Segurança da Informação em

TECNOLOGIA DA INFORMAO EM TEORIA E EXERCCIOS P/ SEFAZ-SP REA DE CONHECIMENTO: GESTO TRIBUTRIA PROVA 3 - CONHECIMENTOS ESPECFICOS- PESO 2 PROFA.
PATRCIA LIMA QUINTO
AULA 2 CONCEITOS BSICOS DE SEGURANA DA INFORMAO Ol pessoal, Sado a todos vocs, guerreiros (as)! Inicio agora a segunda aula do nosso curso, com o tema Segurana da Informao.
Todos prontos? Que Deus os abenoe, e vamos ao que interessa !! Ah, espero vocs no Twitter e no Facebook, os endereos esto listados a seguir! Profa Patrcia Lima Quinto Twitter: http://www.twitter.com/pquintao Facebook: http://www.facebook.com/patricia.quintao Facebook: http://www.facebook.com/professorapatriciaquintao Contedo desta aula Segurana da Informao e tpicos relacionados. Lista de Questes Comentadas. Lista de Questes Apresentadas na Aula. Gabarito. Pgina 02 62 112 131
Profa. Patrcia Lima Quinto
www.pontodosconcursos.com.br
TECNOLOGIA DA INFORMAO EM TEORIA E EXERCCIOS P/ SEFAZ-SP REA DE CONHECIMENTO: GESTO TRIBUTRIA PROVA 3 - CONHECIMENTOS ESPECFICOS- PESO 2 PROFA. PATRCIA LIMA QUINTO
O que significa segurana? colocar tranca nas portas de sua casa? ter as informaes guardadas de forma suficientemente segura para que pessoas sem autorizao no tenham acesso a elas? Vamos nos preparar para que a prxima vtima no seja voc !!! A segurana uma palavra que est presente em nosso cotidiano e refere-se a um estado de proteo, em que estamos livres de perigos e incertezas! Segurana da informao o processo de proteger a informao de diversos tipos de ameaas externas e internas para garantir a continuidade dos negcios, minimizar os danos aos negcios e maximizar o retorno dos investimentos e as oportunidades de negcio. Em uma corporao, a segurana est ligada a tudo o que manipula direta ou indiretamente a informao (inclui-se a tambm a prpria informao e os usurios !!!), e que merece proteo. Esses elementos so chamados de ATIVOS e podem ser divididos em: tangveis: informaes impressas, mveis, hardware (Ex.:impressoras, scanners); intangveis: marca de um produto, nome da empresa, confiabilidade de um rgo federal etc.; lgicos: informaes armazenadas em uma rede, sistema ERP (sistema de gesto integrada) etc.; fsicos: galpo, sistema de eletricidade, estao de trabalho, etc; humanos: funcionrios.
Quanto maior for a organizao maior ser sua dependncia com relao informao, que pode estar armazenada de vrias formas: impressa em papel, em meios digitais (discos, fitas, DVDs, disquetes, pendrives, etc.), na mente das pessoas, em imagens armazenadas em fotografias/filmes... Solues pontuais isoladas no resolvem toda a problemtica associada segurana da informao. Segurana se faz em pedaos, porm todos eles integrados, como se fossem uma corrente. Segurana se faz protegendo todos os elos da corrente, ou seja, todos os ativos (fsicos, tecnolgicos e humanos) que compem seu negcio. Afinal, o poder de proteo da corrente est diretamente associado ao elo mais fraco!
Princpios da Segurana da Informao A segurana da informao busca proteger os ativos de uma empresa ou indivduo com base na preservao de alguns princpios. Vamos ao estudo de cada um deles!! Os quatro princpios considerados centrais ou principais, mais comumente cobrados em provas, so a Confidencialidade, a Integridade, a Disponibilidade e a Autenticidade ( possvel encontrar a sigla CIDA, ou DICA, para fazer meno a estes princpios!). Importante D I C A isponibilidade ntegridade onfidencialidade utenticidade
Figura. Mnemnico DICA Confidencialidade (sigilo): a garantia de que a informao no ser conhecida por quem no deve. O acesso s informaes deve ser limitado, ou seja, somente as pessoas explicitamente autorizadas podem acess-las. Perda de confidencialidade significa perda de segredo. Se uma informao for confidencial, ela ser secreta e dever ser guardada com segurana, e no divulgada para pessoas sem a devida autorizao para acess-la. Exemplo: o nmero do seu carto de crdito s poder ser conhecido por voc e pela loja em que usado. Se esse nmero for descoberto por algum mal intencionado, o prejuzo causado pela perda de confidencialidade poder ser elevado, j que podero se fazer passar por voc para realizar compras pela Internet, proporcionando-lhe prejuzos financeiros e uma grande dor de cabea! Integridade: esse princpio destaca que a informao deve ser mantida na condio em que foi liberada pelo seu proprietrio, garantindo a sua proteo contra mudanas intencionais, indevidas ou acidentais. Em outras palavras, a garantia de que a informao que foi armazenada a que ser recuperada!!! A quebra de integridade pode ser considerada sob 2 aspectos: 1. alteraes nos elementos que suportam a informao - so feitas alteraes na estrutura fsica e lgica em que uma informao est armazenada. Por exemplo quando so alteradas as configuraes de um sistema para ter acesso a informaes restritas; 2. alteraes do contedo dos documentos: ex1.: imagine que algum invada o notebook que est sendo utilizado para realizar a sua declarao do Imposto de Renda deste
Profa. Patrcia Lima Quinto www.pontodosconcursos.com.br 3
ano, e, momentos antes de voc envi-la para a Receita Federal a mesma alterada sem o seu consentimento! Neste caso, a informao no ser transmitida da maneira adequada, o que quebra o princpio da integridade; ex2: alterao de sites por hackers (vide a figura seguinte, retirada de http://www.g1.globo.com). Acesso em jun. 2011.
Figura. Site da Cia - agncia de inteligncia do governo Americano que teve seu contedo alterado indevidamente em jun. 2011. Disponibilidade: a garantia de que a informao deve estar disponvel, sempre que seus usurios (pessoas e empresas autorizadas) necessitarem, no importando o motivo. Em outras palavras, a garantia que a informao sempre poder ser acessada!!! Como exemplo, h quebra do princpio da disponibilidade quando voc decidir enviar a sua declarao do Imposto de Renda pela Internet, no ltimo dia possvel, e o site da Receita Federal estiver indisponvel. Autenticidade: a capacidade de garantir a identidade de uma pessoa (fsica ou jurdica) que acessa as informaes do sistema ou de um servidor (computador) com quem se estabelece uma transao (de comunicao, como um e-mail, ou comercial, como uma venda online). por meio da autenticao que se confirma a identidade da pessoa ou entidade que presta ou acessa as informaes. Recursos como senhas (que, teoricamente, s o usurio conhece), biometria, assinatura digital e certificao digital so usados para essa finalidade.
Assim, desejamos entregar a informao CORRETA, para a pessoa CERTA, no momento CORRETO, confirmando a IDENTIDADE da pessoa ou entidade que presta ou acessa as informaes!!! Entenderam?? Eis a essncia da aplicao dos quatro princpios acima destacados. Ainda, cabe destacar que a perda de pelo menos um desses princpios j ir ocasionar impactos ao negcio (a surgem os incidentes de segurana!!) Quando falamos em segurana da informao, estamos nos referindo a salvaguardas para manter a confidencialidade, integridade, disponibilidade e demais aspectos da segurana das informaes dentro das necessidades do cliente!
Outros princpios podem ser tambm levados em considerao. So eles: Confiabilidade: pode ser caracterizada como a condio em que um sistema de informao presta seus servios de forma eficaz e eficiente. Ou melhor, um sistema de informao ir desempenhar o papel que foi proposto para si. No repdio (irretratabilidade): a garantia de que um agente no consiga negar (dizer que no foi feito) uma operao ou servio que modificou ou criou uma informao. Essa garantia condio necessria para a validade jurdica de documentos e transaes digitais. S se pode garantir o no-repdio quando houver autenticidade e integridade (ou seja, quando for possvel determinar quem mandou a mensagem e garantir que a mesma no foi alterada). Legalidade: aderncia do sistema legislao. Nesse caso, a informao deve estar em conformidade com os preceitos da legislao em vigor. Auditoria: a possibilidade de rastrear o histrico dos eventos de um sistema para determinar quando e onde ocorreu uma violao de segurana, bem como identificar os envolvidos nesse processo. Visa proteger os sistemas contra erros e atos cometidos por usurios autorizados. Para identificar autores e aes, so utilizadas trilhas de auditorias e logs, que registram o que foi executado no sistema, por quem e quando. Privacidade: diz respeito ao direito fundamental de cada indivduo de decidir quem deve ter acesso aos seus dados pessoais. A privacidade a capacidade de um sistema manter incgnito um usurio (capacidade de um usurio realizar operaes em um sistema sem que seja identificado), impossibilitando a ligao direta da identidade do usurio com as aes por este realizadas. Privacidade uma caracterstica de segurana requerida, por exemplo, em eleies secretas. Uma informao privada deve ser vista, lida ou alterada somente pelo seu dono. Esse princpio difere da confidencialidade, pois uma informao pode ser considerada confidencial, mas no privada.
Incidente de segurana da informao: indicado por um simples ou por uma srie de eventos de segurana da informao indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operaes do negcio e ameaar a segurana. Exemplos: invaso digital; violao de padres de segurana de informao.
Figura. Impacto de incidentes de segurana nos negcios Vulnerabilidades de Segurana Vulnerabilidade uma evidncia ou fragilidade que eleva o grau de exposio dos ativos que sustentam o negcio, aumentando a probabilidade de sucesso pela investida de uma ameaa. Outro conceito bastante comum para o termo: vulnerabilidade: trata-se de falha no projeto, implementao ou configurao de software ou sistema operacional que, quando explorada por um atacante, resulta na violao da segurana de um computador. Em outras palavras, vulnerabilidade uma fragilidade que poderia ser explorada por uma ameaa para concretizar um ataque. O conhecimento do maior nmero de vulnerabilidades possveis permite equipe de segurana tomar medidas para proteo, evitando assim ataques e consequentemente perda de dados. No h uma receita ou lista padro de vulnerabilidades. Esta deve ser levantada junto a cada organizao ou ambiente. Sempre se deve ter em mente o que precisa ser protegido e de quem precisa ser protegido de acordo com as ameaas existentes. Podemos citar, como exemplo inicial, uma anlise de ambiente em uma sala de servidores de conectividade e Internet com a seguinte descrio: a sala dos servidores no possui controle de acesso fsico!! Eis a vulnerabilidade detectada nesse ambiente.
Mais exemplos de vulnerabilidades: ambientes com informaes sigilosas com acesso no controlado; software mal desenvolvido;
hardware sem o devido acondicionamento e proteo; falta de atualizao de software e hardware; ausncia de pessoal capacitado para a segurana; instalaes padro; prediais fora do
falta de mecanismos de monitoramento e controle (auditoria); inexistncia segurana; de polticas de
ausncia de recursos para combate a incndios, etc.
Ameaas Segurana Ameaa algo que possa provocar danos segurana da informao, prejudicar as aes da empresa e sua sustentao no negcio, mediante a explorao de uma determinada vulnerabilidade.
Em outras palavras, uma ameaa tudo aquilo que pode comprometer a segurana de um sistema, podendo ser acidental (falha de hardware, erros de programao, desastres naturais, erros do usurio, bugs de software, uma ameaa secreta enviada a um endereo incorreto etc.) ou deliberada (roubo, espionagem, fraude, sabotagem, invaso de hackers, entre outros). Ameaa pode ser uma pessoa, uma coisa, um evento ou uma ideia capaz de causar dano a um recurso, em termos de confidencialidade, integridade, disponibilidade etc. Como exemplos de ameaa podemos destacar: concorrente, cracker, erro humano (deleo de arquivos digitais acidentalmente etc.), acidentes naturais (inundao etc.), funcionrio insatisfeito, tcnicas (engenharia social, etc.), ferramentas de software (sniffer, cavalo de troia, etc. estudadas logo a seguir). Basicamente existem dois tipos de ameaas: internas e externas. Ameaas externas: so aqui representadas por todas as tentativas de ataque e desvio de informaes vindas de fora da empresa. Normalmente
www.pontodosconcursos.com.br 7
essas tentativas so realizadas por pessoas com a inteno de prejudicar a empresa ou para utilizar seus recursos para invadir outras empresas. Ameaas internas: esto presentes, independentemente das empresas estarem ou no conectadas Internet. Podem causar desde incidentes leves at os mais graves, como a inatividade das operaes da empresa. Noes de vrus, worms e outras pragas virtuais Exemplos de Ameaas! Voc sabe o significado de malware? Malware (combinao de malicious software programa malicioso)! O termo especialmente importante para nosso estudo porque descreve os programas de computador criados para realizarem operaes PREJUDICIAIS mquina (na verdade, aos programas dela). O termo Malware usado para todo e quaisquer softwares maliciosos, programados com o intuito de prejudicar os sistemas de informao, alterar o funcionamento de programas, roubar informaes, causar lentides de redes computacionais, dentre outros.
Resumindo, malwares so programas que executam deliberadamente aes mal-intencionadas em um computador!!
Certbr (2012) destaca algumas das diversas maneiras como os cdigos maliciosos (malwares) podem infectar ou comprometer um computador. So elas: por meio da explorao de vulnerabilidades existentes nos programas instalados; por meio da como pen-drives; auto-execuo de mdias (falhas de segurana) infectadas,
removveis
pelo acesso a pginas da Web maliciosas, com a utilizao de navegadores vulnerveis; por meio da ao direta de atacantes que, aps invadirem o computador, incluem arquivos contendo cdigos maliciosos; pela execuo de arquivos previamente infectados, obtidos em anexos de mensagens eletrnicas, via mdias removveis, em pginas Web ou
diretamente de outros computadores (atravs do compartilhamento de recursos). Uma vez instalados, os cdigos maliciosos passam a ter acesso aos dados armazenados no computador e podem executar aes em nome dos usurios, de acordo com as permisses de cada usurio. Na categoria de malwares so includos os vrus de computador, Worms, entre outras beldades do mundo da informtica. Os tipos mais comuns de malware esto detalhados a seguir: -vrus, -worms, -bots, -cavalos de troia (trojans), -spyware, -keylogger, -screenlogger, -ransomwares, -Backdoors, etc. Vrus Importante So pequenos cdigos de programao maliciosos que se agregam a arquivos e so transmitidos com eles. Em outras palavras, tecnicamente, um vrus um programa (ou parte de um programa) que se anexa a um arquivo de programa qualquer (como se o estivesse parasitando) e depois disso procura fazer cpias de si mesmo em outros arquivos semelhantes. Quando o arquivo aberto na memria RAM, o vrus tambm , e, a partir da se propaga infectando, isto , inserindo cpias de si mesmo e se tornando parte de outros programas e arquivos de um computador. O vrus depende da execuo do programa ou arquivo hospedeiro para que possa se tornar ativo e dar continuidade ao processo de infeco. Alguns vrus so inofensivos, outros, porm, podem danificar um sistema operacional e os programas de um computador. A seguir destacamos alguns arquivos que podem ser portadores de vrus de computador: arquivos executveis: com extenso .exe ou .com; arquivos de scripts (outra forma de executvel): extenso .vbs;
atalhos: extenso .lnk ou .pif; proteo de tela (animaes que aparecem automaticamente quando o computador est ocioso): extenso .scr; documentos do MS-Office: como os arquivos do Word (extenso .doc ou .dot), arquivos do Excel (.xls e .xlt), apresentaes do Powerpoint (.ppt e .pps), bancos de dados do Access (.mdb). arquivos multimdia do Windows Media Player: msicas com extenso .WMA, vdeos com extenso .WMV, dentre outros. Dentre os principais tipos de vrus conhecidos merecem destaque: Vrus Alteram seu formato (mudam de forma) polimrficos constantemente. A cada nova infeco, esses vrus geram uma nova sequncia de bytes em seu cdigo, para que o antivrus se confunda na hora de executar a varredura e no reconhea o invasor. Vrus Usa a criptografia para se defender sendo capaz de alterar oligomrfico tambm a rotina de criptografia em um nmero de vezes pequeno. Um vrus que possui duas rotinas de decriptografia ento classificado como oligomrfico (Luppi, 2006). Vrus de boot Infectam o setor de boot (ou MBR Master Boot Record Registro Mestre de Inicializao) dos discos rgidos. Obs.: o Setor de Boot do disco rgido a primeira parte do disco rgido que lida quando o computador ligado. Essa rea lida pelo BIOS (programa responsvel por acordar o computador) a fim de que seja encontrado o Sistema Operacional (o programa que vai controlar o computador durante seu uso). Vrus de macro Vrus que infectam documentos que contm macros. Macro: conjunto de comandos que so armazenados em alguns aplicativos e utilizados para automatizar tarefas repetitivas. Um exemplo seria, em um editor de textos, definir uma macro que contenha a sequncia de passos necessrios para imprimir um documento com a orientao de retrato e utilizando a escala de cores em tons de cinza. Um vrus de macro escrito de forma a explorar esta facilidade de automatizao e parte de um arquivo que normalmente manipulado por algum aplicativo que utiliza macros. Para que o vrus possa ser executado, o arquivo que o contm precisa ser aberto e, a partir da, o vrus pode
executar uma srie de comandos automaticamente infectar outros arquivos no computador.
Existem alguns aplicativos que possuem arquivos base (modelos) que so abertos sempre que o aplicativo executado. Caso este arquivo base seja infectado pelo vrus de macro, toda vez que o aplicativo for executado, o vrus tambm ser. Arquivos nos formatos gerados por programas da Microsoft, como o Word, Excel, Powerpoint e Access so os mais suscetveis a este tipo de vrus. Arquivos nos formatos RTF, PDF e PostScript so menos suscetveis, mas isso no significa que no possam conter vrus.
Normal.dotPrincipal alvo de vrus de macro p/Word Vrus de programa Vrus stealth Infectam arquivos de programa (de inmeras extenses, como .exe, .com,.vbs, .pif. Programado para se esconder e enganar o antivrus durante uma varredura deste programa. Tem a capacidade de se remover da memria temporariamente para evitar que antivrus o detecte. Propagam-se por meio de scripts, nome que designa uma sequncia de comandos previamente estabelecidos e que so executados automaticamente em um sistema, sem necessidade de interveno do usurio. Dois tipos de scripts muito usados so os projetados com as linguagens Javascript (JS) e Visual Basic Script (VBS). Tanto um quanto o outro podem ser inseridos em pginas Web e interpretados por navegadores como Internet Explorer e outros. Os arquivos Javascript tornaram-se to comuns na Internet que difcil encontrar algum site atual que no os utilize. Assim como as macros, os scripts no so necessariamente malficos. Na maioria das vezes executam tarefas teis, que facilitam a vida dos usurios prova disso que se a execuo dos scripts for desativada nos navegadores, a maioria dos sites passar a ser apresentada de forma incompleta ou incorreta. Vrus de celular Propaga de telefone para telefone atravs da tecnologia bluetooth ou da tecnologia MMS (Multimedia Message Service). O servio MMS usado para enviar mensagens multimdia, isto , que contm no s texto, mas tambm
Vrus de script
sons e imagens, como vdeos, fotos e animaes. A infeco ocorre da seguinte forma: o usurio recebe uma mensagem que diz que seu telefone est prestes a receber um arquivo e permite que o arquivo infectado seja recebido, instalado e executado em seu aparelho; o vrus, ento, continua o processo de propagao para outros telefones, atravs de uma das tecnologias mencionadas anteriormente. Os vrus de celular diferem-se dos vrus tradicionais, pois normalmente no inserem cpias de si mesmos em outros arquivos armazenados no telefone celular, mas podem ser especificamente projetados para sobrescrever arquivos de aplicativos ou do sistema operacional instalado no aparelho. Depois de infectar um telefone celular, o vrus pode realizar diversas atividades, tais como: destruir/sobrescrever arquivos; remover contatos da agenda; efetuar ligaes telefnicas; o aparelho fica desconfigurado e tentando se conectar via Bluetooth com outros celulares; a bateria do celular dura menos do que o previsto pelo fabricante, mesmo quando voc no fica horas pendurado nele; emitir algumas mensagens multimdia esquisitas; tentar se propagar para outros telefones. Worms (Vermes) Importante Programas parecidos com vrus, mas que na verdade so capazes de se propagarem automaticamente atravs de redes, enviando cpias de si mesmo de computador para computador (observe que os worms apenas se copiam, no infectam outros arquivos, eles mesmos so os arquivos !!). Alm disso, geralmente utilizam as redes de comunicao para infectar outros computadores (via e-mails, Web, FTP, redes das empresas etc.). Diferentemente do vrus, o worm no embute cpias de si mesmo em outros programas ou arquivos e no necessita ser explicitamente executado para se propagar. Sua propagao se d atravs da
explorao de vulnerabilidades existentes ou falhas na configurao de softwares instalados em computadores. Worms so notadamente responsveis por consumir muitos recursos. Degradam sensivelmente o desempenho de redes e podem lotar o disco rgido de computadores, devido grande quantidade de cpias de si mesmo que costumam propagar. Alm disso, podem gerar grandes transtornos para aqueles que esto recebendo tais cpias. Difceis de serem detectados, muitas vezes os worms realizam uma srie de atividades, incluindo sua propagao, sem que o usurio tenha conhecimento. Embora alguns programas antivrus permitam detectar a presena de Worms e at mesmo evitar que eles se propaguem, isto nem sempre possvel. Bots (robs) De modo similar ao worm, um programa capaz de se propagar automaticamente, explorando vulnerabilidades existentes ou falhas na configurao de software instalado em um computador. Adicionalmente ao worm, dispe de mecanismos de comunicao com o invasor, permitindo que o bot seja controlado remotamente. Os bots esperam por comandos de um hacker, podendo manipular os sistemas infectados, sem o conhecimento do usurio. Segundo CertBr(2012) a comunicao entre o invasor e o computador infectado pelo bot pode ocorrer via canais de IRC, servidores Web e redes do tipo P2P, entre outros meios. Ao se comunicar, o invasor pode enviar instrues para que aes maliciosas sejam executadas, como desferir ataques, furtar dados do computador infectado e enviar spam. Nesse ponto, cabe destacar um termo que j foi cobrado vrias vezes em prova pela banca!! Trata-se do significado do termo botnet, juno da contrao das palavras robot (bot) e network (net). Uma rede infectada por bots denominada de botnet (tambm conhecida como rede zumbi), sendo composta geralmente por milhares desses elementos maliciosos que ficam residentes nas mquinas, aguardando o comando de um invasor. Quanto mais zumbis (zombie computers) participarem da botnet mais potente ela ser. Um invasor que tenha controle sobre uma botnet pode utiliz-la para coletar informaes de um grande nmero de computadores, aumentar a potncia de seus ataques, por exemplo, para enviar centenas de milhares de e-mails de phishing ou spam, desferir ataques de negao de servio etc. (CERT.br, 2012). O esquema simplificado apresentado a seguir destaca o funcionamento bsico de uma botnet (CERT.br, 2012):
o atacante propaga um tipo especfico de bot com a inteno de infectar e conseguir a maior quantidade possvel de mquinas zumbis; essas mquinas zumbis ficam ento disposio do atacante, agora seu controlador, espera dos comandos a serem executados; quando o controlador deseja que uma ao seja realizada, ele envia s mquinas zumbis os comandos a serem executados, usando, por exemplo, redes do tipo P2P ou servidores centralizados; as mquinas zumbis executam ento os comandos recebidos, durante o perodo predeterminado pelo controlador; quando a ao encerrada, as mquinas zumbis voltam a ficar espera dos prximos comandos a serem executados. Trojan horse (Cavalo de Troia) um programa aparentemente inofensivo que entra em seu computador na forma de carto virtual, lbum de fotos, protetor de tela, jogo etc., e que, quando executado (com a sua autorizao!), parece lhe divertir, mas, por trs abre portas de comunicao do seu computador para que ele possa ser invadido. Por definio, o cavalo de troia distingue-se de um vrus ou de um worm por no infectar outros arquivos, nem propagar cpias de si mesmo automaticamente. O trojans ficaram famosos na Internet pela facilidade de uso, e por permitirem a qualquer pessoa possuir o controle de um outro computador apenas com o envio de um arquivo. Os trojans atuais so divididos em duas partes, que so: o servidor e o cliente. Normalmente, o servidor encontra-se oculto em algum outro arquivo e, no momento em que o arquivo executado, o servidor se instala e se oculta no computador da vtima. Nesse momento, o computador j pode ser acessado pelo cliente, que enviar informaes para o servidor executar certas operaes no computador da vtima. O Cavalo de Troia no um vrus, pois no se duplica e no se dissemina como os vrus. Na maioria das vezes, ele ir instalar programas para possibilitar que um invasor tenha controle total sobre um computador. Estes programas podem permitir que o invasor: veja e copie computador; ou destrua todos os arquivos armazenados no
instalao de keyloggers ou screenloggers (descubra todas as senhas digitadas pelo usurio);

