Você está na página 1de 38

Professor Léo Matos | Informática para Concursos

1

SEGURANÇA DA INFORMAÇÃO

A necessidade do compartilhamento de recursos e informações entre usuários de

computadores é crescente. Usuários domésticos querem trocar informações, empresas desejam centralizar informações de seus clientes para serem compartilhadas entre suas filiais, enfim. O

surgimento e a evolução da Internet contribuíram para o aperfeiçoamento desses compartilhamentos, mas também trouxe vários problemas para empresas e usuários.

O que isso tem haver com Segurança da Informação? É simples. Quando compartilhamos

informações através de uma rede de computadores, precisamos ter confiança no sistema utilizado, por exemplo: Todo cliente de um banco pode retirar seus saldos de conta através de um website, mas nem todos “confiam” por existir vários relatos de pessoas que caíram em golpes e tiveram sua senha ou dados pessoais visualizados por pessoas não autorizadas, para que haja uma maior confiança a organização que oferece o serviço deve implantar sistemas de segurança.

A Segurança da informação é um conjunto de conceitos e técnicas utilizadas para criar

ferramentas que proporcionam uma maior confiança aos usuários na utilização de meios tecnológicos para troca de informações, pode ser definida como a proteção contra um grande número de ameaças às informações, de forma a assegurar a continuidade do negócio, minimizando danos comerciais e

maximizando o retorno de possibilidades e investimentos.

O maior objetivo da segurança da informação está no aumento da confiabilidade e na

diminuição da fragilidade de sistemas digitais e existem princípios que contribuem para o alcance desse objetivo.

Há quatro princípios fundamentais que devem ser garantidos pelos sistemas desenvolvidos:

Confidencialidade, Integridade, Disponibilidade e Autenticidade.

A Confidencialidade garante que a informação não seja acessada “lida” por pessoas não

autorizadas. Um cliente que acessa o site do banco para fazer uma transferência eletrônica quer uma

garantia de que a sua senha não será vista por pessoas não autorizadas, para garantir a Confidencialidade (Sigilo) das informações, o banco desenvolve ferramentas suficientes para cumprir este princípio, aumentando assim a confiança deste usuário no sistema.

A Integridade garante que a informação não seja alterada por pessoas não autorizadas

durante o envio ou armazenamento. Um cliente entra no site do banco para fazer uma atualização de endereço, quando terminar de fazer o preenchimento do formulário, este deverá ser enviado. As informações irão trafegar pela Internet até chegar ao banco de dados da instituição, para garantir que a informação se mantenha íntegra, inalterada deve estar presente no sistema o princípio da integridade.

A Disponibilidade garante que a informação estará sempre disponível quando um usuário

autorizado solicitar. Ao tentar efetuar um depósito no caixa de um banco, um cliente fica na fila cerca de 20 minutos e quando chega sua vez, o atendente informa que o Sistema está fora do ar, ou seja, o serviço estava indisponível devido a problemas técnicos. Nesse caso, o banco não garantiu a Disponibilidade do Serviço por algum problema de segurança da informação, que deveria criar e manter ferramentas suficientes para cumprir este princípio.

A Autenticidade deve assegurar que a identificação de uma pessoa ou instituição seja

legítima. Assim, ao visitar o site de um banco através de um link recebido por e-mail, que certeza o cliente terá de que aquele site é verdadeiro? Para isso, é importante que o banco disponibilize ferramentas para verificar a autenticidade daquele site.

Outros princípios:

Professor Léo Matos | Informática para Concursos

2

A Privacidade deve garantir ao usuário que ele possa definir quais informações estão disponíveis e para quem estão, ou seja, ter a privacidade de escolha. Confidencialidade e autenticidade são meios para se conseguir ter privacidade, já que o sistema deve identificar quem são os usuários que terão determinadas autorizações .

O Não Repúdio (Irretratabilidade) deve garantir que um usuário não possa negar a autoria de uma ação. Por exemplo, em uma transação via Internet é muito importante que nenhum dos envolvidos possa negar que enviou determinando documento digital.

Questão: (CESPE IPOJUCA 2010) Entre os princípios básicos de segurança da informação, destacam-se a confidencialidade, a integridade e a disponibilidade. (CERTO).

Questão: (CESPE 2010 - BRB) Confidencialidade, um dos princípios básicos da segurança da informação, tem como característica garantir que uma informação não seja alterada durante o seu trânsito entre o emissor e o destinatário. (ERRADO).

Questão: (CESPE 2011 TRT/RN) A disponibilidade é um conceito muito importante na segurança da informação, e refere-se à garantia de que a informação em um ambiente eletrônico ou físico deve estar ao dispor de seus usuários autorizados, no momento em que eles precisem fazer uso dela. (CERTO).

Questão: (FGV 2009 SEFAZ/RJ) No Brasil, a NBR ISO17799 constitui um padrão de recomendações para práticas na gestão de Segurança da Informação. De acordo com o estabelecido nesse padrão, três termos assumem papel de importância capital:

confidencialidade, integridade e disponibilidade. Nesse contexto, a confidencialidade tem por objetivo:

a) salvaguardar a exatidão e a inteireza das informações e métodos de processamento.

b) salvaguardar os dados gravados no backup por meio de software que utilize assinatura

digital.

c) permitir que os usuários tenham acesso aos arquivos de backup e aos métodos de

criptografia empregados.

d) permitir que os usuários autorizados tenham acesso às informações e aos ativos

associados, quando necessário. e) garantir que as informações sejam acessíveis apenas para aqueles que estejam autorizados a acessá-las.

Ameaças a segurança da informação

Existem diversas ameaças à segurança da informação que atingem os princípios vistos anteriormente a fim de comprometer os objetivos da organização, seja trazendo danos diretos aos ativos ou prejuízos decorrentes de situações inesperadas.

Classificação das principais ameaças:

Professor Léo Matos | Informática para Concursos

3

Malware (programas maliciosos): é todo tipo de programa desenvolvido para prejudicar sistemas ou pessoas.

Vírus

É um programa ou parte de um programa, que se propaga infectando parte de outros programas e

arquivos de um computador. O vírus necessita de um arquivo hospedeiro ou programa para infectar um computador. Para que o vírus atinja sua finalidade depende da execução do programa ou do arquivo infectado.

O que o vírus pode fazer? Teoricamente o vírus pode fazer qualquer coisa que outros programas

fazem, desde apresentar imagens na tela, apagar arquivos do disco, destruir ou alterar arquivos de inicialização do Sistema operacional (vírus de boot), deixar o computador lento e outros.

Tipos de Vírus

Vírus parasitário: Se replica para outros programas ou arquivos quando o programa infectado é executado.

Vírus de Boot: Infecta os arquivos de inicialização de um sistema (boot) alterando seu funcionamento e se espalhando quando o sistema é iniciado.

Vírus furtivo: Uma forma de vírus projetado para se esconder da detecção de um Antivírus. Quando

o antivírus começa a tentar detectá-lo ele esconde seu código malicioso deixando somente o código não infectado do programa sendo verificado.

Vírus Polimórfico: Se transforma a cada infecção, impossibilitando a detecção pela assinatura do vírus que é uma espécie de vacina contra um determinado vírus. Quando o vírus se transforma em outro, a vacina antiga não funciona mais como medida de prevenção ou detecção.

Vírus de Macro: Os vírus de macro infectam geralmente arquivos do Microsoft Office como DOC (Word), XLS (Excel). São programas executáveis embutido nos arquivos de editores de textos e

outros. Existe uma ferramenta do Office chamada de Macro, no qual é utilizada por usuários para automatizar suas tarefas criando ações repetitivas economizando tempo no trabalho. Quando a macro

é criada, automaticamente é gerado um código em forma de linguagem de programação chamada de

VB, e a ferramenta que permite editar via programação essa macro é chamada de “Visual Basic for Aplication” e é exatamente por programas desse tipo que o vírus é desenvolvido embutido aos

arquivos do Office.

Professor Léo Matos | Informática para Concursos

4

Professor Léo Matos | Informática para Concursos 4 Os vírus de macro podem inserir palavras, números

Os vírus de macro podem inserir palavras, números ou frases indesejadas em documentos ou alterar funções de comando. Depois que um vírus de macro infecta a máquina de um usuário, ele pode se incorporar a todos os documentos criados no futuro com o aplicativo. Por exemplo, se o modelo "normal.dot" do Microsoft Word, o modelo de documento padrão desse programa, for infectado com um vírus de macro, todo documento novo criado no Word carregará uma cópia do vírus de macro e a partir daí pode chegar a outras finalidades.

Vírus de E-mail: Os primeiros vírus de E-mail utilizavam um anexo que ao ser executado enviava um cópia sua para todos na lista de contatos do usuário. No final de 1999 surgiu uma versão mais poderosa do vírus de email que se ativava e propagava sem a abertura do anexo, meramente abrindo- se o e-mail, utilizava um script “código” que era aceito pelo próprio programa de e-mail.

E

importante ressaltar que o vírus de E-mail não se executa sozinho, o usuário deve abrir o anexo ou

o

programa de correio eletrônico.

Questão: (CESPE 2010 SEDU ES) Vírus é um programa que pode se reproduzir anexando seu código a um outro programa, da mesma forma que os vírus biológicos se reproduzem. (CERTA)

Questão: (MOVENS 2009 ADEPARÁ ) Vírus de Macro são vírus que afetam os arquivos de inicialização dos discos. São tipicamente encontrados em arquivos de registros do Windows ou em arquivos de inicialização do sistema. (ERRADO).

