Aula TI Sefaz Ms 64509

TECNOLOGIA DA INFORMAO (TEORIA E EXERCCIOS)
P/FISCAL DE RENDAS E AGENTE TRIBUTRIO ESTADUAL SEFAZ/MS

Prof
a
Patrcia Lima Quinto www.pontodosconcursos.com.br 1

AULA 0 PROPOSTA DO CURSO E QUESTES INICIAIS DE SEGURANA
Ol queridos (as) amigos (as), meus cumprimentos! Como bom estar aqui!
A Secretaria de Estado de Administrao e a!enda do "ato #rosso do Sul
(S!"#/MS) lanou, nesta segunda$%eira (&'())(*&)+), edital com ,&
oportunidades, sendo $0 %"&" F'()"* + R,+"( com remunerao de
R- .0/00121$ e 30 %"&" A4,5 T&'6758&'9 E(5"+7"*, com remunerao de
R- :/::.2;<-
Ento, eis a. uma grande oportunidade para /oc0 abraar com toda a garra e
dedicao- 1ara concorrer a esse certame necessrio n./el superior completo
em qualquer rea- 2e3a bem4

5ranscre/o, abai6o, a %rase de 2incent 2an #og7- 1eo que leia com ateno e
pense por um minuto-
=G&",+( &"*'#">?( ,@9 (@9 !'5"( %9& 'A%7*(92 A"( %9& 7A" (9A" +
%B7,"( &"*'#">?(/=
A grande reali!ao aqui conseguir a "%&9C">@9 ,(5 )9,)7&(9 que ir
prestar em bre/e- As pequenas, so as aulas "%&,+'+"(- A%inal, estamos ou
no %a!endo a nossa parte8 O ob3eti/o 7 de ser alcanado!!! A/ante,
guerreiro (a)!!!
9umo ento a essa no/a batal7a, que ser cada /e! com mais (9*+"+9( a seu
%a/or- O resultado8 "uito SUCESSO para todos vocs !!!
Assim, com grande satis%ao que os recebo em mais um curso on$line de
T),9*94'" +" I,!9&A">@9 (A T9&'" ED&)E)'9( C9A,5"+9()2 que
ser direcionado ao concurso para os cargos de F'()"* + R,+"( A4,5
T&'6758&'9 E(5"+7"* da S)&5"&'" + E(5"+9 + A+A','(5&">@9
F"#,+" +9 M"59 G&9((9 +9 S7* (S!"#/MS)-


Prof
a

Em nossas F "7*"( de T),9*94'" +" I,!9&A">@9 teremos
RESUMOS TEGRICOS )9,5A%*",+9 9( %9,59( B7 %9+A
(& D%*9&"+9( %*" 6",)" 9( COMENTRIOS + :00
B7(5?(2 pro/enientes dos concursos reali!ados
PRIORITARIAMENTE pela S)&5"&'" + E(5"+9 +
A+A','(5&">@9 A )9,H7,59 )9A " S)&5"&'" + E(5"+9 +
F"#,+"- Em /irtude da quantidade redu!ida de quest:es dessa
banca, para mel7or %i6ao da matria, iremos utili!ar tambm
quest:es de bancas como a FGI2 ESAF2 FCC FUNRIO2 de
%orma que /oc0 possa se %amiliari!ar com o estilo de quest:es
normalmente cobradas nesse tipo de pro/a-
Assim, como sabemos que a c7a/e para /oc0 ter um e6celente resultado na
pro/a de in%ormtica est no (57+9 +'()'%*',"+9 +" A"5J&'" e na
&(9*7>@9 )9,(5",5 + ',KA&"( B7(5?(, este curso %oi criado para
au6ili$lo neste grande desa%io, rumo ; sua "%&9C">@9-
A satis%ao e moti/ao esto cada /e! maiores, e ser um enorme pra!er
trabal7ar com cada um de /oc0s neste curso rumo ao to son7ado cargo
p<blico !
A,5( + %"&5'& %"&" 9 +(,C9*C'A,59 +" 59&'" +9( D&)E)'9(2
49(5"&'" + A "%&(,5"&/ I"A9( *8L
Sou a P&9!
"
P"5&E)'" L'A" Q7',5@9, moro em =elo >ori!onte e ten7o
ministrado aulas de in%ormtica no 1onto dos Concursos desde *&&? (/isando
certames como Senado ederal, =anco do =rasil, @ASS, 1ol.cia ederal, 1ol.cia
9odo/iria ederal, 1ol.cia Ci/il do Bistrito ederal, "1C, "5E, 5CC, 5CE,
Ministrio da Fazenda, Petrobrs, MPOG, ABIN, TRE, TRT, TSE, ANEEL, SEFAZ-
DF, SEFAZ-RJ, SEFAZ-SC, SEFAZ-SP, ISS-RJ, ISS-BH, ISS-SP, SUSEP, TJ-DFT,
ANVISA, CGU, dentre outros), alm de integrar a equipe dos professores que
atuam no C9")M',4 %"&" C9,)7&(9( +9 P9,59, assessorando os candidatos
para que consigam atingir seu objetivo: " "%&9C">@9 A )9,)7&(9 %K6*')92
de forma mais rpida e eficiente. Auxilio tambm os
candidatos na elaborao dos recursos (P9,59
R)7&(9().
Tambm tenho lecionado disciplinas tcnicas do curso
de Sistemas de Informao e Cincia da Computao,
tanto na graduao, quanto na ps-graduao e atuo
como Analista na rea de Tecnologia da Informao
da Prodabel.
Sou instrutora autorizada CISCO e "759&" do livro de
B7(5?( )9A,5"+"( + ',!9&A85')" %"&"
)9,)7&(9( (F9)9N FCC)2 pela Editora GEN/Mtodo,
sob a coordenao dos grandes mestres Vicente Paulo
e Marcelo Alexandrino. Alis, vale destacar aqui que a
5&)'&" edio desse livro j ser liberada no final


Prof
a

do ms de novembro/2013, podendo ser obtida tambm pelo site
http://www.editorametodo.com.br/produtos_descricao.asp?codigo_produto=2
303. Aproveitem !
Sou mestre em Engenharia de Sistemas e Computao pela COPPE/UFRJ,
ps-graduada em Gerncia de Informtica e bacharel em Informtica pela
Universidade Federal de Viosa (UFV). Atuo como membro da Sociedade
Brasileira de Computao e do Comit Brasileiro de Processamento de Dados
da ABNT, que cria as normas sobre gesto da Segurana da Informao no
Brasil; sou editora da revista InfraMagazine; tenho certificaes tcnicas na
rea de segurana, redes e percia forense; alm de artigos publicados a nvel
nacional e internacional com temas da rea de informtica.
E como no poderia deixar de ser, nas horas vagas, tambm concurseira, j
tendo sido aprovada em vrios concursos, como:
Professora titular do Departamento de Cincia da Computao do
Instituto Federal de Educao, Cincia e Tecnologia (2011);
Professora substituta do Departamento de Cincia da Computao da
Universidade Federal de Juiz de Fora (2011);
Analista de Tecnologia da Informao/Suporte, Prodabel (2012);
Analista do Ministrio Pblico MG (2012);
Analista de Sistemas, Dataprev, Segurana da Informao (2011);
Analista de Sistemas, Infraero (2011);
Analista - TIC, Prodemge (2011);
Analista de Sistemas, Prefeitura de Juiz de Fora (2007);
Analista de Sistemas, SERPRO (concursos de 2001 e 2005); etc.

Bem, passada essa apresentao inicial, C"A9( "C",5 )9A 9 )7&(9!

TGPICOS DO EDITAL A SEREM ABORDADOS NO CURSO
Este curso abordar TODOS os tpicos do edital, no que tange disciplina de
T),9*94'" +" I,!9&A">@92 cuja descrio encontra-se a seguir.



Prof
a

Conceitos bsicos de informtica, os componentes funcionais de computadores
(hardware e software), perifricos e dispositivos de entrada, sada e
armazenamento de dados.
Conceitos bsicos de sistemas operacionais, noes do Sistema Operacional
Windows XP e Windows 7, conceitos de pastas, arquivos, atalhos, rea de
trabalho, rea de transferncia, manipulao de arquivos e pastas, uso de
menus e aplicativos.
Conceitos e funes do pacote Microsoft Office: Word, estrutura dos
documentos, edio e formatao de textos, cabealhos, pargrafos, fontes,
colunas, tabelas, marcadores, controle de quebras, proteo de documentos,
menus e ferramentas.
Excel, estrutura bsica de planilhas, clulas e suas propriedades, operaes
com linhas e colunas, criao e edio de grficos, uso de frmulas,
classificao de dados, obteno de dados externos, menu ferramentas.
Access, criao e edio de tabelas, utilizao de dados externos, criao e
edio de consultas, criao e edio de formulrios, macros, menus e
ferramentas.
Segurana da informao: Conceitos bsicos, sistemas anti-vrus, sistemas de
backup, criptografia, certificao digital, assinatura digital e autenticao.
Redes: Conceitos bsicos, componentes e tecnologias disponveis, topologias,
estao e servidor, conceitos de protocolos de comunicao de redes, TCP e
UDP, Local Area Network, Wide Area Network.
Ferramentas e aplicativos associados internet: navegao, correio eletrnico,
grupos de discusso, busca e pesquisa.
Banco de dados: fundamentos, conceitos bsicos de bancos de dados
relacionais, noes de sistemas de gerenciamento de bancos de dados, noes
de SQL.
PLANEOAMENTO DAS AULAS
O C7&(9 Q7 P&9%9,M9N
0 A7*" +A9,(5&"5'C"/
. S47&",>" +" ',!9&A">@9: Conceitos bsicos, sistemas anti-vrus,
sistemas de backup, criptografia, certificao digital, assinatura digital e
autenticao.
$ C9,)'59( 68(')9( + ',!9&A85')", os componentes funcionais de
computadores (hardware e software), perifricos e dispositivos de
entrada, sada e armazenamento de dados.
1 Conceitos bsicos de sistemas operacionais, noes do Sistema
Operacional P',+9Q( XP P',+9Q( <, conceitos de pastas, arquivos,
atalhos, rea de trabalho, rea de transferncia, manipulao de
arquivos e pastas, uso de menus e aplicativos.
3 Conceitos e funes do pacote Microsoft Office: P9&+, estrutura dos
documentos, edio e formatao de textos, cabealhos, pargrafos,


Prof
a

fontes, colunas, tabelas, marcadores, controle de quebras, proteo de
documentos, menus e ferramentas.
; ED)*, estrutura bsica de planilhas, clulas e suas propriedades,
operaes com linhas e colunas, criao e edio de grficos, uso de
frmulas, classificao de dados, obteno de dados externos, menu
ferramentas.
: B",)9 + +"+9(: fundamentos, conceitos bsicos de bancos de dados
relacionais, noes de sistemas de gerenciamento de bancos de dados,
noes de SQL. Access, criao e edio de tabelas, utilizao de dados
externos, criao e edio de consultas, criao e edio de formulrios,
macros, menus e ferramentas.
< R+(: Conceitos bsicos, componentes e tecnologias disponveis,
topologias, estao e servidor, conceitos de protocolos de comunicao
de redes, TCP e UDP, Local Area Network, Wide Area Network.
0 F&&"A,5"( "%*')"5'C9( "((9)'"+9( R ',5&,5: navegao,
correio eletrnico, grupos de discusso, busca e pesquisa.
F S'A7*"+9 final.
No decorrer do curso disponibilizarei os %9,59( 5S&')9( + &*CT,)'", em
conformidade com o contedo cobrado no edital de ,9CA6&9/$0.12 e,
ento, trabalharemos as questes comentadas em sua ntegra.
Tambm estarei destacando, ao final de cada aula, no MEMOREX, o que devo
tomar nota como mais importante da matria, permitindo A*M9& !'D">@9
+9( "((7,59( "%&(,5"+9( %9& "7*".
Ao fim de cada aula ser apresentada tambm a *'(5" )9A 59+9( 9(
D&)E)'9( ,*" )9A,5"+9(, para que possa, a seu critrio, resolv-los
antes de ver o gabarito e ler os comentrios correspondentes.
Bem, passada a apresentao inicial, espero que este curso seja de grande
valia para o seu estudo, fazendo-o superar os desafios vindouros na prova!
Por fim, para aqueles que venham a se matricular no curso, ainda teremos o
frum para troca de informaes e/ou esclarecimento de dvidas que
porventura surgirem. Estarei atenta ao frum, e ser um prazer t-los conosco
nessa trajetria de MUITO SUCESSO! A)'5"A 9 )9,C'5U
P&9!
"
P"5&E)'" L'A" Q7',5@9
Facebook: http://www.facebook.com/professorapatriciaquintao (Todo dia com
novas dicas, desafios e muito mais, espero vocs por l para CURTIR a
pgina!)
Instagram: patriciaquintao
C9A9 5A9( 7A *9,49 )"A',M9 %*" !&,52 C"A9( "9 5&"6"*M9LL
LA6&",+9 B7 ((" J "%,"( 7A" "7*" + +47(5">@92 %"&"
,5,+&A " +',TA')" + ,9(("( "7*"(2 9VL


Prof
a

AULA 0 CONCEITOS BSICOS DE SEGURANA DA INFORMAO
(PARTE I)

C9,5K+9 +(5" A7*" P84',"
Segurana da informao e tpicos relacionados. 06
Reviso em tpicos e palavras-chave (MEMOREX). 25
Lista de questes comentadas. 27
Consideraes finais. 52
Bibliografia. 53
Acompanhe a evoluo do seu treinamento. 54
Questes apresentadas na aula. 55
Gabarito. 62

O B7 S'4,'!')" S47&",>"U
colocar tranca nas portas de sua casa? ter as informaes
guardadas de forma suficientemente segura para que pessoas
sem autorizao no tenham acesso a elas? I"A9( ,9(
%&%"&"& %"&" B7 " %&SD'A" CE5'A" ,@9 (H" C9)W LLL
A (47&",>" uma palavra que est presente em nosso
cotidiano e &!&X( " 7A (5"+9 + %&95>@92 A B7
(5"A9( Y*'C&(Z + %&'49( ',)&5#"(L

S47&",>" +" ',!9&A">@9 J 9 %&9)((9 + %&954& "
',!9&A">@9 + +'C&(9( 5'%9( + "A">"( D5&,"(
',5&,"( %"&" 4"&",5'& " )9,5',7'+"+ +9( ,4S)'9(2
A','A'#"& 9( +",9( "9( ,4S)'9( A"D'A'#"& 9
&59&,9 +9( ',C(5'A,59( "( 9%9&57,'+"+( +
,4S)'9/
Em uma corporao, a segurana est ligada a tudo o que manipula direta ou
indiretamente a informao (inclui-se a tambm a prpria informao e os
usurios!!!), e que merece proteo.


