12 PDF

Aula 12
Noes de Informtica p/ TRE-PE (Todos os cargos)

Professores: Fernando Mesquita, Victor Dalton
Noes de Informtica para TRE-PE
Todos os cargos
Prof Victor Dalton Aula 12
AULA 12: Segurana da Informao
SUMRIO PGINA
1. Proteo a redes de computadores 2
1.1 Consideraes iniciais 2
1.2 Ameaas 5
1.3 Criptografia 20
1.4 Backup 42
1.5 VPN 43
1.6 Firewall 47
1.7 Outras boas prticas de segurana da informao 54
Exerccios 59
Consideraes Finais 96
Exerccios 97
Ol amigos e amigas! Que bom estarmos juntos novamente!
Particularmente, gosto de encerrar o curso com o o assunto de hoje,

Segurana da Informao. Criptografia e ameaas trazem muitos
conceitos e ideias que esto mais envolvidos com o nosso dia a dia do que
a gente pensa.
Podemos comear?
Observao importante: este curso protegido por direitos

autorais (copyright), nos termos da Lei 9.610/98, que altera,
atualiza e consolida a legislao sobre direitos autorais e d
outras providncias.
Grupos de rateio e pirataria so clandestinos, violam a lei e

prejudicam os professores que elaboram os cursos. Valorize o
trabalho de nossa equipe adquirindo os cursos honestamente
atravs do site Estratgia Concursos ;-)
Prof. Victor Dalton

www.estrategiaconcursos.com.br 1 de 117
Todos os cargos
SEGURANA DA INFORMAO
1. PROTEO A REDES DE COMPUTADORES
1.1 Consideraes iniciais
Nos dias atuais, a informao trafega pela rede mundial de

computadores, ou simplesmente Internet. Nesse ambiente convivem
elementos bem e mal intencionados. Por causa disso, diversos recursos
para proteger a informao e as redes de computadores precisam ser
empregados.
A norma ISO 27002 ressalta que a informao um ativo muito valioso

para uma organizao. Diferentemente de outros ativos, ela pode ser
impressa, escrita em papel, armazenada em via eletrnica, ou at mesmo
conversada. Isto posto, ela deve ser protegida com adequao.
Nesse contexto, a segurana da informao um conjunto de

controles, nos quais se incluem polticas, processos, funes de software
e hardware e estruturas organizacionais, aplicados com o intuito de
proteger a informao dos vrios tipos de ameaas, para garantir a
continuidade do negcio em caso de desastre, maximizar o ROI (retorno
sobre o investimento) e as oportunidades de negcio.
Destaque para a trade da segurana da informao:
Prof. Victor Dalton

Todos os cargos
Segundo a norma:
Confidencialidade: Garantia de que o acesso informao seja

obtido somente por pessoas autorizadas.
Integridade: Salvaguarda da exatido e completeza da informao e

dos mtodos de processamento.
Disponibilidade: Garantia de que os usurios autorizados obtenham

acesso informao e aos ativos correspondentes sempre que necessrio.
(CESPE TCU Auditor - Tecnologia da Informao - 2015)

Confidencialidade a garantia de que somente pessoas autorizadas tenham
acesso informao, ao passo que integridade a garantia de que os usurios
autorizados tenham acesso, sempre que necessrio, informao e aos ativos
correspondentes.
Errado! O conceito de confidencialidade est correto, mas o segundo conceito

o de disponibilidade. Integridade a garantia que a informao no foi alterada,
e permanece ntegra.
Alm da famosa trade, a resoluo do TCU n 229, de 2009 define

mais dois critrios utilizados para a classificao da informao. Ei-los:
Criticidade: Atributo da segurana da informao que define a

importncia da informao para a continuidade do negcio da instituio;
Prazo de reteno: Perodo em que os dados ficaro retidos,

guardados e/ou armazenados. Na instituio governamental, o perodo
alterado de acordo com a necessidade. Consiste no tempo em que o backup
no pode ser apagado, caso exista um histrico.
Ainda, alguns autores defendem que para que uma informao seja
considera segura, o sistema que o administra ainda deve respeitar os
seguintes critrios:
Autenticidade - Garante que a informao ou o usurio da mesma

autntico.
Prof. Victor Dalton

Todos os cargos
No repdio (irretratabilidade). No possvel negar (no sentido
de dizer que no foi feito) uma operao ou servio que modificou ou criou
uma informao; no possvel negar o envio ou recepo de uma
informao ou dado.
Legalidade. Garante a legalidade (jurdica) da informao; a

aderncia de um sistema legislao; e as caractersticas das informaes
que possuem valor legal dentro de um processo de comunicao, onde
todos os ativos esto de acordo com as clusulas contratuais pactuadas ou
a legislao nacional ou internacional vigente.
Privacidade. Foge do aspecto de confidencialidade, pois uma

informao pode ser considerada confidencial, mas no privada. Uma
informao privada deve poder ser vista / lida / alterada somente pelo seu
dono. Garante ainda, que a informao no ser disponibilizada para outras
pessoas (neste caso atribudo o carter de confidencialidade
informao). a capacidade de um usurio realizar aes em um sistema
sem que seja identificado.
Auditoria. Rastreabilidade dos diversos passos de um negcio ou

processo, identificando os participantes, os locais e horrios de cada etapa.
A auditoria aumenta a credibilidade da empresa e responsvel pela
adequao da empresa s polticas legais e internas.
Para Laureano e Moraes (Segurana Como Estratgia de Gesto da

Informao), as informaes se classificam como pblica, interna,
confidencial, secreta.
Pblica: Informao que pode vir a pblico sem maiores

consequncias danosas ao funcionamento normal da empresa, e cuja
integridade no vital.
Interna: O acesso livre a este tipo de informao deve ser evitado,

embora as consequncias do uso no autorizado no sejam por demais
srias. Sua integridade importante, mesmo que no seja vital.
Confidencial: Informao restrita aos limites da empresa, cuja

divulgao ou perda pode levar a desequilbrio operacional, e
eventualmente, a perdas financeiras ou de confiabilidade perante o cliente
externo.
Secreta: Informao crtica para as atividades da empresa, cuja

integridade deve ser preservada a qualquer custo e cujo acesso deve ser
Prof. Victor Dalton

Todos os cargos
restrito a um nmero reduzido de pessoas. A segurana desse tipo de
informao vital para a companhia.
1.2 Ameaas
A Internet um cesto cheio dos mais diversos tipos de golpes e

ameaas. Para facilitar o entendimento do cidado (e a cobrana em
concursos, rs), esses golpes e ameaas recebem uma srie de
classificaes. Vejamos:
1.2.1 Malware
Oriundo da expresso Malicious Software, Malware so programas

desenvolvidos para executar atividades maliciosas em um computador.
Lato sensu, at mesmo programas legtimos que, em virtude de falhas em
seu cdigo, causam danos, podem ser classificados como malware. Os
principais tipos de malware so:
Vrus: um vrus de computador um programa capaz de se replicar e

opera sem o consentimento do usurio, se espalhando ao se anexar a
outros programas. Outras variedades de vrus so os vrus de boot
capazes de danificar reas responsveis por carregar o sistema operacional
Prof. Victor Dalton
Todos os cargos
e os vrus de macro que podem causar alteraes em documentos. Alguns
vrus apenas se replicam, outros podem trazer danos maiores como
corromper arquivos, sobrecarregar uma rede e levar uma mquina a ser
formatada.
Vrus simples
Um vrus simples, que s se replica e fcil de ser detectado. Se um

usurio executa um vrus, esse vrus pode tomar conta do computador da
vtima e se anexar em outro arquivo, e, depois que ele se espalha, o
devolve o controle para o programa hospedeiro, que funciona
normalmente. O vrus pode se replicar inmeras vezes, mas nunca se
modifica, logo, o antivrus pode facilmente localiz-lo por uma sequncia
de bits caracterstica. Essa sequncia tambm chamada de assinatura
do vrus.
Vrus encriptado
A ideia do vrus encriptado esconder esta assinatura fixa,

embaralhando o vrus, para que este no seja detectado por um antivrus.
Um vrus encriptado consiste de uma rotina de decriptao e um corpo
encriptado que, ao ser executado, inicia a fase de decriptao. Aps esta
fase, o corpo do vrus toma conta da mquina, se espalhando da mesma
forma que um vrus simples, mas com o diferencial de encriptar o corpo do
vrus com uma nova chave de encriptao, dificultando a deteco por
assinaturas de vrus. No entanto, a rotina de decriptao continua a ser a
mesma, logo, os antivrus passaram a checar por sequncias de bytes que
identificassem a rotina de decriptao.
Vrus Polimrficos
Os vrus polimrficos so capazes de criar uma nova variante a cada

execuo e diferentemente dos vrus encriptados que encriptam apenas o
cdigo do vrus e permanecem com a mesma rotina de decriptao, os vrus
polimrficos alteram tanto a rotina de encriptao quanto a rotina de
decriptao, o que dificulta a deteco.
Em uma variante de um vrus polimrfico o mdulo de decriptao

aparece em claro e o corpo do vrus aparece encriptado. No corpo do vrus
Prof. Victor Dalton

Todos os cargos
esto presentes a rotina do vrus em si e um mdulo de mutao
responsvel por gerar o mdulo de encriptao e um novo mdulo de
decriptao que ter uma nova chave, visto que o mdulo de encriptao
foi alterado. Sendo assim, ao infectar um arquivo, o vrus apresentar um
novo mdulo de encriptao e um novo corpo.
Em geral, para realizar a deteco dessas ameaas os softwares

antivrus fazem a decriptao do vrus usando um emulador ou realizam
uma anlise de padro do corpo do vrus, visto que o cdigo muda, mas a
semntica no. O processo de emulao tambm chamado de sandbox e
capaz de detectar o vrus caso o cdigo decriptado permanea o mesmo.
Vrus Metamrficos
Os vrus polimrficos podem apresentar problemas durante as suas

mutaes e podem at demorar a serem detectados, mas na maioria das
vezes so detectados devido ao baixo nmero de vrus polimrficos
eficientes.
Os desenvolvedores de vrus implementam novos cdigos para

dificultar o trabalho do pesquisador. O W32/Apparition foi o primeiro vrus
de 32 bits a no utilizar decriptadores polimrficos para realizar mutaes,
ele possua seu cdigo decompilado e quando encontrava um compilador
compilava o cdigo. O vrus inseria e removia cdigo desnecessrio ao
cdigo fonte e se recompilava. Dessa forma uma nova gerao do vrus
parecia completamente diferente das anteriores. Esse tipo de tcnica pode
ser mais destrutiva em ambientes baseados em Unix, onde os compiladores
C so instalados junto com o sistema.
Os vrus metamrficos so capazes de mudar o prprio corpo, por no

possuir um decriptador ou um corpo de vrus constante, mas so capazes
de criar novas geraes diferentes. Eles possuem um corpo nico que
carregava dados como cdigo. Os vrus metamrficos evitam gerar
instncias parecidas com a anterior.
Vrus de macro
Prof. Victor Dalton

Todos os cargos
Os vrus de macro vinculam suas macros a modelos de documentos e
a outros arquivos de modo que, quando um aplicativo carrega o arquivo e
executa as instrues nele contidas, as primeiras instrues executadas
sero as do vrus.
Vrus de macro so parecidos com outros vrus em vrios aspectos:
so cdigos escritos para que, sob certas condies, este cdigo se
"reproduz", fazendo uma cpia dele mesmo. Como outros vrus, eles podem
ser escritos para causar danos, apresentar uma mensagem ou fazer
qualquer coisa que um programa possa fazer.
(CESPE TJ/SE Analista Judicirio Anlise de Sistemas - 2014) Vrus

so programas que podem apagar arquivos importantes armazenados no
computador, podendo ocasionar, at mesmo, a total inutilizao do sistema
operacional.
Correto.
Ainda cabe trazer a classificao de vrus segundo a CERT.BR:
Vrus propagado por e-mail: recebido como um arquivo anexo a um

e-mail cujo contedo tenta induzir o usurio a clicar sobre este arquivo,
fazendo com que seja executado. Quando entra em ao, infecta arquivos
e programas e envia cpias de si mesmo para os e-mails encontrados nas
listas de contatos gravadas no computador.
Vrus de script: escrito em linguagem de script, como VBScript e

JavaScript, e recebido ao acessar uma pgina Web ou por e-mail, como um
arquivo anexo ou como parte do prprio e-mail escrito em formato HTML.
Pode ser automaticamente executado, dependendo da configurao do
navegador Web e do programa leitor de e-mails do usurio.
Vrus de macro: tipo especfico de vrus de script, escrito em

linguagem de macro, que tenta infectar arquivos manipulados por
aplicativos que utilizam esta linguagem como, por exemplo, os que compe
o Microsoft Office (Excel, Word e PowerPoint, entre outros).
Prof. Victor Dalton

Todos os cargos
Vrus de telefone celular: vrus que se propaga de celular para
celular por meio da tecnologia bluetooth ou de mensagens MMS
(Multimedia Message Service). A infeco ocorre quando um usurio
permite o recebimento de um arquivo infectado e o executa. Aps infectar
o celular, o vrus pode destruir ou sobrescrever arquivos, remover ou
transmitir contatos da agenda, efetuar ligaes telefnicas e drenar a carga
da bateria, alm de tentar se propagar para outros celulares.
E mais algumas classificaes:
Vrus de Boot: Vrus que se infecta na rea de inicializao dos

disquetes e de discos rgidos (so vrus bem antigos, rs). Essa rea onde
se encontram arquivos essenciais ao sistema. Os vrus de boot costumam
ter alto poder de destruio, impedindo, inclusive, que o usurio entre no
micro.
Vrus de Programa: infectam - normalmente - os arquivos

executveis, com extenso .EXE e .COM, e algumas outras extenses,
como .OVL e .DLL.
Vrus Multipartite: misto dos vrus de Boot e de Programas. Eles

infectam ambos: arquivos de programas e setores de boot, o que os tornam
muito mais eficazes na tarefa de se espalhar, contaminando outros
arquivos e/ou discos, mas tambm mais difceis de serem detectados e
removidos.
Vrus Stealth (Vrus Invisveis): um dos mais complexos da

atualidade, cuja principal caracterstica a inteligncia. Emprega tcnicas
para evitar sua deteco durante a varredura de programas antivrus,
como, por exemplo, temporariamente se auto remover da memria.
E prossigamos com outros malwares!
Worm (importante!): worms so programas autorreplicantes,

passando de um sistema a outro, sem, necessariamente, utilizar um
arquivo hospedeiro. Alm disso, pode causar danos sem a ativao pelo
usurio, diferentemente dos vrus.
Prof. Victor Dalton

Todos os cargos
Todo programa em um computador precisa ser executado.

Um worm, para se autorreplicar, precisa estar em execuo.
O que difere o worm de um vrus, por exemplo, que,
enquanto o vrus executado por uma ao explcita do
usurio (como um clique duplo no arquivo malicioso), o worm
O worm executado ou explora vulnerabilidades existentes ou falhas na
no ? configurao de softwares instalados em computadores. Ex:
execuo do arquivo infectado autorun.inf em um
pendrive. O computador que est configurado para executar
automaticamente esse arquivo em mdias removveis pode
ser contaminado apenas com a insero do pendrive no
computador. O arquivo malicioso ser executado, mesmo
que o usurio no tenha feito nada. Compreendeu?
Para Fixar
Vrus Worm
Programa ou parte de um Programa
programa de computador
Propaga-se inserindo cpias de si Propaga - se automaticamente
mesmo e se tornando parte de pelas redes, enviando copias de si
outros programas e arquivos mesmo de computador para
computador
Depende da execuo do programa Execuo direta de suas cpias ou
ou arquivo hospedeiro para ser pela explorao automtica de
ativado vulnerabilidades existentes em
programas instalados em
computadores
Prof. Victor Dalton

Todos os cargos
(CESPE FUB Conhecimentos Bsicos - 2015) Vrus um programa

autossuficiente capaz de se propagar automaticamente pelas redes enviando
cpias de si mesmo de um computador para outro.
Errado! Descrio bem didtica de worm. Vrus no so auto propagveis pela

rede, enviando cpias de si mesmo.
Bot e Botnet: Bot um programa que dispes de mecanismos com o

invasor que permite que ele seja controlado remotamente. Propaga-se de
maneira similar ao worm.
O computador infectado por um bot pode ser chamado de zumbi, pois
pode ser controlado remotamente, sem o conhecimento do dono. Por
exemplo, zumbis podem ser utilizados para realizar ataques DDos e para
envio de spam.
Botnet o nome dado a uma rede de Bots.
Spyware: Spyware um programa que monitora atividades de um

sistema e envia a terceiros. Podem ser keyloggers, do tipo que captura o
que o usurio digita; screenloggers, do tipo que registra os movimentos
de mouse de um usurio, ou adwares, daqueles que mostram
propagandas para o usurio.
Backdoor: um programa que permite o retorno de um invasor a um

computador comprometido. Ele deixa portas abertas em programas
instalados na mquina, permitindo o acesso remoto futuro na mquina.
Cavalo de Tria: programas impostores, arquivos que se passam por

um programa desejvel, mas que, na verdade, so prejudiciais, pois
executam mais funes alm daquelas que aparentemente ele foi
projetado. Contm cdigos maliciosos que, quando ativados, causam a
perda ou at mesmo o roubo de dados. No se replicam.
Hijacker: uma variao de Cavalo de Tria que modifica a pgina

inicial do navegador e, muitas vezes, tambm abrem pop-ups indesejados.
Prof. Victor Dalton
Todos os cargos
O objetivo vender os cliques que o usurio faz nessas pginas, o que gera
lucro para o criador do hijacker.
Rootkit: um conjunto de programas e tcnicas que esconde e

assegura a presena de um invasor ou cdigo malicioso em um computador
comprometido. O objetivo do rootkit no obter acesso privilegiado, mas
mant-lo, apagando vestgios da invaso.
Segue, abaixo, uma tabela com caractersticas das principais ameaas,

pelo Comit Gestor de Internet do Brasil (CGI.br):
Prof. Victor Dalton

Todos os cargos
Prof. Victor Dalton

Todos os cargos
(CESPE TJ/SE Analista Judicirio Anlise de Sistemas - 2014) Cavalo

de Troia, tambm conhecido como trojan, um programa malicioso que, assim
como os worms, possui instrues para autorreplicao.
Errado! Trojans no so autorreplicantes! Worms so...
Continuemos com outros tipos de ameaas!
Trapdoors: Trapdoors so mecanismos escondidos em softwares, so

falhas de programao gerada pelo prprio Programador, para em um
futuro, conseguir obter acesso e explorar o sistema. O termo Trapdoor soa
e chega a parecer bastante parecido com o backdoor, mas a diferena pode
ser explicada.
Enquanto o backdoor instalado na mquina da vtima sem que a mesma
saiba, para obter acesso ao seu sistema, o Trapdoor desenvolvido pelo
prprio programador ao deixar uma falha em seu prprio programa para
explor-la futuramente, quando seu software estiver em uso em um
determinado lugar (empresa, consultoria, mquinas caseiras, etc).
Scan: Busca minuciosa em redes, para identificar computadores

ativos e coletar informaes sobre eles.
Email spoofing (falsificao de email): Envio de email modificando

dados do cabealho, para ludibriar o destinatrio, quanto a remetente,
principalmente. Utilizado em spams e phishings.
Sniffing (interceptao de trfego): uma tcnica que baseia-se

na interceptao de trfego entre computadores, por meio de sniffers.
Defacement (desfigurao de pgina): um ataque que consiste

em alterar o contedo de uma pgina Web de um site. No raro, alguns
sites de rgos pblicos sofrem esse tipo de ataque, no qual os invasores
trocam a pgina principal do site por uma pgina prpria, com alguma
mensagem radical.
Prof. Victor Dalton

