Segurana da Informao

Pilares e conceitos de proteo e segurana

Prof. Wagner Bugs

1.0
Contedo

Segurana da Informao..................................................................................................................2
Criptografia.........................................................................................................................................3
Firewalls (Parede de Fogo).................................................................................................................5
Atacantes ou Invasores......................................................................................................................6
Cdigos Maliciosos.............................................................................................................................7
Questes de Proteo e Segurana...................................................................................................9
Informtica para concursos - Segurana da Informao 2

SEGURANA DA INFORMAO
Introduo
A Segurana da Informao um conjunto de princpios, tcnicas, protocolos, normas e regras que visam garantir um
melhor nvel de confiabilidade. Tudo isso se tornou necessrio com a grande troca de informaes entre os computadores com as
mais variadas informaes (transaes financeiras e at uma simples conversao em salas de bate-papo) e principalmente pela
vulnerabilidade oferecida pelos sistemas.

Princpios da Segurana da Informao

Confidencialidade: a garantia de que os dados sero acessados apenas por usurios autorizados. Geralmente,
restringindo o acesso mediante o uso de um nome de usurio e senha.

Integridade: a garantia de que a mensagem no foi alterada durante a transmisso, ou seja, a garantia da exatido e
completeza da informao.

Disponibilidade: a garantia de que um sistema estar sempre disponvel a qualquer momento para solicitaes.

Autenticidade: a garantia de que os dados fornecidos so verdadeiros ou que o usurio o usurio legtimo.

No Repdio: a garantia de que uma pessoa no consiga negar um ato ou documento de sua autoria. Essa garantia
condio necessria para a validade jurdica de documentos e transaes digitais. S se pode garantir o no-repdio
quando houver Autenticidade e Integridade (ou seja, quando for possvel determinar quem mandou a mensagem e
quando for possvel garantir que a mensagem no foi alterada).

Vulnerabilidade
Vulnerabilidade definida como uma falha no projeto, implementao ou configurao de um software ou sistema
operacional que, quando explorada por um atacante, resulta na violao da segurana de um computador.
Existem casos onde um software ou sistema operacional instalado em um computador pode conter uma
vulnerabilidade que permite sua explorao remota, ou seja, atravs da rede. Portanto, um atacante conectado Internet, ao
explorar tal vulnerabilidade, pode obter acesso no autorizado ao computador vulnervel.

Senhas
A senha (password) um dos mtodos mais utilizados na Internet ou sistemas computacionais para autenticar um
usurio. Essa senha exigida para garantir que o usurio o usurio legtimo. Porm, a senha pode ser obtida por terceiros
utilizando tcnicas hacking. Estas tcnicas podem ser a utilizao de ferramentas de fora bruta (esta tcnica visa realizar
tentativas de acesso baseado em regras) ou utilizando a fragilidade de um servio ou sistema oferecido. Por esta razo, a
elaborao de uma boa senha pode minimizar ou em alguns casos anular qualquer tentativa de obteno desta senha.
As tcnicas de fora bruta utilizam regras especficas para a obteno das senhas. Elaborar uma boa e longa (mnimo de
8 caracteres) senha, mesclando letras (maisculas e minsculas), nmeros e caracteres especiais, pode retardar estas tcnicas
fora de um tempo hbil, podendo levar meses ou anos.
Evite criar senhas com palavras simples ou apenas nmeros. Mesclar letras e nmeros oferece uma leve proteo.
Alternar entre letras maisculas, minsculas e nmeros seria mais eficiente. Porm, para criar senhas com um nvel maior de
segurana devemos mesclar letras (maisculas e minsculas), nmeros e caracteres especiais. O tamanho da senha tambm
importante. Devemos criar senhas com no mnimo 8 caracteres.
Exemplo de senhas inseguras e seguras:
Inseguras: meumor16, forever, 1a2m3o4r, 123eja, aq1sw2, etc.
Seguras: ?F2eR7##u5a, #Pu63j?#fP!, etc.
Outras falhas comuns dos usurios utilizar os recursos oferecidos para a recuperao de como Pergunta Secreta entre outros
recursos. Muitos usurios cadastram perguntas como Cidade onde minha me nasceu? ou Nome da minha primeira
professora? ou ainda Meu time de futebol favorito?. Em alguns casos, o atacante nem precisar ir to longe para obter estas
informaes. Visitando sites de relacionamento como o Orkut onde estas informaes esto explicitamente exibidas. O atacante
poderia tambm obter estas informaes atravs de engenharia social.
A dica seria cadastrar uma resposta no condizente com a pergunta secreta. Por exemplo, Qual a cidade que minha me
nasceu? Resposta: Eu gosto de Lasanha.

Prof. Wagner Bugs http://www.wagnerbugs.com.br

Informtica para concursos - Segurana da Informao 3

CRIPTOGRAFIA
Criptografia a cincia ou arte de escrever mensagens em forma cifrada ou em cdigo. Basicamente, o mtodo
utilizado para alterar os caracteres originais de uma mensagem por outros caracteres, ocultando a mensagem. parte de um
campo de estudos que trata das comunicaes secretas, usadas, dentre outras finalidades, para:
Autenticar a identidade de usurios;
Autenticar e proteger o sigilo de comunicaes pessoais e de transaes comerciais e bancrias;
Proteger a integridade de transferncias eletrnicas de fundos.
Uma mensagem codificada por um mtodo de criptografia deve ser sigilosa, ou seja, somente aquele que enviou e
aquele que recebeu devem ter acesso ao contedo da mensagem. Alm disso, uma mensagem deve poder ser assinada, ou seja,
a pessoa que a recebeu deve poder verificar se o remetente mesmo a pessoa que diz ser e/ou ter a capacidade de identificar se
uma mensagem pode ter sido modificada.
Os mtodos de criptografia atuais so seguros e eficientes e baseiam-se no uso de uma ou mais chaves. A chave uma
seqncia de caracteres, que pode conter letras, dgitos e smbolos (como uma senha), e que convertida em um nmero,
utilizada pelos mtodos de criptografia para criptografar e descriptografar mensagens.

Criptografia de chave nica (simtrica)

A criptografia de chave nica utiliza a mesma chave tanto para criptografar quanto para descriptografar mensagens.
Apesar de este mtodo ser bastante eficiente em relao ao tempo de processamento, ou seja, o tempo gasto para codificar e
decodificar mensagens tem como principal desvantagem a necessidade de utilizao de um meio seguro para que a chave possa
ser compartilhada entre pessoas ou entidades que desejem trocar informaes criptografadas. Utilizada normalmente em redes
de computadores por ser mais simples a administrao.

Criptografia de chaves pblica e privada (assimtrica)

A criptografia de chaves pblica e privada utiliza duas chaves distintas, uma para codificar e outra para decodificar
mensagens.
Chave pblica: Pblica no que se refere ao grau de acesso, ou seja, todos conhecem ou tem acesso a esta chave. At
mesmo o invasor a conhece? Sim! Pois, ela utilizada apenas para criptografar mensagens
Chave privada: Privada no que se refere ao grau de acesso, ou seja, apenas o seu dono a conhece e no a divulga. Ela
utilizada para descriptografar as mensagens geradas pela sua chave pblica correspondente.
As mensagens criptografadas com a chave pblica s podem ser descriptografadas com a chave privada
correspondente.
Exemplificando passo a passo uma troca de mensagens entre Wagner e Letcia.
Situao:

1. Wagner deseja enviar uma mensagem sigilosa, ou seja, secreta, para Letcia. Sabendo que a Internet no
oferece um ambiente seguro, contrataram um servio de segurana e ganharam duas chaves para trocar informaes
pela Internet.

2. Wagner pede a chave pblica da Letcia, que pode ser enviada de qualquer maneira, pois mesmo que seja lida
por outra pessoa, no teriam problemas (a chave pblica permite apenas criptografar mensagens).

3. Aps receber a chave pbica da Letcia, Wagner escreve, criptografa utilizando a chave pblica da Letcia e
envia a mensagem pela Internet;

4. Letcia recebe a mensagem criptografada e descriptografa a mensagem utilizando sua chave privada, que
apenas de seu conhecimento;

5. Agora, se Letcia quiser responder a mensagem, dever realizar o mesmo procedimento, s que utilizando a
chave pblica do Wagner.

