Informatica para TJ

INFORMTICA PARA TJ-RJ (TEORIA E EXERCCIOS)
PROFa. PATRCIA LIMA QUINTO
Aula 1 - Conceitos bsicos de segurana da informao com foco no

comportamento do usurio
Ol queridos(as) amigos (as),
Sejam bem-vindos nossa primeira aula do curso de Noes de Informtica
(em Teoria e Exerccios Comentados) que visa prepar-los para o certame
do TJ-RJ, com foco na banca FCC.
Sado a todos e espero que este material seja de grande valia para a sua
aprovao. E contem SEMPRE comigo nesta trajetria de muito sucesso!
Grande abrao,
Profa Patrcia Lima Quinto
patricia@pontodosconcursos.com.br
Twitter: http://www.twitter.com/pquintao
Facebook: http://www.facebook.com/patricia.quintao (Aguardo vocs!!)
Roteiro da Aula
p Segurana da informao e tpicos relacionados.
p Reviso em tpicos e palavras-chave.
p Lista de questes comentadas.
p Lista de questes apresentadas na aula.|Gabarito.
Segurana da informao
O que significa segurana?
colocar tranca nas portas de sua casa? ter as informaes
guardadas de forma suficientemente segura para que pessoas sem
autorizao no tenham acesso a elas? Vamos nos preparar para
que a prxima vtima no seja voc !!!
A segurana uma palavra que est presente em nosso cotidiano e
refere-se a um estado de proteo, em que estamos livres de perigos
e incertezas!
Segurana da informao o processo de proteger a
informao de diversos tipos de ameaas externas e
internas para garantir a continuidade dos negcios,
minimizar os danos aos negcios e maximizar o retorno
dos investimentos e as oportunidades de negcio.
Solues pontuais isoladas no resolvem toda a problemtica associada
segurana da informao. Segurana se faz em pedaos, porm todos eles
integrados, como se fossem uma corrente.
www.pontodosconcursos.com.br

Segurana se faz protegendo todos os elos da corrente, ou seja, todos

os ativos (fsicos, tecnolgicos e humanos) que compem seu negcio.
Afinal, o poder de proteo da corrente est diretamente associado ao
elo mais fraco!
Em uma corporao, a segurana est ligada a tudo o que manipula direta ou

indiretamente a informao (inclui-se a tambm a prpria informao e os
usurios !!!), e que merece proteo. Esses elementos so chamados de
ATIVOS, e podem ser divididos em:
tangveis: informaes impressas, mveis, hardware (Ex.:impressoras,

scanners);
intangveis: marca de um produto, nome da empresa, confiabilidade de um

rgo federal etc.;
lgicos: informaes armazenadas em uma rede, sistema ERP (sistema de

gesto integrada) etc.;
fsicos: galpo, sistema de eletricidade, estao de trabalho etc;
humanos: funcionrios.
Os ATIVOS so os elementos que sustentam a operao do negcio e

estes sempre traro consigo VULNERABILIDADES que, por sua vez,
submetem os ativos a AMEAAS.
Quanto maior for a organizao maior ser sua dependncia com relao
informao, que pode estar armazenada de vrias formas: impressa em papel,
em meios digitais (discos, fitas, DVDs, disquetes, pendrives, etc.), na mente
das pessoas, em imagens armazenadas em fotografias/filmes...
Princpios da segurana da informao
A segurana da informao busca proteger os ativos de uma empresa ou
indivduo com base na preservao de alguns princpios. Vamos ao estudo de
cada um deles!!
Os quatro princpios considerados centrais ou principais, mais comumente
cobrados em provas, so a Confidencialidade, a Integridade, a Disponibilidade
e a Autenticidade ( possvel encontrar a sigla CIDA, ou DICA, para fazer
meno a estes princpios!). Importante
D
isponibilidade
ntegridade
onfidencialidade
utenticidade
Figura. Mnemnico DICA

a
Prof Patrcia Lima Quinto

Confidencialidade (sigilo): a garantia de que a informao no ser

conhecida por quem no deve. O acesso s informaes deve ser limitado,
ou seja, somente as pessoas explicitamente autorizadas podem acess-las.
Perda de confidencialidade significa perda de segredo. Se uma informao
for confidencial, ela ser secreta e dever ser guardada com segurana, e
no divulgada para pessoas sem a devida autorizao para acess-la.
Exemplo: o nmero do seu carto de crdito s poder ser conhecido por
voc e pela loja em que usado. Se esse nmero for descoberto por
algum mal intencionado, o prejuzo causado pela perda de
confidencialidade poder ser elevado, j que podero se fazer passar por
voc para realizar compras pela Internet, proporcionando-lhe prejuzos
financeiros e uma grande dor de cabea!
Integridade: esse princpio destaca que a informao deve ser mantida na

condio em que foi liberada pelo seu proprietrio, garantindo a sua
proteo contra mudanas intencionais, indevidas ou acidentais. Em outras
palavras, a garantia de que a informao que foi armazenada a que ser
recuperada!!!
A quebra de integridade pode ser considerada sob 2 aspectos:
1. alteraes nos elementos que suportam a informao - so feitas
alteraes na estrutura fsica e lgica em que uma informao est
armazenada. Por exemplo quando so alteradas as configuraes de
um sistema para ter acesso a informaes restritas;
2. alteraes do contedo dos documentos:
ex1.: imagine que algum invada o notebook que est sendo
utilizado para realizar a sua declarao do Imposto de Renda deste
ano, e, momentos antes de voc envi-la para a Receita Federal a
mesma alterada sem o seu consentimento! Neste caso, a
informao no ser transmitida da maneira adequada, o que
quebra o princpio da integridade;
ex2: alterao de sites por hackers (vide a figura seguinte, retirada
de http://www.g1.globo.com). Acesso em jun. 2011.
Figura 1 Site da Cia - agncia de inteligncia do governo Americano que teve seu contedo alterado indevidamente em jun. 2011.

Disponibilidade: a garantia de que a informao deve estar disponvel,

sempre que seus usurios (pessoas e empresas autorizadas) necessitarem,
no importando o motivo. Em outras palavras, a garantia que a
informao sempre poder ser acessada!!!
Como exemplo, h quebra do princpio da disponibilidade quando voc
decidir enviar a sua declarao do Imposto de Renda pela Internet, no
ltimo dia possvel, e o site da Receita Federal estiver indisponvel.
Autenticidade: a capacidade de garantir a identidade de uma pessoa

(fsica ou jurdica) que acessa as informaes do sistema ou de um servidor
(computador) com quem se estabelece uma transao (de comunicao,
como um e-mail, ou comercial, como uma venda on-line). por meio da
autenticao que se confirma a identidade da pessoa ou entidade
que presta ou acessa as informaes.
Assim, desejamos entregar a informao CORRETA, para a pessoa

CERTA, no momento CORRETO, confirmando a IDENTIDADE da pessoa
ou entidade que presta ou acessa as informaes!!! Entenderam?? Eis a
essncia da aplicao dos quatro princpios acima destacados. Ainda, cabe
destacar que a perda de pelo menos um desses princpios j ir
ocasionar impactos ao negcio (a surgem os incidentes de segurana!!)
Quando falamos em segurana da informao, estamos nos referindo a
salvaguardas
para
manter
a
confidencialidade,
integridade,
disponibilidade e demais aspectos da segurana das informaes
dentro das necessidades do cliente!
Vulnerabilidades de segurana
Vulnerabilidade uma evidncia ou fragilidade que eleva o grau de
exposio dos ativos que sustentam o negcio, aumentando a probabilidade de
sucesso pela investida de uma ameaa.
Outro conceito bastante comum para o termo:
vulnerabilidade: trata-se de falha no projeto, implementao ou
configurao de software ou sistema operacional que, quando
explorada por um atacante, resulta na violao da segurana de
um computador.
Em outras palavras,
vulnerabilidade uma fragilidade que poderia ser explorada por uma
ameaa para concretizar um ataque.
O conhecimento do maior nmero de vulnerabilidades possveis permite
equipe de segurana tomar medidas para proteo, evitando assim ataques
e consequentemente perda de dados.

No h uma receita ou lista padro de vulnerabilidades. Esta deve ser

levantada junto a cada organizao ou ambiente. Sempre se deve ter em
mente o que precisa ser protegido e de quem precisa ser protegido de acordo
com as ameaas existentes. Podemos citar, como exemplo inicial, uma anlise
de ambiente em uma sala de servidores de conectividade e Internet com a
seguinte descrio: a sala dos servidores no possui controle de acesso fsico!!
Eis a vulnerabilidade detectada nesse ambiente.
Outros exemplos de vulnerabilidades:
ambientes com informaes sigilosas com acesso no controlado;
software mal desenvolvido;
hardware sem o devido acondicionamento e proteo;
falta de atualizao de software e hardware;
falta de mecanismos de monitoramento e controle (auditoria);
ausncia de pessoal capacitado para a segurana;
inexistncia de polticas de segurana;
instalaes prediais fora do padro;
ausncia de recursos para combate a incndios, etc.
Ameaas Segurana
Ameaa algo que possa provocar danos segurana da informao,
prejudicar as aes da empresa e sua sustentao no negcio, mediante a
explorao de uma determinada vulnerabilidade.
Em outras palavras, uma ameaa tudo aquilo que pode comprometer a

segurana de um sistema, podendo ser acidental (falha de hardware,
erros de programao, desastres naturais, erros do usurio, bugs de software,

uma ameaa secreta enviada a um endereo incorreto etc.) ou deliberada

(roubo, espionagem, fraude, sabotagem, invaso de hackers, entre outros).
Ameaa pode ser uma pessoa, uma coisa, um evento ou uma ideia capaz de
causar dano a um recurso, em termos de confidencialidade, integridade,
disponibilidade etc. Como exemplos de ameaa podemos destacar:
concorrente, cracker, erro humano (deleo de arquivos digitais
acidentalmente etc.), acidentes naturais (inundao etc.), funcionrio
insatisfeito, tcnicas (engenharia social, etc.), ferramentas de software
(sniffer, cavalo de troia etc.).
Basicamente existem dois tipos de ameaas: internas e externas.
Ameaas externas: so aqui representadas por todas as tentativas de

ataque e desvio de informaes vindas de fora da empresa. Normalmente
essas tentativas so realizadas por pessoas com a inteno de prejudicar a
empresa ou para utilizar seus recursos para invadir outras empresas.
Ameaas internas: esto presentes, independentemente das empresas

estarem ou no conectadas Internet. Podem causar desde incidentes
leves at os mais graves, como a inatividade das operaes da empresa.
Os ativos so os elementos que sustentam a operao do negcio e

estes sempre traro consigo vulnerabilidades que, por sua vez,
submetem os ativos a ameaas.
Voc Sabia!!! Qual a diferena entre Crackers e Hackers?
Um do bem e o outro do mal??
O termo hacker ganhou, junto opinio pblica influenciada pelos meios

de comunicao, uma conotao negativa, que nem sempre corresponde
realidade!!
Os hackers, por sua definio geral, so aqueles que utilizam seus

conhecimentos para invadir sistemas, no com o intuito de causar danos s
vtimas, mas sim como um desafio s suas habilidades. Eles invadem os
sistemas, capturam ou modificam arquivos para provar sua capacidade e
depois compartilham suas proezas com os colegas. No tm a inteno de
prejudicar, mas sim de apenas demonstrar que conhecimento poder.
Exmios programadores e conhecedores dos segredos que envolvem as

redes e os computadores, eles geralmente no gostam de ser confundidos
com crackers. Os crackers so elementos que invadem sistemas para
roubar informaes e causar danos s vtimas. O termo crackers tambm
uma denominao utilizada para aqueles que decifram cdigos e destroem
protees de software.
Atualmente, a imprensa mundial atribui qualquer incidente de segurana a

hackers, em seu sentido genrico. A palavra cracker no vista nas
reportagens, a no ser como cracker de senhas, que um software utilizado
para descobrir senhas ou decifrar mensagens cifradas.

Noes de vrus, worms e outras pragas virtuais

Voc sabe o significado de malware?
Malware (combinao de malicious software programa malicioso)
uma expresso usada para todo e quaisquer softwares maliciosos, ou seja,
programados com o intuito de prejudicar os sistemas de informao, alterar o
funcionamento de programas, roubar informaes, causar lentides de redes
computacionais, dentre outros.
Resumindo, malwares so programas que executam
deliberadamente aes mal-intencionadas em um
computador!!
Os tipos mais comuns de malware esto detalhados a seguir:
-vrus,
-worms,
-bots,
-cavalos de troia,
-spyware,
-keylogger,
-screenlogger,
-ransomwares,
-Backdoors, etc.
Vrus
So pequenos cdigos de programao maliciosos que se agregam a
arquivos e so transmitidos com eles. Quando o arquivo aberto na
memria RAM, o vrus tambm , e, a partir da se propaga infectando, isto
, inserindo cpias de si mesmo e se tornando parte de outros programas e
arquivos de um computador.
O vrus depende da execuo do programa ou arquivo hospedeiro para que
possa se tornar ativo e dar continuidade ao processo de infeco. Alguns
vrus so inofensivos, outros, porm, podem danificar um sistema
operacional e os programas de um computador.
A seguir destacamos alguns arquivos que podem ser portadores de vrus de
computador:
arquivos executveis: com extenso .exe ou .com;
arquivos de scripts (outra forma de executvel): extenso .vbs;
atalhos: extenso .lnk ou .pif;
proteo de tela (animaes que aparecem automaticamente quando o
computador est ocioso): extenso .scr;
documentos do MS-Office: como os arquivos do Word (extenso .doc ou
.dot), arquivos do Excel (.xls e .xlt), apresentaes do Powerpoint (.ppt e
.pps), bancos de dados do Access (.mdb).

arquivos multimdia do Windows Media Player: msicas com extenso

.WMA, vdeos com extenso .WMV, dentre outros.
Dentre os tipos de vrus conhecidos, podemos citar:
Vrus polimrficos: alteram seu formato (mudam de forma)
constantemente. A cada nova infeco, esses vrus geram uma nova
sequncia de bytes em seu cdigo, para que o antivrus se confunda na
hora de executar a varredura e no reconhea o invasor.
Vrus de boot: infectam o setor de boot dos discos rgidos.
Vrus de macro: vrus de arquivos que infectam documentos que contm
macros.
Macro: conjunto de comandos que so armazenados em
alguns aplicativos e utilizados para automatizar tarefas
repetitivas.
Um exemplo seria, em um editor de textos, definir uma macro que
contenha a sequncia de passos necessrios para imprimir um
documento com a orientao de retrato e utilizando a escala de cores em
tons de cinza.
Um vrus de macro escrito de forma a explorar esta facilidade de
automatizao e parte de um arquivo que normalmente manipulado
por algum aplicativo que utiliza macros. Para que o vrus possa ser
executado, o arquivo que o contm precisa ser aberto e, a partir da, o
vrus pode executar uma srie de comandos automaticamente e infectar
outros arquivos no computador. Existem alguns aplicativos que possuem
arquivos base (modelos) que so abertos sempre que o aplicativo
executado. Caso este arquivo base seja infectado pelo vrus de macro,
toda vez que o aplicativo for executado, o vrus tambm ser. Arquivos
nos formatos gerados por programas da Microsoft, como o Word, Excel,
Powerpoint e Access so os mais suscetveis a este tipo de vrus.
Arquivos nos formatos RTF, PDF e PostScript so menos suscetveis, mas
isso no significa que no possam conter vrus.
Figura 2 Normal.dot Principal alvo dos vrus de macro para Word

Vrus de programa: infectam arquivos de programa (de inmeras
extenses, como .exe, .com,.vbs, .pif.
Vrus stealth: programado para se esconder e enganar o antivrus
durante uma varredura deste programa. Tem a capacidade de se
remover da memria temporariamente para evitar que antivrus o
detecte.
Vrus de script: propagam-se por meio de scripts, nome que designa uma
sequncia de comandos previamente estabelecidos e que so executados
a
Prof Patrcia Lima Quinto
8

automaticamente em um sistema, sem necessidade de interveno do

usurio. Dois tipos de scripts muito usados so os projetados com as
linguagens Javascript (JS) e Visual Basic Script (VBS). Tanto um quanto
o outro podem ser inseridos em pginas Web e interpretados por
navegadores como Internet Explorer e outros. Os arquivos Javascript
tornaram-se to comuns na Internet que difcil encontrar algum site
atual que no os utilize. Assim como as macros, os scripts no so
necessariamente malficos. Na maioria das vezes executam tarefas
teis, que facilitam a vida dos usurios prova disso que se a
execuo dos scripts for desativada nos navegadores, a maioria dos sites
passar a ser apresentada de forma incompleta ou incorreta.
Vrus de celular: propaga de telefone para telefone atravs da tecnologia
bluetooth ou da tecnologia MMS (Multimedia Message Service). O servio
MMS usado para enviar mensagens multimdia, isto , que contm no
s texto, mas tambm sons e imagens, como vdeos, fotos e animaes.
A infeco ocorre da seguinte forma: o usurio recebe uma mensagem
que diz que seu telefone est prestes a receber um arquivo e permite
que o arquivo infectado seja recebido, instalado e executado em seu
aparelho; o vrus, ento, continua o processo de propagao para outros
telefones, atravs de uma das tecnologias mencionadas anteriormente.
Os vrus de celular diferem-se dos vrus tradicionais, pois normalmente
no inserem cpias de si mesmos em outros arquivos armazenados no
telefone celular, mas podem ser especificamente projetados para
sobrescrever arquivos de aplicativos ou do sistema operacional instalado
no aparelho.
Depois de infectar um telefone celular, o vrus pode realizar diversas
atividades, tais como:
destruir/sobrescrever arquivos;
remover contatos da agenda;
efetuar ligaes telefnicas;
o aparelho fica desconfigurado e tentando

conectar via Bluetooth com outros celulares;
a bateria do celular dura menos do que o previsto

pelo fabricante, mesmo quando voc no fica horas
pendurado nele;
emitir algumas mensagens multimdia esquisitas;
tentar se propagar para outros telefones.
se
Worms (vermes)
Programas parecidos com vrus, mas que na verdade so capazes
de se propagarem automaticamente atravs de redes, enviando
cpias de si mesmo de computador para computador (observe que

