Aula 03 - Informática - 20.03.text - Marked

E l i a ne A pa r e c i da do s R e i s 08614095660
CONHECIMENTOS DE INFORMTICA EM TEORIA E EXERCCIOS
P/ TCNICO ADMINISTRATIVO DO MINISTRIO DA FAZENDA
PROFESSORA PATRCIA LIMA QUINTO

Prof
a
Patrcia Lima Quinto www.pontodosconcursos.com.br 1

Aula 3 - Segurana da Informao
Ol pessoal,
"No somos o que deveramos ser, no somos o que
queramos ser, mas, graas a Deus,
no somos mais o que ramos."
Martin Luther King J r.
Sado a todos vocs, guerreiros, decididos a conquistar a aprovao no
certame para Tcnico Administrativo do Ministrio da Fazenda. Nesta aula
vamos abordar a parte terica do assunto segurana da informao. Todos
prontos? Ento vamos nessa!
Ah, espero vocs no Twitter e no Facebook, os endereos esto listados a
seguir.

Prof
a
Patrcia Lima Quinto
patricia@pontodosconcursos.com.br
Twitter: http://www.twitter.com/pquintao
Facebook: http://www.facebook.com/patricia.quintao

Roteiro da Aula
Segurana da informao e tpicos relacionados.
Reviso em tpicos e palavras-chave.
Lista de questes comentadas.
Lista de questes apresentadas na aula.| -Gabarito.

O que significa segurana?
colocar tranca nas portas de sua casa? ter as informaes
guardadas de forma suficientemente segura para que pessoas sem
autorizao no tenham acesso a elas? Vamos nos preparar para
que a prxima vtima no seja voc !!!
A segurana uma palavra que est presente em nosso cotidiano e
refere-se a um estado de proteo, em que estamos livres de perigos
e incertezas!

Segurana da informao o processo de proteger a
informao de diversos tipos de ameaas externas e
internas para garantir a continuidade dos negcios,
minimizar os danos aos negcios e maximizar o retorno
dos investimentos e as oportunidades de negcio.


Prof
a

Solues pontuais isoladas no resolvem toda a problemtica associada
segurana da informao. Segurana se faz em pedaos, porm todos eles
integrados, como se fossem uma corrente.
Segurana se faz protegendo todos os elos da corrente, ou seja, todos
os ativos (fsicos, tecnolgicos e humanos) que compem seu negcio.
Afinal, o poder de proteo da corrente est diretamente associado ao
elo mais fraco!

Em uma corporao, a segurana est ligada a tudo o que manipula direta ou
indiretamente a informao (inclui-se a tambm a prpria informao e os
usurios !!!), e que merece proteo. Esses elementos so chamados de
ATIVOS, e podem ser divididos em:
tangveis: informaes impressas, mveis, hardware (Ex.:impressoras,
scanners);
intangveis: marca de um produto, nome da empresa, confiabilidade de um
rgo federal etc.;
lgicos: informaes armazenadas em uma rede, sistema ERP (sistema de
gesto integrada) etc.;
fsicos: galpo, sistema de eletricidade, estao de trabalho etc;
humanos: funcionrios.
Os ATIVOS so os elementos que sustentam a operao do negcio e
estes sempre traro consigo VULNERABILIDADES que, por sua vez,
submetem os ativos a AMEAAS.
Quanto maior for a organizao maior ser sua dependncia com relao
informao, que pode estar armazenada de vrias formas: impressa em papel,
em meios digitais (discos, fitas, DVDs, disquetes, pendrives, etc.), na mente
das pessoas, em imagens armazenadas em fotografias/filmes...
Princpios da segurana da informao
A segurana da informao busca proteger os ativos de uma empresa ou
indivduo com base na preservao de alguns princpios. Vamos ao estudo de
cada um deles!!
Os quatro princpios considerados centrais ou principais, mais comumente
cobrados em provas, so a Confidencialidade, a Integridade, a Disponibilidade
e a Autenticidade ( possvel encontrar a sigla CIDA, ou DICA, para fazer
meno a estes princpios!). Importante


Prof
a

D isponibilidade
I ntegridade
C onfidencialidade
A utenticidade
Figura. Mnemnico DICA
Confidencialidade (sigilo): a garantia de que a informao no ser
conhecida por quem no deve. O acesso s informaes deve ser limitado,
ou seja, somente as pessoas explicitamente autorizadas podem acess-las.
Perda de confidencialidade significa perda de segredo. Se uma informao
for confidencial, ela ser secreta e dever ser guardada com segurana, e
no divulgada para pessoas sem a devida autorizao para acess-la.
Exemplo: o nmero do seu carto de crdito s poder ser conhecido por
voc e pela loja em que usado. Se esse nmero for descoberto por
algum mal intencionado, o prejuzo causado pela perda de
confidencialidade poder ser elevado, j que podero se fazer passar por
voc para realizar compras pela Internet, proporcionando-lhe prejuzos
financeiros e uma grande dor de cabea!
Integridade: esse princpio destaca que a informao deve ser mantida na
condio em que foi liberada pelo seu proprietrio, garantindo a sua
proteo contra mudanas intencionais, indevidas ou acidentais. Em outras
palavras, a garantia de que a informao que foi armazenada a que ser
recuperada!!!
A quebra de integridade pode ser considerada sob 2 aspectos:
1. alteraes nos elementos que suportam a informao - so feitas
alteraes na estrutura fsica e lgica em que uma informao est
armazenada. Por exemplo quando so alteradas as configuraes de
um sistema para ter acesso a informaes restritas;
2. alteraes do contedo dos documentos:
ex1.: imagine que algum invada o notebook que est sendo
utilizado para realizar a sua declarao do Imposto de Renda deste
ano, e, momentos antes de voc envi-la para a Receita Federal a
mesma alterada sem o seu consentimento! Neste caso, a
informao no ser transmitida da maneira adequada, o que
quebra o princpio da integridade;
ex2: alterao de sites por hackers (vide a figura seguinte, retirada
de http://www.g1.globo.com). Acesso em jun. 2011.


Prof
a

Figura 1 Site da Cia - agncia de inteligncia do governo Americano -
que teve seu contedo alterado indevidamente em jun. 2011.
Disponibilidade: a garantia de que a informao deve estar disponvel,
sempre que seus usurios (pessoas e empresas autorizadas) necessitarem,
no importando o motivo. Em outras palavras, a garantia que a
informao sempre poder ser acessada!!!
Como exemplo, h quebra do princpio da disponibilidade quando voc
decidir enviar a sua declarao do Imposto de Renda pela Internet, no
ltimo dia possvel, e o site da Receita Federal estiver indisponvel.
Autenticidade: a capacidade de garantir a identidade de uma pessoa
(fsica ou jurdica) que acessa as informaes do sistema ou de um servidor
(computador) com quem se estabelece uma transao (de comunicao,
como um e-mail, ou comercial, como uma venda on-line). por meio da
autenticao que se confirma a identidade da pessoa ou entidade
que presta ou acessa as informaes.
Assim, desejamos entregar a informao CORRETA, para a pessoa
CERTA, no momento CORRETO, confirmando a IDENTIDADE da pessoa
ou entidade que presta ou acessa as informaes!!! Entenderam?? Eis a
essncia da aplicao dos quatro princpios acima destacados. Ainda, cabe
destacar que a perda de pelo menos um desses princpios j ir
ocasionar impactos ao negcio (a surgem os incidentes de segurana!!)
Quando falamos em segurana da informao, estamos nos referindo a
salvaguardas para manter a confidencialidade, integridade,
disponibilidade e demais aspectos da segurana das informaes
dentro das necessidades do cliente!


Prof
a

Vulnerabilidades de segurana
Vulnerabilidade uma evidncia ou fragilidade que eleva o grau de
exposio dos ativos que sustentam o negcio, aumentando a probabilidade de
sucesso pela investida de uma ameaa.

Outro conceito bastante comum para o termo:

Em outras palavras,
vulnerabilidade uma fragilidade que poderia ser explorada por uma
ameaa para concretizar um ataque.
O conhecimento do maior nmero de vulnerabilidades possveis permite
equipe de segurana tomar medidas para proteo, evitando assim ataques
e consequentemente perda de dados.
No h uma receita ou lista padro de vulnerabilidades. Esta deve ser
levantada junto a cada organizao ou ambiente. Sempre se deve ter em
mente o que precisa ser protegido e de quem precisa ser protegido de acordo
com as ameaas existentes. Podemos citar, como exemplo inicial, uma anlise
de ambiente em uma sala de servidores de conectividade e Internet com a
seguinte descrio: a sala dos servidores no possui controle de acesso fsico!!
Eis a vulnerabilidade detectada nesse ambiente.
Outros exemplos de vulnerabilidades:
ambientes com informaes sigilosas com acesso no controlado;
software mal desenvolvido;
hardware sem o devido acondicionamento e proteo;
falta de atualizao de software e hardware;
falta de mecanismos de monitoramento e controle (auditoria);
ausncia de pessoal capacitado para a segurana;
inexistncia de polticas de segurana;
instalaes prediais fora do padro;
ausncia de recursos para combate a incndios, etc.
vulnerabilidade: trata-se de falha no projeto, implementao ou
configurao de software ou sistema operacional que, quando
explorada por um atacante, resulta na violao da segurana de
um computador.


Prof
a

Ameaas Segurana
Ameaa algo que possa provocar danos segurana da informao,
prejudicar as aes da empresa e sua sustentao no negcio, mediante a
explorao de uma determinada vulnerabilidade.

Em outras palavras, uma ameaa tudo aquilo que pode comprometer a
segurana de um sistema, podendo ser acidental (falha de hardware,
erros de programao, desastres naturais, erros do usurio, bugs de software,
uma ameaa secreta enviada a um endereo incorreto etc.) ou deliberada
(roubo, espionagem, fraude, sabotagem, invaso de hackers, entre outros).
Ameaa pode ser uma pessoa, uma coisa, um evento ou uma ideia capaz de
causar dano a um recurso, em termos de confidencialidade, integridade,
disponibilidade etc. Como exemplos de ameaa podemos destacar:
concorrente, cracker, erro humano (deleo de arquivos digitais
acidentalmente etc.), acidentes naturais (inundao etc.), funcionrio
insatisfeito, tcnicas (engenharia social, etc.), ferramentas de software
(sniffer, cavalo de troia etc.).
Basicamente existem dois tipos de ameaas: internas e externas.
Ameaas externas: so aqui representadas por todas as tentativas de
ataque e desvio de informaes vindas de fora da empresa. Normalmente
essas tentativas so realizadas por pessoas com a inteno de prejudicar a
empresa ou para utilizar seus recursos para invadir outras empresas.
Ameaas internas: esto presentes, independentemente das empresas
estarem ou no conectadas Internet. Podem causar desde incidentes
leves at os mais graves, como a inatividade das operaes da empresa.


Prof
a

Os ativos so os elementos que sustentam a operao do negcio e
estes sempre traro consigo vulnerabilidades que, por sua vez,
submetem os ativos a ameaas.
Voc Sabia!!! Qual a diferena entre Crackers e Hackers?
Um do bem e o outro do mal??
x O termo hacker ganhou, junto opinio pblica influenciada pelos meios
de comunicao, uma conotao negativa, que nem sempre corresponde
realidade!!
x Os hackers, por sua definio geral, so aqueles que utilizam seus
conhecimentos para invadir sistemas, no com o intuito de causar danos s
vtimas, mas sim como um desafio s suas habilidades. Eles invadem os
sistemas, capturam ou modificam arquivos para provar sua capacidade e
depois compartilham suas proezas com os colegas. No tm a inteno de
prejudicar, mas sim de apenas demonstrar que conhecimento poder.
x Exmios programadores e conhecedores dos segredos que envolvem as
redes e os computadores, eles geralmente no gostam de ser confundidos
com crackers. Os crackers so elementos que invadem sistemas para
roubar informaes e causar danos s vtimas. O termo crackers tambm
uma denominao utilizada para aqueles que decifram cdigos e destroem
protees de software.
x Atualmente, a imprensa mundial atribui qualquer incidente de segurana a
hackers, em seu sentido genrico. A palavra cracker no vista nas
reportagens, a no ser como cracker de senhas, que um software utilizado
para descobrir senhas ou decifrar mensagens cifradas.

Noes de vrus, worms e outras pragas virtuais
Voc sabe o significado de malware?
Malware (combinao de malicious software programa malicioso)
uma expresso usada para todo e quaisquer softwares maliciosos, ou seja,
programados com o intuito de prejudicar os sistemas de informao, alterar o
funcionamento de programas, roubar informaes, causar lentides de redes
computacionais, dentre outros.

Os tipos mais comuns de malware esto detalhados a seguir:
vrus, worms, bots, cavalos de troia, spyware, keylogger,
screenlogger, ransomwares, Backdoors, etc.

Resumindo, malwares so programas que executam
deliberadamente aes mal-intencionadas em um
computador!!


Prof
a

x Vrus
So pequenos cdigos de programao maliciosos que se agregam a
arquivos e so transmitidos com eles. Quando o arquivo aberto na
memria RAM, o vrus tambm , e, a partir da se propaga infectando, isto
, inserindo cpias de si mesmo e se tornando parte de outros programas e
arquivos de um computador.
O vrus depende da execuo do programa ou arquivo hospedeiro para que
possa se tornar ativo e dar continuidade ao processo de infeco. Alguns
vrus so inofensivos, outros, porm, podem danificar um sistema
operacional e os programas de um computador.
A seguir destacamos alguns arquivos que podem ser portadores de vrus de
computador:
x arquivos executveis: com extenso .exe ou .com;
x arquivos de scripts (outra forma de executvel): extenso .vbs;
x atalhos: extenso .lnk ou .pif;
x proteo de tela (animaes que aparecem automaticamente quando o
computador est ocioso): extenso .scr;
x documentos do MS-Office: como os arquivos do Word (extenso .doc ou
.dot), arquivos do Excel (.xls e .xlt), apresentaes do Powerpoint (.ppt e
.pps), bancos de dados do Access (.mdb).
x arquivos multimdia do Windows Media Player: msicas com extenso
.WMA, vdeos com extenso .WMV, dentre outros.

Dentre os tipos de vrus conhecidos, podemos citar:
Vrus polimrficos: alteram seu formato (mudam de forma)
constantemente. A cada nova infeco, esses vrus geram uma nova
sequncia de bytes em seu cdigo, para que o antivrus se confunda na
hora de executar a varredura e no reconhea o invasor.
Vrus de boot: infectam o setor de boot dos discos rgidos.
Vrus de macro: vrus de arquivos que infectam documentos que contm
macros.

Um exemplo seria, em um editor de textos, definir uma macro que
contenha a sequncia de passos necessrios para imprimir um
documento com a orientao de retrato e utilizando a escala de cores em
tons de cinza.
Macro: conj unto de comandos que so armazenados em
alguns aplicativos e utilizados para automatizar tarefas
repetitivas.


Prof
a

Um vrus de macro escrito de forma a explorar esta facilidade de
automatizao e parte de um arquivo que normalmente manipulado
por algum aplicativo que utiliza macros. Para que o vrus possa ser
executado, o arquivo que o contm precisa ser aberto e, a partir da, o
vrus pode executar uma srie de comandos automaticamente e infectar
outros arquivos no computador. Existem alguns aplicativos que possuem
arquivos base (modelos) que so abertos sempre que o aplicativo
executado. Caso este arquivo base seja infectado pelo vrus de macro,
toda vez que o aplicativo for executado, o vrus tambm ser. Arquivos
nos formatos gerados por programas da Microsoft, como o Word, Excel,
Powerpoint e Access so os mais suscetveis a este tipo de vrus.
Arquivos nos formatos RTF, PDF e PostScript so menos suscetveis, mas
isso no significa que no possam conter vrus.

Figura 2 Normal.dot Principal alvo dos vrus de macro para Word
Vrus de programa: infectam arquivos de programa (de inmeras
extenses, como .exe, .com,.vbs, .pif.
Vrus stealth: programado para se esconder e enganar o antivrus
durante uma varredura deste programa. Tem a capacidade de se
remover da memria temporariamente para evitar que antivrus o
detecte.
Vrus de script: propagam-se por meio de scripts, nome que designa uma
sequncia de comandos previamente estabelecidos e que so executados
automaticamente em um sistema, sem necessidade de interveno do
usurio. Dois tipos de scripts muito usados so os projetados com as
linguagens Javascript (JS) e Visual Basic Script (VBS). Tanto um quanto
o outro podem ser inseridos em pginas Web e interpretados por
navegadores como Internet Explorer e outros. Os arquivos Javascript
tornaram-se to comuns na Internet que difcil encontrar algum site
atual que no os utilize. Assim como as macros, os scripts no so
necessariamente malficos. Na maioria das vezes executam tarefas
teis, que facilitam a vida dos usurios prova disso que se a
execuo dos scripts for desativada nos navegadores, a maioria dos sites
passar a ser apresentada de forma incompleta ou incorreta.
Vrus de celular: propaga de telefone para telefone atravs da tecnologia
bluetooth ou da tecnologia MMS (Multimedia Message Service). O servio
MMS usado para enviar mensagens multimdia, isto , que contm no
s texto, mas tambm sons e imagens, como vdeos, fotos e animaes.
A infeco ocorre da seguinte forma: o usurio recebe uma mensagem
que diz que seu telefone est prestes a receber um arquivo e permite
que o arquivo infectado seja recebido, instalado e executado em seu


Prof
a

aparelho; o vrus, ento, continua o processo de propagao para outros
telefones, atravs de uma das tecnologias mencionadas anteriormente.
Os vrus de celular diferem-se dos vrus tradicionais, pois normalmente
no inserem cpias de si mesmos em outros arquivos armazenados no
telefone celular, mas podem ser especificamente projetados para
sobrescrever arquivos de aplicativos ou do sistema operacional instalado
no aparelho.
Depois de infectar um telefone celular, o vrus pode realizar diversas
atividades, tais como:
x destruir/sobrescrever arquivos; remover contatos da
agenda; efetuar ligaes telefnicas;
x o aparelho fica desconfigurado e tentando se
conectar via Bluetooth com outros celulares;
x a bateria do celular dura menos do que o previsto
pelo fabricante, mesmo quando voc no fica horas
pendurado nele;
x emitir algumas mensagens multimdia esquisitas;
x tentar se propagar para outros telefones.

x Worms (vermes)
Programas parecidos com vrus, mas que na verdade so capazes
de se propagarem automaticamente atravs de redes, enviando
cpias de si mesmo de computador para computador (observe que
os worms apenas se copiam, no infectam outros arquivos, eles
mesmos so os arquivos !!). Alm disso, geralmente utilizam as redes de
comunicao para infectar outros computadores (via e-mails, Web, FTP,
redes das empresas etc.).
Diferentemente do vrus, o worm no embute cpias de si mesmo em
outros programas ou arquivos e no necessita ser explicitamente
executado para se propagar. Sua propagao se d atravs da
explorao de vulnerabilidades existentes ou falhas na configurao de
softwares instalados em computadores.
Worms so notadamente responsveis por consumir muitos recursos.
Degradam sensivelmente o desempenho de redes e podem lotar o disco
rgido de computadores, devido grande quantidade de cpias de si mesmo
que costumam propagar. Alm disso, podem gerar grandes transtornos
para aqueles que esto recebendo tais cpias.
Difceis de serem detectados, muitas vezes os worms realizam uma srie de
atividades, incluindo sua propagao, sem que o usurio tenha
conhecimento. Embora alguns programas antivrus permitam detectar a


Prof
a

presena de worms e at mesmo evitar que eles se propaguem, isto nem
sempre possvel.

x Bots ( robs)
De modo similar ao worm, um programa capaz de se propagar
automaticamente, explorando vulnerabilidades existentes ou falhas na
configurao de software instalado em um computador. Adicionalmente ao
worm, dispe de mecanismos de comunicao com o invasor, permitindo
que o bot seja controlado remotamente. Os bots esperam por comandos de
um hacker, podendo manipular os sistemas infectados, sem o conhecimento
do usurio.
Nesse ponto, cabe destacar um termo que j foi cobrado vrias vezes em
prova!! Trata-se do significado do termo botnet, juno da contrao das
palavras robot (bot) e network (net). Uma rede infectada por bots
denominada de botnet (tambm conhecida como rede zumbi), sendo
composta geralmente por milhares desses elementos maliciosos que ficam
residentes nas mquinas, aguardando o comando de um invasor.
Um invasor que tenha controle sobre uma botnet pode utiliz-la para
aumentar a potncia de seus ataques, por exemplo, para enviar centenas
de milhares de e-mails de phishing ou spam, desferir ataques de negao
de servio etc. (CERT.br, 2006).

x Troj an horse (Cavalo de Troia)
um programa aparentemente inofensivo que entra em seu computador na
forma de carto virtual, lbum de fotos, protetor de tela, jogo etc., e que,
quando executado (com a sua autorizao!), parece lhe divertir, mas, por
trs abre portas de comunicao do seu computador para que ele possa ser
invadido.
Por definio, o cavalo de troia distingue-se de um vrus ou de um worm
por no infectar outros arquivos, nem propagar cpias de si mesmo
automaticamente.
O trojans ficaram famosos na Internet pela facilidade de uso, e por
permitirem a qualquer pessoa possuir o controle de um outro computador
apenas com o envio de um arquivo.
Os trojans atuais so divididos em duas partes, que so: o servidor e o
cliente. Normalmente, o servidor encontra-se oculto em algum outro
arquivo e, no momento em que o arquivo executado, o servidor se instala
e se oculta no computador da vtima. Nesse momento, o computador j
pode ser acessado pelo cliente, que enviar informaes para o servidor
executar certas operaes no computador da vtima.


Prof
a

O Cavalo de Troia no um vrus, pois no se duplica e no se dissemina
como os vrus. Na maioria das vezes, ele ir instalar programas para
possibilitar que um invasor tenha controle total sobre um computador. Estes
programas podem permitir que o invasor:
x veja e copie ou destrua todos os arquivos armazenados no
computador;
x instalao de keyloggers ou screenloggers (descubra todas as senhas
digitadas pelo usurio);
x furto de senhas e outras informaes sensveis, como nmeros de
cartes de crdito;
x incluso de backdoors, para permitir que um atacante tenha total
controle sobre o computador;
x formate o disco rgido do computador, etc.
Exemplos comuns de cavalos de troia so programas que voc recebe ou
obtm de algum site e que parecem ser apenas cartes virtuais animados,
lbuns de fotos de alguma celebridade, jogos, protetores de tela, entre
outros. Enquanto esto sendo executados, estes programas podem ao
mesmo tempo enviar dados confidenciais para outro computador, instalar
backdoors, alterar informaes, apagar arquivos ou formatar o disco rgido.
Existem tambm cavalos de troia, utilizados normalmente em esquemas
fraudulentos, que, ao serem instalados com sucesso, apenas exibem uma
mensagem de erro.

Figura 3 Um spam contendo um Cavalo de Troia. O usurio ser
infectado se clicar no link e executar o anexo.

x Adware (Advertising software)
Este tipo de programa geralmente no prejudica o computador. O adware
apresenta anncios, cria cones ou modifica itens do sistema operacional
com o intuito de exibir alguma propaganda. Um adware malicioso pode abrir
uma janela do navegador apontando para pginas de cassinos, vendas de
remdios, pginas pornogrficas, etc. Um exemplo do uso legtimo de


Prof
a

adwares pode ser observado no programa de troca instantnea de
mensagens MSN Messenger.

Trata-se de um programa espio (spy em ingls = espio). um programa
que tem por finalidade monitorar as atividades de um sistema e enviar as
informaes coletadas para terceiros.

Um tipo de malware que capaz de capturar e armazenar as teclas
digitadas pelo usurio no teclado de um computador. Dentre as
informaes capturadas podem estar o texto de um e-mail, dados digitados
na declarao de Imposto de Renda e outras informaes sensveis, como
senhas bancrias e nmeros de cartes de crdito. Em muitos casos, a
ativao do keylogger condicionada a uma ao prvia do usurio, como
por exemplo, aps o acesso a um site especfico de comrcio eletrnico ou
Internet Banking. Normalmente, o keylogger contm mecanismos que
permitem o envio automtico das informaes capturadas para terceiros
(por exemplo, atravs de e-mails).

As instituies financeiras desenvolveram os teclados virtuais para evitar
que os keyloggers pudessem capturar informaes sensveis de usurios.
Ento, foram desenvolvidas formas mais avanadas de keyloggers, tambm
conhecidas como screenloggers capazes de:
armazenar a posio do cursor e a tela apresentada no monitor, nos
momentos em que o mouse clicado, ou
armazenar a regio que circunda a posio onde o mouse clicado.
Normalmente, o keylogger vem como parte de um programa spyware ou
cavalo de troia. Desta forma, necessrio que este programa seja
executado para que o keylogger se instale em um computador. Geralmente,
tais programas vm anexados a e-mails ou esto disponveis em sites na
Internet.
Existem ainda programas leitores de e-mails que podem estar configurados
para executar automaticamente arquivos anexados s mensagens. Neste
caso, o simples fato de ler uma mensagem suficiente para que qualquer
arquivo anexado seja executado.


Prof
a

(Pede resgate)
So softwares maliciosos que, ao infectarem um computador, criptografam
todo ou parte do contedo do disco rgido. Os responsveis pelo software
exigem da vtima, um pagamento pelo "resgate" dos dados.

Backdoors (Abre portas)
Normalmente um atacante procura garantir uma forma de retornar a um
computador comprometido, sem precisar recorrer aos mtodos utilizados na
realizao da invaso. Na maioria dos casos, tambm inteno do
atacante poder retornar ao computador comprometido sem ser notado. A
esses programas que permitem o retorno de um invasor a um computador
comprometido, utilizando servios criados ou modificados para este fim, d-
se o nome de backdoor.
A forma usual de incluso de um backdoor consiste na disponibilizao de
um novo servio ou substituio de um determinado servio por uma verso
alterada, normalmente possuindo recursos que permitam acesso remoto
(atravs da Internet). Pode ser includo por um invasor ou atravs de um
cavalo de troia.

