Sumário

Segurança da informação. .......................................................................................... 4 QUERIDO ALUNO!

Critérios da Segurança. ............................................................................................... 4
Este é um material de
Diferença entre o hacker e o cracker........................................................................ 5 acompanhamento de Aulas
Tipos de ataque a informação. .................................................................................. 5 Gratuitas transmitidas pelo
Categorias de programas de segurança .................................................................... 5 AlfaCon em seu Canal Oficial no
Youtube.
Malwares ....................................................................................................................... 5
Tipos de Malwares....................................................................................................... 6 Inscreva-se para receber o
melhor conteúdo para concursos
Vírus de computadores ............................................................................................... 7
públicos!
Tipos de vírus ............................................................................................................... 7
Antimalwares ................................................................................................................ 8
Características dos antimalwares ............................................................................... 9
Métodos de funcionamento ....................................................................................... 9
Firewall ........................................................................................................................ 10
Firewall (softwares) ................................................................................................... 10
Firewall (hardware) .................................................................................................... 11
Gerações de Firewall ................................................................................................. 11
Firewall Statefull ........................................................................................................ 12
Servidor Proxy ........................................................................................................... 12
Criptografia ................................................................................................................. 12
Objetivos da criptografia .......................................................................................... 12
Criptografia Simétrica ........................................................................................ 13
Criptografia Assimétrica .................................................................................... 13
Assinatura digital ................................................................................................ 14
Aplicação da Assinatura Digital ....................................................................... 14

Funcionamento da Assinatura Digital ................................................. 14

Certificado Digital ............................................................................................... 15
Elementos do certificado digital ..................................................................... 15
Criação de certificado ........................................................................................ 16
Senhas .................................................................................................................... 17
Senhas inseguras ................................................................................................. 17
Senhas Seguras .................................................................................................... 17
Chaveamento de senha ..................................................................................... 17
Procedimentos com senhas ............................................................................. 18
 3

Questões de provas anteriores ....................................................................................................................................... 18

Gabarito ...................................................................................................................................................................................... 20
 4

SÉRIE PRF - INFORMÁTICA

Segurança da informação.
A segurança da informação não é, ao contrário do que muitos acreditam, um adjetivo, uma
característica genérica de um seite, serviço ou software, e sim uma área da tecnologia da informação
que tem quatro critérios centrais.
Como a privacidade de dados, o fluxo de informações em sigilo e principalmente os ataques externos
a uma rede de computadores de uma organização pública ou privada pode comprometer dados,
prejudicar a prestação de serviços ou mesmo comprometer procedimentos, as organizações estão
cada vez mais focadas em criar um ambiente elevado de segurança, e por esta razão este tópico é
tema recorrente em provas de concursos públicos.

Critérios da Segurança.
Toda análise de segurança deve ter quatro critérios definidos, que são os critérios universais da
segurança da informação, tanto ataques como procedimentos de segurança podem visar um ou
mais critérios para violação ou proteção de dados. Uma informação ou ambiente é considerado
completamente seguro quando apresenta a segurança relativa aos quatro critérios.

Seguem abaixo os critérios de segurança da informação:

• Autenticidade. É quebrada quando alguém autentica algo ou se autentica em

determinado local sem ser a pessoa autorizada para isso. Como exemplos temos o
furto de uma senha e o acesso indevido, por terceiros, em uma rede social.
• Integridade. É quebrada quando alguém altera o conteúdo da informação não sendo
a pessoa autorizada para isso. Como exemplo temos a alteração do conteúdo de um
site governamental, por um ataque realizado por terceiros.
• Disponibilidade. Quando a informação é atacada e torna-se indisponível para os que
deveriam visualizar. Como exemplo temos a queda de um servidor no último dia de
inscrições para um concurso público por grande quantidade de acessos simultâneos
• Confidencialidade. Quando a informação é visualizada por que não deveria ter
acesso a ela. Como exemplo temos a visualização de um conteúdo por um terceiro
que não tinha este grau de autorização, quebrando com isso o segredo da
informação.

Obs. A consequência da confirmação da autenticidade gera a Irretratabilidade ou o não repúdio.

 5

Diferença entre o hacker e o cracker.

