Escolar Documentos
Profissional Documentos
Cultura Documentos
Apostila Segurança Informática PDF
Apostila Segurança Informática PDF
1.0
Contedo
Segurana da Informao..................................................................................................................2
Criptografia.........................................................................................................................................3
Firewalls (Parede de Fogo).................................................................................................................5
Atacantes ou Invasores......................................................................................................................6
Cdigos Maliciosos.............................................................................................................................7
Questes de Proteo e Segurana...................................................................................................9
Informtica para concursos - Segurana da Informao 2
SEGURANA DA INFORMAO
Introduo
A Segurana da Informao um conjunto de princpios, tcnicas, protocolos, normas e regras que visam garantir um
melhor nvel de confiabilidade. Tudo isso se tornou necessrio com a grande troca de informaes entre os computadores com as
mais variadas informaes (transaes financeiras e at uma simples conversao em salas de bate-papo) e principalmente pela
vulnerabilidade oferecida pelos sistemas.
Confidencialidade: a garantia de que os dados sero acessados apenas por usurios autorizados. Geralmente,
restringindo o acesso mediante o uso de um nome de usurio e senha.
Integridade: a garantia de que a mensagem no foi alterada durante a transmisso, ou seja, a garantia da exatido e
completeza da informao.
Disponibilidade: a garantia de que um sistema estar sempre disponvel a qualquer momento para solicitaes.
Autenticidade: a garantia de que os dados fornecidos so verdadeiros ou que o usurio o usurio legtimo.
No Repdio: a garantia de que uma pessoa no consiga negar um ato ou documento de sua autoria. Essa garantia
condio necessria para a validade jurdica de documentos e transaes digitais. S se pode garantir o no-repdio
quando houver Autenticidade e Integridade (ou seja, quando for possvel determinar quem mandou a mensagem e
quando for possvel garantir que a mensagem no foi alterada).
Vulnerabilidade
Vulnerabilidade definida como uma falha no projeto, implementao ou configurao de um software ou sistema
operacional que, quando explorada por um atacante, resulta na violao da segurana de um computador.
Existem casos onde um software ou sistema operacional instalado em um computador pode conter uma
vulnerabilidade que permite sua explorao remota, ou seja, atravs da rede. Portanto, um atacante conectado Internet, ao
explorar tal vulnerabilidade, pode obter acesso no autorizado ao computador vulnervel.
Senhas
A senha (password) um dos mtodos mais utilizados na Internet ou sistemas computacionais para autenticar um
usurio. Essa senha exigida para garantir que o usurio o usurio legtimo. Porm, a senha pode ser obtida por terceiros
utilizando tcnicas hacking. Estas tcnicas podem ser a utilizao de ferramentas de fora bruta (esta tcnica visa realizar
tentativas de acesso baseado em regras) ou utilizando a fragilidade de um servio ou sistema oferecido. Por esta razo, a
elaborao de uma boa senha pode minimizar ou em alguns casos anular qualquer tentativa de obteno desta senha.
As tcnicas de fora bruta utilizam regras especficas para a obteno das senhas. Elaborar uma boa e longa (mnimo de
8 caracteres) senha, mesclando letras (maisculas e minsculas), nmeros e caracteres especiais, pode retardar estas tcnicas
fora de um tempo hbil, podendo levar meses ou anos.
Evite criar senhas com palavras simples ou apenas nmeros. Mesclar letras e nmeros oferece uma leve proteo.
Alternar entre letras maisculas, minsculas e nmeros seria mais eficiente. Porm, para criar senhas com um nvel maior de
segurana devemos mesclar letras (maisculas e minsculas), nmeros e caracteres especiais. O tamanho da senha tambm
importante. Devemos criar senhas com no mnimo 8 caracteres.
Exemplo de senhas inseguras e seguras:
Inseguras: meumor16, forever, 1a2m3o4r, 123eja, aq1sw2, etc.
Seguras: ?F2eR7##u5a, #Pu63j?#fP!, etc.
Outras falhas comuns dos usurios utilizar os recursos oferecidos para a recuperao de como Pergunta Secreta entre outros
recursos. Muitos usurios cadastram perguntas como Cidade onde minha me nasceu? ou Nome da minha primeira
professora? ou ainda Meu time de futebol favorito?. Em alguns casos, o atacante nem precisar ir to longe para obter estas
informaes. Visitando sites de relacionamento como o Orkut onde estas informaes esto explicitamente exibidas. O atacante
poderia tambm obter estas informaes atravs de engenharia social.