Rootkits
Um invasor, ao realizar uma invaso, pode utilizar mecanismos para
esconder e assegurar a sua presena no computador comprometido. O
conjunto de programas que fornece estes mecanismos conhecido como
rootkit.
O invasor, aps instalar o rootkit, ter acesso privilegiado ao computador
previamente comprometido, sem precisar recorrer novamente aos mtodos
utilizados na realizao da invaso, e suas atividades sero escondidas do
responsvel e/ou dos usurios do computador.
Um rootkit pode fornecer programas com as mais diversas funcionalidades.
Dentre eles, merecem destaque:
programas para esconder atividades e informaes deixadas pelo
invasor, tais como arquivos, diretrios, processos etc.;
backdoors, para assegurar o acesso futuro do invasor ao computador
comprometido;
programas para remoo de evidncias em arquivos de logs;
sniffers, para capturar informaes na rede onde o computador est
localizado, como por exemplo senhas que estejam trafegando em claro,
ou seja, sem qualquer mtodo de criptografia;
scanners, para mapear potenciais vulnerabilidades em outros
computadores.


Prof
a

Algumas tendncias para 2012!
McAfee (2012) destacou as principais ameaas da internet em 2012: deve
haver um aumento dos ataques destinados a servios pblicos,
sistemas operacionais, dispositivos mveis, spams e ameaas
envolvendo questes polticas (hacktivismo) e ciberguerra. Os ataques
neste ano tambm podem comprometer carros, aparelhos de GPS e outros
dispositivos conectados, atravs da infiltrao no dispositivo enquanto ele
ainda fabricado ou levando os usurios a baixarem malwares que penetrem
na raiz dos sistemas desses aparelhos. A empresa tambm alertou para o
aumento de malwares em celulares, principalmente atravs de aplicativos
mal-intencionados que, aps o download, podem enviar diversos anncios ou
mesmo mensagens de texto a partir do celular infectado. O aumento no
nmero de spams tambm esperado.
Fonte: http://tecnologia.terra.com.br/noticias/0,,OI5545065-EI12884,00-
Ataque+a+celulares+esta+entre+as+principais+ameacas+de.html

Risco
Risco a medida da exposio qual o sistema computacional est sujeito.
Depende da probabilidade de uma ameaa atacar o sistema e do impacto
resultante desse ataque.

Como exemplo de um risco pode-se imaginar um funcionrio insatisfeito e um
martelo ao seu alcance; nesse caso o funcionrio poderia danificar algum ativo
da informao. Assim pode-se entender como risco tudo aquilo que traz danos
s informaes e com isso promove perdas para a organizao.
Existem algumas maneiras de se classificar o grau de risco no mercado de
segurana, mas de uma forma simples, poderamos tratar como alto, mdio e
baixo risco. No caso do nosso exemplo da sala dos servidores, poderamos
dizer que, baseado na vulnerabilidade encontrada, a ameaa associada de
alto risco.
Smola (2003, p. 50) diz que risco a probabilidade de ameaas
explorarem vulnerabilidades, provocando perdas de
confidencialidade, integridade e disponibilidade, causando,
possivelmente, impactos nos negcios.


Prof
a

Ciclo da Segurana
Como mostrado na figura seguinte os ativos de uma organizao precisam ser
protegidos, pois esto sujeitos a vulnerabilidades. Se as vulnerabilidades
aumentam, aumentam-se os riscos permitindo a explorao por uma ameaa e
a concretizao de um ataque. Se estas ameaas crescem, aumentam-se ainda
mais os riscos de perda da integridade, disponibilidade e confidencialidade da
informao podendo causar impacto nos negcios.
Nesse contexto, medidas de segurana devem ser tomadas, os riscos devem
ser analisados e diminudos para que se estabelea a segurana dos ativos da
informao.

Ativos
Medidas de
Segurana diminui
limitados
Vulnerabilidades
aumenta
sujeitos
Impactos no
negcio
causam
aumenta
Riscos

Confidencialidade
Integridade
Disponibilidade
perdas
aumenta
permitem
aumenta
Ameaas
protege
Ciclo da
segurana

Figura 4 Ciclo da Segurana da Informao (MOREIRA, 2001)

Incidente de segurana da informao: indicado por um simples ou por
uma srie de eventos de segurana da informao indesejados ou
inesperados, que tenham uma grande probabilidade de comprometer as
operaes do negcio e ameaar a segurana. Exemplos: invaso digital;
violao de padres de segurana de informao.

Spams
Spams: so mensagens de correio eletrnico no autorizadas ou no
solicitadas. O spam no propriamente uma ameaa segurana, mas um
portador comum delas. So spams, por exemplo, os e-mails falsos que
recebemos como sendo de rgos como Receita Federal ou Tribunal Superior
Eleitoral. Nesse caso, os spams costumam induzir o usurio a instalar um dos
malwares que vimos anteriormente.


Prof
a

Spammer: aquele que usa endereos de destinatrios desconhecidos para o
envio de mensagens no solicitadas em grande nmero.
Alguns termos relacionados:
SPIT SPAM Over IP Telephony (VoIP);
SPIM SPAM over Instant Messenger;
SPORK SPAM over Orkut.

Correntes: geralmente pedem para que o usurio (destinatrio) repasse a
mensagem um determinado nmero de vezes ou, ainda, "para todos os
amigos" ou "para todos que ama". Utilizada para coletar e-mail vlidos para
ataques de SPAM posteriores.

Hoaxes (boatos): so as histrias falsas recebidas por e-mail, sites de
relacionamentos e na Internet em geral, cujo contedo, alm das conhecidas
correntes, consiste em apelos dramticos de cunho sentimental ou religioso,
supostas campanhas filantrpicas, humanitrias ou de socorro pessoal ou,
ainda, falsos vrus que ameaam destruir, contaminar ou formatar o disco
rgido do computador. A figura seguinte destaca um exemplo de hoax recebido
em minha caixa de e-mails. O remetente e destinatrios foram embaados de
propsito por questo de sigilo.

Figura 5 Exemplo de um hoax (boato) bastante comum na Internet


Prof
a

Outros casos podem ser visualizados na Internet, vide por exemplo o
endereo: http://www.quatrocantos.com/LENDAS/.

Como podemos reduzir o volume de spam que chega at nossas caixas
postais?
A resposta bem simples! Basta navegar de forma consciente na rede. Este
conselho o mesmo que recebemos para zelar pela nossa segurana no
trnsito ou ao entrar e sair de nossas casas.
A seguir destacamos as principais dicas que foram destacadas pelo CertBr
(2006) para que os usurios da Internet desfrutem dos recursos e benefcios
da rede, com segurana:
x Preservar as informaes pessoais, tais como: endereos de e-mail, dados
pessoais e, principalmente, cadastrais de bancos, cartes de crdito e
senhas. Um bom exerccio pensar que ningum forneceria seus
dados pessoais a um estranho na rua, ok? Ento, por que liber-la
na Internet?
x Ter, sempre que possvel, e-mails separados para assuntos pessoais,
profissionais, para as compras e cadastros on-line. Certos usurios mantm
um e-mail somente para assinatura de listas de discusso.

x No ser um "clicador compulsivo", ou seja, o usurio deve procurar
controlar a curiosidade de verificar sempre a indicao de um site em um e-
mail suspeito de spam. Pensar, analisar as caractersticas do e-mail e
verificar se no mesmo um golpe ou cdigo malicioso.
x No ser um "caa-brindes", "papa-liquidaes" ou
"destruidor-de-promoes", rs! Ao receber e-mails sobre brindes,
promoes ou descontos, reserve um tempo para analisar o e-mail, sua
procedncia e verificar no site da empresa as informaes sobre a
promoo em questo. Vale lembrar que os sites das empresas e
instituies financeiras tm mantido alertas em destaque sobre os golpes
envolvendo seus servios. Assim, a visita ao site da empresa pode
confirmar a promoo ou alert-lo sobre o golpe que acabou de receber por
e-mail!
x Ferramentas de combate ao spam (anti-spams) so geralmente
disponibilizadas do lado dos servidores de e-mail, filtrando as mensagens
No caso das promoes da Internet, geralmente, ser necessrio preencher
formulrios. Ter um e-mail para cadastros on-line uma boa prtica
para os usurios com o perfil descrito. Ao preencher o cadastro, procure
desabilitar as opes de recebimento de material de divulgao do site e de
seus parceiros, pois justamente nesse item que muitos usurios atraem
spam, inadvertidamente!


Prof
a

que so direcionadas nossa caixa postal. Importante que se tenha um
filtro anti-spam instalado, ou ainda, usar os recursos anti-spam oferecidos
por seu provedor de acesso.
x Alm do anti-spam, existem outras ferramentas bastante importantes para
o usurio da rede: anti-spyware, firewall pessoal e antivrus, estudadas
nesta aula.

Cookies
So pequenos arquivos que so instalados em seu computador durante
a navegao, permitindo que os sites (servidores) obtenham
determinadas informaes. isto que permite que alguns sites o
cumprimentem pelo nome, saibam quantas vezes voc o visitou, etc.

Wardriving
O termo wardriving foi escolhido por Peter Shipley para batizar a atividade de
dirigir um automvel procura de redes sem fio abertas, passveis de invaso.

Warchalcking
Prtica de escrever em caladas e paredes a giz (da o nome, Guerra do Giz) o
endereo de redes sem fio desprotegidas, abertas para o uso de terceiros.

Bullying
O assunto abordado aqui est em ampla discusso no Brasil e no mundo.
Trata-se do bullying (do ingls bully, "tiranete" ou "valento"). Bullying so
todas as formas de atitudes agressivas intencionais e repetitivas que
ridicularizam o outro. Atitudes como comentrios maldosos, apelidos ou
gracinhas que caracterizam algum, e outras formas que causam dor e
angstia, e executados dentro de uma relao desigual de poder que so
caractersticas essenciais que tornam possvel a intimidao da vtima.


Prof
a

Captcha
Mecanismo usado em filtros do tipo Challenge/response. Um captcha
normalmente uma sequncia aleatria de letras e nmeros distorcidos,
apresentados na forma de uma imagem. O remetente de uma mensagem
deve digitar a combinao do captcha e confirmar, para que a, a mensagem
seja encaminhada. Tambm utilizado em cadastros na web.
Challenge/response: um tipo de filtro que emite um desafio para o
remetente do e-mail ou usurio de um site. O usurio precisa fornecer uma
resposta (response) ao desafio para que uma mensagem seja entregue ou
para que acesse uma pgina ou site.

Fonte: http://www.tecmundo.com.br/2861-o-que-e-captcha-.htm

Fonte: http://www.tecmundo.com.br/2861-o-que-e-captcha-.htm

Ataques
Ataque uma alterao no fluxo normal de uma informao que afeta um dos
servios oferecidos pela segurana da informao. Ele decorrente de uma
vulnerabilidade que explorada por um atacante em potencial.


Prof
a

Principais tipos de ataque que so cobrados em provas pela banca deste
certame:
x Engenharia Social
o mtodo de se obter dados importantes de pessoas atravs da velha
lbia. No popular o tipo de vigarice mesmo pois assim que muitos
habitantes do underground da internet operam para conseguir senhas de
acesso, nmeros de telefones, nomes e outros dados que deveriam ser
sigilosos.
A engenharia social a tcnica que explora as fraquezas humanas e
sociais, em vez de explorar a tecnologia. Guarde isso!!!
A tecnologia avana e passos largos mas a condio humana continua na
mesma em relao a critrios ticos e morais. Enganar os outros deve ter
sua origem na pr-histria portanto o que mudou foram apenas os meios
para isso.
Em redes corporativas que so alvos mais apetitosos para invasores, o
perigo ainda maior e pode estar at sentado ao seu lado. Um colega
poderia tentar obter sua senha de acesso mesmo tendo uma prpria, pois
uma sabotagem feita com sua senha parece bem mais interessante do que
com a senha do prprio autor.

x Phishing (tambm conhecido como Phishing scam, ou apenas scam)
Phishing um tipo de fraude eletrnica projetada para roubar
informaes particulares que sejam valiosas para cometer um roubo ou
fraude posteriormente.
O golpe de phishing realizado por uma pessoa mal-intencionada atravs
da criao de um website falso e/ou do envio de uma mensagem eletrnica
falsa, geralmente um e-mail ou recado atravs de scrapbooks como no stio
Orkut, entre outros exemplos.
Utilizando de pretextos falsos, tenta enganar o receptor da mensagem e
induzi-lo a fornecer informaes sensveis (nmeros de cartes de crdito,
senhas, dados de contas bancrias, entre outras). Uma variante mais atual
o Pharming. Nele, o usurio induzido a baixar e executar arquivos que
permitam o roubo futuro de informaes ou o acesso no autorizado ao
sistema da vtima, podendo at mesmo redirecionar a pgina da instituio
(financeira ou no) para os sites falsificados.


Prof
a

As duas figuras seguintes apresentam iscas (e-mails) utilizadas em golpes
de phishing, uma envolvendo o Banco de Brasil e a outra o Serasa.

A palavra phishing (de fishing) vem de uma analogia criada pelos fraudadores,
em que iscas (e-mails) so usadas para pescar informaes sensveis
(senhas e dados financeiros, por exemplo) de usurios da Internet.
Atualmente, este termo vem sendo utilizado tambm para se referir aos
seguintes casos:
mensagem que procura induzir o usurio instalao de cdigos
maliciosos, projetados para furtar dados pessoais e financeiros;
mensagem que, no prprio contedo, apresenta formulrios para o
preenchimento e envio de dados pessoais e financeiros de
usurios.

Pharming
O Pharming uma tcnica que utiliza o sequestro ou a "contaminao" do
DNS (Domain Name Server) para levar os usurios a um site falso,
alterando o DNS do site de destino. O sistema tambm pode redirecionar os
usurios para sites autnticos atravs de proxies controlados pelos
phishers, que podem ser usados para monitorar e interceptar a digitao.
Os sites falsificados coletam nmeros de cartes de crdito, nomes de
contas, senhas e nmeros de documentos. Isso feito atravs da exibio
de um pop-up para roubar a informao antes de levar o usurio ao site
real. O programa mal-intencionado usa um certificado auto-assinado para
fingir a autenticao e induzir o usurio a acreditar nele o bastante para
inserir seus dados pessoais no site falsificado. Outra forma de enganar o
usurio sobrepor a barra de endereo e status de navegador para induzi-
lo a pensar que est no site legtimo e inserir suas informaes.
Os phishers utilizam truques para instalar programas criminosos nos PCs
dos consumidores e roubar diretamente as informaes. Na maioria dos
casos, o usurio no sabe que est infectado, percebendo apenas uma
Figura 6 Iscas de Phishing


Prof
a

ligeira reduo na velocidade do computador ou falhas de funcionamento
atribudas a vulnerabilidades normais de software.

Ataques de senhas
A utilizao de senhas seguras um dos pontos fundamentais para uma
estratgia efetiva de segurana, pois as senhas garantem que somente as
pessoas autorizadas tero acesso a um sistema ou rede. Infelizmente
isso nem sempre realidade. As senhas geralmente so criadas e
implementadas pelos prprios usurios que utilizam os sistemas ou a rede.
Palavras, smbolos ou datas fazem com que as senhas tenham algum
significado para os usurios, permitindo que eles possam facilmente
lembr-las. Neste ponto que existe o problema, pois muitos usurios
priorizam a convenincia ao invs da segurana. Como resultado, eles
escolhem senhas que so relativamente simples. Enquanto isso permite que
possam lembrar facilmente das senhas, tambm facilita o trabalho de
quebra dessas senhas por hackers. Em virtude disso, invasores em
potencial esto sempre testando as redes e sistemas em busca de falhas
para entrar. O modo mais notrio e fcil a ser explorado a utilizao de
senhas inseguras. A primeira linha de defesa, a utilizao de senhas, pode
se tornar um dos pontos mais falhos.
As duas principais tcnicas de ataque a senhas so:
Ataque de Dicionrio: Nesse tipo de ataque so utilizadas
combinaes de palavras, frases, letras, nmeros, smbolos, ou
qualquer outro tipo de combinao geralmente que possa ser utilizada
na criao das senhas pelos usurios. Os programas responsveis por
realizar essa tarefa trabalham com diversas permutaes e
combinaes sobre essas palavras. Quando alguma dessas
combinaes se referir senha, ela considerada como quebrada
(Cracked).
Geralmente as senhas esto armazenadas criptografadas utilizando
um sistema de criptografia HASH. Dessa maneira os programas
utilizam o mesmo algoritmo de criptografia para comparar as
combinaes com as senhas armazenadas. Em outras palavras, eles
adotam a mesma configurao de criptografia das senhas, e ento
criptografam as palavras do dicionrio e comparam com senha.
Fora-Bruta: Enquanto as listas de palavras, ou dicionrios, do
nfase velocidade, o segundo mtodo de quebra de senhas se
baseia simplesmente na repetio. Fora-Bruta uma forma de se
descobrir senhas que compara cada combinao e permutao
possvel de caracteres at achar a senha. Este um mtodo muito
poderoso para descoberta de senhas, no entanto extremamente
lento porque cada combinao consecutiva de caracteres
comparada. Ex: aaa, aab, aac ..... aaA, aaB, aaC... aa0, aa1, aa2,
aa3... aba, aca, ada...


Prof
a

x Sniffing
o processo de captura das informaes da rede por meio de um software
de escuta de rede (sniffer), que capaz de interpretar as informaes
transmitidas no meio fsico. Esse um ataque confidencialidade dos
dados, e costuma ser bastante nocivo, uma vez que boa parte dos
protocolos mais utilizados em uma rede (FTP, POP3, SMTP, IMAP, Telnet)
transmitem o login e a senha em aberto (sem criptografia) pela rede.

Sniffers ( farej adores ou ainda capturadores de pacotes) : por padro,
os computadores (pertencentes mesma rede) escutam e respondem
somente pacotes endereados a eles. Entretanto, possvel utilizar um
software que coloca a interface num estado chamado de modo promscuo.
Nessa condio o computador pode monitorar e capturar os dados
trafegados atravs da rede, no importando o seu destino legtimo.
Os programas responsveis por capturar os pacotes de rede so chamados
Sniffers, Farejadores ou ainda Capturadores de Pacote. Eles exploram o fato
do trfego dos pacotes das aplicaes TCP/IP no utilizar nenhum tipo de
cifragem nos dados. Dessa maneira um sniffer atua na rede farejando
pacotes na tentativa de encontrar certas informaes, como nomes de
usurios, senhas ou qualquer outra informao transmitida que no esteja
criptografada.
A dificuldade no uso de um sniffer que o atacante precisa instalar o
programa em algum ponto estratgico da rede, como entre duas mquinas,
(com o trfego entre elas passando pela mquina com o farejador) ou em
uma rede local com a interface de rede em modo promscuo.

x Denial of Service (DoS)
Os ataques de negao de servio (denial of service - DoS) consistem em
impedir o funcionamento de uma mquina ou de um servio especfico. No
caso de ataques a redes, geralmente ocorre que os usurios legtimos de
uma rede no consigam mais acessar seus recursos.
O DoS acontece quando um atacante envia vrios pacotes ou requisies de
servio de uma vez, com objetivo de sobrecarregar um servidor e, como
consequncia, impedir o fornecimento de um servio para os demais
usurios, causando prejuzos.
No DoS o atacante utiliza um computador para tirar de operao um
servio ou computador(es) conectado(s) Internet!!
Como exemplo deste tipo de ataque tem-se o seguinte contexto: gerar uma
sobrecarga no processamento de um computador, de modo que o usurio
no consiga utiliz-lo; gerar um grande trfego de dados para uma rede,
ocasionando a indisponibilidade dela; indisponibilizar servios importantes
de um provedor, impossibilitando o acesso de seus usurios.


Prof
a

Cabe ressaltar que se uma rede ou computador sofrer um DoS, isto no
significa que houve uma invaso, pois o objetivo de tais ataques
indisponibilizar o uso de um ou mais computadores, e no invadi-los.

Distributed Denial of Service (DDoS) -> So os ataques coordenados!
Em dispositivos com grande capacidade de processamento, normalmente,
necessria uma enorme quantidade de requisies para que o ataque seja
eficaz. Para isso, o atacante faz o uso de uma botnet (rede de
computadores zumbis sob comando do atacante) para bombardear o
servidor com requisies, fazendo com que o ataque seja feito de forma
distribuda (Distributed Denial of Service DDoS).
No DDoS - ataque de negao de servio distribudo-, um conjunto
de computadores utilizado para tirar de operao um ou mais
servios ou computadores conectados Internet.

Veja a notcia seguinte que destaca esse tipo de ataque.
Conforme destaca http://www.torresonline.com.br/entenda-como-aconteceu-
a-queda-dos-servidores-dos-sites-do-governo-brasileiro/ , no caso do ataque
realizado pelo grupo Lulz Security Brazil, o que aconteceu foi um ataque
distribudo por negao de servio. Esse tipo de ataque no visa roubar
dados ( em um primeiro momento) , porm tem como obj etivo retirar
determinado site do ar temporariamente sem causar grandes danos.
Os objetivos por trs do ataque como o que aconteceu podem ser muitos,
desde uma reinvindicao poltica at atividades criminosas.
O ataque distribudo por negao de servio ( DDoS, do ingls
Distributed Denial- of- Service attack) atinge sua meta excedendo os limites
do servidor. Para tal faanha, os responsveis pelo ataque criam programas
maliciosos que so instalados em diversas mquinas, as quais realizaro
mltiplos acessos simultneos ao site em questo.
E como os servidores possuem limitaes com relao ao nmero de acessos
em um mesmo instante, acaba ocorrendo que o servidor no aguenta atender
s requisies e retirado do ar. Um ataque distribudo por negao de servio
pode simplesmente reiniciar os servidores ou pode causar o travamento total
do sistema que opera por trs do site.
Os zumbis tambm tm culpa
Para aumentar a eficcia do ataque, um DDoS muitas vezes conta com a ajuda
de mquinas zumbis, que integram uma rede zumbi. Computadores desse
tipo foram infectados por pragas que tornam o acesso internet
extremamente lento, isso porque eles esto sob o comando de outra
mquina, tambm conhecido como computador- mestre. Importante


Prof
a

E justamente por contar com uma legio de mquinas atacando que os DDoS
tm grande eficincia. Por se tratar de milhares computadores realizando o
ataque, fica muito mais difcil combat-lo, porque os responsveis pela

Criar uma senha que contenha pelo menos oito caracteres, compostos de
letras, nmeros e smbolos;

jamais utilizar como senha seu nome, sobrenomes, nmeros de
documentos, placas de carros, nmeros de telefones, datas que possam
ser relacionadas com voc ou palavras que faam parte de dicionrios;

utilizar uma senha diferente para cada servio (por exemplo, uma senha
para o banco, outra para acesso rede corporativa da sua empresa,
outra para acesso a seu provedor de Internet etc.);

alterar a senha com freqncia;
segurana do servidor no conseguem estabelecer regras para impedir todos
os acessos que esto causando danos.

Dumpster diving ou trashing
a atividade na qual o lixo verificado em busca de informaes sobre a
organizao ou a rede da vtima, como nomes de contas e senhas,
informaes pessoais e confidenciais. Muitos dados sigilosos podem ser
obtidos dessa maneira.

Esteganografia: a tcnica de esconder um arquivo dentro de outro
arquivo, podendo ser uma imagem, documento de texto, planilha eletrnica
etc, s que utilizando criptografia. Ao esconder um arquivo em uma
imagem, por exemplo, ao envi-la para o destinatrio desejado, voc tem
que se assegurar que quem receber a imagem dever conhecer o mtodo
de exibio e a senha utilizada na proteo deste arquivo.

Figura 7 Esteganografia

Procedimentos de Segurana
Nesse contexto, uma srie de procedimentos de segurana, considerados como
boas prticas de segurana podem ser implementadas para salvaguardar os
ativos da organizao (CertBR, 2006), como os destacadas a seguir:

Cuidados com Contas e Senhas ( j caiu em prova!)


Prof
a

criar tantos usurios com privilgios normais, quantas forem as pessoas
que utilizam seu computador;

utilizar o usurio Administrator (ou root) somente quando for
estritamente necessrio.

Cuidados com Malwares ( j caiu em prova!)
* Vrus

Instalar e manter atualizado um bom programa antivrus;

atualizar as assinaturas do antivrus, de preferncia diariamente;

configurar o antivrus para verificar os arquivos obtidos pela Internet,
discos rgidos (HDs), flexveis (disquetes) e unidades removveis, como
CDs, DVDs e pen drives;

desabilitar no seu programa leitor de e-mails a auto-execuo de
arquivos anexados s mensagens;

no executar ou abrir arquivos recebidos por e-mail ou por outras fontes,
mesmo que venham de pessoas conhecidas. Caso seja necessrio abrir o
arquivo, certifique-se que ele foi verificado pelo programa antivrus;

utilizar na elaborao de documentos formatos menos suscetveis
propagao de vrus, tais como RTF, PDF ou PostScript etc.

* Worms, bots e botnets

Seguir todas as recomendaes para preveno contra vrus listadas no
item anterior;

manter o sistema operacional e demais softwares sempre atualizados;

aplicar todas as correes de segurana (patches) disponibilizadas pelos
fabricantes, para corrigir eventuais vulnerabilidades existentes nos
softwares utilizados;

instalar um firewall pessoal, que em alguns casos pode evitar que uma
vulnerabilidade existente seja explorada (observe que o firewall no
corrige as vulnerabilidades!!) ou que um worm ou bot se propague.

* Cavalos de troia, backdoors, keyloggers e spywares

Seguir todas as recomendaes para preveno contra vrus, worms e
bots;

instalar um firewall pessoal, que em alguns casos pode evitar o acesso
a um backdoor j instalado em seu computador etc.;

utilizar pelo menos uma ferramenta anti-spyware e mant-la sempre
atualizada.


Prof
a

*Realizao de backups: cpias de segurana para salvaguardar os dados,
geralmente mantida em CDs, DVDs, fitas magnticas, pendrives, etc.,
para que possam ser restaurados em caso de perda dos dados
originais.
Backup (Cpia de segurana)
O procedimento de backup (cpia de segurana) pode ser descrito de forma
simplificada como copiar dados de um dispositivo para o outro com o
objetivo de posteriormente recuperar as informaes, caso haja algum
problema.
Um backup envolve cpia de dados em um meio fisicamente separado do
original, regularmente, de forma a proteg-los de qualquer eventualidade.
Ou seja, copiar nossas fotos digitais, armazenadas no HD (disco rgido), para
um DVD fazer backup. Se houver algum problema com o HD ou se
acidentalmente apagarmos as fotos, podemos ento restaurar os arquivos a
partir do DVD. Nesse exemplo, chamamos as cpias das fotos no DVD de
cpias de segurana ou backup. Chamamos de restaurao o processo de
copiar de volta ao local original as cpias de segurana.
importante estabelecer uma poltica de backup que obedece a critrios
bem definidos sobre a segurana da informao envolvida. Em suma, o
objetivo principal dos backups garantir a disponibilidade da informao.
Por isso a poltica de backup um processo relevante no contexto de
segurana dos dados.