Hackers - São especialistas em tecnologia da informação que invadem sistemas, quebram senhas e
códigos sem intenções claramente maliciosa, e muitas vezes são autorizados pelos proprietários da
informação, para testar os níveis de segurança da rede de uma organização. São considerados
invasores e assim podem ser apresentados em uma prova, porém não tem como objetivo final dos
ataques cometer o crime da fraude, prejudicando terceiros com o furto de dados, desvio de
dinheiro ou cópia de conteúdo privado.

Crackers – São especialistas em tecnologia da informação que invadem sistemas, quebram senhas e
códigos com intenções maliciosas, sem a autorização do proprietário da informação, em linhas
gerais, é o criminoso virtual que tem a intenção de prejudicar terceiros obtendo vantagens
próprias, seja com desvio de dinheiro, invasão as redes sociais alheias ou mesmo furto de dados
privados para benefício próprio.

Tipos de ataque a informação.

• Engenharia social – É considerado o ataque que induz o usuário a entregar dados e cometer
ações que comprometem a segurança através da boa-fé, onde, através da indução, são
levados a acreditar que estão cometendo uma ação legitima e honesta, se caracteriza por e-
mail de falsos bancos ou mensagens que induzem a fornecer dados pessoais.
• Força bruta – É considerado o ataque em que o usuário não comete nenhum erro ou
procedimento indevido, mas mesmo assim seus dados e segurança são violados de forma
forçada, através da invasão.

Categorias de programas de segurança

• Permissivos – Programas de segurança permissivos são aqueles em que tudo é permitido, a
não ser que exista alguma proibição.
• Restritivos – Programas de segurança restritivos são aqueles em que nada é permitido a não
ser que seja criada uma exceção.

Malwares
O termo "malware" é proveniente do inglês "malicious software" ("software malicioso"); é
um software destinado a executar alguma ação maliciosa, que prejudica o usuário afetado, como se
infiltrar-se em um sistema de computadores alheio de forma ilícita e desconhecida, com a intenção
de causar alguns danos, acesso indevido, furto de dados e alterações ou roubo de informações
confidenciais ou não.
 6

Tipos de Malwares
• Trojan (Cavalo de Troia) – Um programa malicioso que se passa por um presente, algo
inofensivo, mas que tem uma ação maliciosa interna, executada de forma oculta enquanto o
usuário é distraído com a ação “original” do programa que é o presente. O malware executa
ação que é originalmente destinada para ele, como um cartão virtual, falso game, site de
banco, etc.
• Ransomware – É uma subcategoria de Trojan Horse que sequestra o conteúdo de um
computador, restringindo o acesso ao conteúdo através de criptografias ou senhas e solicita
um resgaste, uma recompensa financeira para que tal conteúdo seja disponibiliza
novamente por quem de direito.
• Spyware – Termo que designa diversos softwares maliciosos que atuam ocultos, em
segundo plano, e que tem a intenção de se apropriar de dados pessoais para que o
criminoso cometa algum tipo de fraude
• Keylogger – Um dos mais antigos tipos de Spywares, o Keylogger registra e captura aquilo
que é digitado no teclado físico do computador e envia estes dados para o cracker. Na
maioria das vezes ele é ativado em situações prévias, como o acesso aos bancos e comércio
eletrônico. A forma de se proteger de que senhas e dados pessoais sejam roubados através
de keyllogers é a utilização de teclados virtuais.
• Screenlogger – É o softwares malicioso que registra instantâneos sequenciais da tela do
computador e tem a intenção de registrar a posição do cursor do mouse e a imagem na tela,
toda vez que o usuário clica com o mouse. Os screeenlogger podem copiar a senha digitada
em um teclado virtual.
• Adware (Advertising Software) – Softwares maliciosos que tem o objetivo central de enviar
propagandas direcionadas, pela internet. Seu objetivo é a divulgação de produtos e serviços
e não tem a intenção de furtar dados pessoais dos usuários. Geralmente os adwares são
instalados nos computadores quando é realizado o download de determinado conteúdo ou
ainda instalado um programa de computador.
• Worm - Software malicioso que atua em redes de computadores e tem o objetivo de se
propagar na rede, pois ele tem a capacidade de se replicar, criar cópias de si mesmo, e
caminhar com os protocolos de rede, infectando outros computadores. Geralmente os
worms deixam a rede gradativamente mais lenta até que causa a queda da rede, atacando a
disponibilidade da informação.
• Backdoor – Software malicioso que permite as invadores um acesso remoto não autorizado.
As backdoors são geralmente ocultas, levando o computador infectado a ser controlado ou
monitorado sem que o usuário atacado perceba tal invasão.
• Hijackers – Softwares maliciosos que tem o objetivo de modificar a página inicial do
navegador ou mesmo de outros programas do computador. Os hijackers podem tanto
 7