Certificado Digital
O certificado digital um arquivo eletrnico que contm dados de uma pessoa ou instituio, utilizados para comprovar
sua identidade.
Exemplos semelhantes a um certificado digital so o CNPJ, RG, CPF e carteira de habilitao de uma pessoa. Cada um
deles contm um conjunto de informaes que identificam a instituio ou pessoa e a autoridade (para estes exemplos, rgos
pblicos) que garante sua validade.
Algumas das principais informaes encontradas em um certificado digital so:

Prof. Wagner Bugs http://www.wagnerbugs.com.br

Informtica para concursos - Segurana da Informao 4

Para quem foi emitido (nome, nmero de identificao, estado, etc);

Por quem foi emitido (Autoridade Certificadora (AC));
O nmero de srie e o perodo de validade do certificado;
A assinatura digital da Autoridade Certificadora.
O objetivo da assinatura digital no certificado indicar que outra entidade (a Autoridade Certificadora) garanta a
veracidade das informaes nele contidas. Destaca-se o princpio da Autenticidade e Integridade.
A partir de um certificado digital podemos afirmar que o site legtimo e que seu contedo no foi alterado. Em outras
palavras, o site est livre dos perigos oferecidos pelas tcnicas Pharming e Phishing, que sero abordados mais adiante.
Veja alguns exemplos de certificados digitais:

Assinatura digital
A assinatura digital consiste na criao de um cdigo, atravs da utilizao de uma chave privada, de modo que a
pessoa ou entidade que receber uma mensagem contendo este cdigo possa verificar se o remetente mesmo quem diz ser e
identificar qualquer mensagem que possa ter sido modificada. Destaca-se o princpio da Autenticidade e Integridade.
Desta forma, utilizado o mtodo de criptografia de chaves pblica e privada, mas em um processo inverso.
Essa simples, vamos inverter as chaves no processo usando o mesmo exemplo e perceba como enviada uma
mensagem assinada.
Situao:
1. Wagner deseja enviar uma mensagem assinada, ou seja, autntica (garantir que a mensagem enviada por
ele e que no sofrer alteraes durante o envio), para Letcia. Sabendo que a Internet no oferece um ambiente seguro
e muitos podem se passar por ele, Wagner contratou um servio de segurana e ganhou duas chaves para trocar
informaes pela Internet.
2. Wagner escreve, criptografa utilizando a sua chave privada, onde ser gerado um cdigo (a assinatura digital),
e envia a mensagem pela Internet;
3. Letcia recebe a mensagem criptografada e descriptografa a mensagem utilizando a chave pblica do Wagner;

Prof. Wagner Bugs http://www.wagnerbugs.com.br

Informtica para concursos - Segurana da Informao 5

4. Neste momento ser gerado um segundo cdigo (assinatura digital), que ser comparado com o primeiro;
5. Se os dois cdigos (assinaturas digitais) forem idnticos, Letcia saber que o remetente foi realmente o
Wagner e que o contedo da mensagem no foi alterado.

importante ressaltar que a segurana do mtodo baseia-se no fato de que a chave privada conhecida apenas pelo
seu dono. Tambm importante ressaltar que o fato de assinar uma mensagem no significa gerar uma mensagem sigilosa.
Para o exemplo anterior, se Jos quisesse assinar a mensagem e ter certeza de que apenas Maria teria acesso a seu
contedo, seria preciso codific-la com a chave pblica de Maria, depois de assin-la.

FIREWALLS (PAREDE DE FOGO)

Firewall pode ser definido como uma barreira de proteo, que controla o trfego de dados entre seu computador e a
Internet (ou entre a rede onde seu computador est instalado e a Internet). Seu objetivo permitir somente a transmisso e a
recepo de dados autorizados. Existem firewalls baseados na combinao de hardware e software e firewalls baseados somente
em software. Este ltimo o tipo recomendado ao uso domstico e tambm o mais comum.
Explicando de maneira mais precisa, o firewall um mecanismo que atua como "defesa" de um computador ou de uma
rede, controlando o acesso ao sistema por meio de regras e a filtragem de dados. A vantagem do uso de firewalls em redes, que
somente um computador pode atuar como firewall, no sendo necessrio instal-lo em cada mquina conectada.
H mais de uma forma de funcionamento de um firewall, que varia de acordo com o sistema, aplicao ou do
desenvolvedor do programa. No entanto, existem dois tipos bsicos de conceitos de firewalls: o que baseado em filtragem de
pacotes e o que baseado em controle de aplicaes. Ambos no devem ser comparados para se saber qual o melhor, uma vez
que cada um trabalha para um determinado fim, fazendo que a comparao no seja aplicvel.

Filtragem de pacotes: O firewall que trabalha na filtragem de pacotes muito utilizado em redes pequenas ou de porte
mdio. Por meio de um conjunto de regras estabelecidas, esse tipo de firewall determina que endereos IPs e dados que
podem estabelecer comunicao e/ ou transmitir/ receber dados. Alguns sistemas ou servios podem ser liberados
completamente (por exemplo, o servio de e-mail da rede), enquanto outros so bloqueados por padro, por terem riscos
elevados (como softwares de mensagens instantneas, tal como o ICQ ou MSN Messenger). O grande problema desse tipo
de firewall, que as regras aplicadas podem ser muito complexas e causar perda de desempenho da rede ou no serem
eficazes o suficiente.

Firewall de aplicao: Firewalls de controle de aplicao (exemplos de aplicao: SMTP, FTP, HTTP, etc) so instalados
geralmente em computadores servidores e so conhecidos como Proxy
(Servidor Proxy consiste em um mecanismo de segurana que gerencia o trfego de dados e pode oferecer tambm controle
restrito de acesso).
O Windows XP j vem com um firewall, que apesar de no ser to completo, um bom aliado na segurana.

DoS - (Denial of Service- Negao de Servio)

Os ataques de negao de servio (DoS Denial of Service) consistem em sobrecarregar um sistema com uma
quantidade excessiva de solicitaes. Sobrecarregando o sistema, o sistema para de atender novos pedidos de solicitaes,
efetivando a ao do Atacante.
Exemplos deste tipo de ataque so:
Gerar uma grande sobrecarga no processamento de dados de um computador, de modo que o usurio no consiga utiliz-lo;
Gerar um grande trfego de dados para uma rede, ocupando toda a conexo disponvel, de modo que qualquer computador
desta rede fique indisponvel;
Tirar servios importantes de um provedor do ar, impossibilitando o acesso dos usurios a suas caixas de correio no servidor
de e-mail ou ao servidor Web.

DDoS (Distributed Denial of Service)

Constitui em um ataque de negao de servio distribudo, ou seja, um conjunto de computadores utilizado para tirar
de operao um ou mais servios ou computadores conectados Internet.
Normalmente estes ataques procuram ocupar toda a conexo disponvel para o acesso a um computador ou rede,
causando grande lentido ou at mesmo indisponibilizando qualquer comunicao com este computador ou rede.

Prof. Wagner Bugs http://www.wagnerbugs.com.br

Informtica para concursos - Segurana da Informao 6

ATACANTES OU INVASORES
Hacker
aquela pessoa com grande conhecimento computacional e na rea da segurana computacional, que possui uma
grande facilidade de anlise, assimilao, compreenso e capacidades surpreendentes de conseguir fazer o que quiser
(literalmente) com um computador. Ele sabe perfeitamente que nenhum sistema completamente livre de falhas, e sabe onde
procurar por elas, utilizando de tcnicas das mais variadas (alis, quanto mais variado, mais valioso o conhecimento do Hacker).
O termo: Hacker, originalmente, designava qualquer pessoa que fosse extremamente especializada em uma determinada rea.

Cracker
Possui tanto conhecimento quanto os Hackers, mas com a diferena de que, para eles, no basta entrar em sistemas,
quebrar senhas, e descobrir falhas. Eles precisam deixar um aviso de que estiveram l, algumas vezes destruindo partes do
sistema, e at aniquilando com tudo o que vem pela frente. Tambm so atribudos aos crackers programas que retiram travas
em softwares, bem como os que alteram suas caractersticas, adicionando ou modificando opes, muitas vezes relacionadas
pirataria.

Lammer (Novato)
Lammer aquele cara que quer aprender sobre Hackers. No tem tanto conhecimento quanto os Hackers, mas utiliza
os programas ou tcnicas Hacker sem saber exatamente o que est fazendo.

Bancker
Possui tanto conhecimento quanto os Hackers, porm dedicam seu conhecimento para atividades fraudulento bancria,
cartes de crdito e etc. Sempre visam obter informaes financeiras dos usurios.

Phisher
Semelhante aos Bancker. Visam obter informaes financeiras ou de acesso dos usurios. Utilizam diversas tcnicas
para obter essas informaes. Desde o desenvolvimento de aplicativos maliciosos (Malware), que enviam as informaes
digitadas (Keyloggers) ou clicadas (Screenloggers) pelo usurio. Algumas tcnicas dos Phishers incluem o carregamento de janelas
pop up e direcionamento sites falsos.