Existem, basicamente, dois mtodos de Backup.

No Windows XP, por exemplo, tem-se o software Microsoft Backup, que ir
ajud-lo nesta tarefa. Ao clicar com o boto direito do mouse no cone de um
arquivo do Windows XP, e selecionar a opo Propriedades; em seguida, guia
geral ->Avanado, ser exibida uma caixa o arquivo est pronto para ser
arquivado, marcada como padro (No Windows XP, leia-se arquivo morto).


Prof
a

A tela seguinte desta a opo de arquivo morto obtida ao clicar com o boto
direito do mouse no arquivo intitulado lattes.pdf, do meu computador que
possui o sistema operacional Windows Vista.

Quando um arquivo est com esse atributo marcado, significa que ele
dever ser copiado no prximo backup.
Se estiver desmarcado, significa que, provavelmente, j foi feito um backup
deste arquivo.

As principais tcnicas (tipos) de Backup, que podem ser combinadas com os
mecanismos de backup on-line e off-line, esto listadas a seguir:
**NORMAL (TOTAL ou GLOBAL)
COPIA TODOS os arquivos e pastas selecionados.
DESMARCA o atributo de arquivo morto (arquivamento): limpa os
marcadores!!
Caso necessite restaurar o backup normal, voc s precisa da cpia mais
recente.
Normalmente, este backup executado quando voc cria um conjunto de
backup pela 1 vez.
Agiliza o processo de restaurao, pois somente um backup ser
restaurado.
**INCREMENTAL
Copia somente os arquivos CRIADOS ou ALTERADOS desde o ltimo
backup normal ou incremental.


Prof
a

O atributo de arquivamento (arquivo morto) DESMARCADO: limpa os
marcadores!!
**DIFERENCIAL
O atributo de arquivamento (arquivo morto) NO ALTERADO: no limpa
os marcadores!!
**CPIA (AUXILIAR ou SECUNDRIA)
Faz o backup de arquivos e pastas selecionados.
os marcadores!
**DIRIO
Copia todos os arquivos e pastas selecionados que foram ALTERADOS
DURANTE O DIA da execuo do backup.
os marcadores!

Quanto RECUPERAO do backup:
Para recuperar um disco a partir de um conjunto de backups (normal +
incremental) ser necessrio o primeiro (normal) e todos os incrementais.
Para recuperar um disco a partir de um conjunto de backups (normal +
diferencial) basta o primeiro (normal) e o ltimo diferencial, j que este
contm tudo que diferente do primeiro.

Aplicativos para aprimoramento da segurana
**Sistemas Antivrus
Ferramentas preventivas e corretivas, que detectam (e, em muitos casos,
removem) vrus de computador e outros programas maliciosos (como
spywares e cavalos de troia). No impedem que um atacante explore alguma
vulnerabilidade existente no computador. Tambm no evita o acesso no
autorizado a um backdoor instalado no computador.
interessante manter, em seu computador:
Um antivrus funcionando constantemente (preventivamente).
Esse programa antivrus verificando os e-mails constantemente
(preventivo).
O recurso de atualizaes automticas das definies de vrus habilitado.


Prof
a

As definies de vrus atualizadas constantemente (nem que para isso seja
necessrio, todos os dias, executar a atualizao manualmente).

Figura. Telas do antivrus AVG e Panda

**Anti-Spyware
O malware do tipo spyware pode se instalar no computador sem o seu
conhecimento e a qualquer momento que voc se conectar Internet, e pode
infectar o computador quando voc instala alguns programas usando um CD,
DVD ou outra mdia removvel. Um spyware tambm pode ser programado
para ser executado em horrios inesperados, no apenas quando instalado.
A ferramenta anti-spyware uma forte aliada do antivrus, permitindo a
localizao e bloqueio de spywares conhecidos e desconhecidos. Exemplo de
ferramentas anti-spyware: Windows Defender, Spybot etc.

Combate a cdigos maliciosos
O combate a cdigos maliciosos poder envolver uma srie de aes, como:
instalao de ferramentas antivrus e antispyware no computador,
lembrando de mant-las atualizadas frequentemente;
no realizar abertura de arquivos suspeitos recebidos por e-mail;
fazer a instalao de patches de segurana e atualizaes corretivas de
softwares e do sistema operacional quando forem disponibilizadas
(proteo contra worms e bots), etc.

**Proxy
Proxy um servidor que atende a requisies repassando os dados a
outros servidores. Um proxy funciona como um intermedirio entre o seu
programa de acesso a Internet (browser) e os servidores WWW dispersos
pela grande rede. So instalados em mquinas com ligaes tipicamente
superiores s dos clientes e com poder de armazenamento elevado.


Prof
a

Esses servidores tm uma srie de usos, como filtrar contedo, providenciar
anonimato, entre outros. Um HTTP caching proxy, por exemplo, permite
que o cliente requisite um documento na World Wide Web e o proxy procura
pelo documento em seu cache. Se encontrado, o documento retornado
imediatamente. Caso contrrio, o proxy busca o documento no servidor
remoto, entrega-o ao cliente e salva uma cpia no seu cache. Isso permite
uma diminuio na latncia, j que numa prxima requisio desse mesmo
documento apenas o servidor proxy ser acessado, e no o servidor
original, proporcionando ainda uma reduo do uso de banda.

**IPS/IDS, Firewalls
O IDS (I ntrusion Detection Systems) procura por ataques j catalogados e
registrados, podendo, em alguns casos, fazer anlise comportamental do
sistema.

O IPS (Sistema de Preveno de Intruso) que faz a deteco de
ataques e intruses, e no o firewall!! Um IPS um sistema que detecta e
obstrui automaticamente ataques computacionais a recursos protegidos.
Diferente dos IDS tradicionais, que localizam e notificam os administradores
sobre anomalias, um IPS defende o alvo sem uma participao direta humana.

O firewall no tem a funo de procurar por ataques.
Ele realiza a filtragem dos pacotes e, ento, bloqueia
as transmisses no permitidas. Dessa forma, atua
entre a rede externa e interna, controlando o trfego de
informaes que existem entre elas, procurando certificar-se
de que este trfego confivel, em conformidade com a
poltica de segurana do site acessado. Tambm pode ser
utilizado para atuar entre redes com necessidades de
segurana distintas.


Prof
a

A RFC 2828 (Request for Coments n 2828) define o termo firewall como
sendo uma ligao entre redes de computadores que restringe o trfego
de comunicao de dados entre a parte da rede que est dentro ou
antes do firewall, protegendo-a assim das ameaas da rede de
computadores que est fora ou depois do firewall. Esse mecanismo de
proteo geralmente utilizado para proteger uma rede menor (como os
computadores de uma empresa) de uma rede maior (como a Internet).
Um firewall deve ser instalado no ponto de conexo entre as redes, onde,
atravs de regras de segurana, controla o trfego que flui para dentro e para
fora da rede protegida. Pode ser desde um nico computador, um
software sendo executado no ponto de conexo entre as redes de
computadores ou um conjunto complexo de equipamentos e
softwares.

Figura 8 Firewall
Deve-se observar que isso o torna um potencial gargalo para o trfego de
dados e, caso no seja dimensionado corretamente, poder causar atrasos e
diminuir a performance da rede.
Os firewalls so implementados, em regra, em dispositivos que fazem a
separao da rede interna e externa, chamados de estaes guardis
(bastion hosts). Quando o bastion host cai, a conexo entre a rede interna e
externa pra de funcionar.
As principais funcionalidades oferecidas pelos firewalls so:
regular o trfego de dados entre uma rede local e a rede externa no
confivel, por meio da introduo de filtros para pacotes ou aplicaes;
impedir a transmisso e/ou recepo de acessos nocivos ou no autorizados
dentro de uma rede local;
mecanismo de defesa que restringe o fluxo de dados entre redes, podendo
criar um log do trfego de entrada e sada da rede;
proteo de sistemas vulnerveis ou crticos, ocultando informaes de rede
como nome de sistemas, topologia da rede, identificaes dos usurios etc.


Prof
a

DMZ - Zona Desmilitarizada
Tambm chamada de Rede de Permetro. Trata-se de uma pequena rede
situada entre uma rede confivel e uma no confivel, geralmente
entre a rede local e a Internet.
A funo de uma DMZ manter todos os servios que possuem acesso
externo (navegador, servidor de e-mails) separados da rede local
limitando o dano em caso de comprometimento de algum servio nela
presente por algum invasor. Para atingir este objetivo os computadores
presentes em uma DMZ no devem conter nenhuma rota de acesso rede
local. O termo possui uma origem militar, significando a rea existente entre
dois inimigos em uma guerra.

Figura 9 DMZ

RAID - Redundant Array of I ndependent Disks
(Matriz redundante de discos independentes)
Tecnologia utilizada para combinar diversos discos rgidos (IDE, SATA ou SCSI)
para que sejam reconhecidos, pelo sistema operacional, como apenas UMA
nica unidade de disco. Existem vrios tipos (chamados modos) de RAID, e
os mais comuns so:

RAID 0 (Stripping - Enfileiramento)
Cada modo desses combina os discos rgidos de formas diferentes para
obterem resultados diferentes.
Combina dois (ou mais) HDs para que os dados gravados sejam divididos
entre eles.
No caso de um RAID 0 entre dois discos, os arquivos salvos nesse conjunto
sero gravados METADE em um disco, METADE no outro.
Ganha-se muito em velocidade
o a gravao do arquivo feita em metade do tempo, porque se grava
metade dos dados em um disco e metade no outro simultaneamente
(o barramento RAID outro, separado, do IDE).
o A leitura dos dados dos discos tambm acelerada!


Prof
a

o Nesse RAID no h tolerncia a falhas (segurana) porque de um
dos discos pifar, os dados estaro perdidos completamente.
o No se preocupa com segurana e sim com a velocidade!

RAID 1 (Mirroring - Espelhamento)
Cria uma matriz (array) de discos espelhados (discos idnticos). O que se
copia em um, copia-se igualmente no outro disco.
O RAID 1 aumenta a segurana do sistema.
RAID 1 aumenta a velocidade de leitura dos dados no disco (no a de
escrita).

RAID 5
Sistema tolerante a falhas, cujos dados e paridades so distribudos ao
longo de trs ou mais discos fsicos.
A paridade um valor calculado que usado para reconstruir dados depois
de uma falha.
Se um disco falhar, possvel recriar os dados que estavam na parte com
problema a partir da paridade e dados restantes.

Biometria
Um sistema biomtrico, em mecanismos de autenticao, analisa uma
amostra de corpo do usurio, envolvendo por exemplo: Impresso Digital
(+usado); ris; Voz; Veias das Mos; Reconhecimento Facial (+usado).

Figura 10 Veias da palma da mo, impresso digital, reconhecimento da face,
identificao pela ris ou retina, geometria da mo, etc.

Virtual Private Network (VPN)
Uma Virtual Private Network (VPN) ou Rede Virtual Privada uma rede
privada (rede com acesso restrito) construda sobre a estrutura de uma rede
pblica (recurso pblico, sem controle sobre o acesso aos dados),
normalmente a Internet. Ou seja, ao invs de se utilizar links dedicados ou
redes de pacotes para conectar redes remotas, utiliza-se a infraestrutura da


Prof
a

Internet, uma vez que para os usurios a forma como as redes esto
conectadas transparente.
Normalmente as VPNs so utilizadas para interligar empresas em que os
custos de linhas de comunicao direta de dados so elevados. Elas criam
tneis virtuais de transmisso de dados utilizando criptografia para garantir a
privacidade e integridade dos dados, e a autenticao para garantir que os
dados esto sendo transmitidos por entidades ou dispositivos autorizados e
no por outros quaisquer. Uma VPN pode ser criada tanto por dispositivos
especficos, softwares ou at pelo prprio sistema operacional.

Princpios bsicos (Caiu em prova!)
Uma VPN deve prover um conjunto de funes que garantam alguns princpios
bsicos para o trfego das informaes:
1. Confidencialidade tendo-se em vista que estaro sendo usados meios
pblicos de comunicao, imprescindvel que a privacidade da informao
seja garantida, de forma que, mesmo que os dados sejam capturados, no
possam ser entendidos.
2. Integridade na eventualidade da informao ser capturada, necessrio
garantir que no seja alterada e reencaminhada, permitindo que somente
informaes vlidas sejam recebidas.
3. Autenticidade somente os participantes devidamente autorizados podem
trocar informaes entre si, ou seja, um elemento da VPN somente
reconhecer informaes originadas por um segundo elemento que tenha
autorizao para fazer parte dela.

Criptografia
A palavra criptografia composta dos termos gregos KRIPTOS (secreto,
oculto, ininteligvel) e GRAPHO (escrita, escrever). Trata-se de um conjunto de
conceitos e tcnicas que visa codificar uma informao de forma que somente
o emissor e o receptor possam acess-la.
Terminologia bsica sobre Criptografia:
Mensagem ou texto: Informao que se deseja proteger. Esse texto
quando em sua forma original, ou seja, a ser transmitido, chamado de
texto puro ou texto claro.
Remetente ou emissor: Pessoa que envia a mensagem.
Destinatrio ou receptor: Pessoa que receber a mensagem.
Encriptao: Processo em que um texto puro passa, transformando-se
em texto cifrado.
Desencriptao: Processo de recuperao de um texto puro a partir
de um texto cifrado.


Prof
a

Criptografar: Ato de encriptar um texto puro, assim como,
descriptografar o ato de desencriptar um texto cifrado.
Chave: Informao que o remetente e o destinatrio possuem e que
ser usada para criptografar e descriptografar um texto ou mensagem.

Algoritmos:
Simtricos (ou convencional, chave privada, chave nica)
Assimtricos (ou chave pblica).
A criptografia de chave simtrica (tambm chamada de criptografia de
chave nica, ou criptografia privada, ou criptografia convencional)
utiliza APENAS UMA chave para encriptar e decriptar as mensagens. Assim,
como s utiliza UMA chave, obviamente ela deve ser compartilhada entre o
remetente e o destinatrio da mensagem.
Para ilustrar os sistemas simtricos, podemos usar a imagem
de um cofre, que s pode ser fechado e aberto com uso de
uma chave. Esta pode ser, por exemplo, uma combinao de
nmeros. A mesma combinao abre e fecha o cofre. Para
criptografar uma mensagem, usamos a chave (fechamos o
cofre) e para decifr-la utilizamos a mesma chave (abrimos o cofre).
Na criptografia simtrica (ou de chave nica) tanto o emissor
quanto o receptor da mensagem devem conhecer a chave utilizada!!
Ambos fazem uso da MESMA chave, isto , uma NICA chave
usada na codificao e na decodificao da informao.

Nas figuras acima, podemos observar o funcionamento da criptografia
simtrica. Uma informao encriptada atravs de um polinmio utilizando-se
de uma chave (Chave A) que tambm serve para decriptar a informao.
As principais vantagens dos algoritmos simtricos so:


Prof
a

rapidez: um polinmio simtrico encripta um texto longo em milsimos
de segundos
chaves pequenas: uma chave de criptografia de 128 bits torna um
algoritmo simtrico praticamente impossvel de ser quebrado.
A maior desvantagem da criptografia simtrica que a chave utilizada para
encriptar IGUAL chave que decripta. Quando um grande nmero de
pessoas tem conhecimento da chave, a informao deixa de ser um segredo.
O uso de chaves simtricas tambm faz com que sua utilizao no seja
adequada em situaes em que a informao muito valiosa. Para comear,
necessrio usar uma grande quantidade de chaves caso muitas pessoas
estejam envolvidas. Ainda, h o fato de que tanto o emissor quanto o receptor
precisam conhecer a chave usada.
A transmisso dessa chave de um para o outro pode no ser to segura e cair
em "mos erradas", fazendo com que a chave possa ser interceptada e/ou
alterada em trnsito por um inimigo.
Existem vrios algoritmos que usam chaves simtricas, como o DES (Data
Encryption Standard), o IDEA (International Data Encryption Algorithm), e o
RC (Ron's Code ou Rivest Cipher).
Os algoritmos de criptografia assimtrica (criptografia de chave pblica)
utilizam DUAS chaves DIFERENTES, uma PBLICA (que pode ser
distribuda) e uma PRIVADA (pessoal e intransfervel). Assim, nesse mtodo
cada pessoa ou entidade mantm duas chaves: uma pblica, que pode ser
divulgada livremente, e outra privada, que deve ser mantida em segredo pelo
seu dono. As mensagens codificadas com a chave pblica s podem ser
decodificadas com a chave privada correspondente.
Do ponto de vista do custo computacional, os sistemas simtricos
apresentam melhor desempenho que os sistemas assimtricos, e isso j
foi cobrado em provas vrias vezes!

Nota: Chave assimtrica


Prof
a

Tambm conhecida como "chave pblica", a tcnica de criptografia por chave
assimtrica trabalha com DUAS chaves: uma denominada privada e outra
denominada pblica. Nesse mtodo, uma pessoa deve criar uma chave de
codificao e envi-la a quem for mandar informaes a ela. Essa a chave
pblica. Outra chave deve ser criada para a decodificao. Esta a chave
privada secreta.
Para entender melhor, imagine o seguinte:
O USURIO-A criou uma chave pblica e a enviou a vrios outros sites.
Quando qualquer desses sites quiser enviar uma informao criptografada ao
USURIO-A dever utilizar a chave pblica deste. Quando o USURIO-A
receber a informao, apenas ser possvel extra-la com o uso da chave
privada, que s o USURIO-A tem. Caso o USURIO-A queira enviar uma
informao criptografada a outro site, dever conhecer sua chave pblica.

Entre os algoritmos que usam chaves assimtricas tm-se o RSA (o mais
conhecido), o Diffie-Hellman, o DSA (Digital Signature Algorithm), o Schnorr
(praticamente usado apenas em assinaturas digitais) e Diffie-Hellman.


Prof
a

Figura 11 Mapa mental relacionado Criptografia ASSimtrica

PKI (Public Key Infrastrusture) a infraestrutura de chaves pblicas
(ICP).


Prof
a

E
l
i
a
n
e

A
p
a
r
e
c
i
d
a

d
o
s

R
e
i
s
0
8
6
1
4
0
9
5
6
6
0

E
l
i
a
n
e

A
p
a
r
e
c
i
d
a

d
o
s

R
e
i
s
0
8
6
1
4
0
9
5
6
6
0

E
l
i
a
n
e

A
p
a
r
e
c
i
d
a

d
o
s

R
e
i
s
0
8
6
1
4
0
9
5
6
6
0

E
l
i
a
n
e

A
p
a
r
e
c
i
d
a

d
o
s

R
e
i
s
0
8
6
1
4
0
9
5
6
6
0


Prof
a

A ICP-Brasil um exemplo de PKI.

Componentes de uma PKI
Uma infraestrutura de chaves pblicas envolve um processo colaborativo
entre vrias entidades: autoridade certificadora (AC), autoridade de registro
(AR), repositrio de certificados e o usurio final.

Autoridade Certificadora (AC)
Vamos ao exemplo da carteira de motorista. Se pensarmos em um
certificado como uma carteira de motorista, a Autoridade Certificadora
opera como um tipo de rgo de licenciamento. Em uma ICP, a AC emite,
gerencia e revoga os certificados para uma comunidade de usurios
finais. A AC assume a tarefa de autenticao de seus usurios finais e
ento assina digitalmente as informaes sobre o certificado antes de
dissemin-lo. A AC, no final, responsvel pela autenticidade dos
certificados emitidos por ela.

Autoridade de Registro (AR)
Embora a AR possa ser considerada um componente estendido de uma ICP,
os administradores esto descobrindo que isso uma necessidade.
medida que aumenta o nmero de usurios finais dentro de uma ICP,
tambm aumenta a carga de trabalho de uma AC. A AR serve como uma
entidade intermediria entre a AC e seus usurios finais, ajudando a
AC em suas funes rotineiras para o processamento de
certificados.
Uma AR necessariamente uma entidade operacionalmente vinculada a
uma AC, a quem compete:
identificar os titulares de certificados: indivduos, organizaes ou
equipamentos;
encaminhar solicitaes de emisso e revogao de certificados AC;
guardar os documentos apresentados para identificao dos titulares.
A AC deve manter uma lista de suas ARs credenciadas e estas ARs so
consideradas confiveis, pelo ponto de vista dessa AC.

Lista de Certificados Revogados (LCR)
A LCR ou CRL (Certificate Revocation List) uma estrutura de dados que
contm a lista de certificados revogados por uma determinada AC.

E
l
i
a
n
e

A
p
a
r
e
c
i
d
a

d
o
s

R
e
i
s
0
8
6
1
4
0
9
5
6
6
0

E
l
i
a
n
e

A
p
a
r
e
c
i
d
a

d
o
s

R
e
i
s
0
8
6
1
4
0
9
5
6
6
0

E
l
i
a
n
e

A
p
a
r
e
c
i
d
a

d
o
s

R
e
i
s
0
8
6
1
4
0
9
5
6
6
0

E
l
i
a
n
e

A
p
a
r
e
c
i
d
a

d
o
s

R
e
i
s
0
8
6
1
4
0
9
5
6
6
0


Prof
a

Declarao de Prticas de Certificao (DPC) e Poltica de
Certificado (PC)
As ACs atuam como terceiros confiveis, confirmando o contedo dos
certificados que elas emitem. Mas o que exatamente uma AC certifica? O
que faz uma AC ser mais confivel do que outra?
Dois mecanismos so utilizados pelas ACs para estabelecer a confiana
entre usurios finais e partes verificadoras: a Declarao de Prticas de
Certificao (DPC) e a Poltica de Certificado (PC).
A Declarao de Prticas de Certificao um documento,
periodicamente revisado e republicado, que contm as prticas e
procedimentos implementados por uma Autoridade Certificadora para
emitir certificados. a declarao da entidade certificadora a respeito
dos detalhes do seu sistema de credenciamento, das prticas e
polticas que fundamentam a emisso de certificados e de outros
servios relacionados.
J a Poltica de Certificado definida como um conjunto de regras
que indica a aplicabilidade de um certificado para uma determinada
comunidade e/ou uma classe de aplicativos com requisitos comuns de
segurana. A PC pode ser usada para ajudar a decidir se um
certificado confivel o suficiente para uma dada aplicao. Nas PC
encontramos informaes sobre os tipos de certificado, definies
sobre quem poder ser titular de um certificado, os documentos
obrigatrios para emisso do certificado e como identificar os
solicitantes.

Hierarquias de Certificado
medida que uma populao de uma ICP comea a aumentar, torna-se
difcil para uma AC monitorar de maneira eficaz a identidade de todas as
partes que ela certificou. medida que o nmero de certificados cresce,
uma nica AC pode estrangular o processo de certificao. Uma soluo
utilizar uma hierarquia de certificados em que uma AC delega sua
autoridade para uma ou mais Autoridades Certificadoras subsequentes ou
intermedirias. Essas AC, por sua vez, designam a emisso de certificados a
outras AC vinculadas e subsequentes.
Um recurso poderoso das hierarquias de certificado que uma nica
Autoridade Certificadora estabelece a confiana das demais AC
subsequentes a Autoridade Certificadora superior (cujo certificado auto-
assinado) e que por esta posio recebe o nome de Autoridade Certificadora
Raiz.

E
l
i
a
n
e

A
p
a
r
e
c
i
d
a

d
o
s

R
e
i
s
0
8
6
1
4
0
9
5
6
6
0

E
l
i
a
n
e

A
p
a
r
e
c
i
d
a

d
o
s

R
e
i
s
0
8
6
1
4
0
9
5
6
6
0

E
l
i
a
n
e

A
p
a
r
e
c
i
d
a

d
o
s

R
e
i
s
0
8
6
1
4
0
9
5
6
6
0

E
l
i
a
n
e

A
p
a
r
e
c
i
d
a

d
o
s

R
e
i
s
0
8
6
1
4
0
9
5
6
6
0


Prof
a

A AC Raiz a autoridade mxima na cadeia de certificao de uma
ICP. a nica entidade na cadeia que auto-confivel, ou seja, a
nica AC que confia em si mesma e que assina a si mesma. Todos os
certificados emitidos na cadeia de certificao abaixo dela recebem
a sua assinatura.
A AC Raiz NO emite certificados para usurios finais, apenas para
outras autoridades certificadoras.
Processo de verificao da cadeia de confiana
Para verificar a cadeia de confiana de um certificado e decidir se o mesmo
confivel, a parte confiante (verificadora) deve analisar trs itens
relacionados a cada certificado que faz parte da hierarquia de certificados,
at chegar ao certificado da AC Raiz.
Primeiro a parte confiante deve verificar se cada certificado da cadeia est
assinado pelo certificado anterior a ele na hierarquia. Segundo, deve
assegurar que nenhum dos certificados da cadeia esteja expirado e terceiro,
deve verificar se existe algum certificado da cadeia que est revogado.
Se a parte confiante confiar no certificado da AC Raiz da hierarquia,
automaticamente toda a cadeia ser considerada confivel, inclusive o
certificado do usurio final.

Figura. Modelo de Hierarquia de uma ICP

Assinatura Digital
Conforme destaca Stallings (2008) uma assinatura digital um mecanismo
de AUTENTICAO que permite ao criador de uma mensagem anexar um
cdigo que atue como uma assinatura. A assinatura formada tomando o hash
da mensagem e criptografando-a com a chave privada do criador. A assinatura
garante a ORIGEM e a INTEGRIDADE da mensagem.