direcionar o usuário para uma página determinada, quanto abrir automaticamente abas ou
mesmo instalar no browser uma barra de ferramentas de determinada empresa.
• Sniffers – São softwares ou hardwares maliciosos que atuam em redes de computadores,
farejando o conteúdo compartilhado. Os sniffer físicos são denominados conectores
dentados e tem a intenção de capturar o conteúdo compartilhado em uma rede antes que
esta chegue até o computador de destino, furtando os dados no cabeamento.
• Bot – É um software malicioso que tem características parecidas com o Worm, pois ele se
replica, criando cópias dele mesmo e caminhando com os protocolos de uma rede de
computadores, infectando os demais computadores de uma rede. Fora esta característica
também permite se estabeleça comunicação com o computador invasor, permitindo que
este controle o bot e decida qual a ação que será executada no computador infectado.
Botnet é uma rede estabelecida através da propagação de bots.
• Rootkit – Representa um conjunto de softwares maliciosos que tem, como finalidade
manter a presença de um invasor no computador infectado. Ele não é utilizado para alterar
o status de administradores e demais contas e sim assegurar, de variadas formas
combinadas, a manutenção no invasor que controla o computador infectado através de
acesso remoto.

Vírus de computadores
Durante muito tempo o termo vírus serviu, de forma genérica para caracterizar todos os ataques
realizados nos computadores e todos os tipos de softwares maliciosos, e inclusive hoje, de forma
coloquial, o termo vírus é utilizado de forma errônea para designar todos os ataques, quando na
verdade vírus representa uma categoria dentro dos malwares e não todos os ataques.
Na informática para concursos públicos o termo vírus de computador é caracterizado como
um software malicioso que é desenvolvido por crackers e que tem sempre uma intenção maliciosa
de determinada natureza. Esta denominação tem origem nos vírus da biologia, pois em uma alusão
a estes, infecta o computador da vítima causando malefícios.

Tipos de vírus
• Vírus de boot – Um dos mais antigos tipos de vírus ele se localiza em setores de inicialização
do Hard Disk, se alocando na inicialização do sistema operacional, e assim que este sistema
operacional é carregado, sendo Window, Linux ou qualquer outro, ele é carregado e gera a
ação maliciosa muitas vezes antes mesmo do antivírus existentes entrar em operação.
• Time Bomb (bomba-relógio) – Esta categoria de vírus é programada para atuar em uma data
futura pré-definida, em data determinada pelo cracker. Na data definida, ele atua, e apenas
nesta data gera algum tipo de dano ao computador infectado. Os mais conhecidos
 8