furto de senhas e outras informaes sensveis, como nmeros de cartes de crdito; incluso de backdoors, para permitir que um atacante tenha total controle sobre o computador; formate o disco rgido do computador, etc.
Exemplos comuns de Cavalos de Troia so programas que voc recebe ou obtm de algum site e que parecem ser apenas cartes virtuais animados, lbuns de fotos de alguma celebridade, jogos, protetores de tela, entre outros. Enquanto esto sendo executados, estes programas podem ao mesmo tempo enviar dados confidenciais para outro computador, instalar backdoors, alterar informaes, apagar arquivos ou formatar o disco rgido.
Figura. Um spam contendo um Cavalo de Troia. O usurio ser infectado se clicar no link e executar o anexo. H diferentes tipos de trojans, classificados de acordo com as aes maliciosas que costumam executar ao infectar um computador. Alguns desses tipos apontados por Certbr (2012) so: Trojan Downloader: instala outros cdigos maliciosos, obtidos de sites na Internet. Trojan Dropper: instala outros cdigos maliciosos, embutidos no prprio cdigo do trojan. Trojan Backdoor: inclui backdoors, possibilitando o acesso remoto do atacante ao computador. Trojan DoS: instala ferramentas de negao de servio e as utiliza para desferir ataques. Trojan Destrutivo: altera/apaga arquivos e diretrios, formata o disco rgido e pode deixar o computador fora de operao. Trojan Clicker: redireciona a navegao do usurio para sites especficos, com o objetivo de aumentar a quantidade de acessos a estes sites ou apresentar propagandas.
Trojan Proxy: instala um servidor de proxy, possibilitando que o computador seja utilizado para navegao annima e para envio de spam. Trojan Spy: instala programas spyware e os utiliza para coletar informaes sensveis, como senhas e nmeros de carto de crdito, e envi-las ao atacante. Trojan Banker: coleta dados bancrios do usurio, atravs da instalao de programas spyware que so ativados nos acessos aos sites de Internet Banking. similar ao Trojan Spy porm com objetivos mais especficos. Spyware Trata-se de um programa espio (spy em ingls = espio). um programa que tem por finalidade monitorar as atividades de um sistema e enviar as informaes coletadas para terceiros. Pode ser usado tanto de forma legtima quanto maliciosa, dependendo de como instalado, das aes realizadas, do tipo de informao monitorada e do uso que feito por quem recebe as informaes coletadas. Vamos diferena entre seu uso: Legtimo: quando instalado em um computador pessoal, pelo prprio dono ou com consentimento deste, com o objetivo de verificar se outras pessoas o esto utilizando de modo abusivo ou no autorizado. Malicioso: quando executa aes que podem comprometer a privacidade do usurio e a segurana do computador, como monitorar e capturar informaes referentes navegao do usurio ou inseridas em outros programas (por exemplo, conta de usurio e senha). Alguns tipos especficos de programas spyware so: Keylogger (Copia as teclas digitadas!) Um tipo de malware que capaz de capturar e armazenar as teclas digitadas pelo usurio no teclado de um computador. Dentre as informaes capturadas podem estar o texto de um e-mail, dados digitados na declarao de Imposto de Renda e outras informaes sensveis, como senhas bancrias e nmeros de cartes de crdito. Em muitos casos, a ativao do keylogger condicionada a uma ao prvia do usurio, como por exemplo, aps o acesso a um site especfico de comrcio eletrnico ou Internet Banking. Normalmente, o keylogger contm mecanismos que permitem o envio automtico das informaes capturadas para terceiros (por exemplo, atravs de e-mails). Screenloggers (Copia as telas acessadas!) As instituies financeiras desenvolveram os teclados virtuais para evitar que os keyloggers pudessem capturar informaes sensveis de usurios.
Ento, foram desenvolvidas formas mais avanadas de keyloggers, tambm conhecidas como screenloggers capazes de: armazenar a posio do cursor e a tela apresentada no monitor, nos momentos em que o mouse clicado, ou armazenar a regio que circunda a posio onde o mouse clicado.
Normalmente, o keylogger vem como parte de um programa spyware ou cavalo de troia. Desta forma, necessrio que este programa seja executado para que o keylogger se instale em um computador. Geralmente, tais programas vm anexados a e-mails ou esto disponveis em sites na Internet. Existem ainda programas leitores de e-mails que podem estar configurados para executar automaticamente arquivos anexados s mensagens. Neste caso, o simples fato de ler uma mensagem suficiente para que qualquer arquivo anexado seja executado. Adware (Advertising software) Projetado especificamente para apresentar propagandas. Este tipo de programa geralmente no prejudica o computador. O adware apresenta anncios, cria cones ou modifica itens do sistema operacional com o intuito de exibir alguma propaganda. Um adware malicioso pode abrir uma janela do navegador apontando para pginas de cassinos, vendas de remdios, pginas pornogrficas, etc. Um exemplo do uso legtimo de adwares pode ser observado no programa de troca instantnea de mensagens MSN Messenger. Ransomwares (Pede resgate) So softwares maliciosos que, ao infectarem um computador, criptografam todo ou parte do contedo do disco rgido. Os responsveis pelo software exigem da vtima, um pagamento pelo "resgate" dos dados. Backdoors (Abre portas) Normalmente um atacante procura garantir uma forma de retornar a um computador comprometido, sem precisar recorrer aos mtodos utilizados na realizao da invaso. Na maioria dos casos, tambm inteno do atacante poder retornar ao computador comprometido sem ser notado. A esses programas que permitem o retorno de um invasor a um computador comprometido, utilizando servios criados ou modificados para este fim, dse o nome de backdoor. A forma usual de incluso de um backdoor consiste na disponibilizao de um novo servio ou substituio de um determinado servio por uma verso alterada, normalmente possuindo recursos que permitam acesso remoto (atravs da Internet). Pode ser includo por um invasor ou atravs de um cavalo de troia. Programas de administrao remota, como BackOrifice,
NetBus, Sub-Seven, VNC e Radmin, se mal configurados ou utilizados sem o consentimento do usurio, tambm podem ser classificados como backdoors. Rootkits Um invasor, ao realizar uma invaso, pode utilizar mecanismos para esconder e assegurar a sua presena no computador comprometido. O conjunto de programas que fornece estes mecanismos conhecido como rootkit. O invasor, aps instalar o rootkit, ter acesso privilegiado ao computador previamente comprometido, sem precisar recorrer novamente aos mtodos utilizados na realizao da invaso, e suas atividades sero escondidas do responsvel e/ou dos usurios do computador. Um rootkit pode fornecer programas com as mais diversas funcionalidades. Dentre eles, merecem destaque: programas para esconder atividades e informaes deixadas pelo invasor, tais como arquivos, diretrios, processos etc.; backdoors, para assegurar o acesso futuro do invasor ao computador comprometido; programas para remoo de evidncias em arquivos de logs; sniffers, para capturar informaes na rede onde o computador est localizado, como por exemplo senhas que estejam trafegando em claro, ou seja, sem qualquer mtodo de criptografia; scanners, para computadores. mapear potenciais vulnerabilidades em outros
18
Figura. Tabela comparativa dos principais tipos de malware (fonte: CertBr (2012))
Risco Risco a medida da exposio qual o sistema computacional est sujeito. Depende da probabilidade de uma ameaa atacar o sistema e do impacto resultante desse ataque. Smola (2003, p. 50) diz que risco a probabilidade de ameaas explorarem vulnerabilidades, provocando perdas de confidencialidade, integridade e disponibilidade, causando, possivelmente, impactos nos negcios.
Como exemplo de um risco pode-se imaginar um funcionrio insatisfeito e um martelo ao seu alcance; nesse caso o funcionrio poderia danificar algum ativo da informao. Assim pode-se entender como risco tudo aquilo que traz danos s informaes e com isso promove perdas para a organizao. Existem algumas maneiras de se classificar o grau de risco no mercado de segurana, mas de uma forma simples, poderamos tratar como alto, mdio e baixo risco. No caso do nosso exemplo da sala dos servidores, poderamos dizer que, baseado na vulnerabilidade encontrada, a ameaa associada de alto risco. Ciclo da Segurana Como mostrado na figura seguinte os ativos de uma organizao precisam ser protegidos, pois esto sujeitos a vulnerabilidades. Se as vulnerabilidades aumentam, aumentam-se os riscos permitindo a explorao por uma ameaa e a concretizao de um ataque. Se estas ameaas crescem, aumentam-se ainda mais os riscos de perda da integridade, disponibilidade e confidencialidade da informao podendo causar impacto nos negcios. Nesse contexto, medidas de segurana devem ser tomadas, os riscos devem ser analisados e diminudos para que se estabelea a segurana dos ativos da informao.
Ativos Ciclo da segurana
protege
sujeitos
Medidas de Segurana
diminui
Riscos
aumenta
Vulnerabilidades
limitados Impactos no negcio

aumenta aumenta aumenta
permitem
Ameaas
Confidencialidade Integridade Disponibilidade causam perdas
Figura. Ciclo da Segurana da Informao (MOREIRA, 2001)
20
Os ATIVOS so os elementos que sustentam a operao do negcio e estes sempre traro consigo VULNERABILIDADES que, por sua vez, submetem os ativos a AMEAAS.
21
Ataques a Sistemas Computacionais Ataque uma alterao no fluxo normal de uma informao que afeta um dos servios oferecidos pela segurana da informao. Ele decorrente de uma vulnerabilidade que explorada por um atacante em potencial. A figura seguinte representa um fluxo de informaes e quatro ameaas possveis para a segurana de um sistema de informao: Interrupo: ataque na transmisso da mensagem, em que o fluxo de dados interrompido. Um exemplo pode ser a danificao de componentes de hardware ou a queda do sistema de comunicao por sabotagem. Interceptao: este um ataque sobre a confidencialidade. Ocorre quando uma pessoa no autorizada tem acesso s informaes confidenciais de outra. Um exemplo seria a captura de dados na rede ou a cpia ilegal de um arquivo. Modificao: este um ataque integridade da mensagem. Ocorre quando uma pessoa no autorizada, alm de interceptar as mensagens, altera o contedo da mensagem e envia o contedo alterado para o destinatrio. Fabricao: este um ataque sobre a autenticidade. Uma pessoa no autorizada insere mensagens no sistema assumindo o perfil de um usurio autorizado.
Figura - Exemplos de ataques contra um sistema de informao

Os principais tipos de ataque so: Engenharia Social o mtodo de se obter dados importantes de pessoas atravs da velha lbia. A engenharia social a tcnica que explora as fraquezas humanas e sociais, em vez de explorar a tecnologia. Guarde isso!!! Em redes corporativas que so alvos mais apetitosos para invasores, o perigo ainda maior e pode estar at sentado ao seu lado. Um colega poderia tentar obter sua senha de acesso mesmo tendo uma prpria, pois uma sabotagem feita com sua senha parece bem mais interessante do que com a senha do prprio autor. Phishing (tambm conhecido como Phishing scam, ou apenas scam) Importante!!! Phishing um tipo de fraude eletrnica projetada para roubar informaes particulares que sejam valiosas para cometer um roubo ou fraude posteriormente. O golpe de phishing realizado por uma pessoa mal-intencionada atravs da criao de um website falso e/ou do envio de uma mensagem eletrnica falsa, geralmente um e-mail ou recado atravs de scrapbooks como no stio Orkut, entre outros exemplos. Utilizando de pretextos falsos, tenta enganar o receptor da mensagem e induzi-lo a fornecer informaes sensveis (nmeros de cartes de crdito, senhas, dados de contas bancrias, entre outras). As duas figuras seguintes apresentam iscas (e-mails) utilizadas em golpes de phishing, uma envolvendo o Banco de Brasil e a outra o Serasa.
Figura. Isca de Phishing Relacionada ao Banco do Brasil
23
Figura. Isca de Phishing Relacionada ao SERASA
A palavra phishing (de fishing) vem de uma analogia criada pelos fraudadores, em que iscas (e-mails) so usadas para pescar informaes sensveis (senhas e dados financeiros, por exemplo) de usurios da Internet. Atualmente, este termo vem sendo utilizado tambm para se referir aos seguintes casos: mensagem que procura induzir o usurio instalao de cdigos maliciosos, projetados para furtar dados pessoais e financeiros; mensagem que, no prprio contedo, apresenta formulrios para o preenchimento e envio de dados pessoais e financeiros de usurios. Pharming O Pharming uma tcnica que utiliza o sequestro ou a "contaminao" do servidor DNS (Domain Name Server) para levar os usurios a um site falso, alterando o DNS do site de destino. O sistema tambm pode redirecionar os usurios para sites autnticos atravs de proxies controlados, que podem ser usados para monitorar e interceptar a digitao. Os sites falsificados coletam nmeros de cartes de crdito, nomes de contas, senhas e nmeros de documentos. Isso feito atravs da exibio de um pop-up para roubar a informao antes de levar o usurio ao site real. O programa mal-intencionado usa um certificado auto-assinado para fingir a autenticao e induzir o usurio a acreditar nele o bastante para inserir seus dados pessoais no site falsificado. Outra forma de enganar o usurio sobrepor a barra de endereo e status de navegador para induzilo a pensar que est no site legtimo e inserir suas informaes.
Nesse contexto, programas criminosos podem ser instalados nos PCs dos consumidores para roubar diretamente as suas informaes. Na maioria dos casos, o usurio no sabe que est infectado, percebendo apenas uma ligeira reduo na velocidade do computador ou falhas de funcionamento atribudas a vulnerabilidades normais de software. Sniffing Processo de captura das informaes da rede por meio de um software de escuta de rede (conhecido como sniffer, farejador ou ainda capturador de pacote), capaz de interpretar as informaes transmitidas no meio fsico.
Sniffers (farejadores ou ainda capturadores de pacotes): por padro, os computadores (pertencentes mesma rede) escutam e respondem somente pacotes endereados a eles. Entretanto, possvel utilizar um software que coloca a interface num estado chamado de modo promscuo. Nessa condio o computador pode monitorar e capturar os dados trafegados atravs da rede, no importando o seu destino legtimo. Os programas responsveis por capturar os pacotes de rede so chamados Sniffers, Farejadores ou ainda Capturadores de Pacote. Eles exploram o fato do trfego dos pacotes das aplicaes TCP/IP no utilizar nenhum tipo de cifragem nos dados. Dessa maneira um sniffer atua na rede farejando pacotes na tentativa de encontrar certas informaes, como nomes de usurios, senhas ou qualquer outra informao transmitida que no esteja criptografada. A dificuldade no uso de um sniffer que o atacante precisa instalar o programa em algum ponto estratgico da rede, como entre duas mquinas, (com o trfego entre elas passando pela mquina com o farejador) ou em uma rede local com a interface de rede em modo promscuo.
25
Denial of Service (DoS) Os ataques de negao de servio (denial of service - DoS) consistem em impedir o funcionamento de uma mquina ou de um servio especfico. No caso de ataques a redes, geralmente ocorre que os usurios legtimos de uma rede no consigam mais acessar seus recursos. O DoS acontece quando um atacante envia vrios pacotes ou requisies de servio de uma vez, com objetivo de sobrecarregar um servidor e, como consequncia, impedir o fornecimento de um servio para os demais usurios, causando prejuzos. No DoS o atacante utiliza um computador para tirar de operao um servio ou computador(es) conectado(s) Internet!! Como exemplo deste tipo de ataque tem-se o seguinte contexto: gerar uma sobrecarga no processamento de um computador, de modo que o usurio no consiga utiliz-lo; gerar um grande trfego de dados para uma rede, ocasionando a indisponibilidade dela; indisponibilizar servios importantes de um provedor, impossibilitando o acesso de seus usurios. Cabe ressaltar que se uma rede ou computador sofrer um DoS, isto no significa que houve uma invaso, pois o objetivo de tais ataques indisponibilizar o uso de um ou mais computadores, e no invadi-los.
26
CAIU EM PROVA (2004/Polcia Federal) Um dos mais conhecidos ataques a um computador conectado a uma rede o de negao de servio (DoS Denial Of Service), que ocorre quando um determinado recurso torna-se indisponvel devido ao de um agente que tem por finalidade, em muitos casos, diminuir a capacidade de processamento ou de armazenagem de dados.
Distributed Denial of Service (DDoS) -> So os ataques coordenados! Em dispositivos com grande capacidade de processamento, normalmente, necessria uma enorme quantidade de requisies para que o ataque seja eficaz. Para isso, o atacante faz o uso de uma botnet (rede de computadores zumbis sob comando do atacante) para bombardear o servidor com requisies, fazendo com que o ataque seja feito de forma distribuda (Distributed Denial of Service DDoS). No DDoS - ataque de negao de servio distribudo-, um conjunto de computadores utilizado para tirar de operao um ou mais servios ou computadores conectados Internet.
SYN Flood O SYN Flood um dos mais populares ataques de negao de servio. O ataque consiste basicamente em se enviar um grande nmero de pacotes de abertura de conexo, com um endereo de origem forjado (IP Spoofing), para um determinado servidor. O servidor ao receber estes pacotes, coloca uma entrada na fila de conexes em andamento, envia um pacote de resposta e fica aguardando
27
uma confirmao da mquina cliente. Como o endereo de origem dos pacotes falso, esta confirmao nunca chega ao servidor. O que acontece que em um determinado momento, a fila de conexes em andamento do servidor fica lotada, a partir da, todos os pedidos de abertura de conexo so descartados e o servio inutilizado. Esta inutilizao persiste durante alguns segundos, pois o servidor ao descobrir que a confirmao est demorando demais, remove a conexo em andamento da lista. Entretanto se o atacante persistir em mandar pacotes seguidamente, o servio ficar inutilizado enquanto ele assim o fizer. Man-in-the-middle Trata-se de uma espcie de ataque de escuta de rede, em que o atacante atua como um intermedirio entre a vtima e o servidor, sem que nenhuma das duas partes saiba. Primeiro o atacante intercepta uma tentativa vlida de conexo da vtima com o servidor e se faz passar pela vtima fornecendo as informaes de login e senha dela. Em seguida, o servidor responde a informao ao atacante, que responde vtima se fazendo passar pelo servidor. Com isso, o atacante tem a possibilidade de, alm de interceptar, fazer modificaes nas transaes feitas pelo usurio, alm de continuar a sesso aps a vtima solicitar o seu encerramento. Ataques de senhas A utilizao de senhas seguras um dos pontos fundamentais para uma estratgia efetiva de segurana, no entanto, muitos usurios priorizam a convenincia ao invs da segurana e utilizam senhas fceis de serem descobertas e inseguras. As duas principais tcnicas de ataque a senhas so: Ataque de Dicionrio: nesse tipo de ataque so utilizadas combinaes de palavras, frases, letras, nmeros, smbolos, ou qualquer outro tipo de combinao geralmente que possa ser utilizada na criao das senhas pelos usurios. Os programas responsveis por realizar essa tarefa trabalham com diversas permutaes e combinaes sobre essas palavras. Quando alguma dessas combinaes se referir senha, ela considerada como quebrada (Cracked). Geralmente as senhas esto armazenadas criptografadas utilizando um sistema de criptografia HASH. Dessa maneira os programas utilizam o mesmo algoritmo de criptografia para comparar as combinaes com as senhas armazenadas. Em outras palavras, eles adotam a mesma configurao de criptografia das senhas, e ento criptografam as palavras do dicionrio e comparam com senha.
Fora-Bruta: enquanto as listas de palavras, ou dicionrios, do nfase na velocidade, o segundo mtodo de quebra de senhas se baseia simplesmente na repetio. Fora-Bruta uma forma de se descobrir senhas que compara cada combinao e permutao possvel de caracteres at achar a senha. Este um mtodo muito poderoso para descoberta de senhas, no entanto extremamente lento porque cada combinao consecutiva de caracteres comparada. Ex: aaa, aab, aac ..... aaA, aaB, aaC... aa0, aa1, aa2, aa3... aba, aca, ada...
Ping of Death Ele consiste em enviar um pacote IP com tamanho maior que o mximo permitido (65.535 bytes) para a mquina atacada. O pacote enviado na forma de fragmentos (porque nenhuma rede permite o trfego de pacotes deste tamanho), e quando a mquina destino tenta montar estes fragmentos, inmeras situaes podem ocorrer: a maioria trava, algumas reinicializam, outras exibem mensagens no console, etc. Dumpster diving ou trashing a atividade na qual o lixo verificado em busca de informaes sobre a organizao ou a rede da vtima, como nomes de contas e senhas, informaes pessoais e confidenciais. Muitos dados sigilosos podem ser obtidos dessa maneira. Cookies
So pequenos arquivos que so instalados em seu computador durante a navegao, permitindo que os sites (servidores) obtenham determinadas informaes. isto que permite que alguns sites o cumprimentem pelo nome, saibam quantas vezes voc o visitou, etc. Spams Spams: so mensagens de correio eletrnico no autorizadas ou no solicitadas. O spam no propriamente uma ameaa segurana, mas um portador comum delas. So spams, por exemplo, os e-mails falsos que recebemos como sendo de rgos como Receita Federal ou Tribunal Superior Eleitoral. Nesse caso, os spams costumam induzir o usurio a instalar um dos malwares que vimos anteriormente. Correntes: geralmente pedem para que o usurio (destinatrio) repasse a mensagem um determinado nmero de vezes ou, ainda, "para todos os
amigos" ou "para todos que ama". Utilizada para coletar e-mail vlidos para ataques de SPAM posteriores. Hoaxes (boatos): so as histrias falsas recebidas por e-mail, sites de relacionamentos e na Internet em geral, cujo contedo, alm das conhecidas correntes, consiste em apelos dramticos de cunho sentimental ou religioso, supostas campanhas filantrpicas, humanitrias ou de socorro pessoal ou, ainda, falsos vrus que ameaam destruir, contaminar ou formatar o disco rgido do computador. A figura seguinte destaca um exemplo de hoax recebido em minha caixa de e-mails. O remetente e destinatrios foram embaados de propsito por questo de sigilo.
Figura. Exemplo de um hoax (boato) bastante comum na Internet Outros casos podem ser visualizados na Internet, vide por exemplo o endereo: http://www.quatrocantos.com/LENDAS/. Como podemos reduzir o volume de spam que chega at nossas caixas postais? A resposta bem simples! Basta navegar de forma consciente na rede. Este conselho o mesmo que recebemos para zelar pela nossa segurana no trnsito ou ao entrar e sair de nossas casas. A seguir destacamos as principais dicas que foram destacadas pelo CertBr (2006) para que os usurios da Internet desfrutem dos recursos e benefcios da rede, com segurana:
Preservar as informaes pessoais, tais como: endereos de e-mail, dados pessoais e, principalmente, cadastrais de bancos, cartes de crdito e senhas. Um bom exerccio pensar que ningum forneceria seus dados pessoais a um estranho na rua, ok? Ento, por que liber-la na Internet? Ter, sempre que possvel, e-mails separados para assuntos pessoais, profissionais, para as compras e cadastros on-line. Certos usurios mantm um e-mail somente para assinatura de listas de discusso.
No caso das promoes da Internet, geralmente, ser necessrio preencher formulrios. Ter um e-mail para cadastros on-line uma boa prtica para os usurios com o perfil descrito. Ao preencher o cadastro, procure desabilitar as opes de recebimento de material de divulgao do site e de seus parceiros, pois justamente nesse item que muitos usurios atraem spam, inadvertidamente!
No ser um "clicador compulsivo", ou seja, o usurio deve procurar controlar a curiosidade de verificar sempre a indicao de um site em um email suspeito de spam. Pensar, analisar as caractersticas do e-mail e verificar se no mesmo um golpe ou cdigo malicioso. No ser um "caa-brindes", "papa-liquidaes" ou "destruidor-de-promoes", rs! Ao receber e-mails sobre brindes, promoes ou descontos, reserve um tempo para analisar o e-mail, sua procedncia e verificar no site da empresa as informaes sobre a promoo em questo. Vale lembrar que os sites das empresas e instituies financeiras tm mantido alertas em destaque sobre os golpes envolvendo seus servios. Assim, a visita ao site da empresa pode confirmar a promoo ou alert-lo sobre o golpe que acabou de receber por e-mail! Ferramentas de combate ao spam (anti-spams) so geralmente disponibilizadas do lado dos servidores de e-mail, filtrando as mensagens que so direcionadas nossa caixa postal. Importante que se tenha um filtro anti-spam instalado, ou ainda, usar os recursos anti-spam oferecidos por seu provedor de acesso. Alm do anti-spam, existem outras ferramentas bastante importantes para o usurio da rede: anti-spyware, firewall pessoal e antivrus, estudadas nesta aula. Mecanismos de Segurana
Utilizados para resguardar a segurana dos ambientes corporativos.

Nota No h um mecanismo nico que garanta todos os servios citados. Sempre haver a necessidade da utilizao de um conjunto de mecanismos para solucionar o problema proposto. Diante desse grande risco, uma srie de procedimentos de segurana, considerados como boas prticas de segurana podem ser implementadas para salvaguardar os ativos da organizao (CertBR, 2006), como os destacadas a seguir: Cuidados com Contas e Senhas (j caiu em prova!)
Criar uma senha que contenha pelo menos oito caracteres, compostos de letras, nmeros e smbolos; jamais utilizar como senha seu nome, sobrenomes, nmeros de documentos, placas de carros, nmeros de telefones, datas que possam ser relacionadas com voc ou palavras que faam parte de dicionrios; utilizar uma senha diferente para cada servio (por exemplo, uma senha para o banco, outra para acesso rede corporativa da sua empresa, outra para acesso a seu provedor de Internet etc.); alterar a senha com freqncia; criar tantos usurios com privilgios normais, quantas forem as pessoas que utilizam seu computador; utilizar o usurio Administrator estritamente necessrio. (ou root) somente quando for
Cuidados com Malwares (j caiu em prova!)
*Vrus