os worms apenas se copiam, no infectam outros arquivos, eles mesmos

so os arquivos !!). Alm disso, geralmente utilizam as redes de
comunicao para infectar outros computadores (via e-mails, Web, FTP,
redes das empresas etc.).
Diferentemente do vrus, o worm no embute cpias de si mesmo em
outros programas ou arquivos e no necessita ser explicitamente
executado para se propagar. Sua propagao se d atravs da
explorao de vulnerabilidades existentes ou falhas na configurao de
softwares instalados em computadores.
Worms so notadamente responsveis por consumir muitos recursos.
Degradam sensivelmente o desempenho de redes e podem lotar o disco
rgido de computadores, devido grande quantidade de cpias de si mesmo
que costumam propagar. Alm disso, podem gerar grandes transtornos
para aqueles que esto recebendo tais cpias.
Difceis de serem detectados, muitas vezes os worms realizam uma srie de
atividades, incluindo sua propagao, sem que o usurio tenha
conhecimento. Embora alguns programas antivrus permitam detectar a
presena de worms e at mesmo evitar que eles se propaguem, isto nem
sempre possvel.
Bots (robs)
De modo similar ao worm, um programa capaz de se propagar
automaticamente, explorando vulnerabilidades existentes ou falhas na
configurao de software instalado em um computador. Adicionalmente ao
worm, dispe de mecanismos de comunicao com o invasor, permitindo
que o bot seja controlado remotamente. Os bots esperam por comandos de
um hacker, podendo manipular os sistemas infectados, sem o conhecimento
do usurio.
Nesse ponto, cabe destacar um termo que j foi cobrado vrias vezes em
prova!! Trata-se do significado do termo botnet, juno da contrao das
palavras robot (bot) e network (net). Uma rede infectada por bots
denominada de botnet (tambm conhecida como rede zumbi), sendo
composta geralmente por milhares desses elementos maliciosos que ficam
residentes nas mquinas, aguardando o comando de um invasor.
Um invasor que tenha controle sobre uma botnet pode utiliz-la para
aumentar a potncia de seus ataques, por exemplo, para enviar centenas
de milhares de e-mails de phishing ou spam, desferir ataques de negao
de servio etc. (CERT.br, 2006).
Trojan horse (Cavalo de Troia)

um programa aparentemente inofensivo que entra em seu computador na
forma de carto virtual, lbum de fotos, protetor de tela, jogo etc., e que,
quando executado (com a sua autorizao!), parece lhe divertir, mas, por
10

trs abre portas de comunicao do seu computador para que ele possa ser
invadido.
Por definio, o cavalo de troia distingue-se de um vrus ou de um worm
por no infectar outros arquivos, nem propagar cpias de si mesmo
automaticamente.
O trojans ficaram famosos na Internet pela facilidade de uso, e por
permitirem a qualquer pessoa possuir o controle de um outro computador
apenas com o envio de um arquivo.
Os trojans atuais so divididos em duas partes, que so: o servidor e o
cliente. Normalmente, o servidor encontra-se oculto em algum outro
arquivo e, no momento em que o arquivo executado, o servidor se instala
e se oculta no computador da vtima. Nesse momento, o computador j
pode ser acessado pelo cliente, que enviar informaes para o servidor
executar certas operaes no computador da vtima.
O Cavalo de Troia no um vrus, pois no se duplica e no se dissemina
como os vrus. Na maioria das vezes, ele ir instalar programas para
possibilitar que um invasor tenha controle total sobre um computador. Estes
programas podem permitir que o invasor:
veja e copie
computador;
ou
destrua
todos
os
arquivos
armazenados
no
instalao de keyloggers ou screenloggers (descubra todas as senhas

digitadas pelo usurio);
furto de senhas e outras informaes sensveis, como nmeros de

cartes de crdito;
incluso de backdoors, para permitir que um atacante tenha total

controle sobre o computador;
formate o disco rgido do computador, etc.
Exemplos comuns de cavalos de troia so programas que voc recebe ou

obtm de algum site e que parecem ser apenas cartes virtuais animados,
lbuns de fotos de alguma celebridade, jogos, protetores de tela, entre
outros. Enquanto esto sendo executados, estes programas podem ao
mesmo tempo enviar dados confidenciais para outro computador, instalar
backdoors, alterar informaes, apagar arquivos ou formatar o disco rgido.
Existem tambm cavalos de troia, utilizados normalmente em esquemas
fraudulentos, que, ao serem instalados com sucesso, apenas exibem uma
mensagem de erro.
11

Figura 3 Um spam contendo um Cavalo de Troia. O usurio ser

infectado se clicar no link e executar o anexo.
Adware (Advertising software)

Este tipo de programa geralmente no prejudica o computador. O adware
apresenta anncios, cria cones ou modifica itens do sistema operacional
com o intuito de exibir alguma propaganda. Um adware malicioso pode abrir
uma janela do navegador apontando para pginas de cassinos, vendas de
remdios, pginas pornogrficas, etc. Um exemplo do uso legtimo de
adwares pode ser observado no programa de troca instantnea de
mensagens MSN Messenger.
Spyware
Trata-se de um programa espio (spy em ingls = espio). um programa
que tem por finalidade monitorar as atividades de um sistema e enviar as
informaes coletadas para terceiros.
Keylogger (Copia as teclas digitadas!)

Um tipo de malware que capaz de capturar e armazenar as teclas
digitadas pelo usurio no teclado de um computador. Dentre as
informaes capturadas podem estar o texto de um e-mail, dados digitados
na declarao de Imposto de Renda e outras informaes sensveis, como
senhas bancrias e nmeros de cartes de crdito. Em muitos casos, a
ativao do keylogger condicionada a uma ao prvia do usurio, como
por exemplo, aps o acesso a um site especfico de comrcio eletrnico ou
Internet Banking. Normalmente, o keylogger contm mecanismos que
permitem o envio automtico das informaes capturadas para terceiros
(por exemplo, atravs de e-mails).
12

Screenloggers (Copia as telas acessadas!)

As instituies financeiras desenvolveram os teclados virtuais para evitar
que os keyloggers pudessem capturar informaes sensveis de usurios.
Ento, foram desenvolvidas formas mais avanadas de keyloggers, tambm
conhecidas como screenloggers capazes de:
armazenar a posio do cursor e a tela apresentada no monitor, nos

momentos em que o mouse clicado, ou
armazenar a regio que circunda a posio onde o mouse clicado.
Normalmente, o keylogger vem como parte de um programa spyware ou

cavalo de troia. Desta forma, necessrio que este programa seja
executado para que o keylogger se instale em um computador. Geralmente,
tais programas vm anexados a e-mails ou esto disponveis em sites na
Internet.
Existem ainda programas leitores de e-mails que podem estar configurados
para executar automaticamente arquivos anexados s mensagens. Neste
caso, o simples fato de ler uma mensagem suficiente para que qualquer
arquivo anexado seja executado.
Ransomwares (Pede resgate)

So softwares maliciosos que, ao infectarem um computador, criptografam
todo ou parte do contedo do disco rgido. Os responsveis pelo software
exigem da vtima, um pagamento pelo "resgate" dos dados.
Backdoors (Abre portas)

Normalmente um atacante procura garantir uma forma de retornar a um
computador comprometido, sem precisar recorrer aos mtodos utilizados na
realizao da invaso. Na maioria dos casos, tambm inteno do
atacante poder retornar ao computador comprometido sem ser notado. A
esses programas que permitem o retorno de um invasor a um computador
comprometido, utilizando servios criados ou modificados para este fim, dse o nome de backdoor.
A forma usual de incluso de um backdoor consiste na disponibilizao de
um novo servio ou substituio de um determinado servio por uma verso
alterada, normalmente possuindo recursos que permitam acesso remoto
(atravs da Internet). Pode ser includo por um invasor ou atravs de um
cavalo de troia.
Rootkits
Um invasor, ao realizar uma invaso, pode utilizar mecanismos para
esconder e assegurar a sua presena no computador comprometido. O
13

conjunto de programas que fornece estes mecanismos conhecido como

rootkit.
O invasor, aps instalar o rootkit, ter acesso privilegiado ao computador
previamente comprometido, sem precisar recorrer novamente aos mtodos
utilizados na realizao da invaso, e suas atividades sero escondidas do
responsvel e/ou dos usurios do computador.
Um rootkit pode fornecer programas com as mais diversas funcionalidades.
Dentre eles, merecem destaque:
programas para esconder atividades e informaes deixadas pelo

invasor, tais como arquivos, diretrios, processos etc.;
backdoors, para assegurar o acesso futuro do invasor ao computador

comprometido;
programas para remoo de evidncias em arquivos de logs;
sniffers, para capturar informaes na rede onde o computador est

localizado, como por exemplo senhas que estejam trafegando em claro,
ou seja, sem qualquer mtodo de criptografia;
scanners, para
computadores.
mapear
potenciais
vulnerabilidades
em
outros
Algumas tendncias para 2012!

McAfee (2012) destacou as principais ameaas da internet em 2012: deve
haver um aumento dos ataques destinados a servios pblicos,
sistemas operacionais, dispositivos mveis, spams e ameaas
envolvendo questes polticas (hacktivismo) e ciberguerra. Os ataques
neste ano tambm podem comprometer carros, aparelhos de GPS e outros
dispositivos conectados, atravs da infiltrao no dispositivo enquanto ele
ainda fabricado ou levando os usurios a baixarem malwares que penetrem
na raiz dos sistemas desses aparelhos. A empresa tambm alertou para o
aumento de malwares em celulares, principalmente atravs de aplicativos
mal-intencionados que, aps o download, podem enviar diversos anncios ou
mesmo mensagens de texto a partir do celular infectado. O aumento no
nmero de spams tambm esperado.
Fonte:
http://tecnologia.terra.com.br/noticias/0,,OI5545065-EI12884,00Ataque+a+celulares+esta+entre+as+principais+ameacas+de.html
Risco
Risco a medida da exposio qual o sistema computacional est sujeito.
Depende da probabilidade de uma ameaa atacar o sistema e do impacto
resultante desse ataque.
14

Smola (2003, p. 50) diz que risco a probabilidade de ameaas

explorarem
vulnerabilidades,
provocando
perdas
de
confidencialidade,
integridade
e
disponibilidade,
causando,
possivelmente, impactos nos negcios.
Como exemplo
martelo ao seu
da informao.
s informaes
de um risco pode-se imaginar um funcionrio insatisfeito e um

alcance; nesse caso o funcionrio poderia danificar algum ativo
Assim pode-se entender como risco tudo aquilo que traz danos
e com isso promove perdas para a organizao.
Existem algumas maneiras de se classificar o grau de risco no mercado de

segurana, mas de uma forma simples, poderamos tratar como alto, mdio e
baixo risco. No caso do nosso exemplo da sala dos servidores, poderamos
dizer que, baseado na vulnerabilidade encontrada, a ameaa associada de
alto risco.
Ciclo da Segurana
Como mostrado na figura seguinte os ativos de uma organizao precisam ser
protegidos, pois esto sujeitos a vulnerabilidades. Se as vulnerabilidades
aumentam, aumentam-se os riscos permitindo a explorao por uma ameaa e
a concretizao de um ataque. Se estas ameaas crescem, aumentam-se ainda
mais os riscos de perda da integridade, disponibilidade e confidencialidade da
informao podendo causar impacto nos negcios.
Nesse contexto, medidas de segurana devem ser tomadas, os riscos devem
ser analisados e diminudos para que se estabelea a segurana dos ativos da
informao.
Ativos
protege
Medidas de
Segurana
diminui
sujeitos
aumenta
Ciclo da
segurana
Vulnerabilidades
Riscos
permitem
limitados
Impactos no
negcio
aumenta
aumenta
aumenta
Ameaas
Confidencialidade
Integridade
Disponibilidade
causam
perdas
Figura 4 Ciclo da Segurana da Informao (MOREIRA, 2001)

15

Incidente de segurana da informao: indicado por um simples ou por

uma srie de eventos de segurana da informao indesejados ou
inesperados, que tenham uma grande probabilidade de comprometer as
operaes do negcio e ameaar a segurana. Exemplos: invaso digital;
violao de padres de segurana de informao.
Spams
Spams: so mensagens de correio eletrnico no autorizadas ou no
solicitadas. O spam no propriamente uma ameaa segurana, mas um
portador comum delas. So spams, por exemplo, os e-mails falsos que
recebemos como sendo de rgos como Receita Federal ou Tribunal Superior
Eleitoral. Nesse caso, os spams costumam induzir o usurio a instalar um dos
malwares que vimos anteriormente.
Spammer: aquele que usa endereos de destinatrios desconhecidos para o
envio de mensagens no solicitadas em grande nmero.
Alguns termos relacionados:
SPIT SPAM Over IP Telephony (VoIP);
SPIM SPAM over Instant Messenger;
SPORK SPAM over Orkut.
Correntes: geralmente pedem para que o usurio (destinatrio) repasse a
mensagem um determinado nmero de vezes ou, ainda, "para todos os
amigos" ou "para todos que ama". Utilizada para coletar e-mail vlidos para
ataques de SPAM posteriores.
Hoaxes (boatos): so as histrias falsas recebidas por e-mail, sites de
relacionamentos e na Internet em geral, cujo contedo, alm das conhecidas
correntes, consiste em apelos dramticos de cunho sentimental ou religioso,
supostas campanhas filantrpicas, humanitrias ou de socorro pessoal ou,
ainda, falsos vrus que ameaam destruir, contaminar ou formatar o disco
rgido do computador. A figura seguinte destaca um exemplo de hoax recebido
em minha caixa de e-mails. O remetente e destinatrios foram embaados de
propsito por questo de sigilo.
16

Figura 5 Exemplo de um hoax (boato) bastante comum na Internet

Outros casos podem ser visualizados na Internet, vide por exemplo o
endereo: http://www.quatrocantos.com/LENDAS/.
Como podemos reduzir o volume de spam que chega at nossas caixas
postais?
A resposta bem simples! Basta navegar de forma consciente na rede. Este
conselho o mesmo que recebemos para zelar pela nossa segurana no
trnsito ou ao entrar e sair de nossas casas.
A seguir destacamos as principais dicas que foram destacadas pelo CertBr
(2006) para que os usurios da Internet desfrutem dos recursos e benefcios
da rede, com segurana:
Preservar as informaes pessoais, tais como: endereos de e-mail, dados

pessoais e, principalmente, cadastrais de bancos, cartes de crdito e
senhas. Um bom exerccio pensar que ningum forneceria seus
dados pessoais a um estranho na rua, ok? Ento, por que liber-la
na Internet?
Ter, sempre que possvel, e-mails separados para assuntos pessoais,

profissionais, para as compras e cadastros on-line. Certos usurios mantm
um e-mail somente para assinatura de listas de discusso.
17

No caso das promoes da Internet, geralmente, ser necessrio preencher

formulrios. Ter um e-mail para cadastros on-line uma boa prtica
para os usurios com o perfil descrito. Ao preencher o cadastro, procure
desabilitar as opes de recebimento de material de divulgao do site e de
seus parceiros, pois justamente nesse item que muitos usurios atraem
spam, inadvertidamente!
No ser um "clicador compulsivo", ou seja, o usurio deve procurar

controlar a curiosidade de verificar sempre a indicao de um site em um email suspeito de spam. Pensar, analisar as caractersticas do e-mail e
verificar se no mesmo um golpe ou cdigo malicioso.
No
ser
um
"caa-brindes",
"papa-liquidaes"
ou
"destruidor-de-promoes", rs! Ao receber e-mails sobre brindes,
promoes ou descontos, reserve um tempo para analisar o e-mail, sua
procedncia e verificar no site da empresa as informaes sobre a
promoo em questo. Vale lembrar que os sites das empresas e
instituies financeiras tm mantido alertas em destaque sobre os golpes
envolvendo seus servios. Assim, a visita ao site da empresa pode
confirmar a promoo ou alert-lo sobre o golpe que acabou de receber por
e-mail!
Ferramentas de combate ao spam (anti-spams) so geralmente

disponibilizadas do lado dos servidores de e-mail, filtrando as mensagens
que so direcionadas nossa caixa postal. Importante que se tenha um
filtro anti-spam instalado, ou ainda, usar os recursos anti-spam oferecidos
por seu provedor de acesso.
Alm do anti-spam, existem outras ferramentas bastante importantes para

o usurio da rede: anti-spyware, firewall pessoal e antivrus, estudadas
nesta aula.
Cookies
So pequenos arquivos que so instalados em seu computador durante

a navegao, permitindo que os sites (servidores) obtenham
determinadas informaes. isto que permite que alguns sites o
cumprimentem pelo nome, saibam quantas vezes voc o visitou, etc.
Wardriving
O termo wardriving foi escolhido por Peter Shipley para batizar a atividade de
dirigir um automvel procura de redes sem fio abertas, passveis de invaso.
Warchalcking
Prtica de escrever em caladas e paredes a giz (da o nome, Guerra do Giz) o
endereo de redes sem fio desprotegidas, abertas para o uso de terceiros.
18

Bullying
O assunto abordado aqui est em ampla discusso no Brasil e no mundo.
Trata-se do bullying (do ingls bully, "tiranete" ou "valento"). Bullying so
todas as formas de atitudes agressivas intencionais e repetitivas que
ridicularizam o outro. Atitudes como comentrios maldosos, apelidos ou
gracinhas que caracterizam algum, e outras formas que causam dor e
angstia, e executados dentro de uma relao desigual de poder que so
caractersticas essenciais que tornam possvel a intimidao da vtima.
Captcha
Mecanismo usado em filtros do tipo Challenge/response. Um captcha
normalmente uma sequncia aleatria de letras e nmeros distorcidos,
apresentados na forma de uma imagem. O remetente de uma mensagem
deve digitar a combinao do captcha e confirmar, para que a, a mensagem
seja
encaminhada.
Tambm
utilizado
em
cadastros
na
web.
Challenge/response: um tipo de filtro que emite um desafio para o
remetente do e-mail ou usurio de um site. O usurio precisa fornecer uma
resposta (response) ao desafio para que uma mensagem seja entregue ou
para que acesse uma pgina ou site.
Fonte: http://www.tecmundo.com.br/2861-o-que-e-captcha-.htm
19

Fonte: http://www.tecmundo.com.br/2861-o-que-e-captcha-.htm
Ataques
Ataque uma alterao no fluxo normal de uma informao que afeta um dos
servios oferecidos pela segurana da informao. Ele decorrente de uma
vulnerabilidade que explorada por um atacante em potencial.
Principais tipos de ataque que so cobrados em provas pela banca deste
certame:
Engenharia Social
o mtodo de se obter dados importantes de pessoas atravs da velha
lbia. No popular o tipo de vigarice mesmo pois assim que muitos
habitantes do underground da internet operam para conseguir senhas de
acesso, nmeros de telefones, nomes e outros dados que deveriam ser
sigilosos.
A engenharia social a tcnica que explora as fraquezas humanas e
sociais, em vez de explorar a tecnologia. Guarde isso!!!
A tecnologia avana e passos largos mas a condio humana continua na
mesma em relao a critrios ticos e morais. Enganar os outros deve ter
sua origem na pr-histria portanto o que mudou foram apenas os meios
para isso.
Em redes corporativas que so alvos mais apetitosos para invasores, o
perigo ainda maior e pode estar at sentado ao seu lado. Um colega
poderia tentar obter sua senha de acesso mesmo tendo uma prpria, pois
uma sabotagem feita com sua senha parece bem mais interessante do que
com a senha do prprio autor.
20

Phishing (tambm conhecido como Phishing scam, ou apenas scam)

Phishing um tipo de fraude eletrnica projetada para roubar
informaes particulares que sejam valiosas para cometer um roubo ou
fraude posteriormente.
O golpe de phishing realizado por uma pessoa mal-intencionada atravs
da criao de um website falso e/ou do envio de uma mensagem eletrnica
falsa, geralmente um e-mail ou recado atravs de scrapbooks como no stio
Orkut, entre outros exemplos.
Utilizando de pretextos falsos, tenta enganar o receptor da mensagem e
induzi-lo a fornecer informaes sensveis (nmeros de cartes de crdito,
senhas, dados de contas bancrias, entre outras). Uma variante mais atual
o Pharming. Nele, o usurio induzido a baixar e executar arquivos que
permitam o roubo futuro de informaes ou o acesso no autorizado ao
sistema da vtima, podendo at mesmo redirecionar a pgina da instituio
(financeira ou no) para os sites falsificados.
As duas figuras seguintes apresentam iscas (e-mails) utilizadas em golpes
de phishing, uma envolvendo o Banco de Brasil e a outra o Serasa.
Figura 6 Iscas de Phishing