exemplos de malwares da categoria de vírus do tipo “Time Bomb” são os "Sexta-Feira 13" e
"1º de Abril".
• Estado zombie – Esta categoria de vírus se caracteriza pelo acesso indevido e o controle do
computador infectado por terceiros, deixando o computador infectado como um verdadeiro
zombie, onde o usuário perde o controle do computador e o invasor detém controle sobre a
máquina infectada. A partir do momento em que o estado zombie é estabelecido, o invasor
pode se utilizar desta situação para instalar qualquer tipo de malware, como trojans,
spywares, worms, bots, etc. Geralmente o estado zombie é estabelecido em computadores
que tem o firewall desabilitado ou mesmo tenham sistemas operacionais com falhas de
segurança. Quando os computadores apresentam estas fragilidades tem grande chance de
serem infectadas e entrarem em uma condição de estado zombie.
• Vírus de macro (Vírus de aplicativo) – São ataques através de vírus que ficam hospedados
em arquivos de aplicativos de escritórios, como editores de textos (Word e Writer),
aplicativos de planilhas de cálculos (Excel e Calc), aplicativos de apresentações (PowerPoint)
e aplicativos de bancos de dados (Access e Base). Uma macro não é necessariamente uma
ação maliciosa, e sim uma ação automática, porém quando esta executa um vírus ele gera
ações nocivas ao computador infectado.
O pacote de aplicativos de escritório Macrosoft Office e seus aplicativos internos (Word,
Excel, PowerPoint e Access) até a versão 2003 habilitava macros de forma automática assim
que o arquivo fosse aberto, gerando uma fragilidade muito grande e facilitando o ataque
por vírus de macro, já o pacote Microsoft Office nas versões 2007, 2010 e 2013 bloqueiam
as macros quando o arquivo é aberto, apresentando uma caixa de diálogo em que o usuário
tem a opção de executar ou não a macro contida no arquivo.
• Splog – Esta categoria de vírus é muito particular, pois são caracterizadas por falsos blogs,
que através da indução por engenharia social, induz o usuário a navegar e com isso acessar
páginas que apresentam propagandas comerciais. Os splogs não tem intenção fraudulenta,
pois geralmente possibilitam a aquisição do produto oferecido, porém ao se passarem por
um blog de notícias em que de forma indireta vendem produtos, são classificados na
literatura especialistas como malwares.

Antimalwares
Como se tornou comum na informática a definição genérica de vírus como todos os ataques
existentes na informática, também de forma igualmente errônea, se caracterizam os programas
para combater os ataques de antivírus, e por esta definição genérica porém amplamente adotada e
aceita comercialmente, não existe base para recursos e anulações em provas.
Porém tecnicamente, um programa de segurança que tem o objetivo de verificar os dispositivos de
armazenamento massivo como Hard Disk (interno ou externo), pen-drive, etc, e que pode
identificar variados tipos de ataques, ou seja, variados tipos de malwares deve ser denominado
como Antimalwares, e é por esta razão que este termo tem surgido com cada vez mais relevância
em provas para concursos públicos de diversas bancas organizadoras.
 9

Características dos antimalwares

Os antimalwares são programas de segurança desenvolvidos para ações de prevenção ou correção
de danos causados por ataques de softwares maliciosos nos computadores.
Sua forma de funcionamento é permissiva, ou seja, permite qualquer ação do usuário no
computador em que ele está conectado, bloqueando apenas as ações que são proibidas.
Existem diversas empresas que distribuem antimalwares, e o ideal é utilizar em cada computador
apenas um programa, pois utilizando dois ou mais pode haver conflito entre as configurações
destes.
O critério de eficácia de um antimalware não está no fato de ser um programa gratuito ou pago, ou
ser um software de livre distribuição ou proprietário, na verdade o único critério que torna um
antimalware mais ou menos eficaz é a atualização constante da biblioteca de vírus ou de malwares.
Segue lista dos principais antimalwares (ou antivírus) do mercado:
• AVG
• Norton Antivírus
• Malwarebytes
• Avast,
• Avira

Métodos de funcionamento
Dependendo do desenvolvedor e das características dos programas de segurança da categoria de
antimalwares, eles apresentam formas variadas de funcionamento na identificação de possíveis
ameaças assim como na resolução de programas gerados pelos ataques já realizados e prevenção
contra possíveis ataques futuros.
Seguem abaixo as principais formas identificação de malwares:

• Verificação de malwares através da biblioteca de vírus (malwares) – Quando uma nova ameaça
é identificada o desenvolvedor isola um parte de sua estrutura que não é comum a outros
arquivos maliciosos, esta parte da estrutura, um grupo de caracteres, é denominada string. Os
string que identificam um arquivo malicioso permite a identificação de tal arquivo no
computador ou rede verificados pelo antimalware através de uma verificação completa de
todas as pastas do sistema. Assim que o antimalware identifica o string do arquivo malicioso,
 10

ele avisa o usuário do comprometimento do computador e este decide pelo procedimento