Instalar e manter atualizado um bom programa antivrus; atualizar as assinaturas do antivrus, de preferncia diariamente; configurar o antivrus para verificar os arquivos obtidos pela Internet, discos rgidos (HDs), flexveis (disquetes) e unidades removveis, como CDs, DVDs e pen drives; desabilitar no seu programa leitor de e-mails a auto-execuo de arquivos anexados s mensagens; no executar ou abrir arquivos recebidos por e-mail ou por outras fontes, mesmo que venham de pessoas conhecidas. Caso seja necessrio abrir o arquivo, certifique-se que ele foi verificado pelo programa antivrus;
utilizar na elaborao de documentos formatos menos suscetveis propagao de vrus, tais como RTF, PDF ou PostScript etc.
* Worms, bots e botnets
Seguir todas as recomendaes para preveno contra vrus listadas no item anterior; manter o sistema operacional e demais softwares sempre atualizados; aplicar todas as correes de segurana (patches) disponibilizadas pelos fabricantes, para corrigir eventuais vulnerabilidades existentes nos softwares utilizados; instalar um firewall pessoal, que em alguns casos pode evitar que uma vulnerabilidade existente seja explorada (observe que o firewall no corrige as vulnerabilidades!!) ou que um worm ou bot se propague.
*Cavalos de troia, backdoors, keyloggers e spywares
Seguir todas as recomendaes para preveno contra vrus, worms e bots; instalar um firewall pessoal, que em alguns casos pode evitar o acesso a um backdoor j instalado em seu computador etc.; utilizar pelo menos uma ferramenta anti-spyware e mant-la sempre atualizada.
Elaborao de uma Poltica de Segurana com o objetivo de solucionar ou minimizar as vulnerabilidades encontradas na organizao. Nesse contexto, dos principais itens necessrios para uma boa poltica de segurana pode-se citar os seguintes: Possuir instalaes fsicas adequadas que ofeream o mnimo necessrio para garantia da integridade dos dados. Controle de umidade, temperatura e presso. Sistema de aterramento projetado para suportar as descargas eltricas, extintores de incndio adequados para equipamentos eltricos/eletrnicos. Uso adequado de equipamentos de proteo e segurana tais como: UPS (no-break), filtro de linha, estabilizador de tenso. Manuteno do computador, limpeza e poltica da boa utilizao. Utilizao de sistemas operacionais que controlem o acesso de usurios e que possuem um nvel de segurana bem elaborado, juntamente com o controle de senhas.
Utilizao de sistemas de proteo de uma rede de computadores, tais como Firewall (sistema que filtra e monitora as aes na rede). Software antivrus atualizado constantemente. Sistema de criptografia (ferramenta que garante a segurana em todo ambiente computacional que precise de sigilo em relao s informaes que manipula). No envio de mensagens uma mensagem criptografada e se for interceptada dificilmente poder ser lida, somente o destinatrio possuir o cdigo necessrio. Treinamento e conscientizao de funcionrios para diminuir as falhas humanas. Realizao de backups (cpia de segurana para salvaguardar os dados, geralmente mantida em CDs, DVDs, fitas magnticas, pendrives, etc., para que possam ser restaurados em caso de perda dos dados originais). Procedimentos de Backup (Cpia de segurana)
O procedimento de backup (cpia de segurana) pode ser descrito de forma simplificada como copiar dados de um dispositivo para o outro com o objetivo de posteriormente recuperar as informaes, caso haja algum problema. Um backup envolve cpia de dados em um meio fisicamente separado do original, regularmente, de forma a proteg-los de qualquer eventualidade. Ou seja, copiar nossas fotos digitais, armazenadas no HD (disco rgido), para um DVD fazer backup. Se houver algum problema com o HD ou se acidentalmente apagarmos as fotos, podemos ento restaurar os arquivos a partir do DVD. Nesse exemplo, chamamos as cpias das fotos no DVD de cpias de segurana ou backup. Chamamos de restaurao o processo de copiar de volta ao local original as cpias de segurana. importante estabelecer uma poltica de backup que obedece a critrios bem definidos sobre a segurana da informao envolvida. Em suma, o objetivo principal dos backups garantir a disponibilidade da informao. Por isso a poltica de backup um processo relevante no contexto de segurana dos dados. Existem, basicamente, dois mtodos de Backup.
34
No Windows XP, por exemplo, tem-se o software Microsoft Backup, que ir ajud-lo nesta tarefa. Ao clicar com o boto direito do mouse no cone de um arquivo do Windows XP, e selecionar a opo Propriedades; em seguida, guia geral ->Avanado, ser exibida uma caixa o arquivo est pronto para ser arquivado, marcada como padro (No Windows XP, leia-se arquivo morto).
A tela seguinte desta a opo de arquivo morto obtida ao clicar com o boto direito do mouse no arquivo intitulado lattes.pdf, do meu computador que possui o sistema operacional Windows Vista.
Quando um arquivo est com esse atributo marcado, significa que ele dever ser copiado no prximo backup. Se estiver desmarcado, significa que, provavelmente, j foi feito um backup deste arquivo.
As principais tcnicas (tipos) de Backup, que podem ser combinadas com os mecanismos de backup on-line e off-line, esto listadas a seguir: **NORMAL (TOTAL ou GLOBAL) COPIA TODOS os arquivos e pastas selecionados. DESMARCA o atributo de arquivo morto (arquivamento): limpa os marcadores!! Caso necessite restaurar o backup normal, voc s precisa da cpia mais recente. Normalmente, este backup executado quando voc cria um conjunto de backup pela 1 vez. Agiliza o processo restaurado. de restaurao, pois somente um backup ser
**INCREMENTAL Copia somente os arquivos CRIADOS ou ALTERADOS desde o ltimo backup normal ou incremental. O atributo de arquivamento (arquivo morto) DESMARCADO: limpa os marcadores!!
**DIFERENCIAL Copia somente os arquivos CRIADOS ou ALTERADOS desde o ltimo backup normal ou incremental. O atributo de arquivamento (arquivo morto) NO ALTERADO: no limpa os marcadores!!
**CPIA (AUXILIAR ou SECUNDRIA) Faz o backup de arquivos e pastas selecionados. O atributo de arquivamento (arquivo morto) NO ALTERADO: no limpa os marcadores!
**DIRIO Copia todos os arquivos e pastas selecionados que foram ALTERADOS DURANTE O DIA da execuo do backup. O atributo de arquivamento (arquivo morto) NO ALTERADO: no limpa os marcadores! Para recuperar um disco a partir de um conjunto de backups (normal + incremental) ser necessrio o primeiro (normal) e todos os incrementais. Para recuperar um disco a partir de um conjunto de backups (normal + diferencial) basta o primeiro (normal) e o ltimo diferencial, j que este contm tudo que diferente do primeiro.
Quanto RECUPERAO do backup:
Aplicativos para Aprimoramento da Segurana **Antivrus Ferramentas preventivas e corretivas, que detectam (e, em muitos casos, removem) vrus de computador e outros programas maliciosos (como spywares e cavalos de troia). No impedem que um atacante explore alguma vulnerabilidade existente no computador. Tambm no evita o acesso no autorizado a um backdoor instalado no computador.
Figura. Telas do antivrus AVG e Panda Dicas!! interessante manter, em seu computador: Um antivrus funcionando constantemente (preventivamente). Esse programa (preventivo). antivrus verificando os e-mails constantemente
O recurso de atualizaes automticas das definies de vrus habilitado. As definies de vrus atualizadas constantemente (nem que para isso seja necessrio, todos os dias, executar a atualizao manualmente).
Figura. Tela de Atualizao de definies
37
**AntiSpyware O malware do tipo spyware pode se instalar no computador sem o seu conhecimento e a qualquer momento que voc se conectar Internet, e pode infectar o computador quando voc instala alguns programas usando um CD, DVD ou outra mdia removvel. Um spyware tambm pode ser programado para ser executado em horrios inesperados, no apenas quando instalado. A ferramenta antispyware uma forte aliada do antivrus, permitindo a localizao e bloqueio de spywares conhecidos e desconhecidos. Exemplo de ferramentas antispyware: Windows Defender, Spybot etc. Combate a Cdigos Maliciosos O combate a cdigos maliciosos poder envolver uma srie de aes, como: instalao de ferramentas antivrus e antispyware no computador, lembrando de mant-las atualizadas frequentemente. A banca pode citar ferramentas antimalware nesse contexto tambm; no realizar abertura de arquivos suspeitos recebidos por e-mail; fazer a instalao de patches de segurana e atualizaes corretivas de softwares e do sistema operacional quando forem disponibilizadas (proteo contra worms e bots), etc. **Detectores de Intruso - IPS/IDS Em um sistema em segurana de redes de computadores, a intruso qualquer conjunto de aes que tendem a comprometer a integridade, confidencialidade ou disponibilidade dos dados ou sistemas. Os intrusos em uma rede podem ser de dois tipos: internos (que tentam acessar informaes no autorizadas para ele); externos (tentam acessar informaes via Internet). IDS (Intrusion Detection Systems) so sistemas de deteco de intrusos, que tm por finalidade detectar atividades incorretas, maliciosas ou anmalas, em tempo real, permitindo que algumas aes sejam tomadas. Geram logs para casos de tentativas de ataques e para casos em que um ataque teve sucesso. Mesmo sistemas com Firewall devem ter formas para deteco de intrusos. Assim como os firewalls, os IDSs tambm podem gerar falsos positivos (Uma situao em que o firewall ou IDS aponta uma atividade como sendo um ataque, quando na verdade no ).
As informaes podem ser coletadas em redes, de vrias formas: Sistemas de deteco de intruso baseados em rede (NIDS) Neste tipo de sistema, as informaes so coletadas na rede, normalmente por dispositivos dedicados que funcionam de forma similar a sniffers de pacotes. Vantagens: diversas mquinas podem ser monitoradas utilizando-se apenas um agente (componente que coleta os dados). Desvantagens: o IDS enxerga apenas os pacotes trafegando, sem ter viso do que ocorre na mquina atacada. Sistemas de deteco de intruso baseados em host (HIDS) Coletam informaes dentro das mquinas monitoradas, o normalmente feito atravs de um software instalado dentro delas. Hybrid IDS Combina as 2 solues anteriores!! Sistemas Baseados em Kernel (Kernel Based) Cuidam basicamente de buffer overflow, ou seja, do estouro da capacidade de armazenamento temporrio. Sistemas de deteco de intrusos baseados em Kernel so uma nova forma de trabalho e esto comeando a ser utilizados em plataformas mais comuns, especialmente no Linux e outros sistemas Unix. Cabe ressaltar que o IDS (Intrusion Detection Systems) procura por ataques j catalogados e registrados, podendo, em alguns casos, fazer anlise comportamental. O IPS (Sistema de Preveno de Intruso - Intrusion Prevention Systems) que faz a deteco de ataques e intruses, e no o firewall!! Um IPS um sistema que detecta e obstrui automaticamente ataques computacionais a recursos protegidos. Diferente dos IDS tradicionais, que localizam e notificam os administradores sobre anomalias, um IPS defende o alvo sem uma participao direta humana. Em outras palavras, os IDS podem ser classificados em: passivos: fazem a anlise das informaes recebidas, SEM interferir no funcionamento da rede, comunicando os administradores em caso de alerta;
que
reativos: chamados de Intrusion Prevention Systems (IPS), pois, alm de emitir o alerta, podem tomar contramedidas, como resetar conexes suspeitas e fazer reprogramaes no firewall de acordo com a situao detectada. Caiu em prova (2010/Bco Amaznia) IDS e IPS so sistemas que protegem a rede de intruses, diferindo no tratamento dado quando uma intruso detectada. IDS limita-se a gerar alertas e ativar alarmes, e o IPS executa contramedidas, como interromper o fluxo de dados referente intruso detectada. Um dos grandes desafios dos sistemas de deteco de intrusos Minimizar FALSOS POSITIVOS e FALSOS NEGATIVOS!
Falso Positivo: o IDS gera um alarme de ataque na ocorrncia de um evento ou trfego normal. Falso Negativo: o IDS no gera alarme na ocorrncia de um evento ou trfego mal intencionado.
Cabe destacar que o falso positivo um evento observvel e relevante, que classificado pelo IDS como um evento intrusivo!! Seu maior problema a gerao de um grande nmero de alertas, o que dificulta a administrao e a anlise das informaes do IDS. Caiu na prova (2010/Bco Amaznia) A ocorrncia de falsos positivos normalmente acarreta consequncias mais graves para as redes que utilizam IPS do que para aquelas que usam IDS!! As consequncias mais graves ocorrero com a utilizao do IPS, j que executa contramedidas, como resetar conexes suspeitas e fazer reprogramaes no firewall de acordo com a situao detectada. **Firewall O firewall NO tem a funo de procurar por ataques. Ele realiza a filtragem dos pacotes e, ento, bloqueia as transmisses no permitidas. O firewall atua entre a rede externa e interna, controlando o trfego de informaes que existem entre elas, procurando certificar-se de que este trfego confivel, em conformidade com a poltica de segurana do site acessado. Tambm pode ser utilizado para atuar entre redes com necessidades de segurana distintas.
40
A RFC 2828 (Request for Coments n 2828) define o termo firewall como sendo uma ligao entre redes de computadores que restringe o trfego de comunicao de dados entre a parte da rede que est dentro ou antes do firewall, protegendo-a assim das ameaas da rede de computadores que est fora ou depois do firewall. Esse mecanismo de proteo geralmente utilizado para proteger uma rede menor (como os computadores de uma empresa) de uma rede maior (como a Internet). Um firewall deve ser instalado no ponto de conexo entre as redes, onde, atravs de regras de segurana, controla o trfego que flui para dentro e para fora da rede protegida. Pode ser desde um nico computador, um software sendo executado no ponto de conexo entre as redes de computadores ou um conjunto complexo de equipamentos e softwares.
Figura. Firewall Deve-se observar que isso o torna um potencial gargalo para o trfego de dados e, caso no seja dimensionado corretamente, poder causar atrasos e diminuir a performance da rede. Os firewalls so implementados, em regra, em dispositivos que fazem a separao da rede interna e externa, chamados de estaes guardis (bastion hosts). Quando o bastion host cai, a conexo entre a rede interna e externa pra de funcionar. As principais funcionalidades oferecidas pelos firewalls so: regular o trfego de dados entre uma rede local e a rede externa no confivel, por meio da introduo de filtros para pacotes ou aplicaes; impedir a transmisso e/ou recepo de acessos nocivos ou no autorizados dentro de uma rede local; mecanismo de defesa que restringe o fluxo de dados entre redes, podendo criar um log do trfego de entrada e sada da rede; proteo de sistemas vulnerveis ou crticos, ocultando informaes de rede como nome de sistemas, topologia da rede, identificaes dos usurios etc.
41
Definio de regras para firewalls Em alguns sistemas de firewall proprietrios, a definio das regras dos softwares de firewall realizada por meio de um conjunto de comandos lineares nos arquivos de configurao. As regras de firewall variam de software para software, mas tem uma sintaxe parecida: Comando: < comando de bloqueio ou liberao > < protocolo> < endereo IP de origem > <porta TCP de origem> < endereo IP de destino > <porta TCP de destino> <opo equal>. Ou < comando de bloqueio ou liberao > < protocolo> < endereo IP de origem >< endereo IP de destino > <porta TCP> <opo eq>. Exemplo: deny ip from any to any allow tcp from any 80 to any 80 allow tcp from 192.168.0.1 443 to any 443 Os comandos de negao (deny ou block) implementam regras para bloqueio dos pacotes. J os comandos de liberao (allow ou permit) implementam regras para liberar os pacotes das regras de bloqueio. J a opo eq (equal) indica que o trfego liberado na porta nos dois sentidos, ou seja, tanto para os pacotes que entram na rede interna como os que saem. Todos os pacotes que se enquadram nos comandos deny ou block so bloqueados, com exceo dos pacotes que se enquadrem nos comandos allow ou permit. Os firewalls podem trabalhar com dois tipos de poltica: a primeira a de liberar todo o trfego e em seguida criar restries de acesso (allow-deny). J a segunda, que utilizada como padro, a de restringir a entrada de todos os pacotes que no se enquadrem nas polticas de segurana (deny-allow). Ou seja, se bloqueia tudo e, em seguida, so criadas as regras para definir o que aceito pelo firewall. DMZ - Zona Desmilitarizada Tambm chamada de Rede de Permetro. Trata-se de uma pequena rede situada entre uma rede confivel e uma no confivel, geralmente entre a rede local e a Internet. A funo de uma DMZ manter todos os servios que possuem acesso externo (navegador, servidor de e-mails) separados da rede local limitando o dano em caso de comprometimento de algum servio nela presente por algum invasor. Para atingir este objetivo os computadores presentes em uma DMZ no devem conter nenhuma rota de acesso rede
local. O termo possui uma origem militar, significando a rea existente entre dois inimigos em uma guerra.
Figura. DMZ Filtro de Contedo Filtro de contedo (content filter) o mtodo que faz a anlise das informaes em uma rede de computadores com o objetivo de permitir ou negar o seu acesso com base em na poltica de segurana de uma organizao. Os filtros de contedo podem ser considerados como um gnero, enquanto que os firewalls, proxies e IPS/IDS so considerados espcies de filtros de contedo. Os filtros de contedo capturam as palavras dentro dos dados de aplicao nos pacotes e realizam a comparao com palavras-chave de listas de negao (blacklists) e listas de liberao (whitelists) de acesso. Se h uma palavra-chave em uma whitelist, ele permite o acesso independente das demais informaes. Se h uma palavra na blacklist, ele nega acesso informao, informando ao usurio, por meio de uma mensagem. Existem tambm as listas intermedirias (greylists), que liberam o acesso ao contedo apenas para as requisies originadas de um determinado grupo de usurio, negando o acesso aos demais. Os filtros de contedo podem ser classificados como Filtro de contedo Web (WebFilters): Esses filtros atuam como um proxy HTTP, analisando as informaes transmitidas por esse protocolo, com base nas whitelists, blacklists e greylists. Filtro de contedo de e-mail: So filtros sobre o contedo dos e-mails repassados pelos usurios. Eles podem atuar nos servidores de e-mail (Mail Transfer Agent MTA), fazendo a filtragem do contedo dos e-mails antes de transferi-los para a caixa postal do usurio, ou ento na transmisso dos pacotes, analisando o contedo do protocolo SMTP. Filtro de contedo de dados: normalmente, os IPS/IDS realizam o papel de filtros de contedo sobre os cdigos transferidos pela rede. Os IPS/IDS verificam a presena de trechos de cdigos nocivos e maliciosos, por meio da anlise de suas assinaturas.
RAID - Redundant Array of Independent Disks (Matriz redundante de discos independentes) Tecnologia utilizada para combinar diversos discos rgidos (IDE, SATA ou SCSI) para que sejam reconhecidos, pelo sistema operacional, como apenas UMA nica unidade de disco. Existem vrios tipos (chamados modos) de RAID, e os mais comuns so: RAID 0 (Stripping - Enfileiramento) Cada modo desses combina os discos rgidos de formas diferentes para obterem resultados diferentes. Combina dois (ou mais) HDs para que os dados gravados sejam divididos entre eles. No caso de um RAID 0 entre dois discos, os arquivos salvos nesse conjunto sero gravados METADE em um disco, METADE no outro. Ganha-se muito em velocidade o a gravao do arquivo feita em metade do tempo, porque se grava metade dos dados em um disco e metade no outro simultaneamente (o barramento RAID outro, separado, do IDE). o A leitura dos dados dos discos tambm acelerada! o Nesse RAID no h tolerncia a falhas (segurana) porque de um dos discos pifar, os dados estaro perdidos completamente. o No se preocupa com segurana e sim com a velocidade! RAID 1 (Mirroring - Espelhamento) Cria uma matriz (array) de discos espelhados (discos idnticos). O que se copia em um, copia-se igualmente no outro disco. O RAID 1 aumenta a segurana do sistema. RAID 1 aumenta a velocidade de leitura dos dados no disco (no a de escrita).
RAID 5 Sistema tolerante a falhas, cujos dados e paridades so distribudos ao longo de trs ou mais discos fsicos. A paridade um valor calculado que usado para reconstruir dados depois de uma falha. Se um disco falhar, possvel recriar os dados que estavam na parte com problema a partir da paridade e dados restantes.
Biometria Um sistema biomtrico, em mecanismos de autenticao, analisa uma amostra de corpo do usurio, envolvendo por exemplo: Impresso Digital (+usado); ris; Voz; Veias das Mos; Reconhecimento Facial (+usado).
Figura. Veias da palma da mo, impresso digital, reconhecimento da face, identificao pela ris ou retina, geometria da mo, etc. Virtual Private Network (VPN) Uma Virtual Private Network (VPN) ou Rede Virtual Privada uma rede privada (rede com acesso restrito) construda sobre a estrutura de uma rede pblica (recurso pblico, sem controle sobre o acesso aos dados), normalmente a Internet. Ou seja, ao invs de se utilizar links dedicados ou redes de pacotes para conectar redes remotas, utiliza-se a infraestrutura da Internet, uma vez que para os usurios a forma como as redes esto conectadas transparente. Normalmente as VPNs so utilizadas para interligar empresas em que os custos de linhas de comunicao direta de dados so elevados. Elas criam tneis virtuais de transmisso de dados utilizando criptografia para garantir a privacidade e integridade dos dados, e a autenticao para garantir que os dados esto sendo transmitidos por entidades ou dispositivos autorizados e no por outros quaisquer. Uma VPN pode ser criada tanto por dispositivos especficos, softwares ou at pelo prprio sistema operacional. Princpios bsicos (Caiu em prova!) Uma VPN deve prover um conjunto de funes que garantam alguns princpios bsicos para o trfego das informaes: 1. Confidencialidade tendo-se em vista que estaro sendo usados meios pblicos de comunicao, imprescindvel que a privacidade da informao seja garantida, de forma que, mesmo que os dados sejam capturados, no possam ser entendidos. 2. Integridade na eventualidade da informao ser capturada, necessrio garantir que no seja alterada e reencaminhada, permitindo que somente informaes vlidas sejam recebidas. 3. Autenticidade somente os participantes devidamente autorizados podem trocar informaes entre si, ou seja, um elemento da VPN somente reconhecer informaes originadas por um segundo elemento que tenha autorizao para fazer parte dela.
Noes sobre Criptografia A palavra criptografia composta dos termos gregos KRIPTOS (secreto, oculto, ininteligvel) e GRAPHO (escrita, escrever). Trata-se de um conjunto de conceitos e tcnicas que visa codificar uma informao de forma que somente o emissor e o receptor possam acess-la. Terminologia bsica sobre Criptografia: Mensagem ou texto: Informao que se deseja proteger. Esse texto quando em sua forma original, ou seja, a ser transmitido, chamado de texto puro ou texto claro. Remetente ou emissor: Pessoa que envia a mensagem. Destinatrio ou receptor: Pessoa que receber a mensagem. Encriptao: Processo em que um texto puro passa, transformando-se em texto cifrado. Desencriptao: Processo de recuperao de um texto puro a partir de um texto cifrado. Criptografar: Ato de encriptar um texto puro, assim descriptografar o ato de desencriptar um texto cifrado. como,
Chave: Informao que o remetente e o destinatrio possuem e que ser usada para criptografar e descriptografar um texto ou mensagem.
Algoritmos: Simtricos (ou convencional, chave privada, chave nica) ASSimtricos (ou chave pblica).
Criptografia de Chave Simtrica (tambm chamada de criptografia de chave nica, ou criptografia privada, ou criptografia convencional) Utiliza APENAS UMA chave para encriptar e decriptar as mensagens. Assim, como s utiliza UMA chave, obviamente ela deve ser compartilhada entre o remetente e o destinatrio da mensagem.
Para ilustrar os sistemas simtricos, podemos usar a imagem de um cofre, que s pode ser fechado e aberto com uso de uma chave. Esta pode ser, por exemplo, uma combinao de nmeros. A mesma combinao abre e fecha o cofre. Para criptografar uma mensagem, usamos a chave (fechamos o cofre) e para decifr-la utilizamos a mesma chave (abrimos o cofre). Na Criptografia Simtrica (ou de Chave nica) tanto o emissor quanto o receptor da mensagem devem conhecer a chave utilizada!! Ambos fazem uso da MESMA chave, isto , uma NICA chave usada na codificao e na decodificao da informao. A figura seguinte ilustra o processo de criptografia baseada em uma nica chave, ou seja, a chave que cifra uma mensagem utilizada para posteriormente decifr-la. As principais vantagens dos algoritmos Simtricos so: rapidez: um polinmio simtrico encripta um texto longo em milsimos de segundos; chaves pequenas: uma chave de criptografia de 128 bits torna um algoritmo simtrico praticamente impossvel de ser quebrado.
A maior desvantagem da criptografia simtrica que a chave utilizada para encriptar IGUAL chave que decripta. Quando um grande nmero de pessoas tem conhecimento da chave, a informao deixa de ser um segredo. O uso de chaves simtricas tambm faz com que sua utilizao no seja adequada em situaes em que a informao muito valiosa. Para comear, necessrio usar uma grande quantidade de chaves caso muitas pessoas estejam envolvidas. Ainda, h o fato de que tanto o emissor quanto o receptor precisam conhecer a chave usada.
A transmisso dessa chave de um para o outro pode no ser to segura e cair em "mos erradas", fazendo com que a chave possa ser interceptada e/ou alterada em trnsito por um inimigo. Existem vrios algoritmos que usam chaves simtricas, como o DES (Data Encryption Standard), o IDEA (International Data Encryption Algorithm), e o RC (Ron's Code ou Rivest Cipher).
Criptografia de Chave ASSimtrica (tambm chamada de Criptografia de Chave Pblica) Os algoritmos de Criptografia ASSimtrica (Criptografia de Chave Pblica) utilizam DUAS chaves DIFERENTES, uma PBLICA (que pode ser distribuda) e uma PRIVADA (pessoal e intransfervel). Assim, nesse mtodo cada pessoa ou entidade mantm duas chaves: uma pblica, que pode ser divulgada livremente, e outra privada, que deve ser mantida em segredo pelo seu dono. As mensagens codificadas com a chave pblica s podem ser decodificadas com a chave privada correspondente. Do ponto de vista do custo computacional, os sistemas simtricos apresentam melhor desempenho que os sistemas assimtricos, e isso j foi cobrado em provas vrias vezes! A figura seguinte ilustra o princpio da criptografia utilizando chave assimtrica. Tambm conhecida como "chave pblica", a tcnica de criptografia por chave aSSimtrica trabalha com DUAS chaves: uma denominada privada e outra denominada pblica. Nesse mtodo, uma pessoa deve criar uma chave de codificao e envi-la a quem for mandar informaes a ela. Essa a chave pblica. Outra chave deve ser criada para a decodificao. Esta a chave privada secreta.
48
Para entender melhor, imagine o seguinte: o USURIO-A criou uma chave pblica e a enviou a vrios outros sites. Quando qualquer desses sites quiser enviar uma informao criptografada ao USURIO-A dever utilizar a chave pblica deste. Quando o USURIO-A receber a informao, apenas ser possvel extra-la com o uso da chave privada, que s o USURIO-A tem. Caso o USURIO-A queira enviar uma informao criptografada a outro site, dever conhecer sua chave pblica. Entre os algoritmos que usam chaves assimtricas tm-se o RSA (o mais conhecido), o Diffie-Hellman, o DSA (Digital Signature Algorithm), o Schnorr (praticamente usado apenas em assinaturas digitais) e Diffie-Hellman.
Figura. Mapa mental relacionado Criptografia ASSimtrica PKI (Public Key Infrastrusture) a infraestrutura de chaves pblicas (ICP). A ICP-Brasil um exemplo de PKI. Assinatura Digital e Autenticao O glossrio criado pela ICP Brasil destaca que a Assinatura Digital um cdigo anexado ou logicamente associado a uma mensagem eletrnica que permite de forma nica e exclusiva a comprovao da autoria de um determinado conjunto de dados (um arquivo, um e-mail ou uma transao). A assinatura digital comprova que a pessoa criou ou concorda com um documento assinado digitalmente, como a assinatura de prprio punho comprova a autoria de um documento escrito. A verificao da origem do dado feita com a chave pblica do remetente. Stallings (2008) destaca que a assinatura digital um mecanismo de AUTENTICAO que permite ao criador de uma mensagem anexar um cdigo que atue como uma assinatura.
49
Em outras palavras, a assinatura digital consiste na criao de um cdigo, atravs da utilizao de uma chave privada, de modo que a pessoa ou entidade que receber uma mensagem contendo este cdigo possa verificar se o remetente mesmo quem diz ser e identificar qualquer mensagem que possa ter sido modificada. A assinatura formada tomando o hash da mensagem e criptografando-a com a chave privada do criador. A assinatura garante a ORIGEM e a INTEGRIDADE da mensagem. HASH (Message Digest Resumo de Mensagem): Mtodo matemtico unidirecional, ou seja, s pode ser executado em um nico sentido (ex.: voc envia uma mensagem com o hash, e este no poder ser alterado, mas apenas conferido pelo destinatrio). Utilizado para garantir a integridade (no alterao) de dados durante uma transferncia. Se Jos quiser enviar uma mensagem assinada para Maria, ele codificar a mensagem com sua chave privada. Neste processo ser gerada uma assinatura digital, que ser adicionada mensagem enviada para Maria. Ao receber a mensagem, Maria utilizar a chave pblica de Jos para decodificar a mensagem. Neste processo ser gerada uma segunda assinatura digital, que ser comparada primeira. Se as assinaturas forem idnticas, Maria ter certeza que o remetente da mensagem foi o Jos e que a mensagem no foi modificada. importante ressaltar que a segurana do mtodo baseia-se no fato de que a chave privada conhecida apenas pelo seu dono. Tambm importante ressaltar que o fato de assinar uma mensagem NO significa gerar uma mensagem sigilosa. Para o exemplo anterior, se Jos quisesse assinar a mensagem e ter certeza de que apenas Maria teria acesso a seu contedo, seria preciso codific-la com a chave pblica de Maria, depois de assin-la. Certificado Digital Um certificado digital um documento eletrnico que identifica pessoas, fsicas ou jurdicas, URLs, contas de usurio, servidores (computadores) dentre outras entidades. Este documento na verdade uma estrutura de dados que contm a chave pblica do seu titular e outras informaes de interesse. Contm informaes relevantes para a identificao real da entidade a que visam certificar (CPF, CNPJ, endereo, nome, etc.) e informaes relevantes para a aplicao a que se destinam. O certificado digital precisa ser emitido por uma autoridade reconhecida pelas partes interessadas na transao. Chamamos essa autoridade de Autoridade Certificadora, ou AC. O certificado fica armazenado em dispositivos de segurana, como por ex.: Token ou Smart Card, ilustrados na figura a seguir.
50
Token
Smart Card ou carto inteligente Figura. Ilustrao de dispositivos de segurana Quanto aos objetivos do certificado digital podemos destacar: Transferir a credibilidade que hoje baseada em papel e conhecimento para o ambiente eletrnico. Vincular uma chave pblica a um titular (eis o objetivo principal). O certificado digital precisa ser emitido por uma autoridade reconhecida pelas partes interessadas na transao, conforme visto na prxima figura. Chamamos essa autoridade de Autoridade Certificadora, ou AC.
Figura. Vnculo da Chave Pblica ao Titular Dentre as informaes que compem a estrutura de um certificado temos: Verso Indica qual formato de certificado est sendo seguido. Nmero de srie Nome do titular Chave pblica do titular
Identifica unicamente um certificado dentro do escopo do seu emissor. Nome da pessoa, URL ou demais informaes que esto sendo certificadas. Informaes da chave pblica do titular.
51
Perodo de validade Nome do emissor Assinatura do emissor Algoritmo de assinatura do emissor Extenses
Data de emisso e expirao. Entidade que emitiu o certificado. Valor da assinatura digital feita pelo emissor. Identificador dos algoritmos de hash + assinatura utilizados pelo emissor para assinar o certificado. Campo opcional para estender o certificado.
Um exemplo destacando informaes do certificado pode ser visto na figura seguinte:
Certificao Digital Atividade de reconhecimento em meio eletrnico que se caracteriza pelo estabelecimento de uma relao nica, exclusiva e intransfervel entre uma chave de criptografia e uma pessoa fsica, jurdica, mquina ou aplicao. Esse reconhecimento inserido em um Certificado Digital, por uma Autoridade Certificadora.
52
Auditoria de TI Definio de Auditoria uma atividade que engloba o exame de operaes, processos, sistemas e responsabilidades gerenciais de uma determinada empresa, com intuito de verificar sua conformidade com certos objetivos e polticas institucionais, oramentos, regras, normas ou padres. A auditoria da tecnologia da informao (TI) fundamental para as organizaes modernas, por se tratar de uma atividade que tem por base a anlise detalhada dos dados de uma empresa, abrangendo a verificao de vrias informaes que a mesma produz, com objetivos especficos que podem contribuir para se evitar erros ou mesmo fraudes na mesma. Tipos de Auditoria ** Auditoria Externa Segundo posicionamento da INTOSAI (Apud TCU, 1995, p. 3): Auditoria externa a auditoria realizada por um organismo externo e independente da entidade fiscalizada, tendo por objetivo, por um lado, emitir parecer sobre as contas e a situao financeira, a legalidade e regularidade das operaes e/ou sobre a gesto e, por outro, elaborar os relatrios correspondentes. ** Auditoria Interna aquela que ocorre atravs da verificao e avaliao dos sistemas e procedimentos internos pelo departamento interno, visando minimizar fraudes e erros variados. ** Auditoria Articulada Envolve um trabalho conjunto entre as duas auditorias anteriores, uma vez que h superposio de responsabilidades dos rgos fiscalizadores que utilizam recursos e comunicao recproca dos resultados. Noes sobre a NBR ISO/IEC 27001:2006 1 Objetivo A Norma NBR ISO/IEC 27001, lanada oficialmente em 2006 foi preparada para prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gesto de Segurana da Informao (SGSI). O SGSI, documentado dentro do contexto dos riscos de negcio globais da organizao, projetado para assegurar a seleo de controles de
segurana adequados e proporcionados para proteger informao e propiciar confiana s partes interessadas.
os
ativos
de
Os requisitos definidos nesta norma so genricos e pretendido que sejam aplicveis a TODAS as organizaes, independentemente de tipo, tamanho e natureza. Qualquer excluso de controles considerados necessrios para satisfazer aos critrios de aceitao de riscos precisa ser justificada e as evidncias de que os riscos associados foram aceitos pelas pessoas responsveis precisam ser fornecidas. 2 Abordagem de processo A abordagem de processo para a gesto da segurana da informao apresentada pela NBR ISO/IEC 27001 encoraja que seus usurios enfatizem a importncia de: entendimento dos requisitos de segurana da informao de uma organizao e da necessidade de estabelecer uma poltica e objetivos para a segurana de informao; implementao e operao de controles para gerenciar os riscos de segurana da informao de uma organizao no contexto dos riscos de negcio globais da organizao; monitorao e anlise crtica do desempenho e eficcia do SGSI; e melhoria contnua baseada em medies objetivas. A NBR ISO/IEC 27001 adota o modelo conhecido como "Plan-Do-CheckAct (PDCA), aplicado para estruturar TODOS os processos do SGSI, de forma que as entradas do processo so as expectativas e requisitos de segurana de informao da organizao. Como sada desse processo, temos a Gesto da Segurana da Informao propriamente dita. Dessa maneira, essa norma foi projetada para permitir a uma organizao alinhar ou integrar seu SGSI com requisitos de sistemas de gesto relacionados. (Importante)
Figura Modelo PDCA aplicado aos processos do SGSI Fonte: NBR ISO/IEC 27001
Ciclo PDCA Plan (planejar)
Etapa do Processo Estabelecer o SGSI.
Descrio Estabelecer a poltica, objetivos, processos e procedimentos do SGSI, relevantes para a gesto de riscos e a melhoria da segurana da informao para produzir resultados de acordo com as polticas e objetivos globais de uma organizao. Implementar e operar a poltica, controles, processos e procedimentos do SGSI. Avaliar e, quando aplicvel, medir o desempenho de um processo frente poltica, objetivos e experincia prtica do SGSI e apresentar os resultados para a anlise crtica pela direo.
Do (fazer) Check (checar)
Implementar e operar o SGSI. Monitorar e analisar criticamente o SGSI.
Act (agir)
Manter e melhorar Executar as aes corretivas e o SGSI. preventivas, com base nos resultados da auditoria interna do SGSI e da anlise crtica pela direo ou outra informao pertinente, para alcanar a melhoria contnua do SGSI.
3 Sistema de gesto de segurana da informao (SGSI) Segundo a NBR ISO/IEC 27001, a organizao deve estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto das atividades de negcio globais da organizao e dos riscos que ela enfrenta. Norma ABNT NBR ISO/IEC 27002:2005 A ABNT NBR ISO/IEC 17799:2005 (renumerada para ABNT NBR ISO/IEC 27002) estabelece diretrizes e princpios gerais para iniciar, implementar, manter e melhorar a gesto de segurana da informao em uma organizao. Os objetivos definidos nesta norma proveem diretrizes gerais sobre as metas geralmente aceitas para a gesto da segurana da informao.
55
Cabe ressaltar que no h certificao para pessoas, somente para as empresas. E essa certificao baseada na ISO/IEC 27001 e no na ISO/IEC 27002!! A norma 27001 usada para fins de certificao (faz referncia aos controles apenas para fins de checagem para certificao). a norma que deve ser adotada como base para uma organizao que deseja implantar um Sistema de Gesto de Segurana da Informao (SGSI). As principais sees da norma ABNT NBR ISO IEC 17799:2005 (renumerada para ABNT NBR ISO/IEC 27002) so as seguintes: 0. Introduo 1. Objetivo 2. Termos e definies 3. Estrutura da norma 4. Anlise/avaliao e tratamento de riscos 5. Poltica de segurana da informao 6. Organizando a segurana da informao 7. Gesto de ativos 8. Segurana em recursos humanos 9. Segurana fsica e do ambiente 10. Gerenciamento das operaes e comunicaes 11. Controle de acessos. 12. Aquisio, desenvolvimento e manuteno de sistemas de informao 13. Gesto de incidentes de segurana da informao 14. Gesto da continuidade do negcio 15. Conformidade Conforme visto na tabela seguinte, a norma contm 11 sees de controles de segurana, totalizando 39 categorias principais de segurana e uma seo introdutria que aborda a anlise/avaliao e o tratamento de riscos.
56
N Seo 5 6 7 8 9 10 11 12 Poltica de Informao.
Nome
Objetivos Controles de Controle (categorias) da 1 2 2 Recursos e do e 3 2 10 7 6 2 11 5 9 13 32 25 16
Segurana
Organizando a Segurana da Informao. Gesto de Ativos. Segurana Humanos. Segurana Ambiente. em Fsica
Gesto das Operaes Comunicaes. Controle de Acessos.
Aquisio, Desenvolvimento e Manuteno de Sistemas de Informao. Gesto de Incidentes Segurana da Informao. Gesto da Negcio. Total Continuidade de do
13 14 15
2 1 3 39
5 5 10 133
Conformidade.
Ao todo, a norma apresenta 39 objetivos de controle (categorias) e 133 controles de segurana. A ordem das sees no segue um grau de importncia, ficando a cargo de cada organizao identificar as sees aplicveis e a relevncia de cada uma.
57
MEMOREX Engenharia Social: Tcnica de ataque que explora as fraquezas humanas e sociais, em vez de explorar a tecnologia. Malwares (combinao de malicious software programa malicioso): programas que executam deliberadamente aes mal-intencionadas em um computador, como vrus, worms, bots, cavalos de troia, spyware, keylogger, screenlogger.
No repdio: Garantia que o emissor de uma mensagem ou a pessoa que executou determinada transao de forma eletrnica no poder posteriormente negar sua autoria, visto que somente aquela chave privada poderia ter gerado aquela assinatura digital. Deste modo, a menos de um uso indevido do certificado digital, fato que no exime de responsabilidade, o autor no pode negar a autoria da transao. Transaes digitais esto sujeitas a fraude, quando sistemas de Com putador so acessados indevidamente ou infectados por cavalos de troia ou vrus. Assim os participantes podem, potencialmente, alegar fraude para repudiar uma transao. Phishing ou scam: Tipo de fraude eletrnica projetada para roubar informaes particulares que sejam valiosas para cometer um roubo ou fraude posteriormente. Pharming: Ataque que consiste em corromper o DNS em uma rede de computadores, fazendo com que a URL de um site passe a apontar para o IP de um servidor diferente do original.
58
No ataque de negao de servio (denial of service - DoS) o atacante utiliza um computador para tirar de operao um servio ou computador(es) conectado(s) Internet!! No ataque de negao de servio distribudo (DDoS) um conjunto de computadores utilizado para tirar de operao um ou mais servios ou computadores conectados Internet. Spams: Mensagens de correio eletrnico no autorizadas ou no solicitadas pelo destinatrio, geralmente de conotao publicitria ou obscena. Sniffer: Ferramenta capaz de interceptar e registrar o trfego de dados em uma rede de computadores. Botnets: Redes formadas por diversos computadores infectados com bots (Redes Zumbis). Podem ser usadas em atividades de negao de servio, esquemas de fraude, envio de spam, etc. Firewall: Um sistema para controlar o acesso s redes de computadores, desenvolvido para evitar acessos no autorizados em uma rede local ou rede privada de uma corporao. VPN (Virtual Private Network Rede Privada Virtual): Rede privada que usa a estrutura de uma rede pblica (como a Internet) para transferir seus dados (os dados devem estar criptografados para passarem despercebidos e inacessveis pela Internet). Vulnerabilidade: Fragilidade que poderia ser explorada por uma ameaa para concretizar um ataque. Ex.: notebook sem as atualizaes de segurana do sistema operacional. Anti-spam: Ferramenta utilizada para filtro de mensagens indesejadas. Existem vrios tipos de RAID (Redundant Array of Independent Disks), e os mais comuns so: RAID 0, RAID 1, RAID 10 (tambm conhecido como 1+0) e RAID 5. Backup (cpia de segurana): envolve a cpia dos dados de um dispositivo para o outro com o objetivo de posteriormente recuperar as informaes, caso haja algum problema. Procure fazer cpias regulares dos dados do computador, para recuperar-se de eventuais falhas e das consequncias de uma possvel infeco por vrus ou invaso. RAID no backup! RAID Medida de redundncia. Backup Medida de recuperao de desastre.
59
Principais tipos de backup: INCREMENTAL Copia somente os arquivos CRIADOS ou ALTERADOS desde o ltimo backup normal ou incremental. O atributo de arquivamento (arquivo morto) DESMARCADO. CPIA (AUXILIAR ou SECUNDRIA) COPIA TODOS os arquivos selecionados, assim como no backup normal. O atributo de arquivamento (arquivo morto) NO ALTERADO. DIRIO Copia todos os arquivos selecionados que foram ALTERADOS NO DIA da execuo do backup. O atributo de arquivamento (arquivo morto) NO ALTERADO.
HASH (Message Digest Resumo de Mensagem): Mtodo matemtico unidirecional, ou seja, s pode ser executado em um nico sentido (ex.: voc envia uma mensagem com o hash, e este no poder ser alterado, mas apenas conferido pelo destinatrio). Utilizado para garantir a integridade (no-alterao) de dados durante uma transferncia.
60
Risco: Medido pela probabilidade de uma ameaa acontecer e causar algum dano potencial empresa.
Figura. Impacto de incidentes de segurana nos negcios Texto Cifrado: Dado que foi criptografado. O texto cifrado a sada do processo de criptografia e pode ser transformado novamente em informao legvel em forma de texto claro a partir da chave de decifrao. Texto Claro: Dado que est no estado no cifrado ou decifrado.
Muito bem, aps termos visto os conceitos primordiais de segurana para a prova, vamos s questes!!
61
LISTA DE QUESTES COMENTADAS 1. (FCC/2012/TRT-11.Regio/Provas de Analista Judicirio e Tcnico Judicirio) Quando o cliente de um banco acessa sua conta corrente atravs da internet, comum que tenha que digitar a senha em um teclado virtual, cujas teclas mudam de lugar a cada caractere fornecido. Esse procedimento de segurana visa evitar ataques de (A) spywares e adwares. (B) keyloggers e adwares. (C) screenloggers e adwares. (D) phishing e pharming. (E) keyloggers e screenloggers. Comentrios J vimos a definio de todas as ameaas nesta aula. O teclado virtual uma forma de preveno contra os programas maliciosos (malwares) keyloggers (capazes de capturar e armazenar as teclas digitadas pelo usurio no teclado de um computador) e screenloggers (que tentam coletar dados vindos da tela do computador). Portanto, a letra E a resposta da questo! Gabarito: letra E. 2. (FCC/TRE-CE/Analista Judicirio/Anlise de Sistemas/2012) Em relao segurana da informao, considere: I. Capacidade do sistema de permitir que alguns usurios acessem determinadas informaes, enquanto impede que outros, no autorizados, sequer as consultem. II. Informao exposta, sob risco de manuseio (alteraes no aprovadas e fora do controle do proprietrio da informao) por pessoa no autorizada. III. O sistema deve ter condies de verificar a identidade dos usurios, e este ter condies de analisar a identidade do sistema. Os itens I, II e III, associam-se, direta e respectivamente, aos princpios de a) confidencialidade, integridade e autenticidade. b) autenticidade, confidencialidade e irretratabilidade. c) confidencialidade, confidencialidade e irretratabilidade. d) autenticidade, confidencialidade e autenticidade. e) integridade, confidencialidade e integridade.
Comentrios Vamos caracterizao dos princpios destacados na questo: Item I. Confidencialidade (sigilo): a garantia de que a informao no ser conhecida por quem no deve. O acesso s informaes deve ser limitado, ou seja, somente as pessoas explicitamente autorizadas podem acess-las. Perda de confidencialidade significa perda de segredo. Se uma informao for confidencial, ela ser secreta e dever ser guardada com segurana, e no divulgada para pessoas no-autorizadas. Exemplo: o nmero do seu carto de crdito s poder ser conhecido por voc e pela loja onde usado. Se esse nmero for descoberto por algum mal-intencionado, o prejuzo causado pela perda de confidencialidade poder ser elevado, j que podero se fazer passar por voc para realizar compras pela Internet, proporcionando-lhe prejuzos financeiros e uma grande dor de cabea! Item II. Integridade: esse princpio destaca que a informao deve ser mantida na condio em que foi liberada pelo seu proprietrio, garantindo a sua proteo CONTRA MUDANAS INTENCIONAIS, INDEVIDAS OU ACIDENTAIS. Em outras palavras, a garantia de que a informao que foi armazenada a que ser recuperada!!! O fato de se ter a informao exposta, com alteraes no aprovadas e fora do controle do proprietrio da informao por pessoa no autorizada est relacionada a esse princpio. Observe que a quebra de integridade pode ser considerada sob 2 aspectos: 3. alteraes nos elementos que suportam a informao - so feitas alteraes na estrutura fsica e lgica em que uma informao est armazenada. Por exemplo quando so alteradas as configuraes de um sistema para ter acesso a informaes restritas; 4. alteraes do contedo dos documentos: ex1.: imagine que algum invada o notebook que est sendo utilizado para realizar a sua declarao do Imposto de Renda deste ano, e, momentos antes de voc envi-la para a Receita Federal a mesma alterada sem o seu consentimento! Neste caso, a informao no ser transmitida da maneira adequada, o que quebra o princpio da integridade; ex2: alterao de sites por hackers. Item III. Autenticidade: a capacidade de garantir a IDENTIDADE de uma pessoa (fsica ou jurdica) que acessa as informaes do sistema ou de um servidor (computador) com quem se estabelece uma transao (de comunicao, como um e-mail, ou comercial, como uma venda on-line). por meio da autenticao que se confirma a identidade da pessoa ou entidade que presta ou acessa as informaes. Gabarito: letra A.
3. (FCC/2012/TRE-CE - Tcnico Judicirio - Programao de Sistemas) Sobre segurana da informao, analise: I. obtida a partir da implementao de um conjunto de controles adequados, incluindo polticas, processos, procedimentos, estruturas organizacionais e funes de software e hardware. II. A interconexo de redes pblicas e privadas e o compartilhamento de recursos de informao aumentam a dificuldade de se controlar o acesso. A tendncia da computao distribuda aumenta a eficcia da implementao de um controle de acesso centralizado. III. Os controles de segurana precisam ser estabelecidos, implementados, monitorados, analisados criticamente e melhorados, onde necessrio, para garantir que os objetivos do negcio e de segurana da organizao sejam atendidos. Convm que isto seja feito em conjunto com outros processos de gesto do negcio. IV. importante para os negcios, tanto do setor pblico como do setor privado, e para proteger as infraestruturas crticas. Em ambos os setores, a funo da segurana da informao viabilizar os negcios como o governo eletrnico (e-gov) ou o comrcio eletrnico (e-business), e evitar ou reduzir os riscos relevantes. Est correto o que consta em a) I, II, III e IV. b) I, III e IV, apenas c) I e IV, apenas. d) III e IV, apenas. e) I e II, apenas. Comentrios A nica assertiva indevida a da letra B. A tendncia da computao distribuda REDUZ a eficcia da implementao de um controle de acesso centralizado. Gabarito: letra B. 4. (FGV/2009/ICMS-RJ) No Brasil, a NBR ISO 17799 constitui um padro de recomendaes para prticas na gesto de Segurana da Informao. De acordo com o estabelecido nesse padro, trs termos assumem papel de importncia capital: confidencialidade, integridade e disponibilidade. Nesse contexto, a confidencialidade tem por objetivo:
64
(A) salvaguardar a exatido e a inteireza das informaes e mtodos de processamento. (B) salvaguardar os dados gravados no backup por meio de software que utilize assinatura digital. (C) permitir que os usurios tenham acesso aos arquivos de backup e aos mtodos de criptografia empregados. (D) permitir que os usurios autorizados tenham acesso s informaes e aos ativos associados, quando necessrio. (E) garantir que as informaes sejam acessveis apenas para aqueles que estejam autorizados a acess-las. Comentrios Para os propsitos da norma, as definies seguintes se aplicam: a segurana de informaes busca a preservao da confidencialidade, integridade e disponibilidade das informaes. Confidencialidade: garantir que as informaes sejam acessveis apenas para aqueles que esto autorizados a acess-las. Integridade: salvaguardar a exatido e a inteireza das informaes e mtodos de processamento. Disponibilidade: assegurar que os usurios autorizados tenham acesso s informaes e aos ativos associados quando necessrio.
Gabarito: letra E. 5. (FCC/2006/TRTMS/Analista Sistemas) Segundo a NBR ISO/IEC 17799:2001, o conceito de segurana da informao caracterizado pela preservao de: I.que a garantia de que a informao acessvel somente por pessoas autorizadas a terem acesso; II.que a salvaguarda da exatido e completeza da informao e dos mtodos de processamento; III.que a garantia de que os usurios autorizados obtenham acesso informao e aos ativos correspondentes, sempre que necessrio. Preencham correta e respectivamente as lacunas I, II e III: (a)disponibilidade integridade confidencialidade (b)confidencialidade integridade disponibilidade (c)integridade confidencialidade disponibilidade (d)confidencialidade disponibilidade - integridade
(e) disponibilidade - confidencialidade integridade Comentrios Agora ficou bem fcil!! Mais uma vez, em outras palavras, para memorizar ! Item I. Est relacionando o princpio da confidencialidade (ou sigilo), que ir prevenir o acesso no autorizado informao. Item II. A integridade ir prevenir a alterao ou modificao no autorizada (acidental ou no) da informao e de todo o ambiente que suporta a informao. Observe que h vrias maneiras de se alterar uma mensagem: modificar uma parte, inserir texto novo, reordenar a mensagem, retransmisso de mensagem antiga etc. A integridade pode ser comprometida de duas maneiras: alterao maliciosa: quando um atacante altera a mensagem armazenada ou em trnsito. No caso da alterao maliciosa, a maior preocupao, em geral, detectar ataques ativos (alterao de dados) muito mais do que corrigir a modificao. Quando um ataque detectado, deve-se parar o ataque e depois retransmitir a mensagem; alterao acidental: pode acontecer, por exemplo, por erros de transmisso ou corrupo de dados armazenados. Em relao alterao acidental, muitos protocolos de transmisso incluem cdigos de deteco e/ou correo de erros, isto , parte da mensagem destina-se a detectar se esta foi alterada (deteco de erro) e, em alguma medida, corrigir os erros.
Item III. Est relacionado disponibilidade, que permite acesso autorizado informao sempre que necessrio! Gabarito: letra B. 6. (FCC/TRT-24 Regio/Analista Judicirio/Tecnologia Informao/2011/Adaptada) Considere: da
I. Garantia de que o acesso informao seja obtido somente por pessoas autorizadas. II. Salvaguarda da exatido e completeza da informao e dos mtodos de processamento. III. Garantia de que os usurios autorizados obtenham acesso informao e aos ativos correspondentes sempre que necessrio. Na ISO/IEC 17799(renomeada para 27002), I, II e III correspondem, respectivamente, a a) disponibilidade, integridade e confiabilidade. b) confiabilidade, integridade e distributividade.
c) confidencialidade, integridade e disponibilidade. d) confidencialidade, confiabilidade e disponibilidade. e) integridade, confiabilidade e disponibilidade. Comentrios Bem, pessoal, se pararam para analisar, essa questo idntica de 2006. Recapitulando temos: Princpio bsico Conceito Propriedade de que a informao no esteja disponvel ou revelada a indivduos, entidades ou processos no autorizados. Propriedade de salvaguarda da exatido e completeza de ativos Objetivo
Confidencialidade
Proteger contra o acesso no autorizado, mesmo para dados em trnsito.
Integridade
Proteger informao contra modificao sem permisso; garantir a fidedignidade das informaes. Proteger contra indisponibilidade dos servios (ou degradao); garantir aos usurios com autorizao, o acesso aos dados.
Disponibilidade
Propriedade de estar acessvel e utilizvel sob demanda por uma entidade autorizada
Gabarito: letra C. 7. (FCC/TRE-CE/Analista Judicirio/Anlise de Sistemas/2012) Em relao vulnerabilidades e ataques a sistemas computacionais, correto afirmar: a) Medidas de segurana podem ser definidas como aes que visam eliminar riscos para evitar a concretizao de uma vulnerabilidade. b) O vazamento de informao e falha de segurana em um software constituem vulnerabilidades. c) Roubo de informaes e perda de negcios constitui ameaas. d) Medidas de segurana podem ser definidas como aes que visam eliminar vulnerabilidades para evitar a concretizao de uma ameaa.
e) rea de armazenamento sem proteo e travamento automtico da estao aps perodo de tempo sem uso constituem ameaa. Comentrios Item A. Item errado. Os ATIVOS so os elementos que sustentam a operao do negcio e estes sempre traro consigo VULNERABILIDADES que, por sua vez, submetem os ativos a AMEAAS. Vulnerabilidade uma evidncia ou fragilidade que eleva o grau de exposio dos ativos que sustentam o negcio, aumentando a probabilidade de sucesso pela investida de uma ameaa. Nesse contexto, medidas de segurana podem ser definidas como aes que visam eliminar vulnerabilidades para evitar a concretizao de uma ameaa. Item B. Item errado. O vazamento de informao uma ameaa e a falha de segurana em um software uma vulnerabilidade (fragilidade que poderia ser explorada por uma ameaa para concretizar um ataque).
Item C. Item errado. So impactos sobre o negcio da organizao.
68
protege
Ativos
sujeitos
Ciclo da segurana
Medidas de Segurana
diminui
Riscos
aumenta
Vulnerabilidades
limitados Impactos no negcio

