disco, METADE no outro.
Ganha-se muito em velocidade

o a gravao do arquivo feita em metade do tempo, porque se grava
metade dos dados em um disco e metade no outro simultaneamente
(o barramento RAID outro, separado, do IDE).
o A leitura dos dados dos discos tambm acelerada!
o Nesse RAID no h tolerncia a falhas (segurana) porque de um
dos discos pifar, os dados estaro perdidos completamente.
o No se preocupa com segurana e sim com a velocidade!
RAID 1 (Mirroring - Espelhamento)

42

Cria uma matriz (array) de discos espelhados (discos idnticos). O que se

copia em um, copia-se igualmente no outro disco.
O RAID 1 aumenta a segurana do sistema.
RAID 1 aumenta a velocidade de leitura dos dados no disco (no a de

escrita).
RAID 5
Sistema tolerante a falhas, cujos dados e paridades so distribudos ao

longo de trs ou mais discos fsicos.
A paridade um valor calculado que usado para reconstruir dados depois

de uma falha.
Se um disco falhar, possvel recriar os dados que estavam na parte com

problema a partir da paridade e dados restantes.
Biometria
Um sistema biomtrico, em mecanismos de autenticao, analisa uma

amostra de corpo do usurio, envolvendo por exemplo: Impresso Digital
(+usado); ris; Voz; Veias das Mos; Reconhecimento Facial (+usado).
Figura 2 Veias da palma da mo, impresso digital, reconhecimento da face,

identificao pela ris ou retina, geometria da mo, etc.
Virtual Private Network (VPN)
Uma Virtual Private Network (VPN) ou Rede Virtual Privada uma rede
privada (rede com acesso restrito) construda sobre a estrutura de uma rede
pblica (recurso pblico, sem controle sobre o acesso aos dados),
normalmente a Internet. Ou seja, ao invs de se utilizar links dedicados ou
redes de pacotes para conectar redes remotas, utiliza-se a infraestrutura da
Internet, uma vez que para os usurios a forma como as redes esto
conectadas transparente.
Normalmente as VPNs so utilizadas para interligar empresas em que os
custos de linhas de comunicao direta de dados so elevados. Elas criam
tneis virtuais de transmisso de dados utilizando criptografia para garantir a
privacidade e integridade dos dados, e a autenticao para garantir que os
dados esto sendo transmitidos por entidades ou dispositivos autorizados e
43

no por outros quaisquer. Uma VPN pode ser criada tanto por dispositivos
especficos, softwares ou at pelo prprio sistema operacional.
Princpios bsicos (Caiu em prova!)
Uma VPN deve prover um conjunto de funes que garantam alguns princpios
bsicos para o trfego das informaes:
1. Confidencialidade tendo-se em vista que estaro sendo usados meios
pblicos de comunicao, imprescindvel que a privacidade da informao
seja garantida, de forma que, mesmo que os dados sejam capturados, no
possam ser entendidos.
2. Integridade na eventualidade da informao ser capturada, necessrio
garantir que no seja alterada e reencaminhada, permitindo que somente
informaes vlidas sejam recebidas.
3. Autenticidade somente os participantes devidamente autorizados podem
trocar informaes entre si, ou seja, um elemento da VPN somente
reconhecer informaes originadas por um segundo elemento que tenha
autorizao para fazer parte dela.
Criptografia
A palavra criptografia composta dos termos gregos KRIPTOS (secreto,
oculto, ininteligvel) e GRAPHO (escrita, escrever). Trata-se de um conjunto de
conceitos e tcnicas que visa codificar uma informao de forma que somente
o emissor e o receptor possam acess-la.
Terminologia bsica sobre Criptografia:
Mensagem ou texto: Informao que se deseja proteger. Esse texto

quando em sua forma original, ou seja, a ser transmitido, chamado de
texto puro ou texto claro.
Remetente ou emissor: Pessoa que envia a mensagem.
Destinatrio ou receptor: Pessoa que receber a mensagem.
Encriptao: Processo em que um texto puro passa, transformando-se

em texto cifrado.
Desencriptao: Processo de recuperao de um texto puro a partir

de um texto cifrado.
Criptografar: Ato de encriptar um texto puro, assim

descriptografar o ato de desencriptar um texto cifrado.
Chave: Informao que o remetente e o destinatrio possuem e que

ser usada para criptografar e descriptografar um texto ou mensagem.
como,
Algoritmos:
Simtricos (ou convencional, chave privada, chave nica)
Assimtricos (ou chave pblica).
Criptografia de Chave Simtrica (tambm chamada de criptografia de
chave nica, ou criptografia privada, ou criptografia convencional)
44

Utiliza APENAS UMA chave para encriptar e decriptar as mensagens. Assim,

como s utiliza UMA chave, obviamente ela deve ser compartilhada entre o
remetente e o destinatrio da mensagem.
Para ilustrar os sistemas simtricos, podemos usar a imagem de
um cofre, que s pode ser fechado e aberto com uso de uma
chave. Esta pode ser, por exemplo, uma combinao de
nmeros. A mesma combinao abre e fecha o cofre.
Para criptografar uma mensagem, usamos a chave (fechamos o
cofre) e para decifr-la utilizamos a mesma chave (abrimos o cofre).
Na criptografia simtrica (ou de chave nica) tanto o emissor quanto o
receptor da mensagem devem conhecer a chave utilizada!! Ambos
fazem uso da MESMA chave, isto , uma NICA chave usada na
codificao e na decodificao da informao.
A figura seguinte ilustra o processo de criptografia baseada em uma nica
chave, ou seja, a chave que cifra uma mensagem utilizada para
posteriormente decifr-la.
As principais vantagens dos algoritmos simtricos so:
rapidez: um polinmio simtrico encripta um texto longo em milsimos de

segundos;
chaves pequenas: uma chave de criptografia de 128 bits torna um

algoritmo simtrico praticamente impossvel de ser quebrado.
45

A maior desvantagem da criptografia simtrica que a chave utilizada para

encriptar IGUAL chave que decripta. Quando um grande nmero de
pessoas tem conhecimento da chave, a informao deixa de ser um segredo.
O uso de chaves simtricas tambm faz com que sua utilizao no seja
adequada em situaes em que a informao muito valiosa. Para comear,
necessrio usar uma grande quantidade de chaves caso muitas pessoas
estejam envolvidas. Ainda, h o fato de que tanto o emissor quanto o receptor
precisam conhecer a chave usada.
A transmisso dessa chave de um para o outro pode no ser to segura e cair
em "mos erradas", fazendo com que a chave possa ser interceptada e/ou
alterada em trnsito por um inimigo.
Existem vrios algoritmos que usam chaves simtricas, como o DES (Data
Encryption Standard), o IDEA (International Data Encryption Algorithm), e o
RC (Ron's Code ou Rivest Cipher).
Criptografia de Chave ASSimtrica (tambm chamada de criptografia

de chave pblica)
Os algoritmos de criptografia assimtrica (criptografia de chave pblica)
utilizam DUAS chaves DIFERENTES, uma PBLICA (que pode ser
distribuda) e uma PRIVADA (pessoal e intransfervel). Assim, nesse mtodo
cada pessoa ou entidade mantm duas chaves: uma pblica, que pode ser
divulgada livremente, e outra privada, que deve ser mantida em segredo pelo
seu dono.
As mensagens codificadas com a chave pblica s podem ser decodificadas
com a chave privada correspondente.
Do ponto de vista do custo computacional, os sistemas simtricos
apresentam melhor desempenho que os sistemas assimtricos, e isso j
foi cobrado em provas vrias vezes!
A figura seguinte ilustra o princpio da criptografia utilizando chave assimtrica.
Tambm conhecida como "chave pblica", a tcnica de criptografia por
chave assimtrica trabalha com DUAS chaves: uma denominada privada
e outra denominada pblica. Nesse mtodo, uma pessoa deve criar uma
chave de codificao e envi-la a quem for mandar informaes a ela. Essa a
chave pblica. Outra chave deve ser criada para a decodificao. Esta a
chave privada secreta.
46

Para entender melhor, imagine o seguinte: o USURIO-A criou uma chave

pblica e a enviou a vrios outros sites. Quando qualquer desses sites quiser
enviar uma informao criptografada ao USURIO-A dever utilizar a chave
pblica deste. Quando o USURIO-A receber a informao, apenas ser
possvel extra-la com o uso da chave privada, que s o USURIO-A tem. Caso
o USURIO-A queira enviar uma informao criptografada a outro site, dever
conhecer sua chave pblica.
Entre os algoritmos que usam chaves assimtricas tm-se o RSA (o mais
conhecido), o Diffie-Hellman, o DSA (Digital Signature Algorithm), o Schnorr
(praticamente usado apenas em assinaturas digitais) e Diffie-Hellman.
Figura. Mapa mental relacionado Criptografia ASSimtrica

PKI (Public Key Infrastrusture) a infraestrutura de chaves pblicas
(ICP). A ICP-Brasil um exemplo de PKI.
47

Assinatura Digital
O glossrio criado pela ICP Brasil destaca que a Assinatura Digital um
cdigo anexado ou logicamente associado a uma mensagem eletrnica
que permite de forma nica e exclusiva a comprovao da autoria de
um determinado conjunto de dados (um arquivo, um e-mail ou uma
transao). A assinatura digital comprova que a pessoa criou ou
concorda com um documento assinado digitalmente, como a
assinatura de prprio punho comprova a autoria de um documento
escrito. A verificao da origem do dado feita com a chave pblica
do remetente.
Stallings (2008) destaca que a assinatura digital um mecanismo de
AUTENTICAO que permite ao criador de uma mensagem anexar um cdigo
que atue como uma assinatura.
Em outras palavras, a assinatura digital consiste na criao de um
cdigo, atravs da utilizao de uma chave privada, de modo que a
pessoa ou entidade que receber uma mensagem contendo este cdigo
possa verificar se o remetente mesmo quem diz ser e identificar
qualquer mensagem que possa ter sido modificada.
A assinatura formada tomando o hash da mensagem e criptografando-a com
a chave privada do criador. A assinatura garante a ORIGEM e a
INTEGRIDADE da mensagem.
HASH (Message Digest Resumo de Mensagem): Mtodo matemtico

unidirecional, ou seja, s pode ser executado em um nico sentido (ex.:
voc envia uma mensagem com o hash, e este no poder ser alterado, mas
apenas conferido pelo destinatrio). Utilizado para garantir a integridade
(no alterao) de dados durante uma transferncia.
Se Jos quiser enviar uma mensagem assinada para Maria, ele codificar a
mensagem com sua chave privada. Neste processo ser gerada uma
assinatura digital, que ser adicionada mensagem enviada para Maria. Ao
receber a mensagem, Maria utilizar a chave pblica de Jos para decodificar a
mensagem. Neste processo ser gerada uma segunda assinatura digital, que
ser comparada primeira. Se as assinaturas forem idnticas, Maria ter
certeza que o remetente da mensagem foi o Jos e que a mensagem no foi
modificada.
importante ressaltar que a segurana do mtodo baseia-se no fato de que a
chave privada conhecida apenas pelo seu dono. Tambm importante
ressaltar que o fato de assinar uma mensagem no significa gerar uma
mensagem sigilosa. Para o exemplo anterior, se Jos quisesse assinar a
mensagem e ter certeza de que apenas Maria teria acesso a seu contedo,
seria preciso codific-la com a chave pblica de Maria, depois de assin-la.
Certificado Digital
48

Um certificado digital um documento eletrnico que identifica pessoas,

fsicas
ou
jurdicas,
URLs,
contas
de
usurio,
servidores
(computadores) dentre outras entidades. Este documento na verdade
uma estrutura de dados que contm a chave pblica do seu titular e outras
informaes de interesse. Contm informaes relevantes para a identificao
real da entidade a que visam certificar (CPF, CNPJ, endereo, nome, etc.) e
informaes relevantes para a aplicao a que se destinam. O certificado
digital precisa ser emitido por uma autoridade reconhecida pelas partes
interessadas na transao. Chamamos essa autoridade de Autoridade
Certificadora, ou AC.
O certificado fica armazenado em dispositivos de segurana, como por ex.:
Token ou Smart Card, ilustrados na figura a seguir.
Token
Smart Card ou carto

inteligente
Figura. Ilustrao de dispositivos de segurana
Quanto aos objetivos do certificado digital podemos destacar:
Transferir a credibilidade que hoje baseada em papel e conhecimento para

o ambiente eletrnico.
Vincular uma chave pblica a um titular (eis o objetivo principal). O

certificado digital precisa ser emitido por uma autoridade reconhecida pelas
partes interessadas na transao, conforme visto na prxima figura.
Chamamos essa autoridade de Autoridade Certificadora, ou AC.
Figura. Vnculo da Chave Pblica ao Titular

Dentre as informaes que compem a estrutura de um certificado
temos:
49

Verso
Indica
qual
formato
est sendo seguido.
de
certificado
Nmero de srie
Identifica unicamente um certificado dentro

do escopo do seu emissor.
Nome do titular
Nome da pessoa, URL ou demais informaes

que esto sendo certificadas.
Chave pblica do
titular
Perodo de
validade
Nome do emissor
Informaes da chave pblica do titular.

Data de emisso e expirao.
Entidade que emitiu o certificado.
Assinatura do
emissor
Valor da assinatura digital feita pelo emissor.
Algoritmo de
assinatura do
emissor
Identificador dos algoritmos de hash +

assinatura utilizados pelo emissor para
assinar o certificado.
Extenses
Campo opcional para estender o certificado.
Um exemplo destacando informaes do certificado pode ser visto na figura

seguinte:
Certificao Digital
50

Atividade de reconhecimento em meio eletrnico que se caracteriza pelo

estabelecimento de uma relao nica, exclusiva e intransfervel entre uma
chave de criptografia e uma pessoa fsica, jurdica, mquina ou aplicao.
Esse reconhecimento inserido em um Certificado Digital, por uma
Autoridade Certificadora.
51

REVISO EM TPICOS E PALAVRAS-CHAVE
Engenharia Social: Tcnica de ataque que explora as fraquezas humanas

e sociais, em vez de explorar a tecnologia.
Malwares: Programas criados com objetivos nocivos, de prejudicar,

comprometendo a segurana dos sistemas de informao, como vrus,
worms, bots, cavalos de troia, spyware, keylogger, screenlogger.
No-repdio (irretratabilidade): Garantia que o emissor de uma

mensagem ou a pessoa que executou determinada transao de forma
eletrnica, no poder posteriormente negar sua autoria, visto que somente
aquela chave privada poderia ter gerado aquela assinatura digital. Deste
modo, a menos de um uso indevido do certificado digital, fato que no
exime de responsabilidade, o autor no pode negar a autoria da transao.
Transaes digitais esto sujeitas a fraude, quando sistemas de computador
so acessados indevidamente ou infectados por cavalos de troia ou vrus.
Assim os participantes podem, potencialmente, alegar fraude para repudiar
uma transao.
Phishing ou scam: Tipo de fraude eletrnica projetada para roubar

informaes particulares que sejam valiosas para cometer um roubo ou
fraude posteriormente.
Pharming: Ataque que consiste em corromper o DNS em uma rede de

computadores, fazendo com que a URL de um site passe a apontar para o
IP de um servidor diferente do original.
No ataque de negao de servio (denial of service - DoS) o atacante

utiliza um computador para tirar de operao um servio oucomputador(es)
conectado(s) Internet!!
52