Spammer
Empresa ou indivduo que envia e-mail para milhares de usurios (e-mails em massa). O contedo destas mensagens
so publicidades, caracterizando o tipo de e-mail SPAM. Estas mensagens no solicitadas so enviadas para usurio onde tiveram
seus e-mails vendidos ou obtidos por intermdio de ferramentas de busca especfica de e-mails.

Defacer
Possui tanto conhecimento quanto os Hackers, utiliza seu conhecimento para invadir sites. Podem alterar as
informaes de um site ou apenas pichar o site com mensagens idealistas ou simplesmente vangloriando pelo feito.

Phreacker
especializado em telefonia. Faz parte de suas principais atividades as ligaes gratuitas (tanto local como interurbano
e internacional), reprogramao de centrais telefnicas, instalao de escutas (no aquelas colocadas em postes telefnicos, mas
imagine algo no sentido de, a cada vez que seu telefone tocar, o dele tambm o far, e ele poder ouvir sua conversa), etc. O
conhecimento de um Phreaker essencial para se buscar informaes que seriam muito teis nas mos de mal-intencionados.
Alm de permitir que um possvel ataque a um sistema tenha como ponto de partida, provedores de acessos em outros pases,
suas tcnicas permitem no somente ficar invisvel diante de um provvel rastreamento.

Prof. Wagner Bugs http://www.wagnerbugs.com.br

Informtica para concursos - Segurana da Informao 7

CDIGOS MALICIOSOS
Aplicativos Maliciosos (Malware)
Aplicativo malicioso ou Malware (Malicious Software) um termo genrico que abrange todos os tipos de programa
especificamente desenvolvidos para executar aes maliciosas em um computador.
Na literatura de segurana o termo malware tambm conhecido por software malicioso.
Alguns exemplos de malware so:
vrus;
worms e bots;
backdoors;
cavalos de tria;
keyloggers e outros programas spyware;

Cavalos de Tria
Cavalo de tria (trojan horse) um programa, normalmente recebido como um presente (por exemplo, carto virtual,
lbum de fotos, protetor de tela, jogo, etc), que alm de executar funes para as quais foi aparentemente projetado, tambm
executa outras funes normalmente maliciosas e sem o conhecimento do usurio.
Tem como funo abrir portas de acesso ao computador, desabitar ferramentas de segurana, enviar informaes
referentes ao computador do usurio como, por exemplo, endereo de IP, sistema operacional utilizado, navegador utilizado,
portas que esto sendo utilizadas e etc. Estas informaes so utilizadas pelo invasor para definir uma estratgia de invaso, pois,
sabendo os pontos fracos (vulnerabilidades) desses programas poder ser facilmente explorada pelo atacante.

Backdoors
Normalmente, um invasor procura garantir uma forma de retornar a um computador comprometido, sem precisar
recorrer aos mtodos utilizados na realizao da invaso e, claro, sem ser notado.
A esses programas que facilitam o retorno de um invasor a um computador comprometido, utilizando servios criados
ou modificados para este fim, d-se o nome de backdoor.

Adware e Spyware
Adware (Advertising software) um tipo de software especificamente projetado para apresentar propagandas, seja
atravs de um browser, seja atravs de algum outro programa instalado em um computador.
Em muitos casos, os adwares tm sido incorporados a softwares e servios, constituindo uma forma legtima de
patrocnio ou retorno financeiro para aqueles que desenvolvem software livre ou prestam servios gratuitos. Um exemplo do uso
legtimo de adwares pode ser observado no programa de troca instantnea de mensagens MSN Messenger.
Spyware, por sua vez, o termo utilizado para se referir a uma grande categoria de software que tem o objetivo de
monitorar atividades de um sistema e enviar as informaes coletadas para terceiros.
Existem adwares que tambm so considerados um tipo de spyware, pois so projetados para monitorar os hbitos do usurio
durante a navegao na Internet, direcionando as propagandas que sero apresentadas.
Os spywares, assim como os adwares, podem ser utilizados de forma legtima, mas, na maioria das vezes, so utilizados
de forma dissimulada, no autorizada e maliciosa.
Seguem algumas funcionalidades implementadas em spywares, que podem ter relao com o uso legtimo ou
malicioso:
Monitoramento de URLs acessadas enquanto o usurio navega na Internet;
Alterao da pgina inicial apresentada no browser do usurio;
Varredura dos arquivos armazenados no disco rgido do computador;
Monitoramento e captura de informaes inseridas em outros programas, como IRC ou processadores de texto;
Instalao de outros programas spyware;
Captura de senhas bancrias e nmeros de cartes de crdito;
Captura de outras senhas usadas em sites de comrcio eletrnico.
importante ter em mente que estes programas, na maioria das vezes, comprometem a privacidade do usurio e, pior,
a segurana do computador do usurio, dependendo das aes realizadas pelo spyware no computador e de quais informaes
so monitoradas e enviadas para terceiros.

Prof. Wagner Bugs http://www.wagnerbugs.com.br

Informtica para concursos - Segurana da Informao 8

Keyloggers
Keylogger um programa que duplica o que digitado pelo usurio. Um arquivo gerado e enviado para o e-mail do
invasor ou para um servidor de arquivos. O atacante procura seqncia de informaes como: Endereos de sites, nome de
usurio, senhas, identidades de acesso, RG, CPF, endereos residenciais e comerciais, nmeros de carto de crditos (com cdigo
verificador e data de validade), etc...

Screenloggers
Screenlogger um programa semelhante ao Keylogger, porm ao invs de colher informaes digitadas pelo usurio,
envia, em forma de imagem, a regio clicada pelo usurio. Essa tcnica visa obter informaes que no seriam obtidas pelos
Keyloggers, por exemplo, senhas clicadas em um teclado virtual e etc.

Worms
Worm um programa independente com capacidade de se auto-propagar atravs de redes, enviando cpias de si
mesmo de computador para computador, explorando a vulnerabilidade de programas e sistemas ou falhas na configurao de
softwares instalados.
O Worm no um vrus, pois no embute cpias de si mesmo em outros programas ou arquivos e no necessita ser
executado para se propagar.
Pode abrir portas de acesso para entrada de novos Worms.

Vrus
Vrus um programa ou parte de um programa de computador, normalmente malicioso, que se propaga infectando,
isto , inserindo cpias de si mesmo e se tornando parte de outros programas e arquivos de um computador. O vrus depende da
execuo do programa ou arquivo hospedeiro para que possa se tornar ativo e dar continuidade ao processo de infeco.
Os vrus criam cpias de si mesmo, espalhando-se pelo computador, dificultando a ao do antivrus.
Os vrus de computador podem gerar desde travamentos, lentido, perda de dados e at mesmo danificar programas e
arquivos.
Os principais tipos de vrus so:
Vrus de arquivos: infectam arquivos de programas e criados pelo usurio;

Vrus de boot: infectam os arquivos de inicializao do sistema, escondem-se no primeiro setor do disco e so carregados
na memria antes do sistema operacional.

Vrus de macro: comuns em arquivos do Word e Excel so vrus que ficam anexados ao arquivo.
Vrus criptografados: so vrus que tem seu cdigo fonte (linhas de comando) criptografadas, ou seja, os caracteres da
programao so alterados por outros caracteres. Tudo isso para dificultar sua interpretao e conseqentemente seu
antdoto.

Vrus polimrficos: destaca-se por multiplicarem-se com facilidade e para cada novo vrus gerado seu cdigo fonte
alterado.

Spam
Spam o termo usado para se referir aos e-mails no solicitados, que geralmente so enviados para um grande nmero
de pessoas. Quando o contedo exclusivamente comercial, este tipo de mensagem tambm referenciado como UCE (do
ingls Unsolicited Commercial E-mail E-mail Comercial No Solicitado).
Este e-mail contm propaganda, enganosa ou no. Podem conter vrus anexados mensagem, bem como conter links que
direcionam para arquivos maliciosos.

Boatos (Hoax)
Boatos (hoaxes) so e-mails que possuem contedos alarmantes ou falsos e que, geralmente, tm como remetente ou
apontam como autora da mensagem alguma instituio, empresa importante ou rgo governamental. Atravs de uma leitura
minuciosa deste tipo de e-mail, normalmente, possvel identificar em seu contedo mensagens absurdas e muitas vezes sem
sentido.
Dentre os diversos boatos tpicos, que chegam s caixas postais de usurios conectados Internet, podem-se citar as
correntes, pirmides, mensagens sobre pessoas que esto prestes a morrer de cncer, entre outras.
Histrias deste tipo so criadas no s para espalhar desinformao pela Internet, mas tambm para outros fins
maliciosos.