aumenta aumenta aumenta
permitem
Ameaas
Confidencialidade Integridade Disponibilidade causam perdas
Figura. Ciclo da Segurana da Informao. Fonte: (MOREIRA, 2001) Item D. Item correto, conforme comentrio anterior. Item E. Item errado. rea de armazenamento sem proteo uma vulnerabilidade e travamento automtico da estao aps perodo de tempo sem uso constitui uma medida de segurana. Gabarito: letra D. 8. (FCC/2012/TRE-CE/Analista Judicirio/Anlise de Sistemas /2012) Ao elaborar e comunicar uma Poltica de Segurana da Informao - PSI necessrio usar uma linguagem conhecida e meios adequados aos tipos de mensagens e usurios; adotar estilo simples e claro; respeitar o interlocutor sem superestim-lo nem subestim-lo; respeitar a cultura organizacional e a do pas a que se destina. Nesse sentido, correto concluir que tal afirmao a) adere parcialmente s expectativas de uma PSI, pois a poltica deve ser nica, e no deve levar em conta caractersticas humanas e legais do pas no qual ela aplicada. b) adere parcialmente s expectativas de uma PSI, tendo em vista que ela deve ser construda considerando uma linguagem tecnolgica desvinculada de adoo de estilos. c) adere integralmente a formulao de uma PSI, pois ao elaborar uma poltica necessrio que ela seja ajustada a cada instituio e deve ser comunicada de maneira que todos entendam.
d) adere parcialmente s expectativas de uma PSI, porque os atributos do interlocutor no devem constituir relevncia, j que todos os usurios, presumivelmente, foram selecionados pela empresa para entenderem a tecnologia usada. e) no atende aos propsitos de uma PSI, pois linguagem, estilo e interlocutor no podem sobrepor-se linguagem tecnolgica e preciso levar em conta a cultura do pas no qual ela aplicada, a linguagem tecnolgica utilizada e os nveis de sensibilidade de cada tipo de interlocutor. Comentrios TCU (2007) destaca que a Poltica de Segurana de Informaes um conjunto de princpios que norteiam a gesto de segurana de informaes e que deve ser observado pelo corpo tcnico e gerencial e pelos usurios internos e externos. As diretrizes estabelecidas nesta poltica determinam as linhas mestras que devem ser seguidas pela organizao para que sejam assegurados seus recursos computacionais e suas informaes. A poltica de segurana da informao tem como objetivo prover uma orientao e apoio da direo para a segurana da informao de acordo com os requisitos do negcio e com as leis e regulamentaes relevantes (ABNT NBR ISO/IEC 27002:2005). Gabarito: letra C. 9. (FCC/2011/TRE-TO/Analista Judicirio Judiciria) Uma das formas de proteger o sigilo da informao que trafega na Internet : a) no fazer os downloads em notebooks. b) no responder e-mails que chegam "com cpia oculta". c) mandar e-mails somente a pessoas da lista pessoal. d) no usar a opo "com cpia para" do correio eletrnico. e) a criptografia
Comentrios Ao enviar informaes sigilosas via internet deve-se utilizar de um sistema que faa a codificao (chave, cifra), de modo que somente as mquinas que conhecem o cdigo consigam decifr-lo. a criptografia, portanto, a medida de segurana a ser adotada para resguardar o sigilo da informao que trafega pela Internet. Gabarito: letra E.
10. (FCC/TRE-CE/Analista Judicirio Anlise de Sistemas/2012/Adaptada) Em relao criptografia correto afirmar: a) Em uma rede privada virtual no possvel enviar dados criptografados atravs da Internet. b) A criptografia de chave simtrica utiliza uma chave pblica e uma chave privada para codificar e decodificar a mesma informao. c) Os mtodos de criptografia, via de regra, so divididos em chave simtrica e chave assimtrica. d) RSA um algoritmo de criptografia, embasado no conceito de chave simtrica. e) Redundncia e atualidade so os dois princpios fundamentais da criptografia. Comentrios Dois princpios fundamentais da criptografia merecem destaque aqui. So eles: redundncia (as mensagens devem conter alguma redundncia) e atualidade (visa garantir que a mensagem uma mensagem atual vlida, e no uma mensagem antiga, evitando assim replay attacks) (Tanenbaum, 4 edio). Gabarito: letra E. 11. (FCC/TRE-CE/Tcnico Judicirio Programao Sistemas/2012) De acordo com a NBR ISO/IEC 27002: de
a) A anlise/avaliao de riscos no deve ser feita periodicamente para no impactar nos custos dos projetos de software ou hardware. b) A seleo de controles de segurana da informao depende das decises da organizao, baseadas nos critrios para ignorar o risco, nas opes para tratamento do risco e no enfoque geral da gesto de risco aplicado organizao. Convm que esteja sujeito apenas s legislaes e regulamentaes nacionais relevantes. c) A gesto de riscos geralmente inclui a anlise/avaliao de riscos, o tratamento de riscos e a comunicao de riscos. No inclui aceitao de riscos. d) Convm que a anlise/avaliao de riscos inclua um enfoque sistemtico de estimar a magnitude do risco (anlise de riscos) e o processo de comparar os riscos estimados contra os critrios de risco para determinar a significncia do risco (avaliao do risco). e) O escopo de uma anlise/avaliao de riscos deve ser sempre em toda a organizao, pois todas as reas esto sujeitas aos riscos.
Comentrios Alguns conceitos necessitam ser expostos para o correto entendimento do que risco e suas implicaes. Risco a medida da exposio qual o sistema computacional est sujeito. Depende da probabilidade de uma ameaa atacar o sistema e do impacto resultante desse ataque. Smola (2003, p. 50) diz que risco a probabilidade de ameaas explorarem vulnerabilidades, provocando perdas de confidencialidade, integridade e disponibilidade, causando, possivelmente, impactos nos negcios. Como exemplo martelo ao seu da informao. s informaes de um risco pode-se imaginar um funcionrio insatisfeito e um alcance; nesse caso o funcionrio poderia danificar algum ativo Assim pode-se entender como risco tudo aquilo que traz danos e com isso promove perdas para a organizao.
Risco: medido pela probabilidade de uma ameaa acontecer e causar algum dano potencial empresa. Existem algumas maneiras de se classificar o grau de risco no mercado de segurana, mas de uma forma simples, poderamos tratar como alto, mdio e baixo risco. No caso do nosso exemplo da sala dos servidores, poderamos dizer que, baseado na vulnerabilidade encontrada, a ameaa associada de alto risco. Vamos ao entendimento das aes que podem ser realizadas na identificao/anlise/avaliao e tratamento dos riscos. Nesse caso, temos que: 1)identificar os ativos dentro do escopo do SGSI e os proprietrios destes ativos; 2)identificar as ameaas a esses ativos; 3)identificar as vulnerabilidades que podem ser exploradas pelas ameaas; 4)identificar os impactos que as perdas de confidencialidade, integridade e disponibilidade podem causar aos ativos. 5)realizar a anlise e avaliao dos riscos; 6)identificar e avaliar as opes para o tratamento dos riscos. Possveis aes incluem: 6.1.aplicar os controles apropriados; 6.2.aceitar os riscos; 6.3.evitar riscos; 6.4.transferir os riscos associados ao negcio a outras partes, como seguradoras etc.
A norma ABNT NBR ISO/IEC 17799:2005 (renumerada para ABNT NBR ISO/IEC 27002) trata a avaliao dos riscos como uma atividade fundamental para ajuste das necessidades de controles. Assim, ANTES de se implementar qualquer controle, deve-se fazer uma anlise e avaliao dos riscos de segurana. Importante ressaltar que no h controles mnimos OBRIGATRIOS a serem implementados, ou seja, nem todos os controles e diretrizes contidos na norma podem ser aplicados. Alm disto, controles adicionais e recomendaes no includos na norma podem ser necessrios. A ABNT NBR ISO/IEC 27002 NO uma norma impositiva, ela faz recomendaes de segurana baseadas nas melhores prticas relacionadas segurana da informao, de forma que qualquer empresa possa fazer a implementao e a adaptao da norma de acordo com a sua convenincia ou necessidade. O processo de gesto dos riscos de uma empresa passa pelas etapas listadas a seguir. =>Estabelecimento de contexto para avaliao dos riscos, que envolve: 1) identificar uma metodologia de anlise/avaliao de riscos adequada ao SGSI e aos requisitos legais, regulamentares e de segurana da informao para o negcio; 2) desenvolver critrios para aceitao de riscos e identificar os nveis aceitveis de risco (risco residual). =>Identificao dos riscos De acordo com o contexto em que a entidade est inserida, necessrio identificar os ativos dentro do escopo do SGSI e os seus proprietrios, alm de identificar as ameaas a esses ativos, as vulnerabilidades que podem ser exploradas pelas ameaas, os impactos que as perdas de confidencialidade, integridade e disponibilidade podem causar organizao. =>Anlise e mensurao dos riscos Aps a identificao dos riscos, necessrio: 1) avaliar os impactos para o negcio da organizao que podem resultar de falhas de segurana; 2) avaliar a probabilidade real da ocorrncia de falhas de segurana, com base nas ameaas e vulnerabilidades, nos impactos associados a estes ativos, e nos controles atualmente implementados; 3) estimar os nveis de riscos e determinar se so aceitveis ou no. =>Tratamento dos riscos O tratamento de riscos pode incluir as seguintes medidas: 1) aplicar os controles apropriados (mitigar riscos);
2) no fazer nada para combater o risco, desde que isso no viole as polticas da organizao (aceitar os riscos que se enquadrem no risco residual); 3) evitar situaes que aumentem os riscos(evitar riscos); e 4) transferir os riscos associados ao negcio a outras partes, por exemplo, seguradoras e fornecedores (transferir riscos). =>Monitorao e reviso dos riscos O processo de gerenciamento dos riscos contnuo, uma vez que o contexto dos negcios em que uma entidade est inserida muda constantemente. Dessa maneira, os riscos devem ser monitorados e revisados periodicamente para se adequar s mudanas no contexto. Gabarito: letra D. 12. (FCC/TRE-CE/Tcnico Judicirio Programao de Sistemas/2012) A propriedade que garante que nem o emissor nem o destinatrio das informaes possam negar a sua transmisso, recepo ou posse conhecida como a) autenticidade. b) integridade. c) irretratabilidade. d) confidenciabilidade. e) acessibilidade. Comentrios No repdio (irretratabilidade) destaca que o emissor (aquele que assinou digitalmente a mensagem) no pode negar que foi o autor da mensagem, ou seja, no pode dizer mais tarde que a sua assinatura foi falsificada. Gabarito: letra C. 13. (FCC/2011/TRF - 1. Regio/Tcnico Judicirio Segurana e Transporte) Considerando o recebimento de um arquivo executvel de fonte desconhecida, no correio eletrnico, a atitude mais adequada diante deste fato a) no execut-lo; b) baix-lo no seu desktop e execut-lo localmente, somente; c) repass-lo para sua lista de endereos solicitando aos mais experientes que o executem; d) execut-lo diretamente, sem baix-lo no seu desktop;
e)
execut-lo de qualquer administrador de sua rede.
forma,
porm
comunicar
fato
ao
Comentrios O arquivo executvel, que est sendo recebido de uma fonte desconhecida, no correio eletrnico, pode conter um cdigo malicioso (como um vrus ou um cavalo de troia, etc.), que, ao ser executado, tem grande probabilidade de causar algum problema que resulte na violao da segurana do computador. Desconfie sempre dos arquivos anexados mensagem, mesmo que tenham sido enviados por pessoas ou instituies conhecidas. O endereo do remetente pode ter sido forjado e o arquivo em anexo pode ser malicioso. Portanto nunca abra arquivos ou execute programas anexados aos e-mails, sem antes verific-los com um bom programa antivrus (atualizado!). Diante disso, a resposta certa a letra A. Gabarito: letra A. 14. (FCC/2010/DNOCS/ADMINISTRADOR/ PROVA A01-001-Q. 58) Prestam-se a cpias de segurana (backup) (A) quaisquer um destes: DVD; CD-ROM; disco rgido externo ou cpia externa, quando os dados so enviados para um provedor de servios via internet. (B) apenas estes: CD-ROM; disco rgido e cpia externa, quando os dados so enviados para um provedor de servios via internet. (C) apenas estes: DVD, CD-ROM e disco rgido externo. (D) apenas estes: CD-ROM e disco rgido externo. (E) apenas estes: DVD e CD-ROM. Comentrios Um backup envolve cpia de dados em um meio separado do original, regularmente, de forma a proteg-los de qualquer eventualidade. Dentre os meios que podem ser utilizados para a realizao do backup merecem destaque: DVD; CD-ROM; disco rgido externo ou cpia externa, quando os dados so enviados para um provedor de servios via internet ou para algum outro computador de uma rede corporativa, dentre outros. Gabarito: letra A. 15. (FCC/2009/Oficial de Chancelaria/Adaptada) O Diretor de um certo rgo pblico incumbiu alguns funcionrios da seguinte tarefa:
Item 5
Tarefa Garantir que a maior parte dos dados gravados computadores no seja perdida em caso de sinistro. nos
Tal garantia possvel se forem feitas cpias dos dados: a) aps cada atualizao, em mdias removveis mantidas nos prprios computadores; b) em arquivos distintos nos respectivos hard disks, desde que estes dispositivos sejam desligados aps o expediente; c) em arquivos distintos nos respectivos hard disks, desde que estes dispositivos permaneam ligados ininterruptamente; d) aps cada atualizao, em mdias removveis mantidas em local distinto daquele dos computadores; e) da poltica de segurana fsica. Comentrios Backup refere-se cpia de dados de um dispositivo para o outro com o objetivo de posteriormente os recuperar, caso haja algum problema. Essa cpia pode ser realizada em vrios tipos de mdias, como CDs, DVSs, fitas DAT, pendrives, etc., de forma a proteg-los de qualquer eventualidade. Nesse caso, o backup (cpia de segurana) dos dados deveria ser feito aps cada atualizao, em mdias removveis mantidas em um local distinto daquele dos computadores. Se a cpia dos dados fosse realizada no mesmo HD (disco rgido), voc ficaria impossibilitado de recuperar as informaes em caso de falhas da mquina em questo. Tambm as mdias de backup devem ser armazenadas em local distinto daquele em que os dados foram obtidos. Diante disso, a resposta certa a letra D! Gabarito: letra D. 16. (FCC/2009/TJ-PI/Analista Judicirio/Adaptada) Instruo: Para responder questo, considere os dados abaixo. Item Tarefa VII Proceder, diariamente, cpia de segurana dos dados em fitas digitais regravveis (algumas comportam at 72 GB de capacidade) em mdias alternadas para manter a segurana e economizar material.
No item VII recomendado o uso de mdias conhecidas por: a) FAT32; b) FAT;