A palavra phishing (de fishing) vem de uma analogia criada pelos fraudadores,
em que iscas (e-mails) so usadas para pescar informaes sensveis
(senhas e dados financeiros, por exemplo) de usurios da Internet.
Atualmente, este termo vem sendo utilizado tambm para se referir aos
seguintes casos:
mensagem que procura induzir o usurio instalao de cdigos
maliciosos, projetados para furtar dados pessoais e financeiros;
mensagem que, no prprio contedo, apresenta formulrios para o
preenchimento e envio de dados pessoais e financeiros de
usurios.
21

Pharming
O Pharming uma tcnica que utiliza o sequestro ou a "contaminao" do
DNS (Domain Name Server) para levar os usurios a um site falso,
alterando o DNS do site de destino. O sistema tambm pode redirecionar os
usurios para sites autnticos atravs de proxies controlados pelos
phishers, que podem ser usados para monitorar e interceptar a digitao.
Os sites falsificados coletam nmeros de cartes de crdito, nomes de
contas, senhas e nmeros de documentos. Isso feito atravs da exibio
de um pop-up para roubar a informao antes de levar o usurio ao site
real. O programa mal-intencionado usa um certificado auto-assinado para
fingir a autenticao e induzir o usurio a acreditar nele o bastante para
inserir seus dados pessoais no site falsificado. Outra forma de enganar o
usurio sobrepor a barra de endereo e status de navegador para induzilo a pensar que est no site legtimo e inserir suas informaes.
Os phishers utilizam truques para instalar programas criminosos nos PCs
dos consumidores e roubar diretamente as informaes. Na maioria dos
casos, o usurio no sabe que est infectado, percebendo apenas uma
ligeira reduo na velocidade do computador ou falhas de funcionamento
atribudas a vulnerabilidades normais de software.
Ataques de senhas
A utilizao de senhas seguras um dos pontos fundamentais para uma
estratgia efetiva de segurana, pois as senhas garantem que somente as
pessoas autorizadas tero acesso a um sistema ou rede. Infelizmente
isso nem sempre realidade. As senhas geralmente so criadas e
implementadas pelos prprios usurios que utilizam os sistemas ou a rede.
Palavras, smbolos ou datas fazem com que as senhas tenham algum
significado para os usurios, permitindo que eles possam facilmente
lembr-las. Neste ponto que existe o problema, pois muitos usurios
priorizam a convenincia ao invs da segurana. Como resultado, eles
escolhem senhas que so relativamente simples. Enquanto isso permite que
possam lembrar facilmente das senhas, tambm facilita o trabalho de
quebra dessas senhas por hackers. Em virtude disso, invasores em
potencial esto sempre testando as redes e sistemas em busca de falhas
para entrar. O modo mais notrio e fcil a ser explorado a utilizao de
senhas inseguras. A primeira linha de defesa, a utilizao de senhas, pode
se tornar um dos pontos mais falhos.
As duas principais tcnicas de ataque a senhas so:
Ataque de Dicionrio: Nesse tipo de ataque so utilizadas

combinaes de palavras, frases, letras, nmeros, smbolos, ou
qualquer outro tipo de combinao geralmente que possa ser utilizada
na criao das senhas pelos usurios. Os programas responsveis por
realizar essa tarefa trabalham com diversas permutaes e
combinaes sobre essas palavras. Quando alguma dessas
22

combinaes se referir senha, ela considerada como quebrada

(Cracked).
Geralmente as senhas esto armazenadas criptografadas utilizando
um sistema de criptografia HASH. Dessa maneira os programas
utilizam o mesmo algoritmo de criptografia para comparar as
combinaes com as senhas armazenadas. Em outras palavras, eles
adotam a mesma configurao de criptografia das senhas, e ento
criptografam as palavras do dicionrio e comparam com senha.
Fora-Bruta: Enquanto as listas de palavras, ou dicionrios, do

nfase velocidade, o segundo mtodo de quebra de senhas se
baseia simplesmente na repetio. Fora-Bruta uma forma de se
descobrir senhas que compara cada combinao e permutao
possvel de caracteres at achar a senha. Este um mtodo muito
poderoso para descoberta de senhas, no entanto extremamente
lento porque cada combinao consecutiva de caracteres
comparada. Ex: aaa, aab, aac ..... aaA, aaB, aaC... aa0, aa1, aa2,
aa3... aba, aca, ada...
Sniffing
o processo de captura das informaes da rede por meio de um software
de escuta de rede (sniffer), que capaz de interpretar as informaes
transmitidas no meio fsico. Esse um ataque confidencialidade dos
dados, e costuma ser bastante nocivo, uma vez que boa parte dos
protocolos mais utilizados em uma rede (FTP, POP3, SMTP, IMAP, Telnet)
transmitem o login e a senha em aberto (sem criptografia) pela rede.
Sniffers (farejadores ou ainda capturadores de pacotes): por padro,
os computadores (pertencentes mesma rede) escutam e respondem
somente pacotes endereados a eles. Entretanto, possvel utilizar um
software que coloca a interface num estado chamado de modo promscuo.
Nessa condio o computador pode monitorar e capturar os dados
trafegados atravs da rede, no importando o seu destino legtimo.
Os programas responsveis por capturar os pacotes de rede so chamados
Sniffers, Farejadores ou ainda Capturadores de Pacote. Eles exploram o fato
do trfego dos pacotes das aplicaes TCP/IP no utilizar nenhum tipo de
cifragem nos dados. Dessa maneira um sniffer atua na rede farejando
pacotes na tentativa de encontrar certas informaes, como nomes de
usurios, senhas ou qualquer outra informao transmitida que no esteja
criptografada.
A dificuldade no uso de um sniffer que o atacante precisa instalar o
programa em algum ponto estratgico da rede, como entre duas mquinas,
(com o trfego entre elas passando pela mquina com o farejador) ou em
uma rede local com a interface de rede em modo promscuo.
Denial of Service (DoS)
23

Os ataques de negao de servio (denial of service - DoS) consistem em

impedir o funcionamento de uma mquina ou de um servio especfico. No
caso de ataques a redes, geralmente ocorre que os usurios legtimos de
uma rede no consigam mais acessar seus recursos.
O DoS acontece quando um atacante envia vrios pacotes ou requisies de
servio de uma vez, com objetivo de sobrecarregar um servidor e, como
consequncia, impedir o fornecimento de um servio para os demais
usurios, causando prejuzos.
No DoS o atacante utiliza um computador para tirar de operao um
servio ou computador(es) conectado(s) Internet!!
Como exemplo deste tipo de ataque tem-se o seguinte contexto: gerar uma
sobrecarga no processamento de um computador, de modo que o usurio
no consiga utiliz-lo; gerar um grande trfego de dados para uma rede,
ocasionando a indisponibilidade dela; indisponibilizar servios importantes
de um provedor, impossibilitando o acesso de seus usurios.
Cabe ressaltar que se uma rede ou computador sofrer um DoS, isto no
significa que houve uma invaso, pois o objetivo de tais ataques
indisponibilizar o uso de um ou mais computadores, e no invadi-los.
Distributed Denial of Service (DDoS) -> So os ataques coordenados!

Em dispositivos com grande capacidade de processamento, normalmente,
necessria uma enorme quantidade de requisies para que o ataque seja
eficaz. Para isso, o atacante faz o uso de uma botnet (rede de
computadores zumbis sob comando do atacante) para bombardear o
servidor com requisies, fazendo com que o ataque seja feito de forma
distribuda (Distributed Denial of Service DDoS).
No DDoS - ataque de negao de servio distribudo-, um conjunto
de computadores utilizado para tirar de operao um ou mais
servios ou computadores conectados Internet.
Veja a notcia seguinte que destaca esse tipo de ataque.

Conforme destaca http://www.torresonline.com.br/entenda-como-aconteceua-queda-dos-servidores-dos-sites-do-governo-brasileiro/ , no caso do ataque
realizado pelo grupo Lulz Security Brazil, o que aconteceu foi um ataque
distribudo por negao de servio. Esse tipo de ataque no visa roubar
dados (em um primeiro momento), porm tem como objetivo retirar
determinado site do ar temporariamente sem causar grandes danos.
Os objetivos por trs do ataque como o que aconteceu podem ser muitos,
desde uma reinvindicao poltica at atividades criminosas.
O ataque distribudo por negao de servio (DDoS, do ingls
Distributed Denial-of-Service attack) atinge sua meta excedendo os limites
do servidor. Para tal faanha, os responsveis pelo ataque criam programas
24

maliciosos que so instalados em diversas mquinas, as quais realizaro

mltiplos acessos simultneos ao site em questo.
E como os servidores possuem limitaes com relao ao nmero de acessos
em um mesmo instante, acaba ocorrendo que o servidor no aguenta atender
s requisies e retirado do ar. Um ataque distribudo por negao de servio
pode simplesmente reiniciar os servidores ou pode causar o travamento total
do sistema que opera por trs do site.
Os zumbis tambm tm culpa
Para aumentar a eficcia do ataque, um DDoS muitas vezes conta com a ajuda
de mquinas zumbis, que integram uma rede zumbi. Computadores desse
tipo foram infectados por pragas que tornam o acesso internet
extremamente lento, isso porque eles esto sob o comando de outra
mquina, tambm conhecido como computador-mestre. Importante
E justamente por contar com uma legio de mquinas atacando que os DDoS
tm grande eficincia. Por se tratar de milhares computadores realizando o
ataque, fica muito mais difcil combat-lo, porque os responsveis pela
segurana do servidor no conseguem estabelecer regras para impedir todos
os acessos que esto causando danos.
Dumpster diving ou trashing

a atividade na qual o lixo verificado em busca de informaes sobre a
organizao ou a rede da vtima, como nomes de contas e senhas,
informaes pessoais e confidenciais. Muitos dados sigilosos podem ser
obtidos dessa maneira.
Esteganografia: a tcnica de esconder um arquivo dentro de outro

arquivo, podendo ser uma imagem, documento de texto, planilha eletrnica
etc, s que utilizando criptografia. Ao esconder um arquivo em uma
imagem, por exemplo, ao envi-la para o destinatrio desejado, voc tem
que se assegurar que quem receber a imagem dever conhecer o mtodo
de exibio e a senha utilizada na proteo deste arquivo.
Figura 7 Esteganografia
Procedimentos de Segurana
25

Nesse contexto, uma srie de procedimentos de segurana, considerados como

boas prticas de segurana podem ser implementadas para salvaguardar os
ativos da organizao (CertBR, 2006), como os destacadas a seguir:
Cuidados com Contas e Senhas (j caiu em prova!)
Criar uma senha que contenha pelo menos oito caracteres, compostos de
letras, nmeros e smbolos;
jamais utilizar como senha seu nome, sobrenomes, nmeros de

documentos, placas de carros, nmeros de telefones, datas que possam
ser relacionadas com voc ou palavras que faam parte de dicionrios;
utilizar uma senha diferente para cada servio (por exemplo, uma senha
para o banco, outra para acesso rede corporativa da sua empresa,
outra para acesso a seu provedor de Internet etc.);
alterar a senha com freqncia;
criar tantos usurios com privilgios normais, quantas forem as pessoas

que utilizam seu computador;
utilizar o usurio Administrator

estritamente necessrio.
(ou
root)
somente
quando
for
Cuidados com Malwares (j caiu em prova!)

*Vrus
Instalar e manter atualizado um bom programa antivrus;
atualizar as assinaturas do antivrus, de preferncia diariamente;
configurar o antivrus para verificar os arquivos obtidos pela Internet,

discos rgidos (HDs), flexveis (disquetes) e unidades removveis, como
CDs, DVDs e pen drives;
desabilitar no seu programa leitor de e-mails a auto-execuo de

arquivos anexados s mensagens;
no executar ou abrir arquivos recebidos por e-mail ou por outras fontes,

mesmo que venham de pessoas conhecidas. Caso seja necessrio abrir o
arquivo, certifique-se que ele foi verificado pelo programa antivrus;
utilizar na elaborao de documentos formatos menos suscetveis

propagao de vrus, tais como RTF, PDF ou PostScript etc.
* Worms, bots e botnets
Seguir todas as recomendaes para preveno contra vrus listadas no

item anterior;
manter o sistema operacional e demais softwares sempre atualizados;
26

aplicar todas as correes de segurana (patches) disponibilizadas pelos

fabricantes, para corrigir eventuais vulnerabilidades existentes nos
softwares utilizados;
instalar um firewall pessoal, que em alguns casos pode evitar que uma
vulnerabilidade existente seja explorada (observe que o firewall no
corrige as vulnerabilidades!!) ou que um worm ou bot se propague.
*Cavalos de troia, backdoors, keyloggers e spywares
Seguir todas as recomendaes para preveno contra vrus, worms e

bots;
instalar um firewall pessoal, que em alguns casos pode evitar o acesso

a um backdoor j instalado em seu computador etc.;
utilizar pelo menos uma ferramenta anti-spyware e mant-la sempre

atualizada.
*Realizao de backups: cpias de segurana para salvaguardar os dados,

geralmente mantida em CDs, DVDs, fitas magnticas, pendrives, etc.,
para que possam ser restaurados em caso de perda dos dados
originais.
Backup (Cpia de segurana)
O procedimento de backup (cpia de segurana) pode ser descrito de forma
simplificada como copiar dados de um dispositivo para o outro com o
objetivo de posteriormente recuperar as informaes, caso haja algum
problema.
Um backup envolve cpia de dados em um meio fisicamente separado do
original, regularmente, de forma a proteg-los de qualquer eventualidade.
Ou seja, copiar nossas fotos digitais, armazenadas no HD (disco rgido), para
um DVD fazer backup. Se houver algum problema com o HD ou se
acidentalmente apagarmos as fotos, podemos ento restaurar os arquivos a
partir do DVD. Nesse exemplo, chamamos as cpias das fotos no DVD de
cpias de segurana ou backup. Chamamos de restaurao o processo de
copiar de volta ao local original as cpias de segurana.
importante estabelecer uma poltica de backup que obedece a critrios
bem definidos sobre a segurana da informao envolvida. Em suma, o
objetivo principal dos backups garantir a disponibilidade da informao.
Por isso a poltica de backup um processo relevante no contexto de
segurana dos dados.
Existem, basicamente, dois mtodos de Backup.

27

No Windows XP, por exemplo, tem-se o software Microsoft Backup, que ir

ajud-lo nesta tarefa. Ao clicar com o boto direito do mouse no cone de um
arquivo do Windows XP, e selecionar a opo Propriedades; em seguida, guia
geral ->Avanado, ser exibida uma caixa o arquivo est pronto para ser
arquivado, marcada como padro (No Windows XP, leia-se arquivo morto).
A tela seguinte desta a opo de arquivo morto obtida ao clicar com o boto
direito do mouse no arquivo intitulado lattes.pdf, do meu computador que
possui o sistema operacional Windows Vista.
p Quando um arquivo est com esse atributo marcado, significa que ele
dever ser copiado no prximo backup.
p Se estiver desmarcado, significa que, provavelmente, j foi feito um backup
deste arquivo.
As principais tcnicas (tipos) de Backup, que podem ser combinadas com os
mecanismos de backup on-line e off-line, esto listadas a seguir:
**NORMAL (TOTAL ou GLOBAL)
28

COPIA TODOS os arquivos e pastas selecionados.
DESMARCA o atributo de arquivo morto (arquivamento): limpa os

marcadores!!
Caso necessite restaurar o backup normal, voc s precisa da cpia mais

recente.
Normalmente, este backup executado quando voc cria um conjunto de

backup pela 1 vez.
Agiliza o processo
restaurado.
de
restaurao,
pois
somente
um
backup
ser
**INCREMENTAL
Copia somente os arquivos CRIADOS ou ALTERADOS desde o ltimo

backup normal ou incremental.
O atributo de arquivamento (arquivo morto) DESMARCADO: limpa os

marcadores!!
**DIFERENCIAL
Copia somente os arquivos CRIADOS ou ALTERADOS desde o ltimo

backup normal ou incremental.
O atributo de arquivamento (arquivo morto) NO ALTERADO: no limpa

os marcadores!!
**CPIA (AUXILIAR ou SECUNDRIA)
Faz o backup de arquivos e pastas selecionados.

os marcadores!
**DIRIO
Copia todos os arquivos e pastas selecionados que foram ALTERADOS

DURANTE O DIA da execuo do backup.

os marcadores!
Quanto RECUPERAO do backup:

p Para recuperar um disco a partir de um conjunto de backups (normal +
incremental) ser necessrio o primeiro (normal) e todos os incrementais.
p Para recuperar um disco a partir de um conjunto de backups (normal +
diferencial) basta o primeiro (normal) e o ltimo diferencial, j que este
contm tudo que diferente do primeiro.
Aplicativos para aprimoramento da segurana
29

**Sistemas Antivrus
Ferramentas preventivas e corretivas, que detectam (e, em muitos casos,
removem) vrus de computador e outros programas maliciosos (como
spywares e cavalos-de-troia). No impedem que um atacante explore alguma
vulnerabilidade existente no computador. Tambm no evita o acesso no
autorizado a um backdoor instalado no computador.
interessante manter, em seu computador:
Um antivrus funcionando constantemente (preventivamente).
Esse programa
(preventivo).
O recurso de atualizaes automticas das definies de vrus habilitado.
As definies de vrus atualizadas constantemente (nem que para isso seja

necessrio, todos os dias, executar a atualizao manualmente).
antivrus
verificando
os
e-mails
constantemente
Figura. Telas do antivrus AVG e Panda

**Anti-Spyware
O malware do tipo spyware pode se instalar no computador sem o seu
conhecimento e a qualquer momento que voc se conectar Internet, e pode
infectar o computador quando voc instala alguns programas usando um CD,
DVD ou outra mdia removvel. Um spyware tambm pode ser programado
para ser executado em horrios inesperados, no apenas quando instalado.
A ferramenta anti-spyware uma forte aliada do antivrus, permitindo a
localizao e bloqueio de spywares conhecidos e desconhecidos. Exemplo de
ferramentas anti-spyware: Windows Defender, Spybot etc.
Combate a cdigos maliciosos
O combate a cdigos maliciosos poder envolver uma srie de aes, como:
instalao de ferramentas antivrus e antispyware no computador,
lembrando de mant-las atualizadas frequentemente;
no realizar abertura de arquivos suspeitos recebidos por e-mail;
30

fazer a instalao de patches de segurana e atualizaes corretivas de

softwares e do sistema operacional quando forem disponibilizadas
(proteo contra worms e bots), etc.
**IPS/IDS, Firewalls
O IDS (Intrusion Detection Systems) procura por ataques j catalogados e
registrados, podendo, em alguns casos, fazer anlise comportamental do
sistema.
O IPS (Sistema de Preveno de Intruso) que faz a deteco de
ataques e intruses, e no o firewall!! Um IPS um sistema que detecta e
obstrui automaticamente ataques computacionais a recursos protegidos.
Diferente dos IDS tradicionais, que localizam e notificam os administradores
sobre anomalias, um IPS defende o alvo sem uma participao direta humana.
O firewall no tem a funo de procurar por ataques.
Ele realiza a filtragem dos pacotes e, ento, bloqueia
as transmisses no permitidas. Dessa forma, atua
entre a rede externa e interna, controlando o trfego de
informaes que existem entre elas, procurando certificar-se
de que este trfego confivel, em conformidade com a
poltica de segurana do site acessado. Tambm pode ser
utilizado para atuar entre redes com necessidades de
segurana distintas.
A RFC 2828 (Request for Coments n 2828) define o termo firewall como
sendo uma ligao entre redes de computadores que restringe o trfego
de comunicao de dados entre a parte da rede que est dentro ou
antes do firewall, protegendo-a assim das ameaas da rede de
computadores que est fora ou depois do firewall. Esse mecanismo de
proteo geralmente utilizado para proteger uma rede menor (como os
computadores de uma empresa) de uma rede maior (como a Internet).
Um firewall deve ser instalado no ponto de conexo entre as redes, onde,
atravs de regras de segurana, controla o trfego que flui para dentro e para
fora da rede protegida. Pode ser desde um nico computador, um
software sendo executado no ponto de conexo entre as redes de
computadores ou um conjunto complexo de equipamentos e
softwares.
31