Todos os cargos
SQL Injection (Injeo de SQL): um ataque baseado na insero

maliciosa de comandos ou consultas SQL em uma aplicao Web. O
objetivo fazer a aplicao executar comandos indesejados ou permitir o
acesso a dados no autorizados.
Cross-Site Scripting - XSS: um ataque no qual uma aplicao

recebe dados no confiveis e os envia ao navegador sem validao ou
filtro adequados. Esse tipo de ataque permite aos atacantes executarem
scripts no navegador da vtima que podem sequestrar sesses do usurio,
desfigurar sites ou redirecionar o usurio para sites maliciosos.
Cross-Site Request Forgery: Fora a vtima, que possui uma sesso

ativa em um navegador, a enviar uma requisio HTTP forjada, incluindo o
cookie da sesso da vtima e qualquer outra informao de autenticao
includa na sesso, a uma aplicao web vulnervel. Esta falha permite ao
atacante forar o navegador da vtima a criar requisies que a aplicao
vulnervel aceite como requisies legtimas realizadas pela vtima. Ao
contrrio do XSS, o Cross-Site Request Forgery explora a confiana da
aplicao web no usurio que est conectado.
IP Spoofing: Mascaramento do endereo de pacotes IP por meio de

endereos de remetentes falsificados.
Port Scanning Attack: Os hackers enviam mensagens para mltiplas

portas e aguardam resposta. A depender das respostas, o invasor saber
se a porta est disponvel ou no para invaso. De fato, este procedimento
muito utilizado pela prpria segurana, em buscas de fraquezas nos
servidores.
Session Hijacking: Consiste em de explorar ou controlar uma sesso

de comunicao TCP/IP vlida entre computadores sem o conhecimento ou
permisso dos donos dos mesmos. O session hijacking normalmente
implica explorar o mecanismo que controla a conexo entre um servidor
web e um navegador, o que se conhece como "token de sesso". Este token
consiste em uma cadeia de caracteres que um servidor web envia para um
cliente que se autentica. Ao prever ou roubar o token de sesso, um
atacante pode obter acesso ao servidor e dispor dos mesmos recursos que
o usurio comprometido.
Prof. Victor Dalton

Todos os cargos
Buffer Overflow: Consiste no transbordamento de memria, ao se
escrever mais dados do que a capacidade do buffer, o que pode
sobrescrever a memria adjacente. Um invasor pode utilizar essa tcnica
para travar intencionalmente uma aplicao, tomar o controle sobre ela
e/ou ganhar privilgios em um sistema.
Advanced Persistent Threat: Invasores profissionais permanecem

em uma rede por muito tempo sem serem detectados, com o objetivo de
obter acesso crescente, e capturar informaes. Podem usar phising,
engenharia social, backdoor ou qualquer outro artifcio para manter-se
operando.
Flooding ou DoS: uma forma de ataque de negao de servio

(tambm conhecido como Denial of Service - DoS) em sistemas
computadorizados, na qual o atacante envia uma seqncia de requisies
para um sistema-alvo visando uma sobrecarga direta na camada de
transporte e indireta na camada de aplicao do modelo OSI. Sua variante
o DdoS (Distributed Denial of Service).
Este o tipo de ataque do qual ouvimos falar recentemente na mdia.
Lembra, em 2013, daquele grupo que anunciou ataques a bancos e rgos
pblicos no Brasil? Eles anunciavam o ataque, anunciavam o alvo, e o site
era derrubado.
Isso acontece porque os ataques do tipo Distributed Denial of Service,

ou ataques distribudos de negao de servio, so os de mais difcil
defesa.
Um ataque de negao de servio (DoS), uma tentativa em tornar

os recursos de um sistema indisponveis para seus utilizadores. Alvos
tpicos so servidores web, e o ataque tenta tornar as pginas hospedadas
indisponveis na rede. No se trata de uma invaso do sistema, mas sim da
sua invalidao por sobrecarga. Os ataques de negao de servio so
feitos geralmente de duas formas:
Forar o sistema vtima a reinicializar ou consumir todos os
recursos (como memria ou processamento por exemplo) de forma
que ele no pode mais fornecer seu servio.
Obstruir a mdia de comunicao entre os utilizadores e o
sistema vtima de forma a no comunicarem-se adequadamente.
Prof. Victor Dalton

Todos os cargos
Em um ataque distribudo de negao de servio, um computador
mestre (denominado "Master") pode ter sob seu comando at milhares de
computadores ("Zombies" - zumbis). Neste caso, as tarefas de ataque de
negao de servio so distribudas a um "exrcito" de mquinas
escravizadas.
O ataque consiste em fazer com que os Zumbis (mquinas infectadas

e sob comando do Mestre) se preparem para acessar um determinado
recurso em um determinado servidor em uma mesma hora de uma mesma
data. Passada essa fase, na determinada hora, todos os zumbis (ligados e
conectados rede) acessaro ao mesmo recurso do mesmo servidor. Como
servidores web possuem um nmero limitado de usurios que pode atender
simultaneamente ("slots"), o grande e repentino nmero de requisies de
acesso esgota esse nmero de slot, fazendo com que o servidor no seja
capaz de atender a mais nenhum pedido.
Destaco ainda que todo ataque de DDoS foi precedido de alguma outra
forma de ataque. As mquinas zumbis, ou escravas, so mquinas de
usurios comuns que se deixaram infectar anteriormente por algum
malware (bots).
Por fim, interessante destacar que os ataques DDos podem ter trs
naturezas:
1) Ataques volumtricos: Tentativa de consumir a largura de

banda, seja dentro da rede/servio alvo ou entre a rede/servio
Prof. Victor Dalton

Todos os cargos
alvo e o resto da internet. Esses ataques servem simplesmente para
causar congestionamento.
2) Ataques de exausto de estado do TCP: Esses ataques tentam

consumir as tabelas de estado de conexo que esto presentes
em diversos componentes de infraestrutura, tais como
balanceadores de carga, firewalls e os prprios servidores de
aplicativos. At mesmo dispositivos de alta capacidade capazes de
manter o estado de milhes de conexes podem ser derrubados por
estes ataques.
3) Ataques na camada de aplicao: Esse tem como alvo algum

aspecto de um aplicativo ou servio na Camada-7. So os mais
fatais tipos de ataques, j que podem ser muito efetivos com
apenas uma mquina de ataque gerando uma baixa taxa de trfego
(isto faz com que esses ataques sejam bastante difceis de detectar
e mitigar de forma ativa). Estes ataques tm prevalecido nos
ltimos trs ou quatro anos, e ataques simples de inundao da
camada de aplicao (inundao HTTP GET etc.) tm sido um dos
mais comuns ataques DDoS vistos.
(CESPE TCU Auditor - Tecnologia da Informao - 2015) Os ataques

DDoS de camada de aplicao so caracterizados por explorar aspectos de
arquitetura das aplicaes e dos servios para obstruir a comunicao; alm disso,
so difceis de detectar e podem ser efetivos com poucas mquinas e taxas de
trfego no muito altas.
Correto.
Hoax: so mensagens que possuem contedo alarmante ou falso.

Podem ser fotos polmicas, correntes, pirmides. Alm disso, tambm
podem conter cdigos maliciosos.
Phishing: tambm chamado de scam, o tipo de fraude no qual um

golpista tenta obter dados pessoais e financeiros. Normalmente, realizado
Prof. Victor Dalton

Todos os cargos
por mensagens eletrnicas que tentam se passar por alguma Instituio
conhecida, compelindo o destinatrio a entrar em um site (falso) para o
fornecimento de dados pessoais.
Phishing: quem nunca recebeu um email desses?
Uma variao do Phising o chamado Pharming. Nele, o servio DNS

(Domain Name System, ou domnio de nomes do sistema) do navegador
Web corrompido, redirecionando o usurio para um site falso, mesmo
quando ele digita o nome de um site verdadeiro.
Spear Phishing: Outra variao do Phishing, mas o remetente se

passa por algum que voc conhece, um amigo ou uma empresa com a
qual voc mantm relacionamento.
Prof. Victor Dalton

Todos os cargos
1.2.2 Engenharia Social
A engenharia social compreende prticas utilizadas para obter acesso

a informaes importantes ou sigilosas em organizaes ou sistemas por
meio da enganao ou explorao da confiana das pessoas.
Para isso, o golpista pode se passar por outra pessoa, assumir outra
personalidade, fingir que um profissional de determinada rea, podendo,
inclusive, criar falsos relacionamentos de amizade para obter informaes
estratgicas de uma organizao.
uma forma de entrar em organizaes que no necessita da fora

bruta ou de erros em mquinas. Explora as falhas de segurana das
prprias pessoas que, quando no treinadas para esses ataques, podem
ser facilmente manipuladas. Via de regra, o engenheiro social busca obter
a confiana da vtima, com o objetivo de extrair informaes privilegiadas.
A engenharia social combatida com o treinamento e a

conscientizao das pessoas.
1.3 Criptografia
Criptografia o estudo dos princpios e tcnicas pelas quais

a informao pode ser transformada da sua forma original para outra
ilegvel, de forma que possa ser conhecida apenas por seu destinatrio, o
que a torna difcil de ser lida por algum no autorizado. Assim sendo, s
o receptor da mensagem pode ler a informao com facilidade. um ramo
da Matemtica, parte da Criptologia.
H dois tipos principais de chaves criptogrficas: chaves

simtricas e chaves assimtricas. Uma informao no-cifrada que
enviada de uma pessoa (ou organizao) para outra chamada de "texto
claro" (plaintext). Cifragem o processo de converso de um texto claro
para um cdigo cifrado e decifragem o processo contrrio, de recuperar
o texto original a partir de um texto cifrado. A criptografia moderna
basicamente formada pelo estudo dos algoritmos criptogrficos que podem
ser implementados em computadores.
Prof. Victor Dalton

Todos os cargos
Segundo Nakamura, a criptografia possui quatro propriedades, ou

objetivos, para a proteo da informao, a saber:
Confidencialidade (privacidade) sigilo entre as partes

envolvidas
Integridade a informao no sofrer alteraes
Autenticao (do remetente) poder saber quem o remetente
No-repdio o remetente no poder negar a autoria da mensagem
1.3.1 Conceitos relacionados
Uma tcnica clssica de criptografia a esteganografia.
Esteganografia (do grego "escrita escondida") o estudo e uso das

tcnicas para ocultar a existncia de uma mensagem dentro de outra, uma
forma de segurana por obscurantismo. Em outras palavras,
esteganografia o ramo particular da criptologia que consiste em fazer com
que uma forma escrita seja camuflada em outra a fim de mascarar o seu
verdadeiro sentido.
Interessante frisar a diferena entre criptografia e esteganografia.

Enquanto a primeira oculta o significado da mensagem, a segunda oculta a
existncia da mensagem.
Veja abaixo um exemplo clssico de esteganografia.
Mensagem inocente, no?
Prof. Victor Dalton

Todos os cargos
E essa mensagem? Continua inocente?
Nos dias atuais, possvel empregar a esteganografia em mensagens

de udio, texto, vdeos, imagens... enfim, qualquer tipo de mdia que
possa carregar informao.
Uma outra ideia relacionada criptografia a chamada cifra de

Csar.
A cifra de Csar uma das formas mais simples de criptografia. Quem

j teve infncia certamente j trocou bilhetes criptografados na escola,
usando a famosa regrinha do +1, -1, +2, etc. Por exemplo, escrevendo
CASA como DBTB ou BZRZ. Esta a cifra de Csar.
A cifragem de Csar se baseia no deslocamento dos caracteres do

alfabeto.
Prof. Victor Dalton

Todos os cargos
Outros conceitos interessantes dizem a respeito da engenharia
reversa da criptografia. Uma parte interessada em quebrar uma
mensagem cifrada pode lanar mo de dois recursos, a saber:
Criptoanlise: os ataques criptoanalticos contam com a natureza do

algoritmo e talvez mais algum conhecimento das caractersticas gerais do
texto claro, ou ainda algumas amostras do texto claro e texto cifrado. O
objetivo deduzir o texto em claro ou a chave utilizada. A criptoanlise
pode ser considerada o oposto da criptologia, que a arte de criar
mensagens cifradas.
Ataque por fora bruta: o atacante experimenta cada chave possvel

em um trecho de texto cifrado, at obter uma traduo inteligvel para o
texto claro. Na mdia, metade de todas as chaves possveis precisam ser
testadas para se obter sucesso.
Logo, percebe-se uma diferena clara entre a criptoanlise e a fora

bruta.
Criptografar e decriptografar mensagens um jogo de gato e rato.

Veremos mais sobre esse jogo, medida que nos aprofundarmos no
assunto.
1.3.2 Criptografia simtrica e assimtrica (importante!)
Diferenciar algoritmos de chave simtrica e assimtrica importante,

e no difcil!
Os algoritmos de chave simtrica so uma classe

de algoritmos para a criptografia, que usam chaves criptogrficas
relacionadas para as operaes de cifragem e decifragem. A operao de
chave simtrica mais simples, pois pode existir uma nica chave entre as
operaes. A chave, na prtica, representa um segredo, partilhado entre
duas ou mais partes, que podem ser usadas para manter um canal
confidencial de informao. Usa-se uma nica chave, partilhada por ambos
os interlocutores, na premissa de que esta conhecida apenas por eles.
Resumindo, a mesma chave usava pra criptografar a mesma utilizada
para decriptografar.
Prof. Victor Dalton

Todos os cargos
Criptografia com chave simtrica.
Os algoritmos de chave assimtrica, por sua vez, trabalham com chaves

distintas para a cifragem e decifragem. Normalmente utilizam o conceito de chave
pblica e chave privada, no qual a chave pblica do destinatrio utilizada para
a criptografia da informao, e apenas a chave privada consegue realizar a
decifragem. Requer o emprego de algoritmos complexos, como a utilizao de
nmeros primos extensos.
Criptografia assimtrica
Veja a comunicao acima. Thiago vai enviar uma mensagem para

Fbio. Assim sendo, Thiago utiliza a chave pblica de Fbio para
criptografar a mensagem. Estando a mensagem cifrada, ela pode trafegar
por um canal inseguro (ex: Internet) com certa tranquilidade, pois apenas
Fbio poder decifrar a mensagem, j que apenas ele possui a chave
privada, e nunca divulgou para ningum.
Prof. Victor Dalton

Todos os cargos
O inconveniente da chave simtrica, por ser nica, que o meio pelo
qual trafegam as mensagens no pode ser o mesmo meio pelo qual a chave
compartilhada, lgico. Portanto, distribuir a chave um inconveniente.
Atualizar a chave um inconveniente. Se existe um meio mais seguro para
compartilhar a chave, porque no utiliz-lo para o prprio fluxo de dados?
Alm disso, gerenciar as chaves tambm pode ser um problema.
Afinal, para comunicar-se com muitos destinatrios diferentes, o ideal
que se tenha uma chave para cada destinatrio diferente.
Por outro lado, as chaves simtricas so as mais recomendadas para
o trmite de grandes volumes de dados, j que seu processamento mais
rpido.
J a chave assimtrica, teoricamente mais segura, requer algoritmos

complexos para o seu devido emprego, logo, no difcil imaginar que
performance seja um gargalo neste sistema.
Como contrapartida, uma nica chave pblica pode ser distribuda
livremente, j que apenas a chave privada, nunca divulgada, consegue
decifrar a mensagem.
Essas diferenas merecem um comparativo, no mesmo?
CHAVE SIMTRICA CHAVE ASSIMTRICA

Chaves nica Pblica (divulgada livremente)
Privada(secreta)
Funcionamento Mesma chave cifra e Chave pblica cifra a mensagem
decifra e chave privada decifra
Processamento Veloz Lento
Gerenciamento Complicado, uma Simples, basta divulgar a chave
das chaves chave para cada pblica
usurio
Ataques de fora So perigosos So ineficazes (nmeros primos
bruta muito grandes)
(CESPE ANTAQ Analista Administrativo Infraestrutura de TI - 2014)

Na criptografia simtrica, a mesma chave compartilhada entre emissor e receptor
utilizada tanto para cifrar quanto para decifrar um documento. Na criptografia
assimtrica, utiliza-se um par de chaves distintas, sendo a chave pblica do
Prof. Victor Dalton

Todos os cargos
receptor utilizada pelo emissor para cifrar o documento a ser enviado;
posteriormente, o receptor utiliza sua chave privada para decifrar o documento.
Correto. Explicao bem didtica de ambas as criptografias.
1.3.3 Principais algoritmos
Hora de vermos alguns algoritmos.
DES (Data Encryption Standard) - DES tipo de cifra em bloco, ou

seja, um algoritmo que toma uma string (pedao de texto) de tamanho
fixo de um texto plano e a transforma, atravs de uma srie de complicadas
operaes, em um texto cifrado de mesmo tamanho. No caso do DES, o
tamanho do bloco 64 bits. DES tambm usa uma chave para personalizar
a transformao, de modo que a decifragem somente possvel,
teoricamente, por aqueles que conhecem a chave particular utilizada para
criptografar. A chave consiste nominalmente de 64 bits, porm somente 56
deles so realmente utilizados pelo algoritmo. Os oito bits restantes so
utilizados para verificar a paridade e depois so descartados, portanto o
tamanho efetivo da chave de 56 bits, e assim citado o tamanho de sua
chave.
Prof. Victor Dalton

Todos os cargos
O DES, por ser um algoritmo simtrico, utiliza a mesma chave para

a decriptografia, aplicando-se as subchaves na sequncia inversa. um
algoritmo relativamente vulnervel a ataques de fora bruta, nos dias
atuais.
O 3-DES uma verso melhorada do DES, na qual os dados so

encriptados com a primeira chave, decifrados com a segunda chave e
finalmente encriptados novamente com uma terceira chave. Isto faz o 3DES
ser mais lento que o DES original, porm em contrapartida oferece maior
segurana.
Prof. Victor Dalton

Todos os cargos
AES (Advanced Encryption Standard) Tambm conhecido como

Rjindael, o AES foi um algoritmo provocado pelo governo norteamericano,
em virtude da necessidade de substituio do DES, cuja vida til se
aproximava do fim. Ele tambm simtrico, usa um tamanho de bloco de
128 bits e admite chaves de 128, 192 e 256 bits.
IDEA (International Data Encryption Algorithm) algoritmo

desenvolvido na Sua, em 1990. Simtrico, usa chave de 128 bits.
RSA O RSA um algoritmo assimtrico de chave pblica, conforme

exemplo mostrado anteriormente. Ele utiliza nmeros primos muito
grandes.
RC4 O RC4 no uma tcnica de blocos, ele trabalha em fluxo

contnuo de entrada e sada de bytes. A chave pode ter de 1 at 2048 bits,
mas comum a utilizao com chave de 40 ou 128 bits.
MD-5 (Message Digest Algorithm 5) - um algoritmo de hash de

128 bits unidirecional desenvolvido pela RSA Data Security, Inc., e muito
Prof. Victor Dalton
Todos os cargos
utilizado por softwares com protocolo ponto-a-ponto na verificao de
integridade de arquivos e logins. Atualmente, a comunidade de segurana
considera o MD5 como um algoritmo quebrado, embora ainda seja utilizado
nos dias atuais.
SHA-1 (Secure Hash Algorithm 1) - A famlia de SHA (Secure Hash

Algorithm) est relacionada com as funes criptogrficas e verificao de
integridade de dados. A funo mais usada nesta famlia, a SHA-1, usada
numa grande variedade de aplicaes e protocolos de segurana, incluindo
TLS, SSL, PGP, SSH, S/MIME e IPSec. SHA-1 foi considerado o sucessor do
MD5.
O SHA-1 processa os dados de entrada em blocos de 512 bits e gera

um sumrio de mensagens de 160 bits.
DSS (Digital Signature Standard) O DSS um padro de

assinatura digital utiliza um algoritmo que foi projetado apenas para
oferecer a funo de assinatura digital (o DSA). Diferentemente do RSA,
ele no pode ser usado para a criptografia ou troca de chave. Apesar disso,
uma tcnica de chave pblica. O DSS tambm utiliza o algoritmo SHA-1
para a gerao do hash.
DSA (Digital Signature Algorithm) O DSA o algoritmo do DSS

para assinatura digital, baseado na dificuldade de se calcular logaritmos
discretos. Ele trabalha com trs parmetros pblicos, que podem ser
comuns a um grupo de usurios. Um nmero primo q de 160 bits, um
nmero p entre 512 a 1024 bits, de modo que q divida (p -1), e g, que ser
igual a h elevado a [(p-1)/q], em que h menor que p -1 e (g mod q) > 1.
h a chave secreta a ser utilizada pelo assinante.
(CESPE TCU Auditor - Tecnologia da Informao - 2015) No algoritmo

AES, a cifra de decriptografia idntica cifra de criptografia, assim como a
sequncia de transformaes para a decriptografia a mesma para a criptografia,
o que pode ser considerado uma vantagem, j que apenas um nico mdulo de
software ou firmware necessrio para aplicaes que exigem tanto criptografia
quanto decriptografia.
Prof. Victor Dalton