c) NTSF; d) DAT; e) DVD+RW. Comentrios Esse item da FCC no trouxe maiores dificuldades. Dentre as alternativas, podemos destacar que FAT32 e FAT so sistemas de arquivos, portanto as opes a e b j no atendem aos requisitos da questo. O termo NTSF deveria ter sido escrito como NTFS, para corresponder a um tipo de sistema de arquivos, mas que tambm no atenderia questo. O DVD+RW uma mdia que nos permite armazenamento ptico de dados. Para a realizao da cpia de segurana (backup) dos dados em fitas digitais regravveis, utilizamos fitas DAT. A nica alternativa que destaca a mdia conhecida por DAT a letra D, que a resposta da questo. A fita DAT (Digital Audio Tape), com capacidade em mdia de armazenamento na faixa de 2 a 72 GB, mais voltada para o mercado corporativo, portanto, comum que existam solues quase que personalizadas de formatos e equipamentos de gravao e leitura de fitas. Gabarito: letra D. 17. (FCC/2004/TRT 8. REGIO/TCNICO ADMINISTRATIVO) Para evitar a perda irrecupervel das informaes gravadas em um computador e proteg-las contra acesso no autorizado, necessrio que se adote, respectivamente, as medidas inerentes s operaes de (A) backup dos arquivos do sistema operacional e configurao de criptografia. (B) checkup dos arquivos do sistema operacional e inicializao da rede executiva. (C) criptografia de dados e inicializao da rede privativa. (D) backup de arquivos e uso de senha privativa. (E) uso de senha privativa e backup dos arquivos do sistema operacional. Comentrios A questo pede medidas de segurana relativas a duas situaes: proteo contra perda irrecupervel de informaes (dados) e proteo contra acesso no autorizado. A primeira situao deve ser abordada com polticas adequadas de backup. Logicamente se precisamos guardar informaes gravadas, no fazemos backup dos arquivos do sistema operacional (arquivos de programas e
configuraes), mas dos arquivos de dados (documentos, imagens, vdeos etc.). Isso j suficiente para marcarmos a alternativa D, que traz, em seguida, a abordagem para a segunda situao: uso de senha privativa. Gabarito: letra D. 18. (FCC/2010/DNOCS/AGENTE ADMINISTRATIVO) No Windows, a possibilidade de controlar e reverter alteraes perigosas no computador pode ser feita por meio da restaurao do sistema. Comentrios A restaurao do sistema um recurso do Windows que permite que sejam estabelecidos pontos de restaurao do sistema. Assim, caso o usurio, por qualquer motivo, queira voltar o computador para o estado em que ele se encontrava em um ponto de restaurao, basta acionar a Restaurao do sistema. O Windows desinstalar eventuais programas que tenham sido instalados no perodo e retornar configuraes porventura alteradas sem, no entanto, excluir dados ou arquivos salvos no disco rgido. Dessa forma, podese controlar e reverter alteraes perigosas no computador!! Gabarito: item correto. 19. (FCC/2010/DNOCS/AGENTE ADMINISTRATIVO) No Windows, a possibilidade de controlar e reverter alteraes perigosas no computador pode ser feita por meio das atualizaes automticas. Comentrios As atualizaes automticas iro atuar sobre as atualizaes de segurana do sistema operacional Windows, e no esto relacionadas ao desejado na questo. Gabarito: item errado. 20. (FCC/2010/DNOCS/AGENTE ADMINISTRATIVO) No Windows, a possibilidade de controlar e reverter alteraes perigosas no computador pode ser feita por meio do gerenciador de dispositivos. Comentrios O gerenciador de dispositivos fornece informaes sobre os dispositivos instalados no seu computador. Gabarito: item errado.
21. (FCC/2009/TJ-PI/Analista Judicirio/Adaptada) Instruo: Para responder questo, considere os dados abaixo. Item Tarefa V Ao enviar informaes sigilosas via mensagem eletrnica deve-se utilizar de um sistema que faa a codificao (chave, cifra), de modo que somente as mquinas que conhecem o cdigo consigam decifr-lo.
O cuidado solicitado em V aplica o conceito de: a) criptografia; b) assinatura digital; c) digitalizao; d) desfragmentao; e) modulao/demodulao. Comentrios Item A. Criptografia um conjunto de tcnicas que permitem tornar incompreensvel uma mensagem escrita com clareza, de forma que apenas o destinatrio a decifre e a compreenda. A criptografia tem como objetivo garantir que uma informao s seja lida e compreendida pelo destinatrio autorizado. Item CERTO. a resposta da questo! Item B. Com a utilizao da assinatura digital o remetente (emissor) ir criptografar a mensagem com sua chave privada e o destinatrio poder comprovar a autenticidade por meio da decifrao pela chave pblica do remetente. Cabe destacar que se a mensagem de e-mail for muito grande (contiver anexos, por exemplo), usar a chave privada do remetente para criptografar a mensagem toda demoraria muito. Hoje, a assinatura digital feita mediante o clculo do hash ( uma funo matemtica que recebe uma mensagem de entrada e gera como resultado um nmero finito de caracteres) da mensagem e a conseguinte criptografia apenas desse hash com o uso da chave privada do remetente. Como o hash pequeno, a assinatura digital no demora para ser realizada! A assinatura digital fornece uma prova inegvel de que uma mensagem veio do emissor. Para verificar este requisito, uma assinatura deve ter as seguintes propriedades: autenticidade: o receptor (destinatrio de uma mensagem) pode confirmar que a assinatura foi feita pelo emissor;
integridade: qualquer alterao da mensagem faz com que a assinatura seja invalidada; no repdio (irretratabilidade): o emissor (aquele que assinou digitalmente a mensagem) no pode negar que foi o autor da mensagem, ou seja, no pode dizer mais tarde que a sua assinatura foi falsificada. A assinatura digital, por si s, no garante a confidencialidade (sigilo) dos dados, pois, teoricamente, todos possuem a chave pblica do remetente. Essa confidencialidade obtida por meio de tcnicas de criptografia, que so utilizadas em conjunto com as assinaturas digitais!! A implementao da assinatura digital s foi possvel com o uso dos algoritmos de criptografia assimtrica, pois eles provm a garantia da autenticidade, e por conseqncia, a irretratabilidade da mensagem. A integridade da mensagem verificada por meio das funes de hash. Com a assinatura digital possvel associar, de forma unvoca, um documento digital a uma chave privada e, consequentemente, a um usurio. Item errado. Item C. Digitalizao a converso de um suporte fsico de dados (papel, microfilme) para um suporte em formato digital visando dinamizar o acesso e a disseminao das informaes, mediante a visualizao instantnea das imagens pelas pessoas interessadas. Item errado. Item D. A desfragmentao consiste em um processo de eliminao da fragmentao de dados de um sistema de arquivos. Isso possvel reordenando o espao de armazenamento, de forma que todo arquivo esteja armazenado de maneira contgua (unida) e ordenada, e tambm criando espaos livres contnuos, de forma a evitar a fragmentao de dados no disco. A desfragmentao no diminui o tamanho de um arquivo, apenas aumenta a velocidade de acesso aos dados, j que a cabea de leitura do HD no perde tempo pulando os fragmentos que no fazem parte do arquivo. Item errado. Item E. Em um sistema de transmisso de dados, o processo de modulao pode ser definido como a transformao de um sinal que contm uma informao til, em seu formato original, em um sinal modulado, adequado ao meio de transmisso que se pretende utilizar, e a demodulao o inverso! Item errado. Gabarito: letra A. 22. (FCC/TRE-CE/Analista Judicirio - Anlise de Sistemas/2012) Em relao Medida Provisria no 2.200-2, de 24 de agosto de 2001, que Institui a InfraEstrutura de Chaves Pblicas Brasileira - ICP-Brasil, INCORRETO afirmar:
80
a) Compete ao Comit Gestor da ICP-Brasil homologar, auditar e fiscalizar a AC Raiz e os seus prestadores de servio. b) Compete Autoridade Certificadora Raiz - AC Raiz e, sob sua delegao, s Autoridades Certificadoras - AC, emitirem certificados para o usurio final. c) O par de chaves criptogrficas ser gerado sempre pelo prprio titular e sua chave privada de assinatura ser de seu exclusivo controle, uso e conhecimento. d) Observados os critrios a serem estabelecidos pelo Comit Gestor da ICP-Brasil, podero ser credenciados como AC e AR os rgos e as entidades pblicos e as pessoas jurdicas de direito privado. e) Compete ao Comit Gestor da ICP-Brasil estabelecer a poltica de certificao e as regras operacionais da AC Raiz. Comentrios A assertiva incorreta a B, j que em uma ICP, a AC emite, gerencia e revoga os certificados para uma comunidade de usurios finais. A AR serve como uma entidade intermediria entre a AC e seus usurios finais, ajudando a AC em suas funes rotineiras para o processamento de certificados. Componentes de uma ICP Uma infraestrutura de chaves pblicas envolve um processo colaborativo entre vrias entidades: autoridade certificadora (AC), autoridade de registro (AR), repositrio de certificados e o usurio final. Autoridade Certificadora (AC) Vamos ao exemplo da carteira de motorista. Se pensarmos em um certificado como uma carteira de motorista, a Autoridade Certificadora opera como um tipo de rgo de licenciamento. Em uma ICP, a AC emite, gerencia e revoga os certificados para uma comunidade de usurios finais. A AC assume a tarefa de autenticao de seus usurios finais e ento assina digitalmente as informaes sobre o certificado antes de dissemin-lo. A AC, no final, responsvel pela autenticidade dos certificados emitidos por ela. Autoridade de Registro (AR) Embora a AR possa ser considerada um componente estendido de uma ICP, os administradores esto descobrindo que isso uma necessidade. medida que aumenta o nmero de usurios finais dentro de uma ICP, tambm aumenta a carga de trabalho de uma AC. A AR serve como uma entidade intermediria entre a AC e seus usurios finais, ajudando a AC em suas funes rotineiras para o processamento de
certificados. Uma AR necessariamente uma entidade operacionalmente vinculada a uma AC, a quem compete:
identificar os titulares de certificados: indivduos, organizaes ou equipamentos; encaminhar solicitaes de emisso e revogao de certificados AC; guardar os documentos apresentados para identificao dos titulares.
A AC deve manter uma lista de suas ARs credenciadas e estas ARs so consideradas confiveis, pelo ponto de vista dessa AC. Lista de Certificados Revogados (LCR) A LCR ou CRL (Certificate Revocation List) uma estrutura de dados que contm a lista de certificados revogados por uma determinada AC. Declarao de Prticas de Certificao (DPC) e Poltica de Certificado (PC) As AC atuam como terceiros confiveis, confirmando o contedo dos certificados que elas emitem. Mas o que exatamente uma AC certifica? O que faz uma AC ser mais confivel do que outra? Dois mecanismos so utilizados pelas ACs para estabelecer a confiana entre usurios finais e partes verificadoras: a Declarao de Prticas de Certificao (DPC) e a Poltica de Certificado (PC). A Declarao de Prticas de Certificao um documento, periodicamente revisado e republicado, que contm as prticas e procedimentos implementados por uma Autoridade Certificadora para emitir certificados. a declarao da entidade certificadora a respeito dos detalhes do seu sistema de credenciamento, das prticas e polticas que fundamentam a emisso de certificados e de outros servios relacionados. J a Poltica de Certificado definida como um conjunto de regras que indica a aplicabilidade de um certificado para uma determinada comunidade e/ou uma classe de aplicativos com requisitos comuns de segurana. A PC pode ser usada para ajudar a decidir se um certificado confivel o suficiente para uma dada aplicao. Nas PC encontramos informaes sobre os tipos de certificado, definies sobre quem poder ser titular de um certificado, os documentos obrigatrios para emisso do certificado e como identificar os solicitantes. Hierarquias de Certificado medida que uma populao de uma ICP comea a aumentar, torna-se difcil para uma AC monitorar de maneira eficaz a identidade de todas as partes que ela certificou. medida que o nmero de certificados cresce, uma nica AC pode estrangular o processo de certificao. Uma soluo
utilizar uma hierarquia de certificados em que uma AC delega sua autoridade para uma ou mais Autoridades Certificadoras subsequentes ou intermedirias. Essas AC, por sua vez, designam a emisso de certificados a outras AC vinculadas e subsequentes. Um recurso poderoso das hierarquias de certificado que uma nica Autoridade Certificadora estabelece a confiana das demais AC subsequentes a Autoridade Certificadora superior (cujo certificado autoassinado) e que por esta posio recebe o nome de Autoridade Certificadora Raiz. A AC Raiz a autoridade mxima na cadeia de certificao de uma ICP. a nica entidade na cadeia que auto-confivel, ou seja, a nica AC que confia em si mesma e que assina a si mesma. Todos os certificados emitidos na cadeia de certificao abaixo dela recebem a sua assinatura. A AC Raiz no emite certificados para usurios finais, apenas para outras autoridades certificadoras. Processo de verificao da cadeia de confiana Para verificar a cadeia de confiana de um certificado e decidir se o mesmo confivel, a parte confiante (verificadora) deve analisar trs itens relacionados a cada certificado que faz parte da hierarquia de certificados, at chegar ao certificado da AC Raiz. Primeiro a parte confiante deve verificar se cada certificado da cadeia est assinado pelo certificado anterior a ele na hierarquia. Segundo, deve assegurar que nenhum dos certificados da cadeia esteja expirado e terceiro, deve verificar se existe algum certificado da cadeia que est revogado. Se a parte confiante confiar no certificado da AC Raiz da hierarquia, automaticamente toda a cadeia ser considerada confivel, inclusive o certificado do usurio final.
Modelo de Hierarquia de uma ICP Gabarito: letra B. 23. (COPS/CMTU-Londrina/Analista Administrativo/Tecnologia da Informao/2011) Sobre a norma ISO/IEC 27001, considere as afirmativas a seguir:
Assinale a alternativa correta. a)Somente as afirmativas I e IV so corretas. b)Somente as afirmativas II e III so corretas. c)Somente as afirmativas III e IV so corretas. d)Somente as afirmativas I, II e III so corretas. e)Somente as afirmativas I, II e IV so corretas. Comentrios Dentre as assertivas, a nica incorreta a letra IV. Quando falamos em segurana da informao, estamos nos referindo a salvaguardas para manter a confidencialidade, integridade, disponibilidade e demais aspectos da segurana das informaes, como autenticidade, no-repdio, confiabilidade, etc. dentro das necessidades do cliente! Um incidente de segurana ocorre justamente quando se tem o comprometimento de um ou mais desses princpios da segurana da informao. Gabarito: letra D. 24. (FCC/TRE-CE/Analista Judicirio/Anlise de Sistemas/2012) Em relao a certificados digitais INCORRETO afirmar: a) Se uma mensagem cifrada usando-se a chave privada do remetente e, em seguida, a chave pblica do destinatrio, pode-se garantir que a mensagem de fato partiu do remetente e que s ser aberta pelo destinatrio. b) A Autoridade de Registro realiza o armazenamento da chave pblica quando gera o par de chaves criptogrficas para o certificado digital.
84
c) A assinatura digital permite ao receptor verificar a integridade da mensagem e a identidade do transmissor. d) A adio de uma assinatura digital a uma mensagem pode ser efetuada por seu transmissor, por meio da adio, mensagem cifrada, de um hash cifrado com sua chave privada. e) A assinatura digital suficiente para garantir o no repdio e o sigilo dos dados que devero transitar entre dois computadores. Comentrios A assertiva indevida a letra E. Nesse caso, a assinatura no garante o sigilo dos dados. A assinatura digital fornece uma prova inegvel de que uma mensagem veio do emissor. Para verificar este requisito, uma assinatura deve ter as seguintes propriedades: autenticidade: o receptor (destinatrio de uma mensagem) pode confirmar que a assinatura foi feita pelo emissor; integridade: qualquer alterao da mensagem faz com que a assinatura seja invalidada; no repdio (irretratabilidade): o emissor (aquele que assinou digitalmente a mensagem) no pode negar que foi o autor da mensagem, ou seja, no pode dizer mais tarde que a sua assinatura foi falsificada. A assinatura digital, por si s, no garante a confidencialidade (sigilo) dos dados, pois, teoricamente, todos possuem a chave pblica do remetente. Essa confidencialidade obtida por meio de tcnicas de criptografia, que so utilizadas em conjunto com as assinaturas digitais!! Gabarito: letra E. 25. (FCC/TRE-CE/Analista Judicirio/Anlise de Sistemas/2012) Em relao norma ISO/IEC 27002, considere: I. Para definio de uma estratgia de continuidade de negcios deve-se ter como meta o tempo esperado de recuperao, que, por sua vez, derivado dos perodos mximos tolerveis de interrupo. II. Os requisitos para controles de segurana de novos sistemas de informao ou melhorias em sistemas existentes devem constar nas especificaes de requisitos de negcios dos sistemas. III. Convm que os registros (log) de auditoria incluam, quando relevantes, os registros das tentativas de acesso ao sistema aceitas e rejeitadas. IV. Entre os objetivos de controle de manuseio de mdias inclui-se o controle de descarte de mdias, sendo previstas, nessas normas, diretrizes de implementao para o descarte de forma segura e protegida.
Est correto o que se afirma em: a) I, II e III, apenas. b) I, II e IV, apenas. c) I, III e IV, apenas. d) II, III e IV, apenas. e) I, II, III e IV. Comentrios Todas as assertivas esto corretas. Uma boa fonte e estudo para vocs! Gabarito: letra E. 26. (FCC/2010-04/BAHIA GS/ Analista de Processos Organizacionais Administrao ou Cincias Econmicas) Uma assinatura digital um recurso de segurana cujo objetivo (A) identificar um usurio apenas por meio de uma senha. (B) identificar um usurio por meio de uma senha, associada a um token. (C) garantir a autenticidade de um documento. (D) criptografar um documento assinado eletronicamente. (E) ser a verso eletrnica de uma cdula de identidade. Comentrios Conforme destaca Stallings (2008) uma assinatura digital um mecanismo de AUTENTICAO que permite ao criador de uma mensagem anexar um cdigo que atue como uma assinatura. A assinatura formada tomando o hash da mensagem e criptografando-a com a chave privada do criador. A assinatura garante a ORIGEM e a INTEGRIDADE da mensagem. Em outras palavras, a assinatura digital um mecanismo de segurana cujo objetivo o de garantir a autenticidade de um documento (mensagem). Gabarito: letra C. 27. (FCC/2010/GOVBA/AGENTE PENITENCIRIO/UNI-001-Q. 21) Considere os seguintes motivos que levaram diversas instituies financeiras a utilizar teclados virtuais nas pginas da Internet: I. facilitar a insero dos dados das senhas apenas com o uso do mouse. II. a existncia de programas capazes de capturar e armazenar as teclas digitadas pelo usurio no teclado de um computador.
III. possibilitar a ampliao dos dados do teclado para o uso de deficientes visuais. Est correto o que se afirma em (A) I, apenas. (B) II, apenas. (C) III, apenas. (D) II e III, apenas. (E) I, II e III. Comentrios Ataques a usurios de instituies financeiras esto se tornando cada vez mais comuns. Nesse contexto, as instituies financeiras incorporam teclados virtuais em seus sites, para assim, tentar evitar que usurios contaminados com cavalos de troia (trojans) munidos de keylogger (gravador de aes do teclado) tenham seus dados capturados pelos invasores. Gabarito: letra B. 28. (CESGRANRIO/FINEP/Analista de Sistemas Suporte/ 2011-07) Os programadores de vrus continuamente desafiam os produtos de antivrus. Com o objetivo de camuflar o cdigo desses programas malignos, seus criadores costumam utilizar tcnicas de criptografia durante o processo de mutao do vrus. Nesse sentido, o vrus do tipo oligomrfico criptografa o seu corpo, formado (A) pelo seu cdigo de ataque e por um cdigo de decriptao, e, durante o processo de mutao, seleciona aleatoriamente uma nova chave de criptografia para criptografar o corpo e no acopla, ao criptograma gerado, o cdigo de decriptao. (B) pelo seu cdigo de ataque e por um cdigo de decriptao, e, durante o processo de mutao, seleciona aleatoriamente uma nova chave de criptografia para criptografar o corpo e acopla, ao criptograma gerado, o cdigo de decriptao modificado por uma tcnica de insero aleatria de instrues lixo. (C) pelo seu cdigo de ataque e por um conjunto pequeno de cdigos de decriptao, e, durante o processo de mutao, seleciona aleatoriamente uma nova chave de criptografia para criptografar o corpo e acopla, ao criptograma gerado, um dos cdigos de decriptao selecionado aleatoriamente. (D) apenas pelo seu cdigo de ataque, e, durante o processo de mutao, seleciona aleatoriamente uma nova chave de criptografia para criptografar o corpo e acopla, ao criptograma gerado, o mesmo cdigo de decriptao.
(E) apenas pelo seu cdigo de ataque, e, durante o processo de mutao, seleciona aleatoriamente uma nova chave de criptografia para criptografar o corpo e acopla, ao criptograma gerado, um novo cdigo de decriptao criado unicamente com instrues selecionadas aleatoriamente do conjunto de instrues do processador. Comentrios Em funo de seu comportamento, todos os vrus anteriores podem, por sua vez, ser classificados em subgrupos http://www.barsasaber.com.br/theworld/dossiers/seccions/cards2/printable.as p?pk=1386&art=25&calltype=2): vrus uniformes: produzem uma duplicao idntica de si mesmos; vrus encriptados: encriptam parte de seu cdigo para tornar mais complicada sua anlise; vrus oligomrficos: possuem um conjunto reduzido de funes de encriptao e escolhem uma delas aleatoriamente. Exigem diferentes padres para sua deteco.
Conforme visto, a resposta a letra c. O vrus do tipo oligomrfico criptografa o seu corpo, formado pelo seu cdigo de ataque e por um conjunto pequeno de cdigos de decriptao, e, durante o processo de mutao, seleciona aleatoriamente uma nova chave de criptografia para criptografar o corpo e acopla, ao criptograma gerado, um dos cdigos de decriptao selecionado aleatoriamente. Vrus Oligomrfico - usa a criptografia para se defender sendo capaz de alterar tambm a rotina de criptografia em um nmero de vezes pequeno. Um vrus que possui duas rotinas de decriptografia ento classificado como oligomrfico (Luppi, 2006). Vrus polimrficos: em sua duplicao, produzem uma rotina de encriptao completamente varivel, tanto na frmula quanto na forma do algoritmo. Com polimorfismos fortes, necessrio emulao, padres mltiplos e outras tcnicas antivrus avanadas; Vrus metamrficos: reconstroem todo o seu corpo em cada gerao, modificando-se por completo. Dessa maneira, levam as tcnicas avanadas de deteco ao limite; Sobrescritura: vrus que sobrescreve com seu prprio corpo os programas infectados; Stealth ou silencioso: vrus que oculta sintomas de infeco. Os vrus so programados para cumprir trs objetivos: se autoduplicar, cumprir a tarefa para a qual foram programados (apagar arquivos, bloquear o computador, mandar mensagens ao usurio...) e, por fim, fazer sua prpria proteo para sobreviver. Demonstrou-se que os mtodos
tradicionais usados para proteger a informao so, em geral, pouco eficazes contra os vrus. Gabarito: letra C. 29. (FCC/TRT 14/TI/2011) Estabelecer a poltica, objetivos, processos e procedimentos do SGSI, relevantes para a gesto de riscos e a melhoria da segurana da informao para produzir resultados de acordo com as polticas e objetivos globais de uma organizao. No modelo PDCA aplicado aos processos do SGSI da NBR ISO/IEC 27001, esta definio pertence a a) planejar. b) agir. c) fazer. d) confidencializar. e) checar. Comentrios Vide pela tabela seguinte, que a resposta planejar! Ciclo PDCA Plan (planejar) Etapa do Processo Estabelecer o SGSI. Descrio Estabelecer a poltica, objetivos, processos e procedimentos do SGSI, relevantes para a gesto de riscos e a melhoria da segurana da informao para produzir resultados de acordo com as polticas e objetivos globais de uma organizao. Implementar e operar a poltica, controles, processos e procedimentos do SGSI. Avaliar e, quando aplicvel, medir o desempenho de um processo frente poltica, objetivos e experincia prtica do SGSI e apresentar os resultados para a anlise crtica pela direo.
Do (fazer) Check (checar)
Implementar e operar o SGSI. Monitorar e analisar criticamente o SGSI.
Act (agir)
Manter e melhorar Executar as aes corretivas e o SGSI. preventivas, com base nos resultados da auditoria interna do SGSI e da anlise crtica pela
direo ou outra informao pertinente, para alcanar a melhoria contnua do SGSI. Gabarito: letra A. 30. (FCC/Banco Central do Brasil/Analista rea 1/2006) Um cdigo malicioso que se altera em tamanho e aparncia cada vez que infecta um novo programa um vrus do tipo a) de boot. b) de macro. c) parasita. d) camuflado. e) polimrfico. Comentrios Nesta questo cabe mencionar o conceito de vrus e seus principais tipos. Vrus: um programa ou parte de um programa de computador, normalmente malicioso, que se propaga infectando, isto , inserindo cpias de si mesmo e se tornando parte de outros programas e arquivos de um computador. O vrus depende da execuo do programa ou arquivo hospedeiro para que possa se tornar ativo e dar continuidade ao processo de infeco. Para que um computador seja infectado por um vrus, necessrio que um programa previamente infectado seja executado, e o vrus pode se propagar sem que o usurio perceba. Alguns vrus so inofensivos, outros, porm, podem danificar um sistema operacional e os programas de um computador. A seguir listamos os tipos conhecidos: Vrus de macro: Uma macro um conjunto de comandos que so armazenados em alguns aplicativos e utilizados para automatizar determinadas tarefas repetitivas em editores de texto e planilhas. Um vrus de macro escrito de forma a explorar esta facilidade de automatizao e parte de um arquivo que normalmente manipulado por algum aplicativo que utiliza macros. Para que o vrus possa ser executado, o arquivo que o contm precisa ser aberto. A partir da, o vrus vai executar uma srie de comandos automaticamente e infectar outros arquivos no computador. Vrus de boot: infectam o setor de boot de um disco - ou seja, o registro de inicializao de disquetes e discos rgidos. Os vrus de boot se copiam
para esta parte do disco e so ativados quando o usurio tenta iniciar o sistema operacional a partir do disco infectado. Vrus polimrfico: um vrus que tem a caracterstica de se replicar fazendo alteraes em sua assinatura, de forma que ele seja reproduzido mas com um cdigo escrito de maneira diferente, a cada vez em que ele replicado, dificultando a sua deteco pelo antivrus. Gabarito: letra E. 31. (FCC/Banco Central do Brasil/Analista rea 1/2006/Adaptada) Sobre avaliao dos riscos de segurana, segundo a norma NBR ISO/IEC 17799( renomeada para 27002), deve-se I. desconsiderar as mudanas nos requisitos do negcio e suas prioridades. II. considerar novas ameaas e vulnerabilidades aos ativos. III. priorizar a avaliao dos novos controles sobre os controles j implementados. IV. realizar anlises crticas peridicas. correto o que consta APENAS em a) III e IV. b) II e IV. c) II e III. d) I e III. e) I e II. Comentrios Item I. Item errado. As mudanas nos requisitos do negcio e suas prioridades devem ser consideradas. Item II. de extrema importncia levar em considerao na anlise de risos as ameaas e vulnerabilidades presentes nos ativos. Item III. Os controles j implementados devem ser priorizados. Gabarito: letra B. 32. (FCC/2009/TJ-PI/Analista Judicirio/Adaptada) Instruo: Para responder questo, considere os dados abaixo. Item Recomendao IV Evitar a abertura de mensagens eletrnicas no solicitadas, provenientes de instituies bancrias ou empresas, que
possam induzir o acesso a pginas fraudulentas na Internet, com vistas a roubar senhas e outras informaes pessoais valiosas registradas no computador. A recomendao em IV para evitar um tipo de fraude conhecido por: a) chat b) cracker c) spam d) hacker e) phishing scam Comentrios Item A. Chat um servio disponibilizado por alguns sites, em que os usurios podem participar de salas de bate-papo em tempo real. Item ERRADO. Item B. Os crackers so indivduos que invadem sistemas para roubar informaes e causar danos s vtimas. O termo crackers tambm uma denominao utilizada para aqueles que decifram cdigos e destroem protees de software. Atualmente, a imprensa mundial atribui qualquer incidente de segurana a hackers, em seu sentido genrico. A palavra cracker no vista nas reportagens, a no ser como cracker de senhas, que um software utilizado para descobrir senhas ou decifrar mensagens cifradas. Item ERRADO. Item C. Spam um tipo de mensagem recebida pelo usurio sem que ele tenha solicitado. Esses e-mails so enviados para milhares de usurios simultaneamente e podem provocar inconvenientes como: esgotamento do espao na caixa postal do usurio, perda de tempo ao abrir mensagens que no so de seu interesse, o contedo do spam pode ser ofensivo e imprprio, dentre outros. Item ERRADO. Item D. O termo hacker ganhou, junto opinio pblica influenciada pelos meios de comunicao, uma conotao negativa, que nem sempre corresponde realidade!! Os hackers, por sua definio geral, so aqueles que utilizam seus conhecimentos para invadir sistemas, no com o intuito de causar danos s vtimas, mas sim como um desafio s suas habilidades. Eles invadem os sistemas, capturam ou modificam arquivos para provar sua capacidade e depois compartilham suas proezas com os colegas. No tm a inteno de prejudicar, mas sim de apenas demonstrar que conhecimento poder. Item ERRADO.
Item E. Esse item a resposta da questo e destaca o golpe do phishing scam (tambm conhecido como phishing ou scam), muito cobrado nas provas de concursos! Trata-se de um golpe em que iscas (e-mails) so usadas para pescar informaes sensveis (senhas e dados financeiros, por exemplo) de usurios da Internet. O objetivo principal de um scammer (indivduo que implementa o golpe do phishing scam) obter a autenticao. Isso quer dizer reunir as informaes necessrias para se fazer passar pela vtima e obter alguma vantagem financeira. Em seguida, aps obter os dados do carto de crdito, por exemplo, o scammer poder fazer compras pela Internet, realizar pagamentos e transferncias de dinheiro, entre outras aes. Atualmente, este termo vem sendo utilizado tambm para se referir aos seguintes casos: mensagem que procura induzir o usurio instalao de cdigos maliciosos, projetados para furtar dados pessoais e financeiros; mensagem que, no prprio contedo, apresenta formulrios para o preenchimento e envio de dados pessoais e financeiros de usurios.