No ataque de negao de servio distribudo (DDoS) um conjunto de

computadores utilizado para tirar de operao um ou mais servios ou
computadores conectados Internet.
Spams: Mensagens de correio eletrnico no autorizadas ou no solicitadas

pelo destinatrio, geralmente de conotao publicitria ou obscena.
Sniffer: Ferramenta capaz de interceptar e registrar o trfego de dados em

uma rede de computadores.
Botnets: Redes formadas por diversos computadores infectados com bots

(Redes Zumbis). Podem ser usadas em atividades de negao de
servio, esquemas de fraude, envio de spam, etc.
Firewall: Um sistema para controlar o acesso s redes de computadores,

desenvolvido para evitar acessos no autorizados em uma rede local ou
rede privada de uma corporao.
VPN (Virtual Private Network Rede Privada Virtual): Rede privada

que usa a estrutura de uma rede pblica (como a Internet) para transferir
seus dados (os dados devem estar criptografados para passarem
despercebidos e inacessveis pela Internet).
Vulnerabilidade: Fragilidade que poderia ser explorada por uma ameaa

para concretizar um ataque. Ex.: notebook sem as atualizaes de
segurana do sistema operacional.
Princpios bsicos da segurana da informao:

Princpio bsico
Conceito
Objetivo
Confidencialidade
Propriedade de que a
informao no esteja
disponvel ou revelada
a indivduos,
entidades ou
processos no
autorizados.
Proteger contra o acesso

no autorizado, mesmo
para dados em trnsito.
Integridade
Propriedade de
salvaguarda da
exatido e completeza
de ativos.
Disponibilidade
Propriedade de estar
acessvel e utilizvel
sob demanda por uma
entidade autorizada.
Proteger informao
contra modificao sem
permisso;
garantir a fidedignidade
das informaes.
Proteger contra
indisponibilidade dos
servios (ou
degradao);
garantir aos usurios
com autorizao, o
acesso aos dados.
Anti-spam: Ferramenta utilizada para filtro de mensagens indesejadas.
53

Existem vrios tipos de RAID (Redundant Array of Independent Disks),

e os mais comuns so: RAID 0, RAID 1, RAID 10 (tambm conhecido
como 1+0) e RAID 5.
Backup (cpia de segurana): Envolve a cpia dos dados de um

dispositivo para o outro com o objetivo de posteriormente recuperar as
informaes, caso haja algum problema. Procure fazer cpias regulares dos
dados do computador, para recuperar-se de eventuais falhas e das
consequncias de uma possvel infeco por vrus ou invaso.
Principais tipos de backup:
INCREMENTAL
Copia somente
os arquivos
CRIADOS ou
ALTERADOS
desde o ltimo
backup normal
ou incremental.
O atributo de
arquivamento
(arquivo morto)
DESMARCADO.
CPIA (AUXILIAR ou
SECUNDRIA)
COPIA TODOS
os arquivos
selecionados,
assim como no
backup normal.
O atributo de
arquivamento
(arquivo morto)
NO
ALTERADO.
DIRIO
Copia todos os
arquivos
selecionados que
foram
ALTERADOS NO
DIA da execuo
do backup.
O atributo de
arquivamento
(arquivo morto)
NO
ALTERADO.
RAID no backup!
RAID Medida de redundncia.
Backup Medida de recuperao de desastre.
Risco: Medido pela probabilidade de uma ameaa acontecer e causar

algum dano potencial empresa.
HASH (Message Digest Resumo de Mensagem): Mtodo matemtico

unidirecional, ou seja, s pode ser executado em um nico sentido (ex.:
voc envia uma mensagem com o hash, e este no poder ser alterado,
mas apenas conferido pelo destinatrio). Utilizado para garantir a
integridade (no-alterao) de dados durante uma transferncia.
Texto Cifrado: Dado que foi criptografado. O texto cifrado a sada do

processo de criptografia e pode ser transformado novamente em
informao legvel em forma de texto claro a partir da chave de decifrao.
Texto Claro: Dado que est no estado no cifrado ou decifrado.
54

Na criptografia assimtrica ou simplesmente criptografia de chaves

pblicas, as entidades envolvidas possuem duas chaves, uma privada e
uma pblica.
o Quando a inteno fazer uso da confidencialidade (sigilo), o
emissor/remetente
precisa
conhecer
a
chave
pblica
do
destinatrio/receptor, e, nesse caso, o emissor/remetente criptografa
a mensagem utilizando a chave pblica do destinatrio/receptor, e,
para descriptografar a mensagem, o destinatrio utiliza sua prpria
chave privada.
o Quando se quer atestar a autenticidade, o emissor/remetente
precisa
assinar
o
documento
a
ser
transmitido.
O
remetente/emissor criptografa o documento utilizando sua chave
privada, e disponibiliza sua chave pblica ao destinatrio/receptor.
Muito bem, aps termos visto os conceitos primordiais de segurana
para a prova, vamos s questes!! Estamos juntos para gabaritar as
questes da prova de informtica, fora a pessoal!!
55

LISTA DE QUESTES COMENTADAS

1. (CESPE/2013/TRT-10RJ/Analista) A transferncia de arquivos para
pendrives constitui uma forma segura de se realizar becape, uma vez que
esses equipamentos no so suscetveis a malwares.
Comentrios
Antes de responder a afirmao importante saber que os softwares
maliciosos, ou malwares, so todos os tipos de software cujo objetivo
provocar danos ao sistema. Dentro desse grupo o exemplo mais conhecido
so os vrus, que so programas que atuam sobre outros programas, como
uma aplicao ou mesmo um registro do sistema, e modificam seu
comportamento e consequentemente provocam danos dos mais diversos.
Com a popularizao dos pendrives desenvolvedores de softwares comearam
a produzir verses portteis das aplicaes (programas), incluindo os
programas maliciosos (malwares). Logo a afirmao est incorreta pois
dispositivos como pendrives, apesar de prticos e teis em backups (cpias
de segurana) no so imunes aos malwares.
Gabarito preliminar: item errado.
2. (CESPE/2013/TRT-10RJ/Analista)As
caractersticas
bsicas
da
segurana da informao confidencialidade, integridade e disponibilidade
no so atributos exclusivos dos sistemas computacionais.
Comentrios
Essas caractersticas (tambm conhecidas como atributos ou princpios)
atuam sobre quaisquer ativos de segurana da informao, que o que a
segurana da informao quer proteger, como servidores, estaes de
trabalho, sistemas computacionais, etc.
Gabarito preliminar: item correto.
3. (CESPE/2013/TRT-10RJ/Analista)O vrus de computador assim
denominado em virtude de diversas analogias poderem ser feitas entre esse
tipo de vrus e os vrus orgnicos.
Comentrios
Primeiro vamos entender que um vrus de computador um programa criado
do mesmo modo que os outros programas, ou seja, trata-se de um conjunto
de instrues que determinam o que o computador deve fazer, e esses
programas contm ordens especficas como modificar outros programas,
alterar arquivos e/ou causar vrias outras anomalias.
O vrus orgnico uma partcula infecciosa muito pequena constituda de DNA
ou RNA (cidos nucleicos presentes na composio dos seres vivos) que
causam alterao em seu hospedeiro.
56

Percebeu a semelhana?
Ambos os tipos de vrus se instalam em um organismo/sistema.
Ambos os tipos
hospedeiro.
Ambos os tipos de vrus so compostos por unidades semelhantes aos de

seus hospedeiros (DNA ou RNA para o vrus orgnico e instrues para o
vrus de computador).
de
vrus
causam
alterao
no
organismo/sistema

4. (CESPE/2013/TRT-10RJ/Analista) Um computador em uso na Internet
vulnervel ao ataque de vrus, razo por que a instalao e a constante
atualizao de antivrus so de fundamental importncia para se evitar
contaminaes.
Comentrios
Afirmao correta, porque se voc se conecta Internet, ou permite que
outras pessoas usem seu computador ou compartilha arquivos com outros
computadores voc est suscetvel a ataques tanto diretos dos criminosos
virtuais ou indiretamente porque esses criminosos criam softwares malintencionado com a finalidade de roubar dados ou mesmo danificar seu
computador.
Os programas antivrus verificam a existncia desses softwares maliciosos em
emails e outros arquivos e como os malwares so atualizados a todo
momento o banco de dados do antivrus deve sempre estar atualizado porque
quando o programa atualizado as informaes sobre novos vrus so
adicionadas a uma lista de vrus a serem verificados, ajudando a proteger o
seu computador contra novos ataques. Se a lista de vrus estiver
desatualizada, o computador ficar vulnervel a novas ameaas.
5. (Cespe/Cmara dos Deputados/ Arquiteto e Engenheiros/2012)
Para garantir que os computadores de uma rede local no sofram ataques
vindos da Internet, necessria a instalao de firewalls em todos os
computadores dessa rede.
Comentrios
O firewall um mecanismo que atua como defesa de um computador ou
de uma rede, permitindo controlar o acesso ao sistema por meio de regras e a
filtragem de dados. A vantagem do uso de firewalls em redes que somente
um computador pode atuar como firewall, no sendo necessrio instal-lo em
cada mquina conectada.
Gabarito: item errado.
57

6. (Cespe/Cmara dos Deputados/ Arquiteto e Engenheiros/2012) Ao

se realizar um procedimento de backup de um conjunto de arquivos e
pastas selecionados, possvel que o conjunto de arquivos e pastas gerado
por esse procedimento ocupe menos espao de memria que aquele
ocupado pelo conjunto de arquivos e pastas de que se fez o backup.
Comentrios
Alguns programas que realizam o backup de um determinado conjunto de
arquivos e pastas podem oferecer a possibilidade de se realizar a
compactao dos dados originais com a finalidade de se reduzir o espao
ocupado na mdia de destino.
Gabarito: item correto.
7. (Cespe/Cmara dos Deputados/ Arquiteto e Engenheiros/2012) Os
worms, assim como os vrus, infectam computadores, mas, diferentemente
dos vrus, eles no precisam de um programa hospedeiro para se propagar.
Comentrios
Tantos os Worms como os vrus so considerados como malwares (softwares
maliciosos que infectam computadores), no entanto, diferentemente do vrus,
o Worm no embute cpias de si mesmo em outros programas ou arquivos e
no necessita ser explicitamente executado para se propagar.
8. (CESPE/Tcnico Administrativo Nvel Mdio PREVIC/2011) Entre
os atributos de segurana da informao, incluem-se a confidencialidade, a
integridade, a disponibilidade e a autenticidade. A integridade consiste na
propriedade que limita o acesso informao somente s pessoas ou
entidades autorizadas pelo proprietrio da informao.
Comentrios
Os quatro princpios considerados centrais ou principais, mais comumente
cobrados em provas, esto listados na questo, a saber: a confidencialidade,
a integridade, a disponibilidade e a autenticidade ( possvel encontrar a sigla
CIDA, ou DICA, para fazer meno a estes princpios!).
D
isponibilidade
ntegridade
onfidencialidade
utenticidade
Figura. Mnemnico DICA

a
Prof Patrcia Lima Quinto
58

a confidencialidade (sigilo) que evitar o acesso no autorizado s

informaes, permitindo somente que pessoas explicitamente autorizadas
possam acess-las. A integridade evita alteraes nos dados, garantindo que
a informao que foi armazenada a que ser recuperada.
9. (CESPE/MPE-PI/Tcnico Ministerial/rea: Administrativa/ 2012)
Worms so programas maliciosos que se autorreplicam em redes de
computadores anexados a algum outro programa existente e instalado em
computadores da rede.
Comentrios
Os Worms (vermes) tm a capacidade de se propagarem automaticamente
atravs de redes, enviando cpias de si mesmo de computador para
computador. Sua propagao se d atravs da explorao de vulnerabilidades
existentes ou falhas na configurao de softwares instalados em
computadores.
Nesse caso, diferentemente do vrus, o Worm no embute cpias de si mesmo
em outros programas ou arquivos e no necessita ser explicitamente
executado para se propagar.
10.
(CESPE/2002/POLCIA
FEDERAL/PERITO:
REA
3
.
COMPUTAO) Sistemas criptogrficos so ditos simtricos ou de chave
secreta quando a chave utilizada para cifrar a mesma utilizada para
decifrar. Sistemas assimtricos ou de chave pblica utilizam chaves
distintas para cifrar e decifrar. Algoritmos simtricos so geralmente mais
eficientes computacionalmente que os assimtricos e por isso so preferidos
para cifrar grandes massas de dados ou para operaes online.
Comentrios
A criptografia de chave simtrica (tambm chamada de criptografia de
chave nica, ou criptografia privada, ou criptografia convencional)
utiliza APENAS UMA chave para encriptar e decriptar as mensagens. Assim,
como s utiliza UMA chave, obviamente ela deve ser compartilhada entre o
remetente e o destinatrio da mensagem.
Para ilustrar os sistemas simtricos, podemos usar a imagem de um cofre, que
s pode ser fechado e aberto com uso de uma chave. Esta pode ser, por
exemplo, uma combinao de nmeros. A mesma combinao abre e fecha o
cofre. Para criptografar uma mensagem, usamos a chave (fechamos o cofre) e
para decifr-la utilizamos a mesma chave (abrimos o cofre).
59

Os sistemas simtricos tm o problema em relao distribuio de chaves,

que devem ser combinadas entre as partes antes que a comunicao segura se
inicie. Esta distribuio se torna um problema em situaes em que as partes
no podem se encontrar facilmente. Mas h outros problemas: a chave pode
ser interceptada e/ou alterada em trnsito por um inimigo.
Na criptografia simtrica (ou de chave nica) tanto o emissor

quanto o receptor da mensagem devem conhecer a chave utilizada!!
Nos algoritmos de criptografia assimtrica (criptografia de chave

pblica) utilizam DUAS chaves DIFERENTES, uma PBLICA (que pode ser
distribuda) e uma PRIVADA (pessoal e intransfervel). Assim, nesse mtodo
cada pessoa ou entidade mantm duas chaves: uma pblica, que pode ser
divulgada livremente, e outra privada, que deve ser mantida em segredo pelo
seu dono. As mensagens codificadas com a chave pblica s podem ser
decodificadas com a chave privada correspondente.
Do ponto de vista do custo computacional, os sistemas simtricos
apresentam melhor desempenho que os sistemas assimtricos, e isso j
foi cobrado em provas vrias vezes!
11.
(CESPE/Agente Tcnico de Inteligncia rea de Tecnologia da
Informao ABIN/2010) A chave assimtrica composta por duas
chaves criptogrficas: uma privada e outra pblica.
Comentrios
A criptografia de chave pblica (aSSimtrica) utiliza duas chaves: uma
denominada privada e outra denominada pblica. Nesse mtodo, uma pessoa
deve criar uma chave de codificao e envi-la a quem for mandar
informaes a ela. Essa a chave pblica. Outra chave deve ser criada para a
decodificao. Esta a chave privada secreta.
12. (CESPE/Oficial Tcnico de Inteligncia-rea de Arquivologia ABIN/2010) A respeito de mecanismos de segurana da informao, e
60

considerando que uma mensagem tenha sido criptografada com a chave

pblica de determinado destino e enviada por meio de um canal de
comunicao, pode-se afirmar que a mensagem criptografada com a chave
pblica do destinatrio garante que somente quem gerou a informao
criptografada e o destinatrio sejam capazes de abri-la.
Comentrios
Quando se criptografa a mensagem com a chave pblica do destinatrio ela
poder ser aberta (descriptografada) apenas pelo destinatrio, j que s ele
tem acesso sua chave privada. O remetente (quem gerou a mensagem) j
tem acesso mensagem em claro, no criptografada.
Muita ateno aqui pessoal!!
Na criptografia assimtrica ou simplesmente criptografia
de chaves pblicas, as entidades envolvidas possuem duas
chaves, uma privada e uma pblica.
Quando a inteno fazer uso da confidencialidade,

o emissor/remetente precisa conhecer a chave pblica do
destinatrio/receptor, sendo assim, o emissor/remetente
criptografa a mensagem utilizando a chave pblica do
destinatrio/receptor, para descriptografar a mensagem o
destinatrio utiliza sua prpria chave privada.
Quando se quer atestar a autenticidade, o
emissor/remetente precisa assinar o documento a ser
transmitido, exemplo assinatura digital, correio
eletrnico, aplicaes por meio do SSL, entre outros. O
remetente/emissor criptografa o documento utilizando
sua chave privada, e disponibiliza sua chave pblica ao
destinatrio/receptor.
Outra aplicao para o uso de criptografias de chaves
pblicas so os certificados digitais. O certificado digital
um documento eletrnico assinado digitalmente e cumpre
a funo de associar uma pessoa ou entidade a uma
chave pblica.
13.
(CESPE/2010/Caixa/Tcnico Bancrio) O destinatrio de uma
mensagem assinada utiliza a chave pblica do remetente para garantir
que essa mensagem tenha sido enviada pelo prprio remetente.
61