Prof. Wagner Bugs http://www.wagnerbugs.com.br

Informtica para concursos - Segurana da Informao 9

Phishing
Phishing, tambm conhecido como phishing scam, um termo criado para descrever qualquer ao maliciosa que
tenha como objetivo obter dados pessoais e financeiros do usurio.
As tcnicas Phishing do-se atravs do envio de mensagem no solicitada, se passa por comunicao de uma instituio
conhecida, como um banco, empresa ou site popular, e que procura induzir o acesso a pginas falsificadas, projetadas para furtar
dados pessoais e financeiros de usurios.
A palavra phishing (de "fishing") vem de uma analogia criada pelos fraudadores, onde "iscas" (e-mails) so usadas para
"pescar" senhas, dados pessoais e financeiros de usurios da Internet.
Atualmente, este termo vem sendo utilizado tambm para se referir aos seguintes casos:
Mensagem que procura induzir o usurio instalao de cdigos maliciosos, projetado para obter dados pessoais e
financeiros (ex: Spyware, Keyloggers);
Mensagem que, no prprio contedo, apresenta formulrios para o preenchimento e envio de dados pessoais e
financeiros de usurios.

Pharming
O Pharming uma tcnica que utiliza o seqestro ou a contaminao do DNS (Domain Name System) para levar os
usurios a um site falso, alterando o DNS do site de destino. O sistema tambm pode redirecionar os usurios para sites
autnticos atravs de proxies controlados pelos Phishers, que podem ser usados para monitorar e interceptar a digitao.
Os sites falsificados coletam nmeros de cartes de crdito, nomes de contas, senhas e nmeros de documentos. Isso
feito atravs da exibio de um Pop-up para roubar a informao antes de levar o usurio ao site real. O programa mal-
intencionado usa um certificado auto-assinado para fingir a autenticao e induzir o usurio a acreditar nele o bastante para
inserir seus dados pessoais no site falsificado.
Outra forma de enganar o usurio sobrepor a barra de endereo e status de navegador para induzi-lo a pensar que
est no site legtimo e inserir suas informaes.
Os phishers utilizam truques para instalar programas criminosos nos computadores dos consumidores e roubar
diretamente as informaes. Na maioria dos casos, o usurio no sabe que est infectado, percebendo apenas uma ligeira
reduo na velocidade do computador ou falhas de funcionamento atribudas a vulnerabilidades normais de software. Um
software de segurana uma ferramenta necessria para evitar a instalao de programas criminosos se o usurio for atingido
por um ataque.
Alguns veculos de divulgao descrevem Pharming como um tipo especfico de Phishing.

Engenharia Social
Conhecido como a arte de enganar. uma tcnica utilizada pelo atacante para obter informaes pessoais de um usurio.
Existem casos onde o atacante se passa por outra pessoa ou empresa para obter estas informaes.

QUESTES DE PROTEO E SEGURANA

(CESPE-UNB)
224. Atualmente, mensagens de correio eletrnico podem
ser utilizadas para se enviar aplicativos maliciosos que, ao
serem executados, acarretam aumento na vulnerabilidade
de um computador e das possibilidades de ataque a um
sistema. Entre esses aplicativos, encontram-se aqueles
denominados vrus de computador, que podem ser
definidos como sendo programas ou macros executveis
que, ao serem acionados, realizam atos no-solicitados e
copiam a si mesmos em outros aplicativos ou documentos.
225. Na categoria de aplicativos maliciosos (malware), um
adware um tipo de software projetado para apresentar
propagandas atravs de um browser ou de algum outro
programa instalado no computador, podendo at mesmo
carregar janelas pop up com algum tipo de propaganda.
226. O smbolo , localizado na barra de status da janela
do IE6, indica que a pgina web mostrada, ou a conexo
que est sendo realizada, do tipo segura, em que se
garante o acesso ao site, livre do perigo oferecido pelas
tcnicas pharming ou phishing.
227. Para evitar que as informaes obtidas em sua
pesquisa, ao trafegarem na rede mundial de computadores,
do servidor ao cliente, possam ser visualizadas por quem
estiver monitorando as operaes realizadas na Internet, o
usurio tem disposio diversas ferramentas cuja
eficincia varia de implementao para implementao.
Atualmente, as ferramentas que apresentam melhor
desempenho para a funcionalidade mencionada so as
denominadas Keyloggers e Screenloggers e os sistemas
ditos firewall, sendo que, para garantir tal eficincia, todas
essas ferramentas fazem uso de tcnicas de Sniffers e
Backdoors tanto no servidor quanto no cliente da aplicao
Internet.

Prof. Wagner Bugs http://www.wagnerbugs.com.br

Informtica para concursos - Segurana da Informao
228. Um vrus de computador pode ser contrado no acesso
a pginas web. Para se evitar a contaminao por vrus,
necessrio que o navegador utilizado tenha um software
antivrus instalado e ativado. Para se ativar o antivrus
disponibilizado pelo IE6, suficiente clicar o menu
Ferramentas e, em seguida, clicar a opo Ativar antivrus.
229. Atualmente, mensagens de correio eletrnico podem
ser utilizadas para se enviar aplicativos maliciosos que, ao
serem executados, acarretam aumento na vulnerabilidade
de um computador e das possibilidades de ataque a um
sistema.
230. Existem diversos procedimentos ou mecanismos para
impedir que aplicativos maliciosos anexados a uma
mensagem de correio eletrnico sejam armazenados ou
executados em um computador. Entre esses, pode-se
destacar o uso do antivrus, que, ao ser instalado em um
computador capaz de decidir ativamente qual arquivo
pode ou no ser executado, diminuindo as conseqncias
de um ataque do tipo phishing.
231. Vrus de macro infectam a rea do sistema de um
disco, ou seja, o registro de inicializao em disquetes e
discos rgidos.
232. Um vrus de computador pode ser contrado no acesso
a pginas web. Para se evitar a contaminao por vrus,
necessrio que o navegador utilizado tenha um software
antivrus instalado e ativado. Para se ativar o antivrus
disponibilizado pelo IE6, suficiente clicar o menu
Ferramentas e, em seguida, clicar a opo Ativar antivrus.
233. Considere a seguinte situao hipottica. Para que um
cliente acesse os seus dados bancrios por meio da
Internet, o Banco do Brasil, para aumentar a segurana
nesse acesso, passou a exigir o cadastramento do nmero
MAC da interface de rede do computador utilizado pelo
cliente no acesso ao stio do banco. Nessa situao,
correto concluir que, para cada provedor de acesso que o
cliente utilize para acessar o stio do banco, novo cadastro
dever ser efetuado, pois, para cada provedor, haver um
nmero MAC especfico.
234. O termo WORM usado na informtica para designar
programas que combatem tipos especficos de vrus de
computador que costumam se disseminar criando cpias de
si mesmos em outros sistemas e so transmitidos por
conexo de rede ou por anexos de e-mail.
235. A assinatura digital consiste na criao de um cdigo
de modo que a pessoa ou entidade que receber uma
mensagem contendo este cdigo possa verificar se o
remetente mesmo quem diz ser e identificar qualquer
mensagem que possa ter sido modificada.
236. O firewall o dispositivo que permite a conexo com a
Internet, uma vez que responsvel pela converso do
sinal analgico em sinal digital.
237. Trojan um programa que age utilizando o princpio
do cavalo de tria. Aps ser instalado no computador, ele
libera uma porta de comunicao para um possvel invasor.
238. O termo TCP/IP denomina o grupo de aplicativos de
computador que tem a funo de detectar e eliminar a
infeco de programas por vrus de computador.
239. Adwares so softwares maliciosos criados por
programadores de vrus.
Prof. Wagner Bugs http://www.wagnerbugs.com.br
10
240. Caso um usurio envie uma mensagem de correio
eletrnico e deseje que ela no possa ser lida por algum
que, por algum meio, a intercepte, ele deve se certificar
que nenhum processo de criptografia seja usado para
codific-la.
241. Considerando que um teste de velocidade de conexo
tenha sido realizado por meio de um computador que
tenha ativado sistema antivrus e de um firewall, se estes
sistemas fossem desativados, a velocidade de transmisso
medida poderia atingir valores maiores que o obtido no
teste mencionado.
(FCC)
242. Um firewall tradicional
a) Permite realizar filtragem de servios e impor polticas
de segurana.
b) Bem configurado em uma rede corporativa realiza a
proteo contra vrus, tornando-se desnecessria a
aquisio de ferramentas antivrus.
c) Protege a rede contra bugs e falhas nos equipamentos
decorrentes da no atualizao dos sistemas
operacionais.
d) Evita colises na rede interna e externa da empresa,
melhorando, com isto, o desempenho do ambiente
organizacional.
e) Deve ser configurado com base em regras permissivas
(todos podem fazer tudo o que no for proibido),
restringindo-se acessos apenas quando necessrio,
como melhor poltica de segurana.
243. Programa malicioso que, uma vez instalado em um
microcomputador, permite a abertura de portas,
possibilitando a obteno de informaes no
autorizadas, o:
a) Firewall.
b) Trojan Horse.
c) SPAM Killer.
d) Vrus de Macro.
e) Antivrus.
244. A respeito de assinatura e autenticao digital,
analise as ocorrncias abaixo:
I. Uso de uma de funo hash;
II. Uso da chave privada;
III. Uso da chave pblica;
IV. Envio dos dados de um usurio do sistema para outro
usurio.
Na correta seqncia temporal, estritamente de um
processo de assinatura digital tradicional (desconsiderando
a criptografia da mensagem), temos:
a) O item I somente ocorrendo aps o item II.
b) O item III somente ocorrendo aps o item II.
c) O item I somente ocorrendo aps o item IV.
d) O item I somente ocorrendo antes do item IV.
e) O item III somente ocorrendo antes do item IV.
245. Tradicionalmente realiza a proteo de mquinas de
uma rede contra os ataques (tentativas de invaso)
provindos de um ambiente externo. Trata-se de
a) Roteador. b) Antivrus. c) Password. d) Firewall. e) Hub.
Informtica para concursos - Segurana da Informao 11