Pelo boto do Internet Explorer 7 aciona-se o menu Ferramentas que permite configurar o Filtro de phishing (pode-se ativ-lo ou desativ-lo por essa opo!). Ao clicar em Ativar Verificao Automtica de Site, possvel configurar para que o Filtro de phishing seja ativado. Com essa opo habilitada, receberemos um aviso quando um site de phishing (um site malintencionado que tenta coletar informaes pessoais dos usurios que o acessam) for carregado. Geralmente, os sites de phishing tentam se passar por sites legtimos e idneos a fim de capturar os dados dos internautas, tais como nmeros de cartes de crdito, dados da conta bancria, etc. Gabarito: letra E. 33. (FCC/2009/MPSED/Analista do Ministrio Pblico/Analista de Sistemas) Um convite via e-mail, em nome de uma instituio governamental, para ser intermedirio em uma transferncia internacional de fundos de valor vultoso, em que se oferece um ganho percentual do valor, porm se exige uma quantia antecipada para gastos com advogados, entre outros (ex.: o golpe da Nigria), de acordo com o CGI.br, classificado como: a) spyware; b) hoax; c) scam; d) backdoor; e) spam.
Comentrios Item A. Spyware um programa que tem por finalidade monitorar as atividades de um sistema e enviar as informaes coletadas para terceiros. O CGI.br (Comit Gestor da Internet no Brasil) destaca que os spywares podem ser utilizados de forma legtima, mas, na maior parte das vezes, o seu uso feito de maneira dissimulada, no autorizada e para fins maliciosos. Item ERRADO. Item B. Os hoaxes (boatos) so e-mails que possuem contedos alarmantes ou falsos e que, geralmente, tm como remetente ou apontam como autor da mensagem alguma instituio, empresa importante ou rgo governamental. Por meio de uma leitura minuciosa deste tipo de e-mail, normalmente, possvel identificar em seu contedo mensagens absurdas e muitas vezes sem sentido. Em geral, propagam-se pela boa vontade e solidariedade de quem os recebe. Isso ocorre, muitas vezes, porque aqueles que os recebem confiam no remetente da mensagem; no verificam a sua procedncia; no checam a veracidade do seu contedo. Item ERRADO. Item C. Scam (tambm conhecido como phishing ou phishing scam) foi um termo criado para descrever o tipo de fraude que se d por meio do envio de mensagem no solicitada, que se passa por comunicao de uma instituio conhecida, como um banco, rgo do governo (Receita Federal, INSS e Ministrio do Trabalho so os mais comuns) ou site popular, e que procura induzir o acesso a pginas fraudulentas (falsificadas), projetadas para furtar dados pessoais e financeiros de usurios desavisados. Item CERTO. Item D. O termo backdoor utilizado para fazer referncia a determinados programas de computador que permitem o retorno de um invasor a um computador comprometido, utilizando servios criados ou modificados para este fim. Um backdoor normalmente disfarado, e chega ao computador da vtima sem seu conhecimento por algum programa que o usurio recebeu, geralmente por e-mail, e executou. Muitos crackers utilizam-se de um backdoor para instalar vrus de computador ou outros programas maliciosos, conhecidos como malware, na mquina do usurio. Item ERRADO. Item E. Spam o termo usado para se referir aos e-mails no solicitados, que geralmente so enviados para um grande nmero de pessoas. Item ERRADO. Gabarito: letra C. 34. (FCC/2009/MPSED/Analista do Ministrio Pblico/Analista de Sistemas) Consiste em um conjunto de computadores interconectados por meio de uma rede relativamente insegura que utiliza a criptografia e
protocolos especiais para fornecer segurana. Esta uma conceituao bsica para: a) rede privada com comunicao criptogrfica simtrica; b) canal privado de comunicao assimtrica; c) canal privado de comunicao sncrona; d) rede privada com autenticao digital; e) rede privada virtual. Comentrios Uma VPN (Virtual Private Network Rede Privada Virtual) uma rede privada (no de acesso pblico!) que usa a infraestrutura de uma rede pblica j existente (como, por exemplo, a Internet) para transferir seus dados (os dados devem estar criptografados para passarem despercebidos e inacessveis pela Internet). As VPNs so muito utilizadas para interligar filiais de uma mesma empresa, ou fornecedores com seus clientes (em negcios eletrnicos), por meio da estrutura fsica de uma rede pblica. O trfego de dados levado pela rede pblica utilizando protocolos no necessariamente seguros. VPNs seguras usam protocolos de criptografia por tunelamento, que fornecem confidencialidade (sigilo), autenticao e integridade necessrias para garantir a privacidade das comunicaes requeridas. Quando adequadamente implementados, esses protocolos podem assegurar comunicaes seguras por meio de redes inseguras. Gabarito: letra E. 35. (FCC/2009/Oficial de Chancelaria/Adaptada) O Diretor de certo rgo pblico incumbiu alguns funcionrios da seguinte tarefa: Item Tarefa 72 Minimizar o risco de invaso de hackers nos computadores conectados Internet.
Minimizar o risco de invaso mais garantido com: a) a instalao de um firewall; b) a execuo de um antivrus; c) o estabelecimento de programas de orientao de segurana; d) a gravao de arquivos criptografados; e) a utilizao de certificao digital.
Comentrios Item A. O firewall permite a comunicao entre redes, de acordo com a poltica de segurana definida, e que utilizado quando h uma necessidade de que redes com nveis de confiana variados se comuniquem entre si. No contexto da questo, o firewall um sistema de proteo de uma rede que controla todos os dados que entram ou saem dela e da Internet. Apenas os sites autorizados podem enviar ou receber dados dessa rede. Assim, aumenta-se a segurana, dificultando a ao de hackers e crackers. Item CERTO. a resposta da questo! Outras definies de firewall encontradas na literatura: O firewall um conjunto de componentes colocados entre duas redes, permitindo que alguns pacotes passem e outros no. Esse conjunto garante que TODO o trfego de DENTRO PARA FORA da rede, e VICE-VERSA, passe por ele. um mecanismo de proteo que controla a passagem de pacotes entre redes, tanto locais como externas. um dispositivo que possui um conjunto de regras especificando que trfego ele permitir ou negar.
Fique ligado! Existem ameaas das quais o firewall NO PODE proteger: uso malicioso dos servios que ele autorizado a liberar; usurios que no passam por ele, ou seja, o firewall no verifica o fluxo intrarredes; falhas de seu prprio hardware e sistema operacional; ataques de Engenharia Social uma tcnica em que o atacante (se fazendo passar por outra pessoa) utiliza-se de meios, como uma ligao telefnica ou e-mail, para persuadir o usurio a fornecer informaes ou realizar determinadas aes. Exemplo: algum desconhecido liga para a sua casa e diz ser do suporte tcnico do seu provedor de acesso. Nessa ligao, ele informa que sua conexo com a Internet est apresentando algum problema e, ento, solicita sua senha para corrigi-lo. Caso a senha seja fornecida por voc, esse suposto tcnico poder realizar uma infinidade de atividades maliciosas com a sua conta de acesso Internet, relacionando, dessa maneira, tais atividades ao seu nome.
Item B. A melhor maneira de se proteger uma rede ou um computador de vrus utilizar um bom programa antivrus e mant-lo sempre atualizado, pois a cada dia surgem novas ameaas. A atualizao um processo realizado pelo antivrus, pelo qual o aplicativo acessa o site da empresa que o fabricou e faz o
download dos arquivos que protegem o computador das ameaas mais recentes. Item ERRADO. Item C. Os programas de orientao de segurana servem para realizar a conscientizao dos usurios quanto s boas prticas de segurana. Mas precisamos completar tal prtica com os recursos tecnolgicos (uso de firewalls, etc.) para que tenhamos um ambiente mais seguro contra invases. Item ERRADO. Item D. A criptografia a cincia e arte de escrever mensagens em forma cifrada ou em cdigo. Portanto, cabe destacar que a principal finalidade da criptografia , sem dvida, reescrever uma mensagem original de uma forma que seja incompreensvel, para que ela no seja lida por pessoas no autorizadas. E isso no suficiente para impedir a invaso de redes. Item ERRADO. Item E. A certificao digital no contribui para minimizar o risco de invaso. Seu objetivo principal atribuir um nvel de maior segurana nas transaes eletrnicas tais como Internet Banking, comrcio eletrnico (e-commerce), dentre outros. Item ERRADO. Gabarito: letra A. 36. (Elaborao prpria) Trata-se de um software malicioso que, ao infectar um computador, criptografa todo ou parte do contedo do disco rgido. Os responsveis por esse software exigem da vtima um pagamento pelo resgate dos dados. a) bot; b) DoS; c) DDoS; d) pharming; e) ransomware. Comentrios Item A. Bot: rob. um worm que dispe de mecanismos de comunicao com o invasor, permitindo que seja controlado remotamente. Os bots esperam por comandos de um hacker, podendo manipular os sistemas infectados, sem o conhecimento do usurio. Nesse ponto, cabe destacar um termo que j foi cobrado vrias vezes em prova!! Trata-se do significado do termo botnet, juno da contrao das palavras robot (bot) e network (net). Uma rede infectada por bots denominada de botnet (tambm conhecida como rede zumbi), sendo composta geralmente por milhares desses elementos maliciosos
que ficam residentes nas mquinas, aguardando o comando de um invasor. Um invasor que tenha controle sobre uma botnet pode utiliz-la para aumentar a potncia de seus ataques, por exemplo, para enviar centenas de milhares de e-mails de phishing ou spam, desferir ataques de negao de servio, etc. Item ERRADO. Item B. DoS (Denial of Service Negao de Servio): a forma mais conhecida de ataque, que consiste na perturbao de um servio. O atacante utiliza um computador, a partir do qual ele envia vrios pacotes ou requisies de servio de uma vez, para tirar de operao um servio ou computador (es) conectado(s) Internet, causando prejuzos. Para provocar um DoS, os atacantes disseminam vrus, gerando grandes volumes de trfego de forma artificial, ou muitos pedidos aos servidores, que causam sobrecarga e estes ltimos ficam impedidos de processar os pedidos normais. Item ERRADO. Item C. DDoS (Distributed Denial of Service Negao de Servio Distribudo): um ataque DoS ampliado, ou seja, que utiliza at milhares de computadores para tirar de operao um ou mais servios ou computadores conectados Internet. Normalmente, procuram ocupar toda a banda disponvel para o acesso a um computador ou rede, causando grande lentido ou at mesmo indisponibilizando qualquer comunicao com este computador ou rede. Item ERRADO. Item D. Pharming (DNS Cache Poisoning Envenenamento de Cache DNS): um ataque que consiste basicamente em modificar a relao entre o nome de um site ou computador e seu endereo IP correspondente. Neste ataque, um servidor de nomes (servidor DNS) comprometido, de tal forma que as requisies de acesso a um site feitas pelos usurios desse servidor sejam redirecionadas a outro endereo. Um ataque pharming tambm pode alterar o arquivo hosts localizado no computador do usurio , manipulando os endereos IPs correspondentes s suas devidas URLs. Ex.: Ao atacar um servidor DNS, o IP do site www.teste.com.br poderia ser mudado de 65.150.162.57 para 209.86.194.103, enviando o usurio para a pgina relacionada ao IP incorreto. Item ERRADO. Item E. Ransomwares so ferramentas para crimes de extremamente ilegais. O ransomware funciona da seguinte forma: extorso
ele procura por diversos tipos de arquivos no HD (disco rgido) do computador atacado e os comprime em um arquivo protegido por senha; a partir da, a vtima pressionada a depositar quantias em contas do tipo e-gold (contas virtuais que utilizam uma unidade monetria especfica e que podem ser abertas por qualquer um na rede sem grandes complicaes);
uma vez pagos, os criminosos fornecem a senha necessria para que os dados voltem a ser acessados pela vtima.
Item CERTO. Eis a resposta da questo! Gabarito: letra E. 37. (FCC/2009/MPSED/Analista do Ministrio Pblico/Analista de Sistemas) um programa capaz de se propagar automaticamente, explorando vulnerabilidades existentes ou falhas na configurao de softwares instalados em um computador. Dispe de mecanismos de comunicao com o invasor, permitindo ser controlado remotamente. Tais so as caractersticas do: a) adware b) patch c) opt-out d) bot e) log Comentrios Ameaa algo que pode provocar danos segurana da informao, prejudicar as aes da empresa e sua sustentao no negcio, mediante a explorao de uma determinada vulnerabilidade (brecha de segurana!). Nesse contexto, a questo destaca um tipo de ameaa que se enquadra na categoria dos malwares. Mas o que significa malware, que j foi cobrado vrias vezes em provas? O termo proveniente de malicious software, software designado a se infiltrar em um sistema de computador alheio de forma ilcita com o intuito de causar algum dano ou roubo de informaes. Tambm pode ser considerado malware uma aplicao legal que, por uma falha de programao (intencional ou no), execute funes que se enquadrem na definio. Resumindo, malwares so programas que executam deliberadamente aes mal-intencionadas em um computador!
Vamos aos comentrios de cada item da questo! Item A. O termo adware (advertising software) um software projetado para exibir anncios de propaganda em seu computador. Nem sempre so maliciosos! Um adware malicioso pode abrir uma janela do navegador apontando para pginas de cassinos, vendas de remdios, pginas pornogrficas, etc. Item ERRADO.
99
Item B. O termo patch utilizado para designar uma atualizao de segurana, que pode vir a ser instalada em seu computador. Item ERRADO. Item C. O termo opt-out est relacionado s regras referentes ao envio, por correio electrnico, de mensagens informativas associadas a campanhas de marketing, sem que os destinatrios particulares as tenham solicitado. Item ERRADO. Item D. Os bots so cdigos maliciosos destinados a explorar falhas em sistemas, possuindo mecanismos para controle remoto da mquina infectada. Item CERTO. Item E. O termo log usado para definir um procedimento atravs do qual feito um registro de eventos relevantes que foram executados por um usurio de determinado sistema computacional. Dessa forma, um arquivo de log permite que sejam reveladas as aes que foram executadas pelo usurio, viabilizando a identificao e correo rpidas de falhas que porventura foram identificadas! Item ERRADO. Gabarito: letra D. 38. (FCC/2008/TCE-SP/Adaptada) Em relao a Certificado Digital, correto afirmar que: [os certificados servem para garantir a segurana dos dados enviados via upload]. Comentrios A afirmativa est ERRADA. Quanto aos objetivos do certificado digital, podemos destacar: vincular uma chave pblica a um titular (esse o objetivo principal!); transferir credibilidade, que hoje baseada em papel e conhecimento, para o ambiente eletrnico; assinar digitalmente um documento eletrnico, atribuindo validade jurdica a ele. Gabarito: item errado. 39. (FCC/2008/TCE-SP/Adaptada) Em relao a Certificado Digital, correto afirmar que: so plugins que definem a qualidade criptogrfica das informaes que trafegam na WWW. Comentrios A afirmativa est errada. O plug-in um software que adiciona recursos computacionais a um cliente ou browser da WWW. A maioria dos plug-ins est disponvel gratuitamente na prpria Internet. necessrio, por exemplo, que o
usurio instale um plug-in para poder visualizar videoclipes em MPG (ou MPEG). Gabarito: item errado. 40. (FCC/2008/ICMS-SP) Um cdigo anexado ou logicamente associado a uma mensagem eletrnica que permite, de forma nica e exclusiva, a comprovao da autoria de um determinado conjunto de dados : a) uma autoridade certificadora; b) uma trilha de auditoria; c) uma chave simtrica; d) uma assinatura digital; e) um certificado digital. Comentrios O que garante a comprovao da autoria de um determinado conjunto de dados a assinatura digital. O certificado digital usado para assinar! Gabarito: letra D. 41. (FCC/2008/TCE-SP) Secure Sockets Layer trata-se de
a) qualquer tecnologia utilizada para proteger os interesses de proprietrios de contedo e servios; b) um elemento de segurana que controla todas as comunicaes que passam de uma rede para outra e, em funo do que sejam, permite ou denega a continuidade da transmisso; c) uma tcnica usada para garantir que algum, ao realizar uma ao em um computador, no possa falsamente negar que realizou aquela ao; d) uma tcnica usada para examinar se a comunicao est entrando ou saindo e, dependendo da sua direo, permiti-la ou no; e) um protocolo que fornece comunicao segura de dados atravs de criptografia do dado. Comentrios O SSL (Secure Sockets Layer Camada de conexes seguras) um protocolo de criptografia que pode ser utilizado para prover segurana na comunicao de qualquer aplicao baseada em TCP. O SSL est posicionado entre a camada de transporte e a camada de aplicao da pilha TCP/IP e funciona provendo servios de autenticao do servidor, comunicao secreta e integridade dos dados.
Cabe destacar que o HTTPS (HTTP Seguro) usado para realizar o acesso a sites (como de bancos on-line e de compras) com transferncia criptografada de dados. O HTTPS nada mais do que a juno dos protocolos HTTP e SSL (HTTP over SSL). O HTTPS geralmente utiliza a porta TCP 443, em vez da porta 80 utilizada pelo protocolo HTTP. A resposta questo , como j visto, a letra E! Gabarito: letra E.
Instrues: Para responder questo seguinte, considere as informaes abaixo: OBJETIVO: O Ministrio Pblico do Governo Federal de um pas deseja modernizar seu ambiente tecnolgico de informtica. Para tanto, adquirir equipamentos de computao eletrnica avanados e redefinir seus sistemas de computao a fim de agilizar seus processos internos e tambm melhorar seu relacionamento com a sociedade. REQUISITOS PARA ATENDER AO OBJETIVO: 1 - O ambiente de rede de computadores, para troca de informaes exclusivamente internas do Ministrio, dever usar a mesma tecnologia da rede mundial de computadores. 2 - O acesso a determinadas informaes somente poder ser feito por pessoas autorizadas. 3 - Os funcionrios podero se comunicar atravs de um servio de conversao eletrnica em modo instantneo (tempo real). 4 - A comunicao eletrnica tambm poder ser feita via internet no modo no instantneo 5 - Para garantir a recuperao em caso de sinistro, as informaes devero ser copiadas em mdias digitais e guardadas em locais seguros. 42. (FCC/2007/MPU/Tcnico-rea Administrativa/Q.22) Os 2 e 5 especificam correta e respectivamente requisitos de uso de (A) antivrus e backup. (B) firewall e digitalizao. (C) antivrus e firewall. (D) senha e backup. (E) senha e antivrus. Comentrios
Vamos aos comentrios dos itens: Item A. Software antivrus um aplicativo utilizado para detectar, anular e eliminar vrus e outros tipos de cdigos maliciosos de um computador. Item FALSO. Item B. O firewall um dos principais dispositivos de segurana em uma rede de computadores. Ele realiza a filtragem dos pacotes e, ento, bloqueia as transmisses no permitidas. Tem como objetivo evitar que ameaas provenientes da Internet se espalhem na rede interna de um determinado ambiente. O firewall pode atuar entre a rede externa e interna, controlando o trfego de informaes que existem entre elas, procurando se certificar de que este trfego confivel, de acordo com a poltica de segurana do site acessado. Tambm pode ser utilizado para atuar entre redes com necessidades de segurana distintas. Digitalizao o processo de converso de um dado analgico para um formato de representao digital. Item FALSO. Item C. Antivrus e firewall, conforme visto, no esto relacionados aos itens dos 2 e 5. Item FALSO. Item D. Os itens senha e backup enquadram-se perfeitamente na definio dos pargrafos 2 e 5. O 2 destaca que o acesso a determinadas informaes somente poder ser feito por pessoas autorizadas. Nesse caso, para realizar o acesso a pessoas autorizadas em aplicaes necessrio implementar controle de acesso lgico atravs de usurio e senha. O 5 destaca que para garantir a recuperao em caso de sinistro, as informaes devero ser copiadas em mdias digitais e guardadas em locais seguros. Esse pargrafo est relacionado ao processo de backup que consiste na realizao de cpia de segurana de dados, com o objetivo de permitir que dados originais sejam restaurados em caso da perda de sinistros. Item E. Conforme visto no item A, o antivrus no corresponde ao que deveria ser especificado no 5. Item FALSO. Gabarito: letra D. 43. (FCC/2007/Cmara dos Deputados) Um certificado digital :
I Um arquivo eletrnico que contm a identificao de uma pessoa ou instituio. II Equivalente ao RG ou CPF de uma pessoa. III O mesmo que uma assinatura digital.
Est correto o que consta em: a) I apenas; b) III apenas; c) I e II apenas; d) I e III apenas; e) I, II e III. Comentrios Item I. Um certificado digital um documento eletrnico que identifica pessoas (fsicas ou jurdicas), URLs, contas de usurio, servidores (computadores), entre outras entidades. Esse documento, na verdade, uma estrutura de dados que contm a chave pblica do seu titular e outras informaes de interesse. Item CERTO. Item II. O certificado digital contm informaes relevantes para a identificao real da entidade que visam certificar (CPF, CNPJ, endereo, nome, etc.) e informaes relevantes para a aplicao a que se destinam. Item CERTO. Item III. O certificado digital no o mesmo que assinatura digital! Com o uso de um certificado digital pode-se assinar uma mensagem. A assinatura digital um processo matemtico para atestar a autenticidade de informaes digitais, como uma mensagem de e-mail ou um arquivo, por exemplo. A assinatura digital utiliza-se de chaves pblicas e privadas, tambm, assim como a criptografia assimtrica, mas as usa de forma invertida (o remetente usa sua chave privada para assinar a mensagem e, no outro lado, o destinatrio usa a chave pblica do remetente para conferir a assinatura). Item ERRADO. Como esto certos apenas os itens I e II, a resposta est na alternativa C. Gabarito: letra C. 44. (FCC/2006/TRT-SP/ANALISTA JUDICIRIO-Adaptada) So termos respectiva e intrinsecamente associados tipologia conhecida de malware, servio de Internet e mensagens enviadas em massa por meio de correio eletrnico: (A) Telnet, chat e host. (B) Spyware, Cavalo de Troia e hoax.
(C) Shareware, FTP e spam. (D) Cavalo de Troia, chat e spam. (E) Middleware, FTP e hoax. Comentrios Malwares so programas que manifestam comportamento ilegal, viral, fraudulento ou mal-intencionado. Dentre os tipos de malware podemos destacar os vrus, worms (vermes), cavalos de troia, etc. O cavalo de troia um programa aparentemente inofensivo que, quando executado (com a sua autorizao!), parece lhe divertir, mas, por trs abre portas de comunicao do seu computador para que ele possa ser invadido. Algumas das funes maliciosas que podem ser executadas por um cavalo de troia so: furto de senhas e outras informaes sensveis, como nmeros de cartes de crdito; incluso de backdoors, para permitir que um atacante tenha total controle sobre o computador; alterao ou destruio de arquivos; etc. O chat (bate-papo) um dos principais servios (operaes que podemos realizar) na Internet. E, por fim, o spam um tipo de mensagem recebida pelo usurio sem que ele tenha solicitado, que enviada em massa por meio do correio eletrnico. Gabarito: letra D. 45. (FCC/2003/TRF-5. Regio/Analista de Informtica) Os algoritmos de criptografia assimtricos utilizam: a) uma mesma chave privada, tanto para cifrar quanto para decifrar; b) duas chaves privadas diferentes, sendo uma para cifrar e outra para decifrar; c) duas chaves pblicas diferentes, sendo uma para cifrar e outra para decifrar; d) duas chaves, sendo uma privada para cifrar e outra pblica para decifrar; e) duas chaves, sendo uma pblica para cifrar e outra privada para decifrar. Comentrios Algoritmos de criptografia assimtricos (criptografia de chave pblica) utilizam chaves criptogrficas diferentes, uma pblica e outra privada. A pblica a chave que o remetente utiliza para cifrar a mensagem. A privada a chave que o destinatrio usa para decifrar (decriptografar) a mensagem.
bom lembrar que as duas chaves so do destinatrio da mensagem! A chave pblica deve ser disponibilizada para quem quiser criptografar as mensagens destinadas a ele. Gabarito: letra E. 46. (FCC/2003/TRF 5 REGIO/TCNICO DE INFORMTICA) Um mecanismo muito usado para aumentar a segurana de redes de computadores ligadas Internet (A) o firewall. (B) a criptografia. (C) a autenticao. (D) a assinatura digital. (E) o controle de acesso. Comentrios Essa pode ser uma questo de resoluo complexa para quem no se preparou, afinal, todas as alternativas trazem conceitos relacionados segurana. Entretanto, podemos facilmente separar as coisas. Em primeiro lugar, o enunciado fala em segurana de redes de computadores. E mais: fala que os computadores esto ligados internet. Pois bem. Criptografia, autenticao e assinatura digital so conceitos relacionados segurana, mas que no esto necessariamente relacionados a redes de computadores e internet. Quer dizer, so tecnologias que tambm tm uso em dispositivos no conectados em rede. De forma semelhante, o controle de acesso tambm uma medida de segurana que no tem relao direta com redes de computadores ou internet. O controle de acesso, seja fsico ou lgico, uma medida que deve ser tomada em qualquer instncia, como, por exemplo, para acessar o sistema operacional de nosso PC domstico. A resposta correta firewall, visto que se trata de uma ferramenta especificamente desenvolvida para agregar segurana a redes de computadores, especialmente os ligados internet. Gabarito: letra A. 47. (FCC/2004/TRT 8. REGIO/TCNICO ADMINISTRATIVO)
Um ....... efetivamente coloca uma barreira entre a rede corporativa e o lado externo, protegendo o permetro e repelindo hackers. Ele age como um nico ponto de entrada, atravs do qual todo o trfego que chega pela rede pode ser auditado, autorizado e autenticado.
Completa corretamente a lacuna acima: (A) firewall. (B) antivrus. (C) servidor Web. (D) servidor de aplicativos. (E) browser. Comentrios Uma barreira entre a rede corporativa (ou domstica, tanta faz) e o lado externo um Firewall. Importante notar, como exposto no enunciado, que um Firewall deve ser o nico ponto de entrada do computador, condio sem a qual ele no poderia ser eficaz. Percebam que a FCC utilizou o termo hacker como sinnimo de cracker, que o hacker que usa seus conhecimentos para atos ilcitos. Como vimos no incio da aula, os examinadores nem sempre fazem essa diferenciao. A nica alternativa que poderia confundir os mais desavisados a que traz antivrus. Basta nos lembrarmos de que antivrus no tem relao necessria com redes de computadores. Antivrus, por exemplo, protegem nossos computadores de vrus que estejam escondidos em disquetes ou CDs, coisa que o Firewall no faz. Cabe notar que muitos dos softwares antivrus atuais trazem Firewalls integrados. Contudo, as duas aplicaes no se confundem, pois cada qual desempenha suas tarefas especficas. Gabarito: letra A. 48. (FCC/2004/TRT 8. ferramentas antivrus REGIO/TCNICO ADMINISTRATIVO) As
(A) so recomendadas apenas para redes com mais de 100 estaes. (B) dependem de um firewall para funcionarem. (C) podem ser utilizadas independente do uso de um firewall. (D) e um firewall significam a mesma coisa e tm as mesmas funes. (E) devem ser instaladas somente nos servidores de rede e no nas estaes de trabalho. Comentrios Cabe destacar que softwares antivrus e firewalls no se confudem, apesar de muitas vezes virem integrados em uma s ferramenta.
107
Vejamos as alternativas: Item A. Antivrus so recomendados at mesmo para um micro isolado! Se fosse assim, os antivrus no precisavam existir antes da exploso da Internet. Entretanto, sabemos que os vrus j se espalhavam, principalmente por meio dos disquetes, muito antes da Internet se tornar popular. Item ERRADO. Item B. Antivrus no dependem de firewall para funcionarem. Item ERRADO. Item C. Os mais atentos j notaram que as alternativas B e C so opostas e, portanto, excludentes. Assim, ou uma delas seria a resposta da questo ou a questo estaria viciada e passvel de recurso. Como antivrus podem ser utilizadas independente do uso de um firewall, essa a alternativa CORRETA. Item D. Antivrus e Firewall no so a mesma coisa. Item ERRADO. Item E. Antivrus devem estar instalados em todos os computadores, ou seja, nos servidores e nas estaes de trabalho. Item ERRADO. Gabarito: letra C. 49. (FCC/2004/TRT 8. Regio/Tcnico Administrativo) Uma Intranet utiliza a mesma tecnologia ....I.... e viabiliza a comunicao interna e restrita entre os computadores de uma empresa ou rgo que estejam ligados na rede. Na Intranet, portanto, ....II.... e o acesso s pginas .....III.... . Preenche corretamente as lacunas I, II e III acima:
108
Comentrios Essa questo necessita de noes de rede, internet e segurana. Vimos que o que caracteriza uma intranet a utilizao das tecnologias usadas pela internet, porm em um ambiente restrito. Ficamos ento com as alternativas A e D. Numa intranet, intruses e vrus so possveis, afinal, para ser infectado por um vrus, basta um inocente disquete contaminado. Minha ressalva para essa questo fica para o trecho que define um browser como um interpretador de comandos. Nunca vi uma definio to ruim de um navegador web. De qualquer forma, na falta de uma alternativa melhor, ficamos com a A mesmo. Gabarito: letra A. 50. (FCC/2005/TRT 13 regio/Analista de Sistemas) Uma combinao de hardware e software que fornece um sistema de segurana, geralmente para impedir acesso externo no autorizado a uma rede interna ou intranet. Impede a comunicao direta entre a rede e os computadores externos ao rotear as comunicaes atravs de um servidor proxy fora da rede. Esta a funo de (A) sistema criptogrfico.
(B) hub. (C) antivirus. (D) bridge. (E) firewall. Comentrios Mais uma questo da FCC trazendo, bem ou mal, a definio de um firewall. Hub e bridge so equipamentos de hardware utilizados em redes de computadores, no tm funes de segurana. Sistema criptogrfico no tem relao direta com redes, intranet e internet. Restam-nos os velhos conhecidos antivrus e Firewall, que j estamos craques em diferenciar. Gabarito: letra E. 51. (FCC/2003/TRF 5. REGIO/TCNICO DE INFORMTICA) Pessoa que quebra intencional e ilegalmente a segurana de sistemas de computador ou o esquema de registro de software comercial denomina-se (A) hacking. (B) hacker. (C) cracking. (D) cracker. (E) finger. Comentrios Infelizmente a distino entre hacker e cracker nem sempre estabelecida nas questes de concurso. Essa questo, provavelmente por ser direcionada a cargo da rea de informtica, explorou justamente essa diferena. No caso, refere-se a um cracker, pessoa que quebra intencional e ilegalmente a segurana de sistemas de computador. Gabarito: letra D.
110