Comentrios
Esta uma das utilidades do uso de criptografia assimtrica. O emissor utiliza
sua chave privada para encriptar a mensagem, sendo possvel a decriptao
apenas com sua chave pblica. Assim, pode-se confirmar que o emissor
quem diz ser, pois somente a chave dele permite decriptar a mensagem.
Complementando, a questo refere-se ao princpio da autenticidade e
exatamente isso, a mensagem criptografada com a chave privada do
remetente, e descriptografada pelo destinatrio/receptor utilizando a chave
pblica do remetente/emissor.
14. (CESPE/2010/Caixa/Tcnico Bancrio) A assinatura digital facilita a
identificao de uma comunicao, pois baseia-se em criptografia simtrica
de uma nica chave.
Comentrios
A assinatura digital facilita a identificao de uma comunicao, mas baseia-se
em criptografia assimtrica com par de chaves: uma pblica e outra privada.
15.
(CESPE/TCU/Tcnico Federal de Controle Externo/2012) Por meio
de certificados digitais, possvel assinar digitalmente documentos a fim de
garantir o sigilo das informaes contidas em tais documentos.
Comentrios
A assinatura digital, por si s, no garante a confidencialidade (sigilo) dos
dados, pois, teoricamente, todos possuem a chave pblica do remetente. Essa
confidencialidade obtida por meio de tcnicas de criptografia, que so
utilizadas em conjunto com as assinaturas digitais!
A assinatura digital fornece uma prova inegvel de que uma mensagem veio
do emissor. Para verificar esse requisito, uma assinatura deve ter as seguintes
propriedades:
autenticidade: o receptor (destinatrio de uma mensagem) pode

confirmar que a assinatura foi feita pelo emissor;
integridade: qualquer alterao da mensagem faz com que a assinatura
seja invalidada;
no repdio (irretratabilidade): o emissor (aquele que assinou
digitalmente a mensagem) no pode negar que foi o autor da
mensagem, ou seja, no pode dizer mais tarde que a sua assinatura foi
falsificada.

62

16. (CESPE/AL-ES/Procurador/2011) Caso o usurio acesse uma pgina

na Internet e lhe seja apresentado um certificado digital vlido, correto
inferir que a conexo utilizada por esse usurio estar cifrada com o uso de
pendrive.
Comentrios
A conexo utilizada estar cifrada com o uso do protocolo HTTPS (HyperText
Transfer Protocol Secure - Protocolo de Transferncia de Hipertexto Seguro).
O HTTPS trata-se de uma variao do protocolo HTTP que utiliza mecanismos
de segurana. Ele permite que os dados sejam transmitidos atravs de uma
conexo criptografada e que se verifique a autenticidade do servidor e do
cliente. Diferentemente do HTTP (porta 80), a porta padro usada pelo
protocolo HTTPS a porta 443. Geralmente o HTTPS utilizado para evitar
que a informao transmitida entre o cliente e o servidor seja visualizada por
terceiros. O endereo dos recursos na Internet que esto sob o protocolo
HTTPS inicia-se por 'https://'. Um bom exemplo o uso do HTTPS em sites de
compras online.
17. (CESPE/Oficial Tcnico de Inteligncia/rea de Desenvolvimento
e Manuteno de Sistemas ABIN/2010) As assinaturas digitais atuam
sob o princpio bsico da confidencialidade da informao, uma vez que
conferem a autenticao da identidade do remetente de uma mensagem.
No entanto, tal soluo no garante a integridade da informao, que deve
ser conferida por meio de tecnologias adicionais de criptografia.
Comentrios
Com as assinaturas digitais temos garantida a autenticidade, a integridade e o
no repdio.
18. (CESPE/Tcnico
Bancrio/Carreira
administrativaCaixa
Econmica Federal-NM1/2010) Para assinar uma mensagem digital, o
remetente usa uma chave privada.
Comentrios
O remetente usa sua chave privada para realizar um processo matemtico
com a mensagem, gerando caracteres de assinatura (chamamos aqui de
assinar a mensagem).
63

19.
(CESPE/AL-ES/Cargos de Nvel Mdio/2011) Existem diversos
dispositivos que protegem tanto o acesso a um computador quanto a toda
uma rede. Caso um usurio pretenda impedir que o trfego com origem na
Internet faa conexo com seu computador pessoal, a tecnologia adequada
a ser utilizada nessa situao ser o IpV6.
Comentrios
IpV6 a verso mais atual do protocolo IP. O dispositivo a ser utilizado para
impedir que o trfego com origem na Internet faa conexo com o computador
pessoal do usurio o Firewall, que tem por objetivo aplicar uma poltica de
segurana a um determinado ponto da rede.
20. (CESPE/Tcnico Administrativo Nvel Mdio PREVIC/2011)
Firewall o elemento de defesa mais externo na intranet de uma empresa e
sua principal funo impedir que usurios da intranet acessem qualquer
rede externa ligada Web.
Comentrios
O firewall tem como principal funo impedir a entrada de usurios no
autorizados e no impedir a sada (os usurios da intranet podem acessar
sites na Internet, sem problemas), apesar de poder ser configurado dessa
forma tambm!!
21. (CESPE/CBM-DF/Oficial
Bombeiro
Militar
Complementar/Informtica/2011)
Em uma VPN (virtual private
network) que utilize a tcnica de tunelamento, os contedos dos pacotes
que trafegam pela Internet so criptografados, ao passo que, para permitir
o roteamento eficiente dos pacotes, os seus endereos de origem e de
destino permanecem no criptografados.
Comentrios
Na tcnica de tunelamento, os dados e endereos esto em um nico pacote
de dados, que est criptografado. Assim, todo o contedo do pacote
criptografado, inclusive os endereos de origem e de destino.
22. (CESPE/MPE-PI/2012) A adoo de crachs para identificar as
pessoas e controlar seus acessos s dependncias de uma empresa um
64

mecanismo adequado para preservar a segurana da informao da

empresa.
Comentrios
Essa uma das medidas necessrias para resguardar a segurana na
empresa.
23. (CESPE/Nvel Superior - PREVIC/2011) Por meio do uso de
certificados digitais, possvel garantir a integridade dos dados que
transitam pela Internet, pois esses certificados so uma forma confivel de
se conhecer a origem dos dados.
Comentrios
Integridade no tem relao com a origem dos dados. Integridade diz
respeito no alterao dos dados. Conhecer a origem est ligado ao
princpio da autenticidade.
24.
(CESPE/TJ-ES/CBNS1_01/Superior/2011) Tecnologias como a
biometria por meio do reconhecimento de digitais de dedos das mos ou o
reconhecimento da ris ocular so exemplos de aplicaes que permitem
exclusivamente garantir a integridade de informaes.
Comentrios
A biometria est sendo cada vez mais utilizada na segurana da informao,
permitindo a utilizao de caractersticas corporais, tais como: impresses
digitais, timbre de voz, mapa da ris, anlise geomtrica da mo, etc., em
mecanismos de autenticao. O princpio da integridade destaca que a
informao deve ser mantida na condio em que foi liberada pelo seu
proprietrio, e teremos outros mecanismos na organizao para mant-la. A
biometria, no entanto, garante-nos a autenticidade, relacionada capacidade
de garantir a identidade de uma pessoa (fsica ou jurdica) que acessa as
informaes
do
sistema
ou
de
um
servidor
(computador).
25. (CESPE/TJ-ES/CBNS1_01/Superior/2011) Um filtro de phishing
uma ferramenta que permite criptografar uma mensagem de email cujo
teor, supostamente, s poder ser lido pelo destinatrio dessa mensagem.
65

Comentrios
O filtro de phishing ajuda a proteg-lo contra fraudes e riscos de furto de
dados pessoais, mas a ferramenta no permite criptografar mensagens!
26. (CESPE/TJ-ES/CBNS1_01/Superior/2011)
O
conceito
de
confidencialidade refere-se a disponibilizar informaes em ambientes
digitais apenas a pessoas para as quais elas foram destinadas, garantindose, assim, o sigilo da comunicao ou a exclusividade de sua divulgao
apenas aos usurios autorizados.
Comentrios
A confidencialidade a garantia de que a informao no ser conhecida por
quem no deve, ou seja, somente pessoas explicitamente autorizadas podero
acess-las.
27. (CESPE/TJ-ES/CBNM1_01/Nvel Mdio/2011) necessrio sempre
que o software de antivrus instalado no computador esteja atualizado e
ativo, de forma a se evitar que, ao se instalar um cookie no computador do
usurio, essa mquina fique, automaticamente, acessvel a um usurio
intruso (hacker), que poder invadi-la.
Comentrios
Recomenda-se que o antivrus esteja sempre atualizado e ativo no computador
do usurio. No entanto, um cookie no permite que a mquina seja acessvel
por um intruso, pois se trata de um arquivo texto que o servidor Web salva na
mquina do usurio para armazenar as suas preferncias de navegao,
dentre outros.
28. (CESPE/TJ-ES/CBNM1_01/Nvel Mdio/2011) Os pop-ups so vrus
que podem ser eliminados pelo chamado bloqueador de pop-ups, se este
estiver instalado na mquina. O bloqueador busca impedir, por exemplo,
que esse tipo de vrus entre na mquina do usurio no momento em que ele
consultar um stio da Internet.
Comentrios
Pop-Up no vrus, trata-se de uma janela aberta sobre a janela principal de
um site, mostrando uma propaganda ou aviso sobre um determinado tema.
66

O bloqueador de pop-ups pode ser habilitado no menu Ferramentas ->

Bloqueador de Pop-ups do Internet Explorer.

29. (CESPE/Tcnico Administrativo - MPU/2010) De acordo com o
princpio da disponibilidade, a informao s pode estar disponvel para os
usurios aos quais ela destinada, ou seja, no pode haver acesso ou
alterao dos dados por parte de outros usurios que no sejam os
destinatrios da informao.
Comentrios
Nesta questo houve uma confuso de conceitos. A segurana da informao
est envolta por trs princpios bsicos: Confidencialidade, Integridade e
Disponibilidade. A disponibilidade, como o nome sugere, refere-se garantia
de que a informao estar disponvel quando dela se quiser fazer uso.
Naturalmente a informao deve estar disponvel a quem de direito, como
manda o princpio da confidencialidade. Quem garante o sigilo da informao
este ltimo princpio, enquanto o princpio que garante que a informao est
intacta (que no possui modificaes no autorizadas) o princpio da
integridade. Esta a trade CID Confidencialidade, Integridade e
Disponibilidade. Observe o quadro a seguir:
Princpio bsico
Conceito
Confidencialidade
Propriedade de que a
informao no esteja
Proteger contra o acesso no
disponvel ou revelada a
autorizado, mesmo para dados
indivduos, entidades ou
em trnsito.
processos
no
autorizados.
Integridade
Proteger informao contra

Propriedade
de modificao sem permisso;
salvaguarda da exatido
e completeza de ativos. garantir a fidedignidade das
informaes.
Disponibilidade
Propriedade de estar
acessvel e utilizvel sob
demanda
por
uma
entidade autorizada.
Objetivo
Proteger
contra
indisponibilidade dos servios
(ou degradao);
Garantir
aos
usurios
com
67

autorizao,
dados.
acesso
aos

30. (CESPE/TJ-ES/CBNM1_01/Nvel Mdio/2011) Confidencialidade,
disponibilidade e integridade da informao, que so conceitos importantes
de segurana da informao em ambiente digital, devem estar presentes na
gesto e no uso de sistemas de informao, em benefcio dos cidados e
dos fornecedores de solues.
Comentrios
Os princpios da segurana da informao listados na questo so:
Confidencialidade: a garantia de que a informao no ser conhecida por

quem no deve, ou seja, somente pessoas explicitamente autorizadas
podero acess-las;
Integridade: destaca que a informao deve ser mantida na condio em

mudanas intencionais ou acidentais.
Disponibilidade: a garantia de que a informao deve estar disponvel,

sempre que seus usurios (pessoas e empresas autorizadas) necessitarem,
no importando o motivo;
Cabe ressaltar que a perda de pelo menos um desses princpios j ir

comprometer o ambiente da empresa, portanto devem estar presentes na
gesto e no uso de sistemas de informao, em benefcio dos cidados e dos
fornecedores de solues.
31. (CESPE/Nvel Superior - STM/2011) Um firewall pessoal instalado no
computador do usurio impede que sua mquina seja infectada por
qualquer tipo de vrus de computador.
Comentrios
O Firewall no protege contra infeco de vrus e sim contra o acesso no
autorizado (invases), quem protege contra infeco de vrus o Antivrus.
32. (CESPE/Analista Judicirio - Tecnologia da Informao-TREMT/2010) A confidencialidade tem a ver com salvaguardar a exatido e a
inteireza das informaes e mtodos de processamento. Para tanto,
68

necessrio que os processos de gesto de riscos identifiquem, controlem,

minimizem ou eliminem os riscos de segurana que podem afetar sistemas
de informaes, a um custo aceitvel.
Comentrios
Primeiro, a confidencialidade a garantia de segredo. A afirmao fala da
Integridade. Outra coisa que no se fala em ELIMINAR riscos e sim
minimizar.
33. (CESPE/ANALISTA- TRE.BA/2010) Confidencialidade, disponibilidade
e integridade da informao so princpios bsicos que orientam a definio
de polticas de uso dos ambientes computacionais. Esses princpios so
aplicados exclusivamente s tecnologias de informao, pois no podem ser
seguidos por seres humanos.
Comentrios
Os seres humanos tambm so considerados como ativos em segurana da
informao e merecem tambm uma ateno especial por parte das
organizaes. Alis, os usurios de uma organizao so considerados at
como o elo mais fraco da segurana, e so os mais vulnerveis. Portanto,
eles tm que seguir as regras predefinidas pela poltica de segurana da
organizao, e esto sujeitos a punies para os casos de descumprimento das
mesmas! No adianta investir recursos financeiros somente em tecnologias e
esquecer de treinar os usurios da organizao, pois erros comuns (como o
uso de um pen drive contaminado por vrus na rede) poderiam vir a
comprometer o ambiente que se quer proteger!
34. (CESPE/Analista de Saneamento/Analista de Tecnologia da
Informao Desenvolvimento - EMBASA/2010) O princpio da
autenticao em segurana diz que um usurio ou processo deve ser
corretamente identificado. Alm disso, todo processo ou usurio autntico
est automaticamente autorizado para uso dos sistemas.
Comentrios
Cuidado aqui! A segunda parte da afirmao est incorreta. Um usurio ou
processo (programa) autenticado no est automaticamente apto para uso dos
sistemas. Isto depender do nvel de acesso que ele possuir. possvel, por
exemplo, que um usurio tenha permisso apenas para visualizar a caixa de
mensagens dele ou, ainda, para ler os arquivos de sua pasta particular.
69