Todos os cargos
Errado! Embora o AES realmente seja um algoritmo simtrico, isso no uma

vantagem, mas sim uma vulnerabilidade. Algoritmos assimtricos so mais
seguros.
1.3.4 Assinatura digital
Analisar assinatura digital a continuao natural da criptografia

assimtrica. Por enquanto, ainda estamos no mundo das ideias, mas j
traremos esses conceitos para o nosso dia a dia. Peo sua pacincia!
Voc deve ter percebido que a criptografia baseada em chave

assimtrica garante a confidencialidade da mensagem, pois, apenas o
destinatrio da mesma consegue decifr-la. At a tudo bem, mas quem
garante que a mensagem realmente est vindo daquele emissor?
Afinal de contas, qualquer um pode enviar uma mensagem para Fbio.
A chave pblica de Fbio pblica, no mesmo?
nesse contexto que entra a assinatura digital. Ela garantir a

autenticidade do remetente e a integridade da mensagem. Vamos ver
como?
Assinatura digital baseada em Chave Pblica
A assinatura digital requer que emissores e receptores conheam as

chaves pblicas uns dos outros. Assim, quando a entidade emissora quer
enviar uma mensagem assinada digitalmente a outra entidade, aquela ter
que cifrar a mensagem com a sua chave privada e, em seguida, cifrar o
resultado com a chave pblica da entidade receptora. Por sua vez, a
entidade receptora ao receber a mensagem ter que decifr-la primeiro
com a sua chave privada e de seguida decifrar este resultado com a chave
pblica da entidade emissora.
O receptor pode provar a recepo de qualquer mensagem atravs do

criptograma resultante da decifragem com a sua chave privada. Note-se
que ele consegue decifr-lo mas nunca conseguiria produzi-lo uma vez que
desconhece a chave privada do emissor.
Prof. Victor Dalton

Todos os cargos
Este mtodo de assinatura digital tem todas as vantagens dos
algoritmos de chave pblica nomeadamente a sua impossibilidade de
decifragem por outros, pelo menos em tempo til.
Figura assinatura digital baseada em chave pblica
Entendeu a jogada?
Se, alm de cifrar a mensagem com a chave pblica de Fbio, Thiago

cifrar tambm com sua prpria chave privada, Fbio no s conseguir
ler a mensagem, como tambm garantir que a mensagem realmente de
Thiago, pois a chave pblica de Thiago tambm decifra mensagens cifradas
pela chave privada de Thiago.
Veja tambm outros dois tipos de assinatura digital:
Assinatura digital baseada em Chave Secreta
Esta aproximao requer a existncia de uma autoridade central que

sabe tudo e em quem todos confiam. Cada entidade escolhe uma chave
secreta e a repassa autoridade central. Desta forma s autoridade central
e a prpria entidade tm conhecimento da sua chave secreta. Quando uma
entidade quer enviar uma mensagem assinada digitalmente outra, ter
que a cifrar, com a sua chave secreta, e envi-la autoridade central. A
mensagem passar pela autoridade central que a decifrar com a chave
secreta da entidade emissora. A esta mensagem ser concatenada uma
estampilha que s a autoridade central consegue gerar e decifrar. O
resultado ser cifrado com a chave secreta da entidade receptora e
enviado. Desta forma, o receptor pode provar a recepo de qualquer
Prof. Victor Dalton

Todos os cargos
mensagem atravs da estampilha recebida (s a autoridade central
consegue produzir uma).
Assinatura digital baseada em funes de hash (importante!)
Uma das crticas que se podem fazer aproximaes apresentadas

anteriormente que elas juntam duas funes distintas: autenticao e
privacidade. Muitas vezes, necessria a autenticao, mas no existe
qualquer interesse de privacidade. Uma vez que a cifragem de uma
mensagem com criptografia de chaves pblicas normalmente lenta,
frequentemente desejvel enviar uma mensagem assinada digitalmente
sem preocupao de que ela seja lida por outros. Desta forma no ser
necessrio cifrar toda a mensagem.
Este esquema baseia-se nas funes de sentido nico (one-way hash

functions) e tem como base a cifragem de uma parte, arbitrariamente
longa, da mensagem, obtendo como resultado o chamado message-
digest(resumo). Esse resumo possui tamanho fixo, independentemente do
tamanho da mensagem.
Desta forma, a entidade emissora ter que gerar o message-digest e

cifr-lo (assin-lo) com a sua chave privada.
De seguida poder enviar a mensagem (cifrada ou no) concatenada

com a sua assinatura. A entidade receptora decifrar a assinatura com a
chave pblica da entidade emissora (previamente publicada) e verificar se
o message-digest o esperado. Como pode ser facilmente percebido, as
entidades comunicantes devem assegurar-se que conhecem as verdadeiras
chaves pblicas umas das outras e no quaisquer outras ilegalmente
publicadas, a troco da segurana do sistema poder ficar comprometido.
Para garantir isso, i.e., para fazer a distribuio de chaves pblicas de
forma segura, usa-se o conceito de certificado, um objeto que contm a
chave pblica de uma dada entidade assinada digitalmente por uma
entidade de confiana, conhecida por autoridade certificadora (CA).
Figura assinatura digital baseada em funes de hash
Prof. Victor Dalton

Todos os cargos
Estamos evoluindo! Primeiro, voc entendeu como a mensagem
enviada de uma forma segura. Segundo, voc entendeu como garantir a
assinatura do remetente. Agora podemos fazer mais uma pergunta.
Quem garante que aquele emissor realmente legtimo? Ou

seja, quem garante a Fbio que o Thiago realmente o Thiago, e no
algum se passando por Thiago?
A dica foi dada na ltima modalidade de assinatura digital. hora de

estudarmos o Certificado Digital.
1.3.5 Certificado digital
Um certificado digital normalmente usado para ligar uma entidade

a uma chave pblica. Para garantir digitalmente, no caso de uma
Infraestrutura de Chaves Pblicas (ICP), o certificado assinado pela
Autoridade Certificadora (AC) que o emitiu e no caso de um modelo de Teia
de Confiana (Web of Trust), o certificado assinado pela prpria entidade
e assinado por outros que dizem confiar naquela entidade. Em ambos os
casos as assinaturas contidas em um certificado so atestamentos feitos
por uma entidade que diz confiar nos dados contidos naquele certificado.
O certificado digital oferece garantias de:

Autenticidade - o receptor dever poder confirmar a
assinatura do emissor;
Integridade - garantia de que o contedo da transao no
foi alterado;
No-repdio - garantia de que quem executou a transao
no pode negar que foi ele mesmo que executou;
Ainda est um pouco quadrado?
Pois imagine o Certificado Digital como uma cdula de identidade,

emitida por um cartrio. A gente s vezes no precisa ir em um cartrio
pra provar que a gente a gente mesmo? Mesma coisa aqui!
Veja essa tela abaixo, por meio da qual um usurio entra em sua conta
no site do Banco do Brasil (repare no CADEADO VERDE):
Prof. Victor Dalton

Todos os cargos
Esta uma tpica comunicao de duas partes que usa criptografia

assimtrica. Uma parte VOC, cliente, e a outra o BANCO.
Em telas cuja informao sensvel, como os dados bancrios de um

cliente, o fornecedor de um servio crtico, no caso, o BANCO, oferece um
canal seguro de comunicao, protegido por criptografia. Mas VOC, no
caso o seu navegador, precisa ter certeza que realmente est trocando
mensagens com o BANCO. Para isso, o banco, ao entrar nesse canal
seguro, lhe envia um CERTIFICADO DIGITAL, mostrando quem ele ,
qual a criptografia que usa, lhe enviando a chave pblica dele, e informando
qual a AUTORIDADE CERTIFICADORA que emitiu o Certificado dele.
VOC, ento, por meio de seu navegador de internet, verifica se a

autoridade certificadora dele realmente de confiana (como se um
cartrio fosse). Nas configuraes avanadas de seu navegador, possvel
verificar estes certificados. Segue abaixo uma tela do Google Chrome, que
mostra isso:
Prof. Victor Dalton

Todos os cargos
Nem pense em modificar essas configuraes! Seu navegador

pode ficar vulnervel!
Sendo o Certificado Digital realmente emitido por uma Autoridade

Certificadora de confiana, o CADEADO VERDE aparece na sua tela,
mostrando que sua comunicao, a partir daquele momento, ser segura.
Viu como a criptografia faz parte do seu dia a dia?
P.S.: Voc j deve ter entrado em sites, inclusive de rgos pblicos,

e ter se deparado com mensagens do tipo :Este Certificado no foi
verificado. Deseja continuar? , conforme imagem abaixo:
Tela vermelha de fundo, cadeado cortado, ou em vermelho, e alguma

mensagem do tipo continue por sua conta e risco.
Prof. Victor Dalton

Todos os cargos
Isso acontece porque a emisso de certificados paga (como se
cartrio fosse, rs), e nem todos aderem s Autoridades Certificadoras. Na
prtica, isso quer dizer que a comunicao com a outra parte segura,
mas no h Autoridade Certificadora garantindo que a outra parte idnea.
Ou seja, possvel trocar informaes de maneira segura com uma parte
mal intencionada. Nesses casos, confiar no outro lado fica por conta e risco
do usurio, e no da Autoridade Certificadora.
Em um certificado digital, podero ser encontradas as seguintes

informaes:
verso e nmero de srie do certificado.

dados que identificam quem emitiu o certificado (assinatura da
AC).
dados que identificam o dono do certificado (nome, registro civil).
validade do certificado.
chave pblica do dono do certificado (a chave privada fica apenas
com o dono).
algoritmo de assinatura.
verso e nmero de srie do certificado.
requerente do Certificado.

Para a utilizao de criptografia assimtrica, a distribuio das chaves pblicas
comumente realizada por meio de certificado digital, que contm o nome do
usurio e a sua chave pblica, sendo a autenticidade dessas informaes garantida
por assinatura digital de uma terceira parte confivel, denominada Autoridade
Certificadora.
Correto. A Autoridade Certificadora garante a autenticidade do dono do

Certificado e, ao fornecer a chave pblica, garante que somente o dono do
certificado pode decifrar as mensagens que lhe forem enviadas.
Prof. Victor Dalton

Todos os cargos
1.3.6 A ICP - Brasil
Falando em Autoridade Certificadora, a ICP-Brasil um conjunto de

entidades governamentais ou de iniciativa privada, padres tcnicos e
regulamentos, elaborados para suportar um sistema criptogrfico com base
em certificados digitais e visa assegurar as transaes entre titulares de
certificados digitais e detentores de chaves pblicas, no Brasil.
Para assegurar que uma determinada chave pertence a voc

necessrio que uma Autoridade Certificadora (AC) confira sua identidade e
seus respectivos dados. Ela ser a entidade responsvel pela emisso,
suspenso, renovao ou revogao de seu certificado digital, alm de ser
obrigada a manter sempre disponvel a Lista de Certificados Revogados
(CRL).
A ICPBrasil formada por uma Autoridade Certificadora Raiz (AC

RAIZ) que representada pelo Instituto Nacional de Tecnologia da
Informao (ITI), sendo este rgo responsvel pela autentificao das
demais Autoridades Certificadoras, alm de executar atividades de
fiscalizao e auditoria das AC e Autoridades de Registro (AR) para que
possa certificar-se de que a entidade est seguindo todas as Polticas de
Certificao.
Vejamos mais alguns conceitos relevantes sobre a ICP Brasil:
AC - Raiz
A Autoridade Certificadora Raiz da ICP-Brasil (AC-Raiz) a primeira

autoridade da cadeia de certificao. Executa as Polticas de Certificados e
normas tcnicas e operacionais aprovadas pelo Comit Gestor da ICP-
Brasil. Portanto, compete AC-Raiz emitir, expedir, distribuir, revogar
e gerenciar os certificados das autoridades certificadoras de nvel
imediatamente subsequente ao seu.
A AC-Raiz tambm est encarregada de emitir a lista de certificados

revogados (LCR) e de fiscalizar e auditar as Autoridades Certificadoras
(ACs), Autoridades de Registro (ARs) e demais prestadores de servio
habilitados na ICP-Brasil. Alm disso, verifica se as ACs esto atuando em
Prof. Victor Dalton

Todos os cargos
conformidade com as diretrizes e normas tcnicas estabelecidas pelo
Comit Gestor da ICP-Brasil.
AC - Autoridade Certificadora
Uma Autoridade Certificadora (AC) uma entidade, pblica ou privada,

subordinada hierarquia da ICP-Brasil, responsvel por emitir, distribuir,
renovar, revogar e gerenciar certificados digitais. Tem a
responsabilidade de verificar se o titular do certificado possui a chave
privada que corresponde chave pblica que faz parte do certificado. Cria
e assina digitalmente o certificado do assinante, onde o certificado emitido
pela AC representa a declarao da identidade do titular, que possui um
par nico de chaves (pblica/privada).
Cabe tambm AC emitir listas de certificados revogados (LCR) e
manter registros de suas operaes sempre obedecendo s prticas
definidas na Declarao de Prticas de Certificao (DPC). Alm de
estabelecer e fazer cumprir, pelas Autoridades Registradoras (ARs) a ela
vinculadas, as polticas de segurana necessrias para garantir a
autenticidade da identificao realizada.
AR Autoridade de Registro
Uma Autoridade de Registro (AR) responsvel pela interface entre o

usurio e a Autoridade Certificadora. Vinculada a uma AC, tem por objetivo
o recebimento, validao, encaminhamento de solicitaes de
emisso ou revogao de certificados digitais e identificao, de
forma presencial, de seus solicitantes. responsabilidade da AR
manter registros de suas operaes. Pode estar fisicamente localizada em
uma AC ou ser uma entidade de registro remota.
Prof. Victor Dalton

Todos os cargos
Dica do professor: perceba que a Autoridade de Registro NO EMITE

Certificados Digitais.
Embora uma entidade precise ir a uma AR para obter o seu Certificado

Digital, quem emitir o certificado ser a AC. A AR apenas faz o meio de
campo entre a entidade e a AC.
Ainda, perceba que ningum emite Certificados diretamente com a AC-

Raiz, apenas as autoridades Certificadoras imediatamente abaixo de seu
nvel na hierarquia.
Conhea a hierarquia resumida da ICP Brasil em:

http://www.iti.gov.br/images/icp-
brasil/estrutura/2014/atualizacao12/Estrutura_da_ICP-Brasil_-
_site.pdf

Para a obteno da chave pblica de uma AC, utiliza-se um esquema de
gerenciamento de chaves pblicas, denominado infraestrutura de chaves pblicas
(ICP). No Brasil, a ICP-Brasil organizada de forma hierrquica, em que uma AC
raiz certifica outras ACs e, posteriormente, estas, bem como a AC raiz, emitem
certificados para os usurios finais.
Errado! 90% da sentena est correta. O nico equvoco foi insinuar que a AC
raiz tambm emite certificados aos usurios finais. Ela emite somente para as
outras ACs imediatamente abaixo do seu nvel.
(CESPE TCU Auditor - Tecnologia da Informao - 2015) A autoridade

de registro, alm de ser a emissora de certificados e listas de revogao de
certificados, um componente obrigatrio nas PKI e est associada ao registro
das autoridades certificadoras.
Prof. Victor Dalton

Todos os cargos
Errado! A autoridade de registro no emite certificados, ela faz o meio de campo
entre a autoridade certificadora (esta sim emite certificados e listas de
certificados revogados) e o usurio. A AR pode estar fisicamente localizada em
uma AC ou ser uma entidade de registro remota.
1.3.7 Tipos de Certificao Digital
Na ICP-Brasil esto previstos dez tipos de certificado. So duas sries

de certificados. A srie A (A1, A2, A3 e A4) rene os certificados de
assinatura digital, utilizados na confirmao de identidade na Web,
em e-mail, em redes privadas virtuais (VPN) e em documentos
eletrnicos com verificao da integridade de suas informaes.
Tambm certificados de assinatura digital, certificados do tipo T3 e
T4 somente podem ser emitidos para equipamentos das Autoridades de
Carimbo do Tempo (ACTs) credenciadas na ICP-Brasil.
A srie S (S1, S2, S3 e S4), por sua vez, rene os certificados de

sigilo, que so utilizados na codificao de documentos, de bases de
dados, de mensagens e de outras informaes eletrnicas sigilosas. Os dez
tipos so diferenciados pelo uso, pelo nvel de segurana e pela validade.
Nos certificados do tipo A1 e S1, as chaves privadas ficam

armazenadas no prprio computador do usurio. Nos tipos A2, A3, A4, S2,
S3 e S4, as chaves privadas e as informaes referentes ao seu certificado
ficam armazenadas em um hardware criptogrfico carto inteligente
(smart card) ou carto de memria (token USB ou pen drive). Para acessar
essas informaes, ainda, necessria a digitao de senha no momento
crtico da transao.
Tipos T3 e T4 so para hardware especfico das Autoridades de

Carimbo do Tempo, cuja finalidade provar a sua existncia em
determinado perodo, em qualquer documento ou transao eletrnica,
baseando-se na hora oficial brasileira fornecida pelo Observatrio Nacional.
Prof. Victor Dalton

Todos os cargos
Chave criptogrfica
Tipo de Tamanho da Processo de Validade mxima

certificado chave (bits) gerao Mdia armazenadora (anos)*
A1 e S1 1024 Software Arquivo 1
Smart card ou token, sem capacidade

A2 e S2 1024 Sofware de gerao de chave 2
Smart card ou token, com capacidade

A3 e S3 1024 Hardware de gerao de chave 5
Smart card ou token, com capacidade

A4 e S4 2048 Hardware de gerao de chave 3
Hardware criptogrfico aprovado

T3 1024 Hardware pelo CG da ICP-Brasil 5
Hardware criptogrfico aprovado

T4 2048 Hardware pelo CG da ICP-Brasil 3
*observao: a partir de 5 de julho de 2012, qualquer certificado emitido por AC de 1 ou 2

nvel pode ter validade de at 5 anos.
1.3.8 Mtodos de autenticao
A autenticao, via de regra, depende de um ou mais dos mtodos a

seguir:
O que voce : meios biomtricos, tais como impresso digital, padro
de retina, padro de voz, reconhecimento de assinatura, reconhecimento
facial.
O que voc tem: objetos, tais como cartes de identificao, smart
cards, tokens USB.
O que voc sabe: senhaa, dados pessoais, frases secretas.
Os bons mtodos de autenticao atuais utilizam mais de um dos

mtodos supracitados. Quando utilizados dois dos mtodos, chamamos de
verificao em duas etapas.
Prof. Victor Dalton

Todos os cargos
A verificao em duas etapas est sendo cada vez mais utilizada em
nosso cotidiano.
Cito como exemplo o gmail, que tem trabalhado com senha (o que
voc sabe) + envio de mensagem para o seu telefone (o que voc tem).
Certamente voc j precisou se autenticar em algum lugar utilizando
procedimento similar.
Verificao em duas etapas.
1.4 Backup
A informao mais importante a respeito de backup fica na norma ISO

27002, a qual afirma que as mdias de backup devem ficar situadas a
uma distncia segura da mdia e dos sistemas originais, para que
danos causados por um desastre no site principal no afetem
tambm o backup. Questes de prova em cima dessa ideia so
frequentes.
Alm disso, podemos destacar que os backups podem ser realizados

de trs formas diferentes. So elas:
Backup Incremental: realiza um backup dos arquivos que foram

alterados ou novos desde o ltimo backup, de qualquer tipo. Em suma,
um backup de atualizao.
Prof. Victor Dalton

Todos os cargos
Backup Diferencial: realiza um backup dos arquivos que foram
alterados desde o ltimo backup completo. um backup intermedirio
entre o incremental e o completo.
Backup Completo (normal): como o prprio nome diz, todos os

arquivos e pastas na unidade sofrem o backup, ou seja, criada uma cpia
de segurana para todos esses arquivos.
Onde gravar os backups: voc pode usar mdias (como CD, DVD,
pen-drive, disco de Blu-ray e disco rgido interno ou externo) ou armazena-
los remotamente (online ou off-site). A escolha depende do programa de
backup que est sendo usado e de questes como capacidade de
armazenamento, custo e confiabilidade. Um CD, DVD ou Blu-ray pode
bastar para pequenas quantidades de dados, um pen-drive pode ser
indicado para dados constantemente modificados, ao passo que um disco
rgido pode ser usado para grandes volumes que devam perdurar.
Quais arquivos copiar: apenas arquivos confiveis e que tenham

importncia para voc devem ser copiados. Arquivos de programas que
podem ser reinstalados, geralmente, no precisam ser copiados. Fazer
cpia de arquivos desnecessrios pode ocupar espao inutilmente e
dificultar a localizao dos demais dados. Muitos programas de backup j
possuem listas de arquivos e diretrios recomendados, voc pode optar por
aceit-las ou criar suas prprias listas.
Com que periodicidade devo realiza-los: depende da frequncia

com que voc cria ou modifica arquivos. Arquivos frequentemente
modificados podem ser copiados diariamente ao passo que aqueles pouco
alterados podem ser copiados semanalmente ou mensalmente.
1.5 VPN
Uma Rede Privada Virtual (Virtual Private Network VPN),

como o prprio nome sugere, uma forma de conectar dois computadores
utilizando uma rede pblica, como a Internet.
Prof. Victor Dalton