Prof
a

Esses elementos so chamados de ATIIOS, e podem ser divididos em:
tangveis: informaes impressas, mveis, hardware (Ex.:impressoras,
scanners);
intangveis: marca de um produto, nome da empresa, confiabilidade de um
rgo federal etc.;
lgicos: informaes armazenadas em uma rede, sistema ERP (sistema de
gesto integrada), etc.;
fsicos: galpo, sistema de eletricidade, estao de trabalho, etc.;
humanos: funcionrios.
Para Beal (2005), ativo de informao qualquer dado ou informao a que
esteja associado um valor para o negcio. Representam ativos de informao
as informaes relevantes mantidas na mente dos tomadores de deciso, em
base de dados, arquivos de computador, documentos e planos registrados em
papel etc.
Segundo Technet (2006) um ativo "todo elemento que compe o processo da
comunicao, partindo da informao, seu emissor, o meio pelo qual
transmitida, at chegar ao seu receptor.
Moreira (2001, p.20) afirma que:
[...] ativo tudo que manipula direta ou indiretamente uma informao,
inclusive a prpria informao, dentro de uma Organizao e, isso que deve
ser protegido contra ameaas para que o negcio funcione corretamente.
Uma alterao, destruio, erro ou indisponibilidade de algum dos ativos pode
comprometer os sistemas e, por conseguinte, o bom funcionamento das
atividades de uma empresa.
De acordo com a NBR ISO/IEC 27002:2005, a ',!9&A">@9 um "5'C9 que,
como qualquer outro ativo importante, essencial para os negcios de uma
organizao e consequentemente necessita ser adequadamente protegida.
A informao pode existir em diversas formas: ela pode ser impressa ou
escrita em papel, armazenada eletronicamente, transmitida pelo correio ou
por meios eletrnicos, apresentada em filmes ou falada em conversas. Dessa
definio, podemos depreender que a informao um bem, um patrimnio a
ser preservado para uma empresa e que tem importncia aos negcios. Devido
a essa importncia, deve ser oferecida proteo adequada, ou seja, "
%&95>@9 +C (& %&9%9&)'9,"* R 'A%9&5T,)'" B7 +5&A',"+"
',!9&A">@9 5A %"&" 7A" A%&("/


Prof
a

P&',)E%'9( +" S47&",>" +" I,!9&A">@9
A segurana da informao busca proteger os "5'C9( de uma empresa ou
indivduo com base na preservao de alguns %&',)E%'9(. Vamos ao estudo de
cada um deles!!
Os quatro %&',)E%'9( considerados centrais ou principais, mais comumente
cobrados em provas, so: a Confidencialidade, a Integridade, a Disponibilidade
e a Autenticidade ( possvel encontrar a sigla CIDA, ou DICA, para fazer
meno a estes princpios!).

F'47&"/ M,A[,')9 DICA

C9,!'+,)'"*'+"+ (97 ('4'*9)N J " 4"&",5'" + B7 " ',!9&A">@9 ,@9
(&8 )9,M)'+" %9& B7A ,@9 +C. O acesso s informaes deve ser
limitado, ou seja, (9A,5 "( %((9"( D%*')'5"A,5 "759&'#"+"(
%9+A ")((8X*"(. Perda de confidencialidade significa perda de segredo.
Se uma informao for confidencial, ela ser secreta e dever ser guardada
com segurana, e no divulgada para pessoas sem a devida autorizao
para acess-la.
Exemplo: o nmero do seu carto de crdito s poder ser conhecido por
voc e pela loja em que usado. Se esse nmero for descoberto por
algum mal intencionado, o prejuzo causado pela perda de
confidencialidade poder ser elevado, j que podero se fazer passar por
voc para realizar compras pela Internet, proporcionando-lhe prejuzos
financeiros e uma grande dor de cabea!

I,54&'+"+N destaca que a informao deve ser mantida na condio em
que foi liberada pelo seu proprietrio, garantindo a sua proteo contra
mudanas intencionais, indevidas ou acidentais. Em outras palavras, J "
4"&",5'" + B7 " ',!9&A">@9 B7 !9' "&A"#,"+" J " B7 (&8
&)7%&"+"LLL
A quebra de integridade pode ser considerada sob 2 aspectos:
1. alteraes nos elementos que suportam a informao - so feitas
"*5&">?( ," (5&757&" !E(')" *S4')" A B7 7A" ',!9&A">@9
(58 "&A"#,"+". Por exemplo quando so alteradas as
configuraes de um sistema para ter acesso a informaes restritas;
Disponibilidade
Integridade
Confidencialidade
Autenticidade


Prof
a

2. "*5&">?( +9 )9,5K+9 +9( +9)7A,59(:
ex1.: imagine que algum invada o notebook que est sendo
utilizado para realizar a sua declarao do Imposto de Renda deste
ano, e, momentos antes de voc envi-la para a Receita Federal a
mesma alterada sem o seu consentimento! Neste caso, a
informao no ser transmitida da maneira adequada, o que
quebra o princpio da integridade;
ex2: alterao de sites por hackers (vide a figura seguinte, retirada
de http://www.fayerwayer.com.br/2013/06/site-do-governo-
brasileiro-e-hackeado/). Acesso em jul. 2013.

F'47&"/ P9&5"* B&"('* (QQQ/6&"('*/49C/6&)2 %84'," 9!')'"* +9 49C&,9
6&"('*'&9 ," I,5&,52 B7 5C (7 )9,5K+9 "*5&"+9 ',+C'+"A,5
A H7,/ $0.1/

D'(%9,'6'*'+"+: a garantia de que a informao deve estar disponvel,
sempre que seus usurios (pessoas e empresas autorizadas) necessitarem,
no importando o motivo. Em outras palavras, J " 4"&",5'" B7 "
',!9&A">@9 (A%& %9+&8 (& ")(("+"LLL
Como exemplo, h quebra do princpio da disponibilidade quando voc
decidir enviar a sua declarao do Imposto de Renda pela Internet, no
ltimo dia possvel, e o site da Receita Federal estiver indisponvel.

A75,5')'+"+ (considerada por alguns autores como "75,5')">@9)N a
capacidade de garantir a '+,5'+"+ + 7A" %((9" (!E(')" 97 H7&E+')")
B7 ")((" "( ',!9&A">?( +9 ('(5A" 97 + 7A (&C'+9&
()9A%75"+9&) )9A B7A ( (5"6*) 7A" 5&",(">@9 (de
comunicao, como um email, ou comercial, como uma venda online). \


Prof
a

%9& A'9 +" "75,5')">@9 B7 ( )9,!'&A" " '+,5'+"+ +" %((9" 97
,5'+"+ B7 %&(5" 97 ")((" "( ',!9&A">?(L Recursos como senhas
(que, teoricamente, s o usurio conhece), biometria, assinatura digital e
certificao digital so usados para essa finalidade.

O que queremos sob a tica de segurana?
D(H"A9( ,5&4"& " ',!9&A">@9 CORRETA2 %"&" " %((9" CERTA2 ,9
A9A,59 CORRETO2 )9,!'&A",+9 " IDENTIDADE +" %((9" 97
,5'+"+ B7 %&(5" 97 ")((" "( ',!9&A">?(LLL Entenderam??
Eis a essncia da aplicao dos quatro princpios aqui j destacados. Ainda,
cabe destacar que " %&+" + %*9 A,9( 7A +((( %&',)E%'9( H8 '&8
9)"('9,"& 'A%")59( "9 ,4S)'9 (a surgem os ',)'+,5( + (47&",>"!!)
Quando falamos em segurana da informao, estamos nos referindo a
("*C"47"&+"( %"&" A",5& " )9,!'+,)'"*'+"+2 ',54&'+"+2
+'(%9,'6'*'+"+ +A"'( "(%)59( +" (47&",>" +"( ',!9&A">?(
+,5&9 +"( ,)(('+"+( +9 )*',5!

I,)'+,5 + (47&",>" +" ',!9&A">@9: indicado por
um ('A%*( 97 %9& 7A" (J&' + C,59( + (47&",>"
+" ',!9&A">@9 ',+(H"+9( 97 ',(%&"+9(, que tenham
uma grande probabilidade de )9A%&9A5& as operaes
do negcio e ameaar a segurana. Exemplos: invaso
digital; violao de padres de segurana de informao.

Outros princpios podem ainda ser tambm levados em considerao, como por
exemplo:
C9,!'"6'*'+"+N pode ser caracterizada como a condio em que um
sistema de informao presta seus servios de forma eficaz e eficiente, ou
melhor, um sistema de informao ir "desempenhar o papel que foi
proposto para si.

C9,!'"6'*'+"+: visa garantir que um sistema vai se
comportar (vai realizar seu servio) segundo o esperado e
projetado ("(& )9,!'8C*, "!"#& 6A (7 %"%*).


Prof
a

N@9 &%K+'9 ('&&5&"5"6'*'+"+)N a 4"&",5'" + B7 7A "4,5 ,@9
)9,('4" ,4"& (+'#& B7 ,@9 !9' !'59) 7A" 9%&">@9 97 (&C'>9 B7
A9+'!')97 97 )&'97 7A" ',!9&A">@9. Tal garantia condio necessria
para a validade jurdica de documentos e transaes digitais. S se pode
garantir o no-repdio quando houver autenticidade e integridade (ou seja,
quando for possvel determinar quem mandou a mensagem e garantir que a
mesma no foi alterada).
A7+'59&'": a %9(('6'*'+"+ + &"(5&"& 9 M'(5S&')9 +9( C,59( +
7A ('(5A" para determinar quando e onde ocorreu uma violao de
segurana, bem como identificar os envolvidos nesse processo.
P&'C")'+"+N diz respeito ao direito fundamental de cada indivduo de
decidir quem deve ter acesso aos seus dados pessoais.
A %&'C")'+"+ J " )"%")'+"+ + 7A ('(5A" A",5& ',)S4,'59 7A
7(78&'9 (capacidade de um usurio realizar
operaes em um sistema sem que seja
identificado), 'A%9(('6'*'5",+9 " *'4">@9
+'&5" +" '+,5'+"+ +9 7(78&'9 )9A "(
">?( %9& (5 &"*'#"+"(. Privacidade uma
caracterstica de segurana requerida, por
exemplo, em eleies secretas.
Uma informao privada deve ser vista, lida ou
alterada somente pelo seu dono. E(( %&',)E%'9
+'!& +" )9,!'+,)'"*'+"+2 %9'( 7A"
',!9&A">@9 %9+ (& )9,('+&"+"
)9,!'+,)'"*2 A"( ,@9 %&'C"+"/

I7*,&"6'*'+"+( + S47&",>"
I7*,&"6'*'+"+ uma !&"4'*'+"+ que poderia ser explorada por uma
ameaa para concretizar um ataque.

Outro conceito bastante comum para o termo:
I7*,&"6'*'+"+ uma evidncia ou fragilidade que eleva o grau de
exposio dos ativos que sustentam o negcio, aumentando a probabilidade de
sucesso pela investida de uma ameaa.

Ainda, trata-se de !"*M" ,9 %&9H592 'A%*A,5">@9 97 )9,!'47&">@9 +
(9!5Q"& 97 ('(5A" 9%&")'9,"* B72 B7",+9 D%*9&"+" %9& 7A
"5")",52 &(7*5" ," C'9*">@9 +" (47&",>" + 7A )9A%75"+9&.


Prof
a

O conhecimento do maior nmero de vulnerabilidades possveis permite
equipe de segurana tomar A+'+"( %"&" %&95>@9, evitando assim ataques
e consequentemente perda de dados.
No h uma receita ou lista padro de vulnerabilidades. Esta deve ser
levantada junto a cada organizao ou ambiente. Sempre se deve ter em
mente o que precisa ser protegido e de quem precisa ser protegido de acordo
com as ameaas existentes. Podemos citar, como exemplo inicial, uma anlise
de ambiente em uma sala de servidores de conectividade e Internet com a
seguinte descrio: a sala dos servidores no possui controle de acesso fsico!!
Eis a vulnerabilidade detectada nesse ambiente.
Outros exemplos de vulnerabilidades:
ambientes com informaes sigilosas
com acesso no controlado;
hardware sem o devido
acondicionamento e proteo;
soft!are mal desenvolvido; falta de atualizao de soft!are
e hardware;
falta de mecanismos de
monitoramento e controle (auditoria);
ausncia de pessoal capacitado
para a segurana;
inexistncia de polticas de
segurana;
instalaes prediais fora do
padro;
ausncia de recursos para combate a
incndios, etc.

AA">"( R S47&",>"
AA">" algo que possa provocar +",9( segurana da informao,
prejudicar as aes da empresa e sua sustentao no negcio, mediante a
explorao de uma determinada C7*,&"6'*'+"+.
Em outras palavras, uma AMEAA J 57+9 "B7'*9 B7 %9+ )9A%&9A5& "
(47&",>" + 7A ('(5A"2 %9+,+9 (& ")'+,5"* (falha de hard!are,
erros de programao, desastres naturais, erros do usurio, bugs de soft!are,
uma ameaa secreta enviada a um endereo incorreto, etc.) 97 +*'6&"+"
(roubo, espionagem, fraude, sabotagem, invaso de hackers, entre outros).
Ameaa pode ser uma pessoa, uma coisa, um evento ou uma ideia capaz de
causar dano a um recurso, em termos de confidencialidade, integridade,
disponibilidade etc. Como exemplos de ameaa podemos destacar:
concorrente, cracker, erro humano (deleo de arquivos digitais


Prof
a

acidentalmente etc.), acidentes naturais (inundao etc.), funcionrio
insatisfeito, tcnicas (engenharia social, etc.), ferramentas de software
(sniffer, cavalo de troia, etc.).
Basicamente existem dois tipos de ameaas: internas e externas.
AA">"( D5&,"(: so aqui representadas por todas as tentativas de
ataque e desvio de informaes vindas de fora da empresa. Normalmente
essas tentativas so realizadas por pessoas com a inteno de prejudicar a
empresa ou para utilizar seus recursos para invadir outras empresas.
AA">"( ',5&,"(: esto presentes, independentemente das empresas
estarem ou no conectadas Internet. Podem causar desde incidentes
leves at os mais graves, como a inatividade das operaes da empresa.
Resumindo, temos que...

O( ATIIOS (@9 9( *A,59( B7 (7(5,5"A "
9%&">@9 +9 ,4S)'9 (5( (A%& 5&"&@9 )9,('49
IULNERABILIDADES B72 %9& (7" C#2 (76A5A 9(
"5'C9( " AMEAAS/

R'()9
RISCO a medida da exposio qual o sistema computacional est sujeito.
Depende da probabilidade de uma ameaa atacar o sistema e do impacto
resultante desse ataque.

Como exemplo de um risco pode-se imaginar um funcionrio insatisfeito e um
martelo ao seu alcance; nesse caso o funcionrio poderia danificar algum ativo
da informao.
Existem algumas maneiras de se classificar o grau de risco no mercado de
segurana, mas de uma forma simples, poderamos tratar como alto, mdio e
baixo risco. No caso do nosso exemplo da sala dos servidores, poderamos
dizer que, baseado na vulnerabilidade encontrada, a ameaa associada de
alto risco.

Smola (2003, p. 50) diz que &'()9 J " Y%&96"6'*'+"+ + "A">"(
D%*9&"&A C7*,&"6'*'+"+(2 %&9C9)",+9 perdas de
confidencialidade, integridade e +'(%9,'6'*'+"+2 )"7(",+92
%9(('C*A,52 'A%")59( ,9( ,4S)'9(.