246. No que diz respeito proteo e segurana em e) Mant-los atualizados com a aplicao de patches
informtica, analise as definies abaixo: especficos.
I. Procedimento para salvaguarda fsica de informaes.
II. Palavra secreta que visa a restringir o acesso a 252. Selecione a melhor forma de privacidade para dados
determinadas informaes. que estejam trafegando em uma rede:
III. Mtodo de codificao de dados que visa a garantir o a) Criptografia.
sigilo de informaes. b) Chaves de segurana e bloqueio de teclados.
Essas definies correspondem, respectivamente, a c) Emprego de sistema de senhas e autenticao de
a) Layout, criptograma e restore. acesso.
d) Mtodos de Backup e recuperao eficientes.
b) Backup, password e criptografia.
e) Desativao da rede e utilizao dos dados apenas em
c) Lookup, password e login. papel impresso.
d) Criptografia, login e backup.
253. Um conjunto de programas relacionados, alocados no
e) Backup, plugin e reprografia. servidor de uma rede de computadores, que protege os
recursos privados dessa rede contra a intruso ou acesso
247. Os vrus que normalmente so transmitidos pelos
indesejvel de usurios no autorizados um
arquivos dos aplicativos MS-Office so denominados tipo
a) Wallpaper. b) Homework. c) Scan vrus. d) Retro vrus. e)
vrus de
Firewall.
a) Macro.
b) Boot. 254. Aps instalar antivrus em uma rede,
c) E-mail. a) No necessrio proceder varredura dos arquivos
d) Setor de inicializao. das estaes se, porventura, estas adquirirem algum
e) Arquivo executvel. tipo de vrus.
b) Deve-se ativ-lo somente quando todas as estaes de
248. Uma senha se tornar frgil, ou ser fcil de ser
trabalho estiverem conectadas rede.
descoberta, caso na sua elaborao utilize
a) Um cdigo, que seja trocado regularmente. c) Deve-se manter atualizada a lista de vrus.
b) Pelo menos 8 caracteres entre letras, nmeros e d) No necessrio instalar um firewall porque o antivrus
smbolos. j possui essa funo embutida.
c) Nomes prprios ou palavras contidas em dicionrios. e) Deve-se instalar um firewall, caso contrrio o antivrus
d) Um cdigo fcil de ser lembrado. no funcionar na rede.
e) Um cdigo simples de digitar.
255. Um _____ efetivamente coloca uma barreira entre a
249. A pessoa que quebra ilegalmente a segurana dos rede corporativa e o lado externo, protegendo o
sistemas de computador ou o esquema de registro de um permetro e repelindo hackers. Ele age como um nico
software comercial denominado: ponto de entrada, atravs do qual todo o trfego que
a) Hacker. b) Scanner. c) Finger. d) Cracker. e) Sniffer. chega pela rede pode ser auditado, autorizado e
autenticado. Completa corretamente a lacuna acima:
250. Se a proteo contra vrus de macro do processador
de texto estiver assinalada com nvel de segurana alto a) Firewall.
e um documento que contenha macros no assinadas b) Antivrus.
for aberto, o software antivrus do Oficce 2000 verificar o c) Servidor Web.
documento e d) Servidor de aplicativos.
a) As macros sero desativadas automaticamente e o e) Browser.
documento aberto. 256. As ferramentas antivrus:
b) As macros sero ativadas automaticamente e o a) So recomendadas apenas para redes com mais de 100
documento aberto. estaes.
c) O usurio ser solicitado a ativar ou desativar as
macros.
b) Dependem de um firewall para funcionarem.

d) O usurio ser avisado de um possvel vrus e as macros

c) Podem ser utilizadas independente do uso de um
firewall.
sero desativadas automaticamente.
e) Nenhum aviso ser emitido e as macros sero ativadas. d) E um firewall significam a mesma coisa e tm as
mesmas funes.
251. A melhor forma de evitar que os sistemas e) Devem ser instaladas somente nos servidores de rede e
operacionais e outros softwares instalados no computador no nas estaes de trabalho.
possuam vulnerabilidades
a) Instalar somente softwares originais e legais. 257. A criao de uma DMZ (Delimitarized Zones) um
recurso para melhorar a segurana associada ao
b) Instalar programas de proteo contra vrus e outros
mecanismo de proteo denominado.
tipos de ataque.
a) Certificao digital.
c) Reinstalar os softwares, quando as vulnerabilidades b) Clusterizao.
forem detectadas. c) Antivirus.
d) Mant-los protegidos contra o acesso de pessoas no
autorizadas.
d) Firewall.
e) Conformidade.

Prof. Wagner Bugs http://www.wagnerbugs.com.br

Informtica para concursos - Segurana da Informao 12

258. Assinale a opo que, no mbito da segurana da d) Detectar um vrus ainda desconhecido.
informao, NO um exemplo de vulnerabilidade. e) Restaurar o sistema operacional a um estado antes da
a) Funcionrio desonesto. infeco.
b) Firewall mal configurado. 264. O arquivo que, anexado mensagem de correio
c) Sistema operacional desatualizado. eletrnico, oferece, se aberto, O MENOR risco de
d) Links sem contingncia. contaminao do computador por vrus :
e) Rede eltrica instvel. a) copia.exe
b) happy.doc
259. Os procedimentos a seguir so recomendados para
c) love.com
aumentar o nvel de segurana do computador, EXCETO:
d) vrus.jpg
a) No utilizar programas piratas. e) renomeia.bat
b) Manter antivrus e spyware atualizados.
265. Uma mensagem enviada de X para Y criptografada
c) Instalar programas com procedncia desconhecida.
e descriptografada, respectivamente, pelas chaves:
d) Evitar o uso de dispositivos de armazenamento de
terceiros. a) Pblica de Y (que X conhece) e privada de X.
b) Pblica de Y (que X conhece) e privada de Y.
e) Realizar periodicamente backup dos arquivos mais c) Privada de X (que Y conhece) e privada de Y.
importantes. d) Privada de X (que Y conhece) e pblica de X.
260. Para executar tarefas comuns, que no exijam e) Privada de Y (que X conhece) e pblica de X.
privilgios de administrador, uma boa prtica de 266. Sendo E (o Emissor) que envia uma mensagem
segurana no utilizar um usurio que possua tais sigilosa e criptografada, com a chave pblica, para R (o
privilgios, uma vez que: Receptor), pode-se dizer que E codifica com a chave
a) Cavalos de tria s atacam mquinas autenticadas com
a) Pblica de R e R decodifica com a chave pblica de E.
administrador do sistema.
b) Um cdigo malicioso pode ganhar os privilgios do b) Pblica de R e R decodifica com a chave privada de R.
usurio autenticado. c) Pblica de E e R decodifica com a chave privada de R.
c) Programas antivrus s podem ser atualizados por
d) Privada de E e R decodifica com a chave pblica de R.
usurios sem privilgios de administrador.
d) Usurios sem privilgio de administrador so imunes a e) Privada de E e R decodifica com a chave pblica de E.
cdigo malicioso. 267. Observe a citao abaixo referente a um malware de
e) Usurios sem privilgios de administrador, apenas, computador:
possuem permisso para executar o navegador HTML.
Programa intruso nos sistemas, normalmente de aparncia
261. NO considerado um programa malicioso: inofensiva, mas que provoca uma ao maliciosa quando
a) Keylogger executado. No tem capacidade de infectar outros arquivos
ou se disseminar de um computador a outro. Para se
b) Trojan
introduzir em um sistema, deve ser deliberadamente
c) Worm enviado aos usurios, normalmente disfarados como
d) Spyware fotos, jogos e utilitrios em geral. Possibilita que um intruso
e) Firewall tome controle total do sistema invadido ou, at mesmo
262. Observe as seguintes afirmativas sobre segurana em roube senhas e outras informaes privadas.
senhas de acesso. O malware descrito do tipo:
I. Todo vrus com extenso EXE instala um programa espio (A) Hoax (Boatos)
para roubo de senhas. (B) Trojan (Cavalo de Tria)
II. Quanto menor o tamanho de uma senha, maior sua (C) Worm (Verme)
segurana. (D) Keyloggers
III. Quanto maior a aleatoriedade de uma senha, maior sua (E) Sniffers (Farejador)
segurana.
Est(o) correta(s), somente, a(s) afirmativa(s): (NCE)
a) I
b) II 268. Vrus de computador :
c) III
d) I e III a) Arquivo auto-executvel que se instala no
e) II e III microcomputador, provocando desde travamento dos
programas at a perda completa dos dados gravados
263. Em programas de antivrus, heursticas so utilizadas nos discos.
para: b) Mau funcionamento do computador, causado
a) Imunizar e-mails contaminados. pela umidade e mau contato entre as placas.
b) Bloquear conexes externas ao computador. c) Instalao incorreta dos softwares.
d) Memria que carrega programa infectado.
c) Atualizar automaticamente as estatsticas globais de
Instalao incorreta de itens de Hardware.
infeco.