Figura 8 Firewall
Deve-se observar que isso o torna um potencial gargalo para o trfego de
dados e, caso no seja dimensionado corretamente, poder causar atrasos e
diminuir a performance da rede.
Os firewalls so implementados, em regra, em dispositivos que fazem a
separao da rede interna e externa, chamados de estaes guardis
(bastion hosts). Quando o bastion host cai, a conexo entre a rede interna e
externa pra de funcionar.
As principais funcionalidades oferecidas pelos firewalls so:
regular o trfego de dados entre uma rede local e a rede externa no

confivel, por meio da introduo de filtros para pacotes ou aplicaes;
impedir a transmisso e/ou recepo de acessos nocivos ou no autorizados

dentro de uma rede local;
mecanismo de defesa que restringe o fluxo de dados entre redes, podendo

criar um log do trfego de entrada e sada da rede;
proteo de sistemas vulnerveis ou crticos, ocultando informaes de rede

como nome de sistemas, topologia da rede, identificaes dos usurios etc.
DMZ - Zona Desmilitarizada
Tambm chamada de Rede de Permetro. Trata-se de uma pequena rede

situada entre uma rede confivel e uma no confivel, geralmente
entre a rede local e a Internet.
A funo de uma DMZ manter todos os servios que possuem acesso
externo (navegador, servidor de e-mails) separados da rede local
limitando o dano em caso de comprometimento de algum servio nela
presente por algum invasor. Para atingir este objetivo os computadores
presentes em uma DMZ no devem conter nenhuma rota de acesso rede
local. O termo possui uma origem militar, significando a rea existente entre
dois inimigos em uma guerra.
32

Figura 9 DMZ
RAID - Redundant Array of Independent Disks
(Matriz redundante de discos independentes)
Tecnologia utilizada para combinar diversos discos rgidos (IDE, SATA ou SCSI)
para que sejam reconhecidos, pelo sistema operacional, como apenas UMA
nica unidade de disco. Existem vrios tipos (chamados modos) de RAID, e
os mais comuns so:
RAID 0 (Stripping - Enfileiramento)
Cada modo desses combina os discos rgidos de formas diferentes para

obterem resultados diferentes.
Combina dois (ou mais) HDs para que os dados gravados sejam divididos
entre eles.
No caso de um RAID 0 entre dois discos, os arquivos salvos nesse conjunto

sero gravados METADE em um disco, METADE no outro.
Ganha-se muito em velocidade

o a gravao do arquivo feita em metade do tempo, porque se grava
metade dos dados em um disco e metade no outro simultaneamente
(o barramento RAID outro, separado, do IDE).
o A leitura dos dados dos discos tambm acelerada!
o Nesse RAID no h tolerncia a falhas (segurana) porque de um
dos discos pifar, os dados estaro perdidos completamente.
o No se preocupa com segurana e sim com a velocidade!
RAID 1 (Mirroring - Espelhamento)
Cria uma matriz (array) de discos espelhados (discos idnticos). O que se

copia em um, copia-se igualmente no outro disco.
O RAID 1 aumenta a segurana do sistema.
RAID 1 aumenta a velocidade de leitura dos dados no disco (no a de

escrita).
33

RAID 5
Sistema tolerante a falhas, cujos dados e paridades so distribudos ao

longo de trs ou mais discos fsicos.
A paridade um valor calculado que usado para reconstruir dados depois

de uma falha.
Se um disco falhar, possvel recriar os dados que estavam na parte com

problema a partir da paridade e dados restantes.
Biometria
Um sistema biomtrico, em mecanismos de autenticao, analisa uma

amostra de corpo do usurio, envolvendo por exemplo: Impresso Digital
(+usado); ris; Voz; Veias das Mos; Reconhecimento Facial (+usado).
Figura 10 Veias da palma da mo, impresso digital, reconhecimento da face,

identificao pela ris ou retina, geometria da mo, etc.
Virtual Private Network (VPN)
Uma Virtual Private Network (VPN) ou Rede Virtual Privada uma rede
privada (rede com acesso restrito) construda sobre a estrutura de uma rede
pblica (recurso pblico, sem controle sobre o acesso aos dados),
normalmente a Internet. Ou seja, ao invs de se utilizar links dedicados ou
redes de pacotes para conectar redes remotas, utiliza-se a infraestrutura da
Internet, uma vez que para os usurios a forma como as redes esto
conectadas transparente.
Normalmente as VPNs so utilizadas para interligar empresas em que os
custos de linhas de comunicao direta de dados so elevados. Elas criam
tneis virtuais de transmisso de dados utilizando criptografia para garantir a
privacidade e integridade dos dados, e a autenticao para garantir que os
dados esto sendo transmitidos por entidades ou dispositivos autorizados e
no por outros quaisquer. Uma VPN pode ser criada tanto por dispositivos
especficos, softwares ou at pelo prprio sistema operacional.
Princpios bsicos (Caiu em prova!)
Uma VPN deve prover um conjunto de funes que garantam alguns princpios
bsicos para o trfego das informaes:
34

1. Confidencialidade tendo-se em vista que estaro sendo usados meios

pblicos de comunicao, imprescindvel que a privacidade da informao
seja garantida, de forma que, mesmo que os dados sejam capturados, no
possam ser entendidos.
2. Integridade na eventualidade da informao ser capturada, necessrio
garantir que no seja alterada e reencaminhada, permitindo que somente
informaes vlidas sejam recebidas.
3. Autenticidade somente os participantes devidamente autorizados podem
trocar informaes entre si, ou seja, um elemento da VPN somente
reconhecer informaes originadas por um segundo elemento que tenha
autorizao para fazer parte dela.
Criptografia
A palavra criptografia composta dos termos gregos KRIPTOS (secreto,
oculto, ininteligvel) e GRAPHO (escrita, escrever). Trata-se de um conjunto de
conceitos e tcnicas que visa codificar uma informao de forma que somente
o emissor e o receptor possam acess-la.
Terminologia bsica sobre Criptografia:
Mensagem ou texto: Informao que se deseja proteger. Esse texto

quando em sua forma original, ou seja, a ser transmitido, chamado de
texto puro ou texto claro.
Remetente ou emissor: Pessoa que envia a mensagem.
Destinatrio ou receptor: Pessoa que receber a mensagem.
Encriptao: Processo em que um texto puro passa, transformando-se

em texto cifrado.
Desencriptao: Processo de recuperao de um texto puro a partir

de um texto cifrado.
Criptografar: Ato de encriptar um texto puro, assim

descriptografar o ato de desencriptar um texto cifrado.
Chave: Informao que o remetente e o destinatrio possuem e que

ser usada para criptografar e descriptografar um texto ou mensagem.
como,
Algoritmos:
p Simtricos (ou convencional, chave privada, chave nica)
p Assimtricos (ou chave pblica).
A criptografia de chave simtrica (tambm chamada de criptografia de
chave nica, ou criptografia privada, ou criptografia convencional)
utiliza APENAS UMA chave para encriptar e decriptar as mensagens. Assim,
como s utiliza UMA chave, obviamente ela deve ser compartilhada entre o
remetente e o destinatrio da mensagem.
35

Para ilustrar os sistemas simtricos, podemos usar a imagem

de um cofre, que s pode ser fechado e aberto com uso de
uma chave. Esta pode ser, por exemplo, uma combinao de
nmeros. A mesma combinao abre e fecha o cofre. Para
criptografar uma mensagem, usamos a chave (fechamos o
cofre) e para decifr-la utilizamos a mesma chave (abrimos o cofre).
Na criptografia simtrica (ou de chave nica) tanto o emissor
quanto o receptor da mensagem devem conhecer a chave utilizada!!
Ambos fazem uso da MESMA chave, isto , uma NICA chave
usada na codificao e na decodificao da informao.
Nas figuras acima, podemos observar o funcionamento da criptografia

simtrica. Uma informao encriptada atravs de um polinmio utilizando-se
de uma chave (Chave A) que tambm serve para decriptar a informao.
As principais vantagens dos algoritmos simtricos so:
rapidez: um polinmio simtrico encripta um texto longo em milsimos
de segundos
chaves pequenas: uma chave de criptografia de 128 bits torna um
algoritmo simtrico praticamente impossvel de ser quebrado.
A maior desvantagem da criptografia simtrica que a chave utilizada para
encriptar IGUAL chave que decripta. Quando um grande nmero de
pessoas tem conhecimento da chave, a informao deixa de ser um segredo.
O uso de chaves simtricas tambm faz com que sua utilizao no seja
adequada em situaes em que a informao muito valiosa. Para comear,
necessrio usar uma grande quantidade de chaves caso muitas pessoas
estejam envolvidas. Ainda, h o fato de que tanto o emissor quanto o receptor
precisam conhecer a chave usada.
A transmisso dessa chave de um para o outro pode no ser to segura e cair
em "mos erradas", fazendo com que a chave possa ser interceptada e/ou
alterada em trnsito por um inimigo.
Existem vrios algoritmos que usam chaves simtricas, como o DES (Data
Encryption Standard), o IDEA (International Data Encryption Algorithm), e o
RC (Ron's Code ou Rivest Cipher).
36

Os algoritmos de criptografia assimtrica (criptografia de chave pblica)

utilizam DUAS chaves DIFERENTES, uma PBLICA (que pode ser
distribuda) e uma PRIVADA (pessoal e intransfervel). Assim, nesse mtodo
cada pessoa ou entidade mantm duas chaves: uma pblica, que pode ser
divulgada livremente, e outra privada, que deve ser mantida em segredo pelo
seu dono. As mensagens codificadas com a chave pblica s podem ser
decodificadas com a chave privada correspondente.
Do ponto de vista do custo computacional, os sistemas simtricos
apresentam melhor desempenho que os sistemas assimtricos, e isso j
foi cobrado em provas vrias vezes!
Nota: Chave assimtrica
Tambm conhecida como "chave pblica", a tcnica de criptografia por chave

assimtrica trabalha com DUAS chaves: uma denominada privada e outra
denominada pblica. Nesse mtodo, uma pessoa deve criar uma chave de
codificao e envi-la a quem for mandar informaes a ela. Essa a chave
pblica. Outra chave deve ser criada para a decodificao. Esta a chave
privada secreta.
Para entender melhor, imagine o seguinte:
O USURIO-A criou uma chave pblica e a enviou a vrios outros sites.
Quando qualquer desses sites quiser enviar uma informao criptografada ao
USURIO-A dever utilizar a chave pblica deste. Quando o USURIO-A
receber a informao, apenas ser possvel extra-la com o uso da chave
privada, que s o USURIO-A tem. Caso o USURIO-A queira enviar uma
informao criptografada a outro site, dever conhecer sua chave pblica.
37

Entre os algoritmos que usam chaves assimtricas tm-se o RSA (o mais

conhecido), o Diffie-Hellman, o DSA (Digital Signature Algorithm), o Schnorr
(praticamente usado apenas em assinaturas digitais) e Diffie-Hellman.
Figura 11 Mapa mental relacionado Criptografia ASSimtrica

PKI (Public Key Infrastrusture) a infraestrutura de chaves pblicas (ICP).
A ICP-Brasil um exemplo de PKI.

Componentes de uma PKI
Uma infraestrutura de chaves pblicas envolve um processo colaborativo
entre vrias entidades: autoridade certificadora (AC), autoridade de registro
(AR), repositrio de certificados e o usurio final.
Autoridade Certificadora (AC)
Vamos ao exemplo da carteira de motorista. Se pensarmos em um
certificado como uma carteira de motorista, a Autoridade Certificadora
opera como um tipo de rgo de licenciamento. Em uma ICP, a AC emite,
38

gerencia e revoga os certificados para uma comunidade de usurios

finais. A AC assume a tarefa de autenticao de seus usurios finais e
ento assina digitalmente as informaes sobre o certificado antes de
dissemin-lo. A AC, no final, responsvel pela autenticidade dos
certificados emitidos por ela.
Autoridade de Registro (AR)
Embora a AR possa ser considerada um componente estendido de uma ICP,
os administradores esto descobrindo que isso uma necessidade.
medida que aumenta o nmero de usurios finais dentro de uma ICP,
tambm aumenta a carga de trabalho de uma AC. A AR serve como uma
entidade intermediria entre a AC e seus usurios finais, ajudando a
AC em suas funes rotineiras para o processamento de
certificados.
Uma AR necessariamente uma entidade operacionalmente vinculada a
uma AC, a quem compete:
identificar os titulares de certificados: indivduos, organizaes ou

equipamentos;
encaminhar solicitaes de emisso e revogao de certificados AC;
guardar os documentos apresentados para identificao dos titulares.
A AC deve manter uma lista de suas ARs credenciadas e estas ARs so

consideradas confiveis, pelo ponto de vista dessa AC.
Lista de Certificados Revogados (LCR)
A LCR ou CRL (Certificate Revocation List) uma estrutura de dados que
contm a lista de certificados revogados por uma determinada AC.
Declarao de Prticas
Certificado (PC)
de
Certificao
(DPC)
Poltica
de
As ACs atuam como terceiros confiveis, confirmando o contedo dos

certificados que elas emitem. Mas o que exatamente uma AC certifica? O
que faz uma AC ser mais confivel do que outra?
Dois mecanismos so utilizados pelas ACs para estabelecer a confiana
entre usurios finais e partes verificadoras: a Declarao de Prticas de
Certificao (DPC) e a Poltica de Certificado (PC).
A Declarao de Prticas de Certificao um documento,
periodicamente revisado e republicado, que contm as prticas e
procedimentos implementados por uma Autoridade Certificadora para
emitir certificados. a declarao da entidade certificadora a respeito
dos detalhes do seu sistema de credenciamento, das prticas e
polticas que fundamentam a emisso de certificados e de outros
servios relacionados.
39

J a Poltica de Certificado definida como um conjunto de regras

que indica a aplicabilidade de um certificado para uma determinada
comunidade e/ou uma classe de aplicativos com requisitos comuns de
segurana. A PC pode ser usada para ajudar a decidir se um
certificado confivel o suficiente para uma dada aplicao. Nas PC
encontramos informaes sobre os tipos de certificado, definies
sobre quem poder ser titular de um certificado, os documentos
obrigatrios para emisso do certificado e como identificar os
solicitantes.
Hierarquias de Certificado
medida que uma populao de uma ICP comea a aumentar, torna-se
difcil para uma AC monitorar de maneira eficaz a identidade de todas as
partes que ela certificou. medida que o nmero de certificados cresce,
uma nica AC pode estrangular o processo de certificao. Uma soluo
utilizar uma hierarquia de certificados em que uma AC delega sua
autoridade para uma ou mais Autoridades Certificadoras subsequentes ou
intermedirias. Essas AC, por sua vez, designam a emisso de certificados a
outras AC vinculadas e subsequentes.
Um recurso poderoso das hierarquias de certificado que uma nica
Autoridade Certificadora estabelece a confiana das demais AC
subsequentes a Autoridade Certificadora superior (cujo certificado autoassinado) e que por esta posio recebe o nome de Autoridade Certificadora
Raiz.
A AC Raiz a autoridade mxima na cadeia de certificao de uma
ICP. a nica entidade na cadeia que auto-confivel, ou seja, a
nica AC que confia em si mesma e que assina a si mesma. Todos os
certificados emitidos na cadeia de certificao abaixo dela recebem
a sua assinatura.
A AC Raiz NO emite certificados para usurios finais, apenas para
outras autoridades certificadoras.
Processo de verificao da cadeia de confiana
Para verificar a cadeia de confiana de um certificado e decidir se o mesmo
confivel, a parte confiante (verificadora) deve analisar trs itens
relacionados a cada certificado que faz parte da hierarquia de certificados,
at chegar ao certificado da AC Raiz.
Primeiro a parte confiante deve verificar se cada certificado da cadeia est
assinado pelo certificado anterior a ele na hierarquia. Segundo, deve
assegurar que nenhum dos certificados da cadeia esteja expirado e terceiro,
deve verificar se existe algum certificado da cadeia que est revogado.
Se a parte confiante confiar no certificado da AC Raiz da hierarquia,
automaticamente toda a cadeia ser considerada confivel, inclusive o
certificado do usurio final.
40

Figura. Modelo de Hierarquia de uma ICP

Assinatura Digital
Conforme destaca Stallings (2008) uma assinatura digital um mecanismo
de AUTENTICAO que permite ao criador de uma mensagem anexar um
cdigo que atue como uma assinatura. A assinatura formada tomando o hash
da mensagem e criptografando-a com a chave privada do criador. A assinatura
garante a ORIGEM e a INTEGRIDADE da mensagem.
Em outras palavras, a assinatura digital consiste na criao de um
cdigo, atravs da utilizao de uma chave privada, de modo que a
pessoa ou entidade que receber uma mensagem contendo este cdigo
possa verificar se o remetente mesmo quem diz ser e identificar
qualquer mensagem que possa ter sido modificada.
Se Jos quiser enviar uma mensagem assinada para Maria, ele codificar a
mensagem com sua chave privada. Neste processo ser gerada uma
assinatura digital, que ser adicionada mensagem enviada para Maria.
Ao receber a mensagem, Maria utilizar a chave pblica de Jos para
decodificar a mensagem. Neste processo ser gerada uma segunda assinatura
digital, que ser comparada primeira. Se as assinaturas forem idnticas,
Maria ter certeza que o remetente da mensagem foi o Jos e que a
mensagem no foi modificada.
importante ressaltar que a segurana do mtodo baseia-se no fato de que a
chave privada conhecida apenas pelo seu dono. Tambm importante
ressaltar que o fato de assinar uma mensagem no significa gerar uma
mensagem sigilosa. Para o exemplo anterior, se Jos quisesse assinar a
mensagem e ter certeza de que apenas Maria teria acesso a seu contedo,
seria preciso codific-la com a chave pblica de Maria, depois de assin-la.
Certificado Digital
Um certificado digital um documento eletrnico que identifica pessoas,
fsicas
ou
jurdicas,
URLs,
contas
de
usurio,
servidores
(computadores) dentre outras entidades. Este documento na verdade
41

uma estrutura de dados que contm a chave pblica do seu titular e outras
informaes de interesse. Contm informaes relevantes para a identificao
real da entidade a que visam certificar (CPF, CNPJ, endereo, nome, etc.) e
informaes relevantes para a aplicao a que se destinam. O certificado
digital precisa ser emitido por uma autoridade reconhecida pelas partes
interessadas na transao. Chamamos essa autoridade de Autoridade
Certificadora, ou AC.
O certificado fica armazenado em dispositivos de segurana, como por ex.:
Token ou Smart Card, ilustrados na figura a seguir.
Token
Smart Card ou carto inteligente
Figura. Ilustrao de dispositivos de segurana

Quanto aos objetivos do certificado digital podemos destacar:
Transferir a credibilidade que hoje baseada em papel e conhecimento para

o ambiente eletrnico.
Vincular uma chave pblica a um titular (eis o objetivo principal). O

certificado digital precisa ser emitido por uma autoridade reconhecida pelas
partes interessadas na transao, conforme visto na prxima figura.
Chamamos essa autoridade de Autoridade Certificadora, ou AC.
Figura. Vnculo da Chave Pblica ao Titular
42

Dentre as informaes que compem a estrutura de um certificado

temos:
Verso
Indica
qual
formato
est sendo seguido.
de
certificado
Nmero de srie
Identifica unicamente um certificado dentro

do escopo do seu emissor.
Nome do titular
Nome da pessoa, URL ou demais informaes

que esto sendo certificadas.
Chave pblica do
titular
Perodo de
validade
Nome do emissor
Informaes da chave pblica do titular.