35. (CESPE/Tcnico
Administrativo
ANATEL/2009)
Com
o
desenvolvimento da Internet e a migrao de um grande nmero de
sistemas especializados de informao de grandes organizaes para
sistemas de propsito geral acessveis universalmente, surgiu a
preocupao com a segurana das informaes no ambiente da Internet.
Acerca da segurana e da tecnologia da informao, julgue o item a seguir.
-> A disponibilidade e a integridade so itens que caracterizam a segurana
da informao. A primeira representa a garantia de que usurios
autorizados tenham acesso a informaes e ativos associados quando
necessrio, e a segunda corresponde garantia de que sistemas de
informaes sejam acessveis apenas queles autorizados a acess-los.
Comentrios
O conceito de disponibilidade est correto, mas o conceito de integridade no.
O conceito apresentado na questo foi o de confidencialidade: garantia de que
sistemas de informaes sejam acessveis apenas queles autorizados a
acess-los.
(CESPE/Escrivo de Polcia Federal/2010)
Considerando a figura acima, que apresenta uma janela com algumas

informaes da central de segurana do Windows de um sistema
computacional (host) de uso pessoal ou corporativo, julgue os trs prximos
itens, a respeito de segurana da informao.
70

36. (CESPE/2010/Escrivo de Polcia Federal) A atualizao automtica

disponibilizada na janela exibida acima uma funo que est mais
relacionada distribuio de novas funes de segurana para o sistema
operacional do que distribuio de novos patches (remendos) que
corrijam as vulnerabilidades de cdigo presentes no sistema operacional.
Comentrios
A atualizao automtica disponibilizada na janela est relacionada
distribuio de novos patches (remendos/correes de segurana) que
corrijam as vulnerabilidades (fragilidades) de cdigo presentes no sistema
operacional.
37. (CESPE/2010/Escrivo de Polcia Federal) Na figura anterior, o
firewall assinalado como ativado, em sua configurao padro, possui um
conjunto maior de regras para bloqueio de conexes originadas de fora do
computador do que para as conexes originadas de dentro do computador.
Comentrios
Cumpre a funo de controlar os acessos. Uma vez estabelecidas suas regras,
passam a gerenciar tudo o que deve entrar e sair da rede corporativa, tendo
um conjunto maior de regras para bloqueio de conexes oriundas de fora do
computador.
38. (CESPE/2010/Escrivo de Polcia Federal) A configurao da
proteo contra malwares exposta na figura indica que existe no host uma
base de assinaturas de vrus instalada na mquina.
Comentrios
A figura destaca que no existe antivrus instalado no equipamento, e tambm
mostra que a proteo contra spyware e outro malware encontra-se
desatualizada. No possvel destacar pela figura que existe no host
(equipamento) uma base de assinaturas de vrus.
39. (CESPE/2010/Caixa/Tcnico
Bancrio/Administrativo)
Uma
autoridade de registro emite o par de chaves do usurio que podem ser
utilizadas tanto para criptografia como para assinatura de mensagens
eletrnicas.
71

Comentrios
a autoridade de registro recebe as solicitaes de certificados dos usurios e
as envia autoridade certificadora que os emite.
Ateno aqui!!
Componentes de uma ICP
Uma Infraestrutura de Chaves Pblicas (ICP) envolve um
processo colaborativo entre vrias entidades: autoridade
certificadora (AC), autoridade de registro (AR), repositrio
de certificados e o usurio final.
Autoridade Certificadora (AC)
Vamos ao exemplo da carteira de motorista. Se pensarmos
em um certificado como uma carteira de motorista, a
Autoridade Certificadora opera como um tipo de rgo de
licenciamento. Em uma ICP, a AC emite, gerencia e revoga
os certificados para uma comunidade de usurios finais. A
AC assume a tarefa de autenticao de seus usurios finais e
ento assina digitalmente as informaes sobre o certificado
antes de dissemin-lo. A AC, no final, responsvel pela
autenticidade dos certificados emitidos por ela.
Autoridade de Registro (AR)
Embora a AR possa ser considerada um componente
estendido de uma ICP, os administradores esto descobrindo
que isso uma necessidade. medida que aumenta o
nmero de usurios finais dentro de uma ICP, tambm
aumenta a carga de trabalho de uma AC.
A AR serve como uma entidade intermediria entre a AC e
seus usurios finais, ajudando a AC em suas funes
rotineiras para o processamento de certificados.
Uma AR necessariamente uma entidade operacionalmente
vinculada a uma AC, a quem compete:
identificar os titulares de
organizaes ou equipamentos;
certificados:
indivduos,
encaminhar solicitaes de emisso e revogao de

certificados AC;
guardar
os
documentos
identificao dos titulares.
apresentados
para
72

A AC deve manter uma lista de suas ARs credenciadas e

estas ARs so consideradas confiveis, pelo ponto de vista
dessa AC.
Resumindo...
a AC emite, gerencia e revoga os certificados para
uma comunidade de usurios finais. A AR serve
como uma entidade intermediria entre a AC e seus
usurios finais, ajudando a AC em suas funes
rotineiras para o processamento de certificados.
40. (CESPE/Tcnico Judicirio/Programao de Sistemas - TREMT/2010) Disponibilidade a garantia de que o acesso informao seja
obtido apenas por pessoas autorizadas.
Comentrios
A disponibilidade garante que a informao estar l quando for preciso
acess-la. Obviamente, o acesso s ser permitido a quem de direito. O texto
da questo afirma que a disponibilidade a garantia de que o acesso
informao seja obtido apenas por pessoas autorizadas, o que a garantia da
confidencialidade.
41. (CESPE/TRE-MT/Tcnico
Judicirio
Programao
de
Sistemas/2010) Confidencialidade a garantia de que os usurios
autorizados obtenham acesso informao e aos ativos correspondentes
sempre que necessrio.
Comentrios
O texto refere-se disponibilidade. A informao deve estar disponvel a quem
de direito.
42. (CESPE/UERN/Agente
Tcnico
Administrativo/2010)
A
disponibilidade da informao a garantia de que a informao no ser
alterada durante o trnsito entre o emissor e o receptor, alm da garantia
de que ela estar disponvel para uso nesse trnsito.
Comentrios
73

Nem uma coisa nem outra. A disponibilidade garante que a informao estar
disponvel aos usurios com direito de acesso quando for preciso, mas no local
apropriado para o armazenamento.
43.
(CESPE/AGU/Contador/2010) Um
protegido contra contaminao por vrus.
arquivo
criptografado
fica
Comentrios
O arquivo criptografado no elimina a possibilidade de infeco por vrus.
Lembre-se de que a criptografia modifica os smbolos do texto, mas no
impede a incluso de vrus na sequncia.
44. (CESPE/UERN/Agente Tcnico Administrativo/2010) Cavalo de
troia um programa que se instala a partir de um arquivo aparentemente
inofensivo, sem conhecimento do usurio que o recebeu, e que pode
oferecer acesso de outros usurios mquina infectada.
Comentrios
O Trojan Horse (Cavalo de Troia) pode utilizar um mecanismo de propagao
bastante eficiente, escondendo-se dentro de um aplicativo til.
45.
(CESPE/UERN/Agente Tcnico Administrativo/2010) O uso de um
programa anti-spam garante que software invasor ou usurio
mal-intencionado no acesse uma mquina conectada a uma rede.
Comentrios
Anti-spam refere-se aos e-mails indesejados apenas. um software que filtra
os e-mails recebidos separando os no desejados.
46. (CESPE/SEDU-ES/Agente de Suporte Educacional/2010) Vrus
um programa que pode se reproduzir anexando seu cdigo a um outro
programa, da mesma forma que os vrus biolgicos se reproduzem.
Comentrios
74

Os vrus so pequenos cdigos de programao maliciosos que se agregam a

arquivos e so transmitidos com eles. Quando o arquivo aberto na memria
RAM, o vrus tambm , e, a partir da se propaga infectando, isto , inserindo
cpias de si mesmo e se tornando parte de outros programas e arquivos de um
computador. Assim, do mesmo modo como um vrus biolgico precisa de
material reprodutivo das clulas hospedeiras para se copiar, o vrus de
computador necessita de um ambiente propcio para sua existncia... Esse
ambiente o arquivo a quem ele (o vrus) se anexa.
47. (CESPE/SEDU-ES/Agente de Suporte Educacional/2010) Cavalosde-troia, adwares e vermes so exemplos de pragas virtuais.
Comentrios
Todos os trs programas mencionados so exemplos de pragas virtuais,
conforme visto a seguir:
O Cavalo de Troia um programa no qual um cdigo malicioso ou

prejudicial est contido dentro de uma programao ou dados
aparentemente inofensivos de modo a poder obter o controle e causar
danos.
Adware (Advertising software) um software projetado para exibir

anncios de propaganda em seu computador. Esses softwares podem ser
maliciosos!
Worms: so programas parecidos com vrus, mas que na verdade so

capazes de se propagarem automaticamente atravs de redes, enviando
cpias de si mesmo de computador para computador (observe que os
worms apenas se copiam, no infectam outros arquivos, eles mesmos so
os arquivos!!).

48. (CESPE/SEDU-ES/AGENTE DE SUPORTE EDUCACIONAL/2010)
Backup o termo utilizado para definir uma cpia duplicada de um arquivo,
um disco, ou um dado, feita com o objetivo de evitar a perda definitiva de
arquivos importantes.
Comentrios
O termo backup (cpia de segurana) est relacionado s cpias feitas de um
arquivo ou de um documento, de um disco, ou um dado, que devero ser
guardadas sob condies especiais para a preservao de sua integridade no
que diz respeito tanto forma quanto ao contedo, de maneira a permitir o
resgate de programas ou informaes importantes em caso de falha ou perda
dos originais.
75


49. (CESPE/EMBASA/Analista de Saneamento - Analista de TI rea:
Desenvolvimento/2010) O princpio da autenticao em segurana diz
que um usurio ou processo deve ser corretamente identificado. Alm disso,
todo processo ou usurio autntico est automaticamente autorizado para
uso dos sistemas.
Comentrios
por meio da autenticao que se confirma a identidade do usurio ou
processo (programa) que presta ou acessa as informaes. No entanto,
afirmar que TODO processo ou usurio autntico est automaticamente
autorizado falsa, j que essa autorizao depender do nvel de acesso que
ele possui. Em linhas gerais, autenticao o processo de provar que voc
quem diz ser. Autorizao o processo de determinar o que permitido que
voc faa depois que voc foi autenticado!!
50. (CESPE/TRE-MT/Analista
Judicirio
Tecnologia
da
Informao/2010) Uma das vantagens da criptografia simtrica em
relao assimtrica a maior velocidade de cifragem ou decifragem das
mensagens. Embora os algoritmos de chave assimtrica sejam mais rpidos
que os de chave simtrica, uma das desvantagens desse tipo de criptografia
a exigncia de uma chave secreta compartilhada.
Comentrios
Inverteu os conceitos. Os algoritmos mais rpidos e que compartilham chaves
so os algoritmos de chave simtrica.
Judicirio/Tecnologia
da
Informao/2010) Na criptografia assimtrica, cada parte da
comunicao possui um par de chaves. Uma chave utilizada para encriptar
e a outra para decriptar uma mensagem. A chave utilizada para encriptar a
mensagem privada e divulgada para o transmissor, enquanto a chave
usada para decriptar a mensagem pblica.
Comentrios
O erro est na localizao das palavras pblica e privada. Devem ser trocadas
de lugar. A chave utilizada para encriptar a mensagem pblica e divulgada
76

para o transmissor, enquanto a chave usada para decriptar a mensagem

privada.
52. (CESPE/CAIXA-NM1/
Tcnico
Bancrio/Carreira
administrativa/2010) Autoridade certificadora a denominao de
usurio que tem poderes de acesso s informaes contidas em uma
mensagem assinada, privada e certificada.
Comentrios
Autoridade certificadora (AC) o termo utilizado para designar a entidade que
emite, renova ou revoga certificados digitais de outras ACs ou de titulares
finais. Alm disso, emite e publica a LCR (Lista de Certificados Revogados).
TCNICO
BANCRIO/CARREIRA
ADMINISTRATIVA/2010) A autoridade reguladora tem a funo de emitir
certificados digitais, funcionando como um cartrio da Internet.
Comentrios
A Autoridade Certificadora
certificados digitais.
(AC)
entidade
responsvel
por
emitir

54. (CESPE/2010/CAIXA-NM1/
TCNICO
BANCRIO/CARREIRA
ADMINISTRATIVA) O ITI (Instituto Nacional de Tecnologia da
Informao) tambm conhecido como Autoridade Certificadora Raiz
Brasileira.
Comentrios
A Autoridade Certificadora RAIZ (AC Raiz) primeira autoridade da cadeia
de certificao e compete a ela emitir, expedir, distribuir, revogar e
gerenciar os certificados das AC de nvel imediatamente subsequente,
gerenciar a lista de certificados emitidos, revogados e vencidos, e executar
atividades de fiscalizao e auditoria das ACs e das ARs e dos
prestadores de servio habilitados na ICP. A funo da AC-Raiz foi
delegada ao Instituto Nacional de Tecnologia da Informao ITI,
autarquia federal atualmente ligada Casa Civil da Presidncia da Repblica.
Logo, o ITI tambm conhecido como Autoridade Certificadora Raiz Brasileira.
77

A AC-Raiz s pode emitir certificados s ACs imediatamente subordinadas,

sendo vedada de emitir certificados a usurios finais.
TCNICO
BANCRIO/CARREIRA
ADMINISTRATIVA) PKI ou ICP o nome dado ao certificado que foi
emitido por uma autoridade certificadora.
Comentrios
PKI (Public Key Infrastrusture) a infraestrutura de chaves pblicas. A
ICP-Brasil um exemplo de PKI.
TCNICO
BANCRIO/CARREIRA
ADMINISTRATIVA) Um certificado digital pessoal, intransfervel e no
possui data de validade.
Comentrios
Um certificado digital um documento eletrnico que identifica pessoas,
fsicas
ou
jurdicas,
URLs,
contas
de
usurio,
servidores
(computadores) dentre outras entidades. Este documento na verdade
uma estrutura de dados que contm a chave pblica do seu titular e outras
informaes de interesse. Contm informaes relevantes para a identificao
real da entidade a que visam certificar (CPF, CNPJ, endereo, nome, etc) e
informaes relevantes para a aplicao a que se destinam. O certificado
digital precisa ser emitido por uma autoridade reconhecida pelas partes
interessadas na transao. Chamamos essa autoridade de Autoridade
Certificadora, ou AC. Dentre as informaes que compem um certificado
temos:
Verso: indica qual formato de certificado est sendo seguido
Nmero de srie: identifica unicamente um certificado dentro do

escopo do seu emissor.
Algoritmo: identificador dos algoritmos de hash+assinatura utilizados

pelo emissor para assinar o certificado.
Emissor: entidade que emitiu o certificado.
Validade: data de emisso e expirao.
Titular: nome da pessoa, URL ou demais informaes que esto sendo

certificadas.
Chave pblica: informaes da chave pblica do titular.
Extenses: campo opcional para estender o certificado.
78

Assinatura: valor da assinatura digital feita pelo emissor.