Prof. Wagner Bugs http://www.wagnerbugs.com.br

Informtica para concursos - Segurana da Informao 13

Questes de Proteo e Segurana induzir o usurio a clicar sobre o arquivo anexado,

fazendo com que o vrus seja executado.
224. C 225. C 226. E 227. E 228. E 229. C 230. C IV. Engenharia reversa uma das principais tcnicas
231. E 232. E 233. E 234. E 235. C 236. E 237. C 238. E 239. E 240. E adotadas por hackers para ter acesso no autorizado a
computadores ou informaes.
241. C242. C 243. B 244. B 245. D246. B247. A248. C 249. D250. A
Esto corretos os itens:
251. E 252. A253. E 254. C 255. A256. C257. D258. A259. C 260. C
a) I e II b) II e III c) III e IV
261. E 262. C 263. D264. D265. B 266. B267. B 268. A d) I e III e) II e IV

Questes adicionais 2. Malwares (Softwares Maliciosos)

Segurana da Informao
1. Tipos de Ataques
1) Analista Administrativo Tecnologia da Informao -
Administrao de Rede e Segurana de Informaes-
Agncia Nacional de guas (03-2009) O(A) ____________
representa um ataque que compromete diretamente a
disponibilidade. Assinale a opo que completa
corretamente a frase acima.
a) cavalo de tria b) falsificao c)
negao de servio.
d) phishing e) sniffing
2) Analista de Finanas e Controle - Tecnologia da
Informao CGU (2004) Existe uma forma muito poderosa
de ataque a um sistema denominada DDoS, cujo principal
objetivo :
a) inserir usurios no autorizados em um sistema.
b) executar aplicativos em um sistema com os privilgios
de outro usurio.
c) enganar um servidor de um servio de rede ao inform-
lo um endereo falso durante o processo de
autenticao ou solicitao de informaes.
d) provocar uma sobrecarga com um nmero inesperado de
acessos a um site, o que torna o carregamento de suas
pginas mais demorado e sujeito a erros, provocando, em
alguns casos, a interrupo dos seus servios.
e) permitir acesso ao sistema pelo seu prprio projetista,
utilizando uma porta introduzida por ele durante o
processo de desenvolvimento, com a finalidade de
furar a segurana normal implementada pela poltica
de segurana.
3) Analista de Finanas e Controle - Tecnologia da
Informao CGU (2004) Analise as seguintes afirmaes
relativas segurana na Internet:
I. Engenharia
Social um termo utilizado para descrever um mtodo
de ataque onde algum faz uso da persuaso, muitas
vezes abusando da ingenuidade ou confiana do
usurio, para obter informaes que podem ser
utilizadas para ter acesso no autorizado a
computadores ou informaes.
II. Vulnerabilidad
e pode ser definida como uma falha no projeto ou
implementao de um software que, quando explorada
por um atacante,resulta na violao da segurana de
um sistema.
III. Um vrus de
macro normalmente recebido como um arquivo
executvel anexado a uma mensagem de correio
eletrnico. O contedo dessa mensagem procura
4) Analista Administrativo Tecnologia da Informao -
Administrao de Rede e Segurana de Informaes-
Agncia Nacional de guas (03-2009) O cdigo
malicioso caracterizado por ser executado
independentemente, consumindo recursos do hospedeiro
para a sua prpria manuteno, podendo propagar verses
completas de si mesmo para outros hospedeiros,
denominado:
a) vrus. b) backdoor. c) cookie.
d) verme. e) spyware.
5) TRF (2006) Analise as seguintes afirmaes relacionadas a
vrus e antivrus.
I. Um cookie
um vrus do tipo malware que pode ser armazenado
pelo browser se um website requisitar. A informao
no tem um tamanho muito grande e, quando
acionados, alteram a configurao de segurana do
browser.
II. Qualquer
malware que possua um backdoor permite que o
computador infectado seja controlado totalmente ou
parcialmente atravs de um canal de IRC ou via conexo
com uma porta.
III. O Cavalo de
Tria um programa que, explorando deficincias de
segurana de computadores, propaga-se de forma
autnoma, contaminando diversos computadores
geralmente conectados em rede. O Cavalo de Tria mais
conhecido atacou quantidades imensas de
computadores na Internet durante os anos 90.
IV. A Engenharia
Reversa a arte de reverter cdigos j compilados para
uma forma que seja legvel pelo ser humano. Tcnicas
de engenharia reversa so aplicadas na anlise de vrus
e tambm em atividades ilegais, como a quebra de
proteo anticpia. A engenharia reversa ilegal em
diversos pases, a no ser que seja por uma justa causa
como a anlise de um malware.
Indique a opo que contenha todas as afirmaes
verdadeiras.
a) I e II b) II e III c) III e IV
d) I e III e) II e IV.
6) Auditor Fiscal da Receita Federal - Tecnologia da
Informao - Prova 3 - Gabarito 1 (2005) Em relao a vrus
de computador correto afirmar que, entre as categorias
de malware, o Cavalo de Tria um programa que:
a) usa um cdigo desenvolvido com a expressa inteno
de se replicar. Um Cavalo de Tria tenta se alastrar de
computador para computador incorporando-se a um
programa hospedeiro. Ele pode danificar o hardware, o
software ou os dados. Quando o hospedeiro
executado, o cdigo do Cavalo de Tria tambm