Data de emisso e expirao.
Entidade que emitiu o certificado.
Assinatura do
emissor
Valor da assinatura digital feita pelo emissor.
Algoritmo de
assinatura do
emissor
Identificador dos algoritmos de hash +

assinatura utilizados pelo emissor para
assinar o certificado.
Extenses
Campo opcional para estender o certificado.
Um exemplo destacando informaes do certificado pode ser visto na figura

seguinte:
43

Reviso em Tpicos e Palavras-Chave
Risco: Medido pela probabilidade de uma ameaa acontecer e causar

algum dano potencial empresa.
Figura. Impacto de incidentes de segurana nos negcios
HASH (Message Digest Resumo de Mensagem): Mtodo matemtico

unidirecional, ou seja, s pode ser executado em um nico sentido (ex.:
voc envia uma mensagem com o hash, e este no poder ser alterado,
mas apenas conferido pelo destinatrio). Utilizado para garantir a
integridade (no-alterao) de dados durante uma transferncia.
Engenharia Social: Tcnica de ataque que explora as fraquezas humanas

e sociais, em vez de explorar a tecnologia.
Sniffer: Ferramenta capaz de interceptar e registrar o trfego de dados em

uma rede de computadores.
Phishing ou scam: Tipo de fraude eletrnica projetada para roubar

informaes particulares que sejam valiosas para cometer um roubo ou
fraude posteriormente.
Pharming: Ataque que consiste em corromper o DNS em uma rede de

computadores, fazendo com que a URL de um site passe a apontar para o
IP de um servidor diferente do original.
44

No ataque de negao de servio (denial of service - DoS) o atacante

utiliza um computador para tirar de operao um servio ou
computador(es) conectado(s) Internet!!
No ataque de negao de servio distribudo (DDoS), um conjunto de

computadores utilizado para tirar de operao um ou mais servios ou
computadores conectados Internet.
Malwares (combinao de malicious software programa malicioso):

programas que executam deliberadamente aes mal-intencionadas
em um computador, como vrus, worms, bots, cavalos de troia,
spyware, keylogger, screenlogger.
Spams: mensagens de correio eletrnico no autorizadas ou no solicitadas

pelo destinatrio, geralmente de conotao publicitria ou obscena.
Anti-spam: ferramenta utilizada para filtro de mensagens indesejadas.
Botnets: redes formadas por diversos computadores infectados com bots

(Redes Zumbis). Podem ser usadas em atividades de negao de
servio, esquemas de fraude, envio de spam, etc.
Firewall: um sistema para controlar o acesso s redes de computadores,

desenvolvido para evitar acessos no autorizados em uma rede local ou
rede privada de uma corporao.
VPN (Virtual Private Network Rede Privada Virtual): uma rede

privada que usa a estrutura de uma rede pblica (como a Internet) para
transferir seus dados (os dados devem estar criptografados para
passarem despercebidos e inacessveis pela Internet).
Vulnerabilidade uma fragilidade que poderia ser explorada por uma

ameaa para concretizar um ataque. Ex.: notebook sem as atualizaes de
segurana do sistema operacional.
Princpios bsicos da segurana da informao:
45

Princpio bsico
Conceito
Objetivo
Confidencialidade
Propriedade de que a
informao no esteja
disponvel ou revelada
a indivduos,
entidades ou
processos no
autorizados.
Proteger contra o acesso

no autorizado, mesmo
para dados em trnsito.
Integridade
Propriedade de
salvaguarda da
exatido e completeza
de ativos
Disponibilidade
Propriedade de estar
acessvel e utilizvel
sob demanda por uma
entidade autorizada
Proteger informao
contra modificao sem
permisso;
garantir a fidedignidade
das informaes.
Proteger contra
indisponibilidade dos
servios (ou
degradao);
garantir aos usurios
com autorizao, o
acesso aos dados.
Existem vrios tipos de RAID (Redundant Array of Independent Disks),

e os mais comuns so: RAID 0, RAID 1, RAID 10 (tambm conhecido
como 1+0) e RAID 5.
Backup (cpia de segurana): envolve a cpia dos dados de um

dispositivo para o outro com o objetivo de posteriormente recuperar as
informaes, caso haja algum problema. Procure fazer cpias regulares dos
dados do computador, para recuperar-se de eventuais falhas e das
consequncias de uma possvel infeco por vrus ou invaso.
Principais tipos de backup:
46

RAID no backup!
RAID Medida de redundncia.
Backup Medida de recuperao de desastre.
Muito bem, aps termos visto os conceitos primordiais de segurana
para a prova, vamos s questes!!
47

Lista de Questes Comentadas

1. (FCC/2012/TRT-11.Regio/Provas de Analista Judicirio e Tcnico
Judicirio) Quando o cliente de um banco acessa sua conta corrente
atravs da internet, comum que tenha que digitar a senha em um teclado
virtual, cujas teclas mudam de lugar a cada caractere fornecido. Esse
procedimento de segurana visa evitar ataques de
(A) spywares e adwares.
(B) keyloggers e adwares.
(C) screenloggers e adwares.
(D) phishing e pharming.
(E) keyloggers e screenloggers.
Comentrios
O teclado virtual uma forma de preveno contra os programas maliciosos
(malwares) keyloggers (capazes de capturar e
armazenar as teclas digitadas pelo usurio no
teclado de um computador) e screenloggers
(que tentam coletar dados vindos da tela do
computador). Portanto, a letra E a resposta da
questo!
Gabarito: letra E.
2. (FCC/2011/TRE-TO/Analista Judicirio Judiciria) Uma das formas
de proteger o sigilo da informao que trafega na Internet :
a) no fazer os downloads em notebooks.
b) no responder e-mails que chegam "com cpia oculta".
c) mandar e-mails somente a pessoas da lista pessoal.
d) no usar a opo "com cpia para" do correio eletrnico.
e) a criptografia
Comentrios
Ao enviar informaes sigilosas via internet deve-se utilizar de um sistema que
faa a codificao (chave, cifra), de modo que somente as mquinas que
conhecem o cdigo consigam decifr-lo. a criptografia, portanto, a medida de
segurana a ser adotada para resguardar o sigilo da informao que trafega
pela Internet.
Gabarito: letra E.
48

3. (FCC/2011/TRF - 1. Regio/Tcnico Judicirio Segurana e

Transporte) Considerando o recebimento de um arquivo executvel de
fonte desconhecida, no correio eletrnico, a atitude mais adequada diante
deste fato
a) no execut-lo;
b) baix-lo no seu desktop e execut-lo localmente, somente;
c) repass-lo para sua lista de endereos solicitando aos mais experientes
que o executem;
d) execut-lo diretamente, sem baix-lo no seu desktop;
e)
execut-lo de qualquer
administrador de sua rede.
forma,
porm
comunicar
fato
ao
Comentrios
O arquivo executvel, que est sendo recebido de uma fonte desconhecida, no
correio eletrnico, pode conter um cdigo malicioso (como um vrus ou um
cavalo de troia, etc.), que, ao ser executado, tem grande probabilidade de
causar algum problema que resulte na violao da segurana do computador.
Desconfie sempre dos arquivos anexados mensagem, mesmo que tenham
sido enviados por pessoas ou instituies conhecidas. O endereo do
remetente pode ter sido forjado e o arquivo em anexo pode ser malicioso.
Portanto nunca abra arquivos ou execute programas anexados aos e-mails,
sem antes verific-los com um bom programa antivrus (atualizado!). Diante
disso, a resposta certa a letra A.
Gabarito: letra A.
4. (FCC/2010/DNOCS/ADMINISTRADOR/
Prestam-se a cpias de segurana (backup)
PROVA
A01-001-Q.
58)
(A) quaisquer um destes: DVD; CD-ROM; disco rgido externo ou cpia

externa, quando os dados so enviados para um provedor de servios via
internet.
(B) apenas estes: CD-ROM; disco rgido e cpia externa, quando os dados
so enviados para um provedor de servios via internet.
(C) apenas estes: DVD, CD-ROM e disco rgido externo.
(D) apenas estes: CD-ROM e disco rgido externo.
(E) apenas estes: DVD e CD-ROM.
Comentrios
Um backup envolve cpia de dados em um meio separado do original,
regularmente, de forma a proteg-los de qualquer eventualidade.
49

Dentre os meios que podem ser utilizados para a realizao do backup

merecem destaque: DVD; CD-ROM; disco rgido externo ou cpia externa,
quando os dados so enviados para um provedor de servios via internet ou
para algum outro computador de uma rede corporativa, dentre outros.
Gabarito: letra A.
5. (FCC/2009/Oficial de Chancelaria/Adaptada) O Diretor de um certo
rgo pblico incumbiu alguns funcionrios da seguinte tarefa:
Item
Tarefa
Garantir que a maior parte dos dados gravados

computadores no seja perdida em caso de sinistro.
nos
Tal garantia possvel se forem feitas cpias dos dados:

a) aps cada atualizao, em mdias removveis mantidas nos prprios
computadores;
b) em arquivos distintos nos respectivos hard disks, desde que estes
dispositivos sejam desligados aps o expediente;
c) em arquivos distintos nos respectivos hard disks, desde que estes
dispositivos permaneam ligados ininterruptamente;
d) aps cada atualizao, em mdias removveis mantidas em local distinto
daquele dos computadores;
e) da poltica de segurana fsica.
Comentrios
Backup refere-se cpia de dados de um dispositivo para o outro com o
objetivo de posteriormente os recuperar, caso haja algum problema. Essa
cpia pode ser realizada em vrios tipos de mdias, como CDs, DVSs, fitas
DAT, pendrives, etc., de forma a proteg-los de qualquer eventualidade.
Nesse caso, o backup (cpia de segurana) dos dados deveria ser feito aps
cada atualizao, em mdias removveis mantidas em um local distinto daquele
dos computadores. Se a cpia dos dados fosse realizada no mesmo HD (disco
rgido), voc ficaria impossibilitado de recuperar as informaes em caso de
falhas da mquina em questo. Tambm as mdias de backup devem ser
armazenadas em local distinto daquele em que os dados foram obtidos. Diante
disso, a resposta certa a letra D!
Gabarito: letra D.
6. (FCC/2009/TJ-PI/Analista Judicirio/Adaptada)
responder questo, considere os dados abaixo.
Instruo:
Para
50

Item Tarefa
VII
Proceder, diariamente, cpia de segurana dos dados em

fitas digitais regravveis (algumas comportam at 72 GB de
capacidade) em mdias alternadas para manter a segurana e
economizar material.
No item VII recomendado o uso de mdias conhecidas por:

a) FAT32;
b) FAT;
c) NTSF;
d) DAT;
e) DVD+RW.
Comentrios
Esse item da FCC no trouxe maiores dificuldades. Dentre as alternativas,
podemos destacar que FAT32 e FAT so sistemas de arquivos, portanto as
opes a e b j no atendem aos requisitos da questo.
O termo NTSF deveria ter sido escrito como NTFS, para corresponder a um tipo
de sistema de arquivos, mas que tambm no atenderia questo.
O DVD+RW uma mdia que nos permite armazenamento ptico de dados.
Para a realizao da cpia de segurana (backup) dos dados em fitas digitais
regravveis, utilizamos fitas DAT. A nica alternativa que destaca a mdia
conhecida por DAT a letra D, que a resposta da questo. A fita DAT (Digital
Audio Tape), com capacidade em mdia de armazenamento na faixa de 2 a 72
GB, mais voltada para o mercado corporativo, portanto, comum que
existam solues quase que personalizadas de formatos e equipamentos de
gravao e leitura de fitas.
Gabarito: letra D.
7. (FCC/2004/TRT 8. REGIO/TCNICO ADMINISTRATIVO) Para evitar
a perda irrecupervel das informaes gravadas em um computador e
proteg-las contra acesso no autorizado, necessrio que se adote,
respectivamente, as medidas inerentes s operaes de
(A) backup dos arquivos do sistema operacional e configurao de criptografia.
(B) checkup dos arquivos do sistema operacional e inicializao da rede
executiva.
(C) criptografia de dados e inicializao da rede privativa.
(D) backup de arquivos e uso de senha privativa.
(E) uso de senha privativa e backup dos arquivos do sistema operacional.
51

Comentrios
A questo pede medidas de segurana relativas a duas situaes: proteo
contra perda irrecupervel de informaes (dados) e proteo contra acesso
no autorizado.
A primeira situao deve ser abordada com polticas adequadas de backup.
Logicamente se precisamos guardar informaes gravadas, no fazemos
backup dos arquivos do sistema operacional (arquivos de programas e
configuraes), mas dos arquivos de dados (documentos, imagens, vdeos
etc.).
Isso j suficiente para marcarmos a alternativa D, que traz, em seguida, a
abordagem para a segunda situao: uso de senha privativa.
Gabarito: letra D.
8. (FCC/2010/DNOCS/AGENTE ADMINISTRATIVO/Q. 55-E.05) No
Windows, a possibilidade de controlar e reverter alteraes perigosas no
computador pode ser feita por meio da restaurao do sistema.
Comentrios
A restaurao do sistema um recurso do Windows que permite que sejam
estabelecidos pontos de restaurao do sistema. Assim, caso o usurio, por
qualquer motivo, queira voltar o computador para o estado em que ele se
encontrava em um ponto de restaurao, basta acionar a Restaurao do
sistema. O Windows desinstalar eventuais programas que tenham sido
instalados no perodo e retornar configuraes porventura alteradas sem, no
entanto, excluir dados ou arquivos salvos no disco rgido. Dessa forma, podese controlar e reverter alteraes perigosas no computador!!
Gabarito: item certo.
computador pode ser feita por meio das atualizaes automticas.
Comentrios
As atualizaes automticas iro atuar sobre as atualizaes de segurana
do sistema operacional Windows, e no esto relacionadas ao desejado na
questo.
Gabarito: item errado.
computador pode ser feita por meio do gerenciador de dispositivos.
52

Comentrios
O gerenciador de dispositivos fornece informaes sobre os dispositivos
instalados no seu computador.
11. (FCC/2009/TJ-PI/Analista Judicirio/Adaptada) Instruo: Para
Item Tarefa
V
Ao enviar informaes sigilosas via mensagem eletrnica

deve-se utilizar de um sistema que faa a codificao (chave,
cifra), de modo que somente as mquinas que conhecem o
cdigo consigam decifr-lo.
O cuidado solicitado em V aplica o conceito de:

a) criptografia;
b) assinatura digital;
c) digitalizao;
d) desfragmentao;
e) modulao/demodulao.
Comentrios
Item A. Criptografia um conjunto de tcnicas que permitem tornar
incompreensvel uma mensagem escrita com clareza, de forma que apenas o
destinatrio a decifre e a compreenda. A criptografia tem como objetivo
garantir que uma informao s seja lida e compreendida pelo destinatrio
autorizado. Item CERTO. a resposta da questo!
Item B. Com a utilizao da assinatura digital o remetente (emissor) ir
criptografar a mensagem com sua chave privada e o destinatrio poder
comprovar a autenticidade por meio da decifrao pela chave pblica do
remetente. Cabe destacar que se a mensagem de e-mail for muito grande
(contiver anexos, por exemplo), usar a chave privada do remetente para
criptografar a mensagem toda demoraria muito. Hoje, a assinatura digital
feita mediante o clculo do hash ( uma funo matemtica que recebe uma
mensagem de entrada e gera como resultado um nmero finito de caracteres)
da mensagem e a conseguinte criptografia apenas desse hash com o uso da
chave privada do remetente. Como o hash pequeno, a assinatura digital no
demora para ser realizada!
53

A assinatura digital fornece uma prova inegvel de que uma

mensagem veio do emissor. Para verificar este requisito, uma assinatura
deve ter as seguintes propriedades:
autenticidade: o receptor (destinatrio de uma mensagem) pode
confirmar que a assinatura foi feita pelo emissor;
integridade: qualquer alterao da mensagem faz com que a assinatura
seja invalidada;
no repdio (irretratabilidade): o emissor (aquele que assinou
digitalmente a mensagem) no pode negar que foi o autor da
mensagem, ou seja, no pode dizer mais tarde que a sua assinatura foi
falsificada.
A assinatura digital, por si s, no garante a confidencialidade (sigilo) dos
dados, pois, teoricamente, todos possuem a chave pblica do remetente. Essa
confidencialidade obtida por meio de tcnicas de criptografia, que so
utilizadas em conjunto com as assinaturas digitais!!
A implementao da assinatura digital s foi possvel com o uso dos algoritmos
de criptografia assimtrica, pois eles provm a garantia da autenticidade, e por
conseqncia, a irretratabilidade da mensagem.
A integridade da mensagem verificada por meio das funes de hash. Com a
assinatura digital possvel associar, de forma unvoca, um documento digital
a uma chave privada e, consequentemente, a um usurio. Item errado.
Item C. Digitalizao a converso de um suporte fsico de dados (papel,
microfilme) para um suporte em formato digital visando dinamizar o acesso e a
disseminao das informaes, mediante a visualizao instantnea das
imagens pelas pessoas interessadas. Item errado.
Item D. A desfragmentao consiste em um processo de eliminao da
fragmentao de dados de um sistema de arquivos. Isso possvel
reordenando o espao de armazenamento, de forma que todo arquivo esteja
armazenado de maneira contgua (unida) e ordenada, e tambm criando
espaos livres contnuos, de forma a evitar a fragmentao de dados no disco.
A desfragmentao no diminui o tamanho de um arquivo, apenas aumenta a
velocidade de acesso aos dados, j que a cabea de leitura do HD no perde
tempo pulando os fragmentos que no fazem parte do arquivo. Item errado.
Item E. Em um sistema de transmisso de dados, o processo de modulao
pode ser definido como a transformao de um sinal que contm uma
informao til, em seu formato original, em um sinal modulado, adequado ao
meio de transmisso que se pretende utilizar, e a demodulao o inverso!
Item errado.
Gabarito: letra A.
54