57. (CESPE/2010/UERN/TCNICO DE NVEL SUPERIOR-Adaptada)
Vrus,
worms
e
cavalos-de-troia
so
exemplos
de
software
mal-intencionados que tm o objetivo de, deliberadamente, prejudicar o
funcionamento do computador. O firewall um tipo de malware que ajuda a
proteger o computador contra cavalos-de-troia.
Comentrios
Os vrus, worms e cavalos-de-troia so exemplos de software
mal-intencionados que tm o objetivo de, deliberadamente, prejudicar o
funcionamento
do
computador,
e,
consequentemente,
o
usurio!!
O cavalo de troia por exemplo "parece" ser inofensivo, quando na verdade no
!! um presente de grego (rs)!! Fica instalado no seu computador abrindo
portas para que a mquina seja acessada remotamente, pode funcionar como
um keylogger ao capturar as informaes digitadas no computador, etc,
portanto, a primeira parte da assertiva est correta.
A assertiva tornou-se falsa ao afirmar que o firewall um tipo de malware, um
absurdo! O malware (malicious software) um software destinado a se
infiltrar em um sistema de computador de forma ilcita, com o intuito de causar
algum dano ou roubo de informaes (confidenciais ou no), e no esse o
objetivo do firewall.
58. (CESPE/2010/UERN/Agente Tcnico Administrativo) Uma das
formas de se garantir a segurana das informaes de um website no
coloc-lo em rede, o que elimina a possibilidade de acesso por pessoas
intrusas.
Comentrios
Colocar um site fora da rede significa que ningum ter acesso via rede ao
site, nem mesmo as pessoas autorizadas. Alm disso, no se esquea dos
acessos feitos localmente, direto na mquina onde o site est hospedado!
59. (CESPE/2010/TRE-MT/Analista
Judicirio
Tecnologia
da
Informao) A segurana fsica objetiva impedir acesso no autorizado,
danos ou interferncia s instalaes fsicas e s informaes da
organizao. A proteo fornecida deve ser compatvel com os riscos
identificados, assegurando a preservao da confidencialidade da
informao.
79

Comentrios
No esquecer que alm da proteo lgica, deve existir a proteo fsica. De
nada adianta um sistema protegido dos acessos no autorizados via rede se
permitido o acesso fsico mquina. Um atacante pode incendiar, quebrar,
estragar, roubar e at invadir um sistema quando o mesmo no possui
controles fsicos.
60. (CESPE/2010/TRE-MT/Analista
Judicirio
Tecnologia
da
Informao) Servios de no repudiao so tcnicas utilizadas para
detectar alteraes no autorizadas ou corrompimento dos contedos de
uma mensagem transmitida eletronicamente. Essas tcnicas, que tm como
base o uso de criptografia e assinatura digital, podem ajudar a estabelecer
provas para substanciar se determinado evento ou ao ocorreu.
Comentrios
No repdio ocorre quando no possvel ao emissor da mensagem negar a
autoria da mesma.
61. (CESPE/2010/EMBASA/ANALISTA DE SANEAMENTO) Um firewall
em uma rede considerado uma defesa de permetro e consegue coibir
todo tipo de invaso em redes de computadores.
Comentrios
O firewall, como o nome sugere (traduzindo = parede de fogo) uma barreira
tecnolgica entre dois pontos de uma rede, em que normalmente o nico
ponto de acesso entre a rede interna e a Internet. O firewall dever permitir
somente a passagem de trfego autorizado. Alm disso, tem a funo de filtrar
todo o trfego de rede que passa por ele, dizendo o que permitido e o que
bloqueado ou rejeitado.
Pode ser comparado com uma sequncia de perguntas e respostas. Por
exemplo, o firewall faz uma pergunta ao pacote de rede, se a resposta for
correta ele deixa passar o trfego ou encaminha a requisio a outro
equipamento, se a resposta for errada ele no permite a passagem ou ento
rejeita o pacote. O firewall no consegue coibir todos os tipos de invaso.
Um firewall qualquer nunca vai proteger uma rede de seus usurios internos,
independente da arquitetura, tipo, sistema operacional ou desenvolvedor, pois
os usurios podem manipular os dados dentro das corporaes das formas
mais variadas possveis, como exemplo, se utilizando de um pen drive, para
80

roubar ou passar alguma informao para um terceiro ou at mesmo para uso

prprio.
Um firewall nunca ir proteger contra servios ou ameaas totalmente novas,
ou seja, se hoje surgir um novo tipo de ataque spoofing, no necessariamente
esse firewall vai proteger desse tipo de ataque, pois uma nova tcnica
existente no mercado e at o final de sua implementao, no se tinha
conhecimento sobre a mesma, o que acarreta na espera de uma nova verso
que supra essa necessidade.
Um firewall tambm no ir proteger contra vrus, pois os vrus so pacotes de
dados como outros quaisquer. Para identificar um vrus necessria uma
anlise mais criteriosa, que onde o antivrus atua.
62. (CESPE/2009/TRE/PR/Tcnico
Judicirio
Especialidade:
Operao de computadores) Firewalls so equipamentos tpicos do
permetro de segurana de uma rede, sendo responsveis pela deteco e
conteno de ataques e intruses.
Comentrios
Os firewalls so equipamentos tpicos do permetro de segurana de uma rede,
no entanto o IPS (Sistema de Preveno de Intruso) que faz a deteco de
ataques e intruses, e no o firewall!!
O firewall permite restringir o trfego de comunicao de dados entre a parte
da rede que est dentro ou antes do firewall, protegendo-a assim das
ameaas da rede de computadores que est fora ou depois do firewall. Esse
mecanismo de proteo geralmente utilizado para proteger uma rede menor
(como os computadores de uma empresa) de uma rede maior (como a
Internet).
63.
(CESPE/2008/TRT-1R/Analista
Judicirio-Adaptada)
Uma
caracterstica das redes do tipo VPN (virtual private networks) que elas
nunca devem usar criptografia, devido a requisitos de segurana e
confidencialidade.
Comentrios
Uma VPN (Virtual Private Network Rede Privada Virtual) uma rede
privada (no de acesso pblico!) que usa a estrutura de uma rede pblica
(como por exemplo, a Internet) para transferir seus dados (os dados devem
estar criptografados para passarem despercebidos e inacessveis pela
Internet). As VPNs so muito utilizadas para interligar filiais de uma mesma
81

empresa, ou fornecedores com seus clientes (em negcios eletrnicos) atravs

da estrutura fsica de uma rede pblica.
O trfego de dados levado pela rede pblica utilizando protocolos no
necessariamente seguros. VPNs seguras usam protocolos de criptografia
por tunelamento que fornecem a confidencialidade (sigilo), autenticao e
integridade necessrias para garantir a privacidade das comunicaes
requeridas. Quando adequadamente implementados, estes protocolos podem
assegurar comunicaes seguras atravs de redes inseguras.
64.
(CESPE/2010/MINISTRIO DA SADE /ANALISTA TCNICOADMINISTRATIVO) Firewall o mecanismo usado em redes de
computadores para controlar e autorizar o trfego de informaes, por meio
do uso de filtros que so configurados de acordo com as polticas de
segurana estabelecidas.
Comentrios
A banca especificou corretamente o conceito para o termo firewall. Em outras
palavras, basicamente, o firewall um sistema para controlar o acesso s
redes de computadores, e foi desenvolvido para evitar acessos no autorizados
em uma rede local ou rede privada de uma corporao.
Um firewall deve ser instalado no ponto de conexo entre as redes, onde,
atravs de regras de segurana, controla o trfego que flui para dentro e para
fora da rede protegida.
Deve-se observar que isso o torna um potencial gargalo para o trfego de
dados e, caso no seja dimensionado corretamente, poder causar atrasos e
diminuir a performance da rede.
65. (CESPE/2010/TRE.BA/ANALISTA/Q.27) Firewall um recurso
utilizado para a segurana tanto de estaes de trabalho como de
servidores ou de toda uma rede de comunicao de dados. Esse recurso
possibilita o bloqueio de acessos indevidos a partir de regras
preestabelecidas.
Comentrios
Outra questo bem parecida com a anterior, que destaca claramente o
conceito de firewall! Vrios objetivos para a segurana de uma rede de
computadores podem ser atingidos com a utilizao de firewalls. Dentre eles
destacam-se:
segurana: evitar que usurios externos, vindos da Internet, tenham acesso

a recursos disponveis apenas aos funcionrios da empresa autorizados.
82

Com o uso de firewalls de aplicao, pode-se definir que tipo de informao

os usurios da Internet podero acessar (somente servidor de pginas e
correio eletrnico, quando hospedados internamente na empresa);
confidencialidade: pode ocorrer que empresas tenham informaes sigilosas

veiculadas publicamente ou vendidas a concorrentes, como planos de ao,
metas organizacionais, entre outros. A utilizao de sistemas de firewall de
aplicao permite que esses riscos sejam minimizados;
produtividade: comum os usurios de redes de uma corporao

acessarem sites na Internet que sejam improdutivos como sites de
pornografia, piadas, chat etc. O uso combinado de um firewall de aplicao
e um firewall de rede pode evitar essa perda de produtividade;
performance: o acesso Internet pode tornar-se lento em funo do uso

inadequado dos recursos. Pode-se obter melhoria de velocidade de acesso a
Internet mediante controle de quais sites podem ser visitados, quem pode
visit-los e em que horrios sero permitidos. A opo de gerao de
relatrios de acesso pode servir como recurso para anlise dos acessos.

66. (CESPE/2010/UERN/TCNICO DE NVEL SUPERIOR-Adaptada)
Firewall um sistema constitudo de software e hardware que verifica
informaes oriundas da Internet ou de uma rede de computadores e que
permite ou bloqueia a entrada dessas informaes, estabelecendo, dessa
forma, um meio de proteger o computador de acesso indevido ou
indesejado.
Comentrios
O firewall pode ser formado por um conjunto complexo de equipamentos e
softwares, ou somente baseado em software, o que j tornaria incorreta a
questo, no entanto, a banca optou pela anulao da questo.
A funo do firewall controlar o trfego entre duas ou mais redes, com o
objetivo de fornecer segurana, prevenir ou reduzir ataques ou invases s
bases de dados corporativas, a uma (ou algumas) das redes, que normalmente
tm informaes e recursos que no devem estar disponveis aos usurios
da(s) outra(s) rede(s). Complementando, no so todas as informaes
oriundas da Internet ou de uma rede de computadores que sero bloqueadas,
ele realiza a filtragem dos pacotes e, ento, bloqueia SOMENTE as
transmisses NO PERMITIDAS!
Gabarito: item anulado.
67. (CESPE/2010/TRE-BA/Tcnico Judicirio - rea Administrativa)
Uma das formas de bloquear o acesso a locais no autorizados e restringir
acessos a uma rede de computadores por meio da instalao de firewall, o
83

qual pode ser instalado na rede como um todo, ou apenas em servidores ou

nas estaes de trabalho.
Comentrios
O firewall uma das ferramentas da segurana da informao, que interage
com os usurios de forma transparente, permitindo ou no o trfego da rede
interna para a Internet, como da Internet para o acesso a qualquer servio que
se encontre na rede interna da corporao e/ou instituio. Desta forma todo o
trfego, tanto de entrada como de sada em uma rede, deve passar por este
controlador que aplica de forma implcita algumas das polticas de segurana
adotadas pela corporao.
68. (CESPE/2004/POLCIA FEDERAL/REGIONAL/PERITO/REA 3/Q.
105) Um dos mais conhecidos ataques a um computador conectado a uma
rede o de negao de servio (DoS denial of service), que ocorre
quando um determinado recurso torna-se indisponvel devido ao de um
agente que tem por finalidade, em muitos casos, diminuir a capacidade de
processamento ou de armazenagem de dados.
Comentrios
No ataque de Negao de Servio (Denial of Service - DoS) o atacante
utiliza um computador, a partir do qual ele envia vrios pacotes ou
requisies de servio de uma vez, para tirar de operao um servio ou
computador(es) conectado(s) Internet, causando prejuzos. Para isso, so
usadas tcnicas que podem:
gerar uma sobrecarga no processamento de um computador, de modo

que o verdadeiro usurio do equipamento no consiga utiliz-lo;
gerar um grande trfego de dados para uma rede, ocasionando a

indisponibilidade dela;
indisponibilizar servios importantes de um provedor, impossibilitando o

acesso de seus usurios etc.
84


69. (CESPE/2008/PRF/Policial Rodovirio Federal) O uso de firewall e
de software antivrus a nica forma eficiente atualmente de se
implementar os denominados filtros anti-spam.
Comentrios
Para se proteger dos spams temos que instalar um anti-spam, uma nova
medida de segurana que pode ser implementada independentemente do
antivrus e do firewall.
O uso de um firewall (filtro que controla as comunicaes que passam de uma
rede para outra e, em funo do resultado permite ou bloqueia seu passo),
software antivrus e filtros anti-spam so mecanismos de segurana
importantes.
70. (CESPE/2008/PRF-POLICIAL RODOVIRIO FEDERAL-ADAPTADA)
Phishing e pharming so pragas virtuais variantes dos denominados
cavalos-de-tria, se diferenciando destes por precisarem de arquivos
especficos para se replicar e contaminar um computador e se
diferenciando, entre eles, pelo fato de que um atua em mensagens de email trocadas por servios de webmail e o outro, no.
Comentrios
O Phishing (ou Phishing scam) e o Pharming (ou DNS Poisoining) no so
pragas virtuais. Phishing e Pharming so dois tipos de golpes na Internet, e,
portanto, no so variaes de um cavalo de troia (trojan horse) que se trata
de um programa aparentemente inofensivo que entra em seu computador na
forma de carto virtual, lbum de fotos, protetor de tela, jogo etc, e que,
quando executado (com a sua autorizao!), parece lhe divertir, mas, por trs
85

abre portas de comunicao do seu computador para que ele possa ser
invadido.
Normalmente consiste em um nico arquivo que necessita ser explicitamente
executado. Para evitar a invaso, fechando as portas que o cavalo de troia
abre, necessrio ter, em seu sistema, um programa chamado firewall.
71. (CESPE/2008/PRF/Policial Rodovirio Federal) Se o sistema de
nomes de domnio (DNS) de uma rede de computadores for corrompido por
meio de tcnica denominada DNS cache poisoning, fazendo que esse
sistema interprete incorretamente a URL (uniform resource locator) de
determinado stio, esse sistema pode estar sendo vtima de pharming.
Comentrios
O DNS (Domain Name System Sistema de Nome de Domnio) utilizado
para
traduzir
endereos
de
domnios
da
Internet,
como
www.pontodosconcursos.com.br, em endereos IP, como 200.234.196.65.
Imagine se tivssemos que decorar todos os IPs dos endereos da Internet
que normalmente visitamos!!
O Pharming envolve algum tipo de redirecionamento da vtima para sites
fraudulentos, atravs de alteraes nos servios de resoluo de nomes (DNS).
Complementando, a tcnica de infectar o DNS para que ele lhe direcione
para um site fantasma que idntico ao original.
72. (CESPE/2008/PRF/Policial Rodovirio Federal) Quando enviado na
forma de correio eletrnico para uma quantidade considervel de
destinatrios, um hoax pode ser considerado um tipo de spam, em que o
spammer cria e distribui histrias falsas, algumas delas denominadas lendas
urbanas.
Comentrios
Os hoaxes (boatos) so e-mails que possuem contedos alarmantes ou
falsos e que, geralmente, tm como remetente ou apontam como autora da
mensagem alguma instituio, empresa importante ou rgo governamental.
Atravs de uma leitura minuciosa deste tipo de e-mail, normalmente,
possvel identificar em seu contedo mensagens absurdas e muitas vezes sem
sentido.
Normalmente, os boatos se propagam pela boa vontade e solidariedade de
quem os recebe. Isto ocorre, muitas vezes, porque aqueles que o recebem:
confiam no remetente da mensagem; no verificam a procedncia da
mensagem; no checam a veracidade do contedo da mensagem.
86