Todos os cargos
Como a Internet uma rede pblica, preciso criar alguns
mecanismos de segurana para que as informaes trocadas entre os
computadores de uma VPN no possam ser lidas por outras pessoas.
A proteo mais utilizada a criptografia, pois essa garante que os

dados transmitidos por um dos computadores da rede sejam os mesmo que
as demais mquinas iro receber.
Depois de criptografados, os dados so ento encapsulados e

transmitidos pela Internet, utilizando o protocolo de tunelamento, at
encontrar seu destino.
Os principais protocolos de tunelamento so os seguintes:
PPTP (Point-to-Point Tunneling Protocol) um protocolo de nvel

2desenvolvido pela Microsoft, 3Com, Ascend, EUA Robotics e ECI
Telematics.
L2F (Layer Two Forwarding) um protocolo de nvel 2 desenvolvido

pela Cisco, Northern Telecom e Shiva. Est hoje quase obsoleto.
Prof. Victor Dalton

Todos os cargos
L2TP (Layer Two Tunneling Protocol) o resultado dos trabalhos
do IETF (RFC 2661) para fazer convergir as funcionalidades de PPTP e de
L2F. Trata-se assim de um protocolo de nvel 2 que se apoia em PPP.
IPSec um protocolo de nvel 3, procedente dos trabalhos do IETF,

permitindo transportar dados calculados para as redes IP. Vejamos um
pouco mais sobre este protocolo, o mais conhecido.
O IPsec define dois protocolos de segurana designados de Cabealho

de Autenticao (AH) (RFC 2402) e Encapsulating Security Payload (ESP)
(RFC 2406). Cada protocolo define o seu prprio formato para o cabealho
IPsec no pacote IPsec. Ambos os protocolos usam o conceito de uma
Associao de Segurana (AS). Por isso, as SAs podem ser do tipo AH ou
ESP. Note-se que uma SA no pode ser em simultneo do tipo AH e ESP.
Adicionalmente, quer o AH quer o ESP suportam os modos transporte e
tnel.
O AH proporciona integridade e autenticao, usando algoritmos de

chave partilhada como o MD5 e o SHA-1. O AH no proporciona
confidencialidade.
O ESP proporciona confidencialidade e, opcionalmente, integridade e

autenticao. Para a confidencialidade o ESP suporta algoritmos de
encriptao por chave partilhada tais como o DES e o 3-DES. Tal como o
AH o ESP suporta os algoritmos MD5 e SHA-1 para integridade e
autenticao.
Prof. Victor Dalton

Todos os cargos
Aparentemente O ESP fornece todas as funcionalidades do AH, o que

o tornaria desnecessrio. Contudo existe uma diferena entre a integridade
e autenticao fornecidas pelo AH e pelo ESP.
Cabealho IP original AH TCP Dados
|------------------------------------------Testa a integridade ----------------------------------------------|
Cabealho IP original ESP TCP Dados
|-------------------------- Testa a integridade -----------------------------|

|--------------------- Encriptado ----------------------|
O ESP no testa a integridade da totalidade do pacote IP, deixando de

fora o cabealho. O AH testa a totalidade do pacote IPsec, incluindo o
cabealho IP (tecnicamente alguns campos do cabealho so sujeitos a
alteraes durante o transito no podendo por isso o AH proteger estes
valores).
Por essa razo se for importante o controlo da integridade do

cabealho do pacote IP podem ser usados em conjunto o ESP e o AH. Isto
implica, como j foi dito, ter o dobro das SAs, uma vez que uma SA pode
implementar o ESP ou o AH mas no ambos.
O IPSec independe do algoritmo utilizado. verdade. O IPSec

permite a escolha do algoritmo de criptografia a ser empregado, inclusive
nenhum (sem segurana).
Prof. Victor Dalton

Todos os cargos
Embora esteja na camada IP, o IPSec orientado a conexes -
Uma conexo no contexto do IPSec chamada de associao de
segurana, ou AS (security association). Tal conexo simplex, e tem um
identificador de segurana associado a ela.
Pode ser usado no modo de transporte, em que todo pacote IP,

incluindo o cabealho, encapsulado no corpo de um novo pacote
IP com um cabealho IP completamente novo. Este o modo
tunelamento. No modo de transporte, o cabealho IPSec inserido logo
aps o cabealho IP.
1.6 Firewall
O Firewall, segundo Nakamura, em seu livro Segurana de Redes

em Ambientes Cooperativos, pode ser definido como um ponto entre
duas ou mais redes, que pode ser um componente ou conjunto de
componentes, por onde passa todo o trfego, permitindo que o controle, a
autenticao e os registros de todo o trfego sejam realizados. Alm disso,
pode ser definido como um grupo de sistemas que refora a poltica de
acesso entre duas redes, e, portanto, pode ser visto como uma
implementao da poltica de segurana.
Prof. Victor Dalton

Todos os cargos
Na prtica, firewalls so utilizados para:
Registrar tentativas de acesso indevidas a um computador ou

rede;
Bloquear o envio de informaes coletadas por invasores e
cdigos maliciosos;
Bloquear tentativas de invaso e explorao de vulnerabilidades,
identificando a origem das tentativas;
Analisar continuamente o contedo das conexes, filtrando
cdigos maliciosos e barrando a comunicao entre um invasor
e um cdigo malicioso j instalado;
Evitar que um cdigo malicioso j instalado se propague,
impedindo que vulnerabilidades em outros computadores sejam
exploradas.
Vejamos alguns termos relacionados a firewall:
Proxy: Sistemas que atuam como gateway entre duas redes,

obrigando que determinado fluxo de dados passe por ele. Facilita o
controle e gerenciamento de contedo na rede.
Prof. Victor Dalton

Todos os cargos
Bastion Hosts: equipamentos em que so instalados servios a serem

oferecidos para internet. Por serem mquinas com contato direto com o
exterior, os bastion hosts devem ser servidores fortificados, executando
somente o mnimo de servios que devem oferecer. Via de regra, os Bastion
Hosts ficam em zonas desmilitarizadas (DMZs).
Zona Desmilitarizada (DMZ): Rede que fica entre a rede interna,

que deve ser protegida, e a externa, por possuir um conjunto de servios
cujo interesse da organizao a divulgao para o pblico externo. Em
caso de ataques aos Bastion Hosts, a rede interna continua protegida.
Prof. Victor Dalton
Todos os cargos
A DMZ precisa ser isolada do restante da rede porque suas regras de

proteo precisam ser mais frouxas do que as regras para a rede interna,
uma vez que os Bastion Hosts podem (e devem) receber acessos externos.
1.6.1 Tipos de Arquitetura de Firewall
As arquiteturas de um Firewall, via de regra, so definidas de acordo

com o porte e as necessidades da organizao que o implanta. As trs
arquiteturas clssicas so as seguintes:
Dual-Homed Host Architecture: nesta, um nico proxy separando

a rede interna da rede externa, conforme a figura abaixo.
Prof. Victor Dalton

Todos os cargos
uma estrutura mais econmica, por ser simples. Por outro lado, falta
transparncia ao usurio que no sabe como o acesso externo realizado.
Alm disso, o host dual-homed um nico ponto de falha, e o risco da rede
reside nele.
Screened Host Architecture: composto por um filtro de pacotes e

um Bastion Host.
Nele, as regras para o acesso rede externa podem ser implantadas

via Bastion Host, ou filtro de pacotes, ou ambos (o que chamado de
firewall hbrido).
uma arquitetura mais madura que a dual-homed. Entretanto, caso

o Bastion Host seja comprometido, o invasor j estar na rede interna.
Screened Subnet Architecture: acrescenta a DMZ rede, por meio

de filtros externo e interno.
Prof. Victor Dalton

Todos os cargos
O que diferencia a Screened Subnet da Dual-Homed que os

roteadores interno e externo, vistos na figura acima, funcionaro como
verdadeiros filtros de pacotes. O filtro de pacote externo, um pouco
menos rgido, permite o acesso externo aos servios disponibilizados pela
empresa, na DMZ; o interno, altamente rigoroso, permite apenas que as
respostas das requisies e servios permitidos aos usurios internos
entrem na rede interna.
1.6.2 IPS e IDS
Sistemas de Deteco de Intrusos (IDS) so sistemas que

monitoram atividades em redes de computadores, capazes de detectar
atividades suspeitas. Configura-se uma soluo passiva.
Sistemas de Preveno de Intrusos (IPS), por sua vez, so

sistemas que implementam regras e polticas para o trfego de uma rede,
capazes de prevenir e combater ataques. uma soluo ativa!
1.6.3 Recomendaes para firewall
Cuidados a serem tomados:
antes de obter um firewall pessoal, verifique a procedncia e

certifique-se de que o fabricante confivel;
Prof. Victor Dalton
Todos os cargos
certifique-se de que o firewall instalado esteja ativo;
configure seu firewall para registrar a maior quantidade de
informaes possveis (desta forma, e possvel detectar tentativas de
invaso ou rastrear as conexes de um invasor).
As configuraes do firewall dependem de cada fabricante. De forma

geral, a mais indicada :
liberar todo trafego de sada do seu computador (ou seja, permitir
que seu computador acesse outros computadores e servios) e;
bloquear todo trafego de entrada ao seu computador (ou seja,
impedir que seu computador seja acessado por outros computadores e
servios) e liberar as conexes conforme necessrio, de acordo com
os programas usados.
(CESPE TJ/AC Tcnico em Informtica - 2012) Sistemas de preveno

intruso (IPS) e sistemas de deteco de intruso (IDS) so sistemas concebidos
com os mesmos propsitos. A diferena entre eles encontra-se no pblico-alvo.
Enquanto os IPS so sistemas voltados para os usurios domsticos, os IDS focam
as grandes redes corporativas.
Errado! A diferena bsica entre um Intrusion Detection System (IDS) para

um Intrusion Prevention System (IPS) que os sistemas de preveno so
ativos, enquanto os sistemas de deteco so passivos. Enquanto o IDS informa
sobre um potencial ataque, o IPS promove tentativas de parar o ataque. Um outro
grande avano sobre o IDS que o IPS tem a capacidade de prevenir invases
com assinaturas conhecidas, mas tambm pode impedir alguns ataques no
conhecidos, devido a sua base de dados de comportamentos de ataques
genricos. Visto como uma combinao de IDS e de uma camada de aplicao
Firewall para proteo, o IPS geralmente considerado a gerao seguinte do
IDS.
Prof. Victor Dalton

Todos os cargos
1.7 Outras boas prticas de segurana da informao
A seguir, veremos mais algumas boas prticas se segurana da

informao na utilizao de equipamentos tecnolgicos. So boas dicas
tanto para o seu dia-a-dia, bem como podem cair em prova!
SENHAS FRACAS E FORTES
Segundo a Cartilha CERT.BR, uma senha boa, bem elaborada, aquela

que difcil de ser descoberta (forte) e fcil de ser lembrada.
Alguns elementos que no se deve usar na elaborao de suas senhas:
Qualquer tipo de dado pessoal: evite nomes, sobrenomes, contas

de usurio, nmeros de documentos, placas de carros, nmeros de
telefones e datas (estes dados podem ser facilmente obtidos e usados por
pessoas que queiram tentar se autenticar como voc).
Sequencias de teclado: evite senhas associadas a proximidade entre

os caracteres no teclado, como 1qaz2wsx e QwerTAsdfG, pois so
bastante conhecidas e podem ser facilmente observadas ao serem
digitadas.
Palavras que faam parte de listas: evite palavras presentes em

listas publicamente conhecidas, como nomes de msicas, times de futebol,
personagens de filmes, dicionrios de diferentes idiomas, etc. Existem
programas que tentam descobrir senhas combinando e testando estas
palavras e que, portanto, no devem ser usadas.
Alguns elementos que devem ser usados na elaborao de suas senhas

so:
Numeros aleatrios: quanto mais ao acaso forem os nmeros

usados melhor, principalmente em sistemas que aceitem exclusivamente
caracteres numricos.
Grande quantidade de caracteres: quanto mais longa for a senha

mais difcil ser descobri-la. Apesar de senhas longas parecerem, a
Prof. Victor Dalton

Todos os cargos
princpio, difceis de serem digitadas, com o uso frequente elas acabam
sendo digitadas facilmente.
Diferentes tipos de caracteres: quanto mais bagunada for a

senha mais difcil ser descobri-la. Procure misturar caracteres, como
nmeros, sinais de pontuao e letras maisculas e minsculas. O uso de
sinais de pontuao pode dificultar bastante que a senha seja descoberta,
sem necessariamente torna-la difcil de ser lembrada.
Porm, apenas o prprio usurio ser capaz de produzir uma senha

boa. No existe gabarito!
FERRAMENTAS ANTIMALWARE
Ferramentas antimalware so aquelas que procuram detectar e, ento,

anular ou remover os cdigos maliciosos de um computador. Antivrus,
antispyware, antirootkit e antitrojan so exemplos de ferramentas deste
tipo.
Entre as diferentes ferramentas existentes, a que engloba a maior

quantidade de funcionalidades e o antivrus. Apesar de inicialmente eles
terem sido criados para atuar especificamente sobre vrus, com o passar
do tempo, passaram tambm a englobar as funcionalidades dos demais
programas, fazendo com que alguns deles cassem em desuso.
Os antivrus comerciais, em sua maioria podem funcionar por:
- Mtodo de assinaturas: vrus conhecidos possuem assinaturas, ou

seja, um pedao de arquivo conhecido, que quando identificado acusa a
presena do vrus;
- Busca algortmica: se o arquivo possui um conjunto de instrues

peculiar, reconhecido como vrus;
- Sensoriamento heurstico: til para vrus desconhecidos, analisa

o comportamento do programa, para identific-lo como vrus;
Prof. Victor Dalton

Todos os cargos
- Emulao: til para detectar vrus polimrficos, ele decriptografa o
vrus, analisa o cdigo e reconhece o agente malicioso.
Portanto, os antivrus possuem vrias tcnicas para analisar o

contedo dos arquivos. Quem no conhece, tende a achar que os antivrus
apenas reconhecem vrus que j existem e, na verdade, acabamos de ver
que bem mais do que isso.
Cuidados a serem tomados:
tenha um antimalware instalado em seu computador (programas

online, apesar de bastante teis, exigem que seu computador esteja
conectado Internet para que funcionem corretamente e podem conter
funcionalidades reduzidas);
utilize programas online quando suspeitar que o antimalware local

esteja desabilitado/comprometido ou quando necessitar de uma segunda
opinio (quiser confirmar o estado de um arquivo que j foi verificado pelo
antimalware local);
configure o antimalware para verificar toda e qualquer extenso de

arquivo;
configure o antimalware para verificar automaticamente arquivos

anexados aos e-mails e obtidos pela Internet;
configure o antimalware para verificar automaticamente os discos

rgidos e as unidades removveis (como pen-drives, CDs, DVDs e discos
externos);
mantenha o arquivo de assinaturas sempre atualizado

(configure o antimalware para atualiz-lo automaticamente pela rede, de
preferncia diariamente);
mantenha o antimalware sempre atualizado, com a verso mais

recente e com todas as atualizaes existentes aplicadas;
evite executar simultaneamente diferentes programas

antimalware (eles podem entrar em conflito, afetar o desempenho do
computador e interferir na capacidade de deteco um do outro);
crie um disco de emergncia e o utilize-o quando desconfiar que o

antimalware instalado est desabilitado/comprometido ou que o
Prof. Victor Dalton

Todos os cargos
comportamento do computador est estranho (mais lento, gravando ou
lendo o disco rgido com muita frequncia, etc.).
USO SEGURO DA INTERNET
Ao usar navegadores Web:
mantenha-o atualizado, com a versao mais recente e com todas as

atualizaes aplicadas;
configure-o para verificar automaticamente atualizaes, tanto dele

prprio como de complementos que estejam instalados;
permita a execuo de programas Java e JavaScript, porm

assegure-se de utilizar complementos, como o NoScript (disponvel para
alguns navegadores), para liberar gradualmente a execuo, conforme
necessrio, e apenas em sites confiveis;
permita que programas ActiveX sejam executados apenas quando

vierem de sites conhecidos e confiveis;
seja cuidadoso ao usar cookies caso deseje ter mais privacidade;
caso opte por permitir que o navegador grave as suas senhas, tenha
certeza de cadastrar uma chave mestra e de jamais esquec-la (para que
somente com a chave mestra seja possvel visualizar as outras senhas
salvas pelo navegador);
Ao usar programas leitores de e-mails:
mantenha-o atualizado, com a verso mais recente e com as todas

atualizaes aplicadas;
configure-o para verificar automaticamente atualizaes, tanto dele

prprio como de complementos que estejam instalados;
no utilize-o como navegador Web (desligue o modo de visualizao

no formato HTML);
seja cuidadoso ao usar cookies caso deseje ter mais privacidade;
Prof. Victor Dalton

Todos os cargos
seja cuidadoso ao clicar em links presentes em e-mails (se voc
realmente quiser acessar a pgina do link, digite o endereo diretamente
no seu navegador Web);
desconfie de arquivos anexados a mensagem mesmo que tenham

sido enviados por pessoas ou instituies conhecidas (o endereo do
remetente pode ter sido falsificado e o arquivo anexo pode estar infectado);
antes de abrir um arquivo anexado a mensagem tenha certeza de

que ele no apresenta riscos, verificando-o com ferramentas antimalware;
verifique se seu sistema operacional est configurado para mostrar

a extenso dos arquivos anexados;
desligue as opes que permitem abrir ou executar automaticamente

arquivos ou programas anexados as mensagens;
desligue as opes de execuo de JavaScript e de programas Java;
habilite, se possvel, opes para marcar mensagens suspeitas de

serem fraude;
use sempre criptografia para conexo entre seu leitor de e-mails e

os servidores de e-mail do seu provedor;
(CESPE INSS Tcnico de Seguro Social - 2016) A infeco de um

computador por vrus enviado via correio eletrnico pode se dar quando se abre
arquivo infectado que porventura esteja anexado mensagem eletrnica
recebida.
Se o usurio ABRE um arquivo com vrus, a execuo do arquivo infectado aciona

o vrus. Correta!
Finda essa enxurrada de conhecimento, que tal uma bateria de

exerccios para consolidar o conhecimento?
Prof. Victor Dalton

Todos os cargos
EXERCCIOS COMENTADOS CESPE
1. (CESPE DPU Analista - 2016) Malwares so mecanismos

utilizados para evitar que tcnicas invasivas, como phishing e
spams, sejam instaladas nas mquinas de usurios da internet.
Questo completamente errada. Malware o nome gnero para as

mais diversas espcies de programas maliciosos para computador. Alm
disso, phishing no um programa que pode ser instalado no computador
do usurio, mas sim um nome dado a um tipo de ataque que tem por
finalidade extrair dados da vtima.
2. (CESPE DPU Analista - 2016) Integridade,

confidencialidade e disponibilidade da informao, conceitos
fundamentais de segurana da informao, so adotados na
prtica, nos ambientes tecnolgicos, a partir de um conjuntos de
tecnologias como, por exemplo, criptografia, autenticao de
usurios e equipamentos redundantes.
Os exemplos citados esto alinhados aos princpios fundamentais de

segurana da informao citados. Equipamentos redundantes garantem a
disponibilidade dos recursos, enquanto a autenticao e a criptografia, em
conjunto, podem garantir a integridade e a confidencialidade dos dados.
Correto.
3. (CESPE INSS Tcnico de Seguro Social - 2016) A infeco

de um computador por vrus enviado via correio eletrnico pode se
dar quando se abre arquivo infectado que porventura esteja
anexado mensagem eletrnica recebida.
Prof. Victor Dalton

Todos os cargos
Se o usurio ABRE um arquivo com vrus, a execuo do arquivo
infectado aciona o vrus. Correta!
4. (CESPE TCU Auditor - Tecnologia da Informao - 2015)

Confidencialidade a garantia de que somente pessoas autorizadas
tenham acesso informao, ao passo que integridade a garantia
de que os usurios autorizados tenham acesso, sempre que
necessrio, informao e aos ativos correspondentes.
O conceito de confidencialidade est correto, mas o segundo conceito

o de disponibilidade. Integridade a garantia que a informao no foi
alterada, e permanece ntegra. Errado!