Prof
a

C')*9 +" S47&",>"
Como mostrado na figura seguinte os ATIIOS de uma organizao precisam
ser %&954'+9(, pois esto sujeitos a IULNERABILIDADES.
Se as vulnerabilidades aumentam, aumentam-se os riscos permitindo a
explorao por uma ameaa e a concretizao de um ataque. Se estas
ameaas crescem, aumentam-se ainda mais os riscos de perda da integridade,
disponibilidade e confidencialidade da informao podendo causar impacto nos
negcios.
Nesse contexto, MEDIDAS DE SEGURANA devem ser tomadas, os riscos
devem ser analisados e diminudos para que se estabelea a segurana dos
ativos da informao.

Ativos

Medidas de
Segurana diminui
limitados

Vulnerabilidades
aumenta
sujeitos

Impactos no
negcio
causam
aumenta
Riscos

Confidencialidade
Integridade
isponibilidade
perdas
aumenta

permitem
aumenta
Ameaas

protege
Ciclo da
segurana

F'47&"/ C')*9 +" S47&",>" +" I,!9&A">@9 (MOREIRA2 $00.)

As ameaas so causas em potencial de um incidente indesejado (por
exemplo, um ataque de um hacker uma ameaa). As ameaas e as
vulnerabilidades aumentam os riscos relativos segurana por parte de uma
organizao.
Dessa forma, podemos dizer que os riscos so medidos pela combinao entre:


Prof
a

nmero de vulnerabilidades dos ativos;
a probabilidade de vulnerabilidades serem exploradas por uma ameaa; e
o impacto decorrente dos incidentes de segurana na organizao.

N9>?( + IE&7(2 P9&A( 975&"( P&"4"( C'&57"'( AMEAAS R
S47&",>" +" I,!9&A">@9LL
Voc sabe o significado de malare?

O 5&A9 !alare J 7("+9 %"&" 59+9 B7"'(B7& softares A"*')'9(9(2
%&94&"A"+9( )9A 9 ',57'59 + %&H7+')"& 9( ('(5A"( + ',!9&A">@92
"*5&"& 9 !7,)'9,"A,59 + %&94&"A"(2 &976"& ',!9&A">?(2 )"7("&
*,5'+?( + &+( )9A%75")'9,"'(2 +,5& 975&9(/

Resumindo, malares (@9 %&94&"A"( B7 D)75"A
+*'6&"+"A,5 ">?( A"*X',5,)'9,"+"( A 7A
)9A%75"+9&!!

Certbr (2012) destaca algumas das diversas maneiras como os cdigos
maliciosos (malwares) podem infectar ou comprometer um computador. So
elas:
por meio da explorao de vulnerabilidades (falhas de segurana)
existentes nos programas instalados;
por meio da auto-execuo de mdias removveis infectadas,
como pen-drives;
pelo acesso a pginas da Web maliciosas, com a utilizao de navegadores
vulnerveis;
por meio da ao direta de atacantes que, aps invadirem o computador,
incluem arquivos contendo cdigos maliciosos;
pela execuo de arquivos previamente infectados, obtidos em anexos de
mensagens eletrnicas, via mdias removveis, em pginas Web ou
diretamente de outros computadores (atravs do compartilhamento de
recursos).
!alare (combinao de malicious softare " programa
malicioso)!



Prof
a

Uma vez instalados, os cdigos maliciosos passam a ter acesso aos dados
armazenados no computador e podem executar aes em nome dos usurios,
de acordo com as permisses de cada usurio.
Na categoria de malwares so includos os vrus de computador, Worms, entre
outras "beldades do mundo da informtica. Os 5'%9( A"'( )9A7,( +
malare esto detalhados a seguir#
XCE&7(2
Xorms2
Xbots2
X)"C"*9( + 5&9'" (5&9H",()2
Xsp"are2
#$e"logger2
Xscreenlogger,
X&",(9AQ"&(2
X%ac$doors2
XR995V'5(2 etc/

IE&7(
So pequenos cdigos de programao maliciosos que se "agregam a
arquivos e so transmitidos com eles. Em outras palavras, tecnicamente,
um vrus um programa (ou parte de um programa) que se anexa a um
arquivo de programa qualquer (como se o estivesse "parasitando) e depois
disso procura fazer cpias de si mesmo em outros arquivos semelhantes.
Quando o arquivo aberto na memria RAM, o vrus tambm , e, a partir
da se propaga infectando, isto , inserindo cpias de si mesmo e se
tornando parte de outros programas e arquivos de um computador.
O vrus +%,+ +" D)7>@9 +9 %&94&"A" 97 "&B7'C9 M9(%+'&9
para que possa se tornar ativo e dar continuidade ao processo de infeco.
Alguns vrus so inofensivos, outros, porm, podem danificar um sistema
operacional e os programas de um computador.
A seguir destacamos alguns arquivos que podem ser %9&5"+9&( + CE&7(
+ )9A%75"+9&:



Prof
a

arquivos executveis: com extenso .exe ou .com;
arquivos de scripts (outra forma de executvel): extenso .vbs;
atalhos: extenso .lnk ou .pif;
proteo de tela (animaes que aparecem automaticamente quando o
computador est ocioso): extenso .scr;
documentos do MS-Office: como os arquivos do Word (extenso .doc ou
.dot), arquivos do Excel (.xls e .xlt), apresentaes do Powerpoint (.ppt e
.pps), bancos de dados do Access (.mdb).
arquivos multimdia do Windows Media Player: msicas com extenso
.WMA, vdeos com extenso .WMV, dentre outros.
Dentre os %&',)'%"'( 5'%9( + CE&7( conhecidos merecem destaque:
IE&7(
P9*'AS&!')9(
A*5&"A (7 !9&A"59 (YA7+"A + !9&A"Z)
)9,(5",5A,5/ A cada nova infeco, esses vrus geram
uma nova sequncia de bytes em seu cdigo, para que o
antivrus se confunda na hora de executar a varredura e
no reconhea o invasor.
IE&7(
O*'49AS&!')9
Usa a criptografia para se defender sendo capaz de alterar
tambm a rotina de criptografia em um nmero de vezes
pequeno. Um vrus que possui duas rotinas de
decriptografia ento classificado como oligomrfico (Luppi,
2006).
IE&7( +
B995
I,!)5"A 9 (59& + 6995 (ou MBR - Master Boot Record
- Registro Mestre de Inicializao) +9( +'()9( &E4'+9(/
Obs.: o Setor de Boot do disco rgido a primeira parte do
disco rgido que lida quando o computador ligado. Essa
rea lida pelo BIOS (programa responsvel por "acordar
o computador) a fim de que seja encontrado o Sistema
Operacional (o programa que vai controlar o computador
durante seu uso).
IE&7( +
M")&9
Vrus que ',!)5"A +9)7A,59( B7 )9,5JA A")&9(/

!acro& con'unto de comandos que s(o
arma)enados em alguns aplicativos e utili)ados
para automati)ar tarefas repetitivas*


Prof
a

Um exemplo seria, em um editor de textos, definir uma
macro que contenha a sequncia de passos necessrios
para imprimir um documento com a orientao de retrato e
utilizando a escala de cores em tons de cinza.
Um vrus de macro escrito de forma a explorar esta
facilidade de automatizao e parte de um arquivo que
normalmente manipulado por algum aplicativo que utiliza
macros. Para que o vrus possa ser executado, o arquivo
que o contm precisa ser aberto e, a partir da, o vrus pode
executar uma srie de comandos automaticamente e
infectar outros arquivos no computador.
Existem alguns aplicativos que possuem arquivos base
(A9+*9() que so abertos sempre que o aplicativo
executado. Caso este arquivo base seja infectado pelo vrus
de macro, toda vez que o aplicativo for executado, o vrus
tambm ser. A&B7'C9( ,9( !9&A"59( 4&"+9( %9&
%&94&"A"( +" M')&9(9!52 )9A9 9 P9&+2 ED)*2
P9Q&%9',5 A))(( (@9 9( A"'( (7()5EC'( " (5
5'%9 + CE&7(/ Arquivos nos formatos RTF, PDF e PostScript
so menos suscetveis, mas isso no significa que no
possam conter vrus.

N9&A"*/+95P&',)'%"* "*C9 + CE&7( + A")&9 %/P9&+
IE&7( +
P&94&"A"
I,!)5"A "&B7'C9( + %&94&"A" (de inmeras
extenses, como .exe, .com,.vbs, .pif.
IE&7(
Stealt+
P&94&"A"+9 %"&" ( ()9,+& ,4","& 9 ",5'CE&7(
+7&",5 7A" C"&&+7&" +(5 %&94&"A". Tem a
capacidade de se remover da memria temporariamente
para evitar que antivrus o detecte.
IE&7( +
Script
P&9%"4"AX( %9& A'9 + scripts, nome que designa
uma sequncia de comandos previamente estabelecidos e
que so executados automaticamente em um sistema, sem
necessidade de interveno do usurio.
Dois tipos de scripts muito usados so os projetados com as
linguagens Javascript (JS) e Visual Basic Script (VBS).
Tanto um quanto o outro podem ser inseridos em pginas


Prof
a

Web e interpretados por navegadores como Internet
Explorer e outros. Os arquivos Javascript tornaram-se to
comuns na Internet que difcil encontrar algum site atual
que no os utilize. Assim como as macros, os scripts no
so necessariamente malficos. Na maioria das vezes
executam tarefas teis, que facilitam a vida dos usurios -
prova disso que se a execuo dos scripts for desativada
nos navegadores, a maioria dos sites passar a ser
apresentada de forma incompleta ou incorreta.
IE&7( +
T*!9,
C*7*"&
Propaga de telefone para telefone atravs da tecnologia
bluetooth ou da tecnologia MMS ($ultimedia $essage
%ervice). O servio MMS usado para enviar mensagens
multimdia, isto , que contm no s texto, mas tambm
sons e imagens, como vdeos, fotos e animaes.
A infeco ocorre da seguinte forma: o usurio recebe uma
mensagem que diz que seu telefone est prestes a receber
um arquivo e permite que o arquivo infectado seja recebido,
instalado e executado em seu aparelho; o vrus, ento,
continua o processo de propagao para outros telefones,
atravs de uma das tecnologias mencionadas
anteriormente.
Os vrus de celular diferem-se dos vrus tradicionais, pois
normalmente no inserem cpias de si mesmos em outros
arquivos armazenados no telefone celular, mas podem ser
especificamente projetados para sobrescrever arquivos de
aplicativos ou do sistema operacional instalado no aparelho.
Depois de infectar um telefone celular, o vrus pode realizar
diversas atividades, tais como:
destruir/sobrescrever arquivos;
remover contatos da agenda;
efetuar ligaes telefnicas;
o aparelho fica desconfigurado e tentando se conectar
via Bluetooth com outros
celulares;
a bateria do celular dura menos
do que o previsto pelo fabricante,
mesmo quando voc no fica
horas pendurado nele;
emitir algumas mensagens
multimdia esquisitas;
tentar se propagar para outros telefones.


Prof
a

,orms (I&A()
Programas parecidos com vrus, mas que na verdade (@9
)"%"#( + ( %&9%"4"&A "759A"5')"A,5 "5&"CJ(
+ &+s, enviando cpias de si mesmo de computador
para computador (observe que os !orms apenas se copiam,
,@9 ',!)5"A 975&9( "&B7'C9(2 *( A(A9( (@9 9(
"&B7'C9( !!). Alm disso, geralmente utilizam as redes de
comunicao para infectar outros computadores (via
emails, Web, FTP, redes das empresas etc.).
Diferentemente do vrus, 9 orm ,@9 A675 )S%'"( + (' A(A9 A
975&9( %&94&"A"( 97 "&B7'C9( ,@9 ,)(('5" (& D%*')'5"A,5
D)75"+9 %"&" ( %&9%"4"&/ %ua propagao se d& atravs da
e'plorao de vulnerabilidades e'istentes ou falhas na configurao de
soft!ares instalados em computadores.

Worms so notadamente responsveis por consumir muitos recursos.
D4&"+"A (,('C*A,5 9 +(A%,M9 + &+( %9+A *95"& 9
+'()9 &E4'+9 + )9A%75"+9&(2 +C'+9 R 4&",+ B7",5'+"+ + )S%'"(
+ (' A(A9 B7 )9(57A"A %&9%"4"&/ Alm disso, podem gerar
grandes transtornos para aqueles que esto recebendo tais cpias.
Difceis de serem detectados, muitas vezes os worms realizam uma srie de
atividades, incluindo sua propagao, sem que o usurio tenha
conhecimento. Embora alguns programas antivrus permitam detectar a
presena de Worms e at mesmo evitar que eles se propaguem, isto nem
sempre possvel.

%ots -./ob0s12
D A9+9 ('A'*"& "9 orm2 um programa capaz de se propagar
automaticamente, explorando vulnerabilidades existentes ou falhas na
configurao de software instalado em um computador.
A+')'9,"*A,5 "9 orm2 dispe de mecanismos de comunicao com o
invasor, permitindo que o bot seja controlado remotamente. Os bots
Os Worms podem se espalhar de diversas maneiras, mas a
propagao via rede a mais comum. Sua caracterstica
marcante a replicao (cpia funcional de si mesmo) e infeco
de outros computadores SEM ',5&C,>@9 M7A"," e SEM
,)(('+"+ + 7A %&94&"A" M9(%+'&9. (A5,>@9)



Prof
a

esperam por comandos de um hacker, podendo manipular os sistemas
infectados, sem o conhecimento do usurio.
Segundo CertBr (2012) a comunicao entre o invasor e o computador
infectado pelo bot pode ocorrer via canais de IRC, servidores Web e redes
do tipo P2P, entre outros meios. Ao se comunicar, o invasor pode enviar
instrues para que aes maliciosas sejam executadas, como desferir
ataques, furtar dados do computador infectado e enviar spam.
N(( %9,592 )"6 +(5")"& 7A 5&A9 B7 H8 !9' )96&"+9 C8&'"(
C#( A %&9C" %*" 6",)"LL Trata-se do significado do termo botnet,
juno da contrao das palavras robot (bot) e net!ork (net). Uma rede
infectada por bots denominada de botnet (tambm conhecida como &+
#7A6'), sendo composta geralmente por milhares desses elementos
maliciosos que ficam residentes nas mquinas, aguardando o comando de
um invasor.
Quanto mais zumbis (zombie computers) participarem da botnet mais
potente ela ser. Um invasor que tenha controle sobre uma botnet pode
utiliz-la para coletar informaes de um grande nmero de computadores,
aumentar a potncia de seus ataques, por exemplo, para enviar centenas
de milhares de emails de phishing ou spam, desferir ataques de negao
de servio etc. (CERT.br, 2012).
O esquema simplificado apresentado a seguir destaca o funcionamento
bsico de uma botnet (CERT.br, 2012):
- o atacante propaga um tipo especfico de bot com a inteno de
infectar e conseguir a maior quantidade possvel de mquinas zumbis;
- essas mquinas zumbis ficam ento disposio do atacante, agora
seu controlador, espera dos comandos a serem executados;
- quando o controlador deseja que uma ao seja realizada, ele envia
s mquinas zumbis os comandos a serem executados, usando, por
exemplo, redes do tipo P2P ou servidores centralizados;
- as mquinas zumbis executam ento os comandos recebidos, durante
o perodo predeterminado pelo controlador;
- quando a ao encerrada, as mquinas zumbis voltam a ficar
espera dos prximos comandos a serem executados.