Questão: (FCC BB 2006 Escriturário) Os arquivos de dados de editores de texto e de planilhas eletrônicas podem ser contaminados normalmente por programas do tipo vírus:

(A)

parasitas.

(B)

camuflados.

(C)

polimórficos.

(D)

de boot.

(E)) de macro.

Worms “Vermes”

Professor Léo Matos | Informática para Concursos

5

Um worm é programa maliciosos que se auto copia de computador para computador utilizando vulnerabilidades de uma rede. Um vírus de E-mail tem algumas características do Worm, pois se propaga de um computador para outro, mas não podemos chamá-los de Worms, pois precisam de alguém para iniciar a ação de propagação, e os Worms não, eles se auto executam. Os Worms não infectam arquivos e programas como o Vírus, mas degradam sensivelmente o desempenho de redes devido o grande tráfego de dados, podendo fazer servidores e computadores da rede parar de funcionar mesmo que temporariamente. Para se replicar os Worms utilizam algum tipo de veículo de rede, veja abaixo alguns exemplos:

Recursos de E-mail: Um verme envia uma cópia de si mesmo para os cadastrados no catálogo de endereços do usuário.

Programas de acesso remoto: Um verme envia uma cópia de si mesmo para outros computadores.

Capacidade de login remoto: Um verme se conecta a um sistema distante como um usuário e depois utiliza comandos para enviar cópias de si mesmo para outros sistemas.

Questão: (CESPE 2009 CEHAP PB) Os worms podem se propagar rapidamente para outros computadores por meio da Internet. (CERTO)

Questão: (CESPE 2002 TJ/AC) Os vírus worms são do tipo macro e apresentam-se embutidos em documentos Word com o objetivo de danificá-los. Uma outra característica desse tipo de vírus é a sua capacidade de sofrer mutação à medida que se propaga de um arquivo para outro. (ERRADO).

Comentário: Um Worm não é considerado um Vírus, pois não infecta arquivos e também não se confunde com o conceito de vírus de Macro.

Cavalo de Tróia “Trojan Horse”: Eis o programa malicioso mais fácil de decorar para prova. Basta lembrar-se da mitologia grega, onde os gregos tentavam invadir Tróia e sem obter sucesso enviaram uma estátua de madeira em forma de cavalo para os troianos, que aceitaram e levaram para dentro de seus portões. A estátua foi recheada com soldados gregos que durante a noite abriram os portões “portas” da cidade possibilitando a entrada dos gregos que dominaram a cidade que era tão protegida.

Para segurança da Informação é um programa disfarçado de programa inofensivocomo, por exemplo, cartão virtual, jogos e outros, que foi projetado para além de suas funções aparentes, para executar funções maliciosas como “abrir as portas” de comunicação do computador para entrada de um invasor (pessoa ou programas maliciosos) sem o consentimento do usuário. O Cavalo de tróia pode ser utilizado por um Invasor para furtar dados pessoais (senha de bancos e outros), apagar arquivos e até mesmo para instalação de vírus e outros.

Veja a tabela abaixo para diferenciar Vírus, Worms e Cavalo de tróia:

Vírus Worms Cavalo de Tróia

Vírus

Worms

Cavalo de Tróia

Professor Léo Matos | Informática para Concursos

6

Infecta programas e arquivos “necessita de um arquivo ou programa hospedeiro”

Sim

Não

Não

É

o próprio arquivo executável

Não

Sim

Sim

Se multiplica de computador para computador sem necessidade de o usuário dar inicio a ação

Não

Sim

Não

Questão: (FCC 2006 INSS Perito Médico) Dadas as seguintes declarações:

I. Programas que se replicam e se espalham de um computador a outro, atacando outros programas, áreas ou arquivos em disco. II. Programas que se propagam em uma rede sem necessariamente modificar programas nas máquinas de destino. III. Programas que parecem ter uma função inofensiva, porém, têm outras funções sub-reptícias.

Os itens I, II e III correspondem, respectivamente, a ameaças programadas do tipo:

a)

cavalo de tróia, vírus e worms.

b)

worms, vírus e cavalo de tróia.

c)

worms, cavalo de tróia e vírus.

d)

vírus, worms e cavalo de tróia

e)

vírus, cavalo de tróia e worms.

Questão: (FESAG 2005 TER/ES) Cavalo de Tróia é um programa que se autocopia e infecta vários arquivos do computador, como documentos, programas e partes do sistema operacional, com o objetivo básico de travar o computador. (ERRADO).

Comentário: Conceito descrito na questão é o de Vírus.

Spyware “espiões”: São programas que monitoram os hábitos de um usuário. Não necessariamente os Spywares são utilizados de forma ilícita, pois muitas empresas utilizam programas dessa categoria para monitorar o trabalho de funcionários. Existem também muitos programas que trazem funções primárias como tocadores de MP3, jogos e outros, que internamente trazem programas que monitoram o usuário para coletar informações que possam ser utilizados por empresas de publicidade de marketing. Mas por outro lado os Spywares podem ser utilizados para monitorar o usuário de um computador para espionagem, capturar informações sigilosas de forma ilícita. Ao ser instalado um Spyware na máquina do usuário, ele pode enviar as informações coletadas para

o Espião por um sistema de correio eletrônico ou até mesmo de forma instantânea.

Keylogger: é um programa do tipo Spyware capaz de capturar e armazenar as teclas digitadas pelo usuário no teclado físico de um computador. É o grande terror das instituições bancárias, pois podem capturar a senha e conta do usuário no momento da digitação, por isso implementam o que chamamos de teclado virtual onde o usuário digita a senha através de cliques com o mouse, com isso dando ao usuário a garantia do princípio da Confidencialidade “SIGILO”.

Professor Léo Matos | Informática para Concursos

7

Professor Léo Matos | Informática para Concursos 7 Teclado virtual utilizado em um site de banco

Teclado virtual utilizado em um site de banco

Screenlogger: é um programa do tipo Spyware que captura informações do mouse como as coordenadas (x,y) do cursor, também captura a tela apresentada no monitor, nos momentos em que o mouse é clicado. O espião ao receber estes dados pode deduzir onde foi clicado no teclado virtual e montar senhas ou outros dados.

Questão: (CESPE - CEHAP PB 2009) Programa que a partir da execução em determinado computador vítima passa a monitorar informações digitadas e visualizadas e, em seguida, envia e- mail para o seu criador encaminhando informações capturadas denomina-se:

a) cavalo de tróia.

b) spyware.

c) phishing scan.

d) hijackers.

Questão: (CESPE 2010 SEDU ES) Spywares são programas que agem na rede, checando pacotes de dados, na tentativa de encontrar informações confidenciais como senhas de acesso e nome de usuário. (CERTO).

Questão: (CESPE 2009 CEHAP/PB) Os spywares podem vir embutidos em software ou ser baixados quando o internauta visita determinados sítios. (CERTO).

Backdoor “porta dos fundos”: É um programa instalado secretamente em um computador invadido que tem por objetivo garantir o retorno facilitado do invasor sem recorrer os métodos utilizados na invasão. O invasor tem o controle total do computador infectado sem precisar invadi-lo novamente.

Não necessariamente um Backdoor precisa estar relacionado a uma invasão já que pode ser instalado a partir de um cavalo de tróia, ou inclusão como conseqüência de uma má configuração de um programa de acesso remoto “brechas”.

Muitos fabricantes de Software ou computadores incluiam ou incluem backdoors em seus produtos onde alegam que podem precisar fazer manutenções preventivas no futuro.

Questão: (ESAF 2005 Auditor da Receita) Backdoor são sistemas simuladores de servidores que se destinam a enganar um invasor, deixando-o pensar que está invadindo a rede de uma empresa. (ERRADO).

Comentário: O Conceito descrito na questão é de uma estratégia de segurança chamado HONEY POT.

Professor Léo Matos | Informática para Concursos

8

Adware: é um programa projetado para apresentar propagandas através de um navegador ou outros programas instalados na máquina do usuário que abaixa o desempenho de um computador. Não necessariamente é projetado para o fim malicioso pode ser utilizados por programas que são distribuídos de forma gratuita para apresentar propagandas de patrocinadores como o MSN da Microsoft. O Adware pode ser considerado uma espécie de Spyware caso monitore os hábitos do usuário, por exemplo, durante a navegação na Internet para direcionar as propagandas que serão apresentadas.

Questão: (FCC 2006 TRF/Analista judiciário) Na categoria de códigos maliciosos (malware), um adware é um tipo de software

a) que tem o objetivo de monitorar atividades de um sistema e enviar as informações coletadas para terceiros.

b) projetado para apresentar propagandas através de um browser

ou de algum outro programa instalado no computador.

c) que permite o retorno de um invasor a um computador comprometido, utilizando serviços criados ou modificados para este fim.

d) capaz de capturar e armazenar as teclas digitadas pelo usuário no teclado

de um computador. e) que além de executar funções para as quais foi aparentemente projetado, também executa outras funções normalmente maliciosas e sem o

conhecimento do usuário.

Bot: É um programa maliciosos bem parecido com os worms , porque podem se propagar automaticamente, explorando vulnerabilidades existentes ou falhas em programas instalados em um computador. A diferença é que os Bots podem se comunicar com o Hacker através de canais IRC “chats” permitindo que seja controlado remotamente.

Port Scanner “programa bisbilhoteiro”: São programas utilizados por Hackers para bisbilhotar computadores e saber quais serviços de segurança e comunicação estão habilitados para iniciar uma estratégia de invasão.

