Professor Lo Matos Segurana da Informao Teoria e Exerccios

SEGURANA DA INFORMAO A Segurana da informao um conjunto de conceitos e tcnicas utilizadas para criar ferramentas que proporcionam uma maior confiana aos usurios na utilizao de meios tecnolgicos para troca de informaes, pode ser definida como a proteo contra um grande nmero de ameaas s informaes, de forma a assegurar a continuidade do negcio, minimizando danos comerciais e maximizando o retorno de possibilidades e investimentos. H quatro princpios fundamentais que devem ser garantidos pelos sistemas desenvolvidos:

Confidencialidade, Integridade, Disponibilidade e Autenticidade.

A Confidencialidade garante que a informao no seja acessada lida por pessoas no autorizadas. A Integridade garante que a informao no seja alterada por pessoas no autorizadas durante o envio ou armazenamento. A Disponibilidade garante que a informao estar sempre disponvel quando um usurio autorizado solicitar. A Autenticidade deve assegurar que a identificao de uma pessoa ou instituio seja legtima. Outros princpios: A Privacidade deve garantir ao usurio que ele possa definir quais informaes esto disponveis e para quem esto, ou seja, ter a privacidade de escolha. Confidencialidade e autenticidade so meios para se conseguir ter privacidade, j que o sistema deve identificar quem so os usurios que tero determinadas autorizaes . O No Repdio (Irretratabilidade) deve garantir que um usurio no possa negar a autoria de uma ao.
1) (CESPE IPOJUCA 2010) Entre os princpios bsicos de segurana da informao, destacam-se a confidencialidade, a integridade e a disponibilidade. 2) (CESPE ANATEL 2009) A disponibilidade e a integridade so itens que caracterizam a segurana da informao. A primeira representa a garantia de que usurios autorizados tenham acesso a informaes e ativos associados quando necessrio, e a segunda corresponde garantia de que sistemas de informaes sejam acessveis apenas queles autorizados a acess-los. 3) (CESPE 2010 - BRB) Confidencialidade, um dos princpios bsicos da segurana da informao, tem como caracterstica garantir que uma informao no seja alterada durante o seu trnsito entre o emissor e o destinatrio. 4) (CESPE 2008 Min. Sade) Um dos pilares bsicos da segurana da informao a confidencialidade, que visa a proteger a informao contra modificao sem permisso. 5) (FGV 2009 SEFAZ/RJ) No Brasil, a NBR ISO17799 constitui um padro de recomendaes para prticas na gesto de Segurana da Informao. De acordo com o estabelecido nesse padro, trs termos assumem papel de importncia capital: confidencialidade, integridade e disponibilidade. Nesse contexto, a confidencialidade tem por objetivo: a) b) c) d) salvaguardar a exatido e a inteireza das informaes e mtodos de processamento. salvaguardar os dados gravados no backup por meio de software que utilize assinatura digital. permitir que os usurios tenham acesso aos arquivos de backup e aos mtodos de criptografia empregados. permitir que os usurios autorizados tenham acesso s informaes e aos ativos associados, quando necessrio. HTTP://WWW.ESTUDIOAULAS.COM.BR

Professor Lo Matos Segurana da Informao Teoria e Exerccios

e) garantir que as informaes sejam acessveis apenas para aqueles que estejam autorizados a acess-las.

6) (ESAF 2007 SEFAZ CE Auditor Fiscal) Nos sistemas de Segurana da Informao, existe um mtodo que ____________________________. Este mtodo visa garantir a integridade da informao. Escolha a opo que preenche corretamente a lacuna acima. a) b) c) d) e) valida a autoria da mensagem verifica se uma mensagem em trnsito foi alterada verifica se uma mensagem em trnsito foi lida por pessoas no autorizadas cria um backup diferencial da mensagem a ser transmitida passa um antivrus na mensagem a ser transmitida

7) (CESGRANRIO 2009 FUNASA Bibliotecrio) A Segurana da Informao se refere proteo existente sobre as informaes de uma determinada empresa ou pessoa, aplicando-se tanto s informaes corporativas quanto s pessoais. Abaixo, so apresentadas algumas propriedades bsicas que, atualmente, orientam a anlise, o planejamento e a implementao da segurana para um determinado grupo de informaes que se deseja proteger. Relacione as propriedades apresentadas na coluna da esquerda com as respectivas descries, na coluna da direita. Propriedade I - Confidencialidade II - Disponibilidade III - Integridade Descrio (Q) Propriedade que limita o acesso informao to somente s entidades legtimas, ou seja, quelas autorizadas pelo proprietrio da informao. (R) Propriedade que garante que a informao manipulada mantenha todas as caractersticas originais estabelecidas pelo proprietrio da informao. Esto corretas as associaes: a) I - Q; II - R b) I - Q; III - R c) I - R; II - Q d) II - Q; III - R e) II - R; III Q 8) (CESPE 2011 TRT/RN) A disponibilidade um conceito muito importante na segurana da informao, e refere-se garantia de que a informao em um ambiente eletrnico ou fsico deve estar ao dispor de seus usurios autorizados, no momento em que eles precisem fazer uso dela. 9) (FUNIVERSA 2006 APEX BRASIL) Atualmente, a segurana da informao na Internet pode ser auxiliada pelo recurso de certificao digital. A que conceito refere-se a seguinte definio? "A garantia que o emissor de uma mensagem ou a pessoa que executou determinada transao de forma eletrnica, no poder posteriormente negar sua autoria, visto que somente aquela chave privada poderia ter gerado aquela assinatura digital." a) b) c) d) e) Confidencialidade. Integridade. Autenticao. No repdio. Autoria.