A dica seria cadastrar uma resposta no condizente com a pergunta secreta. Por exemplo, Qual a cidade que minha me
nasceu? Resposta: Eu gosto de Lasanha.
CRIPTOGRAFIA
Criptografia a cincia ou arte de escrever mensagens em forma cifrada ou em cdigo. Basicamente, o mtodo
utilizado para alterar os caracteres originais de uma mensagem por outros caracteres, ocultando a mensagem. parte de um
campo de estudos que trata das comunicaes secretas, usadas, dentre outras finalidades, para:
Autenticar a identidade de usurios;
Autenticar e proteger o sigilo de comunicaes pessoais e de transaes comerciais e bancrias;
Proteger a integridade de transferncias eletrnicas de fundos.
Uma mensagem codificada por um mtodo de criptografia deve ser sigilosa, ou seja, somente aquele que enviou e
aquele que recebeu devem ter acesso ao contedo da mensagem. Alm disso, uma mensagem deve poder ser assinada, ou seja,
a pessoa que a recebeu deve poder verificar se o remetente mesmo a pessoa que diz ser e/ou ter a capacidade de identificar se
uma mensagem pode ter sido modificada.
Os mtodos de criptografia atuais so seguros e eficientes e baseiam-se no uso de uma ou mais chaves. A chave uma
seqncia de caracteres, que pode conter letras, dgitos e smbolos (como uma senha), e que convertida em um nmero,
utilizada pelos mtodos de criptografia para criptografar e descriptografar mensagens.
1. Wagner deseja enviar uma mensagem sigilosa, ou seja, secreta, para Letcia. Sabendo que a Internet no
oferece um ambiente seguro, contrataram um servio de segurana e ganharam duas chaves para trocar informaes
pela Internet.
2. Wagner pede a chave pblica da Letcia, que pode ser enviada de qualquer maneira, pois mesmo que seja lida
por outra pessoa, no teriam problemas (a chave pblica permite apenas criptografar mensagens).
3. Aps receber a chave pbica da Letcia, Wagner escreve, criptografa utilizando a chave pblica da Letcia e
envia a mensagem pela Internet;
4. Letcia recebe a mensagem criptografada e descriptografa a mensagem utilizando sua chave privada, que
apenas de seu conhecimento;
5. Agora, se Letcia quiser responder a mensagem, dever realizar o mesmo procedimento, s que utilizando a
chave pblica do Wagner.
Certificado Digital
O certificado digital um arquivo eletrnico que contm dados de uma pessoa ou instituio, utilizados para comprovar
sua identidade.
Exemplos semelhantes a um certificado digital so o CNPJ, RG, CPF e carteira de habilitao de uma pessoa. Cada um
deles contm um conjunto de informaes que identificam a instituio ou pessoa e a autoridade (para estes exemplos, rgos
pblicos) que garante sua validade.
Algumas das principais informaes encontradas em um certificado digital so:
Assinatura digital
A assinatura digital consiste na criao de um cdigo, atravs da utilizao de uma chave privada, de modo que a
pessoa ou entidade que receber uma mensagem contendo este cdigo possa verificar se o remetente mesmo quem diz ser e
identificar qualquer mensagem que possa ter sido modificada. Destaca-se o princpio da Autenticidade e Integridade.
Desta forma, utilizado o mtodo de criptografia de chaves pblica e privada, mas em um processo inverso.
Essa simples, vamos inverter as chaves no processo usando o mesmo exemplo e perceba como enviada uma
mensagem assinada.
Situao:
1. Wagner deseja enviar uma mensagem assinada, ou seja, autntica (garantir que a mensagem enviada por
ele e que no sofrer alteraes durante o envio), para Letcia. Sabendo que a Internet no oferece um ambiente seguro
e muitos podem se passar por ele, Wagner contratou um servio de segurana e ganhou duas chaves para trocar
informaes pela Internet.
2. Wagner escreve, criptografa utilizando a sua chave privada, onde ser gerado um cdigo (a assinatura digital),
e envia a mensagem pela Internet;
3. Letcia recebe a mensagem criptografada e descriptografa a mensagem utilizando a chave pblica do Wagner;
4. Neste momento ser gerado um segundo cdigo (assinatura digital), que ser comparado com o primeiro;
5. Se os dois cdigos (assinaturas digitais) forem idnticos, Letcia saber que o remetente foi realmente o
Wagner e que o contedo da mensagem no foi alterado.
importante ressaltar que a segurana do mtodo baseia-se no fato de que a chave privada conhecida apenas pelo
seu dono. Tambm importante ressaltar que o fato de assinar uma mensagem no significa gerar uma mensagem sigilosa.