3ro'an 4orse (C"C"*9 + T&9'")
um programa "%"&,5A,5 ',9!,('C9 que entra em seu computador
na forma de carto virtual, lbum de fotos, protetor de tela, jogo etc.,
B72 B7",+9 D)75"+9 ()9A " (7" "759&'#">@9L)2 %"&) *M
+'C&5'&2 A"(2 %9& 5&8( "6& %9&5"( + )9A7,')">@9 +9 (7
)9A%75"+9& %"&" B7 * %9((" (& ',C"+'+9.


Prof
a

Por definio, o Cavalo de Troia distingue-se de um vrus ou
de um !orm por NO ',!)5"& 975&9( "&B7'C9(2 NEM
%&9%"4"& )S%'"( + (' A(A9 "759A"5')"A,5.
O tro)ans ficaram famosos na Internet pela facilidade de uso, e por
permitirem a qualquer pessoa possuir o controle de um outro computador
apenas com o envio de um arquivo.
Os tro)ans atuais so divididos em duas partes, que so: o servidor e o
cliente. Normalmente, o (&C'+9& encontra-se oculto em algum outro
arquivo e, no momento em que o arquivo executado, o servidor se instala
e se oculta no computador da vtima. Nesse momento, o computador j
pode ser acessado pelo )*',5, que enviar informaes para o servidor
executar certas operaes no computador da vtima.

O cavalo de troia n(o 5 um v6rus, pois n(o se duplica e n(o se
dissemina como os v6rus/ Na maioria das vezes, ele ir instalar
programas para possibilitar que um invasor tenha controle total sobre um
computador. Estes programas podem permitir que o invasor:
veja e copie ou destrua todos os arquivos armazenados no
computador;
faa a instalao de ke*loggers ou screenloggers (descubra todas as
senhas digitadas pelo usurio);
realize o furto de senhas e outras informaes sensveis, como
nmeros de cartes de crdito;
faa a incluso de backdoors, para permitir que um atacante tenha
total controle sobre o computador;
formate o disco rgido do computador, etc.

Exemplos comuns de Cavalos de Troia so programas que voc recebe ou
obtm de algum site e que parecem ser apenas cartes virtuais animados,
lbuns de fotos de alguma celebridade, jogos, protetores de tela, entre
outros. Enquanto esto sendo executados, estes programas podem ao
mesmo tempo enviar dados confidenciais para outro computador, instalar
backdoors, alterar informaes, apagar arquivos ou formatar o disco rgido.


Prof
a

F'47&"/ UA (%"A )9,5,+9 7A A"*Q"& +9 5'%9 )"C"*9 + 5&9'"/ O
7(78&'9 (&8 ',!)5"+9 ( )*')"& ,9 *',V D)75"& 9 ",D9/
H diferentes tipos de trojans, classificados de acordo com as aes maliciosas
que costumam executar ao infectar um computador. Alguns desses tipos
apontados por Certbr (2012) so:
T&9H", D9Q,*9"+&: instala outros cdigos maliciosos, obtidos de sites
na Internet.
T&9H", D&9%%&: instala outros cdigos maliciosos, embutidos no
prprio cdigo do trojan.
T&9H", B")V+99&: inclui backdoors, possibilitando o acesso remoto do
atacante ao computador.
T&9H", D9S: instala ferramentas de negao de servio e as utiliza para
desferir ataques.
T&9H", D(5&75'C9: altera/apaga arquivos e diretrios, formata o disco
rgido e pode deixar o computador fora de operao.
T&9H", C*')V&: redireciona a navegao do usurio para sites
especficos, com o objetivo de aumentar a quantidade de acessos a estes
sites ou apresentar propagandas.
T&9H", P&9D]: instala um servidor de proxy, possibilitando que o
computador seja utilizado para navegao annima e para envio de
spam.


Prof
a

T&9H", S%]: instala programas spyware e os utiliza para coletar
informaes sensveis, como senhas e nmeros de carto de crdito, e
envi-las ao atacante.
T&9H", B",V&: coleta dados bancrios do usurio, atravs da
instalao de programas spyware que so ativados nos acessos aos sites
de Internet Banking. similar ao Trojan Spy, porm com objetivos mais
especficos.

I,5&&9A%A9( "B7' " ,9((" "7*" +A9,(5&"5'C" (96& )9,)'59(
68(')9( + (47&",>" +" ',!9&A">@9/ N" A7*" . +(5 )7&(92 +"&A9(
)9,5',7'+"+ " (( "((7,592 +(5")",+9 A"'( =+')"( B7,5(= (96& 9
5A" %"&" " (7" %&9C"L



Prof
a

A %"&5'& +(5 A9A,59 C"A9( &C'("& "*47,( %9,59( IMPORTANTES +"
"7*" %9& ',5&AJ+'9 + B7"+&9( (',S5')9(2 A"%"( A,5"'( 97 )9*9)">@9
+ 5S%')9( %"*"C&"(X)M"C2 9 B7 5&A9( A 59+"( "( "7*"( +((
)7&(9/

Princpios bsicos da segurana da informao:
P&',)E%'9 68(')9 C9,)'59 O6H5'C9
C9,!'+,)'"*'+"+
Propriedade de que a
informao no esteja
disponvel ou revelada
a indivduos,
entidades ou
processos no
autorizados.
Proteger contra o acesso
no autorizado, mesmo
para dados em trnsito.
I,54&'+"+
Propriedade de
salvaguarda da
exatido e completeza
de ativos.
Proteger informao
contra modificao sem
permisso; garantir a
fidedignidade das
informaes.
D'(%9,'6'*'+"+
Propriedade de estar
acessvel e utilizvel
sob demanda por uma
entidade autorizada.
Proteger contra
indisponibilidade dos
servios (ou
degradao); garantir
aos usurios com
autorizao, o acesso aos
dados.
!alares (combinao de malicious softare 7 programa malicioso)N
Programas que executam deliberadamente aes mal-intencionadas em um
computador, como vrus, !orms, bots, cavalos de troia, sp*!are,
ke*logger, screenlogger.


Prof
a

F9,5N M"%"( Q7(5?(2 $0.1/
A)((9 &A959N Ingresso, por
meio de uma rede, aos dados de
um computador fisicamente
distante da mquina do usurio.
DNS (D9A"', N"A S](5A
S'(5A" + N9A( +
D9AE,'9)N Possibilita a
associao de nomes amigveis
(nomes de domnio) aos
endereos IPs dos computadores,
permitindo localiz-los por seus
nomes em vez de por seus
endereos IPs e vice-versa.
^one"pot& um recurso
computacional de segurana
dedicado a ser sondado, atacado
ou comprometido.
PM'(M',4 ou ()"AN Tipo de
fraude eletrnica projetada para
roubar informaes particulares
que sejam valiosas para cometer
um roubo ou fraude
posteriormente.
PM"&A',4: Ataque que consiste
em corromper o DNS em uma
rede de computadores, fazendo
com que a URL de um site passe
a apontar para o IP de um
servidor diferente do original.
S,'!!&: Ferramenta capaz de
interceptar e registrar o trfego
de dados em uma rede de
computadores.
I7*,&"6'*'+"+N Fragilidade
que poderia ser explorada por
uma ameaa para concretizar um
ataque. Ex.: notebook sem as
atualizaes de segurana do
sistema operacional.

M7'59 6A2 "%S( 5&A9( C'(59 9( )9,)'59( %&'A9&+'"'( + (47&",>"
%"&" " %&9C"2 C"A9( R( B7(5?( LL
+esta aula comentarei algumas quest,es de outros
temas tambm relacionados - matria de
segurana, ento pode acontecer de introduzirmos
algum conceito diretamente nas quest,es, por
motivos did&ticos.


Prof
a

QUESTES DE PROIAS COMENTADAS

1. (FGI/SEFAZXMS/A,"*'(5" + T),9*94'" +" I,!9&A">@9/$00:) No
que diz respeito segurana, um programa permite a monitorao e
registra a passagem de dados entre as interfaces de rede instaladas no
computador. Os dados coletados so usados para obteno de detalhes
teis para soluo de problemas em rede, quando usado com boas
intenes pelo administrador do sistema, ou para ataques ao sistema,
quando usado pelo cracker para obter nomes/senhas e outros detalhes teis
para espionagem. Para sistemas Linux, os softwares mais conhecidos desse
programa so tcpdump e ethereal. Esse programa conhecido por:

(A) Hoax.
(B) Strobe.
(C) Sniffer.
(D) NetBus.
(E) Backdoor.

C9A,58&'9(
Por padro, os computadores (pertencentes mesma rede) escutam e
respondem somente pacotes endereados a eles. Entretanto, possvel utilizar
um software que coloca a interface num estado chamado de modo
prom6scuo. Nessa condio o computador pode monitorar e capturar os dados
trafegados atravs da rede, no importando o seu destino legtimo.
O( %&94&"A"( &(%9,(8C'( %9& )"%57&"& 9( %")95( + &+ (@9
)M"A"+9( + Sniffers, 8are'adores ou ainda Capturadores de 9acote.
Eles exploram o fato do trfego dos pacotes das aplicaes TCP/IP no utilizar
nenhum tipo de cifragem nos dados. Dessa maneira um sniffer atua na rede
farejando pacotes na tentativa de encontrar certas informaes, como nomes
de usurios, senhas ou qualquer outra informao transmitida que no esteja
criptografada.
A dificuldade no uso de um sniffer que o atacante precisa instalar o programa
em algum ponto estratgico da rede, como entre duas mquinas, (com o
trfego entre elas passando pela mquina com o farejador) ou em uma rede
local com a interface de rede em modo promscuo.
S,'!!',4 5&
9 %&9)((9 + )"%57&" +"( ',!9&A">?( +" &+ %9& A'9 + 7A
(9!5Q"& + ()75" + &+ -con+ecido como sniffer, fare'ador ou
ainda capturador de pacote22 capaz de interpretar as informaes
transmitidas no meio fsico.


Prof
a

G"6"&'59N *5&" C/

2. (FCC/TREXCE/A,"*'(5" O7+')'8&'9/A,8*'( + S'(5A"(/$0.$) Em
relao segurana da informao, considere:
I. Capacidade do sistema de permitir que alguns usurios acessem
determinadas informaes, enquanto impede que outros, no autorizados,
sequer as consultem.
II. Informao exposta, sob risco de manuseio (alteraes no aprovadas e
fora do controle do proprietrio da informao) por pessoa no autorizada.
III. O sistema deve ter condies de verificar a identidade dos usurios, e
este ter condies de analisar a identidade do sistema.

Os itens I, II e III, associam-se, direta e respectivamente, aos princpios de
a) confidencialidade, integridade e autenticidade.
b) autenticidade, confidencialidade e irretratabilidade.
c) confidencialidade, confidencialidade e irretratabilidade.
d) autenticidade, confidencialidade e autenticidade.
e) integridade, confidencialidade e integridade.



Prof
a

C9A,58&'9(
Vamos caracterizao dos princpios destacados na questo:
Item I. C9,!'+,)'"*'+"+ (('4'*9)N a garantia de que a informao no
ser conhecida por quem no deve. O acesso s informaes deve ser
limitado, ou seja, somente as pessoas explicitamente autorizadas podem
acess-las.
Item II. I,54&'+"+N esse princpio destaca que a informao deve ser
mantida na condio em que foi liberada pelo seu proprietrio, garantindo a
sua proteo CONTRA MUDANAS INTENCIONAIS, INDEVIDAS OU
ACIDENTAIS. Em outras palavras, a garantia de que a informao que foi
armazenada a que ser recuperada!!! O fato de se ter a informao exposta,
com alteraes no aprovadas e fora do controle do proprietrio da informao
por pessoa no autorizada est relacionada a esse princpio.
Item III. A75,5')'+"+N a capacidade de garantir a IDENTIDADE de uma
pessoa (fsica ou jurdica) que acessa as informaes do sistema ou de um
servidor (computador) com quem se estabelece uma transao (de
comunicao, como um email, ou comercial, como uma venda online). \ %9&
A'9 +" "75,5')">@9 B7 ( )9,!'&A" " '+,5'+"+ +" %((9" 97
,5'+"+ B7 %&(5" 97 ")((" "( ',!9&A">?(/
G"6"&'59N *5&" A/

3. (CESPE/$0.1/TRTX.0RO/A,"*'(5") As caractersticas bsicas da
segurana da informao - confidencialidade, integridade e disponibilidade
- no so atributos exclusivos dos sistemas computacionais.

C9A,58&'9(
Essas caractersticas (tambm conhecidas como atributos ou princpios)
atuam sobre quaisquer ativos de segurana da informao, que o que a
segurana da informao quer proteger, como servidores, estaes de
trabalho, sistemas computacionais, etc.
G"6"&'59N '5A )9&&59/

4. (FCC/$0.1/DPEXSP/A4,5 + D!,(9&'"/A,"*'(5" + S'(5A"( /
S47&",>" +" I,!9&A">@9) Um computador ou sistema computacional
dito seguro se este atender a trs requisitos bsicos relacionados aos
recursos que o compem. Alguns exemplos de violaes a cada um desses
requisitos so:


Prof
a

I. O seu provedor sofre uma grande sobrecarga de dados ou um ataque de
negao de servio e por este motivo voc fica impossibilitado de enviar sua
Declarao de Imposto de Renda Receita Federal.

II. Algum obtm acesso no autorizado ao seu computador e l todas as
informaes contidas na sua Declarao de Imposto de Renda.

III. Algum obtm acesso no autorizado ao seu computador e altera
informaes da sua Declarao de Imposto de Renda, momentos antes de voc
envi-la Receita Federal.