10) (CESPE TJ/SE 2011) Tecnologias como a biometria por meio do reconhecimento de digitais de dedos das mos ou o reconhecimento da ris ocular so exemplos de aplicaes que permitem exclusivamente garantir a integridade de HTTP://WWW.ESTUDIOAULAS.COM.BR

Professor Lo Matos Segurana da Informao Teoria e Exerccios

informaes.

Ameaas a segurana da informao Existem diversas ameaas segurana da informao que atingem os princpios vistos anteriormente a fim de comprometer os objetivos da organizao, seja trazendo danos diretos aos ativos ou prejuzos decorrentes de situaes inesperadas. Classificao das principais ameaas: Malware (programas maliciosos): todo tipo de programa desenvolvido para prejudicar sistemas ou pessoas.

Vrus um programa ou parte de um programa, que se propaga infectando parte de outros programas e arquivos de um computador. O vrus necessita de um arquivo hospedeiro ou programa para infectar um computador. Para que o vrus atinja sua finalidade depende da execuo do programa ou do arquivo infectado. O que o vrus pode fazer? Teoricamente o vrus pode fazer qualquer coisa que outros programas fazem, desde apresentar imagens na tela, apagar arquivos do disco, destruir ou alterar arquivos de inicializao do Sistema operacional (vrus de boot), deixar o computador lento e outros. Tipos de Vrus Vrus de Boot: Infecta os arquivos de inicializao de um sistema (boot) alterando seu funcionamento e se espalhando quando o sistema iniciado. Vrus de Macro: Os vrus de macro infectam geralmente arquivos do Microsoft Office como DOC (Word), XLS (Excel). So programas executveis embutido nos arquivos de editores de textos e outros. Existe uma ferramenta do Office chamada de Macro, no qual utilizada por usurios para automatizar suas tarefas criando aes repetitivas economizando tempo no trabalho. Vrus de E-mail: Os primeiros vrus de E-mail utilizavam um anexo que ao ser executado enviava um cpia sua para todos na lista de contatos do usurio. No final de 1999 surgiu uma verso mais poderosa do vrus de email que se ativava e propagava sem a abertura do anexo, meramente abrindo-se o e-mail, utilizava um script cdigo que era aceito pelo prprio programa de e-mail. E importante ressaltar que o vrus de E-mail no se executa sozinho, o usurio deve abrir o anexo ou o programa de correio eletrnico.

HTTP://WWW.ESTUDIOAULAS.COM.BR

Professor Lo Matos Segurana da Informao Teoria e Exerccios

Worms Vermes Um worm programa maliciosos que se auto copia de computador para computador utilizando vulnerabilidades de uma rede. Um vrus de E-mail tem algumas caractersticas do Worm, pois se propaga de um computador para outro, mas no podemos cham-los de Worms, pois precisam de algum para iniciar a ao de propagao, e os Worms no, eles se auto executam. Os Worms no infectam arquivos e programas como o Vrus, mas degradam sensivelmente o desempenho de redes devido o grande trfego de dados, podendo fazer servidores e computadores da rede parar de funcionar mesmo que temporariamente. Para se replicar os Worms utilizam algum tipo de veculo de rede, veja abaixo alguns exemplos: Recursos de E-mail: Um verme envia uma cpia de si mesmo para os cadastrados no catlogo de endereos do usurio. Programas de acesso remoto: Um verme envia uma cpia de si mesmo para outros computadores. Capacidade de login remoto: Um verme se conecta a um sistema distante como um usurio e depois utiliza comandos para enviar cpias de si mesmo para outros sistemas. Cavalo de Tria Trojan Horse: Para segurana da Informao um programa disfarado de programa inofensivo como, por exemplo, carto virtual, jogos e outros, que foi projetado para alm de suas funes aparentes, para executar funes maliciosas como abrir as portas de comunicao do computador para entrada de um invasor (pessoa ou programas maliciosos) sem o consentimento do usurio. O Cavalo de tria pode ser utilizado por um Invasor para furtar dados pessoais (senha de bancos e outros), apagar arquivos e at mesmo para instalao de vrus e outros. Veja a tabela abaixo para diferenciar Vrus, Worms e Cavalo de tria: Infecta programas e arquivos necessita de um arquivo ou programa hospedeiro o prprio arquivo executvel Se multiplica de computador para computador sem necessidade de o usurio dar inicio a ao Vrus Sim No No Worms No Sim Sim Cavalo de Tria No Sim No

Spyware espies: So programas que monitoram os hbitos de um usurio. No necessariamente os Spywares so utilizados de forma ilcita, pois muitas empresas utilizam programas dessa categoria para monitorar o trabalho de funcionrios. Keylogger: um programa do tipo Spyware capaz de capturar e armazenar as teclas digitadas pelo usurio no teclado fsico de um computador. o grande terror das instituies bancrias, pois podem capturar a senha e conta do usurio no momento da digitao, por isso implementam o que chamamos de teclado virtual onde o usurio digita a senha atravs de cliques com o mouse, com isso dando ao usurio a garantia do princpio da Confidencialidade SIGILO.