Spam o envio em massa de mensagens de correio eletrnico (e-mails) NO

autorizadas pelo destinatrio.
Portanto, o hoax pode ser considerado um spam, quando for enviado em
massa para os destinatrios, de forma no-autorizada.
73.
(CESPE/2008/TRT-1R/Analista
Judicirio)
Os
arquivos
denominados cookies, tambm conhecidos como cavalos de troia, so vrus
de computador, com inteno maliciosa, que se instalam no computador
sem a autorizao do usurio, e enviam, de forma automtica e
imperceptvel, informaes do computador invadido.
Comentrios
Cookies no so vrus, e sim arquivos lcitos que permitem a identificao do
computador cliente no acesso a uma pgina. Podem ser utilizados para guardar
preferncias do usurio, bem como informaes tcnicas como o nome e a
verso do browser do usurio.
74. (CESPE/2008/TRT-1R/Analista
Judicirio)
Os
programas
denominados worm so, atualmente, os programas de proteo contra vrus
de computador mais eficazes, protegendo o computador contra vrus,
cavalos de troia e uma ampla gama de softwares classificados como
malware.
Comentrios
O antivrus seria a resposta correta nesse item. O worm um tipo especfico
de malware.
75.
(CESPE/2004/Polcia Rodoviria Federal)
87

Um usurio da Internet, desejando realizar uma pesquisa acerca das condies

das rodovias no estado do Rio Grande do Sul, acessou o stio do Departamento
de Polcia Rodoviria Federal http://www.dprf.gov.br , por meio do
Internet Explorer 6, executado em um computador cujo sistema operacional
o Windows XP e que dispe do conjunto de aplicativos Office XP. Aps algumas
operaes nesse stio, o usurio obteve a pgina Web mostrada na figura
acima, que ilustra uma janela do Internet Explorer 6. Considerando essa
figura, julgue os itens seguintes, relativos Internet, ao Windows XP, ao Office
XP e a conceitos de segurana e proteo na Internet. I. Sabendo que o mapa
mostrado na pgina Web consiste em uma figura no formato jpg inserida na
pgina por meio de recursos da linguagem HTML, ao se clicar com o boto
direito do mouse sobre esse objeto da pgina, ser exibido um menu que
disponibiliza ao usurio um menu secundrio contendo uma lista de opes
que permite exportar de forma automtica tal objeto, como figura, para
determinados aplicativos do Office XP que estejam em execuo
concomitantemente ao Internet Explorer 6. A lista de aplicativos do Office XP
disponibilizada no menu secundrio contm o Word 2002, o Excel 2002, o
Paint e o PowerPoint 2002.
Comentrios
Ao clicar com o boto direito do mouse aberto um menu de contexto, mas
no exibida a opo de exportar a figura para qualquer aplicativo do Office.
Tambm aparece outro erro na questo ao afirmar que o Paint faz parte do
pacote Office, o que no est correto.
76. (CESPE/2004/Polcia Rodoviria Federal) II. Para evitar que as
informaes obtidas em sua pesquisa, ao trafegarem na rede mundial de
computadores, do servidor ao cliente, possam ser visualizadas por quem
estiver monitorando as operaes realizadas na Internet, o usurio tem
disposio diversas ferramentas cuja eficincia varia de implementao para
88

implementao. Atualmente, as ferramentas que apresentam melhor

desempenho para a funcionalidade mencionada so as denominadas sniffers
e backdoors e os sistemas ditos firewall, sendo que, para garantir tal
eficincia, todas essas ferramentas fazem uso de tcnicas de criptografia
tanto no servidor quanto no cliente da aplicao Internet.
Comentrios
Os sniffers (capturadores de quadros) so dispositivos ou programas de
computador que capturam quadros nas comunicaes realizadas em uma rede
de computadores, armazenando tais quadros para que possam ser analisados
posteriormente por quem instalou o sniffer. Pode ser usado por um invasor
para capturar informaes sensveis (como senhas de usurios), em casos
onde estejam sendo utilizadas conexes inseguras, ou seja, sem criptografia.
O backdoor (porta dos fundos) um programa que, colocado no micro da
vtima, cria uma ou mais falhas de segurana, para permitir que o invasor que
o colocou possa facilmente voltar quele computador em um momento
seguinte.
Portanto, ao contrrio do que o item II afirma, os sniffers e backdoors no
sero utilizados para evitar que informaes sejam visualizadas na mquina.
77. (CESPE/2004/Polcia Rodoviria Federal) III. Por meio da guia
Privacidade, acessvel quando Opes da Internet clicada no menu
, o usurio tem acesso a recursos de configurao do Internet
Explorer 6 que permitem definir procedimento especfico que o aplicativo
dever realizar quando uma pgina Web tentar copiar no computador do
usurio arquivos denominados cookies. Um cookie pode ser definido como
um arquivo criado por solicitao de uma pgina Web para armazenar
informaes no computador cliente, tais como determinadas preferncias do
usurio quando ele visita a mencionada pgina Web. Entre as opes de
configurao possveis, est aquela que impede que os cookies sejam
armazenados pela pgina Web. Essa opo, apesar de permitir aumentar,
de certa forma, a privacidade do usurio, poder impedir a correta
visualizao de determinadas pginas Web que necessitam da utilizao de
cookies.
Comentrios
Ao acessar o menu Ferramentas -> Opes da Internet, e, em seguida, clicar
na aba (guia) Privacidade, pode-se definir o nvel de privacidade do Internet
Explorer, possibilitando ou no a abertura de determinadas pginas da Web. O
texto correspondente aos cookies est correto.
89

78. (CESPE/2009-03/TRE-MG) A instalao

qualidade da segurana no computador.
de
antivrus
garante
Comentrios
O antivrus uma das medidas que podem ser teis para melhorar a
segurana do seu equipamento, desde que esteja atualizado.
79. (CESPE/2009-03/TRE-MG) Toda intranet consiste em um ambiente
totalmente seguro porque esse tipo de rede restrito ao ambiente interno
da empresa que implantou a rede.
Comentrios
No podemos afirmar que a intranet de uma empresa totalmente segura,
depende de como foi implementada.
80. (CESPE/2009-03/TRE-MG) O upload dos arquivos de atualizao
suficiente para a atualizao do antivrus pela Internet.
Comentrios
O upload implica na transferncia de arquivo do seu computador para um
computador remoto na rede, o que no o caso da questo.
81. (CESPE/2009-03/TRE-MG)
detectados elimina-os.
upload
das
assinaturas
dos
vrus
Comentrios
Existem dois modos de transferncia de arquivo: upload e download.
O upload o termo utilizado para designar a transferncia de um dado de um
computador local para um equipamento remoto.
O download o contrrio, termo utilizado para designar a transferncia de
um dado de um equipamento remoto para o seu computador.
Exemplo:
90

-se queremos enviar uma informao para o servidor de FTP -> estamos
realizando um upload;
-se queremos baixar um arquivo mp3 de um servidor -> estamos fazendo
download.
No ser feito upload de assinaturas de vrus para a mquina do usurio. Um
programa antivrus capaz de detectar a presena de malware (vrus, vermes,
cavalos de troia etc.) em e-mails ou arquivos do computador. Esse utilitrio
conta, muitas vezes, com a vacina capaz de matar o malware e deixar o
arquivo infectado sem a ameaa.
82. (CESPE/2009/TRE-MG) Os antivrus atuais permitem a atualizao de
assinaturas de vrus de forma automtica, sempre que o computador for
conectado Internet.
Comentrios
Alguns fornecedores de programas antivrus distribuem atualizaes regulares
do seu produto. Muitos programas antivrus tm um recurso de atualizao
automtica. Quando o programa antivrus atualizado, informaes sobre
novos vrus so adicionadas a uma lista de vrus a serem verificados. Quando
no possui a vacina, ele, pelo menos, tem como detectar o vrus, informando
ao usurio acerca do perigo que est iminente.
83. (CESPE/2009/ANATEL/TCNICO
ADMINISTRATIVO)
Com
o
desenvolvimento da Internet e a migrao de um grande nmero de
sistemas especializados de informao de grandes organizaes para
sistemas de propsito geral acessveis universalmente, surgiu a
preocupao com a segurana das informaes no ambiente da Internet.
Acerca da segurana e da tecnologia da informao, julgue o item seguinte.
A disponibilidade e a integridade so itens que caracterizam a segurana da
informao. A primeira representa a garantia de que usurios autorizados
tenham acesso a informaes e ativos associados quando necessrio, e a
segunda corresponde garantia de que sistemas de informaes sejam
acessveis apenas queles autorizados a acess-los.
Comentrios
O trecho que define a disponibilidade como "a garantia de que usurios
autorizados tenham acesso a informaes e ativos associados quando
necessrio" est correto, no entanto, a afirmativa de que a integridade "a
garantia de que sistemas de informaes sejam acessveis apenas queles
91

autorizados a acess-los"
confidencialidade!).
falsa
(nesse
caso
termo
correto
seria
A disponibilidade garante que a informao e todos os canais de acesso ela

estejam sempre disponveis quando um usurio autorizado quiser acess-la.
Como dica para memorizao, temos que a confidencialidade o segredo e a
disponibilidade poder acessar o segredo quando se desejar!!
J a integridade garante que a informao deve ser mantida na condio em
mudanas intencionais, indevidas ou acidentais a informao. Em outras
palavras, a informao deve manter todas as caractersticas originais durante
sua existncia. Estas caractersticas originais so as estabelecidas pelo
proprietrio da informao quando da criao ou manuteno da informao
(se a informao for alterada por quem possui tal direito, isso no invalida a
integridade, ok!!).
84. (CESPE/2009/IBAMA/ANALISTA AMBIENTAL) Para criar uma cpia
de segurana da planilha, tambm conhecida como backup, suficiente
clicar a ferramenta
Comentrios
Backup refere-se cpia de dados de um dispositivo para o outro com o
objetivo de posteriormente os recuperar (os dados), caso haja algum
problema. Essa cpia pode ser realizada em vrios tipos de mdias, como CDs,
DVSs, fitas DAT etc de forma a proteg-los de qualquer eventualidade. O boto
utilizado para salvar um documento!!
85. (CESPE/2009/MMA) Antivrus, worms, spywares e crackers so
programas que ajudam a identificar e combater ataques a computadores
que no esto protegidos por firewalls.
Comentrios
Os antivrus so programas de proteo contra vrus de computador bastante
eficazes, protegendo o computador contra vrus, cavalos de troia e uma ampla
gama de softwares classificados como malware. Como exemplos cita-se
McAfee Security Center Antivrus, Panda Antivrus, Norton Antivrus, Avira
Antivir Personal, AVG etc.
J os worms e spywares so programas classificados como malware, tendo-se
em vista que executam aes mal-intencionadas em um computador!!
92

Worms: so programas parecidos com vrus, mas que na

verdade so capazes de se propagarem automaticamente
atravs de redes, enviando cpias de si mesmo de computador
para computador (observe que os worms apenas se copiam,
no infectam outros arquivos, eles mesmos so os arquivos!!).
Alm disso, geralmente utilizam as redes de comunicao para infectar
outros computadores (via e-mails, Web, FTP, redes das empresas etc).
Diferentemente do vrus, o worm no embute cpias de si mesmo em
outros programas ou arquivos e no necessita ser explicitamente executado
para se propagar. Sua propagao se d atravs da explorao de
vulnerabilidades existentes ou falhas na configurao de softwares
instalados em computadores.
Spyware: programa que tem por finalidade monitorar as atividades de um

sistema e enviar as informaes coletadas para terceiros.
Os Crackers so indivduos dotados de sabedoria e habilidade para

desenvolver ou alterar sistemas, realizar ataques a sistemas de computador,
programar vrus, roubar dados bancrios, informaes, entre outras aes
maliciosas.
86. (CESPE/2009/MMA) A responsabilidade pela segurana de um
ambiente eletrnico dos usurios. Para impedir a invaso das mquinas
por vrus e demais ameaas segurana, basta que os usurios no
divulguem as suas senhas para terceiros.
Comentrios
Tanto a empresa que cria e hospeda o ambiente eletrnico, quanto os usurios
desse ambiente, devem entender a importncia da segurana, atuando como
guardies da rede!!
93

CONSIDERAES FINAIS
Por hoje ficamos por aqui.
Espero que esse material, feito com todo o carinho, ajude-o a entender melhor
o funcionamento das ameaas virtuais e principais medidas de segurana que
devem ser adotadas para se proteger dessas ameaas, e o ajude a acertar as
questes de segurana da sua prova!
Fiquem com Deus, e at a nossa prxima aula aqui no Ponto!!
Um grande abrao,
BIBLIOGRAFIA
QUINTO, PATRCIA LIMA. Notas de aula, 2012/2013.
QUINTO, PATRCIA LIMA. Informtica-FCC-Questes Comentadas e
Organizadas por Assunto, 2. Edio. Ed. Gen/Mtodo, 2012.
CERTBR. Disponvel em: <http://cartilha.cert.br/ >.2006. Acesso em: out.
2012.
CHESWICK, W. R., BELLOVIN, S. M. e RUBIN, A. D. Firewalls e Segurana
na Internet: repelindo o hacker ardiloso. Ed. Bookman, 2 Ed., 2005.
GUIMARES, A. G., LINS, R. D. e OLIVEIRA, R. Segurana com Redes
Privadas Virtuais (VPNs). Ed. Brasport, Rio de Janeiro, 2006.
IMONIANA, J. o. Auditoria de Sistemas de Informaes.
Infowester. Disponvel em: http://www.infowester.com.br.
INFOGUERRA. Vrus de celular chega por mensagem multimdia. 2005.
Disponvel
em:
http://informatica.terra.com.br/interna/0,,OI484399EI559,00.html. Acesso em: dez. 2011.
94

LISTA DE QUESTES APRESENTADAS NA AULA

1. (CESPE/2013/TRT10RJ/Analista) A transferncia
de arquivos para pendrives
constitui uma forma segura de se
realizar becape, uma vez que
esses equipamentos no so
suscetveis a malwares.
2. (CESPE/2013/TRT10RJ/Analista)As
caractersticas
bsicas
da
segurana da informao
confidencialidade, integridade e
disponibilidade
no
so
atributos exclusivos dos sistemas
computacionais.
3. (CESPE/2013/TRT10RJ/Analista)O
vrus
de
computador assim denominado
em virtude de diversas analogias
poderem ser feitas entre esse
tipo de vrus e os vrus orgnicos.
4. (CESPE/2013/TRT10RJ/Analista) Um computador
em uso na Internet vulnervel
ao ataque de vrus, razo por que
a instalao e a constante
atualizao de antivrus so de
fundamental importncia para se
evitar contaminaes.
5. (Cespe/Cmara
dos
Deputados/
Arquiteto
e
Engenheiros/2012)
Para
garantir que os computadores de
uma rede local no sofram
ataques vindos da Internet,
necessria
a
instalao
de
firewalls
em
todos
os
computadores dessa rede.
6. (Cespe/Cmara
dos
Deputados/
Arquiteto
e
Engenheiros/2012)
Ao
se
realizar um procedimento de
backup de um conjunto de
arquivos e pastas selecionados,
possvel que o conjunto de
arquivos e pastas gerado por
esse procedimento ocupe menos
espao de memria que aquele
ocupado
pelo
conjunto
de
arquivos e pastas de que se fez o
backup.
7. (Cespe/Cmara
dos
Deputados/
Arquiteto
e
Engenheiros/2012) Os worms,
assim como os vrus, infectam
computadores,
mas,
diferentemente dos vrus, eles
no precisam de um programa
hospedeiro para se propagar.
8. (CESPE/Tcnico
Administrativo Nvel Mdio
PREVIC/2011) Entre os
atributos
de
segurana
da
informao,
incluem-se
a
confidencialidade, a integridade,
a
disponibilidade
e
a
autenticidade.
A
integridade
consiste na propriedade que
limita o acesso informao
somente s pessoas ou entidades
autorizadas pelo proprietrio da
informao.
9. (CESPE/MPE-PI/Tcnico
Ministerial/rea:
Administrativa/ 2012) Worms
so programas maliciosos que se
autorreplicam
em
redes
de
computadores anexados a algum
outro programa existente e
95

instalado em computadores da
rede.
criptografada e o destinatrio
sejam capazes de abri-la.
10. (CESPE/2002/POLCIA
FEDERAL/PERITO: REA 3 .
COMPUTAO)
Sistemas
criptogrficos so ditos simtricos
ou de chave secreta quando a
chave utilizada para cifrar a
mesma utilizada para decifrar.
Sistemas assimtricos ou de
chave pblica utilizam chaves
distintas para cifrar e decifrar.
Algoritmos
simtricos
so
geralmente
mais
eficientes
computacionalmente
que
os
assimtricos e por isso so
preferidos para cifrar grandes
massas de dados ou para
operaes online.
13. (CESPE/2010/Caixa/Tcnic
o Bancrio) O destinatrio de
uma
mensagem
assinada
utiliza a chave pblica do
remetente para garantir que essa
mensagem tenha sido enviada
pelo prprio remetente.
11. (CESPE/Agente Tcnico de