Prof
a

Em outras palavras, a assinatura digital consiste na criao de um
cdigo, atravs da utilizao de uma chave privada, de modo que a
pessoa ou entidade que receber uma mensagem contendo este cdigo
possa verificar se o remetente mesmo quem diz ser e identificar
qualquer mensagem que possa ter sido modificada.
Se Jos quiser enviar uma mensagem assinada para Maria, ele codificar a
mensagem com sua chave privada. Neste processo ser gerada uma
assinatura digital, que ser adicionada mensagem enviada para Maria.
Ao receber a mensagem, Maria utilizar a chave pblica de Jos para
decodificar a mensagem. Neste processo ser gerada uma segunda assinatura
digital, que ser comparada primeira. Se as assinaturas forem idnticas,
Maria ter certeza que o remetente da mensagem foi o Jos e que a
mensagem no foi modificada.
importante ressaltar que a segurana do mtodo baseia-se no fato de que a
chave privada conhecida apenas pelo seu dono. Tambm importante
ressaltar que o fato de assinar uma mensagem no significa gerar uma
mensagem sigilosa. Para o exemplo anterior, se Jos quisesse assinar a
mensagem e ter certeza de que apenas Maria teria acesso a seu contedo,
seria preciso codific-la com a chave pblica de Maria, depois de assin-la.

Certificado Digital
Um certificado digital um documento eletrnico que identifica pessoas,
fsicas ou jurdicas, URLs, contas de usurio, servidores
(computadores) dentre outras entidades. Este documento na verdade
uma estrutura de dados que contm a chave pblica do seu titular e outras
informaes de interesse. Contm informaes relevantes para a identificao
real da entidade a que visam certificar (CPF, CNPJ, endereo, nome, etc.) e
informaes relevantes para a aplicao a que se destinam. O certificado
digital precisa ser emitido por uma autoridade reconhecida pelas partes
interessadas na transao. Chamamos essa autoridade de Autoridade
Certificadora, ou AC.
O certificado fica armazenado em dispositivos de segurana, como por ex.:
Token ou Smart Card, ilustrados na figura a seguir.
Token

Smart Card ou carto inteligente
Figura. Ilustrao de dispositivos de segurana


Prof
a

Quanto aos objetivos do certificado digital podemos destacar:
Transferir a credibilidade que hoje baseada em papel e conhecimento para
o ambiente eletrnico.
Vincular uma chave pblica a um titular (eis o objetivo principal). O
certificado digital precisa ser emitido por uma autoridade reconhecida pelas
partes interessadas na transao, conforme visto na prxima figura.
Chamamos essa autoridade de Autoridade Certificadora, ou AC.

Figura. Vnculo da Chave Pblica ao Titular
Dentre as informaes que compem a estrutura de um certificado
temos:
Verso Indica qual formato de certificado
est sendo seguido.
Nmero de srie Identifica unicamente um certificado dentro
do escopo do seu emissor.
Nome do titular Nome da pessoa, URL ou demais informaes
que esto sendo certificadas.
Chave pblica do
titular
Informaes da chave pblica do titular.
Perodo de
validade
Data de emisso e expirao.
Nome do emissor Entidade que emitiu o certificado.
Assinatura do
emissor
Valor da assinatura digital feita pelo emissor.
Algoritmo de
assinatura do
emissor
Identificador dos algoritmos de hash +
assinatura utilizados pelo emissor para
assinar o certificado.
Extenses Campo opcional para estender o certificado.


Prof
a

Um exemplo destacando informaes do certificado pode ser visto na figura
seguinte:

Reviso em Tpicos e Palavras-Chave
Risco: Medido pela probabilidade de uma ameaa acontecer e causar
algum dano potencial empresa.

Figura. Impacto de incidentes de segurana nos negcios

HASH ( Message Digest Resumo de Mensagem) : Mtodo matemtico
unidirecional, ou seja, s pode ser executado em um nico sentido (ex.:
voc envia uma mensagem com o hash, e este no poder ser alterado,
mas apenas conferido pelo destinatrio). Utilizado para garantir a
integridade (no-alterao) de dados durante uma transferncia.
Engenharia Social: Tcnica de ataque que explora as fraquezas humanas
e sociais, em vez de explorar a tecnologia.


Prof
a

Sniffer: Ferramenta capaz de interceptar e registrar o trfego de dados em
uma rede de computadores.

Phishing ou scam: Tipo de fraude eletrnica projetada para roubar
informaes particulares que sejam valiosas para cometer um roubo ou
fraude posteriormente.
Pharming: Ataque que consiste em corromper o DNS em uma rede de
computadores, fazendo com que a URL de um site passe a apontar para o
IP de um servidor diferente do original.
No ataque de negao de servio (denial of service - DoS) o atacante
utiliza um computador para tirar de operao um servio ou
computador(es) conectado(s) Internet!!
No ataque de negao de servio distribudo (DDoS), um conjunto de
computadores utilizado para tirar de operao um ou mais servios ou
computadores conectados Internet.
Malwares (combinao de malicious software programa malicioso):
programas que executam deliberadamente aes mal-intencionadas
em um computador, como vrus, worms, bots, cavalos de troia,
spyware, keylogger, screenlogger.


Prof
a

Spams: mensagens de correio eletrnico no autorizadas ou no solicitadas
pelo destinatrio, geralmente de conotao publicitria ou obscena.
Anti-spam: ferramenta utilizada para filtro de mensagens indesejadas.
Botnets: redes formadas por diversos computadores infectados com bots
(Redes Zumbis). Podem ser usadas em atividades de negao de
servio, esquemas de fraude, envio de spam, etc.
Firewall: um sistema para controlar o acesso s redes de computadores,
desenvolvido para evitar acessos no autorizados em uma rede local ou
rede privada de uma corporao.
VPN (Virtual Private Network Rede Privada Virtual): uma rede
privada que usa a estrutura de uma rede pblica (como a Internet) para
transferir seus dados (os dados devem estar criptografados para
passarem despercebidos e inacessveis pela Internet).
Vulnerabilidade uma fragilidade que poderia ser explorada por uma
ameaa para concretizar um ataque. Ex.: notebook sem as atualizaes de
segurana do sistema operacional.


Prof
a

Princpios bsicos da segurana da informao:

Princpio bsico Conceito Objetivo
Confidencialidade
Propriedade de que a
informao no esteja
disponvel ou revelada
a indivduos,
entidades ou
processos no
autorizados.
Proteger contra o acesso
no autorizado, mesmo
para dados em trnsito.
Integridade
Propriedade de
salvaguarda da
exatido e completeza
de ativos
Proteger informao
contra modificao sem
permisso;
garantir a fidedignidade
das informaes.
Disponibilidade
Propriedade de estar
acessvel e utilizvel
sob demanda por uma
entidade autorizada
Proteger contra
indisponibilidade dos
servios (ou
degradao);
garantir aos usurios
com autorizao, o
acesso aos dados.
Existem vrios tipos de RAID (Redundant Array of I ndependent Disks) ,
e os mais comuns so: RAID 0, RAID 1, RAID 10 (tambm conhecido
como 1+0) e RAID 5.
Backup (cpia de segurana): envolve a cpia dos dados de um
dispositivo para o outro com o objetivo de posteriormente recuperar as
informaes, caso haja algum problema. Procure fazer cpias regulares dos
dados do computador, para recuperar-se de eventuais falhas e das
consequncias de uma possvel infeco por vrus ou invaso.
Principais tipos de backup:


Prof
a

RAID no backup!
RAID Medida de redundncia.
Backup Medida de recuperao de desastre.
Muito bem, aps termos visto os conceitos primordiais de segurana
para a prova, vamos s questes!!


Prof
a

Questes de Provas Comentadas
1. (ESAF/2009/Ministrio da Fazenda/Tcnico Administrativo) Para
acessar os computadores de uma empresa, os funcionrios devem informar
a matrcula e uma senha de acesso para a realizao das suas atividades. A
respeito desse controle, correto afirmar que:

I. Visa a segurana da informao.
II. Evita o acesso indevido a documentos confidenciais por parte de pessoas
externas.
III. Controla o acesso aos sistemas de informao da empresa.

Assinale a opo correta.
a) Apenas as afirmaes I e II so corretas.
b) As afirmaes I, II e III so corretas.
c) Apenas as afirmaes II e III so corretas.
d) Apenas as afirmaes I e III so corretas.
e) Nenhuma das afirmaes correta.

Comentrios
Analisando as trs partes da questo temos:

Item I. O registro da matrcula do usurio, bem como da senha de acesso ao
sistema mais uma barreira de segurana que um criminoso deveria vencer
para ter acesso aos computadores da empresa, j que qualquer acesso aos
equipamentos dever ser autorizado. Tal medida contribui para resguardar a
segurana das mquinas. O item I VERDADEIRO.

Item II. Somente a barreira de segurana destacada no item I no suficiente
para evitar o acesso indevido a documentos confidenciais por parte de pessoas
externas. Faz-se necessrio um firewall, dentre outras configuraes de
segurana para garantir o acesso indevido de fora da empresa para o ambiente
interno da mesma. O item II FALSO.

Item III. Nesse caso sabe-se quem acessou determinado sistema de
informao, o que no seria possvel se qualquer usurio pudesse acessar os
equipamentos do sistema. O item III VERDADEIRO.
Gabarito definitivo: letra D.


Prof
a

2. (ESAF/2002/AFPS) Uma forma de proteger os dados de uma
organizao contra perdas acidentais a realizao peridica do backup
desses dados de uma forma bem planejada. Entre os tipos de backup, no
incremental

a) feito o backup dos arquivos selecionados ou indicados pelo usurio
somente se eles no tiverem marcados como copiados (participado do
ltimo backup) ou se tiverem sido alterados, marcando-os como copiados
(marca que indica que participaram do ltimo backup).

b) feito o backup de todos os arquivos selecionados ou indicados pelo
usurio, independentemente de estarem marcados como copiados
(participado do ltimo backup), marcando- os como copiados (marca que
indica que participaram do ltimo backup).

c) feito o backup de todos os arquivos selecionados ou indicados pelo
usurio, independentemente de estarem marcados como copiados, mas
nenhum marcado como copiado (marca que indica que participaram do
ltimo backup).

d) feito o backup dos arquivos selecionados ou indicados pelo usurio
ltimo backup) ou se tiverem sido alterados, mas nenhum marcado como
copiado (marca que indica que participaram do ltimo backup).

e) feito o backup apenas dos arquivos selecionados ou indicados pelo
usurio que tiverem sido alterados na data corrente, mas no marca
nenhum como copiado (marca que indica que participaram do ltimo
backup).

Comentrios
Um backup envolve cpia de dados em um meio separado do original,
regularmente, de forma a proteg-los de qualquer eventualidade.
No Windows XP, por exemplo, tem-se o software Microsoft Backup, que ir
ajud-lo nesta tarefa. Ao clicar com o boto direito do mouse no cone de um
arquivo do Windows XP, e selecionar a opo Propriedades; em seguida, guia
geral ->Avanado, ser exibida uma caixa o arquivo est pronto para ser
arquivado, marcada como padro (No Windows XP, leia-se arquivo morto).


Prof
a

A tela seguinte desta a opo de arquivo morto obtida ao clicar com o boto
direito do mouse no arquivo intitulado lattes.pdf, do meu computador que
possui o sistema operacional Windows Vista.

Quando um arquivo est com esse atributo marcado, significa que ele
dever ser copiado no prximo backup.
Se estiver desmarcada, significa que, provavelmente, j foi feito um backup
deste arquivo.

Principais TIPOS de Backup

NORMAL (TOTAL ou GLOBAL)
COPIA TODOS os arquivos e pastas selecionados.
DESMARCA o atributo de arquivo morto (arquivamento): limpa os
marcadores!!
Caso necessite restaurar o backup normal, voc s precisa da cpia mais
recente.
Normalmente, este backup executado quando voc cria um conjunto de
backup pela 1 vez.
Agiliza o processo de restaurao, pois somente um backup ser
restaurado.


Prof
a

INCREMENTAL
marcadores!!

DIFERENCIAL
os marcadores!!

CPIA (AUXILIAR ou SECUNDRIA)
Faz o backup de arquivos e pastas selecionados.
os marcadores!

DIRIO
Copia todos os arquivos e pastas selecionados que foram ALTERADOS
DURANTE O DIA da execuo do backup.
os marcadores!
Gabarito: letra A.

3. (ESAF/2002/AFPS) Em um sistema em segurana de redes de
computadores, a intruso qualquer conjunto de aes que tendem a
comprometer a integridade, confidencialidade ou disponibilidade dos dados
ou sistemas.
Com relao aos sistemas de deteco de intrusos IDS, correto afirmar
que, na tecnologia de deteco de intrusos Host Based,

a) os IDSs so instalados em vrias mquinas que sero responsveis por
identificar ataques direcionados a toda a rede.

b) o IDS instalado em um servidor para alertar e identificar ataques e
tentativas de acessos indevidos prpria mquina.

c) o IDS instalado em uma mquina que analisa todos os dados que
transitam na rede segundo um conjunto de regras especficas.

d) o IDS funciona de forma passiva em diferentes ambientes, no
interferindo no desempenho da mquina na qual est instalado.

e) o IDS instalado em uma mquina que analisa todos os dados que
transitam na rede para identificar a assinatura dos dados capturados.


Prof
a

Comentrios
Os intrusos em uma rede podem ser de dois tipos: internos (que tentam
acessar informaes no autorizadas para ele); externos (tentam acessar
informaes via Internet).

IDS (I ntrusion Detection Systems) so sistemas de deteco de intrusos,
que tm por finalidade detectar atividades incorretas, maliciosas ou anmalas,
em tempo real, permitindo que algumas aes sejam tomadas.
Geram logs para casos de tentativas de ataques e para casos em que
um ataque teve sucesso.
Mesmo sistemas com Firewall devem ter formas para deteco de
intrusos.
Assim como os firewalls, os IDSs tambm podem gerar falsos positivos
(Uma situao em que o firewall ou IDS aponta uma atividade como
sendo um ataque, quando na verdade no ).

As informaes podem ser coletadas em redes, de vrias formas:

Sistemas de deteco de intruso baseados em rede
Neste tipo de sistema, as informaes so coletadas na rede, normalmente
por dispositivos dedicados que funcionam de forma similar a sniffers de
pacotes.
Vantagens: diversas mquinas podem ser monitoradas utilizando-se apenas
um agente (componente que coleta os dados).
Desvantagens: o IDS enxerga apenas os pacotes trafegando, sem ter
viso do que ocorre na mquina atacada.

Sistemas de deteco de intruso baseados em host
Coletam informaes dentro das mquinas monitoradas, o que
normalmente feito atravs de um software instalado dentro delas.

Hybrid I DS
Combina as 2 solues anteriores!!

Apesar das vrias vantagens, h tambm desvantagens com o uso de
mecanismos de deteco de intruso, cuja possibilidade de ocorrncia pode
levar ao erro. Estes erros so descritos a seguir:

a) Falso positivo: um alarme falso. Diz-se que um falso positivo
quando um IDS faz um alerta sobre uma atividade como sendo um ataque
verdadeiro, que na verdade falso;


Prof
a

b) Falso negativo: a situao quando algum compromete no
funcionamento de um IDS e este no passa mais a dar alertas quando
necessrio. Dando assim uma falsa idia de segurana. O falso negativo
classificado da seguinte maneira:
Informaes geradas no so suficientes para a confirmao da
ocorrncia de um ataque;
Sobrecarga do IDS com o trfego da rede, dificultando o
reconhecimento dos ataques;
Uso de tcnicas para enganar uma ferramenta de IDS para a no
identificao de um ataque.

c) Erros de subverso: parecido com o falso negativo, quando um
intruso conhece as operaes internas do IDS e altera seu estado, modificando
seu comportamento.

O falso negativo mais perigoso que o falso positivo, pois quando existe
uma ameaa, o administrador da rede no toma conhecimento sobre o
ocorrido e no pode tomar as providncias necessrias.
O erro de subverso, no entanto, necessita que o IDS esteja sempre bem
configurado, pois apesar de ser uma ferramenta para dar alertas quando a
rede estiver sendo atacada, o IDS pode tambm ser alvo do ataque. A primeira
coisa que um intruso experiente faria, quando estiver atacando uma rede e
suspeitar da existncia de um IDS, atac-lo, a fim de desabilit-lo ou tornar
sua configurao intil para que suas aes maliciosas possam ser
identificadas.
Gabarito: letra B.

4. (ESAF/2006/TRF/Tribut. E Aduaneira) Analise as seguintes afirmaes
relacionadas criptografia.

I. A criptografia de chave simtrica pode manter os dados seguros, mas se
for necessrio compartilhar informaes secretas com outras pessoas,
tambm deve-se compartilhar a chave utilizada para criptografar os dados.
II. Com algoritmos de chave simtrica, os dados assinados pela chave
pblica podem ser verificados pela chave privada.
III. Com algoritmos RSA, os dados encriptados pela chave pblica devem
ser decriptados pela chave privada.
IV. Com algoritmos RSA, os dados assinados pela chave privada so
verificados apenas pela mesma chave privada.

Indique a opo que contenha todas as afirmaes verdadeiras.
a) I e II
b) II e III
c) III e IV
d) I e III


Prof
a

e) II e IV

Comentrios

Criptografar (cifrar, encriptar): o processo de embaralhar a mensagem
original transformando-a em mensagem cifrada.

Decriptar (decifrar): o processo de transformar a mensagem cifrada de
volta em mensagem original.

Algoritmos:
Simtricos (ou convencional, chave privada, chave nica)
Assimtricos (ou chave pblica)

Item I. A criptografia de chave simtrica (tambm conhecida como
criptografia de chave nica, ou criptografia privada) utiliza APENAS UMA chave
para encriptar e decriptar as mensagens. Assim, como s utiliza uma chave,
obviamente ela deve ser compartilhada entre o remetente e o destinatrio da
mensagem. O item I est CORRETO.

Item II. Algoritmos de chave simtrica utilizam APENAS UMA chave para
encriptar e decriptar as mensagens. Os algoritmos de criptografia
assimtrica (criptografia de chave pblica) utilizam duas chaves
diferentes, uma pblica (que pode ser distribuda) e uma privada (pessoal e
intransfervel). O item II FALSO.

Item III. Cabe destacar que algoritmos RSA so algoritmos de criptografia
assimtrica. Conforme visto, devem utilizar uma chave pblica na encriptao
e privada na decriptao. O item III est CORRETO.

Item IV. O item fala de algoritmos RSA, que so algoritmos de criptografia
assimtrica, mas o relaciona a um procedimento de criptografia de chave
simtrica (mesma chave privada). A criptografia assimtrica (usa duas chaves
uma pblica para embaralhar e uma privada para desembaralhar!!). O item
D FALSO.
Gabarito: letra D.

5. (ESAF/2008/CEF-AC/Tc. Banc.) Quais princpios da segurana da
informao so obtidos com o uso da assinatura digital?

a)Autenticidade, confidencialidade e disponibilidade.
b)Autenticidade, confidencialidade e integridade.
c)Autenticidade, integridade e no-repdio.
d)Autenticidade, confidencialidade, disponibilidade, integridade e no-
repdio.
e)Confidencialidade, disponibilidade, integridade e no-repdio.


Prof
a

Comentrios
Usamos Assinaturas Digitais sempre que a autenticidade e o no-repdio
forem requeridos. Alguns usos: na assinatura de documentos eletrnicos, para
garantir a autenticidade de documentos; em transaes seguras: garante a
autenticidade e o no repdio de transaes, incluindo a segurana do meio,
etc.

Autenticidade: o fato de a assinatura ter sido realizada pela chave
privada do remetente e confirmada por sua chave pblica (no destino)
oferece a garantia de que foi realmente aquele usurio que a enviou.
Em maiores detalhes, acontece o seguinte: o remetente usar sua chave
privada para "assinar" a mensagem. Do outro lado, o destinatrio usar
a chave pblica do remetente para confirmar que ela foi enviada
realmente por aquela pessoa. A mensagem no sigilosa, porque no
criptografada, e tambm porque teoricamente "todos" tm acesso
chave pblica do remetente (afinal, ela pblica)!
Integridade: como a assinatura digital usa hash, possvel garantir que
a mensagem no foi alterada no meio do caminho. A Assinatura Digital
d garantias para sabermos se a mensagem foi, ou no, alterada.
No-Repdio: o usurio no poder dizer que no foi ele quem
escreveu aquela mensagem.
Com a assinatura digital no se consegue a confidencialidade, pois no h
criptografia dos dados, que seguem "abertos" pelo e-mail para qualquer um
ver, alm disso, qualquer um que possua a chave pblica do remetente
conseguir, ao receber o e-mail, verificar a assinatura e confirmar se o e-
mail veio realmente daquele remetente.
Gabarito: letra C.

6. (FGV/2008/ICMS-RJ/Fiscal) Atualmente existem placas-me de
microcomputadores que oferecem nveis RAID ("Redundant Arrays of
Independent Disks"), para tornar o sistema de disco mais rpido e mais
seguro. No que diz respeito tolerncia a falhas, um dos nveis, conhecido
por espelhamento, se caracteriza pelos seguintes fatos:


Prof
a

I. O contedo de um disco rgido inteiramente copiado para outro. Se
ocorrer qualquer pane no disco rgido principal, o segundo entra em ao.
Assim, o espelhamento constitui um backup automtico feito por hardware,
executado automaticamente pela placa-me, aumentando a segurana, no
sendo necessrio nenhum tipo de configurao no sistema operacional para
que seja realizado.

II. O processo no precisa ser feito no momento da formatao do disco
rgido e instalao do sistema operacional. No momento da configurao,
que feito por um setup prprio, o contedo do disco rgido principal ser
copiado para o disco rgido de backup. Em conseqncia, consegue-se a
redundncia dos dados nos discos, pois os dois contero as mesmas
informaes. Caso um dos discos pare, o outro, por armazenar o mesmo
contedo, manter todo o sistema operacional.

Esse nvel de tolerncia a falhas denominado:

(A) RAID-5.
(B) RAID-4.
(C) RAID-3.
(D) RAID-1.
(E) RAID-0.

Comentrios
RAID (Redundant Array of Independent Disks/ Matriz redundante de discos
independentes) uma tecnologia utilizada para combinar diversos discos
rgidos (como IDE, SATA, SCSI) para que sejam reconhecidos pelo sistema
operacional como apenas uma nica unidade de disco.

Algumas observaes:

RAID 0
Stripping
(Enfileiramento)
Combina dois (ou mais) HDs para
que os dados gravados sejam divididos
entre eles.
No caso de um RAID 0 entre dois discos, os
arquivos salvos nesse conjunto sero gravados
METADE em um disco, METADE no outro.
Ganha-se muito em velocidade
o a gravao do arquivo feita em metade
do tempo, porque se grava metade dos
dados em um disco e metade no outro
simultaneamente (o barramento RAID
outro, separado, do IDE).


Prof
a

o A leitura dos dados dos discos tambm
acelerada!
Nesse RAID no h tolerncia a falhas
(segurana) porque de um dos discos pifar,
os dados estaro perdidos completamente.
o No se preocupa com segurana e sim com
a velocidade!

RAID 1
Mirroring
(Espelhamento)
Cria uma matriz (array) de discos espelhados
(discos idnticos). O que se copia em um,
copia-se igualmente no outro disco.
O RAID 1 aumenta a segurana do sistema,
oferecendo portanto redundncia dos dados e
fcil recuperao, com proteo contra falha em
disco.
RAID 1 aumenta a velocidade de leitura dos
dados no disco (no a de escrita).

RAID 5
um volume tolerante a falhas com dados e
paridade distribudos intermitentemente ao longo
de trs ou mais discos fsicos. A paridade um
valor calculado que usado para reconstruir
dados depois de uma falha. Se uma parte do
disco fsico falhar, possvel recriar os dados que
estavam na parte com problema a partir da
paridade e dados restantes. S possvel criar
volumes RAID-5 em discos dinmicos e no
possvel espelhar ou estender os volumes RAID-
5.

A questo destaca o RAID 1, que faz o espelhamento" de disco.
Gabarito: letra D.

7. (ESAF/2008/Pref. de Natal/RN/Auditor do Tesouro Nacional)
Considerando-se as caractersticas da Segurana da Informao na
transmisso de dados, quando o destinatrio examina uma mensagem para
certificar-se de que ela no foi alterada durante o trnsito, isto chamado
de
a) criptografia assimtrica
b) criptrografia simtrica.
c) garantia da qualidade dos dados.
d) verificao de integridade de dados.
e) Verificao de no-repdio dos dados.

Comentrios


Prof
a

Itens a e b. Criptografia a cincia e arte de escrever mensagens em forma
cifrada ou em cdigo. Os mtodos de criptografia atuais so seguros e
eficientes e baseiam-se no uso de uma ou mais chaves.
A chave uma seqncia de caracteres, que pode conter letras, dgitos e
smbolos (como uma senha), e que convertida em um nmero,
utilizado pelos mtodos de criptografia para codificar e decodificar
mensagens.
Atualmente, os mtodos criptogrficos podem ser subdivididos em duas
grandes categorias, de acordo com o tipo de chave utilizada: a
criptografia de chave nica e a criptografia de chave pblica e privada.
o A CRIPTOGRAFIA DE CHAVE NICA utiliza a MESMA chave
tanto para codificar quanto para decodificar mensagens.
Apesar deste mtodo ser bastante eficiente em relao ao
tempo de processamento, ou seja, o tempo gasto para
codificar e decodificar mensagens, tem como principal
desvantagem a necessidade de utilizao de um meio seguro
para que a chave possa ser compartilhada entre pessoas ou
entidades que desejem trocar informaes criptografadas.
Exemplos de algoritmos de criptografia simtrica:
IDEA;
Blowfish;
RC2;
RC4;
DES: usa chaves de 40 a 56 bits, j est obsoleto, mas
o mais usado ainda;
3DES (Triple DES): usa chaves de 168 bits; trs
vezes mais pesado e mais seguro que o DES, porque
criptografa a mensagem trs vezes seguidas,usando
DES. Em suma, usa trs chaves diferentes de 56 bits
que, combinadas, resultam numa chave de 168 bits;
AES: usa chaves de 256 bits. o substituto do DES e
3DES (ainda est ganhando fama).

o A CRIPTOGRAFIA DE CHAVES PBLICA E PRIVADA utiliza
DUAS chaves distintas, uma para codificar e outra para decodificar
mensagens. Neste mtodo cada pessoa ou entidade mantm duas
chaves: uma pblica, que pode ser divulgada livremente, e outra
privada, que deve ser mantida em segredo pelo seu dono. As
mensagens codificadas com a chave pblica s podem ser
decodificadas com a chave privada correspondente.
Exemplos de algoritmos de criptografia assimtrica:
Diffie-Hellman;
RSA;
DSA (Digital Signature Algorithm), etc
Item c. A verificao da qualidade no checa se houve modificao na
mensagem.