Sniffer “Farejador de Pacotes”: são programas que podem ser utilizados para analisar o tráfego de dados (pacotes) de uma rede. Administradores de redes utilizam Sniffers para seu trabalho, mas também são utilizados com propósitos maliciosos por invasores que tentam capturar o tráfego da rede com diversos objetivos, dentre os quais podem ser citados, obter cópias de arquivos importantes durante sua transmissão, e obter senhas que permitam estender o seu raio de penetração em um ambiente invadido ou ver as conversações em tempo real. É importante ressaltar que os Sniffers só analisa o tráfedo de redes locais não sendo utilizado podendo ser utilizado para capturar pacotes na Internet.

Golpes (Scan)

Muitas empresas investem muito dinheiro na área de segurança da informação, contratando profissionais especializados que desenvolvem e implantam ferramentas que são necessárias para continuidade dos negócios, mas a cada dia que passa, fraudadores criam formas para explorar as

Professor Léo Matos | Informática para Concursos

9

fragilidades dos usuários para furtarem informações que os interessam como dados bancários, comerciais e outros.

Phishing Scan “golpe do site falso”

É um golpe que tenta induzir um usuário a partir de um site falso a inserir informações pessoais ou financeiras. Naturalmente o usuário recebe um e-mail que apresenta informativo de uma instituição indicando um procedimento que ele deve fazer, como: “Atualize seus dados pessoais, clique aqui”. O usuário pensa que realmente é a instituição que lhe presta serviços e clica no link, automaticamente é aberta uma página com a aparência idêntica o da instituição no qual são solicitadas informações pessoais, como um número de conta, senhas, CPF e outros dados que serão enviados ao fraudador. Depois de capturados, seus dados pessoais e financeiros serão enviados para os fraudadores podendo ser utilizados em vários golpes financeiros. Para não cair nesse tipo de golpe o usuário não deve clicar em links suspeitos recebidos por e-mail.

Questão: (CESPE IPOJUCA 2010) Phishing scam são e-mails não solicitados que tentam convencer o destinatário a acessar páginas fraudulentas na Internet com o objetivo de capturar informações, como senhas de contas bancárias e números de cartões de crédito. (CERTO).

Questão: (CESPE 2005 ANS / MS) Ataques de um computador por cavalo-de-tróia consistem em exemplos de ataque de phishing, acarretando o tipo de roubo de informações ali descrito. (ERRADO).

Questão: (FCC 2010 TCE/SP) Mensagem não solicitada e mascarada sob comunicação de alguma instituição conhecida e que pode induzir o internauta ao acesso a páginas fraudulentas, projetadas para o furto de dados pessoais ou financeiros do usuário. Trata-se especificamente de

a) keylogger.

b) scanning.

c) botnet.

d) phishing.

e) rootkit.

Pharming “DNS Cache Poisoning – Envenenamento de DNS

Em um golpe de Phishing o usuário pode perceber através do endereço da página “URL” que está realmente caindo em um golpe, já que este endereço não tem nada haver com o da instituição, o site tem a aparência idêntica, mas o endereço denuncia o golpe. Através do golpe de Pharming o golpista tem praticamente o mesmo objetivo quando pratica Phishing, capturar informações sigilosas. A diferença é que no golpe de Pharming é muito difícil de identificar o golpe, porque o “Cracker” invade o servidor DNS alterando de forma não autorizada à ligação entre o “domínio” do site visitado e o “servidor hospedeiro”.

Ao digitar a URL do site que deseja acessar, o servidor DNS converte o endereço em no IP do servidor que armazena os arquivos do site. Se o servidor DNS estiver sendo vitima de um golpe de Pharming, o endereço apontará para um servidor falso que apresentará uma página fraudulenta que esteja sob controle de um golpista.

Professor Léo Matos | Informática para Concursos

10

Veja o exemplo abaixo:

| Informática para Concursos 10 Veja o exemplo abaixo: Questão: (CESPE 2008 PRF) Se o sistema

Questão: (CESPE 2008 PRF) Se o sistema de nomes de domínio (DNS) de uma rede de computadores for corrompido por meio de técnica denominada DNS cache poisoning, fazendo que esse sistema interprete incorretamente a URL (uniform resource locator) de determinado sítio, esse sistema pode estar sendo vítima de pharming. (CERTO)

Engenharia Social “Golpe da Lábia, Persuasão”

Nos golpes de engenharia social, normalmente o golpista tenta explorar a confiança do usuário, se fazendo passar por outra pessoa para induzi-lo a passar informações que facilitem uma invasão. Normalmente uma invasão começa a partir da engenharia social. Imagine um Crackerque quer invadir um computador e tenta de várias formas e não consegue, ele irá tentar explorar a ingenuidade das pessoas da instituição, enviando um e-mail ou telefonando pedindo que faça procedimentos que possam desabilitar ferramentas de segurança mesmo sem a pessoa perceber, o que facilitará o seu acesso a rede da empresa;

Questão: (ESAF 2005 Auditor da Receita) Engenharia Social é um termo que designa a prática de obtenção de informações por intermédio da exploração de relações humanas de confiança, ou outros métodos que enganem usuários e administradores de rede. (CERTO).

Ataques de negação de serviços (DOS Denial of Service)

É uma série de ataques que tentam inibir ou impedir o funcionamento de um Sistema deixando os recursos indisponíveis para seus utilizadores. Afeta diretamente o princípio da Disponibilidade.

Os principais alvos desse tipo de ameaça são os servidores, que são os principais responsáveis pelo fornecimento de informações aos programas clientes que as solicitam. Não se trata de uma invasão ao sistema, mas sim da sua invalidação por sobrecarga.

Muitas pessoas podem imaginar o porque desses ataques, dentre os principais objetivos estão:

Ataques de concorrência (para que os clientes fiquem insatisfeitos) prejudicando o desempenho da empresa, terrorismo.

Professor Léo Matos | Informática para Concursos

11

Questão: (CESPE 2011 IFB) Os ataques de negação de serviços são feitos por meio de abuso da ingenuidade ou confiança do usuário. (ERRADO).

Comentário: O Conceito descrito na questão pode ser associado a Engenharia Social.

Ping da Morte (Ping of Death)

O Ping da Morte utiliza um comando bastante comum entre os administradores de rede chamado de

PING para fazer um servidor parar de responder.

O comando PING é naturalmente utilizado para testar se um computador está respondendo a

solicitações ou não. Através protocolo ICMP o comando envia 4 pacotes de 32 Bytes para um computador de destino , se responder é porque está conectado corretamente, senão existe algum problema na conectividade.

corretamente, senão existe algum problema na conectividade. O comando PING enviou para o computador de IP

O comando PING enviou para o computador de IP 192.9.3.4 quatro pacotes ICMP e nem um foi

respondido

de IP 192.9.3.4 quatro pacotes ICMP e nem um foi respondido O comando PING enviou para

O comando PING enviou para o computador de IP 201.7.178.45 quatro pacotes ICMP e todos foram

respondidos

O envio dos pacotes mostrados no exemplo anterior não é malicioso, são de 32 Bytes cada e

compreendidos por qualquer sistema.

Professor Léo Matos | Informática para Concursos

12

No Ping da Morte os pacotes são enviados com mais de 64KB (65536 bytes). A placa de rede do computador que receberia esses pacotes teria sérios problemas ao responder tudo isso gerando lentidão e até travamento do servidor.

Foi bastante utilizado por muito tempo, é um ataque simples de fazer e pode ser feito de qualquer maquina com o “PROMPT COMMAND”, hoje não é muito comum, pois a maioria dos servidores tem sistemas que já suportam esses pacotes.

O Ping da Morte é um exemplo de ataque DOS do tipo Buffer OverFlow que consiste em uma série de ataques DOS com objetivo gerar uma sobrecarga em um sistema com dados maiores que o seu tamanho permitido.

Questão: (ESAF 2006 Ministério do Trabalho) O Ping da Morte (Ping of Death) é um recurso utilizado na Internet por pessoas mal intencionadas, que consiste:

 

a.

no envio de pacotes TCP/IP de tamanho inválidos para servidores, levando-os ao travamento ou ao impedimento de trabalho.

b.

na impossibilidade de identificação do número de IP de máquina conectada à rede. Desta forma, muitos dos serviços de segurança disponíveis deixam de funcionar, incluindo os "rastreamentos" que permitem a identificação de segurança das fontes de origem de ataques.

c.

em instalar em um computador conectado a uma rede um programa cliente que permite a um programa servidor utilizar esta máquina sem restrições.

d.

no mecanismo de "abertura" de portas e acha-se atualmente incorporado em diversos ataques de vírus.

e.

na captura e alteração de "pacotes" TCP/IP transmitidos pelas redes.

SYN Flooding

Também conhecido como ataque SYN é outro tipo de ataque de Negação de Serviços, na qual o atacante envia uma série de pacotes SYN para um servidor alvo com objetivo que ele fique respondendo e esperando uma resposta que não irá surgir, assim o servidor não conseguindo responder a outros usuários lícitos que estão tentando acessar os serviços, alcançando assim a negação de serviços.

Para lembrar o capítulo sobre conexão TCP/IP que aprendemos nos capítulos anteriores, em uma conexão cliente/servidor na Internet “chamado aperto de mão em três etapas”:

O cliente requisita uma conexão enviando um SYN (synchronize) ao servidor.

O servidor responde esta requisição mandando um SYN-ACK(acknowledge) de volta ao cliente.

O cliente por sua vez responde com um ACK, e a conexão está estabelecida.