HTTP://WWW.ESTUDIOAULAS.COM.BR

Professor Lo Matos Segurana da Informao Teoria e Exerccios

Teclado virtual utilizado em um site de banco Screenlogger: um programa do tipo Spyware que captura informaes das imagens que cincundam os cliques do Mouse. Backdoor porta dos fundos: um programa instalado secretamente em um computador invadido que tem por objetivo garantir o retorno facilitado do invasor sem recorrer os mtodos utilizados na invaso. O invasor tem o controle total do computador infectado sem precisar invadi-lo novamente. Adware: um programa projetado para apresentar propagandas atravs de um navegador ou outros programas instalados na mquina do usurio que abaixa o desempenho de um computador. No necessariamente projetado para o fim malicioso pode ser utilizados por programas que so distribudos de forma gratuita para apresentar propagandas de patrocinadores como o MSN da Microsoft. O Adware pode ser considerado uma espcie de Spyware caso monitore os hbitos do usurio, por exemplo, durante a navegao na Internet para direcionar as propagandas que sero apresentadas. Bot: um programa maliciosos bem parecido com os worms , porque podem se propagar automaticamente, explorando vulnerabilidades existentes ou falhas em programas instalados em um computador. A diferena que os Bots podem se comunicar com o Hacker atravs de canais IRC chats permitindo que seja controlado remotamente. Port Scanner programa bisbilhoteiro: So programas utilizados por Hackers para bisbilhotar computadores e saber quais servios de segurana e comunicao esto habilitados para iniciar uma estratgia de invaso.
11) (CESPE 2010 SEDU ES) Vrus um programa que pode se reproduzir anexando seu cdigo a um outro programa, da mesma forma que os vrus biolgicos se reproduzem. 12) (MOVENS 2009 ADEPAR ) Vrus de Macro so vrus que afetam os arquivos de inicializao dos discos. So tipicamente encontrados em arquivos de registros do Windows ou em arquivos de inicializao do sistema. 13) (CESGRANRIO 2011 SEPLAG/BA) Criar cpias de si mesmo de um computador para outro de forma automtica, com capacidade de se replicar em grande volume, caracterstica de uma praga eletrnica Denominada: (A) (B) (C) (D) (E) Trojan Horse Opteron Freeware Shareware Worm

14) (FCC 2011 TRE/TO) Arquivos de dados produzidos por sute de aplicativos para escritrio, por ex. Microsoft Office, costumam ser alvo predileto de contaminao por: HTTP://WWW.ESTUDIOAULAS.COM.BR

Professor Lo Matos Segurana da Informao Teoria e Exerccios

a) b) c) d) e) trojans. worms. hijackers vrus de boot. vrus de macro.

15) (FCC 2011 BANCO DO BRASIL) Ativado quando o disco rgido ligado e o sistema operacional carregado; um dos primeiros tipos de vrus conhecido e que infecta a partio de inicializao do sistema operacional. Trata-se de a) b) c) d) e) vrus de boot. cavalo de Troia. verme. vrus de macro. spam.

16) (CESPE 2009 CEHAP PB) Os worms podem se propagar rapidamente para outros computadores por meio da Internet. 17) (FCC 2006 INSS Perito Mdico) Dadas as seguintes declaraes: I. Programas que se replicam e se espalham de um computador a outro, atacando outros programas, reas ou arquivos em disco. II. Programas que se propagam em uma rede sem necessariamente modificar programas nas mquinas de destino. III. Programas que parecem ter uma funo inofensiva, porm, tm outras funes sub-reptcias. Os itens I, II e III correspondem, respectivamente, a ameaas programadas do tipo:

a) cavalo de tria, vrus e worms. b) worms, vrus e cavalo de tria. c) worms, cavalo de tria e vrus. d) vrus, worms e cavalo de tria e) vrus, cavalo de tria e worms.

18) (FESAG 2005 TER/ES) Cavalo de Tria um programa que se autocopia e

infecta vrios arquivos do computador, como documentos, programas e partes do sistema operacional, com o objetivo bsico de travar o computador.
19) (CESPE - CEHAP PB 2009) Programa que a partir da execuo em determinado computador vtima passa a monitorar informaes digitadas e visualizadas e, em seguida, envia e-mail para o seu criador encaminhando informaes capturadas denomina-se: a) b) c) d) cavalo de tria. spyware. phishing scan. hijackers.

20) (ESAF 2005 Auditor da Receita) Backdoor so sistemas simuladores de servidores que se destinam a
enganar um invasor, deixando-o pensar que est invadindo a rede de uma empresa.