Prof
a

Item d. Para certificar-se de que a mensagem no foi alterada, deve-se
realizar a verificao da sua integridade. Em outras palavras, a garantia de
que a informao que foi armazenada a que ser recuperada!!!

A integridade pode ser comprometida de duas maneiras:
alterao maliciosa: quando um atacante altera a mensagem armazenada
ou em trnsito;
alterao acidental: pode acontecer, por exemplo, por erros de
transmisso ou corrupo de dados armazenados.
O princpio da Integridade destaca que a informao deve ser mantida na
condio em que foi liberada pelo seu proprietrio, garantindo a sua proteo
contra mudanas intencionais, indevidas ou acidentais (SMOLA, 2003).

Usamos o hash (resumo da mensagem, message digest em ingls) quando
precisamos garantir a integridade de determinada informao; realizar
armazenamento seguro de senhas; garantir a integridade de arquivos, etc.
Hash uma funo matemtica que recebe uma mensagem de entrada e
gera como resultado um nmero finito de caracteres (dgitos
verificadores).
uma funo unidirecional. A figura seguinte ilustra alguns exemplos de
uso da funo hash:

No possvel reconstituir a mensagem a partir do hash.
Pode ser feita em um sentido e no no outro como a relao entre as
chaves em um sistema de criptografia assimtrica.
Alguns algoritmos de hash: MD4, MD5, SHA-1, SHA-256, TIGER, etc.

Item e. Repdio o ato de negar algo que foi dito, recebido ou feito. A
verificao do no-repdio, listada como uma das alternativas incorretas
dessa questo, est relacionada capacidade de um sistema de provar que um
usurio executou determinada ao.
Impede tanto o emissor quanto o receptor da mensagem de neg-la.


Prof
a

Situaes em que ocorre:
o um erro cometido (um arquivo apagado acidentalmente, por
exemplo) e quem o cometeu nega o que fez;
o uma compra feita e o comprador posteriormente nega que o fez
(para escapar do pagamento), por exemplo, alegando que seu
carto de crdito foi roubado e usado indevidamente.
Gabarito: letra D.

Analise as seguintes afirmaes relacionadas a conceitos bsicos de Internet
e de segurana da informao:

I. Uma Autoridade Certificadora uma pessoa fsica que recebe um
certificado e passa a ter o direito de assinar documentos digitalmente.
II. O ICMP (Internet Control Message Protocol) muito utilizado para
reportar condies de erro e emitir e responder a requisies simples. Uma
de suas caractersticas que os servios ou as portas no precisam estar
ativos para propagar suas mensagens.
III. A porta geralmente associada ao trfego DNS, a UDP 53,
normalmente deixada livre em sistemas de filtragem de pacotes, para que
servidores DNS internos rede possam funcionar.
IV. Uma Ameaa um fator interno que ataca um ativo causando um
desastre ou perda significativa.

a) I e II
b) II e III
c) III e IV
d) I e III
e) II e IV

Comentrios
Item I. Uma Autoridade Certificadora (AC) a entidade (pessoa jurdica!!)
responsvel por emitir/renovar certificados digitais para diversos tipos de
entidades, tais como: pessoa, computador, departamento de uma instituio,
instituio, etc. O item I FALSO.
Os certificados digitais possuem uma forma de assinatura eletrnica da
AC que o emitiu.
A AC tambm responsvel por emitir listas de certificados revogados -
LCRs.
Graas sua idoneidade, a AC normalmente reconhecida por todos
como confivel, fazendo o papel de Cartrio Eletrnico.
Os usurios destes certificados podero assinar digitalmente aquilo que
fizerem!


Prof
a

Item II. O ICMP (Internet Control Message Protocol - Protocolo de Controle de
Mensagens na Internet) o protocolo usado para trocar mensagens de status
(Estado) e de erro entre os diversos dispositivos da rede. Como um protocolo
da camada de redes, no tem portas associadas a ele. As portas so
associadas aos protocolos da camada de aplicao em relao aos protocolos
da camada de transporte - ambas acima da camada de redes. O item II
VERDADEIRO.

Item III. O DNS (Domain Name System Sistema de Nome de Domnio)
utilizado para traduzir endereos de domnios da internet, como
www.pontodosconcursos.com.br, em endereos IP, como 200.234.196.65, e
vice-versa. O DNS utiliza o protocolo de transporte UDP associado porta 53,
como destacado na questo. O item III VERDADEIRO.

Item IV. As ameaas so agentes capazes de explorar as falhas (conhecidas
como vulnerabilidades ou pontos fracos) de segurana e, como conseqncia,
provocar perdas ou danos aos ativos de uma empresa, afetando os seus
negcios.
Ativos so os elementos que a segurana busca proteger; inclui-se nessa
relao tambm a prpria informao.
Os ativos esto constantemente sob ameaas que podem colocar em
risco a integridade, a confidencialidade e a disponibilidade das
informaes.
Essas ameaas sempre existiro e esto relacionadas a causas que
representam riscos, as quais podem ser: causas naturais ou no-
naturais; causas internas ou externas.

Dessa forma, cabe destacar que um dos objetivos da segurana da
informao impedir que as ameaas explorem os pontos fracos e
afetem um dos princpios bsicos da segurana da informao
(integridade, disponibilidade, confidencialidade), provocando danos ao negcio
das empresas.

O item IV FALSO.
Gabarito: letra B.

Analise as seguintes afirmaes relacionadas Segurana da Informao.
I. Um Firewall pode ser configurado com a seguinte poltica: o que no
expressamente permitido, proibido.
II. Um Firewall evita invases que partam de mquinas na rede onde se
encontra a mquina invadida.
III. O spoofing uma tcnica de subverso de sistemas que ocorre quando
um pacote feito e enviado para parecer que veio da rede interna, mesmo
que tenha vindo de uma rede externa.


Prof
a

IV. Uma rede corporativa protegida por um Firewall instalado entre a rede
interna e o acesso ao backbone da Internet garante a segurana mesmo
que algumas mquinas no utilizem acesso Internet via modem prprio
desde que estes utilizem protocolo PPP ou SLIP.

a) I e II
b) II e III
c) III e IV
d) I e III
e) II e IV

Comentrios
Item I. Uma poltica de segurana define o que permitido e o que proibido
em um sistema. Temos basicamente duas filosofias por traz de qualquer
poltica de segurana:
Proibitiva: tudo que no for expressamente permitido proibido (Default
deny stance);
Permissiva: tudo que no for expressamente proibido permitido
(Default permit stance).
Geralmente as instituies mais preocupadas com a segurana adotam a
primeira abordagem. Uma poltica deve descrever exatamente quais operaes
so permitidas em um sistema. Qualquer operao que no esteja descrita de
forma detalhada na poltica de segurana deve ser considerada ilegal ao
sistema.
Complementando essa filosofia, cabe destacar que as aplicaes no
conhecidas devem ser proibidas, pois no se conhecem suas causas e efeitos.
Para determinar o que permitido, o administrador deve: examinar os
servios de usurios; considerar suas aplicaes na segurana; permitir o uso
somente dos servios que conhece.
Como o item I destaca perfeitamente a forma como um firewall deve ser
configurado, o item I VERDADEIRO.

Item II. Apenas instalar um firewall no garante a segurana das mquinas na
rede. importante lembrar que o firewall apenas controla o trfego entre
redes. O firewall no evita invases que partam de mquinas na rede em que
se encontra a mquina invadida. Estatsticas mostram que os responsveis por
invases so muitas vezes funcionrios da empresa em que se encontra a
mquina invadida. Isso demonstra a importncia de uma poltica global de
segurana, em que o firewall apenas UM componente na sua implementao.
O item II FALSO.

Item III. A ESAF em seu gabarito oficial considerou como VERDADEIRO o
item, mas pode ser considerado como ANULVEL! A questo faz parecer que


Prof
a

somente (apesar de no utilizar esse termo!) usado quando se quer "falsificar"
o endereo de origem para faz-lo ser oriundo da rede interna, mesmo que
tenha vindo da rede externa. Como se esse fosse o principal objetivo do
spoofing!

Segundo Nakamura e Geus (2007) spoofing a tcnica na qual o endereo de
origem do atacante mascarado ("trocado por um endereo fictcio"), de
forma a evitar que ele seja encontrado.

Spoofing uma tcnica de disfarce utilizada durante ataques. Seu objetivo
disfarar a mquina da qual se origina o ataque, alterando o IP de origem! O
item III questionvel, e pode ser anulado!!

Item IV. Item muito estranho, com tudo muito misturado! O item IV FALSO.

O firewall instalado entre a rede interna e o backbone da internet protege
apenas os computadores que esto ligados ao backbone da internet pela rede
em si, ou seja, os micros que justamente no usam seus prprios modems.
Tais micros vo usar conexo via a rede interna (atravs de suas placas de
rede).

O texto ...mesmo que algumas mquinas no utilizem acesso Internet via
modem prprio..." desnecessrio. Micros que utilizam modems prprios no
esto ligados rede interna, logo, no passam pelo firewall.

O PPP e o SLIP so protocolos de discagem, usados em redes dial-up (redes
que usam a linha telefnica convencional, atravs do uso de modems
telefnicos convencionais)!
Gabarito: a questo deve ser ANULADA!

10. (CESPE/TJ-ES/CBNS1_01/Superior/2011) Tecnologias como a
biometria por meio do reconhecimento de digitais de dedos das mos ou o
reconhecimento da ris ocular so exemplos de aplicaes que permitem
exclusivamente garantir a integridade de informaes.

Comentrios
A biometria est sendo cada vez mais utilizada na segurana da informao,
permitindo a utilizao de caractersticas corporais, tais como: impresses
digitais, timbre de voz, mapa da ris, anlise geomtrica da mo, etc., em
mecanismos de autenticao. O princpio da integridade destaca que a
informao deve ser mantida na condio em que foi liberada pelo seu
proprietrio, e teremos outros mecanismos na organizao para mant-la. A
biometria, no entanto, garante-nos a autenticidade, relacionada capacidade
de garantir a identidade de uma pessoa (fsica ou jurdica) que acessa as
informaes do sistema ou de um servidor (computador).


Prof
a

Gabarito: item errado.

11. (CESPE/TJ-ES/CBNS1_01/Superior/2011) Um filtro de phishing
uma ferramenta que permite criptografar uma mensagem de email cujo
teor, supostamente, s poder ser lido pelo destinatrio dessa mensagem.

Comentrios
O filtro de phishing ajuda a proteg-lo contra fraudes e riscos de furto de
dados pessoais, mas a ferramenta no permite criptografar mensagens!

12. (CESPE/TJ-ES/CBNS1_01/Superior/2011) O conceito de
confidencialidade refere-se a disponibilizar informaes em ambientes
digitais apenas a pessoas para as quais elas foram destinadas, garantindo-
se, assim, o sigilo da comunicao ou a exclusividade de sua divulgao
apenas aos usurios autorizados.

Comentrios
A confidencialidade a garantia de que a informao no ser conhecida por
quem no deve, ou seja, somente pessoas explicitamente autorizadas podero
acess-las.
Gabarito: item correto.

13. (CESPE/TJ-ES/CBNM1_01/Nvel Mdio/2011) necessrio sempre
que o software de antivrus instalado no computador esteja atualizado e
ativo, de forma a se evitar que, ao se instalar um cookie no computador do
usurio, essa mquina fique, automaticamente, acessvel a um usurio
intruso (hacker), que poder invadi-la.

Comentrios
Recomenda-se que o antivrus esteja sempre atualizado e ativo no computador
do usurio. No entanto, um cookie no permite que a mquina seja acessvel
por um intruso, pois se trata de um arquivo texto que o servidor Web salva na
mquina do usurio para armazenar as suas preferncias de navegao,
dentre outros.


Prof
a

14. (CESPE/TJ-ES/CBNM1_01/Nvel Mdio/2011) Os pop-ups so vrus
que podem ser eliminados pelo chamado bloqueador de pop-ups, se este
estiver instalado na mquina. O bloqueador busca impedir, por exemplo,
que esse tipo de vrus entre na mquina do usurio no momento em que ele
consultar um stio da Internet.

Comentrios
Pop-Up no vrus, trata-se de uma janela aberta sobre a janela principal de
um site, mostrando uma propaganda ou aviso sobre um determinado tema.
O bloqueador de pop-ups pode ser habilitado no menu Ferramentas ->
Bloqueador de Pop-ups do Internet Explorer.


15. (CESPE/TJ-ES/CBNM1_01/Nvel Mdio/2011) Confidencialidade,
disponibilidade e integridade da informao, que so conceitos importantes
de segurana da informao em ambiente digital, devem estar presentes na
gesto e no uso de sistemas de informao, em benefcio dos cidados e
dos fornecedores de solues.

Comentrios
Os princpios da segurana da informao listados na questo so:
Confidencialidade: a garantia de que a informao no ser conhecida por
quem no deve, ou seja, somente pessoas explicitamente autorizadas
podero acess-las;
Integridade: destaca que a informao deve ser mantida na condio em
que foi liberada pelo seu proprietrio, garantindo a sua proteo contra
mudanas intencionais ou acidentais.
no importando o motivo;
Cabe ressaltar que a perda de pelo menos um desses princpios j ir
comprometer o ambiente da empresa, portanto devem estar presentes na
gesto e no uso de sistemas de informao, em benefcio dos cidados e dos
fornecedores de solues.


Prof
a


16. (CESPE/Nvel Superior - STM/2011) Um firewall pessoal instalado no
computador do usurio impede que sua mquina seja infectada por
qualquer tipo de vrus de computador.

Comentrios
O Firewall no protege contra infeco de vrus e sim contra o acesso no
autorizado (invases), quem protege contra infeco de vrus o Antivrus.

17. (CESPE/Analista Judicirio - Tecnologia da Informao-TRE-
MT/2010) A confidencialidade tem a ver com salvaguardar a exatido e a
inteireza das informaes e mtodos de processamento. Para tanto,
necessrio que os processos de gesto de riscos identifiquem, controlem,
minimizem ou eliminem os riscos de segurana que podem afetar sistemas
de informaes, a um custo aceitvel.

Comentrios
Primeiro, a confidencialidade a garantia de segredo. A afirmao fala da
Integridade. Outra coisa que no se fala em ELIMINAR riscos e sim
minimizar.

18. (CESPE/ANALISTA - TRE.BA/ 2010) Confidencialidade,
disponibilidade e integridade da informao so princpios bsicos que
orientam a definio de polticas de uso dos ambientes computacionais.
Esses princpios so aplicados exclusivamente s tecnologias de informao,
pois no podem ser seguidos por seres humanos.

Comentrios
Os seres humanos tambm so considerados como ativos em segurana da
informao e merecem tambm uma ateno especial por parte das
organizaes. Alis, os usurios de uma organizao so considerados at
como o elo mais fraco da segurana, e so os mais vulnerveis. Portanto,
eles tm que seguir as regras predefinidas pela poltica de segurana da
organizao, e esto sujeitos a punies para os casos de descumprimento das
mesmas! No adianta investir recursos financeiros somente em tecnologias e
esquecer-se de treinar os usurios da organizao, pois erros comuns (como o


Prof
a

uso de um pen drive contaminado por vrus na rede) poderiam vir a
comprometer o ambiente que se quer proteger!

19. (CESPE/Analista de Saneamento/Analista de Tecnologia da
Informao Desenvolvimento - EMBASA/2010) O princpio da
autenticao em segurana diz que um usurio ou processo deve ser
corretamente identificado. Alm disso, todo processo ou usurio autntico
est automaticamente autorizado para uso dos sistemas.

Comentrios
Cuidado aqui! A segunda parte da afirmao est incorreta. Um usurio ou
processo (programa) autenticado no est automaticamente apto para uso dos
sistemas. Isto depender do nvel de acesso que ele possuir. possvel, por
exemplo, que um usurio tenha permisso apenas para visualizar a caixa de
mensagens dele ou, ainda, para ler os arquivos de sua pasta particular.

20. (CESPE/Tcnico Administrativo - ANATEL/2009) Com o
desenvolvimento da Internet e a migrao de um grande nmero de
sistemas especializados de informao de grandes organizaes para
sistemas de propsito geral acessveis universalmente, surgiu a
preocupao com a segurana das informaes no ambiente da Internet.
Acerca da segurana e da tecnologia da informao, julgue o item a seguir.
-> A disponibilidade e a integridade so itens que caracterizam a segurana
da informao. A primeira representa a garantia de que usurios
autorizados tenham acesso a informaes e ativos associados quando
necessrio, e a segunda corresponde garantia de que sistemas de
informaes sejam acessveis apenas queles autorizados a acess-los.

Comentrios
O conceito de disponibilidade est correto, mas o conceito de integridade no.
O conceito apresentado na questo foi o de confidencialidade: garantia de que
sistemas de informaes sejam acessveis apenas queles autorizados a
acess-los.


Prof
a

(CESPE/Escrivo de Polcia Federal/2010)

Considerando a figura acima, que apresenta uma janela com algumas
informaes da central de segurana do Windows de um sistema
computacional (host) de uso pessoal ou corporativo, julgue os trs prximos
itens, a respeito de segurana da informao.

21. (CESPE/2010/Escrivo de Polcia Federal) A atualizao automtica
disponibilizada na janela exibida acima uma funo que est mais
relacionada distribuio de novas funes de segurana para o sistema
operacional do que distribuio de novos patches (remendos) que
corrijam as vulnerabilidades de cdigo presentes no sistema operacional.

Comentrios
A atualizao automtica disponibilizada na janela est relacionada
distribuio de novos patches (remendos/correes de segurana) que
corrijam as vulnerabilidades (fragilidades) de cdigo presentes no sistema
operacional.

22. (CESPE/2010/Escrivo de Polcia Federal) Na figura acima, o
firewall assinalado como ativado, em sua configurao padro, possui um
conjunto maior de regras para bloqueio de conexes originadas de fora do
computador do que para as conexes originadas de dentro do computador.


Prof
a

Comentrios
Cumpre a funo de controlar os acessos. Uma vez estabelecidas suas regras,
passam a gerenciar tudo o que deve entrar e sair da rede corporativa, tendo
um conjunto maior de regras para bloqueio de conexes oriundas de fora do
computador.

23. (CESPE/2010/Escrivo de Polcia Federal) A configurao da
proteo contra malwares exposta na figura indica que existe no host uma
base de assinaturas de vrus instalada na mquina.

Comentrios
A figura destaca que no existe antivrus instalado no equipamento, e tambm
mostra que a proteo contra spyware e outro malware encontra-se
desatualizada. No possvel destacar pela figura que existe no host
(equipamento) uma base de assinaturas de vrus.

24. (CESPE/2010/Caixa/Tcnico Bancrio) A assinatura digital facilita a
identificao de uma comunicao, pois baseia-se em criptografia simtrica
de uma nica chave.

Comentrios
A assinatura digital facilita a identificao de uma comunicao, mas baseia-se
em criptografia assimtrica com par de chaves: uma pblica e outra privada.

25. (CESPE/2010/Caixa/Tcnico Bancrio) O destinatrio de uma
mensagem assinada utiliza a chave pblica do remetente para garantir que
essa mensagem tenha sido enviada pelo prprio remetente.

Comentrios
Esta uma das utilidades do uso de criptografia assimtrica. O emissor utiliza
sua chave privada para encriptar a mensagem, sendo possvel a decriptao
apenas com sua chave pblica. Assim, pode-se confirmar que o emissor
quem diz ser, pois somente a chave dele permite decriptar a mensagem.


Prof
a

26. (CESPE/2010/Caixa/Tcnico Bancrio/Administrativo) Uma
autoridade de registro emite o par de chaves do usurio que podem ser
utilizadas tanto para criptografia como para assinatura de mensagens
eletrnicas.

Comentrios
a autoridade de registro recebe as solicitaes de certificados dos usurios e
as envia autoridade certificadora que os emite.

27. (CESPE/Tcnico Judicirio/Programao de Sistemas - TRE-
MT/2010) Disponibilidade a garantia de que o acesso informao seja
obtido apenas por pessoas autorizadas.

Comentrios
A disponibilidade garante que a informao estar l quando for preciso
acess-la. Obviamente, o acesso s ser permitido a quem de direito. O texto
da questo afirma que a disponibilidade a garantia de que o acesso
informao seja obtido apenas por pessoas autorizadas, o que a garantia da
confidencialidade.

28. (CESPE/TRE-MT/Tcnico Judicirio - Programao de
Sistemas/2010) Confidencialidade a garantia de que os usurios
autorizados obtenham acesso informao e aos ativos correspondentes
sempre que necessrio.

Comentrios
O texto refere-se disponibilidade. A informao deve estar disponvel a quem
de direito.

29. (CESPE/UERN/Agente Tcnico Administrativo/2010) A
disponibilidade da informao a garantia de que a informao no ser
alterada durante o trnsito entre o emissor e o receptor, alm da garantia
de que ela estar disponvel para uso nesse trnsito.


Prof
a

Comentrios
Nem uma coisa nem outra. A disponibilidade garante que a informao estar
disponvel aos usurios com direito de acesso quando for preciso, mas no local
apropriado para o armazenamento.

30. (CESPE/AGU/Contador/2010) Um arquivo criptografado fica
protegido contra contaminao por vrus.

Comentrios
O arquivo criptografado no elimina a possibilidade de infeco por vrus.
Lembre-se de que a criptografia modifica os smbolos do texto, mas no
impede a incluso de vrus na sequncia.

31. (CESPE/UERN/Agente Tcnico Administrativo/2010) Cavalo de
troia um programa que se instala a partir de um arquivo aparentemente
inofensivo, sem conhecimento do usurio que o recebeu, e que pode
oferecer acesso de outros usurios mquina infectada.

Comentrios
O trojan horse (cavalo-de-troia) pode utilizar um mecanismo de propagao
bastante eficiente, escondendo-se dentro de um aplicativo til.

32. (CESPE/UERN/Agente Tcnico Administrativo/2010) O uso de um
programa anti-spam garante que software invasor ou usurio
mal-intencionado no acesse uma mquina conectada a uma rede.

Comentrios
Anti-spam refere-se aos e-mails indesejados apenas. um software que filtra
os e-mails recebidos separando os no desejados.

33. (CESPE/SEDU-ES/Agente de Suporte Educacional/2010) Vrus
um programa que pode se reproduzir anexando seu cdigo a um outro
programa, da mesma forma que os vrus biolgicos se reproduzem.


Prof
a

Comentrios
Os vrus so pequenos cdigos de programao maliciosos que se agregam a
arquivos e so transmitidos com eles. Quando o arquivo aberto na memria
RAM, o vrus tambm , e, a partir da se propaga infectando, isto , inserindo
cpias de si mesmo e se tornando parte de outros programas e arquivos de um
computador. Assim, do mesmo modo como um vrus biolgico precisa de
material reprodutivo das clulas hospedeiras para se copiar, o vrus de
computador necessita de um ambiente propcio para sua existncia... Esse
ambiente o arquivo a quem ele (o vrus) se anexa.

34. (CESPE/SEDU-ES/Agente de Suporte Educacional/2010) Cavalos-
de-troia, adwares e vermes so exemplos de pragas virtuais.

Comentrios
Todos os trs programas mencionados so exemplos de pragas virtuais,
conforme visto a seguir:
O cavalo de troia um programa no qual um cdigo malicioso ou prejudicial
est contido dentro de uma programao ou dados aparentemente
inofensivos de modo a poder obter o controle e causar danos.
Adware (Advertising software) um software projetado para exibir
anncios de propaganda em seu computador. Esses softwares podem ser
maliciosos!
Worms: so programas parecidos com vrus, mas que na verdade so
capazes de se propagarem automaticamente atravs de redes, enviando
cpias de si mesmo de computador para computador (observe que os
worms apenas se copiam, no infectam outros arquivos, eles mesmos so
os arquivos!!).

35. (CESPE/SEDU-ES/AGENTE DE SUPORTE EDUCACIONAL/2010)
Backup o termo utilizado para definir uma cpia duplicada de um arquivo,
um disco, ou um dado, feita com o objetivo de evitar a perda definitiva de
arquivos importantes.

Comentrios
O termo backup (cpia de segurana) est relacionado s cpias feitas de um
arquivo ou de um documento, de um disco, ou um dado, que devero ser
guardadas sob condies especiais para a preservao de sua integridade no
que diz respeito tanto forma quanto ao contedo, de maneira a permitir o


Prof
a

resgate de programas ou informaes importantes em caso de falha ou perda
dos originais.

36. (CESPE/TRE-MT/Analista Judicirio - Tecnologia da
Informao/2010) Uma das vantagens da criptografia simtrica em
relao assimtrica a maior velocidade de cifragem ou decifragem das
mensagens. Embora os algoritmos de chave assimtrica sejam mais rpidos
que os de chave simtrica, uma das desvantagens desse tipo de criptografia
a exigncia de uma chave secreta compartilhada.

Comentrios
Inverteu os conceitos. Os algoritmos mais rpidos e que compartilham chaves
so os algoritmos de chave simtrica.

37. (CESPE/CAIXA-NM1/ Tcnico Bancrio/Carreira
administrativa/2010) Autoridade certificadora a denominao de
usurio que tem poderes de acesso s informaes contidas em uma
mensagem assinada, privada e certificada.

Comentrios
Autoridade certificadora (AC) o termo utilizado para designar a entidade que
emite, renova ou revoga certificados digitais de outras ACs ou de titulares
finais. Alm disso, emite e publica a LCR (Lista de Certificados Revogados).

38. (CESPE/CAIXA-NM1/ TCNICO BANCRIO/CARREIRA
ADMINISTRATIVA/2010) A autoridade reguladora tem a funo de emitir
certificados digitais, funcionando como um cartrio da Internet.

Comentrios
A Autoridade Certificadora (AC) a entidade responsvel por emitir
certificados digitais.

39. (CESPE/2010/CAIXA-NM1/ TCNICO BANCRIO/CARREIRA
ADMINISTRATIVA) O ITI (Instituto Nacional de Tecnologia da


Prof
a

Informao) tambm conhecido como Autoridade Certificadora Raiz
Brasileira.