Inteligncia
rea
de
Tecnologia da Informao
ABIN/2010)
A
chave
assimtrica composta por duas
chaves
criptogrficas:
uma
privada e outra pblica.
12. (CESPE/Oficial Tcnico de
Inteligncia-rea
de
Arquivologia - ABIN/2010) A
respeito de mecanismos de
segurana da informao, e
considerando
que
uma
mensagem
tenha
sido
criptografada
com
a
chave
pblica de determinado destino e
enviada por meio de um canal de
comunicao, pode-se afirmar
que a mensagem criptografada
com
a
chave
pblica
do
destinatrio garante que somente
quem
gerou
a
informao
o Bancrio) A assinatura digital
facilita a identificao de uma
comunicao, pois baseia-se em
criptografia simtrica de uma
nica chave.
15.
(CESPE/TCU/Tcnico
Federal
de
Controle
Externo/2012) Por meio de
certificados digitais, possvel
assinar digitalmente documentos
a fim de garantir o sigilo das
informaes contidas em tais
documentos.
16. (CESPE/ALES/Procurador/2011) Caso o
usurio acesse uma pgina na
Internet e lhe seja apresentado
um certificado digital vlido,
correto inferir que a conexo
utilizada por esse usurio estar
cifrada com o uso de pendrive.
17. (CESPE/Oficial Tcnico de

Inteligncia/rea
de
Desenvolvimento
e
Manuteno de Sistemas
ABIN/2010)
As
assinaturas
digitais atuam sob o princpio
bsico da confidencialidade da
informao,
uma
vez
que
96

conferem a autenticao da
identidade do remetente de uma
mensagem. No entanto, tal
soluo
no
garante
a
integridade da informao, que
deve ser conferida por meio de
tecnologias
adicionais
de
criptografia.
tcnica
de
tunelamento,
os
contedos
dos
pacotes
que
trafegam
pela
Internet
so
criptografados, ao passo que,
para permitir o roteamento
eficiente dos pacotes, os seus
endereos de origem e de destino
permanecem no criptografados.
18. (CESPE/Tcnico
Bancrio/Carreira
administrativaCaixa
Econmica
FederalNM1/2010) Para assinar uma
mensagem digital, o remetente
usa uma chave privada.
22. (CESPE/MPE-PI/2012)
A
adoo
de
crachs
para
identificar as pessoas e controlar
seus acessos s dependncias de
uma empresa um mecanismo
adequado
para
preservar
a
segurana da informao da
empresa.
19. (CESPE/AL-ES/Cargos
de
Nvel Mdio/2011)
Existem
diversos
dispositivos
que
protegem tanto o acesso a um
computador quanto a toda uma
rede. Caso um usurio pretenda
impedir que o trfego com
origem na Internet faa conexo
com seu computador pessoal, a
tecnologia
adequada
a
ser
utilizada nessa situao ser o
IpV6.
20. (CESPE/Tcnico
Administrativo Nvel Mdio
PREVIC/2011) Firewall o
elemento de defesa mais externo
na intranet de uma empresa e
sua principal funo impedir
que usurios da intranet acessem
qualquer rede externa ligada
Web.
21. (CESPE/CBM-DF/Oficial
Bombeiro
Militar
Complementar/Informtica/2
011)
Em uma VPN (virtual
private network) que utilize a
23. (CESPE/Nvel Superior PREVIC/2011) Por meio do uso

de certificados digitais, possvel
garantir a integridade dos dados
que transitam pela Internet, pois
esses certificados so uma forma
confivel de se conhecer a
origem dos dados.
24. (CESPE/TJES/CBNS1_01/Superior/2011
) Tecnologias como a biometria
por meio do reconhecimento de
digitais de dedos das mos ou o
reconhecimento da ris ocular so
exemplos de aplicaes que
permitem
exclusivamente
garantir
a
integridade
de
informaes.
) Um filtro de phishing uma
ferramenta
que
permite
criptografar uma mensagem de
email cujo teor, supostamente,
97

s
poder
ser
lido
pelo
destinatrio dessa mensagem.
) O conceito de confidencialidade
refere-se
a
disponibilizar
informaes
em
ambientes
digitais apenas a pessoas para as
quais elas foram destinadas,
garantindo-se, assim, o sigilo da
comunicao ou a exclusividade
de sua divulgao apenas aos
usurios autorizados.
27. (CESPE/TJES/CBNM1_01/Nvel
Mdio/2011)
necessrio
sempre que o software de
antivrus
instalado
no
computador esteja atualizado e
ativo, de forma a se evitar que,
ao se instalar um cookie no
computador do usurio, essa
mquina fique, automaticamente,
acessvel a um usurio intruso
(hacker), que poder invadi-la.
Mdio/2011) Os pop-ups so
vrus que podem ser eliminados
pelo chamado bloqueador de
pop-ups, se este estiver instalado
na mquina. O bloqueador busca
impedir, por exemplo, que esse
tipo de vrus entre na mquina
do usurio no momento em que
ele
consultar
um
stio
da
Internet.
29. (CESPE/Tcnico
Administrativo - MPU/2010)
De acordo com o princpio da
disponibilidade, a informao s
pode estar disponvel para os
usurios
aos
quais
ela
destinada, ou seja, no pode

haver acesso ou alterao dos
dados por parte de outros
usurios que no sejam os
destinatrios da informao.
Mdio/2011) Confidencialidade,
disponibilidade e integridade da
informao, que so conceitos
importantes de segurana da
informao em ambiente digital,
devem estar presentes na gesto
e no uso de sistemas de
informao, em benefcio dos
cidados e dos fornecedores de
solues.
31. (CESPE/Nvel Superior STM/2011) Um firewall pessoal
instalado no computador do
usurio impede que sua mquina
seja infectada por qualquer tipo
de vrus de computador.
32. (CESPE/Analista Judicirio
- Tecnologia da InformaoTRE-MT/2010)
A
confidencialidade tem a ver com
salvaguardar a exatido e a
inteireza das informaes e
mtodos de processamento. Para
tanto, necessrio que os
processos de gesto de riscos
identifiquem,
controlem,
minimizem ou eliminem os riscos
de segurana que podem afetar
sistemas de informaes, a um
custo aceitvel.
33. (CESPE/ANALISTATRE.BA/2010)
Confidencialidade, disponibilidade
98

e integridade da informao so
princpios bsicos que orientam a
definio de polticas de uso dos
ambientes computacionais. Esses
princpios
so
aplicados
exclusivamente s tecnologias de
informao, pois no podem ser
seguidos por seres humanos.
34. (CESPE/Analista
de
Saneamento/Analista
de
Tecnologia da Informao
Desenvolvimento
EMBASA/2010) O princpio da
autenticao em segurana diz
que um usurio ou processo deve
ser corretamente identificado.
Alm disso, todo processo ou
usurio
autntico
est
automaticamente autorizado para
uso dos sistemas.
35. (CESPE/Tcnico
Administrativo
ANATEL/2009)
Com
o
desenvolvimento da Internet e a
migrao de um grande nmero
de sistemas especializados de
informao
de
grandes
organizaes para sistemas de
propsito
geral
acessveis
universalmente,
surgiu
a
preocupao com a segurana
das informaes no ambiente da
Internet. Acerca da segurana e
da tecnologia da informao,
julgue o item a seguir.
->
A
disponibilidade
e
a
integridade
so
itens
que
caracterizam a segurana da
informao.
A
primeira
representa a garantia de que
usurios
autorizados
tenham
acesso a informaes e ativos
associados quando necessrio, e
a
segunda
corresponde
garantia de que sistemas de

informaes sejam acessveis
apenas queles autorizados a
acess-los.
(CESPE/Escrivo
Federal/2010)
de
Polcia
Considerando a figura acima, que

apresenta uma janela com algumas
informaes da central de segurana
do
Windows
de
um
sistema
computacional (host) de uso pessoal
ou corporativo, julgue os trs
prximos itens, a respeito de
segurana da informao.
36. (CESPE/2010/Escrivo de
Polcia Federal) A atualizao
automtica disponibilizada na
janela exibida acima uma
funo que est mais relacionada
distribuio de novas funes
de segurana para o sistema
operacional do que distribuio
de novos patches (remendos)
que corrijam as vulnerabilidades
de cdigo presentes no sistema
operacional.
Polcia Federal) Na figura
anterior, o firewall assinalado
como
ativado,
em
sua
99

configurao padro, possui um

conjunto maior de regras para
bloqueio de conexes originadas
de fora do computador do que
para as conexes originadas de
dentro do computador.
Polcia Federal) A configurao
da proteo contra malwares
exposta na figura indica que
existe no host uma base de
assinaturas de vrus instalada na
mquina.
o
Bancrio/Administrativo)
Uma autoridade de registro emite
o par de chaves do usurio que
podem ser utilizadas tanto para
criptografia como para assinatura
de mensagens eletrnicas.
40. (CESPE/Tcnico
Judicirio/Programao
de
Sistemas
TRE-MT/2010)
Disponibilidade a garantia de
que o acesso informao seja
obtido
apenas
por
pessoas
autorizadas.
41. (CESPE/TRE-MT/Tcnico
Judicirio - Programao de
Sistemas/2010)
Confidencialidade a garantia de
que os usurios autorizados
obtenham acesso informao e
aos
ativos
correspondentes
sempre que necessrio.
Tcnico Administrativo/2010)
A disponibilidade da informao
a garantia de que a informao
no ser alterada durante o
trnsito entre o emissor e o

receptor, alm da garantia de
que ela estar disponvel para
uso nesse trnsito.
43. (CESPE/AGU/Contador/20
10) Um arquivo criptografado
fica
protegido
contra
contaminao por vrus.
Cavalo de troia um programa
que se instala a partir de um
arquivo
aparentemente
inofensivo, sem conhecimento do
usurio que o recebeu, e que
pode oferecer acesso de outros
usurios mquina infectada.
45.
(CESPE/UERN/Agente
O uso de um programa anti-spam
garante que software invasor ou
usurio mal-intencionado no
acesse uma mquina conectada a
uma rede.
46. (CESPE/SEDU-ES/Agente
de
Suporte
Educacional/2010) Vrus um
programa que pode se reproduzir
anexando seu cdigo a um outro
programa, da mesma forma que
os
vrus
biolgicos
se
reproduzem.
47. (CESPE/SEDU-ES/Agente
de
Suporte
Educacional/2010)
Cavalosde-troia, adwares e vermes so
exemplos de pragas virtuais.
100

48. (CESPE/SEDU-ES/AGENTE
DE
SUPORTE
EDUCACIONAL/2010) Backup
o termo utilizado para definir
uma cpia duplicada de um
arquivo, um disco, ou um dado,
feita com o objetivo de evitar a
perda definitiva de arquivos
importantes.
49. (CESPE/EMBASA/Analista
de Saneamento - Analista de
TI
rea:
Desenvolvimento/2010)
O
princpio da autenticao em
segurana diz que um usurio ou
processo deve ser corretamente
identificado. Alm disso, todo
processo ou usurio autntico
est automaticamente autorizado
para uso dos sistemas.
Judicirio - Tecnologia da
Informao/2010) Uma das
vantagens
da
criptografia
simtrica
em
relao
assimtrica a maior velocidade

de cifragem ou decifragem das
mensagens.
Embora
os
algoritmos de chave assimtrica
sejam mais rpidos que os de
chave
simtrica,
uma
das
desvantagens desse tipo de
criptografia a exigncia de uma
chave secreta compartilhada.
Judicirio/Tecnologia
da
Informao/2010)
Na
criptografia assimtrica, cada
parte da comunicao possui um
par de chaves. Uma chave
utilizada para encriptar e a outra
para decriptar uma mensagem. A
chave utilizada para

mensagem privada
para o transmissor,
chave usada para
mensagem pblica.
encriptar a
e divulgada
enquanto a
decriptar a
Tcnico
Bancrio/Carreira
administrativa/2010)
Autoridade certificadora a
denominao de usurio que tem
poderes
de
acesso
s
informaes contidas em uma
mensagem assinada, privada e
certificada.
TCNICO
BANCRIO/CARREIRA
ADMINISTRATIVA/2010)
A
autoridade reguladora tem a
funo de emitir certificados
digitais, funcionando como um
cartrio da Internet.
TCNICO
BANCRIO/CARREIRA
ADMINISTRATIVA)
O
ITI
(Instituto Nacional de Tecnologia
da
Informao)
tambm
conhecido
como
Autoridade
Certificadora Raiz Brasileira.
TCNICO
BANCRIO/CARREIRA
ADMINISTRATIVA) PKI ou ICP
o nome dado ao certificado que
foi emitido por uma autoridade
certificadora.
TCNICO
101