adequado.
• Verificação de ações em execução – Também chamado de sensoreamento heurístico é um
método mais complexo e portanto passível de erros, pois é baseado na ánalise das ações de
cada executável quando é feita a verificação. Em linhas gerais, é a anailise de programas que
estão em execução.ada programa é varrido em busca de instruções que não são executadas por
programas usuais, como a modificação de arquivos executáveis. Este método muitas vezes traz
a necessidade de executar ações sobre programas já em execução, o que nem sempre é
realizado com total segurança.
• Verificação por algoritmos – é uma verificação onde o programa antimalwatre busca algoritmos
para encontrar um resultado. Na verdade todos os programas de segurança trablaham com
algoritmos, porém esta denominação esta vinculada aos antimalwares gratuitos, para se
diferenciarem dos programas pagos que realizam buscas através de critérios publicitários.
• Verificação de integridade' – É um método de busca por arquivos maliciosos, onde é conferido
o registro de cada arquivo existente nos computadores protegidos em comparação com os
dígitos em comparações posteriores. Caso exista alguma alteração entre a verificação da
situação anterior e da situação posterior, o antimalwares indica ao usuário que pode haver
comprometimento de segurança no computador verificado.

Firewall
O recurso de segurança denominado Firewall corresponde a um software ou um hardware que tem
a função de verificar o conteúdo que é proveniente da Internet ou de uma rede externa qualquer e
realizar os bloqueios caso seja necessário ou permissões quando esta forem previamente
autorizadas. Em linhas gerais os firewalls físicos (hardwares) ou lógicos (softwares) tem o objetivo
de proteger a rede interna contra ataques externos.
O firewall não é um antimalware ou antivírus, e não tem a função, portanto, de verificar os arquivos
internos dos computadores atrás de ações maliciosas. O ideal portanto, é que uma combinação
básica de segurança congrega tanto recursos de firewall com programas de segurança da categoria
antimalware.

Firewall (softwares)
O sistema operacional geralmente tem um software firewall nativo, como as versões do Windows,
garantindo a proteção contra ataques externos desde o momento em que o computador é ligado e
o sistema operacional é inicializado. Como o firewall funciona com permissões, através de regras
 11

restritivas, caso exista no computador um programa instalado que demanda acesso externo, como
um programa de compartilhamento de dados para download e upload que utiliza o conceito
torrent através de conexão Peer-to-Peer, deve ter autorização em exceção para funcionamento e
ser liberada a conexão pelo firewall.

Firewall (hardware)
Os recursos de segurança dos firewalls físicos, em forma de um hardware representa equipamentos
conectados aos computadores geralmente de uso corporativo, em organizações públicas e
privadas. Uma importante característica do firewall como hardware é que ele é dedicado ao
computador ou rede instalados e não compartilhado, esta característica permite que este firewall
aumentem o desempenho no atendimento de solicitações de bloqueio ou exceções com muito
mais agilidade.

Gerações de Firewall
Ao longo de desenvolvimento da informática, a relevância cada vez maior do uso da tecnologia da
informação nas organizações e consequentes ataques gerados para furtas tais informações, os
firewall tanto físicos na forma de hardware como lógicos na forma de softwares, foram sendo
desenvolvidos e alterados para que atendessem demandas diferenciadas de proteção.
Segue abaixo a descrição das diferentes gerações de firewalls:

1ª Geração de firewalls

• Função de restringir o tráfego com base nos endereços de dispositivos (endereço IP) tanto de
origem quanto de destino.
• Função de restringir o tráfego baseado nas portas TCP ou UDP utilizadas pelo serviço que
solicita acesso à rede interna.

2 Geração de Firewalls

• Além de verificar o transporte padrão de dados, no transporte padrão que é o TCP, também
verifica demais características de conexão.
• Os firewall de segunda geração também podem ser denominados como firewalls de circuito.
 12

Firewall Statefull
São firewall que tem a função de testar a velocidade de conexão em determinado segmento de
rede, filtrando os dados de envio e recebimento.

Servidor Proxy
Os firewall do tipo servidor proxy verifica o fluxo na conexão de rede, através de método de tratar
requisições como uma aplicação e posteriormente originando um novo pedido sob sua
responsabilidade para o servidor que recebeu tal requisição. A resposta do pedido, enviada pelo
servidor é recebida pelo firewall proxy e este é analisado antes de ser liberado para o cliente que
solicitou a comunicação. Sua consequência é bloquear IP de entrada e saída.