HTTP://WWW.ESTUDIOAULAS.COM.BR

Professor Lo Matos Segurana da Informao Teoria e Exerccios

Golpes (Scan) Muitas empresas investem muito dinheiro na rea de segurana da informao, contratando profissionais especializados que desenvolvem e implantam ferramentas que so necessrias para continuidade dos negcios, mas a cada dia que passa, fraudadores criam formas para explorar as fragilidades dos usurios para furtarem informaes que os interessam como dados bancrios, comerciais e outros. Phishing Scan golpe do site falso um golpe que tenta induzir um usurio a partir de um site falso a inserir informaes pessoais ou financeiras. Naturalmente o usurio recebe um e-mail que apresenta informativo de uma instituio indicando um procedimento que ele deve fazer, como: Atualize seus dados pessoais, clique aqui. O usurio pensa que realmente a instituio que lhe presta servios e clica no link, automaticamente aberta uma pgina com a aparncia idntica o da instituio no qual so solicitadas informaes pessoais, como um nmero de conta, senhas, CPF e outros dados que sero enviados ao fraudador. Depois de capturados, seus dados pessoais e financeiros sero enviados para os fraudadores podendo ser utilizados em vrios golpes financeiros. Para no cair nesse tipo de golpe o usurio no deve clicar em links suspeitos recebidos por e-mail. Pharming DNS Cache Poisoning Envenenamento de DNS Em um golpe de Phishing o usurio pode perceber atravs do endereo da pgina URL que est realmente caindo em um golpe, j que este endereo no tem nada haver com o da instituio, o site tem a aparncia idntica, mas o endereo denuncia o golpe. Atravs do golpe de Pharming o golpista tem praticamente o mesmo objetivo quando pratica Phishing, capturar informaes sigilosas. A diferena que no golpe de Pharming muito difcil de identificar o golpe, porque o Cracker invade o servidor DNS alterando de forma no autorizada ligao entre o domnio do site visitado e o servidor hospedeiro. Ao digitar a URL do site que deseja acessar, o servidor DNS converte o endereo em no IP do servidor que armazena os arquivos do site. Se o servidor DNS estiver sendo vitima de um golpe de Pharming, o endereo apontar para um servidor falso que apresentar uma pgina fraudulenta que esteja sob controle de um golpista. Engenharia Social Golpe da Lbia, Persuaso Nos golpes de engenharia social, normalmente o golpista tenta explorar a confiana do usurio, se fazendo passar por outra pessoa para induzi-lo a passar informaes que facilitem uma invaso. Normalmente uma invaso comea a partir da engenharia social.

Outras ameaas

SPAM

HTTP://WWW.ESTUDIOAULAS.COM.BR

Professor Lo Matos Segurana da Informao Teoria e Exerccios

So E-mails no solicitados indesejados pelo usurio que geralmente so enviados para um grande nmero de pessoas em massa. O contedo destes e-mails podem ser propagandas e tambm um dos mais utilizados meios para propagao de ameaas de todos os tipos. HOAX So histrias falsas, boatos, lendas urbanas distribudas via Internet. Naturalmente recebidas por e-mail, sites de relacionamentos.
21) (CESPE IPOJUCA 2010) Phishing scam so e-mails no solicitados que tentam convencer o destinatrio a acessar pginas fraudulentas na Internet com o objetivo de capturar informaes, como senhas de contas bancrias e nmeros de cartes de crdito. 22) (CESPE 2005 ANS / MS) Ataques de um computador por cavalo-de-tria consistem em exemplos de ataque de phishing, acarretando o tipo de roubo de informaes ali descrito. 23) (FCC 2010 TCE/SP) Mensagem no solicitada e mascarada sob comunicao de alguma instituio conhecida e que pode induzir o internauta ao acesso a pginas fraudulentas, projetadas para o furto de dados pessoais ou financeiros do usurio. Trata-se especificamente de: a) b) c) d) e) keylogger. scanning. botnet. phishing. rootkit.

24) (CESPE 2008 PRF) Se o sistema de nomes de domnio (DNS) de uma rede de computadores for corrompido por meio de tcnica denominada DNS cache poisoning, fazendo que esse sistema interprete incorretamente a URL (uniform resource locator) de determinado stio, esse sistema pode estar sendo vtima de pharming. 25) (ESAF 2005 Auditor da Receita) Engenharia Social um termo que designa a prtica de obteno de informaes por intermdio da explorao de relaes humanas de confiana, ou outros mtodos que enganem usurios e administradores de rede. 26) (CESPE 2008 PRF) Quando enviado na forma de correio eletrnico para uma quantidade considervel de destinatrios, um hoax pode ser considerado um tipo de spam, em que o spammer cria e distribui histrias falsas, algumas delas denominadas lendas urbanas. 27) (CESPE 2009 CEHAP PB) Spam o envio de correio eletrnico solicitado pelo destinatrio; utilizado para distribuir propaganda, notcias e convites.

Ataques de negao de servios (DOS Denial of Service) uma srie de ataques que tentam inibir ou impedir o funcionamento de um Sistema deixando os recursos indisponveis para seus utilizadores. Afeta diretamente o princpio da Disponibilidade. Os principais alvos desse tipo de ameaa so os servidores, que so os principais responsveis pelo fornecimento de informaes aos programas clientes que as solicitam. No se trata de uma invaso ao sistema, mas sim da sua invalidao por sobrecarga.