A autoridade de registro, alm de ser a emissora de certificados e
listas de revogao de certificados, um componente obrigatrio
nas PKI e est associada ao registro das autoridades certificadoras.
A autoridade de registro no emite certificados, ela faz o meio de

campo entre a autoridade certificadora (esta sim emite certificados e
listas de certificados revogados) e o usurio. A AR pode estar fisicamente
localizada em uma AC ou ser uma entidade de registro remota. Errado!
6. (CESPE FUB Conhecimentos Bsicos - 2015) Vrus um

programa autossuficiente capaz de se propagar automaticamente
pelas redes enviando cpias de si mesmo de um computador para
outro.
Descrio bem didtica de worm. Vrus no so auto propagveis pela

rede, enviando cpias de si mesmo. Errado!
Prof. Victor Dalton

Todos os cargos
7. (CESPE FUB Nvel Intermedirio - 2015) Certificado

digital de email uma forma de garantir que a mensagem enviada
possui, em anexo, a assinatura grfica do emissor da mensagem.
O Certificado digital de email um arquivo que assegura ao

destinatrio do email que o remetente legtimo. Essa assinatura grfica
fico do examinador para confundir o candidato. Errado!
8. (CESPE FUB Nvel Intermedirio - 2015) A fim de evitar

a infeco de um computador por vrus, deve-se primeiramente
instalar uma verso atualizada de um antivrus, e somente depois
abrir os arquivos suspeitos anexados a emails.
Ateno! No porque voc tem antivrus instalado que voc pode

abrir arquivos suspeitos. Pode ser que o antivrus no identifique o vrus e
voc seja contaminado do mesmo jeito. NO SE RECOMENDA EM HIPTESE
NENHUMA abrir arquivos suspeitos. Errado!
9. (CESPE FUB Conhecimentos Bsicos exceto cargo 2 -

2015) A funo da autoridade certificadora emitir certificado
digital de usurios da Internet.
Uma Autoridade Certificadora (AC) uma entidade, pblica ou privada,

subordinada hierarquia da ICP-Brasil, responsvel por emitir, distribuir,
renovar, revogar e gerenciar certificados digitais. Tem a
responsabilidade de verificar se o titular do certificado possui a chave
privada que corresponde chave pblica que faz parte do certificado. Cria
e assina digitalmente o certificado do assinante, onde o certificado emitido
pela AC representa a declarao da identidade do titular, que possui um
par nico de chaves (pblica/privada). Correto.
Prof. Victor Dalton

Todos os cargos

2015) O phishing um procedimento que possibilita a obteno de
dados sigilosos de usurios da Internet, em geral, por meio de
falsas mensagens de email.
O phishing normalmente o primeiro passo para aplicar alguma fraude

financeira no usurio que cai nele. Via de regra, o objetivo ter acesso a
dados bancrios do usurio para tal finalidade. Correto.
11. (CESPE STJ Tcnico Judicirio - 2015) Atualmente,

um dos procedimentos de segurana mais adotados pelos stios
chamado de captcha. As captchas mais conhecidas so as imagens
distorcidas de um cdigo alfanumrico. Esse mecanismo
considerado bastante seguro, mas no impede totalmente que
alguns programas automatizados preencham formulrios na Web
como se fossem uma pessoa realizando, por exemplo, um cadastro
em um stio de compras.
Comentrio: Polmica! A meu ver, A assertiva no apresenta

incorrees. Temos trs sentenas:
Atualmente, um dos procedimentos de segurana mais adotados pelos

stios chamado de captcha. - Verdade, o captcha (Completely
Automated Public Turing Test to Tell Computers and Humans
Apart - teste de Turing pblico completamente automatizado para
diferenciao entre computadores e humanos) um recurso comum em
sites, em locais que exigem interao humana com preenchimento de
formulrios. Visualize um exemplo de captcha em
http://www.receita.fazenda.gov.br/Aplicacoes/Atrjo/ConsRest/Atual.a
pp/paginas/index.asp. Assim como no site da Receita Federal, rgos
pblicos e sites de empresas adotam este procedimento corriqueiro de
segurana para assegurarem que esto lidando com um humano, e no
com um rob.
Prof. Victor Dalton

Todos os cargos
As captchas mais conhecidas so as imagens distorcidas de um cdigo
alfanumrico. - Tambm verdade. Existem outros tipos de captchas, como
os captchas matemticos ou com imagens, mas os alfanumricos
realmente so os mais tradicionais.
Esse mecanismo considerado bastante seguro, mas no impede

totalmente que alguns programas automatizados preencham formulrios
na Web como se fossem uma pessoa realizando, por exemplo, um cadastro
em um stio de compras. - Tambm verdadeiro. De uma forma genrica,
no existe mecanismo 100% seguro, e para o captcha isto no
diferente. Existem softwares de reconhecimento tico de caracteres (OCR)
que tentam identificar o contedo do captcha e burl-lo. [ATUALIZAO]
Em pesquisas na internet, encontrei algumas correntes que garantem ser
impossvel que um bot burle um site com captcha, estando a o erro da
questo. Nunca se diz nunca em segurana da informao, mas TALVEZ o
erro esteja aqui.
Enfim, entendo que a sentena est correta, mas o gabarito final da

banca foi Errado.
12. (CESPE TCU Tcnico Federal de Controle Externo -

2015) Um dos procedimentos de segurana quanto navegao na
Internet sair das pginas que exigem autenticao por meio dos
botes ou links destinados para esse fim, como, por exemplo, Sair,
Desconectar, Logout etc., e no simplesmente fechar o browser.
Por meio desse procedimento, ns garantimos que a sesso foi

encerrada tanto do lado do usurio quanto do lado do servidor. Relaxar
neste procedimento pode fazer que um terceiro malicioso reabra a janela
fechada em seu navegador logo aps voc sair do computador, por
exemplo, ou mesmo sofrer um ataque mais elaborado como session
hijacking, por exemplo. Correto.

2015) O vrus do tipo stealth, o mais complexo da atualidade, cuja
principal caracterstica a inteligncia, foi criado para agir de
forma oculta e infectar arquivos do Word e do Excel. Embora seja
Prof. Victor Dalton

Todos os cargos
capaz de identificar contedos importantes nesses tipos de
arquivos e, posteriormente, envi-los ao seu criador, esse vrus no
consegue empregar tcnicas para evitar sua deteco durante a
varredura de programas antivrus.
O vrus stealth, realmente o mais complexo da atualidade, emprega

tcnicas para evitar sua deteco durante a varredura de programas
antivrus, como, por exemplo, temporariamente se auto remover da
memria. So os vrus de macro que infectam arquivos do Word/Excel.
Errado!

2015) O firewall capaz de proteger o computador tanto de
ataques de crackers quanto de ataques de vrus.
Esta questo uma das mais polmicas da histria recente CESPE. De

fato, o firewall protege o computador de ataques oriundos da rede (o que
incluem ataques de crackers). Porm, vrus so arquivos que infectam o
computador de forma local. Um firewall nada pode fazer contra um arquivo
que j esteja dentro de uma mquina, ou que venha de um pendrive, por
exemplo.
Porm, a banca considerou a questo como correta, mesmo aps os

recursos. Uma viso benevolente afirmar que o firewall capaz de
proteger de um ataque de vrus quando ele vem pela rede.
Eu NO CONCORDO com essa abordagem, pois uma coisa um

arquivo malicioso vem pela rede, outra coisa quando ele ataca um
computador. O vrus vrus apenas quando ele executado. Enfim, fica
aqui a polmica...
15. (CESPE MPE/PI Cargos 1 a 5 e 7 a 9 - 2011) Caso

computadores estejam conectados apenas a uma rede local, sem
acesso Internet, a instalao de firewall em cada computador da
rede suficiente para evitar a contaminao por vrus de um
computador dessa rede.
Prof. Victor Dalton

Todos os cargos
O CESPE costuma repetir essa ideia. Firewalls no impedem a

contaminao por vrus! Alm do mais, no h necessidade de instalao
de Firewalls em cada computador da empresa. Firewalls devem ser
instalados em pontos da rede que sejam vulnerveis, como, por exemplo,
no proxy que fornece o acesso Internet, ou nos pontos que fornecem
acesso rede sem fio (wireless). Errado!
16. (CESPE MP/ENAP Tcnico Federal de Controle

Externo - 2015) Trackwares so programas que rastreiam a
atividade do sistema, renem informaes do sistema ou rastreiam
os hbitos do usurio, retransmitindo essas informaes a
organizaes de terceiros.
Trackwares so programas que rastreiam a atividade do sistema,

renem informaes do sistema ou rastreiam os hbitos do usurio,
retransmitindo essas informaes a organizaes de terceiros. As
informaes obtidas por esses programas no so confidenciais nem
identificveis. Os programas de trackware so instalados com o
consentimento do usurio e tambm podem estar contidos em pacotes de
outro software instalado pelo usurio. Grandes empresas como Microsoft,
Google e Apple sugerem a instalao de trackwares o tempo todo para o
usurio.
Voc j se deparou com alguma mensagem do tipo Deseja enviar seus

dados anonimamente XXX, para que possamos continuar melhorando
nosso software? Ento. Trackware. Correto.
17. (CESPE TJDFT Analista Judicirio - 2015) Para que se

utilize o firewall do Windows, mecanismo que auxilia contra
acessos no autorizados, a instalao de um equipamento de
hardware na mquina desnecessria.
Prof. Victor Dalton

Todos os cargos
Existem firewalls de software e outros que combinam hardware e
software. O Windows Firewall no exige hardware adicional para funcionar,
sendo ferramenta integrante do Windows. Correto.
18. (CESPE TJDFT Analista Judicirio - 2015) Vrus do

tipo boot, quando instalado na mquina do usurio, impede que o
sistema operacional seja executado corretamente.
Vrus de boot so perigosssimos, pois eles podem impedir at mesmo

que o sistema operacional seja inicializado. Correto.
19. (CESPE TJDFT Analista Judicirio - 2015) Na

segurana da informao, controles fsicos so solues
implementadas nos sistemas operacionais em uso nos
computadores para garantir, alm da disponibilidade das
informaes, a integridade e a confidencialidade destas.
Em segurana da informao, controles fsicos dizem respeito

segurana aplicada s instalaes. Como, por exemplo, uma sala com um
segurana na frente, que s deixa passar pessoas com determinados
crachs, ou mesmo uma porta que s abra com biometria, por meio da
impresso digital da pessoa com nvel de autorizao para entrar l.
Errado.
20. (CESPE TJDFT Analista Judicirio - 2015) As

entidades denominadas certificadoras so entidades reconhecidas
pela ICP Brasil (Infraestrutura de Chaves Pblicas) e autorizadas a
emitir certificados digitais para usurios ou instituies que
desejam utiliz-los.
Autoridades Certificadoras so responsveis pela emisso de

certificados digitais. Correto.
Prof. Victor Dalton

Todos os cargos
21. (CESPE TJDFT Analista Judicirio - 2015) Uma virtual

private network um tipo de rede privada dedicada exclusivamente
para o trfego de dados seguros e que precisa estar segregada dos
backbones pblicos da Internet. Em outras palavras, ela dispensa a
infraestrutura das redes comuns.
Uma rede privada virtual uma rede privativa tunelada dentro da

prpria internet. Ou seja, essa rede no est segregada da internet. Pelo
contrrio, utiliza a mesma estrutura das redes comuns. Porm, seu acesso
exclusivo aos integrantes da VPN. Errado.
22. (CESPE TRE/RS Tcnico - 2015) Para garantir a

segurana da informao, suficiente instalar e manter atualizados
antivrus.
Uma utilizao segura do computador pode ser to ou mais importante

do que apenas ter antivrus atualizados. Errada.
23. (CESPE TRE/RS Tcnico - 2015) No h diferena

seja conceitual, seja prtica entre worms e vrus; ambos so
arquivos maliciosos que utilizam a mesma forma para infectar
outros computadores.
Para Fixar
Vrus Worm
Prof. Victor Dalton

Todos os cargos
computador
computadores
Errada.
24. (CESPE TRE/RS Tcnico - 2015) Rootkits um

arquivo que infecta o computador sem causar maiores danos, ainda
que implique a pichao da tela inicial do navegador.
Rootkit um conjunto de programas e tcnicas que esconde e

assegura a presena de um invasor ou cdigo malicioso em um
computador comprometido. O objetivo do rootkit no obter acesso
privilegiado, mas mant-lo, apagando vestgios da invaso. Causa danos
SIM. Errada.
25. (CESPE TRE/RS Tcnico - 2015) A segurana da

informao em uma organizao depende integralmente de a sua
rea de tecnologia optar pela adoo de recursos de segurana
atualizados, como firewall e antivrus.
Procedimentos de segurana adequados tambm so muito

importantes quando falamos de segurana da informao. De nada adianta
um firewall se a pessoa, por telefone, passa informaes indevidas a
terceiros, por exemplo. Errada.
Prof. Victor Dalton

Todos os cargos
26. (CESPE TRE/RS Tcnico - 2015) Em segurana da
informao, denominam-se engenharia social as prticas utilizadas
para obter acesso a informaes importantes ou sigilosas sem
necessariamente utilizar falhas no software, mas, sim, mediante
aes para ludibriar ou explorar a confiana das pessoas.
A engenharia social compreende prticas utilizadas para obter

acesso a informaes importantes ou sigilosas em organizaes ou
sistemas por meio da enganao ou explorao da confiana das pessoas.
Para isso, o golpista pode se passar por outra pessoa, assumir outra
personalidade, fingir que um profissional de determinada rea, podendo,
inclusive, criar falsos relacionamentos de amizade para obter informaes
estratgicas de uma organizao. uma forma de entrar em organizaes
que no necessita da fora bruta ou de erros em mquinas. Explora as
falhas de segurana das prprias pessoas que, quando no treinadas para
esses ataques, podem ser facilmente manipuladas. Correto.
27. (CESPE ANATEL Analista Administrativo Suporte e

Infraestrutura de TI - 2014) Para que a criptografia de chave
pblica seja considerada segura, uma das premissas que o
conhecimento do algoritmo, o conhecimento de uma das chaves e
a disponibilidade de amostras de texto cifrado sejam, em conjunto,
insuficientes para determinar a outra chave.
Mesmo conhecendo o algoritmo e uma das chaves, normalmente a

pblica, matematicamente invivel descobrir a chave privada para
decifrar uma mensagem. Consolidados estes conceitos, a criptografia de
chave pblica segura. Correto.

Infraestrutura de TI - 2014) A assinatura eletrnica vinculada a um
certificado emitido no mbito da ICP-Brasil tem funo especfica e
restrita de determinar a no violao do contedo de um
documento assinado eletronicamente, e no conduz presuno de
autenticidade do emissor do documento subscrito.
Prof. Victor Dalton

Todos os cargos
Um certificado vlido emitido no mbito da ICP-Brasil tambm
assegura a autenticidade do emissor do documento. Errado!
(CESPE ANTAQ Analista Administrativo Infraestrutura de

TI - 2014) No que diz respeito aos fundamentos de criptografia e
certificao digital, julgue os itens subsecutivos. Nesse contexto, considere
que a sigla AC, sempre que utilizada, se refira a autoridade certificadora.
29. Para a obteno da chave pblica de uma AC, utiliza-se

um esquema de gerenciamento de chaves pblicas, denominado
infraestrutura de chaves pblicas (ICP). No Brasil, a ICP-Brasil
organizada de forma hierrquica, em que uma AC raiz certifica
outras ACs e, posteriormente, estas, bem como a AC raiz, emitem
90% da sentena est correta. O nico equvoco foi insinuar que a AC

raiz tambm emite certificados aos usurios finais. Ela emite somente para
as outras ACs imediatamente abaixo do seu nvel. Errado!
30. Cada certificado digital emitido por uma AC especfico

para determinado usurio final e pode ser revogado a qualquer
momento pela respectiva AC.
Correto.
31. Na criptografia simtrica, a mesma chave compartilhada

entre emissor e receptor utilizada tanto para cifrar quanto para
decifrar um documento. Na criptografia assimtrica, utiliza-se um
par de chaves distintas, sendo a chave pblica do receptor utilizada
pelo emissor para cifrar o documento a ser enviado;
posteriormente, o receptor utiliza sua chave privada para decifrar
o documento.
Explicao bem didtica de ambas as criptografias. Correto.
Prof. Victor Dalton

Todos os cargos
32. A utilizao adequada dos mecanismos de criptografia

permite que se descubra qualquer alterao em um documento por
partes no autorizadas, o que garante a confidencialidade do
documento.
A garantia de no alterao de um documento se relaciona com o

princpio da integridade. Confidencialidade a garantia de que a
informao ser acessada somente por quem de direito. Errado!
33. Para a utilizao de criptografia assimtrica, a

distribuio das chaves pblicas comumente realizada por meio
de certificado digital, que contm o nome do usurio e a sua chave
pblica, sendo a autenticidade dessas informaes garantida por
assinatura digital de uma terceira parte confivel, denominada
Autoridade Certificadora.
A Autoridade Certificadora garante a autenticidade do dono do

Certificado e, ao fornecer a chave pblica, garante que somente o dono do
certificado pode decifrar as mensagens que lhe forem enviadas. Correto.
34. (CESPE ANTAQ Analista Administrativo

Infraestrutura de TI - 2014) O ataque cross-site scripting,
executado quando um servidor web inclui, nos dados de uma
pgina web enviada para um usurio legtimo, um conjunto de
dados que tenham sido previamente recebidos de um usurio
malicioso, permite que se roube de um usurio legtimo senhas,
identificadores de sesses e cookies.
Correto.

Infraestrutura de TI - 2014) Em um ataque de DDoS, que objetiva
deixar inacessvel o recurso computacional para os usurios
Prof. Victor Dalton
Todos os cargos
legtimos, um computador mestre controla milhares de
computadores zumbis que acessam um sistema ao mesmo tempo
(um servidor web, por exemplo), com o objetivo de esgotar seus
recursos.
O DDoS, em virtude da aparncia legtima de requisies de acesso,

uma das formas de ataque mais difceis de serem combatidas. Correto.
36. (CESPE SUFRAMA Analista de Sistemas - 2014) Para

averiguar a integridade de um arquivo de computador a ser
transmitido por um meio inseguro, pode-se gerar um hash antes da
transmisso e verificar o hash aps a transmisso.
O hash, ao ser verificado aps a transmisso, garante a

autenticidade do remetente e a integridade da mensagem. Correto.
37. (CESPE SUFRAMA Analista de Sistemas - 2014) A

utilizao de algoritmos de criptografia garante a disponibilidade e
a autenticidade de informaes em ambientes de tecnologia da
informao.
A criptografia no se relaciona diretamente com a disponibilidade da

informao. Disponibilidade o acesso informao quando deseja-se
acess-la. Isto garantido por meio de infraestrutura, permisses de
acesso... enfim, por outros meios. Errado!
38. (CESPE TCDF Analista de Administrao Pblica -

Sistemas de TI - 2014) A assinatura digital gerada por criptografia
assimtrica mediante a utilizao de uma chave pblica para
codificar a mensagem.
Prof. Victor Dalton

Todos os cargos
Na assinatura digital, utiliza-se a chave privada para assinar a
mensagem. Assim, por meio da chave pblica, constata-se a autenticidade
do autor da mensagem. Errado!

Sistemas de TI - 2014) A tcnica de criptografia de chave nica
utiliza a mesma chave para criptografar e descriptografar uma
mensagem.
Esta a criptografia simtrica. Correto.

Sistemas de TI - 2014) A lista de certificados revogados (LCR) de
uma infraestrutura de chaves pblicas deve ser emitida pela
autoridade certificadora, que tambm responsvel por emitir e
gerenciar certificados digitais.
Responsabilidades da AC. Correto.
41. (CESPE TJ/SE Analista Judicirio Anlise de

Sistemas - 2014) Cavalo de Troia, tambm conhecido como trojan,
um programa malicioso que, assim como os worms, possui
instrues para autorreplicao.
Trojans no so autorreplicantes! Worms so... Errado!