Criptografia
A criptografia, palavra que tem origem nos termos gregos kryptós (escondido) e gráphein (escrita)
é uma área de estudo que analisa princípios e técnicas para transformar uma informação, como
um arquivo de texto, em um código cifrado, que não possibilita a leitura, pois é ilegível, sendo lida
apenas pelo seu emissor e receptor, que são os elementos que detém as chaves (códigos) para
criptografar e reverter a criptografia, garantindo com isso a confidencialidade, pois se for
interceptada por outra pessoa, não poderá ser lida. Neste sentido, este ramo da matemática
visa o estudo dos métodos para garantir o sigilo da informação, através da utilização de duas
chaves possíveis, a pública e a privada, gerando duas formas de criptografia:
• Simétricas (criptografia de chave única)
• Assimétricas (criptografia de chave pública).

Objetivos da criptografia
✓ Garantir o critério da confidencialidade – Apenas o receptor previamente autorizado e
detentor da chave que descriptografa (decripta) a informação está autorizado a extrair o
conteúdo cifrado. Informações prévias sobre o arquivo enviado em criptografia deve ser
igualmente sigiloso, para dificultar a quebra da criptografia.

✓ Garantir o critério da integridade – A criptografia garante que o receptor se certifique que a

mensagem recebida não sofreu alteração em seu envio, e não tendo alterações de
conteúdo não autorizadas, é garantida a integridade da informação.
 13

✓ Garantir o critério da autenticidade – Quando o receptor decripta a mensagem, e esta não

sofreu alterações, é garantido que o emissor é quem diz ser, com isso garantindo o critério
da autenticidade da informação.
✓ Gerar o não-repúdio ou irretratabilidade – A partir do momento em que a autenticidade é
confirmada e quando a informação não sofreu alteração, garantindo com isso a integridade,
o emissor perde o direito de se retratar, repudiando a mensagem.

Criptografia Simétrica
A criptografia simétrica usa a mesma chave tanto para criptografar como para
descriptografar o conteúdo. Os algoritmos são mais básicos que a criptografia assimétrica e
com isso mais fácil de ser quebrado.
Na criptografia simétrica é utilizada uma mesma chave tanto para criptografar quanto para
descriptografar a mensagem, esta chave, denominada chave única, é criada pelo receptor,
que a entrega para os emissores e , ao receber, descritografa com a mesma chave.
Neste sentido, a criptografia simétrica é frágil, pois qualquer um que tiver a chave pode
revertera criptografia, e ela só é confiável com um círculo restrito de confiança.

✓ Estrutura da criptografia simétrica – Emissor criptografa com a chave única criada pelo
Receptor e o Receptor descriptografa com a chave única criada pelo próprio Receptor.

Criptografia Assimétrica
Na criptografia assimétrica existe mais segurança, pois são utilizadas duas chaves,
aumentando o nível de segurança na informação compartilhada em criptografia. Nesta
criptografia, o receptor cria duas chaves, uma privada e uma pública, ele envia a chave
pública para o Emissor criptografar e quando recebe a mensagem, descriptografa o
conteúdo com a chave privada.

Estrutura da criptografia assimétrica – Emissor criptografa com a chave pública criada

pelo Receptor e o Receptor descriptografa com a chave privada criada pelo próprio
Receptor.

Criptografia e direitos autorais.

Na proteção de direitos autorais, a criptografia é fundamental, quando se trata de gestão
de direitos digitais (DRM), que é um grupo de técnicas e procedimentos para controlar e
restringir através de recursos de tecnologia o uso de direitos autorais e suas marcas
 14

registradas em copyleft. Leis e procedimentos são propostas e discutidas pelos Estados

membros da Organização Mundial da Propriedade Intelectual.