Comentrios
A Autoridade Certificadora RAIZ (AC Raiz) primeira autoridade da cadeia
de certificao e compete a ela emitir, expedir, distribuir, revogar e
gerenciar os certificados das AC de nvel imediatamente subsequente,
gerenciar a lista de certificados emitidos, revogados e vencidos, e executar
atividades de fiscalizao e auditoria das ACs e das ARs e dos
prestadores de servio habilitados na ICP. A funo da AC-Raiz foi
delegada ao Instituto Nacional de Tecnologia da Informao ITI,
autarquia federal atualmente ligada Casa Civil da Presidncia da Repblica.
Logo, o ITI tambm conhecido como Autoridade Certificadora Raiz Brasileira.
A AC-Raiz s pode emitir certificados s ACs imediatamente subordinadas,
sendo vedada de emitir certificados a usurios finais.

ADMINISTRATIVA) PKI ou ICP o nome dado ao certificado que foi
emitido por uma autoridade certificadora.

Comentrios
PKI (Public Key I nfrastrusture) a infraestrutura de chaves pblicas. A
ICP-Brasil um exemplo de PKI.

ADMINISTRATIVA) Um certificado digital pessoal, intransfervel e no
possui data de validade.

Comentrios
Um certificado digital um documento eletrnico que identifica pessoas,
fsicas ou jurdicas, URLs, contas de usurio, servidores
(computadores) dentre outras entidades. Este documento na verdade
uma estrutura de dados que contm a chave pblica do seu titular e outras
informaes de interesse. Contm informaes relevantes para a identificao
real da entidade a que visam certificar (CPF, CNPJ, endereo, nome, etc) e
informaes relevantes para a aplicao a que se destinam. O certificado
digital precisa ser emitido por uma autoridade reconhecida pelas partes
interessadas na transao. Chamamos essa autoridade de Autoridade


Prof
a

Certificadora, ou AC. Dentre as informaes que compem um certificado
temos:
Verso: indica qual formato de certificado est sendo seguido
Nmero de srie: identifica unicamente um certificado dentro do
escopo do seu emissor.
Algoritmo: identificador dos algoritmos de hash+assinatura utilizados
pelo emissor para assinar o certificado.
Emissor: entidade que emitiu o certificado.
Validade: data de emisso e expirao.
Titular: nome da pessoa, URL ou demais informaes que esto sendo
certificadas.
Chave pblica: informaes da chave pblica do titular.
Extenses: campo opcional para estender o certificado.
Assinatura: valor da assinatura digital feita pelo emissor.

42. (CESPE/2010/UERN/TCNICO DE NVEL SUPERIOR-Adaptada)
Vrus, worms e cavalos-de-troia so exemplos de software
mal-intencionados que tm o objetivo de, deliberadamente, prejudicar o
funcionamento do computador. O firewall um tipo de malware que ajuda a
proteger o computador contra cavalos-de-troia.

Comentrios
Os vrus, worms e cavalos-de-troia so exemplos de software
funcionamento do computador, e, consequentemente, o usurio!!
O cavalo de troia por exemplo "parece" ser inofensivo, quando na verdade no
!! um presente de grego (rs)!! Fica instalado no seu computador abrindo
portas para que a mquina seja acessada remotamente, pode funcionar como
um keylogger ao capturar as informaes digitadas no computador, etc,
portanto, a primeira parte da assertiva est correta.
A assertiva tornou-se falsa ao afirmar que o firewall um tipo de malware, um
absurdo! O malware (malicious software) um software destinado a se
infiltrar em um sistema de computador de forma ilcita, com o intuito de causar
algum dano ou roubo de informaes (confidenciais ou no), e no esse o
objetivo do firewall.


Prof
a

43. (CESPE/2010/UERN/Agente Tcnico Administrativo) Uma das
formas de se garantir a segurana das informaes de um website no
coloc-lo em rede, o que elimina a possibilidade de acesso por pessoas
intrusas.

Comentrios
Colocar um site fora da rede significa que ningum ter acesso via rede ao
site, nem mesmo as pessoas autorizadas. Alm disso, no se esquea dos
acessos feitos localmente, direto na mquina onde o site est hospedado!

44. (CESPE/2010/TRE-MT/Analista Judicirio - Tecnologia da
Informao) A segurana fsica objetiva impedir acesso no autorizado,
danos ou interferncia s instalaes fsicas e s informaes da
organizao. A proteo fornecida deve ser compatvel com os riscos
identificados, assegurando a preservao da confidencialidade da
informao.

Comentrios
No esquecer que alm da proteo lgica, deve existir a proteo fsica. De
nada adianta um sistema protegido dos acessos no autorizados via rede se
permitido o acesso fsico mquina. Um atacante pode incendiar, quebrar,
estragar, roubar e at invadir um sistema quando o mesmo no possui
controles fsicos.

45. (CESPE/2009/TRE/PR/Tcnico Judicirio Especialidade:
Operao de computadores) Firewalls so equipamentos tpicos do
permetro de segurana de uma rede, sendo responsveis pela deteco e
conteno de ataques e intruses.

Comentrios
Os firewalls so equipamentos tpicos do permetro de segurana de uma rede,
no entanto o IPS (Sistema de Preveno de Intruso) que faz a deteco de
ataques e intruses, e no o firewall!!
O firewall permite restringir o trfego de comunicao de dados entre a parte
da rede que est dentro ou antes do firewall, protegendo-a assim das
ameaas da rede de computadores que est fora ou depois do firewall. Esse
mecanismo de proteo geralmente utilizado para proteger uma rede menor


Prof
a

(como os computadores de uma empresa) de uma rede maior (como a
Internet).

46. (CESPE/2008/TRT-1R/Analista Judicirio-Adaptada) Uma
caracterstica das redes do tipo VPN (virtual private networks) que elas
nunca devem usar criptografia, devido a requisitos de segurana e
confidencialidade.

Comentrios
Uma VPN (Virtual Private Network Rede Privada Virtual) uma rede
privada (no de acesso pblico!) que usa a estrutura de uma rede pblica
(como por exemplo, a Internet) para transferir seus dados (os dados devem
estar criptografados para passarem despercebidos e inacessveis pela
Internet). As VPNs so muito utilizadas para interligar filiais de uma mesma
empresa, ou fornecedores com seus clientes (em negcios eletrnicos) atravs
da estrutura fsica de uma rede pblica.
O trfego de dados levado pela rede pblica utilizando protocolos no
necessariamente seguros. VPNs seguras usam protocolos de criptografia
por tunelamento que fornecem a confidencialidade (sigilo), autenticao e
integridade necessrias para garantir a privacidade das comunicaes
requeridas. Quando adequadamente implementados, estes protocolos podem
assegurar comunicaes seguras atravs de redes inseguras.

47. (CESPE/2010/MINISTRIO DA SADE /ANALISTA TCNICO-
ADMINISTRATIVO) Firewall o mecanismo usado em redes de
computadores para controlar e autorizar o trfego de informaes, por meio
do uso de filtros que so configurados de acordo com as polticas de
segurana estabelecidas.

Comentrios
A banca especificou corretamente o conceito para o termo firewall. Em outras
palavras, basicamente, o firewall um sistema para controlar o acesso s
redes de computadores, e foi desenvolvido para evitar acessos no autorizados
em uma rede local ou rede privada de uma corporao.
Um firewall deve ser instalado no ponto de conexo entre as redes, onde,
atravs de regras de segurana, controla o trfego que flui para dentro e para
fora da rede protegida.


Prof
a

Deve-se observar que isso o torna um potencial gargalo para o trfego de
dados e, caso no seja dimensionado corretamente, poder causar atrasos e
diminuir a performance da rede.

48. (CESPE/2010/TRE.BA/ANALISTA/Q.27) Firewall um recurso
utilizado para a segurana tanto de estaes de trabalho como de
servidores ou de toda uma rede de comunicao de dados. Esse recurso
possibilita o bloqueio de acessos indevidos a partir de regras
preestabelecidas.

Comentrios
Outra questo bem parecida com a anterior, que destaca claramente o
conceito de firewall! Vrios objetivos para a segurana de uma rede de
computadores podem ser atingidos com a utilizao de firewalls. Dentre eles
destacam-se:
segurana: evitar que usurios externos, vindos da Internet, tenham acesso
a recursos disponveis apenas aos funcionrios da empresa autorizados.
Com o uso de firewalls de aplicao, pode-se definir que tipo de informao
os usurios da Internet podero acessar (somente servidor de pginas e
correio eletrnico, quando hospedados internamente na empresa);
confidencialidade: pode ocorrer que empresas tenham informaes sigilosas
veiculadas publicamente ou vendidas a concorrentes, como planos de ao,
metas organizacionais, entre outros. A utilizao de sistemas de firewall de
aplicao permite que esses riscos sejam minimizados;
produtividade: comum os usurios de redes de uma corporao
acessarem sites na Internet que sejam improdutivos como sites de
pornografia, piadas, chat etc. O uso combinado de um firewall de aplicao
e um firewall de rede pode evitar essa perda de produtividade;
performance: o acesso Internet pode tornar-se lento em funo do uso
inadequado dos recursos. Pode-se obter melhoria de velocidade de acesso a
Internet mediante controle de quais sites podem ser visitados, quem pode
visit-los e em que horrios sero permitidos. A opo de gerao de
relatrios de acesso pode servir como recurso para anlise dos acessos.

Firewall um sistema constitudo de software e hardware que verifica
informaes oriundas da Internet ou de uma rede de computadores e que
permite ou bloqueia a entrada dessas informaes, estabelecendo, dessa
forma, um meio de proteger o computador de acesso indevido ou
indesejado.


Prof
a

Comentrios
O firewall pode ser formado por um conjunto complexo de equipamentos e
softwares, ou somente baseado em software, o que j tornaria incorreta a
questo, no entanto, a banca optou pela anulao da questo.
A funo do firewall controlar o trfego entre duas ou mais redes, com o
objetivo de fornecer segurana, prevenir ou reduzir ataques ou invases s
bases de dados corporativas, a uma (ou algumas) das redes, que normalmente
tm informaes e recursos que no devem estar disponveis aos usurios
da(s) outra(s) rede(s). Complementando, no so todas as informaes
oriundas da Internet ou de uma rede de computadores que sero bloqueadas,
ele realiza a filtragem dos pacotes e, ento, bloqueia SOMENTE as
transmisses NO PERMITIDAS!
Gabarito: item anulado.

50. (CESPE/2010/TRE-BA/Tcnico Judicirio - rea Administrativa)
Uma das formas de bloquear o acesso a locais no autorizados e restringir
acessos a uma rede de computadores por meio da instalao de firewall, o
qual pode ser instalado na rede como um todo, ou apenas em servidores ou
nas estaes de trabalho.

Comentrios
O firewall uma das ferramentas da segurana da informao, que interage
com os usurios de forma transparente, permitindo ou no o trfego da rede
interna para a Internet, como da Internet para o acesso a qualquer servio que
se encontre na rede interna da corporao e/ou instituio. Desta forma todo o
trfego, tanto de entrada como de sada em uma rede, deve passar por este
controlador que aplica de forma implcita algumas das polticas de segurana
adotadas pela corporao.

51. (CESPE/2004/POLCIA FEDERAL/REGIONAL/PERITO/REA 3/Q.
105) Um dos mais conhecidos ataques a um computador conectado a uma
rede o de negao de servio (DoS denial of service), que ocorre
quando um determinado recurso torna-se indisponvel devido ao de um
agente que tem por finalidade, em muitos casos, diminuir a capacidade de
processamento ou de armazenagem de dados.

Comentrios
No ataque de Negao de Servio (Denial of Service - DoS) o atacante
utiliza um computador, a partir do qual ele envia vrios pacotes ou


Prof
a

requisies de servio de uma vez, para tirar de operao um servio ou
computador(es) conectado(s) Internet, causando prejuzos. Para isso, so
usadas tcnicas que podem:
gerar uma sobrecarga no processamento de um computador, de modo
que o verdadeiro usurio do equipamento no consiga utiliz-lo;
gerar um grande trfego de dados para uma rede, ocasionando a
indisponibilidade dela;
indisponibilizar servios importantes de um provedor, impossibilitando o
acesso de seus usurios etc.


52. (CESPE/2008/PRF/Policial Rodovirio Federal) O uso de firewall e
de software antivrus a nica forma eficiente atualmente de se
implementar os denominados filtros anti-spam.

Comentrios
Para se proteger dos spams temos que instalar um anti-spam, uma nova
medida de segurana que pode ser implementada independentemente do
antivrus e do firewall.
O uso de um firewall (filtro que controla as comunicaes que passam de uma
rede para outra e, em funo do resultado permite ou bloqueia seu passo),
software antivrus e filtros anti-spam so mecanismos de segurana
importantes.


Prof
a

53. (CESPE/2008/PRF-POLICIAL RODOVIRIO FEDERAL-ADAPTADA)
Phishing e pharming so pragas virtuais variantes dos denominados
cavalos-de-tria, se diferenciando destes por precisarem de arquivos
especficos para se replicar e contaminar um computador e se
diferenciando, entre eles, pelo fato de que um atua em mensagens de e-
mail trocadas por servios de webmail e o outro, no.

Comentrios
O Phishing (ou Phishing scam) e o Pharming (ou DNS Poisoining) no so
pragas virtuais. Phishing e Pharming so dois tipos de golpes na Internet, e,
portanto, no so variaes de um cavalo de tria (trojan horse) que se trata
de um programa aparentemente inofensivo que entra em seu computador na
forma de carto virtual, lbum de fotos, protetor de tela, jogo etc, e que,
quando executado (com a sua autorizao!), parece lhe divertir, mas, por trs
abre portas de comunicao do seu computador para que ele possa ser
invadido.
Normalmente consiste em um nico arquivo que necessita ser explicitamente
executado. Para evitar a invaso, fechando as portas que o cavalo de tria
abre, necessrio ter, em seu sistema, um programa chamado firewall.

54. (CESPE/2008/PRF/Policial Rodovirio Federal) Se o sistema de
nomes de domnio (DNS) de uma rede de computadores for corrompido por
meio de tcnica denominada DNS cache poisoning, fazendo que esse
sistema interprete incorretamente a URL (uniform resource locator) de
determinado stio, esse sistema pode estar sendo vtima de pharming.

Comentrios
O DNS (Domain Name System Sistema de Nome de Domnio) utilizado
para traduzir endereos de domnios da Internet, como
www.pontodosconcursos.com.br, em endereos IP, como 200.234.196.65.
Imagine se tivssemos que decorar todos os IPs dos endereos da Internet
que normalmente visitamos!!
O Pharming envolve algum tipo de redirecionamento da vtima para sites
fraudulentos, atravs de alteraes nos servios de resoluo de nomes (DNS).
Complementando, a tcnica de infectar o DNS para que ele lhe direcione
para um site fantasma que idntico ao original.

55. (CESPE/2008/PRF/Policial Rodovirio Federal) Quando enviado na
forma de correio eletrnico para uma quantidade considervel de


Prof
a

destinatrios, um hoax pode ser considerado um tipo de spam, em que o
spammer cria e distribui histrias falsas, algumas delas denominadas lendas
urbanas.

Comentrios
Os hoaxes (boatos) so e-mails que possuem contedos alarmantes ou
falsos e que, geralmente, tm como remetente ou apontam como autora da
mensagem alguma instituio, empresa importante ou rgo governamental.
Atravs de uma leitura minuciosa deste tipo de e-mail, normalmente,
possvel identificar em seu contedo mensagens absurdas e muitas vezes sem
sentido.
Normalmente, os boatos se propagam pela boa vontade e solidariedade de
quem os recebe. Isto ocorre, muitas vezes, porque aqueles que o recebem:
confiam no remetente da mensagem; no verificam a procedncia da
mensagem; no checam a veracidade do contedo da mensagem.
Spam o envio em massa de mensagens de correio eletrnico (e-mails) NO
autorizadas pelo destinatrio.
Portanto, o hoax pode ser considerado um spam, quando for enviado em
massa para os destinatrios, de forma no-autorizada.

56. (CESPE/2008/TRT-1R/Analista Judicirio) Os arquivos
denominados cookies, tambm conhecidos como cavalos de troia, so vrus
de computador, com inteno maliciosa, que se instalam no computador
sem a autorizao do usurio, e enviam, de forma automtica e
imperceptvel, informaes do computador invadido.

Comentrios
Cookies no so vrus, e sim arquivos lcitos que permitem a identificao do
computador cliente no acesso a uma pgina. Podem ser utilizados para guardar
preferncias do usurio, bem como informaes tcnicas como o nome e a
verso do browser do usurio.

57. (CESPE/2008/TRT-1R/Analista Judicirio) Os programas
denominados worm so, atualmente, os programas de proteo contra vrus
de computador mais eficazes, protegendo o computador contra vrus,
cavalos de troia e uma ampla gama de softwares classificados como
malware.


Prof
a

Comentrios
O antivrus seria a resposta correta nesse item. O worm um tipo especfico
de malware.

58. (CESPE/2009-03/TRE-MG) A instalao de antivrus garante a
qualidade da segurana no computador.

Comentrios
O antivrus uma das medidas que podem ser teis para melhorar a
segurana do seu equipamento, desde que esteja atualizado.

59. (CESPE/2009-03/TRE-MG) Toda intranet consiste em um ambiente
totalmente seguro porque esse tipo de rede restrito ao ambiente interno
da empresa que implantou a rede.

Comentrios
No podemos afirmar que a intranet de uma empresa totalmente segura,
depende de como foi implementada.

60. (CESPE/2009-03/TRE-MG) O upload dos arquivos de atualizao
suficiente para a atualizao do antivrus pela Internet.

Comentrios
O upload implica na transferncia de arquivo do seu computador para um
computador remoto na rede, o que no o caso da questo.

61. (CESPE/2009-03/TRE-MG O upload das assinaturas dos vrus
detectados elimina-os.


Prof
a

Comentrios
Existem dois modos de transferncia de arquivo: upload e download.
O upload o termo utilizado para designar a transferncia de um dado de um
computador local para um equipamento remoto.
O download o contrrio, termo utilizado para designar a transferncia de
um dado de um equipamento remoto para o seu computador.
Exemplo:
-se queremos enviar uma informao para o servidor de FTP -> estamos
realizando um upload;
-se queremos baixar um arquivo mp3 de um servidor -> estamos fazendo
download.
No ser feito upload de assinaturas de vrus para a mquina do usurio. Um
programa antivrus capaz de detectar a presena de malware (vrus, vermes,
cavalos de troia etc.) em e-mails ou arquivos do computador. Esse utilitrio
conta, muitas vezes, com a vacina capaz de matar o malware e deixar o
arquivo infectado sem a ameaa.

62. (CESPE/2009/TRE-MG) Os antivrus atuais permitem a atualizao de
assinaturas de vrus de forma automtica, sempre que o computador for
conectado Internet.

Comentrios
Alguns fornecedores de programas antivrus distribuem atualizaes regulares
do seu produto. Muitos programas antivrus tm um recurso de atualizao
automtica. Quando o programa antivrus atualizado, informaes sobre
novos vrus so adicionadas a uma lista de vrus a serem verificados. Quando
no possui a vacina, ele, pelo menos, tem como detectar o vrus, informando
ao usurio acerca do perigo que est iminente.

63. (CESPE/2009/ANATEL/TCNICO ADMINISTRATIVO) Com o
Acerca da segurana e da tecnologia da informao, julgue o item seguinte.
A disponibilidade e a integridade so itens que caracterizam a segurana da
informao. A primeira representa a garantia de que usurios autorizados


Prof
a

tenham acesso a informaes e ativos associados quando necessrio, e a
segunda corresponde garantia de que sistemas de informaes sejam
acessveis apenas queles autorizados a acess-los.

Comentrios
O trecho que define a disponibilidade como "a garantia de que usurios
necessrio" est correto, no entanto, a afirmativa de que a integridade "a
garantia de que sistemas de informaes sejam acessveis apenas queles
autorizados a acess-los" falsa (nesse caso o termo correto seria
confidencialidade!).
A disponibilidade garante que a informao e todos os canais de acesso ela
estejam sempre disponveis quando um usurio autorizado quiser acess-la.
Como dica para memorizao, temos que a confidencialidade o segredo e a
disponibilidade poder acessar o segredo quando se desejar!!
J a integridade garante que a informao deve ser mantida na condio em
que foi liberada pelo seu proprietrio, garantindo a sua proteo contra
mudanas intencionais, indevidas ou acidentais a informao. Em outras
palavras, a informao deve manter todas as caractersticas originais durante
sua existncia. Estas caractersticas originais so as estabelecidas pelo
proprietrio da informao quando da criao ou manuteno da informao
(se a informao for alterada por quem possui tal direito, isso no invalida a
integridade, ok!!).

64. (CESPE/2009/IBAMA/ANALISTA AMBIENTAL) Para criar uma cpia
de segurana da planilha, tambm conhecida como backup, suficiente
clicar a ferramenta .

Comentrios
Backup refere-se cpia de dados de um dispositivo para o outro com o
objetivo de posteriormente os recuperar (os dados), caso haja algum
problema. Essa cpia pode ser realizada em vrios tipos de mdias, como CDs,
DVSs, fitas DAT etc de forma a proteg-los de qualquer eventualidade. O boto
utilizado para salvar um documento!!


Prof
a

65. (CESPE/2009/MMA) Antivrus, worms, spywares e crackers so
programas que ajudam a identificar e combater ataques a computadores
que no esto protegidos por firewalls.

Comentrios
Os antivrus so programas de proteo contra vrus de computador bastante
eficazes, protegendo o computador contra vrus, cavalos de troia e uma ampla
gama de softwares classificados como malware. Como exemplos cita-se
McAfee Security Center Antivrus, Panda Antivrus, Norton Antivrus, Avira
Antivir Personal, AVG etc.
J os worms e spywares so programas classificados como malware, tendo-se
em vista que executam aes mal-intencionadas em um computador!!
Worms: so programas parecidos com vrus, mas que na
verdade so capazes de se propagarem automaticamente
atravs de redes, enviando cpias de si mesmo de computador
para computador (observe que os worms apenas se copiam,
no infectam outros arquivos, eles mesmos so os arquivos!!).
Alm disso, geralmente utilizam as redes de comunicao para infectar
outros computadores (via e-mails, Web, FTP, redes das empresas etc).
Diferentemente do vrus, o worm no embute cpias de si mesmo em
outros programas ou arquivos e no necessita ser explicitamente executado
para se propagar. Sua propagao se d atravs da explorao de
vulnerabilidades existentes ou falhas na configurao de softwares
instalados em computadores.
Spyware: programa que tem por finalidade monitorar as atividades de um
sistema e enviar as informaes coletadas para terceiros.
Os Crackers so indivduos dotados de sabedoria e habilidade para
desenvolver ou alterar sistemas, realizar ataques a sistemas de computador,
programar vrus, roubar dados bancrios, informaes, entre outras aes
maliciosas.

66. (CESPE/2009/MMA) A responsabilidade pela segurana de um
ambiente eletrnico dos usurios. Para impedir a invaso das mquinas
por vrus e demais ameaas segurana, basta que os usurios no
divulguem as suas senhas para terceiros.

Comentrios
Tanto a empresa que cria e hospeda o ambiente eletrnico, quanto os usurios
desse ambiente, devem entender a importncia da segurana, atuando como
guardies da rede!!


Prof
a


67. (FCC/2008/TCE-AL/Analista) Considere a seguinte definio: "Evitar
violao de qualquer lei criminal ou civil, estatutos, regulamentao ou
obrigaes contratuais; evitar a violao de direitos autorais dos softwares -
manter mecanismos de controle dos softwares legalmente adquiridos". De
acordo com as especificaes das normas brasileiras de segurana da
informao, esta definio se inclui corretamente em
a) Gesto de Incidentes e Segurana da Informao.
b) Conformidade.
c) Controle de Acesso.
d) Gesto da Continuidade do Negcio.
e) Gesto de Ativos.

Comentrios
A figura seguinte destaca alguns Princpios da Segurana da Informao. So
eles: Confidencialidade, Integridade e Disponibilidade

Inmeros autores listam tambm atributos de segurana complementares, por
exemplo:
- Irretratabilidade: tambm conhecida como No-repdio";
- Controle de Acesso;
- Legalidade: estado legal da informao, ou seja, em conformidade com os
preceitos da legislao em vigor.
Gabarito: letra B.

68. (ESAF/2008/MPOG) A segurana da informao tem como objetivo a
preservao da


Prof
a

a) confidencialidade, interatividade e acessibilidade das informaes.
b) complexidade, integridade e disponibilidade das informaes.
c) confidencialidade, integridade e acessibilidade das informaes.
d) universalidade, interatividade e disponibilidade das informaes.
e) confidencialidade, integridade e disponibilidade das informaes.

Comentrios
Relembrando, os objetivos da questo so formados pela sigla CID, que
destaca os seguintes princpios:

Confidencialidade (sigilo): a garantia de que a informao no ser
conhecida por quem no deve. O acesso s informaes deve ser limitado,
ou seja, somente as pessoas autorizadas podem acess-las.

Perda de confidencialidade significa perda de segredo. Se uma informao
for confidencial, ela ser secreta e dever ser guardada com segurana, e
no divulgada para pessoas no-autorizadas.

Integridade: esse princpio destaca que a informao deve ser mantida na
condio em que foi liberada pelo seu proprietrio, garantindo a sua
proteo contra mudanas intencionais, indevidas ou acidentais (SMOLA,
2003). Em outras palavras, a garantia de que a informao que foi
armazenada a que ser recuperada!!!

no importando o motivo (SMOLA, 2003). Em outras palavras, a garantia
que a informao sempre poder ser acessada!!!

Como exemplo, h quebra do princpio da disponibilidade quando voc
decidir enviar a sua declarao do Imposto de Renda pela Internet, no
ltimo dia possvel, e o site da Receita Federal estiver indisponvel.

A figura seguinte destaca a essncia da aplicao dos trs princpios acima. Ou
seja, desejamos entregar a informao CORRETA, para a pessoa CERTA, no
momento CORRETO!!! Entenderam?? Ainda, cabe destacar que a perda de pelo
menos um desses princpios j ir ocasionar impactos ao negcio (a surgem os
incidentes de segurana!!).


Prof
a

Figura. Princpios Bsicos Integridade, Confidencialidade e Disponibilidade
Gabarito: letra E.