CONSIDERAES FINAIS Por hoje ficamos por aqui. Espero que esse material, feito com todo o carinho, ajude-o a entender melhor o funcionamento das ameaas virtuais e principais medidas de segurana que devem ser adotadas para se proteger dessas ameaas, e o ajude a acertar as questes de segurana da sua prova! Em alguns momentos de nossas aulas so realados os pontos de maior IMPORTNCIA para a prova que iro realizar. Com isso, os alunos que j sabem muito bem o assunto tero a oportunidade de revisar, de confirmar o seu conhecimento; e aqueles que ainda no sabem, conseguiro assimilar sem dificuldades a matria. Fiquem com Deus, e at a nossa prxima aula aqui no Ponto!! Profa Patrcia Lima Quinto REFERNCIAS BIBLIOGRFICAS Notas de aula, prof Patrcia Lima Quinto. 2012/2013. Informtica-FCC-Questes Comentadas e Organizadas por Assunto, de Patrcia Lima Quinto, 2012. 2. Edio. Ed. Gen/Mtodo. Novo! INFO. Disponvel em: http://info.abril.com.br. INFOWESTER. Disponvel em: http://www.infowester.com/hardware.php PCMAGAZINE. Disponvel em: http://www.pcmag.com.br. UOL. Disponvel em://tecnologia.uol.com.br. VASCONCELOS, L. Disponvel em: http://www.laercio.com.br. ABNT NBR ISO/IEC 27002:2005 Tecnologia da Informao Tcnicas de Segurana Cdigo de Prtica para a Gesto de Segurana da Informao (antiga 17799:2005). MDULO Security. Disponvel em: http://www.modulo.com.br/. NAKAMURA, E. T., GEUS, P.L. Segurana de Redes em Ambientes Cooperativos. Ed. Novatec, 2007. RAMOS, A.; BASTOS, A.; LAYRA, A. Guia oficial para formao de gestores em segurana da informao. 1. ed. Rio Grande do Sul: ZOUK. 2006. SMOLA, M. Gesto da segurana da informao. 2 ed. So Paulo: Campus Elsevier. 2003. TECHNET. Academia Latino-Americana da Segurana da Informao. 2006. Disponvel em: <http://www.technetbrasil.com.br/academia/>.
a
111
LISTA DE QUESTES APRESENTADAS NA AULA 1. (FCC/2012/TRT-11.Regio/Provas de Analista Judicirio e Tcnico Judicirio) Quando o cliente de um banco acessa sua conta corrente atravs da internet, comum que tenha que digitar a senha em um teclado virtual, cujas teclas mudam de lugar a cada caractere fornecido. Esse procedimento de segurana visa evitar ataques de (A) spywares e adwares. (B) keyloggers e adwares. (C) screenloggers e adwares. (D) phishing e pharming. (E) keyloggers e screenloggers. 2. (FCC/TRE-CE/Analista Judicirio/Anlise de Sistemas/2012) Em relao segurana da informao, considere: I. Capacidade do sistema de permitir que alguns usurios acessem determinadas informaes, enquanto impede que outros, no autorizados, sequer as consultem. II. Informao exposta, sob risco de manuseio (alteraes no aprovadas e fora do controle do proprietrio da informao) por pessoa no autorizada. III. O sistema deve ter condies de verificar a identidade dos usurios, e este ter condies de analisar a identidade do sistema. Os itens I, II e III, associam-se, direta e respectivamente, aos princpios de a) confidencialidade, integridade e autenticidade. b) autenticidade, confidencialidade e irretratabilidade. c) confidencialidade, confidencialidade e irretratabilidade. d) autenticidade, confidencialidade e autenticidade. e) integridade, confidencialidade e integridade. 3. (FCC/2012/TRE-CE - Tcnico Judicirio - Programao de Sistemas) Sobre segurana da informao, analise: I. obtida a partir da implementao de um conjunto de controles adequados, incluindo polticas, processos, procedimentos, estruturas organizacionais e funes de software e hardware. II. A interconexo de redes pblicas e privadas e o compartilhamento de recursos de informao aumentam a dificuldade de se controlar o acesso. A tendncia da computao distribuda aumenta a eficcia da implementao de um controle de acesso centralizado.
III. Os controles de segurana precisam ser estabelecidos, implementados, monitorados, analisados criticamente e melhorados, onde necessrio, para garantir que os objetivos do negcio e de segurana da organizao sejam atendidos. Convm que isto seja feito em conjunto com outros processos de gesto do negcio. IV. importante para os negcios, tanto do setor pblico como do setor privado, e para proteger as infraestruturas crticas. Em ambos os setores, a funo da segurana da informao viabilizar os negcios como o governo eletrnico (e-gov) ou o comrcio eletrnico (e-business), e evitar ou reduzir os riscos relevantes. Est correto o que consta em a) I, II, III e IV. b) I, III e IV, apenas c) I e IV, apenas. d) III e IV, apenas. e) I e II, apenas. 4. (FGV/2009/ICMS-RJ) No Brasil, a NBR ISO 17799 constitui um padro de recomendaes para prticas na gesto de Segurana da Informao. De acordo com o estabelecido nesse padro, trs termos assumem papel de importncia capital: confidencialidade, integridade e disponibilidade. Nesse contexto, a confidencialidade tem por objetivo: (A) salvaguardar a exatido e a inteireza das informaes e mtodos de processamento. (B) salvaguardar os dados gravados no backup por meio de software que utilize assinatura digital. (C) permitir que os usurios tenham acesso aos arquivos de backup e aos mtodos de criptografia empregados. (D) permitir que os usurios autorizados tenham acesso s informaes e aos ativos associados, quando necessrio. (E) garantir que as informaes sejam acessveis apenas para aqueles que estejam autorizados a acess-las. 5. (FCC/2006/TRTMS/Analista Sistemas) Segundo a NBR ISO/IEC 17799:2001, o conceito de segurana da informao caracterizado pela preservao de: I.que a garantia de que a informao acessvel somente por pessoas autorizadas a terem acesso;
II.que a salvaguarda da exatido e completeza da informao e dos mtodos de processamento; III.que a garantia de que os usurios autorizados obtenham acesso informao e aos ativos correspondentes, sempre que necessrio. Preencham correta e respectivamente as lacunas I, II e III: (a)disponibilidade integridade confidencialidade (b)confidencialidade integridade disponibilidade (c)integridade confidencialidade disponibilidade (d)confidencialidade disponibilidade - integridade (e) disponibilidade - confidencialidade integridade 6. (FCC/TRT-24 Regio/Analista Judicirio/Tecnologia Informao/2011/Adaptada) Considere: da
I. Garantia de que o acesso informao seja obtido somente por pessoas autorizadas. II. Salvaguarda da exatido e completeza da informao e dos mtodos de processamento. III. Garantia de que os usurios autorizados obtenham acesso informao e aos ativos correspondentes sempre que necessrio. Na ISO/IEC 17799(renomeada para 27002), I, II e III correspondem, respectivamente, a a) disponibilidade, integridade e confiabilidade. b) confiabilidade, integridade e distributividade. c) confidencialidade, integridade e disponibilidade. d) confidencialidade, confiabilidade e disponibilidade. e) integridade, confiabilidade e disponibilidade. 7. (FCC/TRE-CE/Analista Judicirio/Anlise de Sistemas/2012) Em relao vulnerabilidades e ataques a sistemas computacionais, correto afirmar: a) Medidas de segurana podem ser definidas como aes que visam eliminar riscos para evitar a concretizao de uma vulnerabilidade. b) O vazamento de informao e falha de segurana em um software constituem vulnerabilidades. c) Roubo de informaes e perda de negcios constitui ameaas.
114
d) Medidas de segurana podem ser definidas como aes que visam eliminar vulnerabilidades para evitar a concretizao de uma ameaa. e) rea de armazenamento sem proteo e travamento automtico da estao aps perodo de tempo sem uso constituem ameaa. 8. (FCC/2012/TRE-CE/Analista Judicirio/Anlise de Sistemas /2012) Ao elaborar e comunicar uma Poltica de Segurana da Informao - PSI necessrio usar uma linguagem conhecida e meios adequados aos tipos de mensagens e usurios; adotar estilo simples e claro; respeitar o interlocutor sem superestim-lo nem subestim-lo; respeitar a cultura organizacional e a do pas a que se destina. Nesse sentido, correto concluir que tal afirmao a) adere parcialmente s expectativas de uma PSI, pois a poltica deve ser nica, e no deve levar em conta caractersticas humanas e legais do pas no qual ela aplicada. b) adere parcialmente s expectativas de uma PSI, tendo em vista que ela deve ser construda considerando uma linguagem tecnolgica desvinculada de adoo de estilos. c) adere integralmente a formulao de uma PSI, pois ao elaborar uma poltica necessrio que ela seja ajustada a cada instituio e deve ser comunicada de maneira que todos entendam. d) adere parcialmente s expectativas de uma PSI, porque os atributos do interlocutor no devem constituir relevncia, j que todos os usurios, presumivelmente, foram selecionados pela empresa para entenderem a tecnologia usada. e) no atende aos propsitos de uma PSI, pois linguagem, estilo e interlocutor no podem sobrepor-se linguagem tecnolgica e preciso levar em conta a cultura do pas no qual ela aplicada, a linguagem tecnolgica utilizada e os nveis de sensibilidade de cada tipo de interlocutor. 9. (FCC/2011/TRE-TO/Analista Judicirio Judiciria) Uma das formas de proteger o sigilo da informao que trafega na Internet : a) no fazer os downloads em notebooks. b) no responder e-mails que chegam "com cpia oculta". c) mandar e-mails somente a pessoas da lista pessoal. d) no usar a opo "com cpia para" do correio eletrnico. e) a criptografia
10. (FCC/TRE-CE/Analista Judicirio Anlise de Sistemas/2012/Adaptada) Em relao criptografia correto afirmar: a) Em uma rede privada virtual no possvel enviar dados criptografados atravs da Internet. b) A criptografia de chave simtrica utiliza uma chave pblica e uma chave privada para codificar e decodificar a mesma informao. c) Os mtodos de criptografia, via de regra, so divididos em chave simtrica e chave assimtrica. d) RSA um algoritmo de criptografia, embasado no conceito de chave simtrica. e) Redundncia e atualidade so os dois princpios fundamentais da criptografia. 11. (FCC/TRE-CE/Tcnico Judicirio Programao Sistemas/2012) De acordo com a NBR ISO/IEC 27002: de
a) A anlise/avaliao de riscos no deve ser feita periodicamente para no impactar nos custos dos projetos de software ou hardware. b) A seleo de controles de segurana da informao depende das decises da organizao, baseadas nos critrios para ignorar o risco, nas opes para tratamento do risco e no enfoque geral da gesto de risco aplicado organizao. Convm que esteja sujeito apenas s legislaes e regulamentaes nacionais relevantes. c) A gesto de riscos geralmente inclui a anlise/avaliao de riscos, o tratamento de riscos e a comunicao de riscos. No inclui aceitao de riscos. d) Convm que a anlise/avaliao de riscos inclua um enfoque sistemtico de estimar a magnitude do risco (anlise de riscos) e o processo de comparar os riscos estimados contra os critrios de risco para determinar a significncia do risco (avaliao do risco). e) O escopo de uma anlise/avaliao de riscos deve ser sempre em toda a organizao, pois todas as reas esto sujeitas aos riscos. 12. (FCC/TRE-CE/Tcnico Judicirio Programao de Sistemas/2012) A propriedade que garante que nem o emissor nem o destinatrio das informaes possam negar a sua transmisso, recepo ou posse conhecida como a) autenticidade. b) integridade. c) irretratabilidade.
d) confidenciabilidade. e) acessibilidade. 13. (FCC/2011/TRF - 1. Regio/Tcnico Judicirio Segurana e Transporte) Considerando o recebimento de um arquivo executvel de fonte desconhecida, no correio eletrnico, a atitude mais adequada diante deste fato a) no execut-lo; b) baix-lo no seu desktop e execut-lo localmente, somente; c) repass-lo para sua lista de endereos solicitando aos mais experientes que o executem; d) execut-lo diretamente, sem baix-lo no seu desktop; e) execut-lo de qualquer administrador de sua rede. forma, porm comunicar o fato ao
14. (FCC/2010/DNOCS/ADMINISTRADOR/ PROVA A01-001-Q. 58) Prestam-se a cpias de segurana (backup) (A) quaisquer um destes: DVD; CD-ROM; disco rgido externo ou cpia externa, quando os dados so enviados para um provedor de servios via internet. (B) apenas estes: CD-ROM; disco rgido e cpia externa, quando os dados so enviados para um provedor de servios via internet. (C) apenas estes: DVD, CD-ROM e disco rgido externo. (D) apenas estes: CD-ROM e disco rgido externo. (E) apenas estes: DVD e CD-ROM. 15. (FCC/2009/Oficial de Chancelaria/Adaptada) O Diretor de um certo rgo pblico incumbiu alguns funcionrios da seguinte tarefa: Item 5 Tarefa Garantir que a maior parte dos dados gravados computadores no seja perdida em caso de sinistro. nos
Tal garantia possvel se forem feitas cpias dos dados: a) aps cada atualizao, em mdias removveis mantidas nos prprios computadores;
b) em arquivos distintos nos respectivos hard disks, desde que estes dispositivos sejam desligados aps o expediente; c) em arquivos distintos nos respectivos hard disks, desde que estes dispositivos permaneam ligados ininterruptamente; d) aps cada atualizao, em mdias removveis mantidas em local distinto daquele dos computadores; e) da poltica de segurana fsica. 16. (FCC/2009/TJ-PI/Analista Judicirio/Adaptada) Instruo: Para responder questo, considere os dados abaixo. Item Tarefa VII Proceder, diariamente, cpia de segurana dos dados em fitas digitais regravveis (algumas comportam at 72 GB de capacidade) em mdias alternadas para manter a segurana e economizar material.
No item VII recomendado o uso de mdias conhecidas por: a) FAT32; b) FAT; c) NTSF; d) DAT; e) DVD+RW. 17. (FCC/2004/TRT 8. REGIO/TCNICO ADMINISTRATIVO) Para evitar a perda irrecupervel das informaes gravadas em um computador e proteg-las contra acesso no autorizado, necessrio que se adote, respectivamente, as medidas inerentes s operaes de (A) backup dos arquivos do sistema operacional e configurao de criptografia. (B) checkup dos arquivos do sistema operacional e inicializao da rede executiva. (C) criptografia de dados e inicializao da rede privativa. (D) backup de arquivos e uso de senha privativa. (E) uso de senha privativa e backup dos arquivos do sistema operacional. 18. (FCC/2010/DNOCS/AGENTE ADMINISTRATIVO) No Windows, a possibilidade de controlar e reverter alteraes perigosas no computador pode ser feita por meio da restaurao do sistema.
19. (FCC/2010/DNOCS/AGENTE ADMINISTRATIVO) No Windows, a possibilidade de controlar e reverter alteraes perigosas no computador pode ser feita por meio das atualizaes automticas. 20. (FCC/2010/DNOCS/AGENTE ADMINISTRATIVO) No Windows, a possibilidade de controlar e reverter alteraes perigosas no computador pode ser feita por meio do gerenciador de dispositivos. 21. (FCC/2009/TJ-PI/Analista Judicirio/Adaptada) Instruo: Para responder questo, considere os dados abaixo. Item Tarefa V Ao enviar informaes sigilosas via mensagem eletrnica deve-se utilizar de um sistema que faa a codificao (chave, cifra), de modo que somente as mquinas que conhecem o cdigo consigam decifr-lo.
O cuidado solicitado em V aplica o conceito de: a) criptografia; b) assinatura digital; c) digitalizao; d) desfragmentao; e) modulao/demodulao. 22. (FCC/TRE-CE/Analista Judicirio - Anlise de Sistemas/2012) Em relao Medida Provisria no 2.200-2, de 24 de agosto de 2001, que Institui a InfraEstrutura de Chaves Pblicas Brasileira - ICP-Brasil, INCORRETO afirmar: a) Compete ao Comit Gestor da ICP-Brasil homologar, auditar e fiscalizar a AC Raiz e os seus prestadores de servio. b) Compete Autoridade Certificadora Raiz - AC Raiz e, sob sua delegao, s Autoridades Certificadoras - AC, emitirem certificados para o usurio final. c) O par de chaves criptogrficas ser gerado sempre pelo prprio titular e sua chave privada de assinatura ser de seu exclusivo controle, uso e conhecimento. d) Observados os critrios a serem estabelecidos pelo Comit Gestor da ICP-Brasil, podero ser credenciados como AC e AR os rgos e as entidades pblicos e as pessoas jurdicas de direito privado.
e) Compete ao Comit Gestor da ICP-Brasil estabelecer a poltica de certificao e as regras operacionais da AC Raiz. 23. (COPS/CMTU-Londrina/Analista Administrativo/Tecnologia da Informao/2011) Sobre a norma ISO/IEC 27001, considere as afirmativas a seguir:
Assinale a alternativa correta. a)Somente as afirmativas I e IV so corretas. b)Somente as afirmativas II e III so corretas. c)Somente as afirmativas III e IV so corretas. d)Somente as afirmativas I, II e III so corretas. e)Somente as afirmativas I, II e IV so corretas. 24. (FCC/TRE-CE/Analista Judicirio/Anlise de Sistemas/2012) Em relao a certificados digitais INCORRETO afirmar: a) Se uma mensagem cifrada usando-se a chave privada do remetente e, em seguida, a chave pblica do destinatrio, pode-se garantir que a mensagem de fato partiu do remetente e que s ser aberta pelo destinatrio. b) A Autoridade de Registro realiza o armazenamento da chave pblica quando gera o par de chaves criptogrficas para o certificado digital. c) A assinatura digital permite ao receptor verificar a integridade da mensagem e a identidade do transmissor. d) A adio de uma assinatura digital a uma mensagem pode ser efetuada por seu transmissor, por meio da adio, mensagem cifrada, de um hash cifrado com sua chave privada. e) A assinatura digital suficiente para garantir o no repdio e o sigilo dos dados que devero transitar entre dois computadores.
25. (FCC/TRE-CE/Analista Judicirio/Anlise de Sistemas/2012) Em relao norma ISO/IEC 27002, considere: I. Para definio de uma estratgia de continuidade de negcios deve-se ter como meta o tempo esperado de recuperao, que, por sua vez, derivado dos perodos mximos tolerveis de interrupo. II. Os requisitos para controles de segurana de novos sistemas de informao ou melhorias em sistemas existentes devem constar nas especificaes de requisitos de negcios dos sistemas. III. Convm que os registros (log) de auditoria incluam, quando relevantes, os registros das tentativas de acesso ao sistema aceitas e rejeitadas. IV. Entre os objetivos de controle de manuseio de mdias inclui-se o controle de descarte de mdias, sendo previstas, nessas normas, diretrizes de implementao para o descarte de forma segura e protegida. Est correto o que se afirma em: a) I, II e III, apenas. b) I, II e IV, apenas. c) I, III e IV, apenas. d) II, III e IV, apenas. e) I, II, III e IV. 26. (FCC/2010-04/BAHIA GS/ Analista de Processos Organizacionais Administrao ou Cincias Econmicas) Uma assinatura digital um recurso de segurana cujo objetivo (A) identificar um usurio apenas por meio de uma senha. (B) identificar um usurio por meio de uma senha, associada a um token. (C) garantir a autenticidade de um documento. (D) criptografar um documento assinado eletronicamente. (E) ser a verso eletrnica de uma cdula de identidade. 27. (FCC/2010/GOVBA/AGENTE PENITENCIRIO/UNI-001-Q. 21) Considere os seguintes motivos que levaram diversas instituies financeiras a utilizar teclados virtuais nas pginas da Internet: I. facilitar a insero dos dados das senhas apenas com o uso do mouse. II. a existncia de programas capazes de capturar e armazenar as teclas digitadas pelo usurio no teclado de um computador. III. possibilitar a ampliao dos dados do teclado para o uso de deficientes visuais.
Est correto o que se afirma em (A) I, apenas. (B) II, apenas. (C) III, apenas. (D) II e III, apenas. (E) I, II e III. 28. (CESGRANRIO/FINEP/Analista de Sistemas Suporte/ 2011-07) Os programadores de vrus continuamente desafiam os produtos de antivrus. Com o objetivo de camuflar o cdigo desses programas malignos, seus criadores costumam utilizar tcnicas de criptografia durante o processo de mutao do vrus. Nesse sentido, o vrus do tipo oligomrfico criptografa o seu corpo, formado (A) pelo seu cdigo de ataque e por um cdigo de decriptao, e, durante o processo de mutao, seleciona aleatoriamente uma nova chave de criptografia para criptografar o corpo e no acopla, ao criptograma gerado, o cdigo de decriptao. (B) pelo seu cdigo de ataque e por um cdigo de decriptao, e, durante o processo de mutao, seleciona aleatoriamente uma nova chave de criptografia para criptografar o corpo e acopla, ao criptograma gerado, o cdigo de decriptao modificado por uma tcnica de insero aleatria de instrues lixo. (C) pelo seu cdigo de ataque e por um conjunto pequeno de cdigos de decriptao, e, durante o processo de mutao, seleciona aleatoriamente uma nova chave de criptografia para criptografar o corpo e acopla, ao criptograma gerado, um dos cdigos de decriptao selecionado aleatoriamente. (D) apenas pelo seu cdigo de ataque, e, durante o processo de mutao, seleciona aleatoriamente uma nova chave de criptografia para criptografar o corpo e acopla, ao criptograma gerado, o mesmo cdigo de decriptao. (E) apenas pelo seu cdigo de ataque, e, durante o processo de mutao, seleciona aleatoriamente uma nova chave de criptografia para criptografar o corpo e acopla, ao criptograma gerado, um novo cdigo de decriptao criado unicamente com instrues selecionadas aleatoriamente do conjunto de instrues do processador. 29. (FCC/TRT 14/TI/2011) Estabelecer a poltica, objetivos, processos e procedimentos do SGSI, relevantes para a gesto de riscos e a melhoria da segurana da informao para produzir resultados de acordo com as
polticas e objetivos globais de uma organizao. No modelo PDCA aplicado aos processos do SGSI da NBR ISO/IEC 27001, esta definio pertence a a) planejar. b) agir. c) fazer. d) confidencializar. e) checar. 30. (FCC/Banco Central do Brasil/Analista rea 1/2006) Um cdigo malicioso que se altera em tamanho e aparncia cada vez que infecta um novo programa um vrus do tipo a)de boot. b)de macro. c)parasita. d)camuflado. e)polimrfico. 31. (FCC/Banco Central do Brasil/Analista rea 1/2006/Adaptada) Sobre avaliao dos riscos de segurana, segundo a norma NBR ISO/IEC 17799( renomeada para 27002), deve-se I. desconsiderar as mudanas nos requisitos do negcio e suas prioridades. II. considerar novas ameaas e vulnerabilidades aos ativos. III. priorizar a avaliao dos novos controles sobre os controles j implementados. IV. realizar anlises crticas peridicas. correto o que consta APENAS em a) III e IV. b) II e IV. c) II e III. d) I e III. e) I e II. 32. (FCC/2009/TJ-PI/Analista Judicirio/Adaptada) Instruo: Para responder questo, considere os dados abaixo.
123
Item Recomendao IV Evitar a abertura de mensagens eletrnicas no solicitadas, provenientes de instituies bancrias ou empresas, que possam induzir o acesso a pginas fraudulentas na Internet, com vistas a roubar senhas e outras informaes pessoais valiosas registradas no computador.
A recomendao em IV para evitar um tipo de fraude conhecido por: a) chat b) cracker c) spam d) hacker e) phishing scam 33. (FCC/2009/MPSED/Analista do Ministrio Pblico/Analista de Sistemas) Um convite via e-mail, em nome de uma instituio governamental, para ser intermedirio em uma transferncia internacional de fundos de valor vultoso, em que se oferece um ganho percentual do valor, porm se exige uma quantia antecipada para gastos com advogados, entre outros (ex.: o golpe da Nigria), de acordo com o CGI.br, classificado como: a) spyware; b) hoax; c) scam; d) backdoor; e) spam. 34. (FCC/2009/MPSED/Analista do Ministrio Pblico/Analista de Sistemas) Consiste em um conjunto de computadores interconectados por meio de uma rede relativamente insegura que utiliza a criptografia e protocolos especiais para fornecer segurana. Esta uma conceituao bsica para: a) rede privada com comunicao criptogrfica simtrica; b) canal privado de comunicao assimtrica; c) canal privado de comunicao sncrona; d) rede privada com autenticao digital; e) rede privada virtual.
35. (FCC/2009/Oficial de Chancelaria/Adaptada) O Diretor de certo rgo pblico incumbiu alguns funcionrios da seguinte tarefa: Item Tarefa 72 Minimizar o risco de invaso de hackers nos computadores conectados Internet.
Minimizar o risco de invaso mais garantido com: a) a instalao de um firewall; b) a execuo de um antivrus; c) o estabelecimento de programas de orientao de segurana; d) a gravao de arquivos criptografados; e) a utilizao de certificao digital. 36. (Elaborao prpria) Trata-se de um software malicioso que, ao infectar um computador, criptografa todo ou parte do contedo do disco rgido. Os responsveis por esse software exigem da vtima um pagamento pelo resgate dos dados. a) bot; b) DoS; c) DDoS; d) pharming; e) ransomware. 37. (FCC/2009/MPSED/Analista do Ministrio Pblico/Analista de Sistemas) um programa capaz de se propagar automaticamente, explorando vulnerabilidades existentes ou falhas na configurao de softwares instalados em um computador. Dispe de mecanismos de comunicao com o invasor, permitindo ser controlado remotamente. Tais so as caractersticas do: a) adware b) patch c) opt-out d) bot e) log
125
38. (FCC/2008/TCE-SP/Adaptada) Em relao a Certificado Digital, correto afirmar que: [os certificados servem para garantir a segurana dos dados enviados via upload]. 39. (FCC/2008/TCE-SP/Adaptada) Em relao a Certificado Digital, correto afirmar que: so plugins que definem a qualidade criptogrfica das informaes que trafegam na WWW. 40. (FCC/2008/ICMS-SP) Um cdigo anexado ou logicamente associado a uma mensagem eletrnica que permite, de forma nica e exclusiva, a comprovao da autoria de um determinado conjunto de dados : a) uma autoridade certificadora; b) uma trilha de auditoria; c) uma chave simtrica; d) uma assinatura digital; e) um certificado digital. 41. (FCC/2008/TCE-SP) Secure Sockets Layer trata-se de
a) qualquer tecnologia utilizada para proteger os interesses de proprietrios de contedo e servios; b) um elemento de segurana que controla todas as comunicaes que passam de uma rede para outra e, em funo do que sejam, permite ou denega a continuidade da transmisso; c) uma tcnica usada para garantir que algum, ao realizar uma ao em um computador, no possa falsamente negar que realizou aquela ao; d) uma tcnica usada para examinar se a comunicao est entrando ou saindo e, dependendo da sua direo, permiti-la ou no; e) um protocolo que fornece comunicao segura de dados atravs de criptografia do dado.
Instrues: Para responder questo seguinte, considere as informaes abaixo: OBJETIVO: O Ministrio Pblico do Governo Federal de um pas deseja modernizar seu ambiente tecnolgico de informtica. Para tanto, adquirir equipamentos de computao eletrnica avanados e redefinir seus sistemas de computao a
fim de agilizar seus processos internos e tambm melhorar seu relacionamento com a sociedade. REQUISITOS PARA ATENDER AO OBJETIVO: 1 - O ambiente de rede de computadores, para troca de informaes exclusivamente internas do Ministrio, dever usar a mesma tecnologia da rede mundial de computadores. 2 - O acesso a determinadas informaes somente poder ser feito por pessoas autorizadas. 3 - Os funcionrios podero se comunicar atravs de um servio de conversao eletrnica em modo instantneo (tempo real). 4 - A comunicao eletrnica tambm poder ser feita via internet no modo no instantneo 5 - Para garantir a recuperao em caso de sinistro, as informaes devero ser copiadas em mdias digitais e guardadas em locais seguros. 42. (FCC/2007/MPU/Tcnico-rea Administrativa/Q.22) Os 2 e 5 especificam correta e respectivamente requisitos de uso de (A) antivrus e backup. (B) firewall e digitalizao. (C) antivrus e firewall. (D) senha e backup. (E) senha e antivrus. 43. (FCC/2007/Cmara dos Deputados) Um certificado digital :
I Um arquivo eletrnico que contm a identificao de uma pessoa ou instituio. II Equivalente ao RG ou CPF de uma pessoa. III O mesmo que uma assinatura digital. Est correto o que consta em: a) I apenas; b) III apenas; c) I e II apenas; d) I e III apenas; e) I, II e III.
127
44. (FCC/2006/TRT-SP/ANALISTA JUDICIRIO-Adaptada) So termos respectiva e intrinsecamente associados tipologia conhecida de malware, servio de Internet e mensagens enviadas em massa por meio de correio eletrnico: (A) Telnet, chat e host. (B) Spyware, Cavalo de Troia e hoax. (C) Shareware, FTP e spam. (D) Cavalo de Troia, chat e spam. (E) Middleware, FTP e hoax. 45. (FCC/2003/TRF-5. Regio/Analista de Informtica) Os algoritmos de criptografia assimtricos utilizam: a) uma mesma chave privada, tanto para cifrar quanto para decifrar; b) duas chaves privadas diferentes, sendo uma para cifrar e outra para decifrar; c) duas chaves pblicas diferentes, sendo uma para cifrar e outra para decifrar; d) duas chaves, sendo uma privada para cifrar e outra pblica para decifrar; e) duas chaves, sendo uma pblica para cifrar e outra privada para decifrar. 46. (FCC/2003/TRF 5 REGIO/TCNICO DE INFORMTICA) Um mecanismo muito usado para aumentar a segurana de redes de computadores ligadas Internet (A) o firewall. (B) a criptografia. (C) a autenticao. (D) a assinatura digital. (E) o controle de acesso. 47. (FCC/2004/TRT 8. REGIO/TCNICO ADMINISTRATIVO)
Um ....... efetivamente coloca uma barreira entre a rede corporativa e o lado externo, protegendo o permetro e repelindo hackers. Ele age como um nico ponto de entrada, atravs do qual todo o trfego que chega pela rede pode ser auditado, autorizado e autenticado. Completa corretamente a lacuna acima: (A) firewall.
(B) antivrus. (C) servidor Web. (D) servidor de aplicativos. (E) browser. 48. (FCC/2004/TRT 8. ferramentas antivrus REGIO/TCNICO ADMINISTRATIVO) As
(A) so recomendadas apenas para redes com mais de 100 estaes. (B) dependem de um firewall para funcionarem. (C) podem ser utilizadas independente do uso de um firewall. (D) e um firewall significam a mesma coisa e tm as mesmas funes. (E) devem ser instaladas somente nos servidores de rede e no nas estaes de trabalho. 49. (FCC/2004/TRT 8. Regio/Tcnico Administrativo) Uma Intranet utiliza a mesma tecnologia ....I.... e viabiliza a comunicao interna e restrita entre os computadores de uma empresa ou rgo que estejam ligados na rede. Na Intranet, portanto, ....II.... e o acesso s pginas .....III.... . Preenche corretamente as lacunas I, II e III acima:
129
50. (FCC/2005/TRT 13 regio/Analista de Sistemas) Uma combinao de hardware e software que fornece um sistema de segurana, geralmente para impedir acesso externo no autorizado a uma rede interna ou intranet. Impede a comunicao direta entre a rede e os computadores externos ao rotear as comunicaes atravs de um servidor proxy fora da rede. Esta a funo de (A) sistema criptogrfico. (B) hub. (C) antivirus. (D) bridge. (E) firewall. 51. (FCC/2003/TRF 5. REGIO/TCNICO DE INFORMTICA) Pessoa que quebra intencional e ilegalmente a segurana de sistemas de computador ou o esquema de registro de software comercial denomina-se (A) hacking. (B) hacker. (C) cracking. (D) cracker. (E) finger.
130
GABARITO 1. Letra E. 2. Letra A. 3. Letra B. 4. Letra E. 5. Letra B. 6. Letra C. 7. Letra D. 8. Letra C. 9. Letra E. 10. 11. 12. 13. 14. 15. 16. 17. 18. 19. 20. 21. 22. 23. 24. 25. 26. 27. 28. 29. 30. 31. 32. Letra E. Letra D. Letra C. Letra A. Letra A. Letra D. Letra D. Letra D. Item correto. Item errado. Item errado. Letra A. Letra B. Letra D. Letra E. Letra E. Letra C. Letra B. Letra C. Letra A. Letra E. Letra B. Letra E.
33. 34. 35. 36. 37. 38. 39. 40. 41. 42. 43. 44. 45. 46. 47. 48. 49. 50. 51.
Letra C. Letra E. Letra A. Letra E. Letra D. Item errado. Item errado. Letra D. Letra E. Letra D. Letra C. Letra D. Letra E. Letra A. Letra A. Letra C. Letra A. Letra E. Letra D.