Sistemas - 2014) Spyware um programa ou dispositivo que
monitora as atividades de um sistema e transmite a terceiros
informaes relativas a essas atividades, sem o consentimento do
usurio. Como exemplo, o keylogger um spyware capaz de
armazenar as teclas digitadas pelo usurio no teclado do
computador.
Prof. Victor Dalton

Todos os cargos
Correto.

Sistemas - 2014) Vrus so programas que podem apagar arquivos
importantes armazenados no computador, podendo ocasionar, at
mesmo, a total inutilizao do sistema operacional.
Correto.

Sistemas - 2014) Um tipo especfico de phishing, tcnica utilizada
para obter informaes pessoais ou financeiras de usurios da
Internet, como nome completo, CPF, nmero de carto de crdito e
senhas, o pharming, que redireciona a navegao do usurio para
stios falsos, por meio da tcnica DNS cache poisoning.
Correto.
45. (CESPE TJ/SE Analista Judicirio Suporte Tcnico

em Infraestrutura - 2014) Em sistemas de uso prtico, so usadas
as tcnicas simtricas e as assimtricas combinadas.
normal a utilizao da criptografia assimtrica para trocar a chave

simtrica, quando estabelecidas sesses curtas de comunicao (como, por
exemplo, o acesso a um site com certificado). Correto.

em Infraestrutura - 2014) A confidencialidade pode ser obtida pelo
uso da criptografia simtrica e da assimtrica.
Prof. Victor Dalton

Todos os cargos
Criptografia, em primeiro lugar, preocupa-se com a
confidencialidade da informao. Correto.

em Infraestrutura - 2014) Em conjunto com as funes de resumo
criptogrfico (hash), a criptografia simtrica proporciona
autenticidade.
Seria a criptografia assimtrica. Errado!

em Infraestrutura - 2014) A criptografia assimtrica proporciona o
no repdio, no proporcionando, porm, a autenticidade.
O no-repdio um conceito que vai alm da autenticidade.

Autenticade voc saber quem enviou, no-repdio o autor no poder
negar que foi ele quem enviou. Caso os instrumentos criptogrficos
assegurem o no-repdio, a autenticidade automaticamente assegurada.
Errado!

em Infraestrutura - 2014) As funes de resumo criptogrfico
oferecem garantia probabilstica de inforjabilidade.
Inforjabilidade a impossibilidade de falsificao. O hash assegura

garantia probabilstica de inforjabilidade, na medida em que
matematicamente improvvel adulterar uma mensagem de modo a
produzir exatamente o mesmo hash da mensagem original. Correto.
50. (CESPE TJ/AC Tcnico em Informtica - 2012) O

antispyware um software que se destina especificamente a
detectar e remover spywares, enquanto o antivrus uma
Prof. Victor Dalton

Todos os cargos
ferramenta que permite detectar e remover alguns programas
maliciosos, o que inclui certos tipos de spywares.
Correto.
51. (CESPE TJ/AC Tcnico em Informtica - 2012) Por

serem de difcil deteco, os worms s podem ser combatidos por
ferramentas especficas para esse fim, que se denominam
antiworms.
Worms so combatidos com firewall, que impedem sua propagao

pela rede. Errado!
52. (CESPE TJ/AC Tcnico em Informtica - 2012)

Sistemas de preveno intruso (IPS) e sistemas de deteco de
intruso (IDS) so sistemas concebidos com os mesmos
propsitos. A diferena entre eles encontra-se no pblico-alvo.
Enquanto os IPS so sistemas voltados para os usurios
domsticos, os IDS focam as grandes redes corporativas.
A diferena bsica entre um Intrusion Detection System (IDS)

para um Intrusion Prevention System (IPS) que os sistemas de
preveno so ativos, enquanto os sistemas de deteco so passivos.
Enquanto o IDS informa sobre um potencial ataque, o IPS promove
tentativas de parar o ataque. Um outro grande avano sobre o IDS que
o IPS tem a capacidade de prevenir invases com assinaturas conhecidas,
mas tambm pode impedir alguns ataques no conhecidos, devido a sua
base de dados de comportamentos de ataques genricos. Visto como uma
combinao de IDS e de uma camada de aplicao Firewall para proteo,
o IPS geralmente considerado a gerao seguinte do IDS. Errado!
53. (CESPE TJ/AC Tcnico em Informtica - 2012) As

ferramentas antispam permitem combater o recebimento de
Prof. Victor Dalton

Todos os cargos
mensagens consideradas spam e, em geral, baseiam-se na anlise
do contedo das mensagens.
As ferramentas antispam costumam integrar os webmails e os

aplicativos comerciais de email, como Outlook e Thunderbird. Correto.

recurso de segurana denominado firewall pode ser implementado
por software ou por hardware.
Alm dos aplicativos Firewall, existem solues comerciais de

hardware, de grandes fabricantes comerciais. Correto.
Firewall da CISCO

firewall configurado pelo seu fabricante para que proteja uma
rede local de computadores, com base no perfil dos usurios dessa
rede.
O firewall deve ser configurado pelo administrador da rede, com base

nas necessidades da organizao. Se os usurios da rede desejarem utilizar
torrent, por exemplo, e isso for contrrio ao interesse da organizao, o
firewall pode ser configurado para no permitir a utilizao dessas portas.
Errado!
Prof. Victor Dalton

Todos os cargos
56. (CESPE TJ/AC Tcnico em Informtica - 2012) O uso
de programas antivrus continuamente atualizados uma prtica
suficiente para se evitar que um worm contamine um computador.
Worms no se instalam em arquivos, portanto, no so encontrados

por antivrus. Errado!
57. (CESPE CNJ Tcnico Judicirio: Programao de

Sistemas - 2013) Vrus de macro infectam arquivos criados por
softwares que utilizam linguagem de macro, como as planilhas
eletrnicas Excel e os documentos de texto Word. Os danos variam
de alteraes nos comandos do aplicativo perda total das
informaes.
Por isso que Excel e Word sempre perguntam ao usurio se ele deseja
Habilitar Macros, quando abre algum arquivo que possua esse recurso.
Correto.

Sistemas - 2013) Vrus de script registram aes dos usurios e so
gravados no computador quando da utilizao de um pendrive
infectado.
Vrus de script so comandos maliciosos inseridos em scripts de

pginas web. Quem registra aes dos usurios so os keyloggers, ou os
mouseloggers. Eles so ativados quando uma pgina maliciosa aberta.
Errado!

Sistemas - 2013) A utilizao de sistemas biomtricos dispensa a
segurana de dados de forma isolada, uma vez que o acesso mais
restrito em decorrncia do alto controle de erro, no havendo
necessidade de interveno do programador no testamento dos
dados.
Prof. Victor Dalton

Todos os cargos
Sistemas com biometria, como, por exemplo, uma catraca, exige

segurana na tramitao dos seus dados, bem como pode exigir o teste e
a verificao de eventuais erros, por parte do programador. Errado!

Sistemas - 2013) A proteo aos recursos computacionais inclui
desde aplicativos e arquivos de dados at utilitrios e o prprio
sistema operacional.
Lembrando, ainda, que at mesmo a proteo fsica das instalaes

faz parte das medidas de segurana de um sistema. Correto.

Sistemas - 2013) Para aumentar a segurana de um programa,
deve-se evitar o uso de senhas consideradas frgeis, como o
prprio nome e identificador de usurio, sendo recomendada a
criao de senhas consideradas fortes, ou seja, aquelas que
incluem, em sua composio, letras (maisculas e minsculas),
nmeros e smbolos embaralhados, totalizando, preferencialmente,
mais de seis caracteres.
Correto.

Sistemas - 2013) O princpio da autenticidade garantido quando
o acesso informao concedido apenas a pessoas explicitamente
autorizadas.
Esse o princpio da confidencialidade. O princpio da

autenticidade aquele no qual possvel atestar que a entidade emissora
da mensagem realmente quem diz ser. Errado!
Prof. Victor Dalton

Todos os cargos
63. (CESPE MPE/PI Tcnico Ministerial Informtica -
2011) O firewall do Windows tem funcionalidades apropriadas que
possibilitam o bloqueio de algumas solicitaes de conexo ao
computador pessoal de um usurio.
Quando no existe nenhum firewall instalado no computador, o firewall

do Windows ativo e permite uma srie de configuraes. Correto.
64. (CESPE TJDFT Tcnico Judicirio rea Administrativa

- 2013) Backdoor uma forma de configurao do computador para
que ele engane os invasores, que, ao acessarem uma porta falsa,
sero automaticamente bloqueados.
Backdoor uma falha de segurana que pode existir em um programa

de computador ou sistema operacional, que pode permitir a invaso do
sistema. Errado!
65. (CESPE ANAC Analista Administrativo: Cargo 4

2012) O algoritmo RSA, baseado na construo de chaves pblicas
e privadas, utiliza nmeros primos, e, quanto maior for o nmero
primo escolhido, mais seguro ser o algoritmo.
O RSA um algoritmo de chave assimtrica, e sua segurana est

diretamente relacionada dificuldade de decifrar grandes nmeros primos.
Certa.

2012) A tcnica utilizada para esconder uma mensagem secreta
dentro de uma maior, de modo que no se possa discernir a
presena ou o contedo da mensagem oculta denominada
estenografia.
Prof. Victor Dalton

Todos os cargos
Esteganografia. A cara do CESPE. Errada.

2012) O DES (data encryption standard) triplo utiliza, exatamente,
por trs vezes o algoritmo DES, alm de uma mesma chave de 56
bits para criptografar mensagens.
Opa! O 3-DES realmente usa o algoritmo DES 3 vezes, mas ele usa
trs chaves diferentes, e no a mesma chave. Lembro ainda que a chave
possui 64bits, sendo 56 bits efetivamente utilizados no algoritmo e 8 bits
de paridade. Errada.

2012) A Infraestrutura de Chaves Pblicas Brasileira (ICP-Brasil)
uma cadeia hierrquica e de confiana que viabiliza a emisso de
certificados digitais para a identificao virtual do cidado no
Brasil, conforme os padres e normas estipulados pela CERTISIGN,
qual se subordina hierarquicamente em nvel mundial.
A ICP-Brasil subordinada Presidncia da Repblica, e a CERTISIGN

uma autoridade certificadora de 1 nvel, diretamente subordinada AC-
Raiz. Veja mais em http://www.iti.gov.br/index.php/icp-brasil/estrutura.
Errada.

2012) Assim como pessoas fsicas, as micro e pequenas empresas
tambm podem comprovar sua identidade no meio virtual, realizar
transaes comerciais e financeiras com validade jurdica,
participar de preges eletrnicos e trocar mensagens no mundo
virtual com segurana e agilidade com o e-CPF Simples.
O e-CPF a verso eletrnica do CPF para a pessoa fsica, enquanto o

e-CPF Simples a verso para as micro e pequenas empresas. Certa.
Prof. Victor Dalton

Todos os cargos
70. (CESPE ANCINE Analista Administrativo: rea 2
2013) No que tange autenticao, a confiabilidade trata
especificamente da proteo contra negao, por parte das
entidades envolvidas em uma comunicao, de ter participado de
toda ou parte desta comunicao.
Trata-se do no-repdio. Errada.

2013) A assinatura digital, que uma unidade de dados originada
de uma transformao criptogrfica, possibilita que um
destinatrio da unidade de dados comprove a origem e a
integridade dessa unidade e se proteja contra falsificao.
Certa.
72. (CESPE BACEN Analista - rea 2 2013) A autoridade

certificadora responsvel por divulgar informaes caso o
certificado por ela emitido no seja mais confivel.
Quando um certificado perde a validade ou a sua confiabilidade,

responsabilidade da autoridade certificadora revog-lo. Certa.
73. (CESPE BACEN Analista - rea 2 2013) O uso de

assinatura digital objetiva comprovar a autenticidade e a
integridade de uma informao, sendo a integridade garantida
mediante a codificao de todo o contedo referente assinatura.
As funes de hash servem justamente para no precisar codificar toda

a mensagem, mas sim um resumo dela. Errada.
Prof. Victor Dalton

Todos os cargos
74. (CESPE SERPRO Analista Desenvolvimento de
Sistemas 2013) Um ataque infraestrutura de conectividade de
um banco Internet, interrompendo o acesso a seus servios de
home banking, afeta a disponibilidade.
Se a informao deixa de estar disponvel, a disponibilidade a

caracterstica afetada. Certa.

Sistemas 2013) O furto de um notebook que contenha pronturios
e resultados de exames dos pacientes de um mdico afeta a
confiabilidade das informaes.
Nesse caso, a confidencialidade ser afetada, uma vez que esta

informao estar de posse de pessoas no autorizadas a acessar a
informao. Ainda, se esses pronturios estivessem somente nesse
notebook, a disponibilidade tambm seria afetada. Errada.

Sistemas 2013) Uma assinatura digital consiste na cifrao do
resumo criptogrfico de uma mensagem ou arquivo, com o uso da
chave privada de quem assina.
Certa.
(CESPE CNPQ Cargo 1 - 2011) Sistemas de segurana da

informao so frequentemente comparados a uma corrente com muitos
elos que representam os componentes desenvolvidos, tais como
equipamento, software, protocolos de comunicao de dados, e outros,
incluindo o usurio humano. Na literatura sobre segurana da informao,
o usurio humano frequentemente referenciado como o elo mais fraco.
Internet: <www.cienciasecognicao.org> (com adaptaes).
Prof. Victor Dalton

Todos os cargos
Tendo como referncia o texto acima, julgue os prximos itens,
referentes ao comportamento do usurio quanto segurana da
informao.
77. A fim de se preservar a integridade, a confidencialidade

e a autenticidade das informaes corporativas, necessrio que
os empregados e os contratados do rgo sejam treinados, de
forma que se conscientizem da importncia da segurana da
informao e se familiarizem com os procedimentos adequados na
ocorrncia de incidentes de segurana.
De nada adianta a utilizao das mais complexas tecnologias para a

proteo da informao se as pessoas responsveis por sua segurana so
mal treinadas e/ou mal orientadas. Correto.
78. O fato de pesquisa de Alan S. Brown (Generating and

Remembering Passwords 2004) mostrar que mais da metade dos
entrevistados guardavam cpias escritas de suas senhas confirma
que o usurio humano o elo mais fraco do processo de
segurana da informao, situao que compensada pela
utilizao combinada de firewalls, anti-vrus ou pela utilizao dos
UPP (user protectors passwords).
Como afirmado no item anterior, no existe compensao para a

falha humana. Firewalls e antivrus no protegem a mquina de um acesso
indevido realizado por um intruso que apoderou-se da senha de um
usurio, porque estava escrita em um papel, ou por qualquer outro motivo.
UPP (user protectors passwords) no existe. Errado!
79. (CESPE SESA/ES Todos os cargos - 2011) O

certificado digital uma das tecnologias que permite identificar se
um stio de informaes reconhecido pelos registradores de
domnio da Internet, se seu endereo vlido e se garantida a
segurana dos usurios que baixarem arquivos gerados por
certificados autoassinados.
Prof. Victor Dalton

Todos os cargos
O Certificado Digital , na prtica, um arquivo de computador que

contm um conjunto de informaes referentes a entidade para o qual o
certificado foi emitido (seja uma empresa, pessoa fsica ou computador)
mais a chave pblica referente chave privada que acredita-se ser de
posse unicamente da entidade especificada no certificado.
Voltando questo, ela at comea correta, uma vez que o Certificado
Digital, como consequncia, valida o site que est sendo acessado como
legtimo. Mas garantida a segurana dos usurios que baixarem arquivos
gerados por certificados autoassinados um erro. Certificados que no
so assinados por autoridades certificadoras so perigosos, pois podem ser
utilizados para fins maliciosos. Recomendo a leitura de
http://cartilha.cert.br/criptografia/ para complementar seus estudos, caso
voc ainda tenha dvidas. Errado!
80. (CESPE SESA/ES Todos os cargos - 2011) Uma das

formas de se aplicar o conceito de disponibilidade da informao
por meio da realizao de cpias de segurana, que contribuem
para a restaurao dos dados ao seu ponto original (de quando foi
feita a cpia), o que reduz as chances de perda de informao em
situaes de panes, roubos, queda de energia, entre outras.
Disponibilidade da informao relaciona-se com a informao estar

sempre disponvel, quando necessrio. Logo, a criao de cpias de
segurana um procedimento que colabora com a manuteno desse
princpio. Correto.
81. (CESPE SSP/CE Cargos 1 a 5 e 7 a 9 - 2012) O

antivrus, para identificar um vrus, faz uma varredura no cdigo do
arquivo que chegou e compara o seu tamanho com o tamanho
existente na tabela de alocao de arquivo do sistema operacional.
Caso encontre algum problema no cdigo ou divergncia de
tamanho, a ameaa bloqueada.
O antivrus compara o cdigo de um arquivo com padres maliciosos

conhecidos, em sua base de dados. Por isso a importncia de manter os
Prof. Victor Dalton
Todos os cargos
antivrus sempre atualizados, de modo que ele saiba reconhecer os vrus
mais novos. Errada!
82. (CESPE SEGER/ES Todos os cargos - 2010) Entre as

caractersticas de um certificado digital inclui-se a existncia de um
emissor, do prazo de validade e de uma assinatura digital.
O emissor do certificado a Autoridade Certificadora. O prazo de

validade o perodo para o qual o certificado tem valor e a assinatura
digital um recurso que permite a assinatura de uma mensagem pelo
emissor. Ela feita com a chave privada do emissor, e, ao utilizar a chave
pblica para decifrar, verificada a autenticidade do emissor, bem como a
integridade da mensagem enviada. Correto.
83. (CESPE SEGER/ES Todos os cargos - 2010) O uso do

protocolo https assegura que as informaes trafegadas utilizem
certificados digitais.
Sites com https utilizam certificados digitais. Ateno: sites cujos

certificados foram assinados por autoridades certificadoras possuem um
cadeado exibido pelo navegador de Internet. Em caso de certificados
autoassinados, o navegador de internet emite um aviso, e pergunta se voc
deseja continuar navegando pelo referido site. Correto.
84. (CESPE Assembleia Legislativa/CE Cargo 10 - 2011)

Worms so programas que se espalham em uma rede, criam cpias
funcionais de si mesmo e infectam outros computadores.
Os worms so autorreplicantes. Certo.

O adware, tipo de firewall que implementa segurana de acesso s
Prof. Victor Dalton

Todos os cargos
redes de computadores que fazem parte da Internet, evita que
essas redes sejam invadidas indevidamente.
Adware no firewall! um malware, relacionado publicidade.

Errado!
86. (CESPE Corpo de Bombeiros /DF Todas as reas -

2011) Phishing um programa utilizado para combater spyware,
adware e keyloggers, entre outros programas espies.
Phishing uma fraude virtual que normalmente chega por e-mail,

com a tentativa de convencer o usurio de que ele precisa preencher um
formulrio com seus dados ou clicar em um determinado link para baixar
um arquivo, que na verdade um vrus, e o site, se acessado, roubar
todos os dados digitados. Errado!

2011) Os procedimentos de backup devem ser executados com
frequncia para se evitar a perda de dados. Uma ao recomendvel
manter uma cpia das informaes crticas em local diferente do
computador em que essas informaes se encontrem.
A norma ISO 27002 recomenda esse tipo de procedimento. Correto.
88. (CESPE Cmara dos Deputados 2012 Analista

Legislativo: Tcnica Legislativa - 2012) O termo Spam, consiste de
emails no solicitados que so enviados, normalmente, apenas para
uma nica pessoa e tm sempre contedo comercial. Essa
mensagem no transporta vrus de computador ou links na
Internet.
Prof. Victor Dalton

Todos os cargos
Inverta tudo. Spam um tipo de email enviado em massa, pode ter
contedo comercial, pornogrfico, bancrio, etc. Ainda, pode transportar
vrus ou indicar links maliciosos na internet. Errado!

Legislativo: Tcnica Legislativa - 2012) A finalidade do uso de
certificados digitais em pginas na Internet, por meio de HTTPS,
evitar que o contedo total dos dados de camada de aplicao, se
capturados durante o trfego, sejam identificados por quem o
capturou.
Com HTTPS, o contedo enviado de maneira criptografada, utilizando

os princpios de chave pblica e privada. Certo.

Legislativo: Tcnica Legislativa - 2012) O termo phishing designa a
tcnica utilizada por um fraudador para obter dados pessoais de
usurios desavisados ou inexperientes, ao empregar informaes
que parecem ser verdadeiras com o objetivo de enganar esses
usurios.
Correto.
91. (CESPE ANAC Tcnico em Regulao reas 1,3 e 4 -

2012) Um firewall pessoal uma opo de ferramenta preventiva
contra worms.
Worms procuram replicar-se pela rede sem conhecimento do usurio.