69. (ESAF/2008/MPOG) Um dos objetivos da Poltica de Segurana a
a) eliminao de ocorrncias.
b) reduo dos danos provocados por eventuais ocorrncias.
c) criao de procedimentos para sistematizar eventuais danos.
d) formalizao de procedimentos para eliminao de ameaas.
e) reduo dos custos com segurana.

Comentrios

Item A. A poltica de segurana no elimina as ocorrncias, ela trata/previne as
ocorrncias!! O item A FALSO.

Item B. Indica uma ao preventiva, vai reduzir os danos provocados por
eventuais ocorrncias. O item B VERDADEIRO.

Item C. No tenho como sistematizar danos, e somente os procedimentos. O
item B FALSO.

Item D. A palavra eliminao invalidou esse item. O item D FALSO.

Item E. Quando a empresa no tem NADA implementado, e decide
implementar a poltica, os custos iro subir. O item E FALSO.
Gabarito: letra B.

70. (ESAF/2008/Secretaria de Pesca) Analise as seguintes afirmaes
relacionadas a noes de Segurana da Informao:

I. A confidencialidade uma caracterstica que busca garantir que a
informao ser acessvel por aqueles que tm autorizao de acesso.
II. O uso da Autenticao visa a garantir que um usurio quem realmente ele
diz ser.


Prof
a

III. A assinatura digital de uma mensagem garante sua transformao da
forma original para outra forma ilegvel, de forma que possa ser lida apenas
por seu destinatrio.
IV. Integridade de mensagens a garantia de que todas as mensagens
remetidas chegaro ao destino sem serem interceptadas e lidas por outras
pessoas, que no o destinatrio.

a) I e II
b) II e III
c) III e IV
d) I e III
e) II e IV

Comentrios

Item I. A confidencialidade previne o acesso no autorizado informao. O
item I est CORRETO.

Item II. A autenticao garante que um usurio realmente quem diz ser. O
item II est CORRETO.

Item III. A principal finalidade da criptografia , sem dvida, reescrever uma
mensagem original de uma forma que seja incompreensvel, para que ela no
seja lida por pessoas no-autorizadas. O item III FALSO.

Item IV. A integridade garante que a mensagem que foi enviada a que ser
recuperada!!! O item IV FALSO.
Gabarito: letra A.

71. (ESAF/2006/SEFAZ-CE/Auditor-Fiscal da Receita Estadual) Nos
sistemas de Segurana da Informao, existe um mtodo que
____________________. Este mtodo visa garantir a integridade da
informao.

Escolha a opo que preenche corretamente a lacuna acima.
a) valida a autoria da mensagem
b) verifica se uma mensagem em trnsito foi alterada
c) verifica se uma mensagem em trnsito foi lida por pessoas no
autorizadas
d) cria um backup diferencial da mensagem a ser transmitida
e) passa um antivrus na mensagem a ser transmitida

Comentrios
Deve-se verificar se a mensagem em trnsito foi alterada, com a verificao da
sua integridade: propriedade que garante que a informao manipulada


Prof
a

mantenha todas as caractersticas originais estabelecidas pelo proprietrio da
informao, incluindo controle de mudanas e garantia do seu ciclo de vida
(nascimento, manuteno e destruio). A integridade tem que garantir que a
informao seja a mesma desde sua origem at seu destino.
Em outras palavras, a garantia de que a informao que foi armazenada a
que ser recuperada!!! Quem faz isso o hash, contido nas assinaturas digitais
de e-mails e arquivos.
Gabarito: letra B.

72. (ESAF/2006/SEFAZ-CE/Auditor-Fiscal da Receita Estadual) Os
______________ so utilizados para dividir o trfego entre os segmentos
de uma mesma rede ou para interligar redes com diferentes protocolos na
camada fsica.
a) Servidores IDS
b) Servidores DNS
c) Hubs
d) Roteadores
e) Conectores RJ45

Comentrios
Item a. IDS - Intrusion Detection System ou Sistema de Deteco de Intrusos-
um programa que melhora o filtro do firewall, reconhecendo
comportamentos suspeitos em certos padres de comunicao. O item a
FALSO.

Item b. O servidor DNS (Domain Name System Sistema de Nome de
Domnio) utilizado para traduzir endereos de domnios da internet, como
www.pontodosconcursos.com.br, em endereos IP, como 200.234.196.65, e
vice-versa. Imaginem se tivssemos que decorar todos os IPs dos endereos
da Internet que normalmente visitamos !! O item b FALSO.

Item c. Hub: equipamento da camada 1. Interliga fisicamente vrios micros
sem fazer qualquer tipo de chaveamento ou filtro entre eles! O hub tem a
funo de interligar os computadores de uma rede local. O hub recebe dados
vindos de um computador e os transmite s outras mquinas. No momento em
que isso ocorre, nenhum outro computador consegue enviar sinal. O item C
FALSO.

Item d. Um roteador um equipamento da camada 3 (camada de rede) do
modelo OSI, responsvel pelo encaminhamento e roteamento de pacotes de
comunicao em uma rede ou entre redes. Tipicamente, uma instituio, ao se
conectar Internet, dever adquirir um roteador para conectar sua rede local
(LAN) ao ponto da Internet.


Prof
a

A primeira parte do enunciado, que fala em so utilizados para dividir o
trfego entre os segmentos de uma mesma rede..., nos leva a pensar, de
imediato, na ponte (ou no switch), equipamentos da camada 2 (enlace). No
entanto, como o roteador pertence camada 3, ento ele tem condies (por
entender o protocolo das camadas inferiores) de funcionar como uma ponte,
segmentando o fluxo dos dados dentro de uma mesma rede local, sem criar
redes distintas (o que seria seu prprio funcionamento, enquanto roteador
que ). O Item D VERDADEIRO.

Item e. Conectores RJ-45 so conectores de acrlico usados nos cabos de
par-tranado das redes Ethernet. O item e FALSO.
Gabarito: letra D.

73. (ESAF/2006/TRF) Nos dispositivos de armazenamento de dados,
quando se utiliza espelhamento visando a um sistema tolerante a falhas,
correto afirmar que:

a) ao apagar um arquivo em um disco com sistema de espelhamento, o
arquivo equivalente no disco espelhado s ser apagado aps a execuo de
uma ao especfica de limpeza que deve ser executada periodicamente pelo
usurio;
b) ao ocorrer uma falha fsica em um dos discos, os dados nos dois discos
tornam-se indisponveis. Os dados s sero mantidos em um dos discos
quando se tratar de uma falha de gravao de dados;
c) o sistema fornece redundncia de dados, usando uma cpia do volume para
duplicar as informaes nele contidas;
d) o disco principal e o seu espelho devem estar sempre em parties
diferentes, porm no mesmo disco fsico;
e) o disco a ser utilizado como espelho deve ter sempre o dobro do tamanho
do disco principal a ser espelhado.

Comentrios
RAID (Redundant Array of Independent Disks / Matriz redundante de discos
independentes) uma tecnologia utilizada para combinar diversos discos
rgidos (como IDE, SATA, SCSI) para que sejam reconhecidos pelo sistema
operacional como apenas uma nica unidade de disco.

RAID 1
Mirroring
(Espelhamento)
Cria uma matriz (array) de discos espelhados
(discos idnticos). O que se copia em um,
copia-se igualmente no outro disco.
O RAID 1 aumenta a segurana do sistema,
oferecendo portanto redundncia dos dados e
fcil recuperao, com proteo contra falha em
disco.
RAID 1 aumenta a velocidade de leitura dos
dados no disco (no a de escrita).


Prof
a

A questo destaca o RAID 1, que faz o espelhamento" de disco.
Gabarito: letra C.

74. (ESAF/2003/ Prefeitura de Recife) Deve-se tomar alguns cuidados
com as informaes armazenadas em um computador. Um dos cuidados
mais importantes a realizao de cpias de segurana (Backup). Com
relao ao backup, correto afirmar que:
a) o mais importante a realizao, diria, da cpia de segurana do
Sistema Operacional de sua mquina.
b) quando se realiza uma cpia de segurana do contedo de uma pasta
que se encontra no disco principal de uma mquina, por exemplo, disco C:,
para uma pasta denominada BACKUP, no mesmo disco, a recuperao total
dos dados dessa pasta BACKUP possvel utilizando-se apenas o Windows e
suas ferramentas bsicas, mesmo se o referido disco for formatado.
c) deve ser feita uma cpia de segurana dos arquivos temporrios do
Windows sempre que se enviar um e-mail.
d)um backup incremental aquele que copia somente os arquivos criados
ou alterados desde o ltimo backup normal ou incremental.
e)uma cpia s pode ser considerada segura se for realizada em um
disquete.

Comentrios
O backup INCREMENTAL copia SOMENTE os arquivos CRIADOS ou
ALTERADOS desde o ltimo backup normal ou incremental.
marcadores!!
Ainda, complementando com mais uma dica vamos lembrar o seguinte:
-no backup norMal e increMental o sistema limpa os Marcadores!!!Isso indica
que o arquivo foi backupeado!! A letra M na palavra vai lembr-los de que os
Marcadores sero desmarcados!!
Gabarito: letra D.

75. (Elaborao prpria) Trata-se de um software malicioso que, ao infectar
um computador, criptografa todo ou parte do contedo do disco rgido. Os
responsveis pelo software exigem da vtima, um pagamento pelo resgate
dos dados.

(A)Bot
(B)DoS
(C)Conficker


Prof
a

(D)Pharming
(E)Ransomware

Comentrios
Item A. Bot = rob. Worm capaz de se propagar automaticamente, explorando
vulnerabilidades existentes ou falhas na configurao de softwares instalados
em um computador. Dispe de mecanismos de comunicao com o invasor
(cracker), permitindo que seja controlado remotamente.

Item B. DoS (Negao de Servio Denial of Service): a forma mais
conhecida de ataque que consiste na perturbao de um servio. Para provocar
um DoS, os atacantes disseminam vrus, geram grandes volumes de trfego de
forma artificial, ou muitos pedidos aos servidores que causam subcarga e estes
ltimos ficam impedidos de processar os pedidos normais.

DDoS (Negao de Servio Distribudo Distributed Denial of Service)
um ataque DoS ampliado, ou seja, que utiliza at milhares de computadores
para atacar uma determinada mquina. Utiliza a tecnologia de "Intruso
Distribuda". Para iniciar um ataque, no lugar de um nico computador, so
utilizados centenas ou milhares de computadores desprotegidos e ligados na
Internet.

Item C. Solto na internet desde novembro passado, o Conficker um verme
que se propaga explorando uma brecha no Windows. Essa brecha foi corrigida
em outubro de 2008, mas nem todos aplicam as correes de segurana!
Item D. Pharming (Envenenamento de Cache DNS DNS Cache Poisoning):
um ataque que consiste basicamente em modificar a relao entre o nome de
um site ou computador e seu endereo IP correspondente.


Prof
a

Ex.: Ao atacar um servidor DNS, o IP do site www.teste.com.br poderia ser
mudado de 65.150.162.57 para 209.86.194.103, enviando o usurio para a
pgina relacionada ao IP incorreto. Neste ataque, um servidor de nomes
(servidor DNS) comprometido, de tal forma que as requisies de acesso
a um site feitas pelos usurios deste servidor sejam redirecionadas a outro
endereo. Um ataque pharming tambm pode alterar o arquivo hosts -
localizado no computador do usurio-, manipulando os endereos IPs
correspondentes s suas devidas URLs.

Item E. Ransomwares so ferramentas para crimes de extorso e so
extremamente ilegais. O ransomware funciona da seguinte forma:
ele procura por diversos tipos diferentes de arquivos no HD do computador
atacado e os comprime num arquivo protegido por senha.
A partir da, a vtima pressionada a depositar quantias em contas do tipo
e-gold (contas virtuais que utilizam uma unidade monetria especfica e que
podem ser abertas por qualquer um na rede sem grandes complicaes).
Uma vez pagos, os criminosos fornecem a senha necessria para que os
dados voltem a ser acessados pela vtima.

Gabarito: letra E.

76. (ESAF/2006/SEFAZ-CE/Auditor-Fiscal da Receita Estadual)
Analise as seguintes afirmaes relacionadas a conceitos bsicos de
Segurana da Informao.

I. Um firewall, instalado entre uma rede LAN e a Internet, tambm utilizado
para evitar ataques a qualquer mquina desta rede LAN partindo de mquinas
da prpria rede LAN.
II. A confidenciabilidade a propriedade de evitar a negativa de autoria de
transaes por parte do usurio, garantindo ao destinatrio o dado sobre a
autoria da informao recebida.
III. Na criptografia de chaves pblicas, tambm chamada de criptografia
assimtrica, uma chave utilizada para criptografar e uma chave diferente
utilizada para decriptografar um arquivo.
IV. Uma das finalidades da assinatura digital evitar que alteraes feitas em
um documento passem sem ser percebidas. Nesse tipo de procedimento, o
documento original no precisa estar criptografado.


a) I e II
b) II e III
c) III e IV
d) I e III
e) II e IV


Prof
a

Comentrios
Item I. O firewall tem por funo regular o trfego de rede entre redes
distintas e impedir a transmisso de dados nocivos ou no autorizados de uma
rede a outra. Em outras palavras, no evita ataques dentro da prpria rede
LAN. O firewall no evita invases que partam de mquinas na rede em que se
encontra a mquina invadida. Estatsticas mostram que os responsveis por
invases so muitas vezes funcionrios da empresa em que se encontra a
mquina invadida. Isso demonstra a importncia de uma poltica global de
segurana, em que o firewall apenas UM componente na sua implementao.
O item I FALSO.

Item II. O conceito destacado nesse item descreve a irretratabilidade, tambm
chamada de no-repdio. a garantia de que um agente no consiga negar
(dizer que no foi feito) uma operao ou servio que modificou ou criou uma
informao. O item II FALSO.

Item III. Os algoritmos de criptografia assimtrica (criptografia de chave
pblica) utilizam duas chaves diferentes, uma pblica (que pode ser
distribuda) e uma privada (pessoal e intransfervel). A criptografia de chave
simtrica (tambm conhecida como criptografia de chave nica, ou criptografia
privada) utiliza APENAS UMA chave para encriptar e decriptar as mensagens.
Assim, como s utiliza uma chave, obviamente ela deve ser compartilhada
entre o remetente e o destinatrio da mensagem. O item III VERDADEIRO.

Item IV. O processo de assinatura digital utiliza o recurso de hash (resumo da
mensagem) e este, por sua vez, tem a funo de dar garantias de que
saibamos se uma mensagem foi ou no foi alterada durante seu trnsito (como
um e-mail quando atravessa a internet). Realmente, para assinar uma
mensagem de e-mail, no necessrio criptograf-la (so dois recursos
diferentes!). O item IV VERDADEIRO.
Gabarito: letra C.

77. (ESAF/2008/CGU/Tcnico de Finanas e Controle) Na comunicao
segura (confidencial) entre os usurios A e B, uma chave de sesso
definida como chave

a) assimtrica pblica de A.
b) simtrica compartilhada por A e B.
c) assimtrica compartilhada por A e B.
d) assimtrica pblica de B.
e) de assinatura digital.

Comentrios
Chave para sistemas criptogrficos simtricos (chave usada para criptografar e
decriptografar). Utilizada pela durao de uma mensagem ou sesso de


Prof
a

comunicao. O protocolo SSL (Secure Sockets Layer) utiliza as chaves de
sesso para manter a segurana das comunicaes via Internet.

Complementando, chave de sesso uma chave criptogrfica usada num
processo de troca de mensagens para uma nica transao (a chave funciona
apenas para aquela sesso), ou seja, depois da conversa ser encerrada, os
dois micros desconsideram aquela chave! Na prxima conversa, eles sortearo
outra chave temporria (que ser usada somente naquela sesso especfica).

Veja o link original diretamente do ICP BRASIL.
https://www.icpbrasil.gov.br/duvidas/glossary/chave-de-sessao

Gabarito: letra B.

Consideraes Finais
Por hoje ficamos por aqui.
Espero que esse material, feito com todo o carinho, ajude-o a entender melhor
o funcionamento das ameaas virtuais e principais medidas de segurana que
devem ser adotadas para se proteger dessas ameaas, e o ajude a acertar as
questes de segurana da sua prova!

Fiquem com Deus, e at a nossa prxima aula!!

Um grande abrao,
Prof
a
Patrcia L. Quinto

Referncias Bibliogrficas
Curso Cisco, CCNA Exploration v. 4.0, 2010.
Informtica-FCC-Questes Comentadas e Organizadas por Assunto, de
Patrcia Lima Quinto, 2010. Ed. Gen/Mtodo.
Notas de aula, prof
a
Patrcia Lima Quinto. 2010.
ABNT NBR ISO/IEC 27001:2006 Tecnologia da Informao Tcnicas de
Segurana Sistema de Gesto de Segurana da Informao Requisitos.

ABNT NBR ISO/IEC 27002:2005 Tecnologia da Informao Tcnicas de
Segurana Cdigo de Prtica para a Gesto de Segurana da Informao
(antiga 17799:2005).

ABNT NBR ISO/IEC 17799. Segunda Edio. Disponvel em:
http://www.scribd.com/doc/2449992/Abnt-Nbr-Isoiec-17799-Tecnologia-da-


Prof
a

Informacao-Tecnicas-de-Seguranca-Codigo-de-Pratica-para-a-Gestao-da-
Seguranca-da-Informacao.

ALBUQUERQUE, R.; RIBEIRO, B. Segurana no Desenvolvimento de
Software. Rio de Janeiro: Campus, 2002.

ALECRIM, E. Tudo sobre Firewall, 2009. Disponvel em:
<http://www.invasao.com.br/2009/01/27/materia-tudo-sobre-Firewall/>.
Acessado em: fev. 2010.

_____________. FI REWALL: Conceitos e Tipos. 2004. Disponvel em:
<http://www.infowester.com/firewall.php>. Acessado em: fev. 2010.

ANTNIO, J. Informtica para Concursos. Teoria e Questes. 4 ed., Rio
de Janeiro: Campus, 2009.

BOMSEMBIANTE, F. Entrevista com Hacker. Disponvel em:
<http://www.telecom.uff.br/~buick/barata15.html>. Acesso: out. 2006.

CERTBR. Disponvel em: <http://cartilha.cert.br/ >.2006. Acesso em: nov.
2009.

CARUSO, Carlos A. A.; STEFFEN, Flvio D. Segurana em Informtica e de
Informaes. 2 ed., So Paulo, 1999.

CERTBR. Cartilha de Segurana para Internet. http://www.cert.br. 2006.

BAIO, C.; FERREIRA, L. Seu celular anda meio maluco? Cuidado, ele pode
estar com vrus. 2008. Disponvel em:
<http://tecnologia.uol.com.br/proteja/ultnot/2008/01/23/ult2882u34.jhtm>.
Acesso em: set. 2009.

CHESWICK, W. R., BELLOVIN, S. M. e RUBIN, A. D. Firewalls e Segurana
na
Internet: repelindo o hacker ardiloso. Ed. Bookman, 2 Ed., 2005.

GIL, Antnio de L. Segurana em Informtica. 2 ed. Atlas, So Paulo, 1998.

GUIMARES, A. G., LINS, R. D. e OLIVEIRA, R. Segurana com Redes
Privadas Virtuais (VPNs). Ed. Brasport, Rio de Janeiro, 2006.

IMONIANA, J. o. Auditoria de Sistemas de Informaes.

http://www.iti.gov.br/twiki/pub/Certificacao/Legislacao/GLOSaRIO_
ICP-Brasil_V1.4.pdf

Infowester. Disponvel em: http://www.infowester.com.br.


Prof
a

INFOGUERRA. Vrus de celular chega por mensagem multimdia. 2005.
Disponvel em: http://informatica.terra.com.br/interna/0,,OI484399-
EI559,00.html. Acesso em: mar. 2011.

LINHARES, A. G.;GONALVES, P.A. da S. Uma Anlise dos Mecanismos de
Segurana de Redes IEEE 802.11: WEP, WPA, WPA2 e IEEE 802.11w.
Acesso em: ago. 2009.

OGLOBO. Disponvel em:
http://oglobo.globo.com/tecnologia/mat/2011/02/08/cresce-ameaca-de-virus-
em-celulares-inteligentes-diz-mcafee-923754236.asp.

MDULO Security. Disponvel em: http://www.modulo.com.br/.

NAKAMURA, E. T., GEUS, P.L. Segurana de Redes em Ambientes
Cooperativos. Ed. Novatec, 2007.

PINHEIRO,J. M. S. Aspectos para Construo de uma Rede Wireless
Segura. Disponvel em:
http://www.projetoderedes.com.br/tutoriais/tutorial_redes_wireless_segura_0
1.php. 2004. Acesso em: set. 2009.

RAMOS, A.; BASTOS, A.; LAYRA, A. Guia oficial para formao de gestores
em segurana da informao. 1. ed. Rio Grande do Sul: ZOUK. 2006.

SMOLA, M. Gesto da segurana da informao. 2 ed. So Paulo: Campus
Elsevier. 2003.

TECHNET. Academia Latino-Americana da Segurana da Informao.
2006. Disponvel em: <http://www.technetbrasil.com.br/academia/>.

STALLINGS, W. Criptografia e Segurana de Redes: Princpios e Prticas.
Ed. Prentice-Hall, 4 Edio, 2008.

Apostila TCU. Disponvel em: http://74.125.47.132/search?q=cache%3AX-
7rWT8IDOwJ%3Aportal2.tcu.gov.br%2Fportal%2Fpage%2Fportal%2FTCU%2F
comunidades%2Fbiblioteca_tcu%2Fbiblioteca_digital%2FBOAS_PRATICAS_EM
_SEGURANCA_DA_INFORMACAO_0.pdf+plano+de+conting%C3%AAncia+%2B
+tcu&hl=pt-BR&gl=br.

ZWICKY, E. D., COOPER, S. e CHAPMAN, D. B. Building Internet Firewalls. Ed.
ORilley, 2 Ed., 2000.


Prof
a

Lista das Questes Apresentadas na Aula
1. (ESAF/2009/Ministrio da Fazenda/Tcnico Administrativo) Para
acessar os computadores de uma empresa, os funcionrios devem informar
a matrcula e uma senha de acesso para a realizao das suas atividades. A
respeito desse controle, correto afirmar que:

I. Visa a segurana da informao.
II. Evita o acesso indevido a documentos confidenciais por parte de pessoas
externas.
III. Controla o acesso aos sistemas de informao da empresa.

Assinale a opo correta.
a) Apenas as afirmaes I e II so corretas.
b) As afirmaes I, II e III so corretas.
c) Apenas as afirmaes II e III so corretas.
d) Apenas as afirmaes I e III so corretas.
e) Nenhuma das afirmaes correta.

2. (ESAF/2002/AFPS) Uma forma de proteger os dados de uma
organizao contra perdas acidentais a realizao peridica do backup
desses dados de uma forma bem planejada. Entre os tipos de backup, no
incremental

a) feito o backup dos arquivos selecionados ou indicados pelo usurio
ltimo backup) ou se tiverem sido alterados, marcando-os como copiados
(marca que indica que participaram do ltimo backup).

b) feito o backup de todos os arquivos selecionados ou indicados pelo
usurio, independentemente de estarem marcados como copiados
(participado do ltimo backup), marcando- os como copiados (marca que
indica que participaram do ltimo backup).

c) feito o backup de todos os arquivos selecionados ou indicados pelo
usurio, independentemente de estarem marcados como copiados, mas
nenhum marcado como copiado (marca que indica que participaram do
ltimo backup).

d) feito o backup dos arquivos selecionados ou indicados pelo usurio
ltimo backup) ou se tiverem sido alterados, mas nenhum marcado como
copiado (marca que indica que participaram do ltimo backup).


Prof
a

e) feito o backup apenas dos arquivos selecionados ou indicados pelo
usurio que tiverem sido alterados na data corrente, mas no marca
nenhum como copiado (marca que indica que participaram do ltimo
backup).

3. (ESAF/2002/AFPS) Em um sistema em segurana de redes de
computadores, a intruso qualquer conjunto de aes que tendem a
comprometer a integridade, confidencialidade ou disponibilidade dos dados
ou sistemas.
Com relao aos sistemas de deteco de intrusos IDS, correto afirmar
que, na tecnologia de deteco de intrusos Host Based,

a) os IDSs so instalados em vrias mquinas que sero responsveis por
identificar ataques direcionados a toda a rede.

b) o IDS instalado em um servidor para alertar e identificar ataques e
tentativas de acessos indevidos prpria mquina.

c) o IDS instalado em uma mquina que analisa todos os dados que
transitam na rede segundo um conjunto de regras especficas.

d) o IDS funciona de forma passiva em diferentes ambientes, no
interferindo no desempenho da mquina na qual est instalado.

e) o IDS instalado em uma mquina que analisa todos os dados que
transitam na rede para identificar a assinatura dos dados capturados.

4. (ESAF/2006/TRF/Tribut. E Aduaneira) Analise as seguintes afirmaes
relacionadas criptografia.

I. A criptografia de chave simtrica pode manter os dados seguros, mas se
for necessrio compartilhar informaes secretas com outras pessoas,
tambm deve-se compartilhar a chave utilizada para criptografar os dados.
II. Com algoritmos de chave simtrica, os dados assinados pela chave
pblica podem ser verificados pela chave privada.
III. Com algoritmos RSA, os dados encriptados pela chave pblica devem
ser decriptados pela chave privada.
IV. Com algoritmos RSA, os dados assinados pela chave privada so
verificados apenas pela mesma chave privada.

a) I e II
b) II e III
c) III e IV
d) I e III
e) II e IV


Prof
a

5. (ESAF/2008/CEF-AC/Tc. Banc.) Quais princpios da segurana da
informao so obtidos com o uso da assinatura digital?

a)Autenticidade, confidencialidade e disponibilidade.
b)Autenticidade, confidencialidade e integridade.
c)Autenticidade, integridade e no-repdio.
d)Autenticidade, confidencialidade, disponibilidade, integridade e no-
repdio.
e)Confidencialidade, disponibilidade, integridade e no-repdio.