A associao correta do requisito de segurana com os exemplos de violao
est expressa, respectivamente, em:
") I II III
privacidade integridade exclusividade
6) I II III
exclusividade privacidade acessibilidade
)) I II III
confidencialidade exclusividade disponibilidade
+) I II III
disponibilidade confidencialidade integridade
) I II III
acessibilidade exclusividade privacidade

C9A,58&'9(
RB7'('59 EDA%*9( + C'9*">@9
I. D'(%9,'6'*'+"+ O seu provedor sofre uma grande sobrecarga
de dados ou um ataque de negao de servio
e por este motivo voc fica 'A%9(('6'*'5"+9
de enviar sua Declarao de Imposto de Renda
Receita Federal. O)9&& B76&" +
+'(%9,'6'*'+"+, pois o site ficou indisponvel
no instante em que deveria estar sendo
acessado pelo usurio. N(( A9A,59
M97C 7A )9A%&9A5'A,59 +"
+'(%9,'6'*'+"+ +9 (&C'>9 B7 !9&,)
")((9 R ',!9&A">@9 +(H"+"L



Prof
a

II. C9,!'+,)'"*'+"+
O)9&& B76&" + ('4'*9 ((4&+9) quando
algum obtm acesso no autorizado ao seu
computador e *W todas as informaes contidas
na sua Declarao de Imposto de Renda (A "
(7" "759&'#">@9. N(( A9A,59 "
)9,!'+,)'"*'+"+ +" ',!9&A">@9 !9'
)9A%&9A5'+"/
III. I,54&'+"+
O)9&& B76&" + ',54&'+"+ quando
algum obtm acesso no autorizado ao seu
computador e "*5&" 9 )9,5K+9 +
+9)7A,59(, como as informaes da sua
Declarao de Imposto de Renda, momentos
antes de voc envi-la Receita Federal.
N(( A9A,59 M97C 7A
)9A%&9A5'A,59 +" ',54&'+"+ +9
+9)7A,59 %9& 7A" !9,5 ,@9 "759&'#"+"/
G"6"&'59N *5&" D/
5. (FCC/TRTXMS/A,"*'(5" S'(5A"(/$00:) Segundo a NBR ISO/IEC
17799:2001, o conceito de segurana da informao caracterizado pela
preservao de:
I.que a garantia de que a informao acessvel somente por pessoas
autorizadas a terem acesso;
II.que a salvaguarda da exatido e completeza da informao e dos
mtodos de processamento;
III.que a garantia de que os usurios autorizados obtenham acesso
informao e aos ativos correspondentes, sempre que necessrio.
Preencham correta e respectivamente as lacunas I, II e III:
(a)disponibilidade - integridade - confidencialidade
(b)confidencialidade - integridade - disponibilidade
(c)integridade - confidencialidade - disponibilidade
(d)confidencialidade - disponibilidade - integridade
(e) disponibilidade - confidencialidade - integridade



Prof
a

C9A,58&'9(
A49&" !')97 6A !8)'*LL Mais uma vez, em outras palavras, para
memorizar e gabaritar a prova !
Item I. Est relacionando o princpio da )9,!'+,)'"*'+"+ (ou ('4'*9)2 que
ir prevenir o acesso no autorizado informao.
Item II. A ',54&'+"+ ir prevenir a alterao ou modificao no autorizada
(acidental ou no) da informao e de todo o ambiente que suporta a
informao. Observe que h vrias maneiras de se alterar uma mensagem:
modificar uma parte, inserir texto novo, reordenar a mensagem, retransmisso
de mensagem antiga etc.
A integridade pode ser comprometida de duas maneiras:
"*5&">@9 A"*')'9("N quando um atacante altera a mensagem armazenada
ou em trnsito. No caso da alterao maliciosa, a maior preocupao, em
geral, detectar ataques ativos (alterao de dados) muito mais do que
corrigir a modificao. Quando um ataque detectado, deve-se parar o
ataque e depois retransmitir a mensagem;
"*5&">@9 ")'+,5"*N pode acontecer, por exemplo, por erros de
transmisso ou corrupo de dados armazenados. Em relao alterao
acidental, muitos protocolos de transmisso incluem cdigos de deteco
e/ou correo de erros, isto , parte da mensagem destina-se a detectar se
esta foi alterada (deteco de erro) e, em alguma medida, corrigir os erros.
Item III. Est relacionado +'(%9,'6'*'+"+, que permite acesso autorizado
informao sempre que necessrio!

Para a ABNT NBR ISO/IEC .<<FFN$00; (renumerada para ABNT NBR
ISO/IEC $<00$), " (47&",>" +" ',!9&A">@9 )9,('(5 ," %&(&C">@9
+9( %&',)E%'9( 68(')9( +" )9,!'+,)'"*'+"+2 +" ',54&'+"+ +"
+'(%9,'6'*'+"+ +" ',!9&A">@9:
C9,!'+,)'"*'+"+N o acesso informao deve ser obtido apenas por
pessoas autorizadas;
I,54&'+"+N as informaes em trnsito ou em um sistema de
computador somente podem ser modificadas pelas partes autorizadas;
D'(%9,'6'*'+"+N as informaes podem ser acessadas pelas pessoas
autorizadas sempre que for necessrio.
G"6"&'59N *5&" B/


Prof
a

6. (FCC/TRTX$3_ R4'@9/A,"*'(5" O7+')'8&'9/T),9*94'" +"
I,!9&A">@9/$0../A+"%5"+") Considere:
I. Garantia de que o acesso informao seja obtido somente por pessoas
autorizadas.
II. Salvaguarda da exatido e completeza da informao e dos mtodos de
processamento.
III. Garantia de que os usurios autorizados obtenham acesso informao e
aos ativos correspondentes sempre que necessrio.
Na ISO/IEC 17799 (renomeada para 27002), I, II e III correspondem,
respectivamente, a
a) disponibilidade, integridade e confiabilidade.
b) confiabilidade, integridade e distributividade.
c) confidencialidade, integridade e disponibilidade.
d) confidencialidade, confiabilidade e disponibilidade.
e) integridade, confiabilidade e disponibilidade.

C9A,58&'9(
Bem, pessoal, se pararam para analisar, essa questo idntica de 2006.
Recapitulando temos:
P&',)E%'9 68(')9 C9,)'59 O6H5'C9
C9,!'+,)'"*'+"+
Trata-se da preveno
do vazamento da
informao para
usurios ou sistemas
que no esto
autorizados a ter
acesso a tal
informao.
Proteger contra o acesso no
autorizado, mesmo para
dados em trnsito.
I,54&'+"+
Propriedade de
salvaguarda da
exatido e completeza
de ativos.
Proteger informao contra
modificao sem permisso;
garantir a fidedignidade das
informaes.



Prof
a

D'(%9,'6'*'+"+
Trata-se da
manuteno da
disponibilizao da
informao, ou seja, a
informao precisa
estar disponvel
quando se necessita.
Proteger contra
indisponibilidade dos servios
(ou degradao); garantir aos
usurios com autorizao, o
acesso aos dados.
G"6"&'59N *5&" C/

7. (FGI/$00F/ICMSXRO/F'()"* + R,+"() No Brasil, a NBR ISO17799
(renumerada para NBR ISO 27002) constitui um padro de recomendaes
para prticas na gesto de Segurana da Informao. De acordo com o
estabelecido nesse padro, trs termos assumem papel de importncia
capital: confidencialidade, integridade e disponibilidade.

Nesse contexto, a confidencialidade tem por objetivo:
(A) salvaguardar a exatido e a inteireza das informaes e mtodos de
processamento.
(B) salvaguardar os dados gravados no backup por meio de software que
utilize assinatura digital.
(C) permitir que os usurios tenham acesso aos arquivos de backup e aos
mtodos de criptografia empregados.
(D) permitir que os usurios autorizados tenham acesso s informaes e
aos ativos associados, quando necessrio.
(E) garantir que as informaes sejam acessveis apenas para aqueles que
estejam autorizados a acess-las.

C9A,58&'9(
A segurana da informao busca preservar os princpios relacionados na
questo, muito cobrados em provas, que so: a confidencialidade, a
integridade, a disponibilidade. Comumente referenciados como CID, vamos
descrio de cada um deles:
C9,!'+,)'"*'+"+ (('4'*9)N garante que as informaes sejam acessveis
apenas para aqueles que esto autorizados a acess-las. a garantia de
que a informao no ser conhecida por quem no deve. O acesso s


Prof
a

informaes deve ser limitado, ou seja, somente as pessoas explicitamente
autorizadas podem acess-las.
I,54&'+"+N tem como objetivo salvaguardar a exatido e a inteireza das
informaes e mtodos de processamento. Esse princpio destaca que a
informao deve ser mantida na condio em que foi liberada pelo seu
proprietrio, garantindo a sua proteo contra mudanas intencionais,
indevidas ou acidentais. Em outras palavras, a garantia de que a
informao que foi armazenada a que ser recuperada!!!
D'(%9,'6'*'+"+: a garantia de que a informao deve estar disponvel,
sempre que seus usurios (pessoas e empresas autorizadas) necessitarem,
no importando o motivo.
G"6"&'59N *5&" E/

8. (FCC/$0.$/TRTX.._/R4'@9/P&9C"( + A,"*'(5" O7+')'8&'9 TJ),')9
O7+')'8&'9) Quando o cliente de um banco acessa sua conta corrente
atravs da internet, comum que tenha que digitar a senha em um teclado
virtual, cujas teclas mudam de lugar a cada caractere fornecido. Esse
procedimento de segurana visa evitar ataques de
(A) spywares e adwares.
(B) keyloggers e adwares.
(C) screenloggers e adwares.
(D) phishing e pharming.
(E) keyloggers e screenloggers.

C9A,58&'9(
O teclado virtual uma forma de preveno contra os programas maliciosos
(malwares) V]*944&( (capazes de capturar e armazenar as teclas digitadas
pelo usurio no teclado de um
computador) e ()&,*944&( (que
tentam coletar dados vindos da tela do
computador). Portanto, a letra E a
resposta da questo!
G"6"&'59N *5&" E/



Prof
a

9. (FUNRIO/$00F/A,"*'(5" + S47&9 S9)'"* S&C'>9 S9)'"*) Das
sentenas abaixo, relativas segurana de computadores e sistemas,
I. Um dos principais objetivos da criptografia impedir a invaso de redes.
II. O certificado digital um arquivo eletrnico que contm dados de uma
pessoa ou instituio, utilizados para comprovar sua identidade.
III. Um antivrus capaz de impedir que um hacker tente explorar alguma
vulnerabilidade existente em um computador.
IV. Vrus, ke*loggers, !orms e cavalos de troia so alguns dos exemplos de
$al!are.
Esto corretas:
A) I, II e III, apenas.
B) I e IV, apenas.
C) II e IV, apenas.
D) III e IV, apenas.
E) I, II, III e IV.

C9A,58&'9(
Item I. A C&'%594&"!'" a cincia e arte de escrever mensagens em forma
cifrada ou em cdigo. Os mtodos de criptografia atuais so seguros e
eficientes e baseiam-se no uso de uma ou mais chaves. A chave uma
sequncia de caracteres, que pode conter letras, dgitos e smbolos (como uma
senha), e que convertida em um nmero, utilizado pelos mtodos de
criptografia para codificar e decodificar mensagens.
Atualmente, os mtodos criptogrficos podem ser subdivididos em duas
grandes categorias, de acordo com o tipo de chave utilizada: a criptografia de
chave nica e a criptografia de chave pblica e privada.
A )&'%594&"!'" + )M"C K,')" utiliza a MESMA chave tanto para codificar
quanto para decodificar mensagens.
A )&'%594&"!'" + )M"C( %K6*')" %&'C"+" utiliza DUAS chaves
distintas, uma para codificar e outra para decodificar mensagens. Neste
mtodo cada pessoa ou entidade mantm duas chaves: uma pblica, que
pode ser divulgada livremente, e outra privada, que deve ser mantida em
segredo pelo seu dono. As mensagens codificadas com a chave pblica s
podem ser decodificadas com a chave privada correspondente.


Prof
a

Cabe destacar que a principal finalidade da criptografia , sem dvida,
reescrever uma mensagem original de uma forma que seja incompreensvel,
para que ela no seja lida por pessoas no autorizadas. E isso no suficiente
para impedir a invaso de redes. Item FALSO.
Item II. O )&5'!')"+9 +'4'5"* uma credencial eletrnica, no-palpvel
gerada por uma Autoridade Certificadora (AC), que vincula a pessoa fsica ou
jurdica a um par de chaves sendo uma pblica e outra privada (ou secreta). O
certificado fica armazenado em dispositivos de segurana, como por ex.:
.oken ou %mart /ard, ilustrados na figura seguinte.
.oken
%mart /ard
F'47&"/ I*7(5&">@9 + +'(%9('5'C9( + (47&",>"
Quanto aos objetivos do certificado digital podemos destacar:
transferir a credibilidade que hoje baseada em papel e conhecimento para
o ambiente eletrnico;
C',)7*"& 7A" )M"C %K6*')" " 7A 5'57*"& (eis o objetivo principal). O
certificado digital precisa ser emitido por uma autoridade reconhecida pelas
partes interessadas na transao, conforme visto na prxima figura.
Chamamos essa autoridade de A759&'+"+ C&5'!')"+9&", ou AC.

F'47&"/ IE,)7*9 +" )M"C %K6*')" "9 5'57*"&


Prof
a

assinar digitalmente um documento eletrnico atribuindo validade jurdica,
integridade, autoria e no-repdio.
Um certificado contm:

Item IERDADEIRO.
A seguir, irei explicar primeiramente o item IV, em seguida, passamos aos
comentrios do item III, para uma melhor compreenso.

Item IV. !alare um termo proveniente de !alicious
Softare, software designado a se infiltrar em um sistema
de computador alheio de forma ilcita com o intuito de
causar algum dano ou roubo de informaes. Tambm
pode ser considerado mal!are uma aplicao legal que por
uma falha de programao (intencional ou no) execute
funes que se enquadrem na definio.
Resumindo, malare (@9 %&94&"A"( B7 D)75"A +*'6&"+"A,5
">?( A"*X',5,)'9,"+"( A 7A )9A%75"+9&!!
Os tipos de mal!are destacados na questo# vrus, !orms, cavalos de troia,
ke*logger, esto descritos a seguir.
IE&7(: so pequenos cdigos de programao maliciosos que se "agregam
a arquivos e so transmitidos com eles. Quando o arquivo aberto na


Prof
a

memria RAM, o vrus tambm , e, a partir da se propaga infectando, isto
, inserindo cpias de si mesmo e se tornando parte de outros programas e
arquivos de um computador. O vrus depende da execuo do programa ou
arquivo hospedeiro para que possa se tornar ativo e dar continuidade ao
processo de infeco. Alguns vrus so inofensivos, outros, porm, podem
danificar um sistema operacional e os programas de um computador.
,orms: programas parecidos com vrus, mas que na verdade
so capazes de se propagarem automaticamente atravs de
redes, enviando cpias de si mesmo de computador para
computador (observe que os !orms apenas se copiam, no
infectam outros arquivos, eles mesmos so os arquivos!!). Alm disso,
geralmente utilizam as redes de comunicao para infectar outros
computadores (via emails, Web, FTP, redes das empresas, etc.).
Diferentemente do vrus, o !orm no embute cpias de si mesmo em
outros programas ou arquivos e no necessita ser explicitamente executado
para se propagar. Sua propagao se d atravs da explorao de
vulnerabilidades existentes ou falhas na configurao de softwares
instalados em computadores.
3ro'an +orse ()"C"*9 + 5&9'"): um programa aparentemente
inofensivo que entra em seu computador na forma de carto virtual, lbum
de fotos, protetor de tela, jogo, etc., e que, quando executado (com a sua
autorizao!), parece lhe divertir, mas, por trs abre portas de comunicao
do seu computador para que ele possa ser invadido.
:e"logger: um tipo de mal!are que capaz de capturar e armazenar as
teclas digitadas pelo usurio no teclado de um computador. Dentre as
informaes capturadas podem estar o texto de um email, dados digitados
na declarao de Imposto de Renda e outras informaes sensveis, como
senhas bancrias e nmeros de cartes de crdito. Em muitos casos, a
ativao do ke*logger condicionada a uma ao prvia do usurio, como
por exemplo, aps o acesso a um site especfico de comrcio eletrnico ou
Internet Banking. Normalmente, o ke*logger contm mecanismos que
permitem o envio automtico das informaes capturadas para terceiros
(por exemplo, atravs de emails).
Item IERDADEIRO.
Item III. Os antivrus procuram detectar e, ento, anular ou remover cdigos
maliciosos do computador (vrus, vermes (!orms), cavalos de troia, etc). Exs:
McAfee Internet Security, Norton Internet Security, Panda Internet Security,
Kaspersky Internet Security, Antivir Personal, AVG Antivrus, etc. Ao contrrio
do que afirma a questo, 9 ",5'CE&7( ,@9 'A%+ B7 7A "5")",5
D%*9& "*47A" C7*,&"6'*'+"+ (!&"4'*'+"+2 %9,59 !&")9) D'(5,5 ,9
)9A%75"+9&/ Item FALSO.
G"6"&'59N *5&" C/