Uma computador com firewall pode impedir a propagao de worms, bem
como o seu recebimento. Correto.

2012) Com o certificado digital que emitido pelo prprio titular do
Prof. Victor Dalton

Todos os cargos
certificado, podem-se realizar transaes seguras com qualquer
empresa que oferea servios pela Internet.
Certificados autoassinados podem pertencer a sites maliciosos.

Lembre-se disso! Errado!
93. (CESPE FNDE Tcnico em Financiamento e Execuo

de Programas e Projetos Educacionais - 2012) Trojans ou cavalos
de troia so programas capazes de multiplicar-se mediante a
infeco de outros programas maiores. Eles no tm o objetivo de
controlar o sistema, porm tendem a causar efeitos indesejados. J
os worms causam efeitos altamente destrutivos e irreparveis. Ao
contrrio dos trojans, os worms utilizam o email como principal
canal de disseminao, mas no possuem a capacidade de produzir
cpias de si mesmos ou de algumas de suas partes.
Os conceitos de worms e trojans esto invertidos, no comeo. Os

Worms se multiplicam, enquanto os Trojans podem ter efeitos altamente
destrutivos. Trojans podem ser enviados por email, mas esse o ponto
forte dos Worms, que, alm disso, produzem cpias de si mesmo, ou de
algumas partes. Errado!
94. (CESPE FNDE Especialista em Financiamento e

Execuo de Programas e Projetos Educacionais - 2012) Como
forma de garantir a disponibilidade de informao mantida em
meios eletrnicos, deve-se fazer o becape de arquivos dos dados
originais. Normalmente, sempre que o procedimento de becape
executado, o sistema operacional do equipamento faz uma cpia da
totalidade dos dados em meio de armazenamento distinto do
utilizado para guarda dos dados originais.
Apenas a parte final. O Sistema Operacional, por padro, faz backup

no prprio disco rgido. Para fazer backup em outra mdia, necessrio a
interveno do usurio. Errado!
Prof. Victor Dalton

Todos os cargos
Execuo de Programas e Projetos Educacionais - 2012) Embora
sejam considerados programas espies, os spywares tambm so
desenvolvidos por empresas com o objetivo de coletar legalmente
informaes acessveis de usurios.
Quando voc autoriza a Microsoft, ou outra empresa, a enviar dados

de maneira annima para ajudar a aprimorar o software, tal tarefa
realizada por um spyware legtimo, chamado tambm de trackware.
Correto.

Execuo de Programas e Projetos Educacionais - 2012) Para
proteger um computador contra os efeitos de um worm, pode-se
utilizar, como recurso, um firewall pessoal.
O firewall ajuda a proteger contra worms, pois fecha portas que eles
utilizam para se reproduzir, pela rede. Correto.
97. (CESPE Cmara dos Deputados Analista Legislativo:

Tcnico em Material e Patrimnio - 2012) Para garantir que os
computadores de uma rede local no sofram ataques vindos da
Internet, necessria a instalao de firewalls em todos os
computadores dessa rede.
Para proteger uma rede de computadores de ataques oriundos da

Internet, basta a instalao de um firewall no computador que realiza o
Proxy da rede, ou seja, o computador que centraliza o acesso externo da
rede. Errado!

Tcnico em Material e Patrimnio - 2012) Ao se realizar um
procedimento de backup de um conjunto arquivos e pastas
selecionados, possvel que o conjunto de arquivos e pastas gerado
Prof. Victor Dalton

Todos os cargos
por esse procedimento ocupe menos espao de memria que aquele
ocupado pelo conjunto de arquivos e pastas de que se fez o backup.
O backup pode empregar algum mtodo de compresso, diminuindo o

espao em disco ocupado originalmente. Correto.

Tcnico em Material e Patrimnio - 2012) Os worms, assim como
os vrus, infectam computadores, mas, diferentemente dos vrus,
eles no precisam de um programa hospedeiro para se propagar.
Worms se reproduzem sem a necessidade de um programa

hospedeiro. Correto.
Para Fixar
Vrus Worm
computador
computadores
Prof. Victor Dalton

Todos os cargos
100. (CESPE TRE/RJ Conhecimentos Bsicos cargos 1 a 7
2012) possvel executar um ataque de desfigurao
(defacement) que consiste em alterar o contedo da pgina web
de um stio aproveitando-se da vulnerabilidade da linguagem de
programao ou dos pacotes utilizados no desenvolvimento de
aplicao web.
Os ataques de defacement so aqueles que modificam sites

legtimos. Sites de instituies pblicas so alvos constantes desse tipo de
invaso, utilizada por grupos hackers para fazer protestos de cunho
poltico. Correto.

2012) Nos procedimentos de backup, recomendvel que as
mdias do backup sejam armazenadas no mesmo local dos dados de
origem, a fim de tornar a recuperao dos dados mais rpida e
eficiente.
Preconiza-se guardar as mdias de backup em local distinto dos dados

de origem, para evitar que ambos sejam atingidos por um mesmo desastre,
como um incndio ou roubo. Errado!
102. (CESPE TJ/AC Tcnico em Informtica - 2012) A

execuo dos procedimentos de segurana da informao
estabelecida em uma empresa compete ao comit responsvel pela
gesto da segurana da informao.
A execuo dos procedimentos de segurana da informao de

responsabilidade de TODOS, da diretoria executiva ao estagirio mais novo
da organizao. Errado!

atualizao automtica on-line do sistema operacional uma
Prof. Victor Dalton

Todos os cargos
prtica que garante que o computador no sofrer infeco por
bots.
Atualizar o sistema operacional certamente colabora para a correo

de falhas de segurana. Mas garantir um verbo muito forte, e que no se
aplica questo. Errado!
104. (CESPE TJ/AC Tcnico em Informtica - 2012) Para

garantir a confidencialidade de informaes crticas de uma
empresa, devem ser estabelecidos procedimentos no s para a
guarda e disponibilizao dessas informaes, mas tambm para o
seu descarte.
Confidencialidade diz respeito garantia que somente as pessoas

autorizadas podem visualizar a informao. E, naturalmente, medidas
devem ser tomadas desde a gerao da informao at o seu descarte.
Documento sigiloso na lixeira, sem triturar, pode ser facilmente lido, no
mesmo? Correto.

- 2013) Autenticidade um critrio de segurana para a garantia
do reconhecimento da identidade do usurio que envia e recebe
uma informao por meio de recursos computacionais.
Autenticidade um critrio de segurana para a garantia do

reconhecimento da identidade somente do usurio que envia uma
informao por meio de recursos computacionais. Errado!

- 2013) Nas empresas, um mesmo endereo IP , geralmente,
compartilhado por um conjunto de computadores, sendo
recomendvel, por segurana, que dez computadores, no mximo,
tenham o mesmo endereo IP.
Prof. Victor Dalton

Todos os cargos
Primeiro, vamos destrinchar alguns conceitos. Todo computador, em
uma rede, possui um nico endereo IP. Entretanto, nem sempre o
endereo IP dessa rede ser o endereo IP que voc possuir perante a
internet. Se voc estiver conectado em uma rede corporativa, ou mesmo
estiver em uma rede comum, com um roteador, poder fazer essa
verificao. Em seu computador, verifique as propriedades de conexo da
sua rede, em uma tela similar a esta (exemplo para Windows):
Ao clicar no boto Detalhes, dentre vrias informaes, voc poder

ver o Endereo IPv4, que o seu endereo IP em sua rede interna, e o
Gateway Padro, que o endereo IP da sua porta de acesso Internet.
Nesse tipo de rede, o Gateway realiza uma operao chamada

Network Address Translation (NAT). Na prtica, isso quer dizer que o
Gateway (ou o seu roteador) adota um outro endereo IP, de forma a
identific-lo unicamente em toda a internet.
Mas por que isso acontece? Para que no haja necessidade de um IP

distinto para cada mquina dentro de uma rede interna. Tente verificar
voc mesmo: acesse www.meuenderecoip.com no seu nevegador de
internet, e esse site te dir o endereo IP que voc visto na internet. Ser
o endereo IP da internet do seu roteador, ou do seu gateway. E se voc
puder fazer o mesmo teste em outro computador vizinho, na mesma rede,
vai verificar que o endereo IP na internet ser o mesmo, apesar das
propriedades da rede local mostrarem diferentes endereos de rede
interna.
Logo, a questo est correta? No, pois no existe esse limite de dez
computadores por roteador, ou gateway. Teoricamente no existe limite,
Prof. Victor Dalton
Todos os cargos
mas, na prtica, as empresas fazem um balanceamento de carga nos seus
gateways, pois a rede pode ficar congestionada se muitas mquinas
utilizarem um nico gateway, dependendo do tipo de demanda que as
mquinas fazem da internet (se pra ver emails, realizar
videoconferncias, baixar arquivos muito grandes, cada uso exige a
internet de uma forma diferente). Errado!

- 2013) A criptografia, mecanismo de segurana auxiliar na
preservao da confidencialidade de um documento, transforma,
por meio de uma chave de codificao, o texto que se pretende
proteger.
Definio de criptografia. Correto.
Prof. Victor Dalton

Todos os cargos
CONSIDERAES FINAIS
E finalmente encerramos!
E ento, concorda comigo? A gente comea a ver criptografia como

quem no quer nada, e descobre que a utilizamos com bastante frequncia.
Quando acessamos o homebanking, fazemos uma compra online... repare
no cadeado ao lado do https. Temos ali criptografia assimtrica,
assinatura digital, certificado digital... tudo no nosso dia a dia.
E os spams, que incomodam (e muito) nossa caixa de emails?

Tentativas dirias de phishing, quem no passa por isso? Tem algum
worm no seu computador?
J deu uma olhada na lista de aplicativos instalada em seu PC? No

existe, nessa lista, nenhum aplicativo que voc no conhea, ou no sabe
para que serve? Pode ser um Cavalo de Tria!
Ainda, deixo a dica abaixo para a Cartilha de Segurana para

Internet, do Centro de Estudos, Respostas e Tratamento de
Incidentes de Segurana do Brasil (Cert.br). Grande parte da nossa
aula de hoje veio daqui, e as bancas tambm costumam extrair suas
questes de prova dela.
http://cartilha.cert.br/livro/cartilha-seguranca-internet.pdf
Faam uma EXCELENTE prova! Que venha o TRE-PE!
Victor Dalton
Prof. Victor Dalton

Todos os cargos
LISTA DE EXERCCIOS CESPE
1. (CESPE DPU Analista - 2016) Malwares so mecanismos

utilizados para evitar que tcnicas invasivas, como phishing e
spams, sejam instaladas nas mquinas de usurios da internet.
2. (CESPE DPU Analista - 2016) Integridade,

confidencialidade e disponibilidade da informao, conceitos
fundamentais de segurana da informao, so adotados na
prtica, nos ambientes tecnolgicos, a partir de um conjuntos de
tecnologias como, por exemplo, criptografia, autenticao de
usurios e equipamentos redundantes.
3. (CESPE INSS Tcnico do Seguro Social - 2016) A infeco

de um computador por vrus enviado via correio eletrnico pode se
dar quando se abre arquivo infectado que porventura esteja
anexado mensagem eletrnica recebida.

Confidencialidade a garantia de que somente pessoas autorizadas
tenham acesso informao, ao passo que integridade a garantia
de que os usurios autorizados tenham acesso, sempre que
necessrio, informao e aos ativos correspondentes.

A autoridade de registro, alm de ser a emissora de certificados e
listas de revogao de certificados, um componente obrigatrio
nas PKI e est associada ao registro das autoridades certificadoras.
6. (CESPE FUB Conhecimentos Bsicos - 2015) Vrus um

programa autossuficiente capaz de se propagar automaticamente
pelas redes enviando cpias de si mesmo de um computador para
outro.
Prof. Victor Dalton
Todos os cargos
7. (CESPE FUB Nvel Intermedirio - 2015) Certificado

digital de email uma forma de garantir que a mensagem enviada
possui, em anexo, a assinatura grfica do emissor da mensagem.
8. (CESPE FUB Nvel Intermedirio - 2015) A fim de evitar

a infeco de um computador por vrus, deve-se primeiramente
instalar uma verso atualizada de um antivrus, e somente depois
abrir os arquivos suspeitos anexados a emails.

2015) A funo da autoridade certificadora emitir certificado
digital de usurios da Internet.

2015) O phishing um procedimento que possibilita a obteno de
dados sigilosos de usurios da Internet, em geral, por meio de
falsas mensagens de email.
11. (CESPE STJ Tcnico Judicirio - 2015) Atualmente,

um dos procedimentos de segurana mais adotados pelos stios
chamado de captcha. As captchas mais conhecidas so as imagens
distorcidas de um cdigo alfanumrico. Esse mecanismo
considerado bastante seguro, mas no impede totalmente que
alguns programas automatizados preencham formulrios na Web
como se fossem uma pessoa realizando, por exemplo, um cadastro
em um stio de compras.

2015) Um dos procedimentos de segurana quanto navegao na
Internet sair das pginas que exigem autenticao por meio dos
botes ou links destinados para esse fim, como, por exemplo, Sair,
Desconectar, Logout etc., e no simplesmente fechar o browser.
Prof. Victor Dalton

Todos os cargos

2015) O vrus do tipo stealth, o mais complexo da atualidade, cuja
principal caracterstica a inteligncia, foi criado para agir de
forma oculta e infectar arquivos do Word e do Excel. Embora seja
capaz de identificar contedos importantes nesses tipos de
arquivos e, posteriormente, envi-los ao seu criador, esse vrus no
consegue empregar tcnicas para evitar sua deteco durante a
varredura de programas antivrus.

2015) O firewall capaz de proteger o computador tanto de
ataques de crackers quanto de ataques de vrus.
15. (CESPE MPE/PI Cargos 1 a 5 e 7 a 9 - 2011) Caso

computadores estejam conectados apenas a uma rede local, sem
acesso Internet, a instalao de firewall em cada computador da
rede suficiente para evitar a contaminao por vrus de um
computador dessa rede.
16. (CESPE MP/ENAP Tcnico Federal de Controle

Externo - 2015) Trackwares so programas que rastreiam a
atividade do sistema, renem informaes do sistema ou rastreiam
os hbitos do usurio, retransmitindo essas informaes a
organizaes de terceiros.
17. (CESPE TJDFT Analista Judicirio - 2015) Para que se

utilize o firewall do Windows, mecanismo que auxilia contra
acessos no autorizados, a instalao de um equipamento de
hardware na mquina desnecessria.
18. (CESPE TJDFT Analista Judicirio - 2015) Vrus do

tipo boot, quando instalado na mquina do usurio, impede que o
sistema operacional seja executado corretamente.
Prof. Victor Dalton

Todos os cargos
19. (CESPE TJDFT Analista Judicirio - 2015) Na

segurana da informao, controles fsicos so solues
implementadas nos sistemas operacionais em uso nos
computadores para garantir, alm da disponibilidade das
informaes, a integridade e a confidencialidade destas.
20. (CESPE TJDFT Analista Judicirio - 2015) As

entidades denominadas certificadoras so entidades reconhecidas
pela ICP Brasil (Infraestrutura de Chaves Pblicas) e autorizadas a
emitir certificados digitais para usurios ou instituies que
desejam utiliz-los.
21. (CESPE TJDFT Analista Judicirio - 2015) Uma virtual

private network um tipo de rede privada dedicada exclusivamente
para o trfego de dados seguros e que precisa estar segregada dos
backbones pblicos da Internet. Em outras palavras, ela dispensa a
infraestrutura das redes comuns.
22. (CESPE TRE/RS Tcnico - 2015) Para garantir a

segurana da informao, suficiente instalar e manter atualizados
antivrus.
23. (CESPE TRE/RS Tcnico - 2015) No h diferena

seja conceitual, seja prtica entre worms e vrus; ambos so
arquivos maliciosos que utilizam a mesma forma para infectar
outros computadores.
24. (CESPE TRE/RS Tcnico - 2015) Rootkits um

arquivo que infecta o computador sem causar maiores danos, ainda
que implique a pichao da tela inicial do navegador.
Prof. Victor Dalton

Todos os cargos
25. (CESPE TRE/RS Tcnico - 2015) A segurana da
informao em uma organizao depende integralmente de a sua
rea de tecnologia optar pela adoo de recursos de segurana
atualizados, como firewall e antivrus.
26. (CESPE TRE/RS Tcnico - 2015) Em segurana da

informao, denominam-se engenharia social as prticas utilizadas
para obter acesso a informaes importantes ou sigilosas sem
necessariamente utilizar falhas no software, mas, sim, mediante
aes para ludibriar ou explorar a confiana das pessoas.

Infraestrutura de TI - 2014) Para que a criptografia de chave
pblica seja considerada segura, uma das premissas que o
conhecimento do algoritmo, o conhecimento de uma das chaves e
a disponibilidade de amostras de texto cifrado sejam, em conjunto,
insuficientes para determinar a outra chave.

Infraestrutura de TI - 2014) A assinatura eletrnica vinculada a um
certificado emitido no mbito da ICP-Brasil tem funo especfica e
restrita de determinar a no violao do contedo de um
documento assinado eletronicamente, e no conduz presuno de
autenticidade do emissor do documento subscrito.
(CESPE ANTAQ Analista Administrativo Infraestrutura de

TI - 2014) No que diz respeito aos fundamentos de criptografia e
certificao digital, julgue os itens subsecutivos. Nesse contexto, considere
que a sigla AC, sempre que utilizada, se refira a autoridade certificadora.
29. Para a obteno da chave pblica de uma AC, utiliza-se

um esquema de gerenciamento de chaves pblicas, denominado
infraestrutura de chaves pblicas (ICP). No Brasil, a ICP-Brasil
organizada de forma hierrquica, em que uma AC raiz certifica
outras ACs e, posteriormente, estas, bem como a AC raiz, emitem
Prof. Victor Dalton

Todos os cargos
30. Cada certificado digital emitido por uma AC especfico

para determinado usurio final e pode ser revogado a qualquer
momento pela respectiva AC.
31. Na criptografia simtrica, a mesma chave compartilhada

entre emissor e receptor utilizada tanto para cifrar quanto para
decifrar um documento. Na criptografia assimtrica, utiliza-se um
par de chaves distintas, sendo a chave pblica do receptor utilizada
pelo emissor para cifrar o documento a ser enviado;
posteriormente, o receptor utiliza sua chave privada para decifrar
o documento.
32. A utilizao adequada dos mecanismos de criptografia

permite que se descubra qualquer alterao em um documento por
partes no autorizadas, o que garante a confidencialidade do
documento.
33. Para a utilizao de criptografia assimtrica, a

distribuio das chaves pblicas comumente realizada por meio
de certificado digital, que contm o nome do usurio e a sua chave
pblica, sendo a autenticidade dessas informaes garantida por
assinatura digital de uma terceira parte confivel, denominada
Autoridade Certificadora.

Infraestrutura de TI - 2014) O ataque cross-site scripting,
executado quando um servidor web inclui, nos dados de uma
pgina web enviada para um usurio legtimo, um conjunto de
dados que tenham sido previamente recebidos de um usurio
malicioso, permite que se roube de um usurio legtimo senhas,
identificadores de sesses e cookies.

Infraestrutura de TI - 2014) Em um ataque de DDoS, que objetiva
Prof. Victor Dalton
Todos os cargos
deixar inacessvel o recurso computacional para os usurios
legtimos, um computador mestre controla milhares de
computadores zumbis que acessam um sistema ao mesmo tempo
(um servidor web, por exemplo), com o objetivo de esgotar seus
recursos.
36. (CESPE SUFRAMA Analista de Sistemas - 2014) Para

averiguar a integridade de um arquivo de computador a ser
transmitido por um meio inseguro, pode-se gerar um hash antes da
transmisso e verificar o hash aps a transmisso.
37. (CESPE SUFRAMA Analista de Sistemas - 2014) A

utilizao de algoritmos de criptografia garante a disponibilidade e
a autenticidade de informaes em ambientes de tecnologia da
informao.

Sistemas de TI - 2014) A assinatura digital gerada por criptografia
assimtrica mediante a utilizao de uma chave pblica para
codificar a mensagem.

Sistemas de TI - 2014) A tcnica de criptografia de chave nica
utiliza a mesma chave para criptografar e descriptografar uma
mensagem.