Para o exemplo anterior, se Jos quisesse assinar a mensagem e ter certeza de que apenas Maria teria acesso a seu
contedo, seria preciso codific-la com a chave pblica de Maria, depois de assin-la.
Filtragem de pacotes: O firewall que trabalha na filtragem de pacotes muito utilizado em redes pequenas ou de porte
mdio. Por meio de um conjunto de regras estabelecidas, esse tipo de firewall determina que endereos IPs e dados que
podem estabelecer comunicao e/ ou transmitir/ receber dados. Alguns sistemas ou servios podem ser liberados
completamente (por exemplo, o servio de e-mail da rede), enquanto outros so bloqueados por padro, por terem riscos
elevados (como softwares de mensagens instantneas, tal como o ICQ ou MSN Messenger). O grande problema desse tipo
de firewall, que as regras aplicadas podem ser muito complexas e causar perda de desempenho da rede ou no serem
eficazes o suficiente.
Firewall de aplicao: Firewalls de controle de aplicao (exemplos de aplicao: SMTP, FTP, HTTP, etc) so instalados
geralmente em computadores servidores e so conhecidos como Proxy
(Servidor Proxy consiste em um mecanismo de segurana que gerencia o trfego de dados e pode oferecer tambm controle
restrito de acesso).
O Windows XP j vem com um firewall, que apesar de no ser to completo, um bom aliado na segurana.
Os ataques de negao de servio (DoS Denial of Service) consistem em sobrecarregar um sistema com uma
quantidade excessiva de solicitaes. Sobrecarregando o sistema, o sistema para de atender novos pedidos de solicitaes,
efetivando a ao do Atacante.
Exemplos deste tipo de ataque so:
Gerar uma grande sobrecarga no processamento de dados de um computador, de modo que o usurio no consiga utiliz-lo;
Gerar um grande trfego de dados para uma rede, ocupando toda a conexo disponvel, de modo que qualquer computador
desta rede fique indisponvel;
Tirar servios importantes de um provedor do ar, impossibilitando o acesso dos usurios a suas caixas de correio no servidor
de e-mail ou ao servidor Web.
ATACANTES OU INVASORES
Hacker
aquela pessoa com grande conhecimento computacional e na rea da segurana computacional, que possui uma
grande facilidade de anlise, assimilao, compreenso e capacidades surpreendentes de conseguir fazer o que quiser
(literalmente) com um computador. Ele sabe perfeitamente que nenhum sistema completamente livre de falhas, e sabe onde
procurar por elas, utilizando de tcnicas das mais variadas (alis, quanto mais variado, mais valioso o conhecimento do Hacker).
O termo: Hacker, originalmente, designava qualquer pessoa que fosse extremamente especializada em uma determinada rea.
Cracker
Possui tanto conhecimento quanto os Hackers, mas com a diferena de que, para eles, no basta entrar em sistemas,
quebrar senhas, e descobrir falhas. Eles precisam deixar um aviso de que estiveram l, algumas vezes destruindo partes do
sistema, e at aniquilando com tudo o que vem pela frente. Tambm so atribudos aos crackers programas que retiram travas
em softwares, bem como os que alteram suas caractersticas, adicionando ou modificando opes, muitas vezes relacionadas
pirataria.
Lammer (Novato)
Lammer aquele cara que quer aprender sobre Hackers. No tem tanto conhecimento quanto os Hackers, mas utiliza
os programas ou tcnicas Hacker sem saber exatamente o que est fazendo.
Bancker
Possui tanto conhecimento quanto os Hackers, porm dedicam seu conhecimento para atividades fraudulento bancria,
cartes de crdito e etc. Sempre visam obter informaes financeiras dos usurios.
Phisher
Semelhante aos Bancker. Visam obter informaes financeiras ou de acesso dos usurios. Utilizam diversas tcnicas
para obter essas informaes. Desde o desenvolvimento de aplicativos maliciosos (Malware), que enviam as informaes
digitadas (Keyloggers) ou clicadas (Screenloggers) pelo usurio. Algumas tcnicas dos Phishers incluem o carregamento de janelas
pop up e direcionamento sites falsos.