Prof
a

10. (FCC/$0.1/TRT X .0_ R4'@9 (GO)/TJ),')9 O7+')'8&'9/T),9*94'"
+" I,!9&A">@9) Em relao aos tipos de mal!are mencionados abaixo,
correto afirmar:
") 0ootkit um programa que dispe de mecanismos de comunicao com
o invasor que permitem que ele seja controlado remotamente. Possui
processo de infeco e propagao similar ao do !orm, ou seja, capaz de
se propagar automaticamente, explorando vulnerabilidades existentes em
programas instalados em computadores.
6) 1ackdoor um programa projetado para monitorar as atividades de um
sistema e enviar as informaes coletadas para terceiros. Pode ser usado
tanto de forma legtima quanto maliciosa, dependendo de como instalado,
das aes realizadas, do tipo de informao monitorada e do uso que feito
por quem recebe as informaes coletadas.
)) %p*!are um programa que permite o retorno de um invasor a um
computador comprometido, por meio da incluso de servios criados ou
modificados para este fim. Pode ser includo pela ao de outros cdigos
maliciosos, que tenham previamente infectado o computador, ou por
atacantes que exploram vulnerabilidades existentes nos programas
instalados para invadi- lo.
+) 1ot um conjunto de programas e tcnicas que permite esconder e
assegurar a presena de um invasor ou de outro cdigo malicioso em um
computador comprometido. Apesar de ainda serem bastante usados por
atacantes, os bots atualmente tm sido tambm utilizados e incorporados
por outros cdigos maliciosos para ficarem ocultos e no serem detectados
pelo usurio e nem por mecanismos de proteo.
) .ro)an ou tro)anhorse, um programa que, alm de executar as
funes para as quais foi aparentemente projetado, tambm executa outras
funes, normalmente maliciosas, e sem o conhecimento do usurio. Estes
programas geralmente consistem de um nico arquivo e necessitam ser
explicitamente executados para que sejam instalados no computador.

C9A,58&'9(
Item A. Item errado. De modo similar ao worm, o 695 o programa capaz de
se propagar automaticamente, explorando vulnerabilidades existentes ou
falhas na configurao de software instalado em um computador.
Adicionalmente ao worm, dispe de mecanismos de comunicao com o
invasor, permitindo que seja controlado remotamente. Os bots esperam por
comandos de um hacker, podendo manipular os sistemas infectados, sem o
conhecimento do usurio.


Prof
a

Item B. Item errado. B")V+99& um programa que permite o retorno de um
invasor a um computador comprometido, por meio da incluso de servios
criados ou modificados para este fim. Pode ser includo pela ao de outros
cdigos maliciosos, que tenham previamente infectado o computador, ou por
atacantes que exploram vulnerabilidades existentes nos programas instalados
para invadi- lo.
Item C. Item errado. S%]Q"& um programa projetado para monitorar as
atividades de um sistema e enviar as informaes coletadas para terceiros.
Pode ser usado tanto de forma legtima quanto maliciosa, dependendo de
como instalado, das aes realizadas, do tipo de informao monitorada e do
uso que feito por quem recebe as informaes coletadas.
Item D. Item errado. R995V'5 uma forma de malware cuja principal inteno
se camuflar, para assegurar a sua presena no computador comprometido,
impedindo que seu cdigo seja encontrado por qualquer antivrus. Isto
possvel por que esta aplicao tem a capacidade de interceptar as solicitaes
feitas ao sistema operacional, podendo alterar o seu resultado. O invasor, aps
instalar o rootkit, ter acesso privilegiado ao computador previamente
comprometido, sem precisar recorrer novamente aos mtodos utilizados na
realizao da invaso, e suas atividades sero escondidas do responsvel e/ou
dos usurios do computador. Assim, permite esconder e assegurar a presena
de um invasor ou de outro cdigo malicioso em um computador comprometido.
Item E. Item correto. T&9H", 97 5&9H", M9&( so programas que entram no
sistema escondidos atrs de ouros programas. O usurio recebe o programa
imaginando que este designado para uma determinada funo, mas na
realidade ele carrega outras instrues maliciosas. Muitas vezes o cavalo de
troia abre uma brecha no sistema para que o autor invada a mquina ou envie
informaes privadas do usurio.
G"6"&'59N *5&" E/

11. (FCC/$0../TREXTO/A,"*'(5" O7+')'8&'9 O7+')'8&'") Uma das
formas de proteger o sigilo da informao que trafega na Internet :

a) no fazer os do!nloads em notebooks.

b) no responder emails que chegam "com cpia oculta".

c) mandar emails somente a pessoas da lista pessoal.

d) no usar a opo "com cpia para" do correio eletrnico.
e) a criptografia



Prof
a

C9A,58&'9(
Ao enviar informaes sigilosas via internet deve-se utilizar de um sistema que
faa a codificao (chave, cifra), de modo que somente as mquinas que
conhecem o cdigo consigam decifr-lo. a criptografia, portanto, a medida de
segurana a ser adotada para resguardar o sigilo da informao que trafega
pela Internet.
G"6"&'59N *5&" E/

12. (FGI/$0.1/MPEXMS/ANALISTA (INFORMTICA) Em relao
Segurana na Internet, assinale a afirmativa correta.
(A) Envio de SPAM no considerado incidente de segurana pelo Cert.br
(B) Para preservar a privacidade dos atacados, CSIRTs no disponibilizam
estatsticas dos incidentes tratados.
(C) Ataques de phishing no podem ser detectados via hone*pots.
(D) Se as senhas forem mudadas frequentemente pelo usurio, o tamanho
delas passa a ser irrelevante em termos de segurana.
(E) Os incidentes de segurana nas redes brasileiras devem ser reportados
ao Cert.br, que mantido pelo NIC.br.

C9A,58&'9(
Item A. Item errado. Cert.br (Centro de Estudos, Resposta e Tratamento de
Incidentes de Segurana no Brasil) destaca um ',)'+,5 + (47&",>"
como B7"*B7& C,59 "+C&(92 )9,!'&A"+9 97 (96 (7(%'5"2
&*")'9,"+9 " (47&",>" + ('(5A"( + )9A%75">@9 97 + &+( +
)9A%75"+9&(. Exemplos de incidentes: tentativa de uso ou acesso no
autorizado a sistemas ou dados, tentativa de tornar servios indisponveis,
desrespeito poltica de segurana (envio de spam, etc.).
Item B. Item errado, j que o Cert.br mantm estatsticas sobre notificaes
de incidentes a ele reportados. Cabe destacar que essas notificaes so
voluntrias e refletem os incidentes ocorridos em redes que espontaneamente
os notificaram ao Cert.br. Vide exemplo de uma dessas estatsticas a seguir:


Prof
a

Fonte: http://www.cert.br/stats/incidentes/
Item C. Item errado. Um M9,]%95 J 7A &)7&(9 )9A%75")'9,"* +
(47&",>"2 +C'+"A,5 A9,'59&"+92 B7 J ++')"+9 " (& (9,+"+92
"5")"+9 97 )9A%&9A5'+9 %9+ (& 7("+9 %"&" 9 (57+9 + (%"A2
"5"B7 + %M'(M',4, dentre outros.
Item D. Item errado. O tamanho da senha sempre muito importante!!
Q7",59 A"'( *9,4" !9& " (,M" A"'( +'!E)'* (&8 %"&" " (7" +()96&5".
Apesar de senhas longas parecerem, a princpio, difceis de serem digitadas,
com o uso frequente elas acabam sendo digitadas facilmente.
Item E. Item correto. Os incidentes de segurana nas redes brasileiras devem
ser reportados ao Centro de Estudos, Resposta e Tratamento de Incidentes de
Segurana no Brasil (Cert.br), mantido pelo Ncleo de Informao e
Coordenao do Ponto BR (NIC.br).
G"6"&'59N *5&" E/

13. (FGI/$00</F'()"* + R,+"(/ICMSXRO) As afirmativas a seguir
apresentam vulnerabilidades relacionadas ao uso de sistemas de
informao, exceo de uma. Assinale-a.
(A) acesso no-autorizado a banco de dados
(B) instalao no-autorizada de softwares


Prof
a

(C) falhas de fire!all que protegem as redes
(D) destruio autorizada de hardware e dados
(E) ataques vindos do ambiente externo

C9A,58&'9(
Uma C7*,&"6'*'+"+ 7A" !&"4'*'+"+ (!"*M") B72 "9 (& D%*9&"+"
%&A'5 7A" ">@9 ',+(H"+" ,9 "A6',5 )9A%75")'9,"*, quer seja um
sistema operacional, um aplicativo ou uma rede de uma empresa.
Dentre as alternativas da questo, somente a letra D no considerada uma
vulnerabilidade, j que a destruio do hardware e dos dados foi autorizada
pelos gestores responsveis pelo equipamento. Isso ocorre por exemplo
quando se permite destruir um equipamento obsoleto.
O acesso no autorizado a banco de dados consiste numa vulnerabilidade, pois
abre possibilidade para pessoas no autorizadas danificarem o banco ou
utilizarem os dados que ali esto para fins indevidos.
A vulnerabilidade de uma falha no firewall consiste na abertura de
possibilidade de prejuzos diversos rede e recursos de informao, como, por
exemplo, a falta de proteo da rede para entrada de vrus.
A instalao no autorizada de softwares pode comprometer a configurao de
sistemas, a execuo de outros softwares e pode possibilitar a instalao de
softwares sem licenas.
Por fim, ataques vindos do ambiente externo so uma forma de
vulnerabilidade que qualquer sistema possui, pois qualquer sistema, por mais
seguro que seja, no 100% seguro. Ataques maliciosos de pessoas de fora
podem sempre acontecer e constituem uma vulnerabilidade para os sistemas.
G"6"&'59N *5&" D/

14. (FGI/$00F/MEC/G&,5 + S47&",>") Com relao Gesto da
Segurana da Informao, dois itens podem ser visualizados na janela do
bro!ser, o que significa que as informaes transmitidas entre o bro!ser e
o site visitado esto sendo criptografadas e so visualizados por uma sigla
no endereo do site e pela existncia de um cadeado, que apresenta uma
determinada caracterstica.


Prof
a

A sigla e a caracterstica so:
(A) https://, e "cadeado aberto na barra de status, na parte inferior da
janela do bro!ser
(B) https://, e "cadeado fechado na barra de status, na parte inferior da
janela do bro!ser.
(C) wwws://, e "cadeado fechado na barra de status, na parte superior da
janela do bro!ser.
(D) http://, e "cadeado fechado na barra de segurana, na parte superior
da janela do bro!ser.
(E) wwws//, e "cadeado aberto na barra de segurana, na parte superior

C9A,58&'9(
Existem pelo menos dois itens que podem ser visualizados na janela do seu
bro!ser, e que significam que as informaes transmitidas entre o bro!ser e o
site visitado esto sendo )&'%594&"!"+"(:
1.

O primeiro pode ser visualizado no local em que o endereo do site
digitado. O endereo deve comear com M55%(N// (diferente do http://
nas conexes normais), onde o ( antes do sinal de dois-pontos indica
que o endereo em questo de um site com conexo segura e,
portanto, os dados sero criptografados antes de serem enviados. A
Figura 1 apresenta o primeiro item, indicando uma conexo segura,
observado nos bro!sers 2irefo' e 3nternet 4'plorer, respectivamente.

F'47&" ./ M55%( X '+,5'!')",+9 ('5 )9A )9,D@9 (47&"
(CERTBR2 $00:)
Alguns bro!sers podem incluir outros sinais na barra de digitao do
endereo do site, que indicam que a conexo segura. No 2irefo', por
exemplo, o local em que o endereo do site digitado muda de cor,
ficando amarelo, e apresenta um cadeado fechado do lado direito.
2.

O segundo item a ser visualizado corresponde a algum desenho ou sinal,
indicando que a conexo segura. Normalmente, o desenho mais
adotado nos bro!sers recentes de um ")"+"+9 !)M"+9",


Prof
a

apresentado na barra de status, na parte inferior da janela do bro!ser
(se o cadeado estiver aberto, a conexo no segura).
A Figura 2 apresenta desenhos dos cadeados fechados, indicando
conexes seguras, que podem ser observados nas barras de status nos
bro!sers 2irefo' e 3nternet 4'plorer, respectivamente.

Figura 2. C"+"+9 identificando site com conexo segura (CERTBR, 2006).

Ao clicar sobre o cadeado, ser exibida uma tela que permite verificar as
informaes referentes ao )&5'!')"+9 emitido para a instituio que mantm
o site, bem como informaes sobre o tamanho da chave utilizada para
criptografar os dados.
muito importante que voc verifique se a chave utilizada para criptografar as
informaes a serem transmitidas entre seu bro!ser e o site de no mnimo
128 bits. Chaves menores podem comprometer a segurana dos dados a
serem transmitidos.
Outro fator muito importante que a verificao das informaes do
certificado deve ser feita clicando nica e exclusivamente no cadeado exibido
na barra status do bro!ser. Atacantes podem tentar forjar certificados,
incluindo o desenho de um cadeado fechado no contedo da pgina. A figura 3
ilustra esta situao no bro!ser 2irefo'.

F'47&" 1/ C"+"+9 !9&H"+9 (CERTBR2 $00:)/
Compare as barras de status do bro!ser 2irefo' nas Figuras 2 e 3. Observe
que na Figura 3 ,@9 apresentado um cadeado fechado dentro da barra de
status, indicando que a conexo ,@9 segura.
\ D5&A"A,5 'A%9&5",5 B7 9 7(78&'9 C&'!'B7 "*47A"(
',!9&A">?( )9,5'+"( ,9 )&5'!')"+9. Um exemplo de um certificado,
emitido para um site de uma instituio mostrado a seguir.