Sistemas de TI - 2014) A lista de certificados revogados (LCR) de
uma infraestrutura de chaves pblicas deve ser emitida pela
autoridade certificadora, que tambm responsvel por emitir e
gerenciar certificados digitais.

Sistemas - 2014) Cavalo de Troia, tambm conhecido como trojan,
Prof. Victor Dalton

Todos os cargos
um programa malicioso que, assim como os worms, possui
instrues para autorreplicao.

Sistemas - 2014) Spyware um programa ou dispositivo que
monitora as atividades de um sistema e transmite a terceiros
informaes relativas a essas atividades, sem o consentimento do
usurio. Como exemplo, o keylogger um spyware capaz de
armazenar as teclas digitadas pelo usurio no teclado do
computador.

Sistemas - 2014) Vrus so programas que podem apagar arquivos
importantes armazenados no computador, podendo ocasionar, at
mesmo, a total inutilizao do sistema operacional.

Sistemas - 2014) Um tipo especfico de phishing, tcnica utilizada
para obter informaes pessoais ou financeiras de usurios da
Internet, como nome completo, CPF, nmero de carto de crdito e
senhas, o pharming, que redireciona a navegao do usurio para
stios falsos, por meio da tcnica DNS cache poisoning.

em Infraestrutura - 2014) Em sistemas de uso prtico, so usadas
as tcnicas simtricas e as assimtricas combinadas.

em Infraestrutura - 2014) A confidencialidade pode ser obtida pelo
uso da criptografia simtrica e da assimtrica.

em Infraestrutura - 2014) Em conjunto com as funes de resumo
Prof. Victor Dalton

Todos os cargos
criptogrfico (hash), a criptografia simtrica proporciona
autenticidade.

em Infraestrutura - 2014) A criptografia assimtrica proporciona o
no repdio, no proporcionando, porm, a autenticidade.

em Infraestrutura - 2014) As funes de resumo criptogrfico
oferecem garantia probabilstica de inforjabilidade.

antispyware um software que se destina especificamente a
detectar e remover spywares, enquanto o antivrus uma
ferramenta que permite detectar e remover alguns programas
maliciosos, o que inclui certos tipos de spywares.
51. (CESPE TJ/AC Tcnico em Informtica - 2012) Por

serem de difcil deteco, os worms s podem ser combatidos por
ferramentas especficas para esse fim, que se denominam
antiworms.
52. (CESPE TJ/AC Tcnico em Informtica - 2012)

Sistemas de preveno intruso (IPS) e sistemas de deteco de
intruso (IDS) so sistemas concebidos com os mesmos
propsitos. A diferena entre eles encontra-se no pblico-alvo.
Enquanto os IPS so sistemas voltados para os usurios
domsticos, os IDS focam as grandes redes corporativas.
53. (CESPE TJ/AC Tcnico em Informtica - 2012) As

ferramentas antispam permitem combater o recebimento de
mensagens consideradas spam e, em geral, baseiam-se na anlise
do contedo das mensagens.
Prof. Victor Dalton

Todos os cargos
recurso de segurana denominado firewall pode ser implementado
por software ou por hardware.

firewall configurado pelo seu fabricante para que proteja uma
rede local de computadores, com base no perfil dos usurios dessa
rede.
56. (CESPE TJ/AC Tcnico em Informtica - 2012) O uso

de programas antivrus continuamente atualizados uma prtica
suficiente para se evitar que um worm contamine um computador.

Sistemas - 2013) Vrus de macro infectam arquivos criados por
softwares que utilizam linguagem de macro, como as planilhas
eletrnicas Excel e os documentos de texto Word. Os danos variam
de alteraes nos comandos do aplicativo perda total das
informaes.

Sistemas - 2013) Vrus de script registram aes dos usurios e so
gravados no computador quando da utilizao de um pendrive
infectado.

Sistemas - 2013) A utilizao de sistemas biomtricos dispensa a
segurana de dados de forma isolada, uma vez que o acesso mais
restrito em decorrncia do alto controle de erro, no havendo
necessidade de interveno do programador no testamento dos
dados.

Sistemas - 2013) A proteo aos recursos computacionais inclui
Prof. Victor Dalton

Todos os cargos
desde aplicativos e arquivos de dados at utilitrios e o prprio
sistema operacional.

Sistemas - 2013) Para aumentar a segurana de um programa,
deve-se evitar o uso de senhas consideradas frgeis, como o
prprio nome e identificador de usurio, sendo recomendada a
criao de senhas consideradas fortes, ou seja, aquelas que
incluem, em sua composio, letras (maisculas e minsculas),
nmeros e smbolos embaralhados, totalizando, preferencialmente,
mais de seis caracteres.

Sistemas - 2013) O princpio da autenticidade garantido quando
o acesso informao concedido apenas a pessoas explicitamente
autorizadas.
63. (CESPE MPE/PI Tcnico Ministerial Informtica -

2011) O firewall do Windows tem funcionalidades apropriadas que
possibilitam o bloqueio de algumas solicitaes de conexo ao
computador pessoal de um usurio.

- 2013) Backdoor uma forma de configurao do computador para
que ele engane os invasores, que, ao acessarem uma porta falsa,
sero automaticamente bloqueados.

2012) O algoritmo RSA, baseado na construo de chaves pblicas
e privadas, utiliza nmeros primos, e, quanto maior for o nmero
primo escolhido, mais seguro ser o algoritmo.
Prof. Victor Dalton

Todos os cargos
2012) A tcnica utilizada para esconder uma mensagem secreta
dentro de uma maior, de modo que no se possa discernir a
presena ou o contedo da mensagem oculta denominada
estenografia.

2012) O DES (data encryption standard) triplo utiliza, exatamente,
por trs vezes o algoritmo DES, alm de uma mesma chave de 56
bits para criptografar mensagens.

2012) A Infraestrutura de Chaves Pblicas Brasileira (ICP-Brasil)
uma cadeia hierrquica e de confiana que viabiliza a emisso de
certificados digitais para a identificao virtual do cidado no
Brasil, conforme os padres e normas estipulados pela CERTISIGN,
qual se subordina hierarquicamente em nvel mundial.

2012) Assim como pessoas fsicas, as micro e pequenas empresas
tambm podem comprovar sua identidade no meio virtual, realizar
transaes comerciais e financeiras com validade jurdica,
participar de preges eletrnicos e trocar mensagens no mundo
virtual com segurana e agilidade com o e-CPF Simples.

2013) No que tange autenticao, a confiabilidade trata
especificamente da proteo contra negao, por parte das
entidades envolvidas em uma comunicao, de ter participado de
toda ou parte desta comunicao.

2013) A assinatura digital, que uma unidade de dados originada
de uma transformao criptogrfica, possibilita que um
Prof. Victor Dalton

Todos os cargos
destinatrio da unidade de dados comprove a origem e a
integridade dessa unidade e se proteja contra falsificao.
72. (CESPE BACEN Analista - rea 2 2013) A autoridade

certificadora responsvel por divulgar informaes caso o
certificado por ela emitido no seja mais confivel.
73. (CESPE BACEN Analista - rea 2 2013) O uso de

assinatura digital objetiva comprovar a autenticidade e a
integridade de uma informao, sendo a integridade garantida
mediante a codificao de todo o contedo referente assinatura.

Sistemas 2013) Um ataque infraestrutura de conectividade de
um banco Internet, interrompendo o acesso a seus servios de
home banking, afeta a disponibilidade.

Sistemas 2013) O furto de um notebook que contenha pronturios
e resultados de exames dos pacientes de um mdico afeta a
confiabilidade das informaes.

Sistemas 2013) Uma assinatura digital consiste na cifrao do
resumo criptogrfico de uma mensagem ou arquivo, com o uso da
chave privada de quem assina.
(CESPE CNPQ Cargo 1 - 2011) Sistemas de segurana da

informao so frequentemente comparados a uma corrente com muitos
elos que representam os componentes desenvolvidos, tais como
equipamento, software, protocolos de comunicao de dados, e outros,
incluindo o usurio humano. Na literatura sobre segurana da informao,
o usurio humano frequentemente referenciado como o elo mais fraco.
Prof. Victor Dalton

Todos os cargos
Internet: <www.cienciasecognicao.org> (com adaptaes).
Tendo como referncia o texto acima, julgue os prximos itens,

referentes ao comportamento do usurio quanto segurana da
informao.
77. A fim de se preservar a integridade, a confidencialidade

e a autenticidade das informaes corporativas, necessrio que
os empregados e os contratados do rgo sejam treinados, de
forma que se conscientizem da importncia da segurana da
informao e se familiarizem com os procedimentos adequados na
ocorrncia de incidentes de segurana.
78. O fato de pesquisa de Alan S. Brown (Generating and

Remembering Passwords 2004) mostrar que mais da metade dos
entrevistados guardavam cpias escritas de suas senhas confirma
que o usurio humano o elo mais fraco do processo de
segurana da informao, situao que compensada pela
utilizao combinada de firewalls, anti-vrus ou pela utilizao dos
UPP (user protectors passwords).
79. (CESPE SESA/ES Todos os cargos - 2011) O

certificado digital uma das tecnologias que permite identificar se
um stio de informaes reconhecido pelos registradores de
domnio da Internet, se seu endereo vlido e se garantida a
segurana dos usurios que baixarem arquivos gerados por
certificados autoassinados.
80. (CESPE SESA/ES Todos os cargos - 2011) Uma das

formas de se aplicar o conceito de disponibilidade da informao
por meio da realizao de cpias de segurana, que contribuem
para a restaurao dos dados ao seu ponto original (de quando foi
feita a cpia), o que reduz as chances de perda de informao em
situaes de panes, roubos, queda de energia, entre outras.
Prof. Victor Dalton

Todos os cargos
81. (CESPE SSP/CE Cargos 1 a 5 e 7 a 9 - 2012) O
antivrus, para identificar um vrus, faz uma varredura no cdigo do
arquivo que chegou e compara o seu tamanho com o tamanho
existente na tabela de alocao de arquivo do sistema operacional.
Caso encontre algum problema no cdigo ou divergncia de
tamanho, a ameaa bloqueada.
82. (CESPE SEGER/ES Todos os cargos - 2010) Entre as

caractersticas de um certificado digital inclui-se a existncia de um
emissor, do prazo de validade e de uma assinatura digital.
83. (CESPE SEGER/ES Todos os cargos - 2010) O uso do

protocolo https assegura que as informaes trafegadas utilizem
certificados digitais.

Worms so programas que se espalham em uma rede, criam cpias
funcionais de si mesmo e infectam outros computadores.

O adware, tipo de firewall que implementa segurana de acesso s
redes de computadores que fazem parte da Internet, evita que
essas redes sejam invadidas indevidamente.

2011) Phishing um programa utilizado para combater spyware,
adware e keyloggers, entre outros programas espies.

2011) Os procedimentos de backup devem ser executados com
frequncia para se evitar a perda de dados. Uma ao recomendvel
Prof. Victor Dalton

Todos os cargos
manter uma cpia das informaes crticas em local diferente do
computador em que essas informaes se encontrem.

Legislativo: Tcnica Legislativa - 2012) O termo Spam, consiste de
emails no solicitados que so enviados, normalmente, apenas para
uma nica pessoa e tm sempre contedo comercial. Essa
mensagem no transporta vrus de computador ou links na
Internet.

Legislativo: Tcnica Legislativa - 2012) A finalidade do uso de
certificados digitais em pginas na Internet, por meio de HTTPS,
evitar que o contedo total dos dados de camada de aplicao, se
capturados durante o trfego, sejam identificados por quem o
capturou.

Legislativo: Tcnica Legislativa - 2012) O termo phishing designa a
tcnica utilizada por um fraudador para obter dados pessoais de
usurios desavisados ou inexperientes, ao empregar informaes
que parecem ser verdadeiras com o objetivo de enganar esses
usurios.

2012) Um firewall pessoal uma opo de ferramenta preventiva
contra worms.

2012) Com o certificado digital que emitido pelo prprio titular do
certificado, podem-se realizar transaes seguras com qualquer
empresa que oferea servios pela Internet.
Prof. Victor Dalton

Todos os cargos
93. (CESPE FNDE Tcnico em Financiamento e Execuo
de Programas e Projetos Educacionais - 2012) Trojans ou cavalos
de troia so programas capazes de multiplicar-se mediante a
infeco de outros programas maiores. Eles no tm o objetivo de
controlar o sistema, porm tendem a causar efeitos indesejados. J
os worms causam efeitos altamente destrutivos e irreparveis. Ao
contrrio dos trojans, os worms utilizam o email como principal
canal de disseminao, mas no possuem a capacidade de produzir
cpias de si mesmos ou de algumas de suas partes.

Execuo de Programas e Projetos Educacionais - 2012) Como
forma de garantir a disponibilidade de informao mantida em
meios eletrnicos, deve-se fazer o becape de arquivos dos dados
originais. Normalmente, sempre que o procedimento de becape
executado, o sistema operacional do equipamento faz uma cpia da
totalidade dos dados em meio de armazenamento distinto do
utilizado para guarda dos dados originais.

Execuo de Programas e Projetos Educacionais - 2012) Embora
sejam considerados programas espies, os spywares tambm so
desenvolvidos por empresas com o objetivo de coletar legalmente
informaes acessveis de usurios.

Execuo de Programas e Projetos Educacionais - 2012) Para
proteger um computador contra os efeitos de um worm, pode-se
utilizar, como recurso, um firewall pessoal.

Tcnico em Material e Patrimnio - 2012) Para garantir que os
computadores de uma rede local no sofram ataques vindos da
Internet, necessria a instalao de firewalls em todos os
computadores dessa rede.
Prof. Victor Dalton

Todos os cargos
Tcnico em Material e Patrimnio - 2012) Ao se realizar um
procedimento de backup de um conjunto arquivos e pastas
selecionados, possvel que o conjunto de arquivos e pastas gerado
por esse procedimento ocupe menos espao de memria que aquele
ocupado pelo conjunto de arquivos e pastas de que se fez o backup.

Tcnico em Material e Patrimnio - 2012) Os worms, assim como
os vrus, infectam computadores, mas, diferentemente dos vrus,
eles no precisam de um programa hospedeiro para se propagar.

2012) possvel executar um ataque de desfigurao
(defacement) que consiste em alterar o contedo da pgina web
de um stio aproveitando-se da vulnerabilidade da linguagem de
programao ou dos pacotes utilizados no desenvolvimento de
aplicao web.

2012) Nos procedimentos de backup, recomendvel que as
mdias do backup sejam armazenadas no mesmo local dos dados de
origem, a fim de tornar a recuperao dos dados mais rpida e
eficiente.

execuo dos procedimentos de segurana da informao
estabelecida em uma empresa compete ao comit responsvel pela
gesto da segurana da informao.

atualizao automtica on-line do sistema operacional uma
prtica que garante que o computador no sofrer infeco por
bots.
Prof. Victor Dalton

Todos os cargos
104. (CESPE TJ/AC Tcnico em Informtica - 2012) Para
garantir a confidencialidade de informaes crticas de uma
empresa, devem ser estabelecidos procedimentos no s para a
guarda e disponibilizao dessas informaes, mas tambm para o
seu descarte.

- 2013) Autenticidade um critrio de segurana para a garantia
do reconhecimento da identidade do usurio que envia e recebe
uma informao por meio de recursos computacionais.

- 2013) Nas empresas, um mesmo endereo IP , geralmente,
compartilhado por um conjunto de computadores, sendo
recomendvel, por segurana, que dez computadores, no mximo,
tenham o mesmo endereo IP.

- 2013) A criptografia, mecanismo de segurana auxiliar na
preservao da confidencialidade de um documento, transforma,
por meio de uma chave de codificao, o texto que se pretende
proteger.
Prof. Victor Dalton

Todos os cargos
GABARITO CESPE
1 E 21 E 41 E 61 C 81 E
2 C 22 E 42 C 62 E 82 C
3 C 23 E 43 C 63 C 83 C
4 E 24 E 44 C 64 E 84 C
5 E 25 E 45 C 65 C 85 E
6 E 26 C 46 C 66 E 86 E
7 E 27 C 47 E 67 E 87 C
8 E 28 E 48 E 68 E 88 E
9 C 29 E 49 C 69 C 89 C
10 C 30 C 50 C 70 E 90 C
11 E* 31 C 51 E 71 C 91 C
12 C 32 E 52 E 72 C 92 E
13 E 33 C 53 C 73 E 93 E
14 C* 34 C 54 C 74 C 94 E
15 E 35 C 55 E 75 E 95 C
16 C 36 C 56 E 76 C 96 C
17 C 37 E 57 C 77 C 97 E
18 C 38 E 58 E 78 E 98 C
19 E 39 C 59 E 79 E 99 C
20 C 40 C 60 C 80 C 100 C
Prof. Victor Dalton

Todos os cargos
101 E 103 E 105 E 107 C
102 E 104 C 106 E
Prof. Victor Dalton


12 PDF

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

12 PDF

Hochgeladen von

Copyright:

Verfügbare Formate

Aula 12

Noes de Informtica p/ TRE-PE (Todos os cargos)

AULA 12: Segurana da Informao

Ol amigos e amigas! Que bom estarmos juntos novamente!

Particularmente, gosto de encerrar o curso com o o assunto de hoje,

Observao importante: este curso protegido por direitos

Grupos de rateio e pirataria so clandestinos, violam a lei e

Prof. Victor Dalton

1. PROTEO A REDES DE COMPUTADORES

1.1 Consideraes iniciais

Nos dias atuais, a informao trafega pela rede mundial de

A norma ISO 27002 ressalta que a informao um ativo muito valioso

Nesse contexto, a segurana da informao um conjunto de

Destaque para a trade da segurana da informao:

Prof. Victor Dalton

Confidencialidade: Garantia de que o acesso informao seja

Integridade: Salvaguarda da exatido e completeza da informao e

Disponibilidade: Garantia de que os usurios autorizados obtenham

(CESPE TCU Auditor - Tecnologia da Informao - 2015)

Errado! O conceito de confidencialidade est correto, mas o segundo conceito

Alm da famosa trade, a resoluo do TCU n 229, de 2009 define

Criticidade: Atributo da segurana da informao que define a

Prazo de reteno: Perodo em que os dados ficaro retidos,

Autenticidade - Garante que a informao ou o usurio da mesma

Prof. Victor Dalton

Legalidade. Garante a legalidade (jurdica) da informao; a

Privacidade. Foge do aspecto de confidencialidade, pois uma

Auditoria. Rastreabilidade dos diversos passos de um negcio ou

Para Laureano e Moraes (Segurana Como Estratgia de Gesto da

Pblica: Informao que pode vir a pblico sem maiores

Interna: O acesso livre a este tipo de informao deve ser evitado,

Confidencial: Informao restrita aos limites da empresa, cuja

Secreta: Informao crtica para as atividades da empresa, cuja

Prof. Victor Dalton

A Internet um cesto cheio dos mais diversos tipos de golpes e

Oriundo da expresso Malicious Software, Malware so programas

Vrus: um vrus de computador um programa capaz de se replicar e

Um vrus simples, que s se replica e fcil de ser detectado. Se um

A ideia do vrus encriptado esconder esta assinatura fixa,

Os vrus polimrficos so capazes de criar uma nova variante a cada

Em uma variante de um vrus polimrfico o mdulo de decriptao

Prof. Victor Dalton

Em geral, para realizar a deteco dessas ameaas os softwares

Os vrus polimrficos podem apresentar problemas durante as suas

Os desenvolvedores de vrus implementam novos cdigos para

Os vrus metamrficos so capazes de mudar o prprio corpo, por no

Prof. Victor Dalton

(CESPE TJ/SE Analista Judicirio Anlise de Sistemas - 2014) Vrus

Ainda cabe trazer a classificao de vrus segundo a CERT.BR:

Vrus propagado por e-mail: recebido como um arquivo anexo a um

Vrus de script: escrito em linguagem de script, como VBScript e

Vrus de macro: tipo especfico de vrus de script, escrito em

Prof. Victor Dalton

E mais algumas classificaes:

Vrus de Boot: Vrus que se infecta na rea de inicializao dos

Vrus de Programa: infectam - normalmente - os arquivos

Vrus Multipartite: misto dos vrus de Boot e de Programas. Eles

Vrus Stealth (Vrus Invisveis): um dos mais complexos da

E prossigamos com outros malwares!

Worm (importante!): worms so programas autorreplicantes,

Prof. Victor Dalton

Todo programa em um computador precisa ser executado.

Prof. Victor Dalton