Prof. Wagner Bugs http://www.wagnerbugs.com.br

Informtica para concursos - Segurana da Informao
executado, infectando outros hospedeiros e, s vezes,
entregando uma carga adicional.
b) parece til ou inofensivo, mas que contm cdigos
ocultos desenvolvidos para explorar ou danificar o
sistema no qual executado. Os cavalos de tria
geralmente chegam aos usurios atravs de
mensagens de e-mail que disfaram a finalidade e a
funo do programa. Um Cavalo de Tria faz isso
entregando uma carga ou executando uma tarefa mal-
intencionada quando executado.
c) usa um cdigo mal-intencionado auto-propagvel que
pode se distribuir automaticamente de um
computador para outro atravs das conexes de rede.
Um Cavalo de Tria pode desempenhar aes nocivas,
como consumir recursos da rede ou do sistema local,
possivelmente causando um ataque de negao de
servio.
d) pode ser executado e pode se alastrar sem a
interveno do usurio, enquanto alguns variantes
desta categoria de malware exigem que os usurios
executem diretamente o cdigo do Cavalo de Tria
para que eles se alastrem. Os Cavalos de Tria tambm
podem entregar uma carga alm de se replicarem.
e) no pode ser considerado um vrus ou um verme de
computador porque tem a caracterstica especial de se
propagar. Entretanto, um Cavalo de Tria pode ser
usado para copiar um vrus ou um verme em um
sistema-alvo como parte da carga do ataque, um
processo conhecido como descarga. A inteno tpica
de um Cavalo de Tria interromper o trabalho do
usurio ou as operaes normais do sistema. Por
exemplo, o Cavalo de Tria pode fornecer uma porta
dos fundos no sistema para que um hacker roube
dados ou altere as definies da configurao.
7) Analista de Finanas e Controle - Prova P.3 - Tecnologia da
Informao CGU (2006) crescente o nmero de
incidentes de segurana causados por vrus de computador
e suas variaes. Com isso, as organizaes esto
enfrentando o problema com o rigor e cuidados merecidos.
Nesse contexto, correto afirmar que:
a) cavalos de tria so
variaes de vrus que se propagam e possuem um
mecanismo de ativao (evento ou data) e uma misso.
b) vrus polimrficos
suprimem as mensagens de erro que normalmente
aparecem nas tentativas de execuo da atividade no-
autorizada, utilizando, muitas vezes, criptografia para
no serem detectados por anti-vrus.
c) os vrus de macro utilizam
arquivos executveis como hospedeiros, inserindo
macros com as mesmas funes de um vrus em tais
arquivos.
d) vrus geram cpias de si
mesmo a fim de sobrecarregarem um sistema, podendo
consumir toda a capacidade do processador, memria
ou espao em disco, eventualmente.
8) Auditor Fiscal da Receita Federal - Tecnologia da
Informao - Prova 3 - Gabarito 1 (2005) Com relao
segurana e a ataques em redes de computadores, pode-se
observar que, depois que um malware alcana uma
mquina hospedeira, geralmente executar uma ao
conhecida como carga. O tipo de carga conhecido como
Porta dos fundos
Prof. Wagner Bugs http://www.wagnerbugs.com.br
14
a) um tipo de carga de malware particularmente
preocupante porque normalmente desenvolvida para
roubar informaes. Se uma carga puder comprometer
a segurana de um computador hospedeiro, possvel
que ele desenvolva um mecanismo para passar
informaes para os responsveis pelo malware.
b) um dos tipos de carga mais destrutivos,
normalmente um cdigo mal-intencionado que altera
ou exclui dados, tornando as informaes no
computador do usurio inteis.
c) um do tipo DoS, isto , uma investida
computadorizada feita por um invasor para
sobrecarregar ou parar os servios de uma rede, como
um servidor da WEB ou um servidor de arquivos.
d) um ataque DDoS que visa a simplesmente tornar um
servio especfico temporariamente indisponvel.
3. Agentes de Segurana
9) Um Firewall pode ser definido como uma coleo de
componentes, colocada entre duas redes, que
coletivamente possua propriedades que:
a) independentemente da poltica de segurana adotada,
tem como objetivo principal impedir a entrada de vrus
em um computador, via arquivos anexados a e-mails.
b) garantem que todo o trfego de dentro para fora da
rede, e vice-versa, deve ser bloqueado,
independentemente da poltica de segurana adotada.
Todo firewall deve ser prova de violao.
c) garantem que todo o trfego de dentro para fora da
rede, e vice-versa, passe por ele. Somente o trfego
autorizado pela poltica de segurana pode atravessar
o firewall e, finalmente, ele deve ser prova de
violao.
d) garantem que apenas o trfego de dentro para fora da
rede deve passar por ele. Somente o trfego
autorizado pela poltica de segurana pode atravessar
o firewall e, fi nalmente, ele deve ser prova de
violao.
e) garantem que apenas o trfego de fora para dentro da
rede deve passar por ele. Somente o trfego
autorizado pela poltica de segurana pode atravessar
o firewall e, fi nalmente, ele deve ser prova de
violao.
4. Princpios da Segurana da Informao
10) Analista de Planejamento e Oramento MPOG (06-
2008) A segurana da informao tem como objetivo a
preservao da:
a) confi dencialidade, interatividade e acessibilidade das
informaes.
b) complexidade, integridade e disponibilidade das
informaes.
c) confidencialidade, integridade e acessibilidade das
informaes.
d) universalidade, interatividade e disponibilidade das
informaes.
e) confidencialidade, integridade e disponibilidade das
informaes.
11) Auditor Fiscal da Previdncia Social Prova 1 INSS
(2002) Uma informao, para ser considerada segura,
precisa manter seus aspectos de confidenciabilidade,
integridade e disponibilidade. A confidenciabilidade a
Informtica para concursos - Segurana da Informao
a) propriedade de evitar a negativa de autoria de
transaes por parte do usurio, garantindo ao
destinatrio o dado sobre a autoria da informao
recebida.
b) garantia de que o sistema se comporta como
esperado, em geral aps atualizaes e retificaes de
erro.
c) anlise e responsabilizao de erros de usurios
autorizados do sistema.
d) garantia de que as informaes no podero ser
acessadas por pessoas no autorizadas.
e) propriedade que garante o acesso s informaes
atravs dos sistemas oferecidos.
12) Auditor Fiscal da Receita Estadual Provas 1 e 2
SEFAZ-CE (2006) Nos sistemas de Segurana da Informao,
existe um mtodo que _________. Este mtodo visa
garantir a integridade da informao. Escolha a opo que
preenche corretamente a lacuna acima.
a) valida a autoria da
mensagem
b) verifica se uma mensagem
em trnsito foi alterada
c) verifica se uma mensagem
em trnsito foi lida por pessoas no autorizadas
d) cria um backup diferencial
da mensagem a ser transmitida
e) passa um antivrus na
mensagem a ser transmitida
13) Auditor Fiscal da Receita Estadual Provas 1 e 2
SEFAZ-CE (2006) Analise as seguintes afirmaes
relacionadas a conceitos bsicos de Segurana da
Informao.
I. Um firewall,
instalado entre uma rede LAN e a Internet, tambm
utilizado para evitar ataques a qualquer mquina desta
rede LAN partindo de mquinas da prpria rede LAN.
II. A d) so arquivos que suportam uma linguagem script de
confidenciabilidade a propriedade de evitar a
negativa de autoria de transaes por parte do usurio,
garantindo ao destinatrio o dado sobre a autoria da
informao recebida.
III. Na criptografia
de chaves pblicas, tambm chamada de criptografia
assimtrica, uma chave utilizada para criptografar e
uma chave diferente utilizada para decriptografar um
arquivo.
IV. Uma das
finalidades da assinatura digital evitar que alteraes
feitas em um documento passem sem ser percebidas.
Nesse tipo de procedimento, o documento original no
precisa estar criptografado.
Indique a opo que contenha todas as afirmaes
verdadeiras.
a) I e II b) II e III c) III e IV
d) I e III e) II e IV
14) Tcnico Administrativo MPU gabarito 1 (2004) Analise
as seguintes afirmaes relativas segurana da
informao.
Prof. Wagner Bugs http://www.wagnerbugs.com.br
15
I. A disponibilidade assegura que a informao
ser acessvel somente por quem tem autorizao de
acesso.
II. Para garantir a segurana da informao,
necessrio que os princpios bsicos de
confidencialidade, integridade e risco sejam
respeitados.
III. A integridade assegura que a informao
no foi alterada durante o processo de transporte.
IV. Vrus de macro infectam a rea do sistema
de um disco, ou seja, o registro de inicializao em
disquetes e discos rgidos.
Indique a opo que contenha todas as afirmaes
verdadeiras.
a) I e II b) II e III c) III e IV
d) II e IV e) I e III
15) Auditor Fiscal da Receita Federal - Tecnologia da
Informao - Prova 3 - Gabarito 1 (2005) Alguns tipos de
malware tentam atingir um objeto portador, tambm
conhecido como hospedeiro, para infect-lo. O nmero e
tipo de objetos portadores que so alvos variam com as
caractersticas dos malwares. Entre os portadores-alvo mais
comuns, as macros:
a) so arquivos localizados em reas especficas dos
discos do computador (discos rgidos e mdias
removveis inicializveis), como o registro mestre de
inicializao (MBR).
b) so arquivos que suportam linguagens como Microsoft
Visual Basic Script, JavaScript, AppleScript ou
PerlScript. As extenses dos arquivos desse tipo so:
.vbs, .js, .wsh e .prl.
c) so o alvo do vrus clssico que replicado
anexando-se a um programa hospedeiro. Alm dos
arquivos tpicos que usam a extenso das macros,
arquivos com as seguintes extenses tambm podem
ser usados com essa finalidade: .com, .sys, .dll, .ovl,
.ocx e .prg.
macro de um aplicativo especfico, como um
processador de texto, uma planilha eletrnica ou um
aplicativo de banco de dados. Por exemplo, os vrus
podem usar as linguagens de macro no Microsoft
Word para causar vrios efeitos, que podem variar de
prejudiciais, como trocar palavras ou mudar as cores
em um documento, a mal-intencionados, como
formatar o disco rgido do computador.
e) so arquivos localizados no registro de inicializao do
DOS e so capazes de executar cdigos mal-
intencionados. Quando o registro de um disco de
inicializao infectado, a replicao ser efetivada se
ele for usado para iniciar os sistemas de outros
computadores.
16) Analista de Finanas e Controle - Tecnologia da
Informao CGU (2004) Analise as seguintes afirmaes
relativas aos conceitos de Segurana da Informao:
I. Cofidencialida
de a propriedade de manuteno do sigilo das
informaes. uma garantia de que as informaes no
podero ser acessadas por pessoas no autorizadas.
II. Irretratabilidad
e a propriedade de evitar a negativa de autoria de
transaes por parte de usurios, garantindo ao
Informtica para concursos - Segurana da Informao
destinatrio o dado sobre a autoria da informao
recebida.
III. Autenticidade
a proteo da informao contra acessos no
autorizados.
IV. Isolamento ou
modularidade a garantia de que o sistema se
comporta como esperado, em especial aps
atualizaes ou correes de erro.
Esto corretos os itens:
a) I e II b) II e III c) III e IV
d) I e III e) II e IV
17) Analista de Finanas e Controle - Tecnologia da
Informao CGU (2004) Considere um sistema no qual
existe um conjunto de informaes disponvel para um
determinado grupo de usurios denominados auditores.
Aps vrias consultas com respostas corretas, em um
determinado momento, um usurio pertencente ao grupo
auditores acessa o sistema em busca de uma informao
e recebe, como resposta sua consulta, uma informao
completamente diferente da desejada. Neste caso houve
uma falha na segurana da informao para este sistema na
propriedade relacionada :
a) Confidencialidade b)
Integridade c) Auditoria
d) Disponibilidade e) Privacidade
18) Analista de Finanas e Controle - Tecnologia da
Informao CGU (2004) Considere um sistema no qual
existe um conjunto de informaes disponvel para um
determinado grupo de usurios denominados auditores.
Aps vrias consultas com respostas corretas e imediatas,
em um determinado momento, um usurio pertencente ao
grupo auditores acessa o sistema em busca de uma
informao j acessada anteriormente e no consegue mais
acess-la. Neste caso houve uma falha na segurana da
informao para este sistema na propriedade relacionada
a) Privacidade b) Integridade
c) Consistncia
d) Irretratabilidade e) Disponibilidade
5. Criptografia, Assinatura Digital, Hash
19) Cincias da Computao - Tribunal de Contas-PI (03-
2005) Sendo E (o Emissor) que envia uma mensagem
sigilosa e criptografada, com chaves pblica e privada, para
R (o Receptor), pode-se dizer que E codifica com a chave
a) pblica de R e R decodifica com a chave pblica de
E.
b) pblica de R e R decodifica com a chave privada de
R.
c) pblica de E e R decodifica com a chave privada de
R.
d) privada de E e R decodifica com a chave pblica de
R.
e) privada de E e R decodifica com a chave pblica de
E.
20) Analista - rea: Oramento - MPU Gabarito 4 (2004)
Analise as seguintes afirmaes relativas a conceitos de
proteo e segurana da informao.
Prof. Wagner Bugs http://www.wagnerbugs.com.br
16
I. Um ataque
qualquer tentativa de penetrar em um sistema sem
autorizao. Os ataques podem ser classificados como
ativos, quando alteram o contedo de uma mensagem,
ou passivos, quando somente copiam seu contedo.
II. A autenticao
o processo destinado a verificar a validade de
determinada mensagem.
III. A assinatura
digital uma tcnica para converter um texto claro em
texto criptografado.
IV. A criptografia
gera um valor associado a uma determinada mensagem,
que a garante contra falsificao. Um exemplo de
criptografia so os dgitos de controle usados em
conjunto com os nmeros de conta corrente dos
bancos.
Indique a opo que contenha todas as afirmaes
verdadeiras.
a) I e III b) II e III c) III e IV
d) I e II e) II e IV
21) Prova 1 Comum ENAP MPOG (05-2006) Uma
assinatura digital um meio pelo qual
a) o gerador de uma mensagem, de um arquivo ou de
outras informaes codificadas digitalmente vincula
sua identidade s informaes.
b) os servidores de e-mail substituem uma mensagem
pelo equivalente codificado.
c) os servidores de pginas da Web identificam o
endereo IP do site de destino.
d) os servidores de pginas da Web identificam o
endereo IP do site de origem.
e) os Firewalls utilizam para garantir o repdio da
informao.
22) Prova 1 Comum ENAP MPOG (05-2006) Quanto aos
conceitos bsicos de Segurana da Informao correto
afirmar que a criptografia simtrica:
a) usa um algoritmo de criptografia que requer que a
mesma chave secreta seja usada na criptografia e na
decriptografia.
b) um mtodo de criptografia no qual duas chaves
diferentes so usadas: uma chave pblica para
criptografar dados e uma chave particular para
decriptograf-los.
c) um mtodo de criptografia no qual duas chaves
diferentes so usadas: uma chave particular para
criptografar dados e uma chave pblica para
decriptograf-los.
d) o processo de regravao de partes de um arquivo
em setores contguos de um disco rgido a fim de
aumentar a segurana da informao.
e) o resultado de tamanho fixo, tambm chamado de
sntese da mensagem, obtido pela aplicao de uma
funo matemtica unidirecional a uma quantidade de
dados arbitrria.
6. Extra
23) Assessor Especializado IPEA (11-2004) O mtodo de
criptografia por chave assimtrica, entre dois pontos em
comunicao, baseia-se somente na utilizao de
Informtica para concursos - Segurana da Informao 17