Professor Léo Matos | Informática para Concursos

13

Professor Léo Matos | Informática para Concursos 13 No ataque SYN o atacante utiliza intencionalmente o

No ataque SYN o atacante utiliza intencionalmente o protocolo TCP de forma errada e incompleto, evitando que a última mensagem ACK seja enviada para estabelecer a conexão. O servidor irá esperar por isso por um tempo pensando que é um congestionamento normal de dados. Se todos os recursos estiverem ocupados com essa conexão, nenhuma nova conexão (legítima ou não) pode ser feita, resultando em negação de serviço. Alguns podem funcionar mal ou até mesmo travar se ficarem sem recursos desta maneira.

ou até mesmo travar se ficarem sem recursos desta maneira. “É como se você fosse um

“É como se você fosse um atendente e um cliente ficasse de propósito fazendo várias perguntas sem deixar você atender outras pessoas que estão na fila”.

Questão: (ESAF 2005 Auditor Fiscal da Receita) O SYN flooding é um ataque do tipo DoS, que consiste em explorar mecanismos de conexões TCP, prejudicando as conexões de usuários legítimos. (CERTO)

Spoffing

Um ataque spoofing envolve a falsificação “mascarar” o endereço IP para invasões ou outros tipos de ilicitudes.

Ataque DDOS (Distributed Denial of Service - Ataque de negação de serviços distribuídos)

Professor Léo Matos | Informática para Concursos

14

O ataque DDOS torna os sistemas de computadores inacessíveis inundando servidores, redes e até

mesmo computadores pessoais gerando um tráfego inútil, para que usuários legítimos não possam mais ter acesso a esses recursos. O atacante reúne uma grande quantidade de computadores comprometidos e reunidos para enviar pacotes sem nenhuma utilidade para o alvo.

Para iniciar o ataque DDOS o atacante instala programas chamados de ZUMBIS em várias máquinas que serão utilizadas para Executar o disparo para o alvo.

que serão utilizadas para Executar o disparo para o alvo. A diferença entre os ataques DOS

A diferença entre os ataques DOS e DDOS é a quantidade de computadores utilizados para esses

ataques. Quando o ataque surge de um só computador é chamado de DOS e quando são utilizados vários computadores é chamado DDOS.

Questão: (ESAF 2004 MPU Técnico Jud.) O Denial of Service (DoS) é um ataque que consiste em sobrecarregar um servidor com uma quantidade excessiva de solicitações de serviços. Há muitas variantes, como os ataques distribuídos de negação de serviço (DDoS) que paralisam vários sites ao mesmo tempo. (Certo)

Smurf

O Smurf é outro tipo de ataque de negação de serviço em que o atacante envia uma seqüência de

pacotes ICMP através do comando Ping para um endereço de broadcast (para todos os computadores

da rede). Utilizando o spoofing o atacante faz com que o os computadores da rede encaminhe vários

pacotes de respostas ao mesmo tempo, mas não para o seu endereço, mas para o IP da vítima que não funcionará de modo correto pelo excesso de pacotes. Caro leitor você deve estar se perguntando, mas como ele conseguiu utilizar o IP da vítima para enviar estes pacotes? A resposta está em outro ataque que vimos anteriormente o Spoofing.

Outras ameaças

SPAM

São E-mails não solicitados “indesejados” pelo usuário que geralmente são enviados para um grande número de pessoas “em massa”. O conteúdo destes e-mails podem ser propagandas e também é um dos mais utilizados meios para propagação de ameaças de todos os tipos. Por um SPAM pode ser enviado programas maliciosos em anexo e aplicado golpes como o de Phishing “site falso”.

Professor Léo Matos | Informática para Concursos

15

Os SPAMS são grandes causadores de improdutividade dentro de uma organização já que o usuário perde muito tempo lendo e-mails desnecessários.

Quem pratica SPAM é chamado de SPAMMER.

Questão: (FUNIVERSA PCDF 2009) Spam é o termo usado para se referir aos e-mails solicitados, que geralmente são enviados para um grande número de pessoas. (ERRADO).

HOAX

São histórias falsas, boatos, lendas urbanas distribuídas via Internet. Naturalmente recebidas por e- mail, sites de relacionamentos. Muitos Hoax circulam na Internet como: criança com Leucemia, Michel Jackson não morreu, e um dos mais conhecidos que diz que existe um vírus com ícone de um urso e que você deve encontrá-lo através da pesquisa do Windows digitando seu nome jdbgmgr.exe. Esse arquivo não deve ser apagado faz parte do Sistema e as pessoas apagavam pensando ser realmente um vírus.

Agora que aprendemos sobre as principais ameaças a Segurança da Informação, vamos falar das contramedidas, ou seja, as ferramentas mais utilizadas para combater essas ameaças e garantir os principios da segurança da informação vistos anteriormente.

 

Questão: (CESPE 2008 PRF) Quando enviado na forma de correio eletrônico para uma quantidade considerável de destinatários, um hoax pode ser considerado um tipo de spam, em que o spammer cria e distribui histórias falsas, algumas delas denominadas lendas urbanas. (CERTO).

Questão: (FCC 2009 TJ PI Téc. Judiciário) Evite a Propagação de Hoaxes. A precaução mencionada acima tem por motivo a ciência de que frequentemente:

a)

ocorre a execução de programas antivírus não certificados.

b)

são executados arquivos anexados em sites maliciosos.

c)

existe falta de controle sobre arquivos lidos nos sites.

d)

ocorrem boatos espalhados para fins maliciosos ou para desinformação via e-mail.

e)

não são instalados programas antivírus

Técnicas de Segurança

Segurança pode ser entendido com um estado no qual estamos livres de perigos e incertezas. Em uma organização, aplica-se o termo segurança aos chamados ativos, ou seja, a tudo aquilo que possui valor para a organização.

É comum que as organizações possuam departamento de segurança patrimonial, que cuida da segurança física, e outro departamento de segurança lógica, responsável pela segurança dos sistemas de Tecnologia da Informação (TI).

Professor Léo Matos | Informática para Concursos

16

Classificação dos ativos:

Tangível Mobiliário em geral, informações impressas ou em mídia.

Intangível Imagem da empresa, confiabilidade na marca de determinado produto ou a própria marca, o conhecimento dos funcionários etc.

Classificação dos tipos de proteção:

Proteção lógica São controles efetuados através de Software como: Firewall, Anti vírus, senhas e outros.

Proteção física Portas, fechaduras, catracas eletrônicas, dados biométricos (digital e íris).

Proteção administrativa Conjunto de regras e procedimentos, políticas de segurança, boletins semanais de segurança, não adianta se a empresa investe bilhões na proteção física e lógica se não investir também em treinamentos para seus funcionários, ou seja, na conscientização dos mesmos.

Questão: (CESPE 2010 TRT/RN) No governo e nas empresas privadas, ter segurança da informação significa ter-se implementado uma série de soluções estritamente tecnológicas que garantem total proteção das informações, como um firewall robusto que filtre todo o tráfego de entrada e saída da rede, um bom software antivírus em todas as máquinas e, finalmente, senhas de acesso a qualquer sistema. (ERRADO).

Comentário: Existem meios de segurança que não tem haver com a tecnologia propriamente dita, como treinamentos e outros.

Antivírus

São programas que varrem o computador em busca de programas maliciosos para removê-los. Protege um computador contra infecção por programas maliciosos de vários tipos. Atualmente trazem mecanismos que conseguem detectar cavalos de tróia, spywares e outros.

São funções de um Antivírus eficiente:

• identificar e eliminar a maior quantidade possível de vírus e outros tipos de malware “programas

maliciosos”;

• analisar os downloads pela Internet;

• verificar continuamente os discos rígidos (HDs), disco removíveis (disquetes, pendrives);

• procurar por programas maliciosos nos anexos dos e-mails.

• possibilitar a atualização das assinaturas de novos vírus que venham a surgir no mercado de forma automática.

É importante destacar que para aumentar a eficiência da proteção pelo antivírus ele deve estar atualizado constantemente.

Não são funções de um Antivírus:

Professor Léo Matos | Informática para Concursos

17

Não é capaz de impedir que um Hacker explore vulnerabilidades do seu sistema, como portas abertas e outros.

Não protege contra ataques DOS.

Não é capaz de proteger contra um acesso não autorizado por um Backdoor ou cavalo de tróia que já estejam instalados no computador do usuário.

Questão: (CESPE - CEHAP PB 2009 ) Programas de antivírus fazem varreduras no computador para procurar arquivos maliciosos disseminados pela transferência de arquivos. (CERTO).

Questão:(CESPE BB 2007) Para que um computador esteja efetivamente protegido contra a ação de vírus de computador e contra ataques de hackers, é suficiente que haja, no computador, um programa antivírus que tenha sido atualizado há, no máximo, três meses, sendo desnecessário, atualmente, o uso de firewall no combate a ataques de hackers. (ERRADO).

Firewall

no combate a ataques de hackers. (ERRADO). Firewall Um firewall é uma barreira de proteção por

Um firewall é uma barreira de proteção por onde todo tráfego de dados precisa passar. Um Firewall pode ser projetado para fazer:

- Controle de tráfego separando redes, como por exemplo: uma rede privada de uma rede pública (internet).

- Controle de acesso para proteger um computador ou uma rede contra acessos não autorizados

“invasões”.

- Filtragens de pacotes IP para saber se são pacotes autorizados a entrar na rede ou sair da rede.

- Bloquear as tentativas de invasão a um computador e possibilitar a identificação das origens destas

tentativas através de um LOG “histórico de eventos”.

- Efetuar controle de portas e serviços. Por exemplo, bloquear o serviço de troca de mensagens instantâneas pelo MSN e serviços de FTP.