HTTP://WWW.ESTUDIOAULAS.COM.BR

Professor Lo Matos Segurana da Informao Teoria e Exerccios

Muitas pessoas podem imaginar o porque desses ataques, dentre os principais objetivos esto: Ataques de concorrncia (para que os clientes fiquem insatisfeitos) prejudicando o desempenho da empresa, terrorismo.

SYN Flooding

Tambm conhecido como ataque SYN outro tipo de ataque de Negao de Servios, na qual o atacante envia uma srie de pacotes SYN para um servidor alvo com objetivo que ele fique respondendo e esperando uma resposta que no ir surgir, assim o servidor no conseguindo responder a outros usurios lcitos que esto tentando acessar os servios, alcanando assim a negao de servios. Para lembrar o captulo sobre conexo TCP/IP que aprendemos nos captulos anteriores, em uma conexo cliente/servidor na Internet chamado aperto de mo em trs etapas:

No ataque SYN o atacante utiliza intencionalmente o protocolo TCP de forma errada e incompleto, evitando que a ltima mensagem ACK seja enviada para estabelecer a conexo. O servidor ir esperar por isso por um tempo pensando que um congestionamento normal de dados. Se todos os recursos estiverem ocupados com essa conexo, nenhuma nova conexo (legtima ou no) pode ser feita, resultando em negao de servio. Alguns podem funcionar mal ou at mesmo travar se ficarem sem recursos desta maneira.

HTTP://WWW.ESTUDIOAULAS.COM.BR

Professor Lo Matos Segurana da Informao Teoria e Exerccios

como se voc fosse um atendente e um cliente ficasse de propsito fazendo vrias perguntas sem deixar voc atender outras pessoas que esto na fila.

Ataque DDOS (Distributed Denial of Service - Ataque de negao de servios distribudos) O ataque DDOS torna os sistemas de computadores inacessveis inundando servidores, redes e at mesmo computadores pessoais gerando um trfego intil, para que usurios legtimos no possam mais ter acesso a esses recursos. O atacante rene uma grande quantidade de computadores comprometidos e reunidos para enviar pacotes sem nenhuma utilidade para o alvo. Para iniciar o ataque DDOS o atacante instala programas chamados de ZUMBIS em vrias mquinas que sero utilizadas para Executar o disparo para o alvo.

A diferena entre os ataques DOS e DDOS a quantidade de computadores utilizados para esses ataques. Quando o ataque surge de um s computador chamado de DOS e quando so utilizados vrios computadores chamado DDOS.

HTTP://WWW.ESTUDIOAULAS.COM.BR

Professor Lo Matos Segurana da Informao Teoria e Exerccios

Ping da Morte (Ping of Death) O Ping da Morte utiliza um comando bastante comum entre os administradores de rede chamado de PING para fazer um servidor parar de responder. O Ping da Morte um exemplo de ataque DOS do tipo Buffer OverFlow que consiste em uma srie de ataques DOS com objetivo gerar uma sobrecarga em um sistema com dados maiores que o seu tamanho permitido.
28) (CESPE 2011 IFB) Os ataques de negao de servios so feitos por meio de abuso da ingenuidade ou confiana do usurio.

29) (ESAF 2006 Ministrio do Trabalho) O Ping da Morte (Ping of Death) um recurso utilizado na Internet por pessoas mal intencionadas, que consiste:

a. no envio de pacotes TCP/IP de tamanho invlidos para servidores, levando-os ao travamento ou ao impedimento de trabalho. b. na impossibilidade de identificao do nmero de IP de mquina conectada rede. Desta forma, muitos dos servios de segurana disponveis deixam de funcionar, incluindo os "rastreamentos" que permitem a identificao de segurana das fontes de origem de ataques. c. em instalar em um computador conectado a uma rede um programa cliente que permite a um programa servidor utilizar esta mquina sem restries. d. no mecanismo de "abertura" de portas e acha-se atualmente incorporado em diversos ataques de vrus. e. na captura e alterao de "pacotes" TCP/IP transmitidos pelas redes. 30) (ESAF 2004 MPU Tcnico Jud.) O Denial of Service (DoS) um ataque que consiste em sobrecarregar um servidor com uma quantidade excessiva de solicitaes de servios. H muitas variantes, como os ataques distribudos de negao de servio (DDoS) que paralisam vrios sites ao mesmo tempo.

Tcnicas de Segurana
Classificao dos tipos de proteo: Proteo lgica So controles efetuados atravs de Software como: Firewall, Anti vrus, senhas e outros. Proteo fsica Portas, fechaduras, catracas eletrnicas, dados biomtricos (digital e ris). Proteo administrativa Conjunto de regras e procedimentos, polticas de segurana, boletins semanais de segurana, no adianta se a empresa investe bilhes na proteo fsica e lgica se no investir tambm em treinamentos para seus funcionrios, ou seja, na conscientizao dos mesmos.
31) (CESPE 2010 TRT/RN) No governo e nas empresas privadas, ter segurana da informao significa ter-se implementado uma srie de solues estritamente tecnolgicas que garantem total proteo das informaes, como um firewall robusto que

HTTP://WWW.ESTUDIOAULAS.COM.BR

Professor Lo Matos Segurana da Informao Teoria e Exerccios

filtre todo o trfego de entrada e sada da rede, um bom software antivrus em todas as mquinas e, finalmente, senhas de acesso a qualquer sistema.