Prof
a

O usurio deve, ento, verificar se o certificado foi emitido para o site da
instituio que ele deseja acessar. As seguintes informaes devem ser
checadas:

o endereo do site;

o nome da instituio (dona do certificado);

o prazo de validade do certificado.
Alguns exemplos tpicos do uso de certificados digitais so:

quando voc acessa um site com conexo segura, como por exemplo o
acesso a sua conta bancria pela Internet, possvel checar se o site
apresentado realmente da instituio que diz ser, atravs da
verificao de seu certificado digital;

quando voc consulta seu banco pela Internet, este tem que se
assegurar de sua identidade antes de fornecer informaes sobre a
conta;

quando voc envia um email importante, seu aplicativo de email pode
utilizar seu certificado para assinar "digitalmente" a mensagem, de modo
a assegurar ao destinatrio que o email seu e que no foi adulterado
entre o envio e o recebimento.
G"6"&'59N *5&" B/

15. (FGI/$0.0/SEFAZXRO/F'()"* + R,+"() A assinatura digital visa
dar garantia de integridade e autenticidade a arquivos eletrnicos,
comprova que a mensagem ou arquivo no foi alterado e que foi assinado
pela entidade ou pessoa que possui a chave privada e o certificado digital
correspondente, utilizados na assinatura.


Prof
a

A assinatura digital emprega chaves criptogrficas definidas como um
conjunto de bits baseado em um determinado algoritmo capaz de cifrar e
decifrar informaes que, para isso, utiliza chaves simtricas ou chaves
assimtricas. A esse respeito, analise as afirmativas a seguir.
I. Chaves simtricas so simples e nelas o emissor e o receptor utilizam a
mesma chave para cifrar e decifrar uma informao, acarretando riscos
menores, diminuindo consideravelmente as possibilidades de extravio ou
fraudes. por esta razo que chaves pblicas so utilizadas em assinaturas
digitais.
II. Chaves assimtricas funcionam com duas chaves: a chave privada e a
chave pblica. Nesse esquema, uma pessoa ou uma organizao deve
utilizar uma chave de codificao e disponibiliz-la a quem for mandar
informaes a ela. Essa a chave pblica. Uma outra chave deve ser usada
pelo receptor da informao para o processo de decodificao: a chave
privada, que sigilosa e individual. As chaves so geradas de forma
conjunta, portanto, uma est associada outra.
III. A assinatura digital funciona da seguinte forma: necessrio que o
emissor tenha um documento eletrnico e a chave pblica do destinatrio.
Por meio de algoritmos apropriados, o documento ento cifrado de acordo
com esta chave pblica. O receptor usar ento sua chave privada
correspondente para decifrar o documento. Se qualquer bit deste for
alterado, a assinatura ser deformada, invalidando o arquivo.

Assinale:
a) se somente a afirmativa I estiver correta.
b) se somente as afirmativas I e II estiverem corretas.
c) se somente as afirmativas I e III estiverem corretas.
d) se somente as afirmativas II e III estiverem corretas.
e) se todas as afirmativas estiverem corretas.

C9A,58&'9(
Vamos relembrar os conceitos de chaves simtricas e assimtricas antes de
resolver a questo.



Prof
a

CM"C S'AJ5&')"
N" )&'%594&"!'" ('AJ5&')" (97 + )M"C K,')") 5",59 9 A'((9& B7",59 9
&)%59& +" A,("4A +CA )9,M)& " )M"C 75'*'#"+"LL AA69(
!"#A 7(9 +" MESMA )M"C2 '(59 J2 7A" `NICA )M"C J 7("+" ,"
)9+'!')">@9 ," +)9+'!')">@9 +" ',!9&A">@9/
A figura seguinte ilustra o processo de criptografia baseada em uma nica
chave, ou seja, a chave que cifra uma mensagem utilizada para
posteriormente decifr-la.

As principais C",5"4,( dos "*49&'5A9( ('AJ5&')9( so:
rapidez: um polinmio simtrico encripta um texto longo em milsimos de
segundos;
chaves pequenas: uma chave de criptografia de 128 bits torna um
algoritmo simtrico praticamente impossvel de ser quebrado.
A maior +(C",5"4A da criptografia simtrica que a chave utilizada para
encriptar IGUAL chave que decripta. Quando um grande nmero de
pessoas tem conhecimento da chave, a informao deixa de ser um segredo.
O uso de chaves simtricas tambm faz com que sua utilizao no seja
adequada em situaes em que a informao muito valiosa. Para comear,


Prof
a

necessrio usar uma grande quantidade de chaves caso muitas pessoas
estejam envolvidas. Ainda, h o fato de que tanto o emissor quanto o receptor
precisam conhecer a chave usada.
A transmisso dessa chave de um para o outro pode no ser to segura e cair
em "mos erradas", fazendo com que a chave possa ser interceptada e/ou
alterada em trnsito por um inimigo.
Existem vrios algoritmos que 7("A )M"C( ('AJ5&')"(, como o DES (Data
Encryption Standard), o IDEA (International Data Encryption Algorithm), e o
RC (Ron's Code ou Rivest Cipher).

C&'%594&"!'" + CM"C ASS'AJ5&')" (5"A6JA )M"A"+" + )&'%594&"!'"
+ )M"C %K6*')")
Os algoritmos de )&'%594&"!'" "(('AJ5&')" ()&'%594&"!'" + )M"C %K6*')")
utilizam DUAS chaves DIFERENTES, uma P`BLICA (que pode ser
distribuda) e uma PRIIADA (pessoal e intransfervel). Assim, nesse mtodo
cada pessoa ou entidade mantm duas chaves: uma pblica, que pode ser
divulgada livremente, e outra privada, que deve ser mantida em segredo pelo
seu dono.
As mensagens codificadas com a chave pblica s podem ser decodificadas
com a chave privada correspondente.
Do ponto de vista do custo computacional, 9( ('(5A"( ('AJ5&')9(
"%&(,5"A A*M9& +(A%,M9 B7 9( ('(5A"( "(('AJ5&')9(, e isso j
foi cobrado em provas vrias vezes!

A figura seguinte ilustra o princpio da criptografia utilizando chave assimtrica.
Tambm conhecida como ")M"C %K6*')"", a tcnica de )&'%594&"!'" %9&
)M"C "(('AJ5&')" trabalha com DUAS )M"C(: 7A" +,9A',"+" %&'C"+"
975&" +,9A',"+" %K6*')". Nesse mtodo, uma pessoa deve criar uma
chave de codificao e envi-la a quem for mandar informaes a ela. Essa a
chave pblica. Outra chave deve ser criada para a decodificao. Esta - a
chave privada - secreta.


Prof
a

Para entender melhor, imagine o seguinte: o USURIO-A criou uma chave
pblica e a enviou a vrios outros sites. Quando qualquer desses sites quiser
enviar uma informao criptografada ao USURIO-A dever utilizar a chave
pblica deste. Quando o USURIO-A receber a informao, apenas ser
possvel extra-la com o uso da chave privada, que s o USURIO-A tem. Caso
o USURIO-A queira enviar uma informao criptografada a outro site, dever
conhecer sua chave pblica.
Entre os "*49&'5A9( B7 7("A )M"C( "(('AJ5&')"( tm-se o RSA (o mais
conhecido), o Diffie-Hellman, o DSA (Digital Signature Algorithm), o Schnorr
(praticamente usado apenas em assinaturas digitais) e D'!!'X^**A",.

F'47&"/ M"%" A,5"* &*")'9,"+9 R C&'%594&"!'" ASS'AJ5&')"


Prof
a

Voltando questo, o item I est errado porque afirma que os riscos so
menores ao se utilizar chaves simtricas, o que no verdade. Como existe
apenas uma chave, ela dever ser conhecida por todos os destinatrios,
aumentando o risco de extravio ou fraudes.
G"6"&'59N *5&" D/

CONSIDERAES FINAIS
Bem, por hoje s!!!

Desejo um excelente curso a todos. F9&>"LL AC",5LLL Tenham a certeza
e a convico de que qualquer esforo feito nessa fase ser devidamente
compensado. Em outras palavras, esforce-se, mantenha-se focado e
determinado, pois, certamente, valer pena!
Para aqueles que venham a se matricular no curso, ainda teremos o
frum para troca de informaes e/ou esclarecimento de dvidas que
porventura surgirem. Crticas e/ou sugestes so bem-vindas!
F'B7A )9A D7(2 "5J " ,9((" %&SD'A" "7*" "B7' ,9 P9,59 +9(
C9,)7&(9(LL
P&9!
"
P"5&E)'" L'A" Q7',5@9
(03/../$0.1)



Prof
a

BIBLIOGRAFIA
QUINTO, PATRCIA LIMA/ N95"( + "7*" +" +'()'%*'," S47&",>" +"
I,!9&A">@9. 2013.
QUINTO, PATRCIA LIMA. I,!9&A85')"XFCCXQ7(5?( C9A,5"+"(
O&4",'#"+"( %9& A((7,59, 3. Edio. Ed. Gen/Mtodo, 2013 (N9C9L S&8
*'6&"+9 ,9 !',"* + ,9CA6&9/$0.1).
ABNT NBR ISO/IEC 27002:2005 - Tecnologia da Informao - Tcnicas de
Segurana - Cdigo de Prtica para a Gesto de Segurana da Informao
(antiga 17799:2005).
CERTBR. C"&5'*M" + S47&",>" %"&" I,5&,5. Verso 4.0. Disponvel em:
<http://cartilha.cert.br/livro/cartilha-seguranca-internet.pdf>. 2012.
ALBUQUERQUE, R.; RIBEIRO, B. S47&",>" ,9 D(,C9*C'A,59 +
S9!5Q"&. Rio de Janeiro: Campus, 2002.
M"%"( Q7(5?(. Disponvel em: <http://www.mapasequestoes.com.br>.
2012.
NAKAMURA, E. T., GEUS, P.L. S47&",>" + R+( A AA6',5(
C99%&"5'C9(. Ed. Novatec. 2007.
RAMOS, A.; BASTOS, A.; LAYRA, A. G7'" O!')'"* %"&" F9&A">@9 +
G(59&( A S47&",>" +" I,!9&A">@9. 1. ed. Rio Grande do Sul: ZOUK.
2006.
STALLINGS, W., C&'%594&"!'" S47&",>" + R+(N P&',)E%'9(
P&85')"(., 4. ed. So Paulo: Pearson Prentice-Hall, 2008.
SCHNEIER, B., A%%*'+ C&]%594&"%M]N P&959)9*(2 A*49&'5MA( ",+ S97&)
C9+ ', C. 2. ed. John Wiley & Sons, 1996.
MENEZES, A.; VAN OORSCHOT, P. C.; VANSTONE, S. A., ^",+699V 9!
A%%*'+ C&]%594&"%M]. CRC Press, 1996.
MAUSER, D; Digenes, y. C&5'!')">@9 S)7&'5] a - 2 edio. 2013.


Prof
a

ACOMPAN^E A EIOLUO DO SEU APROIEITAMENTO
D"5" Nb
B7(5?(
A)&59( c
")&59
D"5" Nb
B7(5?(
A)&59( c
")&59
15 15
D"5" Nb
B7(5?(
A)&59( c
")&59
D"5" Nb
B7(5?(
A)&59( c
")&59
15 15
D"5" Nb
B7(5?(
A)&59( c
")&59
D"5" Nb
B7(5?(
A)&59( c
")&59
15 15
D"5" Nb
B7(5?(
A)&59( c
")&59
D"5" Nb
B7(5?(
A)&59( c
")&59
15 15
D"5" Nb
B7(5?(
A)&59( c
")&59
D"5" Nb
B7(5?(
A)&59( c
")&59
15 15



Prof
a

LISTA DAS QUESTES APRESENTADAS NA AULA

1. (FGI/SEFAZXMS/A,"*'(5" + T),9*94'" +" I,!9&A">@9/$00:) No
que diz respeito segurana, um programa permite a monitorao e
registra a passagem de dados entre as interfaces de rede instaladas no
computador. Os dados coletados so usados para obteno de detalhes
teis para soluo de problemas em rede, quando usado com boas
intenes pelo administrador do sistema, ou para ataques ao sistema,
quando usado pelo cracker para obter nomes/senhas e outros detalhes teis
para espionagem. Para sistemas Linux, os softwares mais conhecidos desse
programa so tcpdump e ethereal. Esse programa conhecido por:

(A) Hoax.
(B) Strobe.
(C) Sniffer.
(D) NetBus.
(E) Backdoor.

2. (FCC/TREXCE/A,"*'(5" O7+')'8&'9/A,8*'( + S'(5A"(/$0.$) Em
relao segurana da informao, considere:
I. Capacidade do sistema de permitir que alguns usurios acessem
determinadas informaes, enquanto impede que outros, no autorizados,
sequer as consultem.
II. Informao exposta, sob risco de manuseio (alteraes no aprovadas e
fora do controle do proprietrio da informao) por pessoa no autorizada.
III. O sistema deve ter condies de verificar a identidade dos usurios, e
este ter condies de analisar a identidade do sistema.

Os itens I, II e III, associam-se, direta e respectivamente, aos princpios de
a) confidencialidade, integridade e autenticidade.
b) autenticidade, confidencialidade e irretratabilidade.
c) confidencialidade, confidencialidade e irretratabilidade.
d) autenticidade, confidencialidade e autenticidade.
e) integridade, confidencialidade e integridade.



Prof
a

3. (CESPE/$0.1/TRTX.0RO/A,"*'(5") As caractersticas bsicas da
segurana da informao - confidencialidade, integridade e disponibilidade
- no so atributos exclusivos dos sistemas computacionais.

4. (FCC/$0.1/DPEXSP/A4,5 + D!,(9&'"/A,"*'(5" + S'(5A"( /
S47&",>" +" I,!9&A">@9) Um computador ou sistema computacional
dito seguro se este atender a trs requisitos bsicos relacionados aos
recursos que o compem. Alguns exemplos de violaes a cada um desses
requisitos so:

I. O seu provedor sofre uma grande sobrecarga de dados ou um ataque de
negao de servio e por este motivo voc fica impossibilitado de enviar sua
Declarao de Imposto de Renda Receita Federal.

II. Algum obtm acesso no autorizado ao seu computador e l todas as
informaes contidas na sua Declarao de Imposto de Renda.

III. Algum obtm acesso no autorizado ao seu computador e altera
informaes da sua Declarao de Imposto de Renda, momentos antes de voc
envi-la Receita Federal.

A associao correta do requisito de segurana com os exemplos de violao
est expressa, respectivamente, em:
") I II III
privacidade integridade exclusividade
6) I II III
exclusividade privacidade acessibilidade
)) I II III
confidencialidade exclusividade disponibilidade
+) I II III
disponibilidade confidencialidade integridade
) I II III
acessibilidade exclusividade privacidade

5. (FCC/TRTXMS/A,"*'(5" S'(5A"(/$00:) Segundo a NBR ISO/IEC
17799:2001, o conceito de segurana da informao caracterizado pela
preservao de:
I.que a garantia de que a informao acessvel somente por pessoas
autorizadas a terem acesso;


Prof
a

II.que a salvaguarda da exatido e completeza da informao e dos
mtodos de processamento;
III.que a garantia de que os usurios autorizados obtenham acesso
informao e aos ativos correspondentes, sempre que necessrio.
Preencham correta e respectivamente as lacunas I, II e III:
(a)disponibilidade - integridade - confidencialidade
(b)confidencialidade - integridade - disponibilidade
(c)integridade - confidencialidade - disponibilidade
(d)confidencialidade - disponibilidade - integridade
(e) disponibilidade - confidencialidade - integridade
6. (FCC/TRTX$3_ R4'@9/A,"*'(5" O7+')'8&'9/T),9*94'" +"
I,!9&A">@9/$0../A+"%5"+") Considere:
I. Garantia de que o acesso informao seja obtido somente por pessoas
autorizadas.
II. Salvaguarda da exatido e completeza da informao e dos mtodos de
processamento.
III. Garantia de que os usurios autorizados obtenham acesso informao e
aos ativos correspondentes sempre que necessrio.
Na ISO/IEC 17799 (renomeada para 27002), I, II e III correspondem,
respectivamente, a
a) disponibilidade, integridade e confiabilidade.
b) confiabilidade, integridade e distributividade.
c) confidencialidade, integridade e disponibilidade.
d) confidencialidade, confiabilidade e disponibilidade.
e) integridade, confiabilidade e disponibilidade.