Segurança da Informação em

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Segurança da Informação em

Uploaded by

Copyright:

Available Formats

TECNOLOGIA DA INFORMAO EM TEORIA E EXERCCIOS P/ SEFAZ-SP REA DE CONHECIMENTO: GESTO TRIBUTRIA PROVA 3 - CONHECIMENTOS ESPECFICOS- PESO 2 PROFA.

PATRCIA LIMA QUINTO

Profa. Patrcia Lima Quinto

Profa. Patrcia Lima Quinto

Profa. Patrcia Lima Quinto

Profa. Patrcia Lima Quinto

falta de mecanismos de monitoramento e controle (auditoria); inexistncia segurana; de polticas de

ausncia de recursos para combate a incndios, etc.

Profa. Patrcia Lima Quinto

Resumindo, malwares so programas que executam deliberadamente aes mal-intencionadas em um computador!!

Profa. Patrcia Lima Quinto

executar uma srie de comandos automaticamente infectar outros arquivos no computador.

Profa. Patrcia Lima Quinto

instalao de keyloggers ou screenloggers (descubra todas as senhas digitadas pelo usurio);

Profa. Patrcia Lima Quinto

Profa. Patrcia Lima Quinto

limitados Impactos no negcio

Confidencialidade Integridade Disponibilidade causam perdas

Figura. Ciclo da Segurana da Informao (MOREIRA, 2001)

Profa. Patrcia Lima Quinto

Profa. Patrcia Lima Quinto

Figura - Exemplos de ataques contra um sistema de informao

Figura. Isca de Phishing Relacionada ao Banco do Brasil

Profa. Patrcia Lima Quinto

Figura. Isca de Phishing Relacionada ao SERASA

Profa. Patrcia Lima Quinto

Profa. Patrcia Lima Quinto

Profa. Patrcia Lima Quinto

Utilizados para resguardar a segurana dos ambientes corporativos.

Cuidados com Malwares (j caiu em prova!)

Profa. Patrcia Lima Quinto

* Worms, bots e botnets

*Cavalos de troia, backdoors, keyloggers e spywares

Profa. Patrcia Lima Quinto

Profa. Patrcia Lima Quinto

Quanto RECUPERAO do backup:

Figura. Tela de Atualizao de definies

Profa. Patrcia Lima Quinto

Profa. Patrcia Lima Quinto

Profa. Patrcia Lima Quinto

Profa. Patrcia Lima Quinto

Profa. Patrcia Lima Quinto

Profa. Patrcia Lima Quinto

Profa. Patrcia Lima Quinto

Profa. Patrcia Lima Quinto

Profa. Patrcia Lima Quinto

Um exemplo destacando informaes do certificado pode ser visto na figura seguinte:

Profa. Patrcia Lima Quinto

Ciclo PDCA Plan (planejar)

Etapa do Processo Estabelecer o SGSI.

Do (fazer) Check (checar)

Implementar e operar o SGSI. Monitorar e analisar criticamente o SGSI.

Profa. Patrcia Lima Quinto

Profa. Patrcia Lima Quinto

N Seo 5 6 7 8 9 10 11 12 Poltica de Informao.

Objetivos Controles de Controle (categorias) da 1 2 2 Recursos e do e 3 2 10 7 6 2 11 5 9 13 32 25 16

Gesto das Operaes Comunicaes. Controle de Acessos.

Profa. Patrcia Lima Quinto

Profa. Patrcia Lima Quinto

Profa. Patrcia Lima Quinto

Profa. Patrcia Lima Quinto

Profa. Patrcia Lima Quinto

Profa. Patrcia Lima Quinto