Antivrus So programas que varrem o computador em busca de programas maliciosos para remov-los. Protege um computador contra infeco por programas maliciosos de vrios tipos. Atualmente trazem mecanismos que conseguem detectar cavalos de tria, spywares e outros. importante destacar que para aumentar a eficincia da proteo pelo antivrus ele deve estar atualizado constantemente. No so funes de um Antivrus: No capaz de impedir que um Hacker explore vulnerabilidades do seu sistema, como portas abertas e outros. No protege contra ataques DOS. No capaz de proteger contra um acesso no autorizado por um Backdoor ou cavalo de tria que j estejam instalados no computador do usurio.

Firewall

Um firewall uma barreira de proteo por onde todo trfego de dados precisa passar. Um Firewall pode ser projetado para fazer: - Controle de trfego separando redes, como por exemplo: uma rede privada de uma rede pblica (internet). - Controle de acesso para proteger um computador ou uma rede contra acessos no autorizados invases. - Filtragens de pacotes - Bloquear as tentativas de invaso a um computador e possibilitar a identificao das origens destas tentativas. - Efetuar controle de portas e servios. Obs.: O Firewall no protege nossos computadores de serem infectados por vrus.
HTTP://WWW.ESTUDIOAULAS.COM.BR

Professor Lo Matos Segurana da Informao Teoria e Exerccios

Criptografia A criptografia uma tcnica matemtica para embaralhar informaes para que os dados possam sair da origem e chegar ao destino de forma sigilosa. Para acontecer o processo criptogrfico, ou seja, o embaralhamento das informaes, existem dois elementos de grande importncia, o Algoritmo criptogrfico (programa de criptografia) e a chave (segredo da criptografia).

Veja abaixo:

1. O remetente utiliza um programa (algoritmo criptogrfico) de criptografia para cifrar (criptografar) uma mensagem. 2. O programa utiliza uma chave para embaralhar a mensagem. 3. A mensagem cifrada enviada ao destinatrio 4. O destinatrio recebe a mensagem cifrada e deve utilizar um programa de criptografia (natural que seja o mesmo algoritmo utilizado no envio) para decifrar utilizando a chave que o segredo. 5. Se por acaso algum intercept-la no caminho e no tiver a chave, no vai entender o contedo da mensagem porque estar totalmente cifrada (incompreensvel) garantindo assim o princpio da Confidencialidade. importante destacar que sem o conhecimento da chave no possvel decifrar o texto cifrado. Assim, para manter uma informao secreta, basta cifrar a informao e manter em segredo a chave. Simtrica (chave nica): A criptografia simtrica realiza a cifragem e a decifragem de uma informao atravs de algoritmos que utilizam a mesma chave. A chave que cifra a mesma que deve ser utilizada para decifrar.

HTTP://WWW.ESTUDIOAULAS.COM.BR

Professor Lo Matos Segurana da Informao Teoria e Exerccios

Assimtrica (chave pblica): Os algoritmos de chave pblica operam com duas chaves distintas: chave privada e chave pblica. Essas chaves so geradas simultaneamente e forma um par dependente, ou seja, possibilita que a operao executada por uma seja revertida pela outra. A chave privada deve ser mantida em sigilo e protegida e no deve ser passada para ningum. A chave pblica disponibilizada e tornada acessvel a qualquer indivduo que deseje se comunicar com o proprietrio da chave privada correspondente. Imagine que um usurio A precisa se comunicar com um usurio B de forma sigilosa utilizando criptografia assimtrica. O usurio A tem duas chaves (pblica e privada) que so dependentes, a chave privada ele guarda em segredo e disponibiliza sua chave pblica para quem quer se comunicar com ele, no caso ao usurio B. Quando o usurio B precisar enviar uma mensagem criptografada para A utilizar a chave pblica de A para cifrar e enviar. Quando o usurio A receber a mensagem ele utilizar a chave que forma o par, ou seja, a chave privada, que s ele conhece e que foi mantida em segredo para decifrar a mensagem recebida.