12. (FCC/2010-04/BAHIA
GS/
Analista
de
Processos
Organizacionais Administrao ou Cincias Econmicas/Q. 27/D04G1) Uma assinatura digital um recurso de segurana cujo objetivo
(A) identificar um usurio apenas por meio de uma senha.
(B) identificar um usurio por meio de uma senha, associada a um token.
(C) garantir a autenticidade de um documento.
(D) criptografar um documento assinado eletronicamente.
(E) ser a verso eletrnica de uma cdula de identidade.
Comentrios
Conforme destaca Stallings (2008) uma assinatura digital um mecanismo de
AUTENTICAO que permite ao criador de uma mensagem anexar um cdigo
que atue como uma assinatura. A assinatura formada tomando o hash da
mensagem e criptografando-a com a chave privada do criador. A assinatura
garante a ORIGEM e a INTEGRIDADE da mensagem.
Em outras palavras, a assinatura digital um mecanismo de segurana cujo
objetivo o de garantir a autenticidade de um documento (mensagem).
Gabarito: letra C.
13. (FCC/2010/GOVBA/AGENTE PENITENCIRIO/UNI-001-Q. 21)
Considere os seguintes motivos que levaram diversas instituies
financeiras a utilizar teclados virtuais nas pginas da Internet:
I. facilitar a insero dos dados das senhas apenas com o uso do mouse.
II. a existncia de programas capazes de capturar e armazenar as teclas
digitadas pelo usurio no teclado de um computador.
III. possibilitar a ampliao dos dados do teclado para o uso de deficientes
visuais.
Est correto o que se afirma em
(A) I, apenas.
(B) II, apenas.
(C) III, apenas.
(D) II e III, apenas.
(E) I, II e III.
Comentrios
Ataques a usurios de instituies financeiras esto se tornando cada vez mais
comuns. Nesse contexto, as instituies financeiras incorporam teclados
virtuais em seus sites, para assim, tentar evitar que usurios contaminados
55

com cavalos de troia (trojans) munidos de keylogger (gravador de aes do

teclado) tenham seus dados capturados pelos invasores.
Gabarito: letra B.
Item Recomendao
IV
Evitar a abertura de mensagens eletrnicas no solicitadas,

provenientes de instituies bancrias ou empresas, que
possam induzir o acesso a pginas fraudulentas na Internet,
com vistas a roubar senhas e outras informaes pessoais
valiosas registradas no computador.
A recomendao em IV para evitar um tipo de fraude conhecido por:

a) chat
b) cracker
c) spam
d) hacker
e) phishing scam
Comentrios
Item A. Chat um servio disponibilizado por alguns sites, em que os usurios
podem participar de salas de bate-papo em tempo real. Item ERRADO.
Item B. Os crackers so indivduos que invadem sistemas para roubar
informaes e causar danos s vtimas. O termo crackers tambm uma
denominao utilizada para aqueles que decifram cdigos e destroem
protees de software. Atualmente, a imprensa mundial atribui qualquer
incidente de segurana a hackers, em seu sentido genrico. A palavra cracker
no vista nas reportagens, a no ser como cracker de senhas, que um
software utilizado para descobrir senhas ou decifrar mensagens cifradas. Item
ERRADO.
Item C. Spam um tipo de mensagem recebida pelo usurio sem que ele
tenha solicitado. Esses e-mails so enviados para milhares de usurios
simultaneamente e podem provocar inconvenientes como: esgotamento do
espao na caixa postal do usurio, perda de tempo ao abrir mensagens que
no so de seu interesse, o contedo do spam pode ser ofensivo e imprprio,
dentre outros. Item ERRADO.
56

Item D. O termo hacker ganhou, junto opinio pblica influenciada pelos

meios de comunicao, uma conotao negativa, que nem sempre corresponde
realidade!! Os hackers, por sua definio geral, so aqueles que utilizam
seus conhecimentos para invadir sistemas, no com o intuito de causar danos
s vtimas, mas sim como um desafio s suas habilidades. Eles invadem os
sistemas, capturam ou modificam arquivos para provar sua capacidade e
depois compartilham suas proezas com os colegas. No tm a inteno de
prejudicar, mas sim de apenas demonstrar que conhecimento poder. Item
ERRADO.
Item E. Esse item a resposta da questo e destaca o golpe do phishing
scam (tambm conhecido como phishing ou scam), muito cobrado nas
provas de concursos! Trata-se de um golpe em que iscas (e-mails) so
usadas para pescar informaes sensveis (senhas e dados financeiros, por
exemplo) de usurios da Internet.
O objetivo principal de um scammer (indivduo que implementa o golpe do
phishing scam) obter a autenticao. Isso quer dizer reunir as informaes
necessrias para se fazer passar pela vtima e obter alguma vantagem
financeira. Em seguida, aps obter os dados do carto de crdito, por exemplo,
o scammer poder fazer compras pela Internet, realizar pagamentos e
transferncias de dinheiro, entre outras aes.
Atualmente, este termo vem sendo utilizado tambm para se referir aos
seguintes casos:
mensagem que procura induzir o usurio instalao de cdigos maliciosos,

projetados para furtar dados pessoais e financeiros;
mensagem que, no prprio contedo, apresenta formulrios para o

preenchimento e envio de dados pessoais e financeiros de usurios.
Pelo boto
do Internet Explorer 7 aciona-se o menu Ferramentas que
permite configurar o Filtro de phishing (pode-se ativ-lo ou desativ-lo por
essa opo!). Ao clicar em Ativar Verificao Automtica de Site, possvel
configurar para que o Filtro de phishing seja ativado. Com essa opo
habilitada, receberemos um aviso quando um site de phishing (um site malintencionado que tenta coletar informaes pessoais dos usurios que o
acessam) for carregado. Geralmente, os sites de phishing tentam se passar
por sites legtimos e idneos a fim de capturar os dados dos internautas, tais
como nmeros de cartes de crdito, dados da conta bancria, etc.
Gabarito: letra E.
15. (FCC/2009/MPSED/Analista do Ministrio Pblico/Analista de
Sistemas) Um convite via e-mail, em nome de uma instituio
governamental, para ser intermedirio em uma transferncia internacional
de fundos de valor vultoso, em que se oferece um ganho percentual do
valor, porm se exige uma quantia antecipada para gastos com advogados,
57

entre outros (ex.: o golpe da Nigria), de acordo com o CGI.br,

classificado como:
a) spyware;
b) hoax;
c) scam;
d) backdoor;
e) spam.
Comentrios
Item A. Spyware um programa que tem por finalidade monitorar as
atividades de um sistema e enviar as informaes coletadas para terceiros. O
CGI.br (Comit Gestor da Internet no Brasil) destaca que os spywares podem
ser utilizados de forma legtima, mas, na maior parte das vezes, o seu uso
feito de maneira dissimulada, no autorizada e para fins maliciosos. Item
ERRADO.
Item B. Os hoaxes (boatos) so e-mails que possuem contedos alarmantes
ou falsos e que, geralmente, tm como remetente ou apontam como autor da
mensagem alguma instituio, empresa importante ou rgo governamental.
Por meio de uma leitura minuciosa deste tipo de e-mail, normalmente,
possvel identificar em seu contedo mensagens absurdas e muitas vezes sem
sentido. Em geral, propagam-se pela boa vontade e solidariedade de quem os
recebe. Isso ocorre, muitas vezes, porque aqueles que os recebem confiam no
remetente da mensagem; no verificam a sua procedncia; no checam a
veracidade do seu contedo. Item ERRADO.
Item C. Scam (tambm conhecido como phishing ou phishing scam) foi um
termo criado para descrever o tipo de fraude que se d por meio do envio de
mensagem no solicitada, que se passa por comunicao de uma instituio
conhecida, como um banco, rgo do governo (Receita Federal, INSS e
Ministrio do Trabalho so os mais comuns) ou site popular, e que procura
induzir o acesso a pginas fraudulentas (falsificadas), projetadas para furtar
dados pessoais e financeiros de usurios desavisados. Item CERTO.
Item D. O termo backdoor utilizado para fazer referncia a determinados
programas de computador que permitem o retorno de um invasor a um
computador comprometido, utilizando servios criados ou modificados para
este fim. Um backdoor normalmente disfarado, e chega ao computador da
vtima sem seu conhecimento por algum programa que o usurio recebeu,
geralmente por e-mail, e executou. Muitos crackers utilizam-se de um
backdoor para instalar vrus de computador ou outros programas maliciosos,
conhecidos como malware, na mquina do usurio. Item ERRADO.
58

Item E. Spam o termo usado para se referir aos e-mails no solicitados, que
geralmente so enviados para um grande nmero de pessoas. Item ERRADO.
Gabarito: letra C.
Sistemas) Consiste em um conjunto de computadores interconectados por
meio de uma rede relativamente insegura que utiliza a criptografia e
protocolos especiais para fornecer segurana. Esta uma conceituao
bsica para:
a) rede privada com comunicao criptogrfica simtrica;
b) canal privado de comunicao assimtrica;
c) canal privado de comunicao sncrona;
d) rede privada com autenticao digital;
e) rede privada virtual.
Comentrios
Uma VPN (Virtual Private Network Rede Privada Virtual) uma rede
privada (no de acesso pblico!) que usa a infraestrutura de uma rede
pblica j existente (como, por exemplo, a Internet) para transferir seus
dados (os dados devem estar criptografados para passarem despercebidos e
inacessveis pela Internet).
As VPNs so muito utilizadas para interligar filiais de uma mesma empresa, ou
fornecedores com seus clientes (em negcios eletrnicos), por meio da
estrutura fsica de uma rede pblica.
O trfego de dados levado pela rede pblica utilizando protocolos no
necessariamente seguros. VPNs seguras usam protocolos de criptografia por
tunelamento, que fornecem confidencialidade (sigilo), autenticao e
integridade necessrias para garantir a privacidade das comunicaes
requeridas. Quando adequadamente implementados, esses protocolos podem
assegurar comunicaes seguras por meio de redes inseguras.
Gabarito: letra E.
17. (FCC/2009/Oficial de Chancelaria/Adaptada) O Diretor de certo
Item Tarefa
72
Minimizar o risco de invaso de hackers nos computadores

conectados Internet.
59

Minimizar o risco de invaso mais garantido com:

a) a instalao de um firewall;
b) a execuo de um antivrus;
c) o estabelecimento de programas de orientao de segurana;
d) a gravao de arquivos criptografados;
e) a utilizao de certificao digital.
Comentrios
Item A. O firewall permite a comunicao entre redes, de acordo com a poltica
de segurana definida, e que utilizado quando h uma necessidade de que
redes com nveis de confiana variados se comuniquem entre si.
No contexto da questo, o firewall um sistema de proteo de uma rede que
controla todos os dados que entram ou saem dela e da Internet. Apenas os
sites autorizados podem enviar ou receber dados dessa rede. Assim,
aumenta-se a segurana, dificultando a ao de hackers e crackers. Item
CERTO. a resposta da questo!
Outras definies de firewall encontradas na literatura:
O firewall um conjunto de componentes colocados entre duas redes,

permitindo que alguns pacotes passem e outros no. Esse conjunto garante
que TODO o trfego de DENTRO PARA FORA da rede, e VICE-VERSA, passe
por ele.
um mecanismo de proteo que controla a passagem de pacotes entre

redes, tanto locais como externas.
um dispositivo que possui um conjunto de regras especificando que

trfego ele permitir ou negar.
Fique ligado!
Existem ameaas das quais o firewall NO PODE proteger:
uso malicioso dos servios que ele autorizado a liberar;
usurios que no passam por ele, ou seja, o firewall no verifica o fluxo

intrarredes;
falhas de seu prprio hardware e sistema operacional;
ataques de Engenharia Social uma tcnica em que o atacante (se fazendo

passar por outra pessoa) utiliza-se de meios, como uma ligao telefnica
ou e-mail, para persuadir o usurio a fornecer informaes ou realizar
determinadas aes. Exemplo: algum desconhecido liga para a sua casa e
diz ser do suporte tcnico do seu provedor de acesso. Nessa ligao, ele
informa que sua conexo com a Internet est apresentando algum
60

problema e, ento, solicita sua senha para corrigi-lo. Caso a senha seja
fornecida por voc, esse suposto tcnico poder realizar uma infinidade de
atividades maliciosas com a sua conta de acesso Internet, relacionando,
dessa maneira, tais atividades ao seu nome.
Item B. A melhor maneira de se proteger uma rede ou um computador de
vrus utilizar um bom programa antivrus e mant-lo sempre atualizado, pois
a cada dia surgem novas ameaas. A atualizao um processo realizado pelo
antivrus, pelo qual o aplicativo acessa o site da empresa que o fabricou e faz o
download dos arquivos que protegem o computador das ameaas mais
recentes. Item ERRADO.
Item C. Os programas de orientao de segurana servem para realizar a
conscientizao dos usurios quanto s boas prticas de segurana. Mas
precisamos completar tal prtica com os recursos tecnolgicos (uso de
firewalls, etc.) para que tenhamos um ambiente mais seguro contra invases.
Item ERRADO.
Item D. A criptografia a cincia e arte de escrever mensagens em forma
cifrada ou em cdigo. Portanto, cabe destacar que a principal finalidade da
criptografia , sem dvida, reescrever uma mensagem original de uma forma
que seja incompreensvel, para que ela no seja lida por pessoas no
autorizadas. E isso no suficiente para impedir a invaso de redes. Item
ERRADO.
Item E. A certificao digital no contribui para minimizar o risco de invaso.
Seu objetivo principal atribuir um nvel de maior segurana nas transaes
eletrnicas tais como Internet Banking, comrcio eletrnico (e-commerce),
dentre outros. Item ERRADO.
Gabarito: letra A.
18. (Elaborao prpria) Trata-se de um software malicioso que, ao
infectar um computador, criptografa todo ou parte do contedo do disco
rgido. Os responsveis por esse software exigem da vtima um pagamento
pelo resgate dos dados.
a) bot;
b) DoS;
c) DDoS;
d) pharming;
e) ransomware.
61

Comentrios
Item A. Bot: rob. um worm que dispe de mecanismos de comunicao
com o invasor, permitindo que seja controlado remotamente. Os bots esperam
por comandos de um hacker, podendo manipular os sistemas infectados, sem
o conhecimento do usurio. Nesse ponto, cabe destacar um termo que j foi
cobrado vrias vezes em prova!! Trata-se do significado do termo botnet,
juno da contrao das palavras robot (bot) e network (net). Uma rede
infectada por bots denominada de botnet (tambm conhecida como rede
zumbi), sendo composta geralmente por milhares desses elementos maliciosos
que ficam residentes nas mquinas, aguardando o comando de um invasor.
Um invasor que tenha controle sobre uma botnet pode utiliz-la para aumentar
a potncia de seus ataques, por exemplo, para enviar centenas de milhares de
e-mails de phishing ou spam, desferir ataques de negao de servio, etc.
Item ERRADO.
Item B. DoS (Denial of Service Negao de Servio): a forma mais
conhecida de ataque, que consiste na perturbao de um servio. O atacante
utiliza um computador, a partir do qual ele envia vrios pacotes ou requisies
de servio de uma vez, para tirar de operao um servio ou computador (es)
conectado(s) Internet, causando prejuzos. Para provocar um DoS, os
atacantes disseminam vrus, gerando grandes volumes de trfego de forma
artificial, ou muitos pedidos aos servidores, que causam sobrecarga e estes
ltimos ficam impedidos de processar os pedidos normais. Item ERRADO.
Item C. DDoS (Distributed Denial of Service Negao de Servio
Distribudo): um ataque DoS ampliado, ou seja, que utiliza at milhares de
computadores para tirar de operao um ou mais servios ou computadores
conectados Internet. Normalmente, procuram ocupar toda a banda
disponvel para o acesso a um computador ou rede, causando grande lentido
ou at mesmo indisponibilizando qualquer comunicao com este computador
ou rede. Item ERRADO.
Item D. Pharming (DNS Cache Poisoning Envenenamento de Cache
DNS): um ataque que consiste basicamente em modificar a relao entre o
nome de um site ou computador e seu endereo IP correspondente. Neste
ataque, um servidor de nomes (servidor DNS) comprometido, de tal forma
que as requisies de acesso a um site feitas pelos usurios desse servidor
sejam redirecionadas a outro endereo. Um ataque pharming tambm pode
alterar o arquivo hosts localizado no computador do usurio , manipulando
os endereos IPs correspondentes s suas devidas URLs.
Ex.: Ao atacar um servidor DNS, o IP do site www.teste.com.br poderia ser
mudado de 65.150.162.57 para 209.86.194.103, enviando o usurio para a
pgina relacionada ao IP incorreto. Item ERRADO.
62

Item E. Ransomwares so ferramentas para crimes de

extremamente ilegais. O ransomware funciona da seguinte forma:
extorso
ele procura por diversos tipos de arquivos no HD (disco rgido) do

computador atacado e os comprime em um arquivo protegido por senha;
a partir da, a vtima pressionada a depositar quantias em contas do tipo

e-gold (contas virtuais que utilizam uma unidade monetria especfica e que
podem ser abertas por qualquer um na rede sem grandes complicaes);
uma vez pagos, os criminosos fornecem a senha necessria para que os

dados voltem a ser acessados pela vtima.
Item CERTO. Eis a resposta da questo!

Gabarito: letra E.
Sistemas) um programa capaz de se propagar automaticamente,
explorando vulnerabilidades existentes ou falhas na configurao de
softwares instalados em um computador. Dispe de mecanismos de
comunicao com o invasor, permitindo ser controlado remotamente. Tais
so as caractersticas do:
a) adware
b) patch
c) opt-out
d) bot
e) log
Comentrios
Ameaa algo que pode provocar danos segurana da informao,
prejudicar as aes da empresa e sua sustentao no negcio, mediante a
explorao de uma determinada vulnerabilidade (brecha de segurana!). Nesse
contexto, a questo destaca um tipo de ameaa que se enquadra na categoria
dos malwares.
Mas o que significa malware, que j foi cobrado vrias vezes em provas? O
termo proveniente de malicious software, software designado a se infiltrar
em um sistema de computador alheio de forma ilcita com o intuito de causar
algum dano ou roubo de informaes. Tambm pode ser considerado malware
uma aplicao legal que, por uma falha de programao (intencional ou no),
execute funes que se enquadrem na definio.
Resumindo, malwares so programas que executam deliberadamente
aes mal-intencionadas em um computador!
63

Vamos aos comentrios de cada item da questo!