Assinatura digital
A assinatura digital, apesar de ser um importante instrumento de segurança na transmissão
de dados, não tem valide jurídica no Brasil, pois é uma relação entre duas pessoas (emissor
e receptor) não tendo uma terceira parte independente envolvida. A assinatura digital
representa uma forma de autenticação de informação enviada digitalmente tipicamente, e
tem a mesma relação da assinatura propriamente dita. A diferença é que a assinatura
digital, que é criada pelo Emissor, tem como objetivo a comprovação de que o emissor de
fato é quem diz ser, oque, quando confirmado impede o emissor de repudiar o conteúdo,
como não sendo ele o autor, também é critério de confirmação da assinatura digital a
confirmação de que o conteúdo não sofreu alteração de nenhum bit, ou seja, manteve sua
integridade. Seguem abaixo os critérios da assinatura digital:
Autenticidade
Integridade
Irretratabilidade (Não repúdio)

Aplicação da Assinatura Digital

Os principais Browsers do mercado trabalham com assinatura digital, isto pode muitas
vezes ser imperceptível para o usuário, mas é recorrente na navegação em diversos sites.
Cada browser tem sua própria metodologia de identificação, e no caso do Google Chrome,
por exemplo, a identificação segue abaixo:
• Cadeados verdes - Identificam certificados reconhecidos
• Cadeados amarelos - Identificam problemas na certificação
• Cadeados vermelhos Não identificados.

Funcionamento da Assinatura Digital

O usuário pode se utilizar de diversos métodos para assinar um documento digital,
e pela necessidade de aumentar os nível de segurança na internet, estes métodos
estão em constante alteração e evolução. Centralmente, as assinaturas digitais tem
dois elementos, o hash (resumo do conteúdo) e a encriptação deste mesmo hash.
A primeira ação é gerado resumo criptografado do conteúdo através de algoritmos, e
estes reduzem as mensagens. Depois, este resumo, denominado hash é analisado
sobre as características que seguem abaixo:
 15

✓ Não pode haver vínculo entre a mensagem original e o hash, para que não seja
encontrada facilmente a mensagem original.
✓ Mesmo que seja gerado através de um algoritmo padrão, o hash deve dar a
impressão de ser aleatório, e é eficaz quando consegue identificar a alteração
de um bit da mensagem original apara a que chega até o receptor.
✓ Não devem existir um hash vinculado a amis um de conteúdo com assinatura
digital, por esta razão ele deve manter a característica de exclusividade.

Certificado Digital
Ao contrário da Assinatura Digital, que não tem validade jurídica por não incluir uma terceira
parte independente e confiável envolvida, o certificado digital tem validade jurídica justamente
por conter esta terceira parte confiável e independente, que é a organização pública ou privada
que cria o certificado digital. Inclusive, regulamentado pela Medida Provisória 2200/02, o
certificado digital é muito utilizado no serviço público para relação de compras, por exemplo,
onde uma empresa precisa de um certificado digital para participar de um pregão eletrônico se
esta for a modalidade de licitação. Um certificado digital é um arquivo digital que contem
informações sobre um emissor (pessoa física ou jurídica) através da chave pública referente à
chave privada que deve ser de posse exclusiva do receptor do conteúdo em que foi solicitado tal
certificado

Elementos do certificado digital

• Informações pessois referentes ao emissor (entidade) para o qual o certificado foi emitido
(nome, email, endereço CPF/CNPJ, etc.)
• A chave pública vinculada a chave privada de posse da entidade especificada no certificado
digital emitido
• O prazo de validade do certificado
• Número de série do certificado
• O chamado"centro de revogação" que geralmente é uma URL para LCR
• A assinatura digital da AC e emissor que confirma que a chave pública do certificado
confere com as informações contidas neste certificado.
 16

Criação de certificado
1. A entidade que emite o certificado digital gera as chaves criptográficas, sendo
uma chave pública e uma chave privada vinculada.
2. É gerado o Certificate Signing Request (CSR), que é um arquivo que contém a
chave pública da entidade emissora e outras informações facultativas que a AC
solicita sobre a entidade e é assinado digitalmente pela chave privada da
entidade e envia o CSR criptografada pela chave pública da AC.
3. É necessária a presença física do responsável pela (AR) para confirmação dos
dados contidos no CSR e, quando necessário o acréscimo de outros dado do
responsável pelo certificado e pela emissão deste certificado.
4. Posteriormente o CSR é alterado para um certificado digital propriamente dito e
assinado pela AC e, finalmente devolvido ao emissor.
5. Neste último passo o software browser utilizado para gerenciamento do
certificado digital realiza a combinação do certifica com a chave privada de
posse do receptor do conteúdo, gerando a chamada identidade digital.