7. (FGI/$00F/ICMSXRO/F'()"* + R,+"() No Brasil, a NBR ISO17799
(renumerada para NBR ISO 27002) constitui um padro de recomendaes
para prticas na gesto de Segurana da Informao. De acordo com o
estabelecido nesse padro, trs termos assumem papel de importncia
capital: confidencialidade, integridade e disponibilidade.


Prof
a

Nesse contexto, a confidencialidade tem por objetivo:
(A) salvaguardar a exatido e a inteireza das informaes e mtodos de
processamento.
(B) salvaguardar os dados gravados no backup por meio de software que
utilize assinatura digital.
(C) permitir que os usurios tenham acesso aos arquivos de backup e aos
mtodos de criptografia empregados.
(D) permitir que os usurios autorizados tenham acesso s informaes e
aos ativos associados, quando necessrio.
(E) garantir que as informaes sejam acessveis apenas para aqueles que
estejam autorizados a acess-las.
8. (FCC/$0.$/TRTX.._/R4'@9/P&9C"( + A,"*'(5" O7+')'8&'9 TJ),')9
O7+')'8&'9) Quando o cliente de um banco acessa sua conta corrente
atravs da internet, comum que tenha que digitar a senha em um teclado
virtual, cujas teclas mudam de lugar a cada caractere fornecido. Esse
procedimento de segurana visa evitar ataques de
(A) spywares e adwares.
(B) keyloggers e adwares.
(C) screenloggers e adwares.
(D) phishing e pharming.
(E) keyloggers e screenloggers.

9. (FUNRIO/$00F/A,"*'(5" + S47&9 S9)'"* S&C'>9 S9)'"*) Das
sentenas abaixo, relativas segurana de computadores e sistemas,
I. Um dos principais objetivos da criptografia impedir a invaso de redes.
II. O certificado digital um arquivo eletrnico que contm dados de uma
pessoa ou instituio, utilizados para comprovar sua identidade.
III. Um antivrus capaz de impedir que um hacker tente explorar alguma
vulnerabilidade existente em um computador.
IV. Vrus, ke*loggers, !orms e cavalos de troia so alguns dos exemplos de
$al!are.
Esto corretas:


Prof
a

A) I, II e III, apenas.
B) I e IV, apenas.
C) II e IV, apenas.
D) III e IV, apenas.
E) I, II, III e IV.

10. (FCC/$0.1/TRT X .0_ R4'@9 (GO)/TJ),')9 O7+')'8&'9/T),9*94'"
+" I,!9&A">@9) Em relao aos tipos de mal!are mencionados abaixo,
correto afirmar:
") 0ootkit um programa que dispe de mecanismos de comunicao com
o invasor que permitem que ele seja controlado remotamente. Possui
processo de infeco e propagao similar ao do !orm, ou seja, capaz de
se propagar automaticamente, explorando vulnerabilidades existentes em
programas instalados em computadores.
6) 1ackdoor um programa projetado para monitorar as atividades de um
sistema e enviar as informaes coletadas para terceiros. Pode ser usado
tanto de forma legtima quanto maliciosa, dependendo de como instalado,
das aes realizadas, do tipo de informao monitorada e do uso que feito
por quem recebe as informaes coletadas.
)) %p*!are um programa que permite o retorno de um invasor a um
computador comprometido, por meio da incluso de servios criados ou
modificados para este fim. Pode ser includo pela ao de outros cdigos
maliciosos, que tenham previamente infectado o computador, ou por
atacantes que exploram vulnerabilidades existentes nos programas
instalados para invadi- lo.
+) 1ot um conjunto de programas e tcnicas que permite esconder e
assegurar a presena de um invasor ou de outro cdigo malicioso em um
computador comprometido. Apesar de ainda serem bastante usados por
atacantes, os bots atualmente tm sido tambm utilizados e incorporados
por outros cdigos maliciosos para ficarem ocultos e no serem detectados
pelo usurio e nem por mecanismos de proteo.
) .ro)an ou tro)anhorse, um programa que, alm de executar as
funes para as quais foi aparentemente projetado, tambm executa outras
funes, normalmente maliciosas, e sem o conhecimento do usurio. Estes
programas geralmente consistem de um nico arquivo e necessitam ser
explicitamente executados para que sejam instalados no computador.



Prof
a

11. (FCC/$0../TREXTO/A,"*'(5" O7+')'8&'9 O7+')'8&'") Uma das
formas de proteger o sigilo da informao que trafega na Internet :

a) no fazer os do!nloads em notebooks.

b) no responder emails que chegam "com cpia oculta".

c) mandar emails somente a pessoas da lista pessoal.

d) no usar a opo "com cpia para" do correio eletrnico.
e) a criptografia

12. (FGI/$0.1/MPEXMS/ANALISTA (INFORMTICA) Em relao
Segurana na Internet, assinale a afirmativa correta.
(A) Envio de SPAM no considerado incidente de segurana pelo Cert.br
(B) Para preservar a privacidade dos atacados, CSIRTs no disponibilizam
estatsticas dos incidentes tratados.
(C) Ataques de phishing no podem ser detectados via hone*pots.
(D) Se as senhas forem mudadas frequentemente pelo usurio, o tamanho
delas passa a ser irrelevante em termos de segurana.
(E) Os incidentes de segurana nas redes brasileiras devem ser reportados
ao Cert.br, que mantido pelo NIC.br.

13. (FGI/$00</F'()"* + R,+"(/ICMSXRO) As afirmativas a seguir
apresentam vulnerabilidades relacionadas ao uso de sistemas de
informao, exceo de uma. Assinale-a.
(A) acesso no-autorizado a banco de dados
(B) instalao no-autorizada de softwares
(C) falhas de fire!all que protegem as redes
(D) destruio autorizada de hardware e dados
(E) ataques vindos do ambiente externo

14. (FGI/$00F/MEC/G&,5 + S47&",>") Com relao Gesto da
Segurana da Informao, dois itens podem ser visualizados na janela do
bro!ser, o que significa que as informaes transmitidas entre o bro!ser e


Prof
a

o site visitado esto sendo criptografadas e so visualizados por uma sigla
no endereo do site e pela existncia de um cadeado, que apresenta uma
determinada caracterstica.
A sigla e a caracterstica so:
(A) https://, e "cadeado aberto na barra de status, na parte inferior da
janela do bro!ser
(B) https://, e "cadeado fechado na barra de status, na parte inferior da
janela do bro!ser.
(C) wwws://, e "cadeado fechado na barra de status, na parte superior da
janela do bro!ser.
(D) http://, e "cadeado fechado na barra de segurana, na parte superior
(E) wwws//, e "cadeado aberto na barra de segurana, na parte superior

15. (FGI/$0.0/SEFAZXRO/F'()"* + R,+"() A assinatura digital visa
dar garantia de integridade e autenticidade a arquivos eletrnicos,
comprova que a mensagem ou arquivo no foi alterado e que foi assinado
pela entidade ou pessoa que possui a chave privada e o certificado digital
correspondente, utilizados na assinatura.
A assinatura digital emprega chaves criptogrficas definidas como um
conjunto de bits baseado em um determinado algoritmo capaz de cifrar e
decifrar informaes que, para isso, utiliza chaves simtricas ou chaves
assimtricas. A esse respeito, analise as afirmativas a seguir.
I. Chaves simtricas so simples e nelas o emissor e o receptor utilizam a
mesma chave para cifrar e decifrar uma informao, acarretando riscos
menores, diminuindo consideravelmente as possibilidades de extravio ou
fraudes. por esta razo que chaves pblicas so utilizadas em assinaturas
digitais.
II. Chaves assimtricas funcionam com duas chaves: a chave privada e a
chave pblica. Nesse esquema, uma pessoa ou uma organizao deve
utilizar uma chave de codificao e disponibiliz-la a quem for mandar
informaes a ela. Essa a chave pblica. Uma outra chave deve ser usada
pelo receptor da informao para o processo de decodificao: a chave
privada, que sigilosa e individual. As chaves so geradas de forma
conjunta, portanto, uma est associada outra.
III. A assinatura digital funciona da seguinte forma: necessrio que o
emissor tenha um documento eletrnico e a chave pblica do destinatrio.


Prof
a

Por meio de algoritmos apropriados, o documento ento cifrado de acordo
com esta chave pblica. O receptor usar ento sua chave privada
correspondente para decifrar o documento. Se qualquer bit deste for
alterado, a assinatura ser deformada, invalidando o arquivo.
Assinale:
a) se somente a afirmativa I estiver correta.
b) se somente as afirmativas I e II estiverem corretas.
c) se somente as afirmativas I e III estiverem corretas.
d) se somente as afirmativas II e III estiverem corretas.
e) se todas as afirmativas estiverem corretas.
GABARITO
1. Letra C.
2. Letra A.
3. Item )9&&59.
4. Letra D.
5. Letra B.
6. Letra C.
7. Letra E.
8. Letra E.
9. Letra C.
10. Letra E.
11. Letra E.
12. Letra E.
13. Letra D.
14. Letra B.
15. Letra D.

Aula TI Sefaz Ms 64509

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Aula TI Sefaz Ms 64509

Enviado por

Direitos autorais:

Formatos disponíveis

TECNOLOGIA DA INFORMAO (TEORIA E EXERCCIOS)

P/FISCAL DE RENDAS E AGENTE TRIBUTRIO ESTADUAL SEFAZ/MS

TECNOLOGIA DA INFORMAO (TEORIA E EXERCCIOS)

TECNOLOGIA DA INFORMAO (TEORIA E EXERCCIOS)

TECNOLOGIA DA INFORMAO (TEORIA E EXERCCIOS)

TECNOLOGIA DA INFORMAO (TEORIA E EXERCCIOS)

TECNOLOGIA DA INFORMAO (TEORIA E EXERCCIOS)

TECNOLOGIA DA INFORMAO (TEORIA E EXERCCIOS)

TECNOLOGIA DA INFORMAO (TEORIA E EXERCCIOS)

TECNOLOGIA DA INFORMAO (TEORIA E EXERCCIOS)

TECNOLOGIA DA INFORMAO (TEORIA E EXERCCIOS)

TECNOLOGIA DA INFORMAO (TEORIA E EXERCCIOS)

TECNOLOGIA DA INFORMAO (TEORIA E EXERCCIOS)

TECNOLOGIA DA INFORMAO (TEORIA E EXERCCIOS)

TECNOLOGIA DA INFORMAO (TEORIA E EXERCCIOS)

TECNOLOGIA DA INFORMAO (TEORIA E EXERCCIOS)

TECNOLOGIA DA INFORMAO (TEORIA E EXERCCIOS)

TECNOLOGIA DA INFORMAO (TEORIA E EXERCCIOS)

TECNOLOGIA DA INFORMAO (TEORIA E EXERCCIOS)

TECNOLOGIA DA INFORMAO (TEORIA E EXERCCIOS)

TECNOLOGIA DA INFORMAO (TEORIA E EXERCCIOS)

TECNOLOGIA DA INFORMAO (TEORIA E EXERCCIOS)

TECNOLOGIA DA INFORMAO (TEORIA E EXERCCIOS)

TECNOLOGIA DA INFORMAO (TEORIA E EXERCCIOS)

TECNOLOGIA DA INFORMAO (TEORIA E EXERCCIOS)

TECNOLOGIA DA INFORMAO (TEORIA E EXERCCIOS)

TECNOLOGIA DA INFORMAO (TEORIA E EXERCCIOS)

TECNOLOGIA DA INFORMAO (TEORIA E EXERCCIOS)

TECNOLOGIA DA INFORMAO (TEORIA E EXERCCIOS)

TECNOLOGIA DA INFORMAO (TEORIA E EXERCCIOS)

TECNOLOGIA DA INFORMAO (TEORIA E EXERCCIOS)

TECNOLOGIA DA INFORMAO (TEORIA E EXERCCIOS)

TECNOLOGIA DA INFORMAO (TEORIA E EXERCCIOS)

TECNOLOGIA DA INFORMAO (TEORIA E EXERCCIOS)

TECNOLOGIA DA INFORMAO (TEORIA E EXERCCIOS)

TECNOLOGIA DA INFORMAO (TEORIA E EXERCCIOS)

TECNOLOGIA DA INFORMAO (TEORIA E EXERCCIOS)

TECNOLOGIA DA INFORMAO (TEORIA E EXERCCIOS)

TECNOLOGIA DA INFORMAO (TEORIA E EXERCCIOS)

TECNOLOGIA DA INFORMAO (TEORIA E EXERCCIOS)

TECNOLOGIA DA INFORMAO (TEORIA E EXERCCIOS)

TECNOLOGIA DA INFORMAO (TEORIA E EXERCCIOS)

TECNOLOGIA DA INFORMAO (TEORIA E EXERCCIOS)

TECNOLOGIA DA INFORMAO (TEORIA E EXERCCIOS)

TECNOLOGIA DA INFORMAO (TEORIA E EXERCCIOS)

TECNOLOGIA DA INFORMAO (TEORIA E EXERCCIOS)

TECNOLOGIA DA INFORMAO (TEORIA E EXERCCIOS)

TECNOLOGIA DA INFORMAO (TEORIA E EXERCCIOS)

TECNOLOGIA DA INFORMAO (TEORIA E EXERCCIOS)

TECNOLOGIA DA INFORMAO (TEORIA E EXERCCIOS)

TECNOLOGIA DA INFORMAO (TEORIA E EXERCCIOS)

TECNOLOGIA DA INFORMAO (TEORIA E EXERCCIOS)

TECNOLOGIA DA INFORMAO (TEORIA E EXERCCIOS)

TECNOLOGIA DA INFORMAO (TEORIA E EXERCCIOS)

TECNOLOGIA DA INFORMAO (TEORIA E EXERCCIOS)

TECNOLOGIA DA INFORMAO (TEORIA E EXERCCIOS)

TECNOLOGIA DA INFORMAO (TEORIA E EXERCCIOS)

TECNOLOGIA DA INFORMAO (TEORIA E EXERCCIOS)

TECNOLOGIA DA INFORMAO (TEORIA E EXERCCIOS)

TECNOLOGIA DA INFORMAO (TEORIA E EXERCCIOS)

TECNOLOGIA DA INFORMAO (TEORIA E EXERCCIOS)

TECNOLOGIA DA INFORMAO (TEORIA E EXERCCIOS)

TECNOLOGIA DA INFORMAO (TEORIA E EXERCCIOS)

Você também pode gostar