a) uma chave secreta nica para as duas pontas. 26) Tcnico Legislativo Agente de Polcia Cmara dos
b) uma chave pblica nica para as duas pontas. Deputados (07-2007) Um programa capaz de se auto-
c) duas chaves secretas, uma para cada ponta. propagar automaticamente atravs de redes, enviando
d) duas chaves pblicas, uma para cada ponta. cpias de si mesmo, de computador para computador,
e) uma chave secreta individual e uma chave pblica denomina-se
comum para cada uma das pontas. a) cavalo de tria. b) macro. c) backup.
d) backdoor. e) worm.
24) Anlise de Sistemas - TRT 24 regio (03-2006) Segundo
a NBR ISO/IEC 17799:2001, o conceito de segurana da 27) Analista de Controle Externo TI - TCE-AM (05-2008)
informao caracterizado pela preservao de: Programa capaz de capturar e armazenar as teclas digitadas
(I) que a garantia de que a informao acessvel pelo usurio no teclado de um computador o
somente por pessoas autorizadas a terem acesso; a) Worm. b) Spyware. c)
(II) que a salvaguarda da exatido e completeza da Backdoor.
informao e dos mtodos de processamento; d) Keylogger. e) Cavalo de Tria.
(III) que a garantia de que os usurios autorizados
obtenham acesso informao e aos ativos 28) Tcnico Judicirio TRT 8 regio (12-2004) As
correspondentes, sempre que necessrio. ferramentas antivrus:
Preenchem correta e respectivamente as lacunas I, II e III: a) so recomendadas apenas para redes com mais de 100
a) disponibilidade integridade confidencialidade. estaes.
b) confidencialidade integridade disponibilidade. b) dependem de um firewall para funcionarem.
c) integridade confidencialidade disponibilidade c) podem ser utilizadas independentes do uso de um
d) confidencialidade disponibilidade integridade firewall.
e) disponibilidade confidencialidade integridade d) e um firewall significam a mesma coisa e tm as
mesmas funes.
25) Cincias da Computao - Tribunal de Contas-PI (03- e) devem ser instaladas somente nos servidores de rede
2005) Os antivrus so programas que NO tm capacidade e no nas estaes de trabalho.
de
a) identificar e eliminar a maior quantidade de vrus 29) Anlise de Sistemas TJ-PE (05-2007) Uma pessoa mal
possvel. intencionada tenta obter informaes como nmeros de
b) analisar os arquivos obtidos pela Internet. cartes de crdito, senhas, dados de contas ou outras
c) evitar o acesso no autorizado a um backdoor instalado. informaes pessoais convencendo-o a fornec-las sob
d) verificar continuamente os discos rgidos e disquetes. pretextos enganosos em um ataque via WEB do tipo
e) procurar vrus em arquivos anexados aos e-mails. a) phishing scam. b) adware.
c) slice and dice. d) spyware. e) hijack.

1.C 2.D 3.A 4.D 5.E 6.B 7.D 8.A 9.C 10.E
11.D 12.B 13.C 14.B 15.D 16.A 17.B 18.E 19.B 20.D
21.A 22.A 23.E 24.B 25.C 26.E 27.D 28.C 29.A

Prof. Wagner Bugs http://www.wagnerbugs.com.br