6. (FGV/2008/ICMS-RJ/Fiscal) Atualmente existem placas-me de
microcomputadores que oferecem nveis RAID ("Redundant Arrays of
Independent Disks"), para tornar o sistema de disco mais rpido e mais
seguro. No que diz respeito tolerncia a falhas, um dos nveis, conhecido
por espelhamento, se caracteriza pelos seguintes fatos:

I. O contedo de um disco rgido inteiramente copiado para outro. Se
ocorrer qualquer pane no disco rgido principal, o segundo entra em ao.
Assim, o espelhamento constitui um backup automtico feito por hardware,
executado automaticamente pela placa-me, aumentando a segurana, no
sendo necessrio nenhum tipo de configurao no sistema operacional para
que seja realizado.

II. O processo no precisa ser feito no momento da formatao do disco
rgido e instalao do sistema operacional. No momento da configurao,
que feito por um setup prprio, o contedo do disco rgido principal ser
copiado para o disco rgido de backup. Em conseqncia, consegue-se a
redundncia dos dados nos discos, pois os dois contero as mesmas
informaes. Caso um dos discos pare, o outro, por armazenar o mesmo
contedo, manter todo o sistema operacional.

Esse nvel de tolerncia a falhas denominado:

(A) RAID-5.
(B) RAID-4.
(C) RAID-3.
(D) RAID-1.
(E) RAID-0.

Considerando-se as caractersticas da Segurana da Informao na
transmisso de dados, quando o destinatrio examina uma mensagem para


Prof
a

certificar-se de que ela no foi alterada durante o trnsito, isto chamado
de
a) criptografia assimtrica
b) criptrografia simtrica.
c) garantia da qualidade dos dados.
d) verificao de integridade de dados.
e) Verificao de no-repdio dos dados.

Analise as seguintes afirmaes relacionadas a conceitos bsicos de Internet
e de segurana da informao:

I. Uma Autoridade Certificadora uma pessoa fsica que recebe um
certificado e passa a ter o direito de assinar documentos digitalmente.
II. O ICMP (Internet Control Message Protocol) muito utilizado para
reportar condies de erro e emitir e responder a requisies simples. Uma
de suas caractersticas que os servios ou as portas no precisam estar
ativos para propagar suas mensagens.
III. A porta geralmente associada ao trfego DNS, a UDP 53,
normalmente deixada livre em sistemas de filtragem de pacotes, para que
servidores DNS internos rede possam funcionar.
IV. Uma Ameaa um fator interno que ataca um ativo causando um
desastre ou perda significativa.

a) I e II
b) II e III
c) III e IV
d) I e III
e) II e IV

Analise as seguintes afirmaes relacionadas Segurana da Informao.
I. Um Firewall pode ser configurado com a seguinte poltica: o que no
expressamente permitido, proibido.
II. Um Firewall evita invases que partam de mquinas na rede onde se
encontra a mquina invadida.
III. O spoofing uma tcnica de subverso de sistemas que ocorre quando
um pacote feito e enviado para parecer que veio da rede interna, mesmo
que tenha vindo de uma rede externa.
IV. Uma rede corporativa protegida por um Firewall instalado entre a rede
interna e o acesso ao backbone da Internet garante a segurana mesmo
que algumas mquinas no utilizem acesso Internet via modem prprio
desde que estes utilizem protocolo PPP ou SLIP.


Prof
a

a) I e II
b) II e III
c) III e IV
d) I e III
e) II e IV

10. (CESPE/TJ-ES/CBNS1_01/Superior/2011) Tecnologias como a
biometria por meio do reconhecimento de digitais de dedos das mos ou o
reconhecimento da ris ocular so exemplos de aplicaes que permitem
exclusivamente garantir a integridade de informaes.

11. (CESPE/TJ-ES/CBNS1_01/Superior/2011) Um filtro de phishing
uma ferramenta que permite criptografar uma mensagem de email cujo
teor, supostamente, s poder ser lido pelo destinatrio dessa mensagem.

12. (CESPE/TJ-ES/CBNS1_01/Superior/2011) O conceito de
confidencialidade refere-se a disponibilizar informaes em ambientes
digitais apenas a pessoas para as quais elas foram destinadas, garantindo-
se, assim, o sigilo da comunicao ou a exclusividade de sua divulgao
apenas aos usurios autorizados.

13. (CESPE/TJ-ES/CBNM1_01/Nvel Mdio/2011) necessrio sempre
que o software de antivrus instalado no computador esteja atualizado e
ativo, de forma a se evitar que, ao se instalar um cookie no computador do
usurio, essa mquina fique, automaticamente, acessvel a um usurio
intruso (hacker), que poder invadi-la.

14. (CESPE/TJ-ES/CBNM1_01/Nvel Mdio/2011) Os pop-ups so vrus
que podem ser eliminados pelo chamado bloqueador de pop-ups, se este
estiver instalado na mquina. O bloqueador busca impedir, por exemplo,
que esse tipo de vrus entre na mquina do usurio no momento em que ele
consultar um stio da Internet.

15. (CESPE/TJ-ES/CBNM1_01/Nvel Mdio/2011) Confidencialidade,
disponibilidade e integridade da informao, que so conceitos importantes
de segurana da informao em ambiente digital, devem estar presentes na
gesto e no uso de sistemas de informao, em benefcio dos cidados e
dos fornecedores de solues.


Prof
a

16. (CESPE/Nvel Superior - STM/2011) Um firewall pessoal instalado no
computador do usurio impede que sua mquina seja infectada por
qualquer tipo de vrus de computador.

17. (CESPE/Analista Judicirio - Tecnologia da Informao-TRE-
MT/2010) A confidencialidade tem a ver com salvaguardar a exatido e a
inteireza das informaes e mtodos de processamento. Para tanto,
necessrio que os processos de gesto de riscos identifiquem, controlem,
minimizem ou eliminem os riscos de segurana que podem afetar sistemas
de informaes, a um custo aceitvel.

18. (CESPE/ANALISTA - TRE.BA/ 2010) Confidencialidade,
disponibilidade e integridade da informao so princpios bsicos que
orientam a definio de polticas de uso dos ambientes computacionais.
Esses princpios so aplicados exclusivamente s tecnologias de informao,
pois no podem ser seguidos por seres humanos.

19. (CESPE/Analista de Saneamento/Analista de Tecnologia da
Informao Desenvolvimento - EMBASA/2010) O princpio da
autenticao em segurana diz que um usurio ou processo deve ser
corretamente identificado. Alm disso, todo processo ou usurio autntico
est automaticamente autorizado para uso dos sistemas.

20. (CESPE/Tcnico Administrativo - ANATEL/2009) Com o
Acerca da segurana e da tecnologia da informao, julgue o item a seguir.
-> A disponibilidade e a integridade so itens que caracterizam a segurana
da informao. A primeira representa a garantia de que usurios
necessrio, e a segunda corresponde garantia de que sistemas de
informaes sejam acessveis apenas queles autorizados a acess-los.

(CESPE/Escrivo de Polcia Federal/2010)


Prof
a

Considerando a figura acima, que apresenta uma janela com algumas
informaes da central de segurana do Windows de um sistema
computacional (host) de uso pessoal ou corporativo, julgue os trs prximos
itens, a respeito de segurana da informao.

21. (CESPE/2010/Escrivo de Polcia Federal) A atualizao automtica
disponibilizada na janela exibida acima uma funo que est mais
relacionada distribuio de novas funes de segurana para o sistema
operacional do que distribuio de novos patches (remendos) que
corrijam as vulnerabilidades de cdigo presentes no sistema operacional.

22. (CESPE/2010/Escrivo de Polcia Federal) Na figura acima, o
firewall assinalado como ativado, em sua configurao padro, possui um
conjunto maior de regras para bloqueio de conexes originadas de fora do
computador do que para as conexes originadas de dentro do computador.

23. (CESPE/2010/Escrivo de Polcia Federal) A configurao da
proteo contra malwares exposta na figura indica que existe no host uma
base de assinaturas de vrus instalada na mquina.

24. (CESPE/2010/Caixa/Tcnico Bancrio) A assinatura digital facilita a
identificao de uma comunicao, pois baseia-se em criptografia simtrica
de uma nica chave.


Prof
a

25. (CESPE/2010/Caixa/Tcnico Bancrio) O destinatrio de uma
mensagem assinada utiliza a chave pblica do remetente para garantir que
essa mensagem tenha sido enviada pelo prprio remetente.

26. (CESPE/2010/Caixa/Tcnico Bancrio/Administrativo) Uma
autoridade de registro emite o par de chaves do usurio que podem ser
utilizadas tanto para criptografia como para assinatura de mensagens
eletrnicas.

27. (CESPE/Tcnico Judicirio/Programao de Sistemas - TRE-
MT/2010) Disponibilidade a garantia de que o acesso informao seja
obtido apenas por pessoas autorizadas.

28. (CESPE/TRE-MT/Tcnico Judicirio - Programao de
Sistemas/2010) Confidencialidade a garantia de que os usurios
autorizados obtenham acesso informao e aos ativos correspondentes
sempre que necessrio.

29. (CESPE/UERN/Agente Tcnico Administrativo/2010) A
disponibilidade da informao a garantia de que a informao no ser
alterada durante o trnsito entre o emissor e o receptor, alm da garantia
de que ela estar disponvel para uso nesse trnsito.

30. (CESPE/AGU/Contador/2010) Um arquivo criptografado fica
protegido contra contaminao por vrus.

31. (CESPE/UERN/Agente Tcnico Administrativo/2010) Cavalo de
troia um programa que se instala a partir de um arquivo aparentemente
inofensivo, sem conhecimento do usurio que o recebeu, e que pode
oferecer acesso de outros usurios mquina infectada.

32. (CESPE/UERN/Agente Tcnico Administrativo/2010) O uso de um
programa anti-spam garante que software invasor ou usurio
mal-intencionado no acesse uma mquina conectada a uma rede.

33. (CESPE/SEDU-ES/Agente de Suporte Educacional/2010) Vrus
um programa que pode se reproduzir anexando seu cdigo a um outro
programa, da mesma forma que os vrus biolgicos se reproduzem.


Prof
a

34. (CESPE/SEDU-ES/Agente de Suporte Educacional/2010) Cavalos-
de-troia, adwares e vermes so exemplos de pragas virtuais.

35. (CESPE/SEDU-ES/AGENTE DE SUPORTE EDUCACIONAL/2010)
Backup o termo utilizado para definir uma cpia duplicada de um arquivo,
um disco, ou um dado, feita com o objetivo de evitar a perda definitiva de
arquivos importantes.

36. (CESPE/TRE-MT/Analista Judicirio - Tecnologia da
Informao/2010) Uma das vantagens da criptografia simtrica em
relao assimtrica a maior velocidade de cifragem ou decifragem das
mensagens. Embora os algoritmos de chave assimtrica sejam mais rpidos
que os de chave simtrica, uma das desvantagens desse tipo de criptografia
a exigncia de uma chave secreta compartilhada.

37. (CESPE/CAIXA-NM1/ Tcnico Bancrio/Carreira
administrativa/2010) Autoridade certificadora a denominao de
usurio que tem poderes de acesso s informaes contidas em uma
mensagem assinada, privada e certificada.

38. (CESPE/CAIXA-NM1/ TCNICO BANCRIO/CARREIRA
ADMINISTRATIVA/2010) A autoridade reguladora tem a funo de emitir
certificados digitais, funcionando como um cartrio da Internet.

ADMINISTRATIVA) O ITI (Instituto Nacional de Tecnologia da
Informao) tambm conhecido como Autoridade Certificadora Raiz
Brasileira.

ADMINISTRATIVA) PKI ou ICP o nome dado ao certificado que foi
emitido por uma autoridade certificadora.

ADMINISTRATIVA) Um certificado digital pessoal, intransfervel e no
possui data de validade.

Vrus, worms e cavalos-de-troia so exemplos de software


Prof
a

funcionamento do computador. O firewall um tipo de malware que ajuda a
proteger o computador contra cavalos-de-troia.

43. (CESPE/2010/UERN/Agente Tcnico Administrativo) Uma das
formas de se garantir a segurana das informaes de um website no
coloc-lo em rede, o que elimina a possibilidade de acesso por pessoas
intrusas.

44. (CESPE/2010/TRE-MT/Analista Judicirio - Tecnologia da
Informao) A segurana fsica objetiva impedir acesso no autorizado,
danos ou interferncia s instalaes fsicas e s informaes da
organizao. A proteo fornecida deve ser compatvel com os riscos
identificados, assegurando a preservao da confidencialidade da
informao.

45. (CESPE/2009/TRE/PR/Tcnico Judicirio Especialidade:
Operao de computadores) Firewalls so equipamentos tpicos do
permetro de segurana de uma rede, sendo responsveis pela deteco e
conteno de ataques e intruses.

46. (CESPE/2008/TRT-1R/Analista Judicirio-Adaptada) Uma
caracterstica das redes do tipo VPN (virtual private networks) que elas
nunca devem usar criptografia, devido a requisitos de segurana e
confidencialidade.

47. (CESPE/2010/MINISTRIO DA SADE /ANALISTA TCNICO-
ADMINISTRATIVO) Firewall o mecanismo usado em redes de
computadores para controlar e autorizar o trfego de informaes, por meio
do uso de filtros que so configurados de acordo com as polticas de
segurana estabelecidas.

48. (CESPE/2010/TRE.BA/ANALISTA/Q.27) Firewall um recurso
utilizado para a segurana tanto de estaes de trabalho como de
servidores ou de toda uma rede de comunicao de dados. Esse recurso
possibilita o bloqueio de acessos indevidos a partir de regras
preestabelecidas.

Firewall um sistema constitudo de software e hardware que verifica
informaes oriundas da Internet ou de uma rede de computadores e que


Prof
a

permite ou bloqueia a entrada dessas informaes, estabelecendo, dessa
forma, um meio de proteger o computador de acesso indevido ou
indesejado.

50. (CESPE/2010/TRE-BA/Tcnico Judicirio - rea Administrativa)
Uma das formas de bloquear o acesso a locais no autorizados e restringir
acessos a uma rede de computadores por meio da instalao de firewall, o
qual pode ser instalado na rede como um todo, ou apenas em servidores ou
nas estaes de trabalho.

51. (CESPE/2004/POLCIA FEDERAL/REGIONAL/PERITO/REA 3/Q.
105) Um dos mais conhecidos ataques a um computador conectado a uma
rede o de negao de servio (DoS denial of service), que ocorre
quando um determinado recurso torna-se indisponvel devido ao de um
agente que tem por finalidade, em muitos casos, diminuir a capacidade de
processamento ou de armazenagem de dados.

52. (CESPE/2008/PRF/Policial Rodovirio Federal) O uso de firewall e
de software antivrus a nica forma eficiente atualmente de se
implementar os denominados filtros anti-spam.

53. (CESPE/2008/PRF-POLICIAL RODOVIRIO FEDERAL-ADAPTADA)
Phishing e pharming so pragas virtuais variantes dos denominados
cavalos-de-tria, se diferenciando destes por precisarem de arquivos
especficos para se replicar e contaminar um computador e se
diferenciando, entre eles, pelo fato de que um atua em mensagens de e-
mail trocadas por servios de webmail e o outro, no.

54. (CESPE/2008/PRF/Policial Rodovirio Federal) Se o sistema de
nomes de domnio (DNS) de uma rede de computadores for corrompido por
meio de tcnica denominada DNS cache poisoning, fazendo que esse
sistema interprete incorretamente a URL (uniform resource locator) de
determinado stio, esse sistema pode estar sendo vtima de pharming.

55. (CESPE/2008/PRF/Policial Rodovirio Federal) Quando enviado na
forma de correio eletrnico para uma quantidade considervel de
destinatrios, um hoax pode ser considerado um tipo de spam, em que o
spammer cria e distribui histrias falsas, algumas delas denominadas lendas
urbanas.


Prof
a

56. (CESPE/2008/TRT-1R/Analista Judicirio) Os arquivos
denominados cookies, tambm conhecidos como cavalos de troia, so vrus
de computador, com inteno maliciosa, que se instalam no computador
sem a autorizao do usurio, e enviam, de forma automtica e
imperceptvel, informaes do computador invadido.

57. (CESPE/2008/TRT-1R/Analista Judicirio) Os programas
denominados worm so, atualmente, os programas de proteo contra vrus
de computador mais eficazes, protegendo o computador contra vrus,
cavalos de troia e uma ampla gama de softwares classificados como
malware.

58. (CESPE/2009-03/TRE-MG) A instalao de antivrus garante a
qualidade da segurana no computador.

59. (CESPE/2009-03/TRE-MG) Toda intranet consiste em um ambiente
totalmente seguro porque esse tipo de rede restrito ao ambiente interno
da empresa que implantou a rede.

60. (CESPE/2009-03/TRE-MG) O upload dos arquivos de atualizao
suficiente para a atualizao do antivrus pela Internet.

61. (CESPE/2009-03/TRE-MG O upload das assinaturas dos vrus
detectados elimina-os.

62. (CESPE/2009/TRE-MG) Os antivrus atuais permitem a atualizao de
assinaturas de vrus de forma automtica, sempre que o computador for
conectado Internet.

63. (CESPE/2009/ANATEL/TCNICO ADMINISTRATIVO) Com o
Acerca da segurana e da tecnologia da informao, julgue o item seguinte.
A disponibilidade e a integridade so itens que caracterizam a segurana da
informao. A primeira representa a garantia de que usurios autorizados
tenham acesso a informaes e ativos associados quando necessrio, e a
segunda corresponde garantia de que sistemas de informaes sejam
acessveis apenas queles autorizados a acess-los.


Prof
a

64. (CESPE/2009/IBAMA/ANALISTA AMBIENTAL) Para criar uma cpia
de segurana da planilha, tambm conhecida como backup, suficiente
clicar a ferramenta .

65. (CESPE/2009/MMA) Antivrus, worms, spywares e crackers so
programas que ajudam a identificar e combater ataques a computadores
que no esto protegidos por firewalls.

66. (CESPE/2009/MMA) A responsabilidade pela segurana de um
ambiente eletrnico dos usurios. Para impedir a invaso das mquinas
por vrus e demais ameaas segurana, basta que os usurios no
divulguem as suas senhas para terceiros.

67. (FCC/2008/TCE-AL/Analista) Considere a seguinte definio: "Evitar
violao de qualquer lei criminal ou civil, estatutos, regulamentao ou
obrigaes contratuais; evitar a violao de direitos autorais dos softwares -
manter mecanismos de controle dos softwares legalmente adquiridos". De
acordo com as especificaes das normas brasileiras de segurana da
informao, esta definio se inclui corretamente em
a) Gesto de Incidentes e Segurana da Informao.
b) Conformidade.
c) Controle de Acesso.
d) Gesto da Continuidade do Negcio.
e) Gesto de Ativos.

68. (ESAF/2008/MPOG) A segurana da informao tem como objetivo a
preservao da

a) confidencialidade, interatividade e acessibilidade das informaes.
b) complexidade, integridade e disponibilidade das informaes.
c) confidencialidade, integridade e acessibilidade das informaes.
d) universalidade, interatividade e disponibilidade das informaes.
e) confidencialidade, integridade e disponibilidade das informaes.

69. (ESAF/2008/MPOG) Um dos objetivos da Poltica de Segurana a
a) eliminao de ocorrncias.
b) reduo dos danos provocados por eventuais ocorrncias.
c) criao de procedimentos para sistematizar eventuais danos.
d) formalizao de procedimentos para eliminao de ameaas.
e) reduo dos custos com segurana.


Prof
a

70. (ESAF/2008/Secretaria de Pesca) Analise as seguintes afirmaes
relacionadas a noes de Segurana da Informao:

I. A confidencialidade uma caracterstica que busca garantir que a
informao ser acessvel por aqueles que tm autorizao de acesso.
II. O uso da Autenticao visa a garantir que um usurio quem realmente ele
diz ser.
III. A assinatura digital de uma mensagem garante sua transformao da
forma original para outra forma ilegvel, de forma que possa ser lida apenas
por seu destinatrio.
IV. Integridade de mensagens a garantia de que todas as mensagens
remetidas chegaro ao destino sem serem interceptadas e lidas por outras
pessoas, que no o destinatrio.

a) I e II
b) II e III
c) III e IV
d) I e III
e) II e IV

71. (ESAF/2006/SEFAZ-CE/Auditor-Fiscal da Receita Estadual) Nos
sistemas de Segurana da Informao, existe um mtodo que
____________________. Este mtodo visa garantir a integridade da
informao.

a) valida a autoria da mensagem
b) verifica se uma mensagem em trnsito foi alterada
c) verifica se uma mensagem em trnsito foi lida por pessoas no
autorizadas
d) cria um backup diferencial da mensagem a ser transmitida
e) passa um antivrus na mensagem a ser transmitida

72. (ESAF/2006/SEFAZ-CE/Auditor-Fiscal da Receita Estadual) Os
______________ so utilizados para dividir o trfego entre os segmentos
de uma mesma rede ou para interligar redes com diferentes protocolos na
camada fsica.
a) Servidores IDS
b) Servidores DNS
c) Hubs
d) Roteadores
e) Conectores RJ45


Prof
a

73. (ESAF/2006/TRF) Nos dispositivos de armazenamento de dados,
quando se utiliza espelhamento visando a um sistema tolerante a falhas,
correto afirmar que:

a) ao apagar um arquivo em um disco com sistema de espelhamento, o
arquivo equivalente no disco espelhado s ser apagado aps a execuo de
uma ao especfica de limpeza que deve ser executada periodicamente pelo
usurio;
b) ao ocorrer uma falha fsica em um dos discos, os dados nos dois discos
tornam-se indisponveis. Os dados s sero mantidos em um dos discos
quando se tratar de uma falha de gravao de dados;
c) o sistema fornece redundncia de dados, usando uma cpia do volume para
duplicar as informaes nele contidas;
d) o disco principal e o seu espelho devem estar sempre em parties
diferentes, porm no mesmo disco fsico;
e) o disco a ser utilizado como espelho deve ter sempre o dobro do tamanho
do disco principal a ser espelhado.

74. (ESAF/2003/ Prefeitura de Recife) Deve-se tomar alguns cuidados
com as informaes armazenadas em um computador. Um dos cuidados
mais importantes a realizao de cpias de segurana (Backup). Com
relao ao backup, correto afirmar que:
a) o mais importante a realizao, diria, da cpia de segurana do
Sistema Operacional de sua mquina.
b) quando se realiza uma cpia de segurana do contedo de uma pasta
que se encontra no disco principal de uma mquina, por exemplo, disco C:,
para uma pasta denominada BACKUP, no mesmo disco, a recuperao total
dos dados dessa pasta BACKUP possvel utilizando-se apenas o Windows e
suas ferramentas bsicas, mesmo se o referido disco for formatado.
c) deve ser feita uma cpia de segurana dos arquivos temporrios do
Windows sempre que se enviar um e-mail.
d)um backup incremental aquele que copia somente os arquivos criados
ou alterados desde o ltimo backup normal ou incremental.
e)uma cpia s pode ser considerada segura se for realizada em um
disquete.

75. (Elaborao prpria) Trata-se de um software malicioso que, ao infectar
um computador, criptografa todo ou parte do contedo do disco rgido. Os
responsveis pelo software exigem da vtima, um pagamento pelo resgate
dos dados.

(A)Bot
(B)DoS
(C)Conficker


Prof
a

(D)Pharming
(E)Ransomware

76. (ESAF/2006/SEFAZ-CE/Auditor-Fiscal da Receita Estadual)
Analise as seguintes afirmaes relacionadas a conceitos bsicos de
Segurana da Informao.

I. Um firewall, instalado entre uma rede LAN e a Internet, tambm utilizado
para evitar ataques a qualquer mquina desta rede LAN partindo de mquinas
da prpria rede LAN.
II. A confidenciabilidade a propriedade de evitar a negativa de autoria de
transaes por parte do usurio, garantindo ao destinatrio o dado sobre a
autoria da informao recebida.
III. Na criptografia de chaves pblicas, tambm chamada de criptografia
assimtrica, uma chave utilizada para criptografar e uma chave diferente
utilizada para decriptografar um arquivo.
IV. Uma das finalidades da assinatura digital evitar que alteraes feitas em
um documento passem sem ser percebidas. Nesse tipo de procedimento, o
documento original no precisa estar criptografado.


a) I e II
b) II e III
c) III e IV
d) I e III
e) II e IV

77. (ESAF/2008/CGU/Tcnico de Finanas e Controle) Na comunicao
segura (confidencial) entre os usurios A e B, uma chave de sesso
definida como chave

a) assimtrica pblica de A.
b) simtrica compartilhada por A e B.
c) assimtrica compartilhada por A e B.
d) assimtrica pblica de B.
e) de assinatura digital.

GABARITO
1. Letra D.
2. Letra A.
3. Letra B.
4. Letra D.
5. Letra C.
6. Letra D.
7. Letra D.
8. Letra B.
9. Deve ser anulada.
10. Item Errado.
11. Item Errado.
12. Item Correto.
13. Item Errado.
14. Item Errado.
15. Item Correto.
16. Item Errado.
17. Item Errado.
18. Item Errado.
19. Item Errado.
20. Item Errado.
21. Item Errado.
22. Item Correto.
23. Item Errado.
24. Item Errado.
25. Item Correto.
26. Item Errado.
27. Item Errado.
28. Item Errado.
29. Item Errado.
30. Item Errado.
31. Item Correto.
32. Item Errado.
33. Item Correto.
34. Item Correto.
35. Item Correto.
36. Item Errado.
37. Item Errado.
38. Item Errado.
39. Item Correto.
40. Item Errado.
41. Item Errado.
42. Item Errado.
43. Item Errado.
44. Item Correto.
45. Item Errado.
46. Item Errado.
47. Item Correto.
48. Item Correto.
49. Item Anulado.
50. Item Correto.
51. Item Correto.
52. Item Errado.
53. Item Errado.
54. Item Correto.
55. Item Correto.
56. Item Errado.
57. Item Errado.
58. Item Errado.
59. Item Errado.
60. Item Errado.
61. Item Errado.
62. Item Correto.
63. Item Errado.
64. Item Errado.
65. Item Errado.
66. Item Errado.
67. Letra B.
68. Letra E.
69. Letra B.
70. Letra A.
71. Letra B.
72. Letra D.
73. Letra C.
74. Letra D.
75. Letra E.
76. Letra C.
77. Letra B.


Prof
a

Aula 03 - Informática - 20.03.text - Marked

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Aula 03 - Informática - 20.03.text - Marked

Enviado por

Direitos autorais:

Formatos disponíveis

E l i a ne A pa r e c i da do s R e i s 08614095660

Você também pode gostar