Simtrica x Assimtrica

HTTP://WWW.ESTUDIOAULAS.COM.BR

Professor Lo Matos Segurana da Informao Teoria e Exerccios

Simtrica Utiliza uma nica chave. A chave que cifra a mesma que decifra. A chave deve ser compartilhada entre os usurios Considerada menos segura j que a chave deve ser compartilhada Assimtrica Utiliza duas chaves distintas. Uma chave cifra e outra decifra. A chave privada deve ser mantida em segredo e no deve ser compartilhada, a pblica a que deve ser compartilhada. mais segura, pois a chave que decrifra a mensagem est mantida em segredo, e s quem a tem pode decifrar uma mensagem. Processo mais lento e complexo. Algoritmo RSA

Processo rpido e simples criptografia. Algoritmos DES, 3DES, AES

de

32) (ESAF 2006 MTE Auditor Fiscal) Um algoritmo de criptografia simtrica requer que uma chave secreta seja usada na criptografia e uma chave pblica diferente e complementar da secreta, utilizada no processo anterior, seja utilizada na decriptografia. Devido sua baixa velocidade, a criptografia simtrica usada quando o emissor de uma mensagem precisa criptografar pequenas quantidades de dados. A criptografia simtrica tambm chamada criptografia de chave pblica.

33) (FGV 2006 SEFAZ/MS) No contexto da criptografia, um mtodo emprega um tipo de chave, em que o emissor e o receptor fazem uso da mesma chave, usada tanto na codificao como na decodificao da informao. Esse mtodo conhecido por: a) b) c) d) e) assinatura digital. assinatura cifrada. chave simtrica. chave primria. chave assimtrica.

Assinatura digital A assinatura digital utiliza a criptografia assimtrica para garantir que o destinatrio possa conferir a Autenticidade do documento recebido. As chaves so aplicadas no sentido inverso de quando so utilizadas para garantir sigilo. O autor de um documento utiliza sua chave privada para assin -lo de modo a garantir sua autoria em um documento, j que s ele conhece sua chave privada, garantindo que ningum possa ter uma assinatura igual a sua, princpio da Autenticidade.

HTTP://WWW.ESTUDIOAULAS.COM.BR

Professor Lo Matos Segurana da Informao Teoria e Exerccios

A funo de HASH um resumo da mensagem que ser enviada. um mtodo matemtico que utiliza criptografia para garantir a integridade (no modificao) dos dados que sero enviados. Teoricamente o "hash a transformao de uma grande quantidade de informaes em uma pequena quantidade de informaes, ou seja, um resumo. Depois de criado o hash da mensagem, ser enviado junto com a mensagem ao destinatrio, que atravs de um programa ir calcular o hash para ver se tem exatamente as mesmas caractersticas do documento enviado.

O resumo criptogrfico o resultado retornado por uma funo de hash. Este pode ser comparado a uma impresso digital, pois cada documento possui um valor nico de resumo e at mesmo uma pequena alterao no documento, como a insero de um espao em branco, resulta em um resumo completamente diferente garantindo assim que o destinatrio possa saber se a mensagem foi alterada durante o envio. A assinatura digital garante: Autenticidade, No repdio (utilizando as chaves da criptografia assimtrica) Integridade (utilizando o HASH) e a Integridade. No garante a Confidencialidade, pois no cifra o contedo da mensagem, utiliza a criptografia para assinar e conferir documentos.

CERTIFICADO DIGITAL

HTTP://WWW.ESTUDIOAULAS.COM.BR

Professor Lo Matos Segurana da Informao Teoria e Exerccios

O certificado digital um arquivo eletrnico que contm dados de uma pessoa ou instituio, utilizados para comprovar sua identidade. Um Certificado Digital normalmente apresenta as seguintes informaes: nome da pessoa ou entidade a ser associada chave pblica perodo de validade do certificado chave pblica nome e assinatura da entidade que assinou o certificado nmero de srie

O Certificado digital a garantia de que a chave pblica que ser utilizada tanto na conferncia de uma Assinatura digital quanto na criptografia de dados faz parte realmente da instituio que o usurio est se comunicando.

Os certificados digitais so emitidos por uma entidade chamada de AC ou CA (Autoridade Certificadora) que atesta que a chave pblica do usurio registrado autentica.

Entre os campos obrigatrios do certificado digital encontra-se a identificao e a assinatura da entidade que o emitiu, os quais permitem verificar a autenticidade e a integridade do certificado, veja no exemplo acima que
HTTP://WWW.ESTUDIOAULAS.COM.BR

Professor Lo Matos Segurana da Informao Teoria e Exerccios

a organizao Thawte Premium Server foi a Autoridade que Emitiu o certificado para o Banco do Brasil. A AC o principal componente de uma Infra-Estrutura de Chaves Pblicas e responsvel pela emisso dos certificados digitais.

Validade do certificado O certificado digital, diferentemente dos documentos utilizados usualmente para identificao pessoal como CPF e RG, possui um perodo de validade. S possvel utilizar o certificado digital para assinar ou criptografar um documento enquanto o certificado vlido. possvel, no entanto, conferir as assinaturas realizadas mesmo aps o certificado expirar.

SSL (Secure Socket Layer) um protocolo de segurana que utiliza criptografia para fazer comunicao entre o navegador e o servidor de forma sigilosa.

No exemplo acima estamos observando a rea de contatos do meu site com o endereo URL http://www.leomatos.com.br, que apresenta um formulrio que ser preenchido e enviado de forma no criptografada para o servidor, no garantindo o sigilo da comunicao.