Item A. O termo adware (advertising software) um software projetado
para exibir anncios de propaganda em seu computador. Nem sempre so
maliciosos! Um adware malicioso pode abrir uma janela do navegador
apontando para pginas de cassinos, vendas de remdios, pginas
pornogrficas, etc. Item ERRADO.
Item B. O termo patch utilizado para designar uma atualizao de
segurana, que pode vir a ser instalada em seu computador. Item ERRADO.
Item C. O termo opt-out est relacionado s regras referentes ao envio, por
correio electrnico, de mensagens informativas associadas a campanhas de
marketing, sem que os destinatrios particulares as tenham solicitado. Item
ERRADO.
Item D. Os bots so cdigos maliciosos destinados a explorar falhas em
sistemas, possuindo mecanismos para controle remoto da mquina infectada.
Item CERTO.
Item E. O termo log usado para definir um procedimento atravs do qual
feito um registro de eventos relevantes que foram executados por um usurio
de determinado sistema computacional. Dessa forma, um arquivo de log
permite que sejam reveladas as aes que foram executadas pelo usurio,
viabilizando a identificao e correo rpidas de falhas que porventura foram
identificadas! Item ERRADO.
Gabarito: letra D.
20. (FCC/2008/TCE-SP/Adaptada) Em relao a Certificado Digital,
correto afirmar que: [os certificados servem para garantir a segurana dos
dados enviados via upload].
Comentrios
A afirmativa est ERRADA. Quanto aos objetivos do certificado digital,
podemos destacar:
vincular uma chave pblica a um titular (esse o objetivo principal!);
transferir credibilidade, que hoje baseada em papel e conhecimento,
para o ambiente eletrnico;
assinar digitalmente um documento eletrnico, atribuindo validade
jurdica a ele.
64


correto afirmar que:
so plugins que definem a qualidade criptogrfica das informaes que
trafegam na WWW.
Comentrios
A afirmativa est errada. O plug-in um software que adiciona recursos
computacionais a um cliente ou browser da WWW. A maioria dos plug-ins est
disponvel gratuitamente na prpria Internet. necessrio, por exemplo, que o
usurio instale um plug-in para poder visualizar videoclipes em MPG (ou
MPEG).
22. (FCC/2008/ICMS-SP) Um cdigo anexado ou logicamente associado a
uma mensagem eletrnica que permite, de forma nica e exclusiva, a
comprovao da autoria de um determinado conjunto de dados :
a) uma autoridade certificadora;
b) uma trilha de auditoria;
c) uma chave simtrica;
d) uma assinatura digital;
e) um certificado digital.
Comentrios
O que garante a comprovao da autoria de um determinado conjunto de
dados a assinatura digital. O certificado digital usado para assinar!
Gabarito: letra D.
23.
(FCC/2008/TCE-SP) Secure Sockets Layer trata-se de
a) qualquer tecnologia utilizada para proteger os interesses de proprietrios

de contedo e servios;
b) um elemento de segurana que controla todas as comunicaes que
passam de uma rede para outra e, em funo do que sejam, permite ou
denega a continuidade da transmisso;
c) uma tcnica usada para garantir que algum, ao realizar uma ao em
um computador, no possa falsamente negar que realizou aquela ao;
d) uma tcnica usada para examinar se a comunicao est entrando ou
saindo e, dependendo da sua direo, permiti-la ou no;
e) um protocolo que fornece comunicao segura de dados atravs de
criptografia do dado.
65

Comentrios
O SSL (Secure Sockets Layer Camada de conexes seguras) um protocolo
de criptografia que pode ser utilizado para prover segurana na comunicao
de qualquer aplicao baseada em TCP. O SSL est posicionado entre a
camada de transporte e a camada de aplicao da pilha TCP/IP e funciona
provendo servios de autenticao do servidor, comunicao secreta e
integridade dos dados.
Cabe destacar que o HTTPS (HTTP Seguro) usado para realizar o acesso a
sites (como de bancos on-line e de compras) com transferncia criptografada
de dados. O HTTPS nada mais do que a juno dos protocolos HTTP e SSL
(HTTP over SSL). O HTTPS geralmente utiliza a porta TCP 443, em vez da
porta 80 utilizada pelo protocolo HTTP. A resposta questo , como j visto,
a letra E!
Gabarito: letra E.
Instrues: Para responder questo seguinte, considere as informaes
abaixo:
OBJETIVO:
O Ministrio Pblico do Governo Federal de um pas deseja modernizar seu
ambiente tecnolgico de informtica. Para tanto, adquirir equipamentos de
computao eletrnica avanados e redefinir seus sistemas de computao a
fim de agilizar seus processos internos e tambm melhorar seu relacionamento
com a sociedade.
REQUISITOS PARA ATENDER AO OBJETIVO:
1 - O ambiente de rede de computadores, para troca de informaes
exclusivamente internas do Ministrio, dever usar a mesma tecnologia da
rede mundial de computadores.
2 - O acesso a determinadas informaes somente poder ser feito por
pessoas autorizadas.
3 - Os funcionrios podero se comunicar atravs de um servio de
conversao eletrnica em modo instantneo (tempo real).
4 - A comunicao eletrnica tambm poder ser feita via internet no modo
no instantneo
5 - Para garantir a recuperao em caso de sinistro, as informaes devero
ser copiadas em mdias digitais e guardadas em locais seguros.
66

24. (FCC/2007/MPU/Tcnico-rea Administrativa/Q.22) Os 2 e 5

especificam correta e respectivamente requisitos de uso de
(A) antivrus e backup.
(B) firewall e digitalizao.
(C) antivrus e firewall.
(D) senha e backup.
(E) senha e antivrus.
Comentrios
Vamos aos comentrios dos itens:
Item A. Software antivrus um aplicativo utilizado para detectar, anular e
eliminar vrus e outros tipos de cdigos maliciosos de um computador. Item
FALSO.
Item B. O firewall um dos principais dispositivos de segurana em uma rede
de computadores. Ele realiza a filtragem dos pacotes e, ento, bloqueia as
transmisses no permitidas. Tem como objetivo evitar que ameaas
provenientes da Internet se espalhem na rede interna de um determinado
ambiente.
O firewall pode atuar entre a rede externa e interna, controlando o trfego de
informaes que existem entre elas, procurando se certificar de que este
trfego confivel, de acordo com a poltica de segurana do site acessado.
Tambm pode ser utilizado para atuar entre redes com necessidades de
segurana distintas.
Digitalizao o processo de converso de um dado analgico para um
formato de representao digital. Item FALSO.
Item C. Antivrus e firewall, conforme visto, no esto relacionados aos itens
dos 2 e 5. Item FALSO.
Item D. Os itens senha e backup enquadram-se perfeitamente na definio dos
pargrafos 2 e 5.
O 2 destaca que o acesso a determinadas informaes somente poder ser
feito por pessoas autorizadas.
67

Nesse caso, para realizar o acesso a pessoas autorizadas em aplicaes

necessrio implementar controle de acesso lgico atravs de usurio e senha.
O 5 destaca que para garantir a recuperao em caso de sinistro, as
informaes devero ser copiadas em mdias digitais e guardadas em locais
seguros.
Esse pargrafo est relacionado ao processo de backup que consiste na
realizao de cpia de segurana de dados, com o objetivo de permitir que
dados originais sejam restaurados em caso da perda de sinistros.
Item E. Conforme visto no item A, o antivrus no corresponde ao que deveria
ser especificado no 5. Item FALSO.
Gabarito: letra D.
25.
(FCC/2007/Cmara dos Deputados) Um certificado digital :
I Um arquivo eletrnico que contm a identificao de uma pessoa ou

instituio.
II Equivalente ao RG ou CPF de uma pessoa.
III O mesmo que uma assinatura digital.
Est correto o que consta em:
a) I apenas;
b) III apenas;
c) I e II apenas;
d) I e III apenas;
e) I, II e III.
Comentrios
Item I. Um certificado digital um documento eletrnico que identifica
pessoas (fsicas ou jurdicas), URLs, contas de usurio, servidores
(computadores), entre outras entidades. Esse documento, na verdade,
uma estrutura de dados que contm a chave pblica do seu titular e outras
informaes de interesse. Item CERTO.
Item II. O certificado digital contm informaes relevantes para a
identificao real da entidade que visam certificar (CPF, CNPJ, endereo,
nome, etc.) e informaes relevantes para a aplicao a que se destinam. Item
CERTO.
Item III. O certificado digital no o mesmo que assinatura digital! Com o uso
de um certificado digital pode-se assinar uma mensagem. A assinatura digital
um processo matemtico para atestar a autenticidade de informaes
digitais, como uma mensagem de e-mail ou um arquivo, por exemplo. A
68

assinatura digital utiliza-se de chaves pblicas e privadas, tambm, assim

como a criptografia assimtrica, mas as usa de forma invertida (o remetente
usa sua chave privada para assinar a mensagem e, no outro lado, o
destinatrio usa a chave pblica do remetente para conferir a assinatura).
Item ERRADO.
Como esto certos apenas os itens I e II, a resposta est na alternativa C.
Gabarito: letra C.
26. (FCC/2006/TRT-SP/ANALISTA JUDICIRIO-Adaptada) So termos
respectiva e intrinsecamente associados tipologia conhecida de malware,
servio de Internet e mensagens enviadas em massa por meio de correio
eletrnico:
(A) Telnet, chat e host.
(B) Spyware, Cavalo de Troia e hoax.
(C) Shareware, FTP e spam.
(D) Cavalo de Troia, chat e spam.
(E) Middleware, FTP e hoax.
Comentrios
Malwares so programas que manifestam comportamento ilegal, viral,
fraudulento ou mal-intencionado.
Dentre os tipos de malware podemos
destacar os vrus, worms (vermes), cavalos de troia, etc.
O cavalo de troia um programa aparentemente inofensivo que, quando
executado (com a sua autorizao!), parece lhe divertir, mas, por trs abre
portas de comunicao do seu computador para que ele possa ser invadido.
Algumas das funes maliciosas que podem ser executadas por um cavalo de
troia so: furto de senhas e outras informaes sensveis, como nmeros de
cartes de crdito; incluso de backdoors, para permitir que um atacante
tenha total controle sobre o computador; alterao ou destruio de arquivos;
etc.
O chat (bate-papo) um dos principais servios (operaes que podemos
realizar) na Internet.
E, por fim, o spam um tipo de mensagem recebida pelo usurio sem que ele
tenha solicitado, que enviada em massa por meio do correio eletrnico.
Gabarito: letra D.
69

27. (FCC/2003/TRF-5. Regio/Analista de Informtica) Os algoritmos

de criptografia assimtricos utilizam:
a) uma mesma chave privada, tanto para cifrar quanto para decifrar;
b) duas chaves privadas diferentes, sendo uma para cifrar e outra para
decifrar;
c) duas chaves pblicas diferentes, sendo uma para cifrar e outra para
decifrar;
d) duas chaves, sendo uma privada para cifrar e outra pblica para decifrar;
e) duas chaves, sendo uma pblica para cifrar e outra privada para decifrar.
Comentrios
Algoritmos de criptografia assimtricos (criptografia de chave pblica)
utilizam chaves criptogrficas diferentes, uma pblica e outra privada. A
pblica a chave que o remetente utiliza para cifrar a mensagem. A privada
a chave que o destinatrio usa para decifrar (decriptografar) a mensagem.
bom lembrar que as duas chaves so do destinatrio da mensagem! A chave
pblica deve ser disponibilizada para quem quiser criptografar as mensagens
destinadas a ele.
Gabarito: letra E.
28. (FCC/2003/TRF 5 REGIO/TCNICO DE INFORMTICA) Um
mecanismo muito usado para aumentar a segurana de redes de
computadores ligadas Internet
(A) o firewall.
(B) a criptografia.
(C) a autenticao.
(D) a assinatura digital.
(E) o controle de acesso.
Comentrios
Essa pode ser uma questo de resoluo complexa para quem no se
preparou, afinal, todas as alternativas trazem conceitos relacionados
segurana. Entretanto, podemos facilmente separar as coisas. Em primeiro
lugar, o enunciado fala em segurana de redes de computadores. E mais: fala
que os computadores esto ligados internet. Pois bem. Criptografia,
autenticao e assinatura digital so conceitos relacionados segurana, mas
que no esto necessariamente relacionados a redes de computadores e
internet. Quer dizer, so tecnologias que tambm tm uso em dispositivos no
conectados em rede.
70

De forma semelhante, o controle de acesso tambm uma medida de

segurana que no tem relao direta com redes de computadores ou internet.
O controle de acesso, seja fsico ou lgico, uma medida que deve ser tomada
em qualquer instncia, como, por exemplo, para acessar o sistema operacional
de nosso PC domstico.
A resposta correta firewall, visto que se trata de uma ferramenta
especificamente desenvolvida para agregar segurana a redes de
computadores, especialmente os ligados internet.
Gabarito: letra A.
29.
(FCC/2004/TRT 8. REGIO/TCNICO ADMINISTRATIVO)
Um ....... efetivamente coloca uma barreira entre a rede corporativa e o lado

externo, protegendo o permetro e repelindo hackers. Ele age como um nico
ponto de entrada, atravs do qual todo o trfego que chega pela rede pode ser
auditado, autorizado e autenticado.
Completa corretamente a lacuna acima:
(A) firewall.
(B) antivrus.
(C) servidor Web.
(D) servidor de aplicativos.
(E) browser.
Comentrios
Uma barreira entre a rede corporativa (ou domstica, tanta faz) e o lado
externo um Firewall. Importante notar, como exposto no enunciado, que um
Firewall deve ser o nico ponto de entrada do computador, condio sem a
qual ele no poderia ser eficaz.
Percebam que a FCC utilizou o termo hacker como sinnimo de cracker, que
o hacker que usa seus conhecimentos para atos ilcitos. Como vimos no incio
da aula, os examinadores nem sempre fazem essa diferenciao.
A nica alternativa que poderia confundir os mais desavisados a que traz
antivrus. Basta nos lembrarmos de que antivrus no tem relao necessria
com redes de computadores. Antivrus, por exemplo, protegem nossos
computadores de vrus que estejam escondidos em disquetes ou CDs, coisa
que o Firewall no faz.
Cabe notar que muitos dos softwares antivrus atuais trazem Firewalls
integrados. Contudo, as duas aplicaes no se confundem, pois cada qual
desempenha suas tarefas especficas.
Gabarito: letra A.
71

30. (FCC/2004/TRT 8.
ferramentas antivrus
REGIO/TCNICO
ADMINISTRATIVO)
As
(A) so recomendadas apenas para redes com mais de 100 estaes.

(B) dependem de um firewall para funcionarem.
(C) podem ser utilizadas independente do uso de um firewall.
(D) e um firewall significam a mesma coisa e tm as mesmas funes.
(E) devem ser instaladas somente nos servidores de rede e no nas
estaes de trabalho.
Comentrios
Cabe destacar que softwares antivrus e firewalls no se confudem, apesar de
muitas vezes virem integrados em uma s ferramenta.
Vejamos as alternativas:
Item A. Antivrus so recomendados at mesmo para um micro isolado! Se
fosse assim, os antivrus no precisavam existir antes da exploso da Internet.
Entretanto, sabemos que os vrus j se espalhavam, principalmente por meio
dos disquetes, muito antes da Internet se tornar popular. Item ERRADO.
Item B. Antivrus no dependem de firewall para funcionarem. Item ERRADO.
Item C. Os mais atentos j notaram que as alternativas B e C so opostas e,
portanto, excludentes. Assim, ou uma delas seria a resposta da questo ou a
questo estaria viciada e passvel de recurso. Como antivrus podem ser
utilizadas independente do uso de um firewall, essa a alternativa CORRETA.
Item D. Antivrus e Firewall no so a mesma coisa. Item ERRADO.
Item E. Antivrus devem estar instalados em todos os computadores, ou seja,
nos servidores e nas estaes de trabalho. Item ERRADO.
Gabarito: letra C.
31. (FCC/2004/TRT 8. Regio/Tcnico Administrativo) Uma Intranet
utiliza a mesma tecnologia ....I.... e viabiliza a comunicao interna e
restrita entre os computadores de uma empresa ou rgo que estejam
ligados na rede. Na Intranet, portanto, ....II.... e o acesso s pginas
.....III.... .
72

Preenche corretamente as lacunas I, II e III acima:
Comentrios
Essa questo necessita de noes de rede, internet e segurana. Vimos que o
que caracteriza uma intranet a utilizao das tecnologias usadas pela
internet, porm em um ambiente restrito. Ficamos ento com as alternativas A
e D.
Numa intranet, intruses e vrus so possveis, afinal, para ser infectado por
um vrus, basta um inocente disquete contaminado.
Minha ressalva para essa questo fica para o trecho que define um browser
como um interpretador de comandos. Nunca vi uma definio to ruim de um
navegador web. De qualquer forma, na falta de uma alternativa melhor,
ficamos com a A mesmo.
Gabarito: letra A.
32. (FCC/2005/TRT 13 regio/Analista de Sistemas) Uma combinao
de hardware e software que fornece um sistema de segurana, geralmente
para impedir acesso externo no autorizado a uma rede interna ou intranet.
Impede a comunicao direta entre a rede e os computadores externos ao
rotear as comunicaes atravs de um servidor proxy fora da rede. Esta a
funo de
73

(A) sistema criptogrfico.