Algumas dúvidas sobre o Firewall que são feitas em minhas aulas serão respondidas aqui neste livro também.

Professor o Firewall protege contra vírus?

Essa é uma questão bem delicada. Leia a questão e perceba o que ela tenta informar para você. Em um contexto geral o Firewall protege contra algumas ações de programas maliciosos como vírus,

Professor Léo Matos | Informática para Concursos

18

cavalo de tróia. Como por exemplo, a tentativa de um programa que já está instalado em um computador enviar mensagens ou tentar acessar o seu computador de forma não autorizada. Veja as questões abaixo dentro dessa situação:

(CESPE IBRAM SEPLAG 2009) O firewall é indicado para filtrar o acesso a determinado computador ou rede de computadores, por meio da atribuição de regras específicas que podem negar o acesso de usuários não autorizados, assim como de vírus e outras ameaças, ao ambiente computacional.

Questão considerada verdadeira. Já que o CESPE diz que o Firewall filtra o acesso através de regras que serão utilizadas para negar o acesso de usuários não autorizados. Um usuário malicioso pode ter instalado um vírus ou cavalo de tróia em um computador qualquer da empresa e programar que este tente acessar de forma não autorizada ou enviar mensagens para outro computador da rede.

Veja que a questão diz sobre o acesso não autorizado não importa qual é o agente se é um programa malicioso ou se é uma pessoa através do acesso remoto “a distância”.

(CESPE CFO PMDF 2010) Caso um computador tenha sido infectado por um cavalo de troia, a presença de um firewall instalado na estação de trabalho será irrelevante, já que este tipo de programa, apesar de impedir que dados indesejados entrem no computador, não consegue impedir que o cavalo de troia transmita informações do usuário desse computador para outros computadores.

Questão considerada Falsa. O Firewall não consegue impedir que um programa malicioso infecte um computador, mas garante proteção contra um programa depois de instalado efetue ações diversas para outros computadores.

Professor o Firewall protege contra um vírus infectar arquivos do meu computador?

Veja só, quem protege e varre o computador em busca de programas maliciosos são os programas antivírus. O Firewall não faz esse tipo de operação, por isso é importante usar um Firewall e um Antivírus para uma maior segurança de nosso computador.

Veja a questão abaixo:

(CESPE SEPLAG 2009) Apesar de firewalls serem ferramentas que podem ser utilizadas para a proteção de computadores contra ataques de hackers, eles não são suficientes para evitar a contaminação de computadores por vírus.

Questão considerada verdadeira: O Firewall não garante que um computador não seja infectado por vírus.

Professor o Firewall pode identificar um SPAM?

O mecanismo mais utilizado é o filtro Anti-SPAM, que analisa nossos e-mails em busca de palavras chaves que podem denunciar um SPAM e enviá-los para uma pasta chamada naturalmente de Lixo Eletrônico onde ficarão todos e-mails suspeitos de serem mensagens não solicitadas pelo usuário.

Professor Léo Matos | Informática para Concursos

19

O Firewall de acordo com os conceituados autores “William Stallings” e “Andrew S. Tanenbaum” pode sim ser projetados de acordo com a política se segurança de cada organização para filtrar mensagens eletrônicas e consultar palavras que denuncie a presença de um SPAM. Veja as definições dadas:

“Controle de comportamento: Controla como determinados serviços são usados. Por exemplo, o Firewall pode filtrar e-mail para eliminar SPAM ”

Livro: Criptografia e Segurança de Redes Autor: William Stallings

“A segunda metade do mecanismo de firewall é o gateway de aplicação. Em vez de apenas examinar pacotes brutos, o gateway de aplicação opera na camada de aplicação. Por exemplo, um gateway de correio eletrônico pode ser configurado de forma a examinar cada mensagem recebida ou enviada pode tomar a decisão transmitir ou descartar cada mensagem com base no cabeçalho, no tamanho da mensagem ou até mesmo em seu conteúdo ”

Livro: Redes de computadores Autor: Andrew S. Tanenbaum

Eu considero que o Firewall realmente pode ser utilizado para analisar e-mails e identificar SPAM conceito esse dados pelos autores citados anteriormente.

O Microsoft Windows tem um firewall interno que pode ser utilizado pelos usuários como um Firewall pessoal para proteger seu computador contra o acesso não autorizado ou avisar o usuário que tem alguém tentando invadir seu computador. A Microsoft dá o seguinte conceito a respeito do seu programa firewall:

“Um firewall pode ajudar a impedir que hackers ou softwares mal-intencionados (como worms) obtenham acesso ao seu computador através de uma rede ou da Internet. Um firewall também pode ajudar a impedir o computador de enviar software mal-intencionado para outros computadores.”

Conceito dentro do que foi falado anteriormente, mas lembre-se que protege contra as ações descritas acima e não contra infecção, verificação e instalação de programas maliciosos.

Questão: (CESPE IBRAM SEPLAG 2009) O firewall é indicado para filtrar o acesso a determinado computador ou rede de computadores, por meio da atribuição de regras específicas que podem negar o acesso de usuários não autorizados, assim como de vírus e outras ameaças, ao ambiente computacional. (CERTO).

Questão: (CESPE 2011 TRE/ES) Para se abrirem arquivos anexados a mensagens recebidas por correio eletrônico, sem correr o risco de contaminar o computador em uso, é necessário habilitar o firewall do Windows. (ERRADO).

Professor Léo Matos | Informática para Concursos

20

Questão: (CESPE 2010 BRB) O firewall, mecanismo que auxilia na proteção de um computador, permite ou impede que pacotes IP, TCP e UDP possam entrar ou sair da interface de rede do computador. (CERTO)

Proxy

O proxy é um computador que funciona como intermediário entre um navegador da Web (como o

Internet Explorer) e a Internet. Em casa usuários fazem suas conexões a Internet de forma direta, ou seja, não tem algo impedindo que acesse determinados sites, ou que utilize determinado serviço. Em organizações é comum se utilizar um Proxy para intermediar essas conexões filtrando alguns tipos de conteúdos vindos da Web, sendo utilizado para bloquear acesso a sites que podem diminuir a produtividade dos funcionários.

O proxy também ajuda a melhorar o desempenho da abertura de páginas, já que ele armazena cópia

das páginas utilizadas com mais freqüência.Quando um navegador solicita uma página que já foi acessada anteriormente e está armazenada no proxy, o navegador não busca no servidor de origem da

página, e sim no proxy o que é mais rápido do que acessar a Web.

Algumas provas podem considerar o Proxy um exemplo de Firewall, o que é aceito.

Questão: (CESPE 2011FUB) Se o acesso à Internet ocorrer por meio de um servidor proxy, é

possível que seja necessária uma autenticação por parte do usuário, que deve fornecer nome e senha

de acesso. (CERTO).

Questão: (ESAF 2006 Técnico da Receita Federal) Um proxy é um servidor que atua como "ponte". Uma conexão feita através de proxy passa primeiro pelo proxy antes de chegar no seu destino, por exemplo, a Internet. Desse modo, se todos os dados trafegam pelo proxy antes de chegar à Internet, eles podem ser usados em redes empresariais para que os computadores tenham conexão à Internet limitada e controlada. (CERTO).

Criptografia

A

criptografia é uma técnica matemática para embaralhar informações para que os dados possam sair

da

origem e chegar ao destino de forma sigilosa.

Para acontecer o processo criptográfico, ou seja, o embaralhamento das informações, existem dois elementos de grande importância, o Algoritmo criptográfico (programa de criptografia) e a chave (segredo da criptografia).

Veja abaixo:

Professor Léo Matos | Informática para Concursos

21

Professor Léo Matos | Informática para Concursos 21 1. O remetente utiliza um programa (algoritmo criptográfico)

1. O remetente utiliza um programa (algoritmo criptográfico) de criptografia para cifrar (criptografar) uma mensagem.

2. O programa utiliza uma chave para embaralhar a mensagem.

3. A mensagem cifrada é enviada ao destinatário

4. O destinatário recebe a mensagem cifrada e deve utilizar um programa de criptografia (natural que seja o mesmo algoritmo utilizado no envio) para decifrar utilizando a chave que

é o segredo.

5. Se por acaso alguém interceptá-la no caminho e não tiver a chave, não vai entender o conteúdo da mensagem porque estará totalmente cifrada (incompreensível) garantindo assim

o princípio da Confidencialidade.

É importante destacar que sem o conhecimento da chave não é possível decifrar o texto cifrado. Assim, para manter uma informação secreta, basta cifrar a informação e manter em segredo a chave.

Existem duas técnicas de criptografias muito importantes para provas de concursos, são elas:

simétrica e Assimétrica.

Simétrica (chave única): A criptografia simétrica realiza a cifragem e a decifragem de uma informação através de algoritmos que utilizam a mesma chave. A chave que cifra é a mesma que deve ser utilizada para decifrar.

Como a mesma chave deve ser utilizada na cifragem e na decifragem, a chave deve ser compartilhada entre quem cifra e quem decifra os dados, ou seja, deve ser enviada da origem ao destino. A troca de chaves deve ser feita de forma segura, uma vez que todos que conhecem a chave podem decifrar a informação cifrada ou mesmo reproduzir uma informação cifrada.

cifrada ou mesmo reproduzir uma informação cifrada. “A senha é 12345” o programa utilizou uma chave

“A senha é 12345” o programa utilizou uma

chave que tornou a mensagem criptografada assim “#&1aa@12*s!90” que depois foi enviada. Ao

A ilustração acima mostra que a mensagem normal é

Professor Léo Matos | Informática para Concursos

22

destinatário chega a mensagem criptografada e a chave, que serão utilizadas pelo programa para decifrar a mensagem “A senha é 12345”.