BANCRIO/CARREIRA
ADMINISTRATIVA)
Um
certificado digital pessoal,
intransfervel e no possui data
de validade.
57. (CESPE/2010/UERN/TCNI
CO DE NVEL SUPERIORAdaptada) Vrus, worms e
cavalos-de-troia so exemplos de
software mal-intencionados que
tm
o
objetivo
de,
deliberadamente, prejudicar o
funcionamento do computador. O
firewall um tipo de malware
que
ajuda
a
proteger
o
computador
contra
cavalos-de-troia.
58. (CESPE/2010/UERN/Agent
e Tcnico Administrativo) Uma
das formas de se garantir a
segurana das informaes de
um website no coloc-lo em
rede,
o
que
elimina
a
possibilidade de acesso por
pessoas intrusas.
59. (CESPE/2010/TREMT/Analista
Judicirio
Tecnologia da Informao) A
segurana fsica objetiva impedir
acesso no autorizado, danos ou
interferncia
s
instalaes
fsicas e s informaes da
organizao.
A
proteo
fornecida deve ser compatvel
com os riscos identificados,
assegurando a preservao da
confidencialidade da informao.
tcnicas utilizadas para detectar

alteraes no autorizadas ou
corrompimento dos contedos de
uma
mensagem
transmitida
eletronicamente. Essas tcnicas,
que tm como base o uso de
criptografia e assinatura digital,
podem ajudar a estabelecer
provas
para
substanciar
se
determinado evento ou ao
ocorreu.
61. (CESPE/2010/EMBASA/AN
ALISTA DE SANEAMENTO) Um
firewall
em
uma
rede
considerado uma defesa de

permetro e consegue coibir todo
tipo de invaso em redes de
computadores.
62. (CESPE/2009/TRE/PR/Tc
nico
Judicirio
Especialidade: Operao de
computadores) Firewalls so
equipamentos
tpicos
do
permetro de segurana de uma
rede, sendo responsveis pela
deteco e conteno de ataques
e intruses.
63. (CESPE/2008/TRT1R/Analista
JudicirioAdaptada) Uma caracterstica
das redes do tipo VPN (virtual
private networks) que elas
nunca devem usar criptografia,
devido a requisitos de segurana
e confidencialidade.
64.
(CESPE/2010/MINISTRIO
DA
SADE
/ANALISTA
60. (CESPE/2010/TRETCNICO-ADMINISTRATIVO)
MT/Analista
Judicirio
Firewall o mecanismo usado em
Tecnologia da Informao)
redes de computadores para
Servios de no repudiao so
a
102

controlar e autorizar o trfego

informaes, por meio do uso
filtros que so configurados
acordo com as polticas
segurana estabelecidas.
de
de
de
de
65. (CESPE/2010/TRE.BA/ANA
LISTA/Q.27) Firewall um
recurso
utilizado
para
a
segurana tanto de estaes de
trabalho como de servidores ou
de
toda
uma
rede
de
comunicao de dados. Esse
recurso possibilita o bloqueio de
acessos indevidos a partir de
regras preestabelecidas.
66. (CESPE/2010/UERN/TCNI
CO DE NVEL SUPERIORAdaptada)
Firewall
um
sistema constitudo de software e
hardware
que
verifica
informaes oriundas da Internet
ou de uma rede de computadores
e que permite ou bloqueia a
entrada
dessas
informaes,
estabelecendo, dessa forma, um
meio de proteger o computador
de
acesso
indevido
ou
indesejado.
67. (CESPE/2010/TREBA/Tcnico Judicirio - rea
Administrativa)
Uma
das
formas de bloquear o acesso a
locais no autorizados e restringir
acessos
a
uma
rede
de
computadores por meio da
instalao de firewall, o qual
pode ser instalado na rede como
um
todo,
ou
apenas
em
servidores ou nas estaes de
trabalho.
68. (CESPE/2004/POLCIA
FEDERAL/REGIONAL/PERITO
/REA 3/Q. 105) Um dos mais
conhecidos
ataques
a
um
computador conectado a uma
rede o de negao de servio
(DoS denial of service), que
ocorre quando um determinado
recurso
torna-se
indisponvel
devido ao de um agente que
tem por finalidade, em muitos
casos, diminuir a capacidade de
processamento
ou
de
armazenagem de dados.
69. (CESPE/2008/PRF/Policial
Rodovirio Federal) O uso de
firewall e de software antivrus
a
nica
forma
eficiente
atualmente de se implementar os
denominados filtros anti-spam.
70. (CESPE/2008/PRFPOLICIAL
RODOVIRIO
FEDERAL-ADAPTADA) Phishing
e pharming so pragas virtuais
variantes
dos
denominados
cavalos-de-tria, se diferenciando
destes
por
precisarem
de
arquivos especficos para se
replicar
e
contaminar
um
computador e se diferenciando,
entre eles, pelo fato de que um
atua em mensagens de e-mail
trocadas por servios de webmail
e o outro, no.
Rodovirio Federal) Se o
sistema de nomes de domnio
(DNS)
de
uma
rede
de
computadores for corrompido por
meio de tcnica denominada DNS
cache poisoning, fazendo que
esse
sistema
interprete
103

incorretamente a URL (uniform

resource locator) de determinado
stio, esse sistema pode estar
sendo vtima de pharming.
Rodovirio Federal) Quando
enviado na forma de correio
eletrnico para uma quantidade
considervel de destinatrios, um
hoax pode ser considerado um
tipo de spam, em que o spammer
cria e distribui histrias falsas,
algumas
delas
denominadas
lendas urbanas.
73. (CESPE/2008/TRT1R/Analista Judicirio) Os
arquivos denominados cookies,
tambm
conhecidos
como
cavalos de troia, so vrus de
computador,
com
inteno
maliciosa, que se instalam no
computador sem a autorizao
do usurio, e enviam, de forma
automtica
e
imperceptvel,
informaes
do
computador
invadido.
74. (CESPE/2008/TRT1R/Analista Judicirio) Os
programas denominados worm
so, atualmente, os programas
de proteo contra vrus de
computador
mais
eficazes,
protegendo o computador contra
vrus, cavalos de troia e uma
ampla
gama
de
softwares
classificados como malware.
75. (CESPE/2004/Polcia
Rodoviria Federal)
Um usurio da Internet, desejando

realizar uma pesquisa acerca das
condies das rodovias no estado do
Rio Grande do Sul, acessou o stio
do
Departamento
de
Polcia
Rodoviria
Federal
http://www.dprf.gov.br , por meio

do Internet Explorer 6, executado
em um computador cujo sistema
operacional o Windows XP e que
dispe do conjunto de aplicativos
Office XP. Aps algumas operaes
nesse stio, o usurio obteve a
pgina Web mostrada na figura
acima, que ilustra uma janela do
Internet Explorer 6. Considerando
essa
figura,
julgue
os
itens
seguintes, relativos Internet, ao
Windows XP, ao Office XP e a
conceitos de segurana e proteo
na Internet. I. Sabendo que o mapa
mostrado na pgina Web consiste
em uma figura no formato jpg
inserida na pgina por meio de
recursos da linguagem HTML, ao se
clicar com o boto direito do mouse
sobre esse objeto da pgina, ser
exibido um menu que disponibiliza
ao usurio um menu secundrio
contendo uma lista de opes que
permite
exportar
de
forma
automtica tal objeto, como figura,
para determinados aplicativos do
Office XP que estejam em execuo
concomitantemente
ao
Internet
104

Explorer 6. A lista de aplicativos do

Office XP disponibilizada no menu
secundrio contm o Word 2002, o
Excel 2002, o Paint e o PowerPoint
2002.
Rodoviria Federal) II. Para
evitar que as informaes obtidas
em sua pesquisa, ao trafegarem
na
rede
mundial
de
computadores, do servidor ao
cliente, possam ser visualizadas
por quem estiver monitorando as
operaes realizadas na Internet,
o usurio tem disposio
diversas
ferramentas
cuja
eficincia varia de implementao
para
implementao.
Atualmente, as ferramentas que
apresentam melhor desempenho
para
a
funcionalidade
mencionada so as denominadas
sniffers
e
backdoors e
os
sistemas ditos firewall, sendo
que, para garantir tal eficincia,
todas essas ferramentas fazem
uso de tcnicas de criptografia
tanto no servidor quanto no
cliente da aplicao Internet.
Rodoviria Federal) III. Por
meio
da
guia
Privacidade,
acessvel quando Opes da
Internet clicada no menu
,
usurio tem
acesso
a
recursos
de
configurao do Internet Explorer
6
que
permitem
definir
procedimento especfico que o
aplicativo dever realizar quando
uma pgina Web tentar copiar no
computador do usurio arquivos
denominados cookies. Um cookie
pode ser definido como um
arquivo criado por solicitao de

uma pgina Web para armazenar
informaes
no
computador
cliente, tais como determinadas
preferncias do usurio quando
ele visita a mencionada pgina
Web.
Entre
as
opes
de
configurao
possveis,
est
aquela que impede que os
cookies sejam armazenados pela
pgina Web. Essa opo, apesar
de permitir aumentar, de certa
forma, a privacidade do usurio,
poder
impedir
a
correta
visualizao
de
determinadas
pginas Web que necessitam da
utilizao de cookies.
78. (CESPE/2009-03/TRE-MG)
A instalao de antivrus garante
a qualidade da segurana no
computador.
79. (CESPE/2009-03/TRE-MG)
Toda intranet consiste em um
ambiente
totalmente
seguro
porque esse tipo de rede
restrito ao ambiente interno da
empresa que implantou a rede.
80. (CESPE/2009-03/TRE-MG)
O upload dos arquivos de
atualizao suficiente para a
atualizao do antivrus pela
Internet.
81.
(CESPE/2009-03/TRE-MG)
O upload das assinaturas dos
vrus detectados elimina-os.
82. (CESPE/2009/TRE-MG) Os
antivrus atuais permitem a
atualizao de assinaturas de
vrus
de
forma
automtica,
105

sempre que o computador for

conectado Internet.
83. (CESPE/2009/ANATEL/TC
NICO ADMINISTRATIVO) Com
o desenvolvimento da Internet e
a migrao de um grande
nmero
de
sistemas
especializados de informao de
grandes
organizaes
para
sistemas de propsito geral
acessveis universalmente, surgiu
a preocupao com a segurana
das informaes no ambiente da
Internet. Acerca da segurana e
da tecnologia da informao,
julgue o item seguinte.
A disponibilidade e a integridade
so itens que caracterizam a
segurana da informao. A
primeira representa a garantia de
que usurios autorizados tenham
acesso a informaes e ativos
associados quando necessrio, e
a
segunda
corresponde
garantia de que sistemas de

informaes sejam acessveis
apenas queles
acess-los.
autorizados
84. (CESPE/2009/IBAMA/ANA
LISTA AMBIENTAL) Para criar
uma cpia de segurana da
planilha,
tambm
conhecida
como backup, suficiente clicar a
ferramenta
85.
(CESPE/2009/MMA)
Antivrus, worms, spywares e
crackers so programas que
ajudam a identificar e combater
ataques a computadores que no
esto protegidos por firewalls.
86. (CESPE/2009/MMA)
A
responsabilidade pela segurana
de um ambiente eletrnico dos
usurios. Para impedir a invaso
das mquinas por vrus e demais
ameaas segurana, basta que
os usurios no divulguem as
suas senhas para terceiros.
106

GABARITO
1. Item errado.
30.
Item correto.
59.
Item correto.
2. Item Correto.
31.
Item errado.
60.
Item errado.
3. Item Correto.
32.
Item errado.
61.
Item errado.
4. Item Correto.
33.
Item errado.
62.
Item errado.
5. Item errado.
34.
Item errado.
63.
Item errado.
6. Item Correto.
35.
Item errado.
64.
Item correto.
7. Item Correto.
36.
Item errado.
65.
Item correto.
8. Item errado.
37.
Item correto.
66.
Item anulado.
9. Item errado.
38.
Item errado.
67.
Item correto.
10.
Item correto.
39.
Item errado.
68.
Item correto.
11.
Item correto.
40.
Item errado.
69.
Item errado.
12.
Item errado.
41.
Item errado.
70.
Item errado.
13.
Item correto.
42.
Item errado.
71.
Item correto.
14.
Item errado.
43.
Item errado.
72.
Item correto.
15.
Item errado.
44.
Item correto.
73.
Item errado.
16.
Item errado.
45.
Item errado.
74.
Item errado.
17.
Item errado.
46.
Item correto.
75.
Item errado.
18.
Item correto.
47.
Item correto.
76.
Item errado.
19.
Item errado.
48.
Item correto.
77.
Item correto.
20.
Item errado.
49.
Item errado.
78.
Item errado.
21.
Item errado.
50.
Item errado.
79.
Item errado.
22.
Item correto.
51.
Item errado.
80.
Item errado.
23.
Item errado.
52.
Item errado.
81.
Item errado.
24.
Item errado.
53.
Item errado.
82.
Item correto.
25.
Item errado.
54.
Item correto.
83.
Item errado.
26.
Item correto.
55.
Item errado.
84.
Item errado.
27.
Item errado.
56.
Item errado.
85.
Item errado.
28.
Item errado.
57.
Item errado.
86.
Item errado.
29.
Item errado.
58.
Item errado.
107

Aula 01 Segurança de Informação

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Aula 01 Segurança de Informação

Hochgeladen von

Copyright:

Verfügbare Formate

NOES DE INFORMTICA (TEORIA E EXERCCIOS) P/ MPU

PROFa. PATRCIA LIMA QUINTO

AULA 1 - SEGURANA DA INFORMAO E TPICOS RELACIONADOS

Todos prontos? Ento vamos nessa!

Segurana e Tpicos Relacionados.

Reviso em Tpicos e Palavras-chave.

Lista de Questes Comentadas.

Lista de Questes Apresentadas na Aula.

Profa Patrcia Lima Quinto

NOES DE INFORMTICA (TEORIA E EXERCCIOS) P/ MPU

O que Significa Segurana?

intangveis: marca de um produto, nome da empresa, confiabilidade de um

lgicos: informaes armazenadas em uma rede, sistema ERP (sistema de

fsicos: galpo, sistema de eletricidade, estao de trabalho, etc;

Profa Patrcia Lima Quinto

NOES DE INFORMTICA (TEORIA E EXERCCIOS) P/ MPU

Segurana se faz protegendo todos os elos da corrente, ou seja, todos

Princpios da Segurana da Informao

Confidencialidade (ou sigilo): a garantia de que a informao no

Profa Patrcia Lima Quinto

NOES DE INFORMTICA (TEORIA E EXERCCIOS) P/ MPU

voc para realizar compras pela Internet, proporcionando-lhe prejuzos

Integridade: destaca que a informao deve ser mantida na condio em

Disponibilidade: a garantia de que a informao deve estar disponvel,

Profa Patrcia Lima Quinto

NOES DE INFORMTICA (TEORIA E EXERCCIOS) P/ MPU

Como exemplo, h quebra do princpio da disponibilidade quando voc

Autenticidade (considerada por alguns autores como autenticao): a

O que queremos sob a tica de segurana?

Alguns outros princpios de segurana

Confiabilidade: visa garantir que um sistema vai se comportar (vai

Profa Patrcia Lima Quinto

a garantia que uma pessoa no

NOES DE INFORMTICA (TEORIA E EXERCCIOS) P/ MPU

Outro conceito bastante comum para o termo:

O conhecimento do maior nmero de vulnerabilidades possveis permite

ambientes com informaes sigilosas

software mal desenvolvido;

falta de atualizao de software

ausncia de pessoal capacitado

ausncia de recursos para combate a

Profa Patrcia Lima Quinto

NOES DE INFORMTICA (TEORIA E EXERCCIOS) P/ MPU

Incidente de segurana da informao: indicado por

Em outras palavras, uma AMEAA tudo aquilo que pode comprometer a

Ameaas externas: so aqui representadas por todas as tentativas de

Profa Patrcia Lima Quinto

NOES DE INFORMTICA (TEORIA E EXERCCIOS) P/ MPU

Ameaas internas: esto presentes, independentemente das empresas

de um risco pode-se imaginar um funcionrio insatisfeito e um

Existem algumas maneiras de se classificar o grau de risco no mercado de

NOES DE INFORMTICA (TEORIA E EXERCCIOS) P/ MPU

Figura. Ciclo da Segurana da Informao (MOREIRA, 2001)

Resumindo, malwares so programas que executam

Profa Patrcia Lima Quinto

NOES DE INFORMTICA (TEORIA E EXERCCIOS) P/ MPU

Certbr (2012) destaca algumas das diversas maneiras como os cdigos

por meio da explorao de vulnerabilidades

pelo acesso a pginas da Web maliciosas, com a utilizao de navegadores

por meio da ao direta de atacantes que, aps invadirem o computador,

pela execuo de arquivos previamente infectados, obtidos em anexos de

Profa Patrcia Lima Quinto

NOES DE INFORMTICA (TEORIA E EXERCCIOS) P/ MPU