Legislação
A Medida Provisória nº 2.200-2, de 24 de agosto de 2001 define as regras para a
criação da ICPBrasil Art. 1o Fica instituída a Infra-Estrutura de Chaves Públicas
Brasileira - ICPBrasil, para garantir a autenticidade, a integridade e a validade jurídica
de documentos em forma eletrônica, das aplicações de suporte e das aplicações
habilitadas que utilizem certificados digitais, bem como a realização de transações
eletrônicas seguras.
Art. 2o A ICP-Brasil, cuja organização será definida em regulamento, será composta
por uma autoridade gestora de políticas e pela cadeia de autoridades certificadoras
composta pela Autoridade Certificadora Raiz - AC Raiz, pelas Autoridades Certificadoras
- AC e pelas Autoridades de Registro - AR.
Art. 3o A função de autoridade gestora de políticas será exercida pelo Comitê
Gestor da ICPBrasil, vinculado à Casa Civil da Presidência da República e
composto por cinco representantes da sociedade civil, integrantes de setores
interessados, designados pelo Presidente da República, e um representante de
cada um dos seguintes órgãos, indicados por seus titulares: As informação
obrigatórias são:
✓ Número de serie
✓ Prazo de validade
 17

Senhas
As senhas representam a forma mais básica de garantir a autenticidade em um
ambiente privado na internet, seja o acesso a um banco, rede social, e-mail ou outro
tipo de serviço não público. Porém a senha não é a forma exclusiva de garantir a
autenticação do usuário, e existem três grupos básicos para este procedimento, que
seguem abaixo:
✓ Verificar aquilo que você é – Biometria
✓ Verificar aquilo que você possui - Senhas
✓ Verificar aquilo que você sabe – Perguntas para acesso
O método de verificação daquilo que você possui, através de senhas,
(password), é o método mais comum de autenticação de uma conta, para
confirmação da identidade do usuário, confirmando que este de fato é quem
diz ser.

Senhas inseguras
• Nomes próprios
• Palavras contidas em dicionários.
• Datas
• Combinações obvias.

Pois estas podem ter um ataque através de WORDLIST

Senhas Seguras
✓ Letras, números ou Caracteres aleatórios.

Podem ter um ataque através de FORÇA BRUTA

Chaveamento de senha
Seleciona-se caracteres de uma determinada frase: baseie-se em uma frase e selecione a
primeira, a segunda ou a última letra de cada palavra. Exemplo: com a frase "O Cravo brigou com
a Rosa debaixo de uma sacada" você pode gerar a senha "?OCbcaRddus" Utiliza-se uma frase
longa e geralmente pouco conhecida, porém que faça sentido para o proprietário da senha
 18

Procedimentos com senhas

• Não compartilhar a senha com terceiros
• Não utilizar a mesma senha para serviços distintos
• A senha deve ser de fácil memorização
• Quanto maior o número de caracteres mais forte é a senha
• Sempre que possível incluir caracteres como símbolos.
• Fazer uso de gerenciadores de senhas
• Ficar atento quanto ao uso de serviços e e-mail, para a senha não ser acessada por
terceiros através da engenharia social
• Utilizar procedimento de segurança, como antimalwares e firewall.

Questões de provas anteriores

1 - O tipo de malware que torna os dados inacessíveis por meio da criptografia é o
Ransomware, já o Spyware, em tradução livre, programa espião, geralmente utilizado por
invasores para monitorar as atividades do usuário, não tem essa característica de criptografar
os dados.

2 - Em criptografia, as funções de cifra serão consideradas totalmente seguras se a

descoberta da chave for impossível, independentemente da capacidade de processamento
computacional.

3 - Considerando-se que uma política de segurança da informação deva proteger os ativos

de uma organização, a definição do termo ativo para uma política de segurança da informação
é: Bem, material ou imaterial, que tem valor para a organização.

4 - A infraestrutura de chaves públicas brasileira (ICP – Brasil) é uma cadeia hierárquica e

de confiança que viabiliza a emissão de certificados digitais apenas para pessoas jurídicas, por
meio de uma autoridade de registro (AR).

5 - E decripta com chave pública de R e R criptografa com chave privada de R representa

uma criptografia assimétrica.
19
 20

Gabarito
1C–2C–3C–4E–5E
 Inscreva-se
http://bit.ly/FabricadeValores