HTTP://WWW.ESTUDIOAULAS.COM.BR

Professor Lo Matos Segurana da Informao Teoria e Exerccios

No exemplo acima estamos rea de abertura de contas do site do Banco do Brasil com a URL HTTPS:// www16.bancodobrasil.com.br,que apresenta um formulrio que ser preenchido e enviado de forma criptografada para o servidor garantindo que se algum interceptar as informaes no caminho no conseguir entend-las garantindo o principio da confidencialidade. Embora o servio que mais utilize o SSL seja o servio de navegao na Web no se limita apenas essa finalidade. Naturalmente quando acessos um site que utiliza o protocolo HTTPS podemos observar a presena de um cadeado ao lado do endereo no navegador utilizado.

A presena do cadeado no garante que o site autntico (verdadeiro) podendo at mesmo o usurio estar utilizando um site falso (golpe de phishing). At mesmo os sites falsos podem apresentar o desenho do cadeado. Ento o que garante que o usurio est preenchendo um formulrio e que o servidor que receber a mensagem verdadeiro? O usurio deve verificar se o site est utilizando realmente a chave pblica do Banco do Brasil para criptografar os dados do formulrio atravs do certificado digital. Para visualizar o certificado digital do Banco do Brasil basta o usurio clicar sobre o cadeado e pedir para exibi-lo.

HTTP://WWW.ESTUDIOAULAS.COM.BR

Professor Lo Matos Segurana da Informao Teoria e Exerccios

O certificado digital trar informaes suficientes para ter a garantia de que a chave pblica utilizada realmente de um site verdadeiro (autntico) e no de um fraudador que criou um site falso que colocou uma chave pblica falsa para criptografar os dados.

VPN (Virtual private network Rede Virtual privada) natural que muitas empresas tenham a expanso dos negcios em filiais espalhadas por muitos estados ou at mesmo pases. Quando essas filiais querem trocar informaes natural utilizar a Internet, mas como uma rede pblica no existe privacidade nessas comunicaes j que muitas pessoas tambm esto conectadas o que torna a comunicao mais vulnervel a interceptaes de dados. Quando uma empresa queria conectar suas filiais de forma privada era comum contratarem servios de telefonia dedicada a essas operaes o que por sinal muito invivel financeiramente falando. Hoje empresas utilizam a VPN que um canal (tnel) virtual privado que utiliza a prpria rede pblica (Internet) para comunicao entre suas filiais.
HTTP://WWW.ESTUDIOAULAS.COM.BR

Professor Lo Matos Segurana da Informao Teoria e Exerccios

Esse conceito parece um tanto contraditrio! Como utilizar uma rede que pblica para comunicao de forma privada? A resposta est nos protocolos utilizados no momento da comunicao pela VPN, por tunelamento, que feita utilizando protocolos que criptografam as comunicaes garantindo que somente pessoas autorizadas tenho acesso a essas informaes. O projeto mais comum de uma VPN equipar cada filial com um Firewall e criar tneis pela Internet entre todos os pares de filiais utilizando os protocolos de criptografia. Veja abaixo:

34) (CESGRANRIO 2010 - BACEN) O Certificado Digital um arquivo eletrnico que contm os dados de uma pessoa ou instituio, utilizados para comprovar sua identidade. Dentre as principais informaes encontradas em um Certificado Digital, referentes ao usurio, citam-se: a) b) c) d) e) cdigos de acesso ao sistema. informaes biomtricas para leitura tica. nmero de srie e perodo de validade do certificado. dados de identificao pessoal: RG, CPF ou CNPJ. dados de localizao: endereo e Cep.

35) (CESPE 2010 TRE BA) Firewall um recurso utilizado para a segurana tanto de estaes de trabalho como de servidores ou de toda uma rede de comunicao de dados. Esse recurso possibilita o bloqueio de acessos indevidos a partir de regras preestabelecidas.

36) (CESPE 2008 BB) Por meio do boto , possvel que um usurio obtenha a denominada certificao digital, que, em aplicaes bancrias, como a ilustrada na janela do IE7 permite conferir a
HTTP://WWW.ESTUDIOAULAS.COM.BR

Professor Lo Matos Segurana da Informao Teoria e Exerccios

autenticidade de um site.

(CESPE 2010 CEF) Um certificado digital pessoal, intransfervel e no possui data de validade.

37) (ESAF 2006 MTE Auditor Fiscal) A assinatura digital o processo de manter mensagens e dados em segurana, permitindo e assegurando a confidencialidade. Quando utilizam apenas chaves privadas, as assinaturas digitais so usadas para fornecer servios de integridade de dados, autenticao e no repdio.

38) (CESPE DETRAN/ES) Um firewall, em um computador, um software que, corretamente configurado, verifica as informaes provenientes da Internet e evita que o computador seja infectado com vrus transmitidos por meio de email.

39) (CESPE 2011 TRT 21) O acesso a um endereo de um stio na Internet que se inicie com https feito por meio de uma conexo segura. Nesse contexto, a informao trafega em um canal seguro, usando uma rede cuja segurana no garantida 40) (CESPE - CEHAP PB 2009 ) Redes virtuais privadas so canais fechados utilizados, por exemplo, para trafegar dados entre divises de uma mesma empresa.

HTTP://WWW.ESTUDIOAULAS.COM.BR