A chave que cifrou foi a mesma que decifrou!

É importante destacar que as chaves criptográficas são formadas por números binários, exatamente como aprendemos no capítulo sobre Hardware, a linguagem do 0 e 1.

Imagine uma chave assim: 010010001010101110101010101011100

As chaves são conjuntos de bits que serão utilizados pelos algoritmos (programas) para cifrar uma mensagem criando segredos aleatórios.

Uma chave de 4 bits daria a possibilidade de 2 4 combinações, ou seja, são 4 dígitos que podem assumir apenas dois valores (0 e 1) pode assumir 16 combinações diferentes. Portanto alguém que está tentando descobrir qual a chave para decifrar uma mensagem criptografada por uma chave de 4 bits precisaria testar 16 combinações diferentes, o que seria bastante simples para programas que fazem esse tipo de teste para descobrir de FORÇA BRUTA o segredo de uma chave.

Uma chave de 16 bits já seria mais complicada de ser descoberta, combinações de 2 16 , ou seja,

65.536 tentativas para tentar descobrir qual a chave utilizada.

Quanto maior a quantidade de bits que tenha uma chave, mais difícil descobrirem qual é o segredo da mensagem.

Os

principais

algoritmos

de

criptografia simétrica

que são

utilizados

disponíveis na Internet são: DES, 3DES e AES.

por vários

programas

DES( Data Encryption Standard) O DES é atualmente considerado inseguro para muitas aplicações, pois possui chave de 56 bits.

3DES(Triplo DES) é um padrão de criptografia baseado no algoritmo de criptografia DES desenvolvido pela IBM. Utiliza 3 chaves de 56 bits resultando uma chave de 168 bits.

AES (Advanced Encryption Standard) também conhecido por Rijndael, utiliza chaves de 256 bits.

Assimétrica (chave pública): Os algoritmos de chave pública operam com duas chaves distintas:

chave privada e chave pública. Essas chaves são geradas simultaneamente e forma um par dependente, ou seja, possibilita que a operação executada por uma seja revertida pela outra. A chave privada deve ser mantida em sigilo e protegida e não deve ser passada para ninguém. A chave pública é disponibilizada e tornada acessível a qualquer indivíduo que deseje se comunicar com o proprietário da chave privada correspondente. Imagine que um “usuário A” precisa se comunicar com um “usuário B” de forma sigilosa utilizando criptografia assimétrica. O “usuário A” tem duas chaves (pública e privada) que são dependentes, a chave privada ele guarda em segredo e disponibiliza sua chave pública para quem quer se comunicar com ele, no caso ao “usuário B”. Quando o “usuário B” precisar enviar uma mensagem criptografada para “A” utilizará a chave pública de “A” para cifrar e enviará. Quando o “usuário A” receber a mensagem ele utilizar a chave que forma o par, ou seja, a chave privada, que só ele conhece e que foi mantida em segredo para decifrar a mensagem recebida.

Professor Léo Matos | Informática para Concursos

23

Professor Léo Matos | Informática para Concursos 23 O principal algoritmo utilizado na criptografia assimétrica é

O principal algoritmo utilizado na criptografia assimétrica é o RSA utilizado em correio eletrônico,

páginas de comércio eletrônico. O RSA utiliza chaves quem podem variar de 256 a 4096 bits.

A chave pública do destinatário vai cifrar a mensagem, e a chave privada do destinatário que vai

decifrar a mensagem. Veja que as chaves são dependentes e se completam para o processo da criptografia assimétrica acontecer.

Simétrica x Assimétrica

Simétrica

Assimétrica

Utiliza uma única chave. A chave que cifra é a mesma que decifra.

Utiliza duas chaves distintas. Uma chave cifra e outra decifra.

A

chave deve ser compartilhada entre os

A chave privada deve ser mantida em segredo e não deve ser compartilhada, a pública é a que deve ser compartilhada.

usuários

Considerada menos segura já que a chave deve ser compartilhada

É mais segura, pois a chave que decrifra a mensagem está mantida em segredo, e só quem a tem pode decifrar uma mensagem.

Processo rápido e simples de criptografia.

Processo mais lento e complexo.

Algoritmos DES, 3DES, AES

Algoritmo RSA

Questão: (ESAF 2006 MTE Auditor Fiscal) Um algoritmo de criptografia simétrica requer que uma chave secreta seja usada na criptografia e uma chave pública diferente e complementar da secreta, utilizada no processo anterior, seja utilizada na decriptografia. Devido à sua baixa

Professor Léo Matos | Informática para Concursos

24

velocidade, a criptografia simétrica é usada quando o emissor de uma mensagem precisa criptografar pequenas quantidades de dados. A criptografia simétrica também é chamada criptografia de chave pública. (ERRADA)

Questão: (FGV 2006 SEFAZ/MS) No contexto da criptografia, um método emprega um tipo de

chave, em que o emissor e o receptor fazem uso da mesma chave, usada tanto na codificação como

na decodificação da informação. Esse método é conhecido por:

a) assinatura digital.

b) assinatura cifrada.

c) chave simétrica.

d) chave primária.

e) chave assimétrica.

Questão: (FUNIVERSA PCDF 2009) Criptografia é uma ferramenta que pode ser usada para manter informações confidenciais e garantir sua integridade e autenticidade. Os métodos criptográficos podem ser subdivididos em três grandes categorias, de acordo com o tipo de chave utilizada: criptografia de chave única, criptografia de chave pública e criptografia de chave privada. (ERRADA).

Questão: (CESPE 2010 AGU) Um arquivo criptografado fica protegido contra contaminação por vírus. (ERRADO)

Questão: (CESPE IPOJUCA 2010) A criptografia é uma solução indicada para evitar que um arquivo seja decifrado, no caso de ele ser interceptado indevidamente, garantindo-se, assim, o sigilo das informações nele contidas. (CERTO).

Vimos que a criptografia assimétrica utilizada nos exemplos anteriores garante que o “usuário A” troque informações como o “usuário B” de forma sigilosa garantindo o principio da confidencialidade, mas também pode ser utilizada para garantir o principio da autenticidade e não repúdio quando utilizada na assinatura digital.

Assinatura digital

A assinatura digital utiliza a criptografia assimétrica para garantir que o destinatário possa conferir a

Autenticidade do documento recebido. As chaves são aplicadas no sentido inverso de quando são utilizadas para garantir sigilo. O autor de um documento utiliza sua chave privadapara assiná-lo de

modo a garantir sua autoria em um documento, já que só ele conhece sua chave privada, garantindo que ninguém possa ter uma assinatura igual a sua, princípio da Autenticidade.

Professor Léo Matos | Informática para Concursos

25

Professor Léo Matos | Informática para Concursos 25 Se o “usuário A” assinar um documento com

Se o “usuário A” assinar um documento com sua chave privada e enviar para o “usuário B”, ele poderá conferir se a assinatura é verdadeira, pois tem acesso à chave pública de “A”. Além disto, qualquer outra pessoa que possui a chave pública de “A” poderá conferir também a assinatura.

A assinatura digital garante a AUTENTICIDADE e o NÃO REPÚDIO. O usuário que receber o

documento assinado tem a garantia de que a assinatura é realmente do remetente e que ele não pode negar a autoria;

Imagine! Se eu enviar uma mensagem avisando de um curso que estou fazendo no valor de 800,00 e assino digitalmente com a minha chave privada, envio para várias pessoas que tem minha chave

pública para conferir. Não posso negar que fui eu que enviei, concorda? Principio do Não repúdio! E

se alguém alterar o conteúdo da mensagem no caminho? Por exemplo, alguém interceptou e alterou o

valor do curso para 8,00 e chegou assim para todas as pessoas que enviei. Logo depois chegou alguém e falou: “Legal a sua iniciativa de colocar o valor do curso de 8,00”. Eu viro e falo: “Eu não coloquei isso, o preço é 800,00”. A pessoa vira e fala: “Não professor! você assinou, eu conferi com sua chave pública, e o senhor não pode negar”. É dentro deste exemplo que se percebe que a Assinatura digital tem que usar algum mecanismo para garantir que a mensagem não seja alterada durante o transito garantindo o principio da integridade, esse mecanismo é chamado de FUNÇÃO DE HASH.

A função de HASH é um resumo da mensagem que será enviada. É um método matemático que

utiliza criptografia para garantir a integridade (não modificação) dos dados que serão enviados.

Teoricamente o "hash” é a transformação de uma grande quantidade de informações em uma pequena quantidade de informações, ou seja, um resumo.

Depois de criado o “hash” da mensagem, será enviado junto com a mensagem ao destinatário, que através de um programa irá calcular o hash para ver se tem exatamente as mesmas características do documento enviado.

Professor Léo Matos | Informática para Concursos

26

Professor Léo Matos | Informática para Concursos 26 O resumo criptográfico é o resultado retornado por

O resumo criptográfico é o resultado retornado por uma função de hash. Este pode ser comparado a uma impressão digital, pois cada documento possui um valor único de resumo e até mesmo uma pequena alteração no documento, como a inserção de um espaço em branco, resulta em um resumo completamente diferente garantindo assim que o destinatário possa saber se a mensagem foi alterada durante o envio.

Os algoritmos de Hash mais utilizados são MD4 e MD5 que utilizam 148 bits e o SHA-1 que utiliza 160 bits.