(B) hub.
(C) antivirus.
(D) bridge.
(E) firewall.
Comentrios
Mais uma questo da FCC trazendo, bem ou mal, a definio de um firewall.
Hub e bridge so equipamentos de hardware utilizados em redes de
computadores, no tm funes de segurana. Sistema criptogrfico no tem
relao direta com redes, intranet e internet.
Restam-nos os velhos conhecidos antivrus e Firewall, que j estamos craques
em diferenciar.
Gabarito: letra E.
33. (FCC/2003/TRF 5. REGIO/TCNICO DE INFORMTICA) Pessoa
que quebra intencional e ilegalmente a segurana de sistemas de
computador ou o esquema de registro de software comercial denomina-se
(A) hacking.
(B) hacker.
(C) cracking.
(D) cracker.
(E) finger.
Comentrios
Infelizmente a distino entre hacker e cracker nem sempre estabelecida nas
questes de concurso. Essa questo, provavelmente por ser direcionada a
cargo da rea de informtica, explorou justamente essa diferena. No caso,
refere-se a um cracker, pessoa que quebra intencional e ilegalmente a
segurana de sistemas de computador.
Gabarito: letra D.
74

Consideraes Finais
Por hoje ficamos por aqui.
Espero que esse material, feito com todo o carinho, ajude-o a entender melhor
o funcionamento das ameaas virtuais e principais medidas de segurana que
devem ser adotadas para se proteger dessas ameaas, e o ajude a acertar as
questes de segurana da sua prova!
Fiquem com Deus, e at a nossa prxima aula aqui no Ponto!!
Um grande abrao,
Bibliografia
QUINTO, PATRCIA LIMA. Notas de aula, 2011.
QUINTO, PATRCIA LIMA. Informtica-FCC-Questes Comentadas e
Organizadas por Assunto, 2. Edio. Ed. Gen/Mtodo, 2012.Novo!
CERTBR. Disponvel em: <http://cartilha.cert.br/ >.2006. Acesso em: jan.
2012.
CHESWICK, W. R., BELLOVIN, S. M. e RUBIN, A. D. Firewalls e Segurana
na Internet: repelindo o hacker ardiloso. Ed. Bookman, 2 Ed., 2005.
GUIMARES, A. G., LINS, R. D. e OLIVEIRA, R. Segurana com Redes
Privadas Virtuais (VPNs). Ed. Brasport, Rio de Janeiro, 2006.
IMONIANA, J. o. Auditoria de Sistemas de Informaes.
Infowester. Disponvel em: http://www.infowester.com.br.
INFOGUERRA. Vrus de celular chega por mensagem multimdia. 2005.
Disponvel
em:
http://informatica.terra.com.br/interna/0,,OI484399EI559,00.html. Acesso em: dez. 2011.
75

Lista de Questes Apresentadas na Aula

1. (FCC/2012/TRT-11.Regio/Provas de Analista Judicirio e Tcnico
Judicirio) Quando o cliente de um banco acessa sua conta corrente
atravs da internet, comum que tenha que digitar a senha em um teclado
virtual, cujas teclas mudam de lugar a cada caractere fornecido. Esse
procedimento de segurana visa evitar ataques de
(A) spywares e adwares.
(B) keyloggers e adwares.
(C) screenloggers e adwares.
(D) phishing e pharming.
(E) keyloggers e screenloggers.
2. (FCC/2011/TRE-TO/Analista Judicirio Judiciria) Uma das formas
de proteger o sigilo da informao que trafega na Internet :
a) no fazer os downloads em notebooks.
b) no responder e-mails que chegam "com cpia oculta".
c) mandar e-mails somente a pessoas da lista pessoal.
d) no usar a opo "com cpia para" do correio eletrnico.
e) a criptografia
3. (FCC/2011/TRF - 1. Regio/Tcnico Judicirio Segurana e
Transporte) Considerando o recebimento de um arquivo executvel de
fonte desconhecida, no correio eletrnico, a atitude mais adequada diante
deste fato
a) no execut-lo;
b) baix-lo no seu desktop e execut-lo localmente, somente;
c) repass-lo para sua lista de endereos solicitando aos mais experientes
que o executem;
d) execut-lo diretamente, sem baix-lo no seu desktop;
e)
execut-lo de qualquer
administrador de sua rede.
forma,
porm
4. (FCC/2010/DNOCS/ADMINISTRADOR/
Prestam-se a cpias de segurana (backup)
comunicar
PROVA
fato
A01-001-Q.
ao
58)
(A) quaisquer um destes: DVD; CD-ROM; disco rgido externo ou cpia

externa, quando os dados so enviados para um provedor de servios via
internet.
76

(B) apenas estes: CD-ROM; disco rgido e cpia externa, quando os dados
so enviados para um provedor de servios via internet.
(C) apenas estes: DVD, CD-ROM e disco rgido externo.
(D) apenas estes: CD-ROM e disco rgido externo.
(E) apenas estes: DVD e CD-ROM.
5. (FCC/2009/Oficial de Chancelaria/Adaptada) O Diretor de um certo
Item
Tarefa
Garantir que a maior parte dos dados gravados

computadores no seja perdida em caso de sinistro.
nos
Tal garantia possvel se forem feitas cpias dos dados:

a) aps cada atualizao, em mdias removveis mantidas nos prprios
computadores;
b) em arquivos distintos nos respectivos hard disks, desde que estes
dispositivos sejam desligados aps o expediente;
c) em arquivos distintos nos respectivos hard disks, desde que estes
dispositivos permaneam ligados ininterruptamente;
d) aps cada atualizao, em mdias removveis mantidas em local distinto
daquele dos computadores;
e) da poltica de segurana fsica.
6. (FCC/2009/TJ-PI/Analista Judicirio/Adaptada)
Instruo:
Para
Item Tarefa
VII
Proceder, diariamente, cpia de segurana dos dados em

fitas digitais regravveis (algumas comportam at 72 GB de
capacidade) em mdias alternadas para manter a segurana e
economizar material.
No item VII recomendado o uso de mdias conhecidas por:

a) FAT32;
b) FAT;
c) NTSF;
77

d) DAT;
e) DVD+RW.
7. (FCC/2004/TRT 8. REGIO/TCNICO ADMINISTRATIVO) Para evitar
a perda irrecupervel das informaes gravadas em um computador e
proteg-las contra acesso no autorizado, necessrio que se adote,
respectivamente, as medidas inerentes s operaes de
(A) backup dos arquivos do sistema operacional e configurao de criptografia.
(B) checkup dos arquivos do sistema operacional e inicializao da rede
executiva.
(C) criptografia de dados e inicializao da rede privativa.
(D) backup de arquivos e uso de senha privativa.
(E) uso de senha privativa e backup dos arquivos do sistema operacional.
computador pode ser feita por meio da restaurao do sistema.
computador pode ser feita por meio das atualizaes automticas.
computador pode ser feita por meio do gerenciador de dispositivos.
Item Tarefa
V
Ao enviar informaes sigilosas via mensagem eletrnica

deve-se utilizar de um sistema que faa a codificao (chave,
cifra), de modo que somente as mquinas que conhecem o
cdigo consigam decifr-lo.
O cuidado solicitado em V aplica o conceito de:

a) criptografia;
b) assinatura digital;
78

c) digitalizao;
d) desfragmentao;
e) modulao/demodulao.
12. (FCC/2010-04/BAHIA
GS/
Analista
de
Processos
Organizacionais Administrao ou Cincias Econmicas/Q. 27/D04G1) Uma assinatura digital um recurso de segurana cujo objetivo
(A) identificar um usurio apenas por meio de uma senha.
(B) identificar um usurio por meio de uma senha, associada a um token.
(C) garantir a autenticidade de um documento.
(D) criptografar um documento assinado eletronicamente.
(E) ser a verso eletrnica de uma cdula de identidade.
13. (FCC/2010/GOVBA/AGENTE PENITENCIRIO/UNI-001-Q. 21)
Considere os seguintes motivos que levaram diversas instituies
financeiras a utilizar teclados virtuais nas pginas da Internet:
I. facilitar a insero dos dados das senhas apenas com o uso do mouse.
II. a existncia de programas capazes de capturar e armazenar as teclas
digitadas pelo usurio no teclado de um computador.
III. possibilitar a ampliao dos dados do teclado para o uso de deficientes
visuais.
Est correto o que se afirma em
(A) I, apenas.
(B) II, apenas.
(C) III, apenas.
(D) II e III, apenas.
(E) I, II e III.
Item Recomendao
IV
Evitar a abertura de mensagens eletrnicas no solicitadas,

provenientes de instituies bancrias ou empresas, que
possam induzir o acesso a pginas fraudulentas na Internet,
com vistas a roubar senhas e outras informaes pessoais
valiosas registradas no computador.
79

A recomendao em IV para evitar um tipo de fraude conhecido por:

a) chat
b) cracker
c) spam
d) hacker
e) phishing scam
Sistemas) Um convite via e-mail, em nome de uma instituio
governamental, para ser intermedirio em uma transferncia internacional
de fundos de valor vultoso, em que se oferece um ganho percentual do
valor, porm se exige uma quantia antecipada para gastos com advogados,
entre outros (ex.: o golpe da Nigria), de acordo com o CGI.br,
classificado como:
a) spyware;
b) hoax;
c) scam;
d) backdoor;
e) spam.
Sistemas) Consiste em um conjunto de computadores interconectados por
meio de uma rede relativamente insegura que utiliza a criptografia e
protocolos especiais para fornecer segurana. Esta uma conceituao
bsica para:
a) rede privada com comunicao criptogrfica simtrica;
b) canal privado de comunicao assimtrica;
c) canal privado de comunicao sncrona;
d) rede privada com autenticao digital;
e) rede privada virtual.
17. (FCC/2009/Oficial de Chancelaria/Adaptada) O Diretor de certo
Item Tarefa
72
Minimizar o risco de invaso de hackers nos computadores

conectados Internet.
80

Minimizar o risco de invaso mais garantido com:

a) a instalao de um firewall;
b) a execuo de um antivrus;
c) o estabelecimento de programas de orientao de segurana;
d) a gravao de arquivos criptografados;
e) a utilizao de certificao digital.
18. (Elaborao prpria) Trata-se de um software malicioso que, ao
infectar um computador, criptografa todo ou parte do contedo do disco
rgido. Os responsveis por esse software exigem da vtima um pagamento
pelo resgate dos dados.
a) bot;
b) DoS;
c) DDoS;
d) pharming;
e) ransomware.
Sistemas) um programa capaz de se propagar automaticamente,
explorando vulnerabilidades existentes ou falhas na configurao de
softwares instalados em um computador. Dispe de mecanismos de
comunicao com o invasor, permitindo ser controlado remotamente. Tais
so as caractersticas do:
a) adware
b) patch
c) opt-out
d) bot
e) log
correto afirmar que: [os certificados servem para garantir a segurana dos
dados enviados via upload].
correto afirmar que:
so plugins que definem a qualidade criptogrfica das informaes que
trafegam na WWW.
81

22. (FCC/2008/ICMS-SP) Um cdigo anexado ou logicamente associado a

uma mensagem eletrnica que permite, de forma nica e exclusiva, a
comprovao da autoria de um determinado conjunto de dados :
a) uma autoridade certificadora;
b) uma trilha de auditoria;
c) uma chave simtrica;
d) uma assinatura digital;
e) um certificado digital.
23.
(FCC/2008/TCE-SP) Secure Sockets Layer trata-se de
a) qualquer tecnologia utilizada para proteger os interesses de proprietrios

de contedo e servios;
b) um elemento de segurana que controla todas as comunicaes que
passam de uma rede para outra e, em funo do que sejam, permite ou
denega a continuidade da transmisso;
c) uma tcnica usada para garantir que algum, ao realizar uma ao em
um computador, no possa falsamente negar que realizou aquela ao;
d) uma tcnica usada para examinar se a comunicao est entrando ou
saindo e, dependendo da sua direo, permiti-la ou no;
e) um protocolo que fornece comunicao segura de dados atravs de
criptografia do dado.
Instrues: Para responder questo seguinte, considere as informaes

abaixo:
OBJETIVO:
O Ministrio Pblico do Governo Federal de um pas deseja modernizar seu
ambiente tecnolgico de informtica. Para tanto, adquirir equipamentos de
computao eletrnica avanados e redefinir seus sistemas de computao a
fim de agilizar seus processos internos e tambm melhorar seu relacionamento
com a sociedade.
REQUISITOS PARA ATENDER AO OBJETIVO:
82

1 - O ambiente de rede de computadores, para troca de informaes

exclusivamente internas do Ministrio, dever usar a mesma tecnologia da
rede mundial de computadores.
2 - O acesso a determinadas informaes somente poder ser feito por
pessoas autorizadas.
3 - Os funcionrios podero se comunicar atravs de um servio de
conversao eletrnica em modo instantneo (tempo real).
4 - A comunicao eletrnica tambm poder ser feita via internet no modo
no instantneo
5 - Para garantir a recuperao em caso de sinistro, as informaes devero
ser copiadas em mdias digitais e guardadas em locais seguros.
24. (FCC/2007/MPU/Tcnico-rea Administrativa/Q.22) Os 2 e 5
especificam correta e respectivamente requisitos de uso de
(A) antivrus e backup.
(B) firewall e digitalizao.
(C) antivrus e firewall.
(D) senha e backup.
(E) senha e antivrus.
25.
(FCC/2007/Cmara dos Deputados) Um certificado digital :
I Um arquivo eletrnico que contm a identificao de uma pessoa ou

instituio.
II Equivalente ao RG ou CPF de uma pessoa.
III O mesmo que uma assinatura digital.
Est correto o que consta em:
a) I apenas;
b) III apenas;
c) I e II apenas;
d) I e III apenas;
e) I, II e III.
83

26. (FCC/2006/TRT-SP/ANALISTA JUDICIRIO-Adaptada) So termos

respectiva e intrinsecamente associados tipologia conhecida de malware,
servio de Internet e mensagens enviadas em massa por meio de correio
eletrnico:
(A) Telnet, chat e host.
(B) Spyware, Cavalo de Troia e hoax.
(C) Shareware, FTP e spam.
(D) Cavalo de Troia, chat e spam.
(E) Middleware, FTP e hoax.
27. (FCC/2003/TRF-5. Regio/Analista de Informtica) Os algoritmos
de criptografia assimtricos utilizam:
a) uma mesma chave privada, tanto para cifrar quanto para decifrar;
b) duas chaves privadas diferentes, sendo uma para cifrar e outra para
decifrar;
c) duas chaves pblicas diferentes, sendo uma para cifrar e outra para
decifrar;
d) duas chaves, sendo uma privada para cifrar e outra pblica para decifrar;
e) duas chaves, sendo uma pblica para cifrar e outra privada para decifrar.
28. (FCC/2003/TRF 5 REGIO/TCNICO DE INFORMTICA) Um
mecanismo muito usado para aumentar a segurana de redes de
computadores ligadas Internet
(A) o firewall.
(B) a criptografia.
(C) a autenticao.
(D) a assinatura digital.
(E) o controle de acesso.
29.
(FCC/2004/TRT 8. REGIO/TCNICO ADMINISTRATIVO)
Um ....... efetivamente coloca uma barreira entre a rede corporativa e o lado

externo, protegendo o permetro e repelindo hackers. Ele age como um nico
ponto de entrada, atravs do qual todo o trfego que chega pela rede pode ser
auditado, autorizado e autenticado.
Completa corretamente a lacuna acima:
(A) firewall.
(B) antivrus.
84

(C) servidor Web.

(D) servidor de aplicativos.
(E) browser.
30. (FCC/2004/TRT 8.
ferramentas antivrus
REGIO/TCNICO
ADMINISTRATIVO)
As
(A) so recomendadas apenas para redes com mais de 100 estaes.

(B) dependem de um firewall para funcionarem.
(C) podem ser utilizadas independente do uso de um firewall.
(D) e um firewall significam a mesma coisa e tm as mesmas funes.
(E) devem ser instaladas somente nos servidores de rede e no nas
estaes de trabalho.
31. (FCC/2004/TRT 8. Regio/Tcnico Administrativo) Uma Intranet
utiliza a mesma tecnologia ....I.... e viabiliza a comunicao interna e
restrita entre os computadores de uma empresa ou rgo que estejam
ligados na rede. Na Intranet, portanto, ....II.... e o acesso s pginas
.....III.... .
Preenche corretamente as lacunas I, II e III acima:
85

32. (FCC/2005/TRT 13 regio/Analista de Sistemas) Uma combinao

de hardware e software que fornece um sistema de segurana, geralmente
para impedir acesso externo no autorizado a uma rede interna ou intranet.
Impede a comunicao direta entre a rede e os computadores externos ao
rotear as comunicaes atravs de um servidor proxy fora da rede. Esta a
funo de
(A) sistema criptogrfico.
(B) hub.
(C) antivirus.
(D) bridge.
(E) firewall.
33. (FCC/2003/TRF 5. REGIO/TCNICO DE INFORMTICA) Pessoa
que quebra intencional e ilegalmente a segurana de sistemas de
computador ou o esquema de registro de software comercial denomina-se
(A) hacking.
(B) hacker.
(C) cracking.
(D) cracker.
(E) finger.
86

Gabarito
1. Letra E.
18.
Letra E.
2. Letra E.
19.
Letra D.
3. Letra A.
20.
Item errado.
4. Letra A.
21.
Item errado.
5. Letra D.
22.
Letra D.
6. Letra D.
23.
Letra E.
7. Letra D.
24.
Letra D.
8. Item certo.
25.
Letra C.
9. Item errado.
26.
Letra D.
10.
Item errado.
27.
Letra E.
11.
Letra A.
28.
Letra A.
12.
Letra C.
29.
Letra A.
13.
Letra B.
30.
Letra C.
14.
Letra E.
31.
Letra A.
15.
Letra C.
32.
Letra E.
16.
Letra E.
33.
Letra D.
17.
Letra A.
87

Informatica para TJ

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Informatica para TJ

Uploaded by

Copyright:

Available Formats

INFORMTICA PARA TJ-RJ (TEORIA E EXERCCIOS)

PROFa. PATRCIA LIMA QUINTO

Aula 1 - Conceitos bsicos de segurana da informao com foco no

INFORMTICA PARA TJ-RJ (TEORIA E EXERCCIOS)

Segurana se faz protegendo todos os elos da corrente, ou seja, todos

Em uma corporao, a segurana est ligada a tudo o que manipula direta ou

tangveis: informaes impressas, mveis, hardware (Ex.:impressoras,

intangveis: marca de um produto, nome da empresa, confiabilidade de um

lgicos: informaes armazenadas em uma rede, sistema ERP (sistema de

fsicos: galpo, sistema de eletricidade, estao de trabalho etc;

Os ATIVOS so os elementos que sustentam a operao do negcio e

Figura. Mnemnico DICA

Prof Patrcia Lima Quinto

INFORMTICA PARA TJ-RJ (TEORIA E EXERCCIOS)

Confidencialidade (sigilo): a garantia de que a informao no ser

Integridade: esse princpio destaca que a informao deve ser mantida na

INFORMTICA PARA TJ-RJ (TEORIA E EXERCCIOS)

Disponibilidade: a garantia de que a informao deve estar disponvel,

Autenticidade: a capacidade de garantir a identidade de uma pessoa

Assim, desejamos entregar a informao CORRETA, para a pessoa

Profa Patrcia Lima Quinto

INFORMTICA PARA TJ-RJ (TEORIA E EXERCCIOS)

No h uma receita ou lista padro de vulnerabilidades. Esta deve ser

ambientes com informaes sigilosas com acesso no controlado;

software mal desenvolvido;

hardware sem o devido acondicionamento e proteo;

falta de atualizao de software e hardware;

falta de mecanismos de monitoramento e controle (auditoria);

ausncia de pessoal capacitado para a segurana;

inexistncia de polticas de segurana;

instalaes prediais fora do padro;

ausncia de recursos para combate a incndios, etc.

Em outras palavras, uma ameaa tudo aquilo que pode comprometer a

INFORMTICA PARA TJ-RJ (TEORIA E EXERCCIOS)

uma ameaa secreta enviada a um endereo incorreto etc.) ou deliberada

Ameaas externas: so aqui representadas por todas as tentativas de

Ameaas internas: esto presentes, independentemente das empresas

Os ativos so os elementos que sustentam a operao do negcio e

O termo hacker ganhou, junto opinio pblica influenciada pelos meios

Os hackers, por sua definio geral, so aqueles que utilizam seus

Exmios programadores e conhecedores dos segredos que envolvem as

Atualmente, a imprensa mundial atribui qualquer incidente de segurana a

Profa Patrcia Lima Quinto

INFORMTICA PARA TJ-RJ (TEORIA E EXERCCIOS)

Noes de vrus, worms e outras pragas virtuais

Profa Patrcia Lima Quinto

INFORMTICA PARA TJ-RJ (TEORIA E EXERCCIOS)

arquivos multimdia do Windows Media Player: msicas com extenso

Figura 2 Normal.dot Principal alvo dos vrus de macro para Word

INFORMTICA PARA TJ-RJ (TEORIA E EXERCCIOS)

automaticamente em um sistema, sem necessidade de interveno do

remover contatos da agenda;

efetuar ligaes telefnicas;

o aparelho fica desconfigurado e tentando

a bateria do celular dura menos do que o previsto

emitir algumas mensagens multimdia esquisitas;

tentar se propagar para outros telefones.

Profa Patrcia Lima Quinto

INFORMTICA PARA TJ-RJ (TEORIA E EXERCCIOS)

os worms apenas se copiam, no infectam outros arquivos, eles mesmos

Trojan horse (Cavalo de Troia)

Profa Patrcia Lima Quinto

INFORMTICA PARA TJ-RJ (TEORIA E EXERCCIOS)