A assinatura digital garante:

Autenticidade, Não repúdio (utilizando as chaves da criptografia assimétrica) Integridade (utilizando o HASH) e a Integridade. Não garante a Confidencialidade, pois não cifra o conteúdo da mensagem, utiliza a criptografia para assinar e conferir documentos.

Questão: (CESPE - CEHAP PB 2009 ) Assinatura digital é um conjunto de instruções matemáticas embasadas na criptografia que permite conferir autenticidade, privacidade e inviolabilidade a documentos digitais e transações comerciais efetuadas pela Internet. (ERRADO)

Comentário: Inviolabilidade está sendo utilizado como sinônimo de Integridade.

Questão: (CESPE - CEF 2010) A assinatura digital facilita a identificação de uma comunicação, pois baseia-se em criptografia simétrica de uma única chave. (ERRADO)

Questão: (CESPE CEF 2010) Acerca de certificação e assinatura digital, assinale a opção correta.

a) O uso da assinatura digital não garante que um arquivo tenha autenticidade no seu trâmite.

b) A assinatura digital é uma ferramenta que garante o acesso a determinados ambientes

eletrônicos por meio de biometria, com uso do dedo polegar.

c) A assinatura digital do remetente é utilizada para criptografar uma mensagem que será

decriptografada pelo destinatário possuidor da respectiva chave pública. d) A chave privada do remetente de uma mensagem eletrônica é utilizada para assinar a mensagem. e) Para verificar se a mensagem foi de fato enviada por determinado indivíduo, o destinatário deve utilizar a chave privada do remetente.

Questão: (CESPE 2010 Pref. Boa Vista) Por princípio, considera-se que qualquer documento assinado digitalmente está criptografado. (ERRADO)

Professor Léo Matos | Informática para Concursos

27

Questão:(CESGRANRIO 2008 CEF) Quais princípios da segurança da informação são obtidos com o uso da assinatura digital?

A. Autenticidade, confidencialidade e disponibilidade.

B. Autenticidade, confidencialidade e integridade.

C. Autenticidade, integridade e não-repúdio.

D. Autenticidade, confidencialidade, disponibilidade, integridade e não-

repúdio. E. Confidencialidade, disponibilidade, integridade e nãorepúdio.

A assinatura digital tem validade jurídica?

Assinatura digital é uma forma eficaz de garantir autoria de documentos eletrônicos, então surge em agosto de 2001, a Medida Provisória 2.200 que garante a validade jurídica de documentos eletrônicos

e a utilização de certificados digitais para atribuir autenticidade e integridade aos documentos

tornando a assinatura digital com validade jurídica. Muitas pessoas devem imaginar que é fácil encontrar uma assinatura digital igual para vários usuários, isso é quase impossível, porque vimos anteriormente que a assinatura digital utiliza uma chave privada juntamente com o resumo da mensagem para criar o código que será anexado a mensagem. Portanto a assinatura gerada é diferente para cada documento, pois está relacionada ao resumo do documento + chave privada do usuário. Veja abaixo:

do documento + chave privada do usuário. Veja abaixo: Para que a assinatura digital tenha validade

Para que a assinatura digital tenha validade jurídica as chaves devem ser adquiridas ou (e) registradas por uma entidade certificadora que seja reconhecida pelo Brasil. A autoridade certificadora emitirá um Certificado digital que garante que as chaves do usuário realmente existem e que estão registradas para ele.

Se eu assinar um documento digitalmente e envio para o destinatário ele irá utilizar a minha chave

pública para conferir o documento, se quiser ter certeza que a chave pública realmente é verdadeira “lícita” eu apresento meu certificado digital e ele poderá verificar se alguma autoridade certificadora garante que a chave pública que está utilizando pertence a minha pessoa.

CERTIFICADO DIGITAL

O certificado digital é um arquivo eletrônico que contém dados de uma pessoa ou instituição,

utilizados para comprovar sua identidade.

Um Certificado Digital normalmente apresenta as seguintes informações:

Professor Léo Matos | Informática para Concursos

28

nome da pessoa ou entidade a ser associada à chave pública

período de validade do certificado

chave pública

nome e assinatura da entidade que assinou o certificado

número de série

da entidade que assinou o certificado  número de série O Certificado digital é a garantia

O Certificado digital é a garantia de que a chave pública que será utilizada tanto na conferência de uma Assinatura digital quanto na criptografia de dados faz parte realmente da instituição que o usuário está se comunicando.

Questão: (CESPE 2010 CEF) Um certificado digital é pessoal, intransferível e não possui data de validade. (ERRADO).

Questão: (CESPE - CEHAP PB 2009 ) Certificado digital é um arquivo eletrônico que contém dados referentes a uma pessoa ou instituição, que podem ser utilizados para comprovar sua identidade. (CERTO).

Questão: (FCC BACEN 2010) O Certificado Digital é um arquivo eletrônico que contém os dados de uma pessoa ou instituição, utilizados para comprovar sua identidade. Dentre as principais informações encontradas em um Certificado Digital, referentes ao usuário, citam- se:

(A)

códigos de acesso ao sistema.

(B)

informações biométricas para leitura ótica.

(C) número de série e período de validade do certificado.

(D)

dados de identificação pessoal: RG, CPF ou CNPJ.

(E)

dados de localização: endereço e Cep.

Professor Léo Matos | Informática para Concursos

29

Os certificados digitais são emitidos por uma entidade chamada de AC ou CA (Autoridade Certificadora) que atesta que a chave pública do usuário registrado é autentica.

que a chave pública do usuário registrado é autentica. Entre os campos obrigatórios do certificado digital

Entre os campos obrigatórios do certificado digital encontra-se a identificação e a assinatura da entidade que o emitiu, os quais permitem verificar a autenticidade e a integridade do certificado, veja no exemplo acima que a organização Thawte Premium Server foi a Autoridade que Emitiu o certificado para o Banco do Brasil. A AC é o principal componente de uma Infra-Estrutura de Chaves Públicas e é responsável pela emissão dos certificados digitais.

Devo confiar em uma Autoridade Certificadora?

Confiar em um certificado emitido por uma AC é similar ao que ocorre em nosso dia a dia por transações que não ocorrem de modo eletrônico. Por exemplo, uma pessoa ao chegar em uma loja para fazer compras parceladas irá utilizar documentos como CPF ou RG para se identificar antes de efetuar a compra para dar garantir uma garantia a empresa que irá efetuar o pagamento. Estes documentos normalmente são emitidos pela Secretaria de Segurança de Pública e pela Secretaria da Receita Federal e a empresa que está vendendo tem que confiar que esses documentos realmente existem. Da mesma forma, os usuários podem escolher uma AC à qual desejam confiar à emissão de um certificado digital.

Para a emissão dos certificados, as ACs possuem deveres e obrigações que são descritos em um documento chamado de Declaração de Práticas de Certificação DPC. A DPC dever ser pública, para permitir que as pessoas possam saber como foi emitido o certificado digital. Entre as atividades de uma AC, a mais importante é verificar a identidade da pessoa ou da entidade antes da emissão do certificado digital. O certificado digital emitido deve conter informações confiáveis que permitam a verificação da identidade do seu titular.

ICP BRASIL (Infra-Estrutura de Chaves Públicas do BRASIL)

Para autenticar, homologar, auditar e fiscalizar o certificado digital, é necessário uma estrutura que seja uma espécie de “cartório virtual”, começando pela Autoridade Certificadora Raiz (AC Raiz), que é o principal nó de confiança para todos os outros abaixo dele - podem ser outras AC subordinadas, que devem possuir uma cópia da chave pública da AC Raiz, e/ou Autoridades de Registro (AR) para ajudá-las, já que é necessário ir fisicamente a uma AR e provar, com documentação, que você é realmente quem diz ser ou que é o dono de uma empresa, criando assim uma ICP (Infra-estrutura de chaves públicas).

Professor Léo Matos | Informática para Concursos

30

A Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil) é uma cadeia hierárquica e de confiança

que permite a emissão de certificados digitais para identificação de um usuário ou entidade quando efetuada transações no meio eletrônico como a Internet.

A Infraestrutura da ICP Brasil é composto de:

A Infraestrutura da ICP – Brasil é composto de: (AC Raiz) Autoridade certificador Raiz: Autoridade

(AC Raiz) Autoridade certificador Raiz: Autoridade certificadora raiz é o topo da infra-estrutura ICP-Brasil sendo responsável por controlar a emissão das chaves públicas e garantir que Autoridades Certificadoras intermediárias são legais. A AC RAIZ emite um certificado digital para as

Autoridades intermediárias, mas não pode emitir certificados para os usuários finais. O ITI (instituto

de tecnologia da Informação) vinculada ao governo Brasileiro é a AC RAIZ da ICP-Brasil.

(AC) Autoridade certificadora intermediária: São subordinadas a AC RAIZ e devem seguir as regras para emissão dos certificados digitais para os usuários finais. Qualquer organização pode ser uma AC e fazer parte da ICP-Brasil; para isso, basta se adequar às práticas, processos, regulamentos e políticas exigidos pela infra-estrutura de chave pública brasileira, que estão descritos em feita pelo Comitê Gestor, e requisitar o seu devido registro junto à AC Raiz. Assim que essa nova AC se incorpora à ICP-Brasil, os certificados emitidos por ela valem em todo o território nacional e têm validade jurídica. Existem ACs públicas e privadas. Ex.: AC CEF (caixa econômica), AC Certisign, AC JUS, AC Serpro e outros.

(AR ) Autoridade de Registro: São autoridades que ajudam as AC com os pedidos para obtenção de certificados digitais, já que é necessário ir fisicamente a uma AR e provar, com documentação, que você é realmente quem diz ser ou que é o dono de uma empresa. A obtenção de um certificado digital pode ser feito por qualquer pessoa jurídica ou física, bastando apresentar a documentação necessária a uma AR, que passará esses dados para a AC à qual é subordinada. A AR cria um par de chaves para o usuário e envia a chave pública para AC que assina e devolve o certificado para AR, com o nome, o e-mail, o CPF/CNPJ e a chave pública do seu titular, além do nome e sua assinatura (Autoridade Certificadora emissora), período de validade e número de série do certificado digital. A AR deve entregar o par de chaves (pública e privada) para o usuário, onde poderá optar pelo certificado em Software (enviado por e-mail ou armazenado no seu computador) ou em Hardware (Smart Cards ou Tokens USB).

Professor Léo Matos | Informática para Concursos

31

Professor Léo Matos | Informática para Concursos 31 Smart Card criptográfico Veja acima o certificado digital

Smart Card criptográfico

| Informática para Concursos 31 Smart Card criptográfico Veja acima o certificado digital do Google e

Veja acima o certificado digital do Google e perceba a hierarquia da infra-estrutura. A empresa Google adquiriu seu certificado com a AR Thawte SGC que está vinculada com Autoridade Certificadora Verisign que é subordinada AC Raiz do Brasil.

Validade do certificado

O certificado digital, diferentemente dos documentos utilizados usualmente para identificação pessoal como CPF e RG, possui um período de validade. Só é possível utilizar o certificado digital para assinar ou criptografar um documento enquanto o certificado é válido. É possível, no entanto, conferir as assinaturas realizadas mesmo após o certificado expirar.

Questão: (CESPE 2010 CEF) Acerca de certificação digital, assinale a opção correta.

A. A infraestrutura de chaves públicas é uma rede privada que garante que seus usuários possuem login e senha pessoais e intransferíveis.

B. Uma autoridade de registro emite o par de chaves do usuário que podem ser utilizadas tanto para criptografia como para assinatura de mensagens eletrônicas.

C. A autoridade certificadora raiz emite certificados para usuários de mais alto nível de sigilo em uma organização com uma chave de criptografia de 128 bits.

Professor Léo Matos | Informática para Concursos

32

D. A autoridade de registro recebe as solicitações de certificados dos usuários e as envia à autoridade certificadora que os emite. E. uso de certificado digital garante o repúdio de comunicações oriundas de usuários ou sítios que possuem certificados válidos e emitidos por entidades confiáveis.

SSL (Secure Socket Layer)

É um protocolo de segurança que utiliza criptografia para fazer comunicação entre o navegador e o

servidor de forma sigilosa.

Hoje a Internet é utilizada por muitas empresas para transações financeiras como é o caso de sites de comércio eletrônico e de bancos. Essas aplicações disponibilizarão ao cliente formulário para preenchimento de dados necessários para realizar a transação, como um site de comércio eletrônico faz disponibilizando campos, nome, endereço, telefone, CPF, número do cartão de crédito e outros. Assim o usuário deseja ter confiança de que estes dados preenchidos não serão vistos por pessoas não autorizadas.

É muito importante antes de efetuar qualquer transação via formulários verificar se o site que você

está utilizando garante o sigilo da comunicação entre você e o servidor, e para fazer isso basta

verificar o endereço do site. Se possuir o endereço com o protocolo HTTP quer dizer que o navegador não está se comunicando com o servidor de forma sigilosa, e se possuir HTTPS é a utilização do protocolo HTTP sobre uma camada de segurança (SSL) que criptografa as informações trocadas entre o navegador e o servidor.

as informações trocadas entre o navegador e o servidor. No exemplo acima estamos observando a área

No exemplo acima estamos observando a área de contatos do meu site com o endereço URL “http://www.leomatos.com.br”, que apresenta um formulário que será preenchido e enviado de forma não criptografada para o servidor, não garantindo o sigilo da comunicação.

Professor Léo Matos | Informática para Concursos

33

Professor Léo Matos | Informática para Concursos 33 No exemplo acima estamos área de abertura de

No exemplo acima estamos área de abertura de contas do site do Banco do Brasil com a URL “HTTPS:// www16.bancodobrasil.com.br”,que apresenta um formulário que será preenchido e enviado de forma criptografada para o servidor garantindo que se alguém interceptar as informações no caminho não conseguirá entendê-las garantindo o principio da confidencialidade.

Embora o serviço que mais utilize o SSL seja o serviço de navegação na Web não se limita apenas essa finalidade.

Naturalmente quando acessos um site que utiliza o protocolo HTTPS podemos observar a presença de um cadeado ao lado do endereço no navegador utilizado.

de um cadeado ao lado do endereço no navegador utilizado. A presença do cadeado não garante

A presença do cadeado não garante que o site é autêntico (verdadeiro) podendo até mesmo o usuário estar utilizando um site falso (golpe de phishing). Até mesmo os sites falsos podem apresentar o desenho do cadeado.

Então o que garante que o usuário está preenchendo um formulário e que o servidor que receberá a mensagem é verdadeiro?

O usuário deve verificar se o site está utilizando realmente a chave pública do Banco do Brasil para criptografar os dados do formulário através do certificado digital.

Para visualizar o certificado digital do Banco do Brasil basta o usuário clicar sobre o cadeado e pedir para exibi-lo.

Professor Léo Matos | Informática para Concursos

34

Professor Léo Matos | Informática para Concursos 34 O certificado digital trará informações suficientes para ter

O certificado digital trará informações suficientes para ter a garantia de que a chave pública utilizada é realmente de um site verdadeiro (autêntico) e não de um fraudador que criou um site falso que colocou uma chave pública falsa para criptografar os dados.

colocou uma chave pública falsa para criptografar os dados. Questão: (CESPE - CEHAP – PB 2009

Questão: (CESPE - CEHAP PB 2009 ) Secure Sockets Layer (SSL) consititui protocolo de segurança que prevê privacidade na comunicação realizada por meio da Internet. (CERTO).

Questão: (CESPE 2010 BRB) O uso de HTTPS (HTTP seguro) permite que as informações enviadas e recebidas em uma conexão na Internet estejam protegidas por meio de certificados digitais. (CERTO).

Questão: (CESPE ABIN 2010) No Internet Explorer, ao acessar uma página por meio do protocolo seguro HTTP, que utiliza o algoritmo de criptografia SSL (secure socket layer), o usuário é

Professor Léo Matos | Informática para Concursos

35

informado pelo navegador, mediante a exibição de um ícone contendo um cadeado, de que a conexão é segura. (ERRADO).

Questão: (CESPE 2011 TRT 21ª) O acesso a um endereço de um sítio na Internet que se inicie com https é feito por meio de uma conexão segura. Nesse contexto, a informação trafega em um canal seguro, usando uma rede cuja segurança não é garantida. (CERTO).

VPN (Virtual private network Rede Virtual privada)

É natural que muitas empresas tenham a expansão dos negócios em filiais espalhadas por muitos

estados ou até mesmo países. Quando essas filiais querem trocar informações é natural utilizar a Internet, mas como é uma rede pública não existe privacidade nessas comunicações já que muitas pessoas também estão conectadas o que torna a comunicação mais vulnerável a interceptações de dados.

Quando uma empresa queria conectar suas filiais de forma privada era comum contratarem serviços

de telefonia dedicada a essas operações o que por sinal é muito inviável financeiramente falando.

Hoje empresas utilizam a VPN que é um canal (túnel) virtual privado que utiliza a própria rede pública (Internet) para comunicação entre suas filiais.

Esse conceito parece um tanto contraditório! Como utilizar uma rede que é pública para comunicação de forma privada?

A resposta está nos protocolos utilizados no momento da comunicação pela VPN, por tunelamento,

que é feita utilizando protocolos que criptografam as comunicações garantindo que somente pessoas

autorizadas tenho acesso a essas informações.

O projeto mais comum de uma VPN é equipar cada filial com um Firewall e criar túneis pela Internet

entre todos os pares de filiais utilizando os protocolos de criptografia. Veja abaixo:

utilizando os protocolos de criptografia. Veja abaixo: Nota: As Intranets de Empresas podem ou não utilizar

Nota: As Intranets de Empresas podem ou não utilizar a VPN para que as filiais troquem informações de forma criptografada.

Professor Léo Matos | Informática para Concursos

36

Questão (FCC BB 2011) No contexto de segurança do acesso a distância a computadores, é o processo que encapsula o pacote de dados, previamente protegido por mecanismos que o torna ilegível, podendo, dessa forma, trafegar em uma rede pública até chegar ao seu destino, onde é desencapsulado e tornado legível. Trata-se de:

(A)

autenticação.

(B)

gerenciador de chaves digitais.

(C)

conexão segura.

(D)

criptografia.

(E) tunelamento.

Questão: (ESAF 2005 SRF) Uma VPN é formada pelo conjunto de tunelamento que permite a utilização de uma rede pública para o tráfego de informações e, com o auxílio da criptografia, permite um bom nível de segurança para as informações que trafegam por essa conexão. (CERTO).

Questão: (CESPE 2010 CEF) Uma VPN é uma rede virtual privada utilizada como alternativa segura para usuários que não desejam utilizar a Internet. (ERRADO)

Questão: (CESPE 2008 SERPRO) Um usuário pode fazer um acesso seguro à intranet do SERPRO usando a tecnologia VPN, que cria um túnel virtual com o computador do usuário, usando criptografia. (CERTO).

Professor Léo Matos | Informática para Concursos

37

Professor Léo Matos | Informática para Concursos

38