Spammer
Empresa ou indivduo que envia e-mail para milhares de usurios (e-mails em massa). O contedo destas mensagens
so publicidades, caracterizando o tipo de e-mail SPAM. Estas mensagens no solicitadas so enviadas para usurio onde tiveram
seus e-mails vendidos ou obtidos por intermdio de ferramentas de busca especfica de e-mails.
Defacer
Possui tanto conhecimento quanto os Hackers, utiliza seu conhecimento para invadir sites. Podem alterar as
informaes de um site ou apenas pichar o site com mensagens idealistas ou simplesmente vangloriando pelo feito.
Phreacker
especializado em telefonia. Faz parte de suas principais atividades as ligaes gratuitas (tanto local como interurbano
e internacional), reprogramao de centrais telefnicas, instalao de escutas (no aquelas colocadas em postes telefnicos, mas
imagine algo no sentido de, a cada vez que seu telefone tocar, o dele tambm o far, e ele poder ouvir sua conversa), etc. O
conhecimento de um Phreaker essencial para se buscar informaes que seriam muito teis nas mos de mal-intencionados.
Alm de permitir que um possvel ataque a um sistema tenha como ponto de partida, provedores de acessos em outros pases,
suas tcnicas permitem no somente ficar invisvel diante de um provvel rastreamento.
CDIGOS MALICIOSOS
Aplicativos Maliciosos (Malware)
Aplicativo malicioso ou Malware (Malicious Software) um termo genrico que abrange todos os tipos de programa
especificamente desenvolvidos para executar aes maliciosas em um computador.
Na literatura de segurana o termo malware tambm conhecido por software malicioso.
Alguns exemplos de malware so:
vrus;
worms e bots;
backdoors;
cavalos de tria;
keyloggers e outros programas spyware;
Cavalos de Tria
Cavalo de tria (trojan horse) um programa, normalmente recebido como um presente (por exemplo, carto virtual,
lbum de fotos, protetor de tela, jogo, etc), que alm de executar funes para as quais foi aparentemente projetado, tambm
executa outras funes normalmente maliciosas e sem o conhecimento do usurio.
Tem como funo abrir portas de acesso ao computador, desabitar ferramentas de segurana, enviar informaes
referentes ao computador do usurio como, por exemplo, endereo de IP, sistema operacional utilizado, navegador utilizado,
portas que esto sendo utilizadas e etc. Estas informaes so utilizadas pelo invasor para definir uma estratgia de invaso, pois,
sabendo os pontos fracos (vulnerabilidades) desses programas poder ser facilmente explorada pelo atacante.
Backdoors
Normalmente, um invasor procura garantir uma forma de retornar a um computador comprometido, sem precisar
recorrer aos mtodos utilizados na realizao da invaso e, claro, sem ser notado.
A esses programas que facilitam o retorno de um invasor a um computador comprometido, utilizando servios criados
ou modificados para este fim, d-se o nome de backdoor.
Adware e Spyware
Adware (Advertising software) um tipo de software especificamente projetado para apresentar propagandas, seja
atravs de um browser, seja atravs de algum outro programa instalado em um computador.
Em muitos casos, os adwares tm sido incorporados a softwares e servios, constituindo uma forma legtima de
patrocnio ou retorno financeiro para aqueles que desenvolvem software livre ou prestam servios gratuitos. Um exemplo do uso
legtimo de adwares pode ser observado no programa de troca instantnea de mensagens MSN Messenger.
Spyware, por sua vez, o termo utilizado para se referir a uma grande categoria de software que tem o objetivo de
monitorar atividades de um sistema e enviar as informaes coletadas para terceiros.
Existem adwares que tambm so considerados um tipo de spyware, pois so projetados para monitorar os hbitos do usurio
durante a navegao na Internet, direcionando as propagandas que sero apresentadas.
Os spywares, assim como os adwares, podem ser utilizados de forma legtima, mas, na maioria das vezes, so utilizados
de forma dissimulada, no autorizada e maliciosa.
Seguem algumas funcionalidades implementadas em spywares, que podem ter relao com o uso legtimo ou
malicioso:
Monitoramento de URLs acessadas enquanto o usurio navega na Internet;
Alterao da pgina inicial apresentada no browser do usurio;
Varredura dos arquivos armazenados no disco rgido do computador;
Monitoramento e captura de informaes inseridas em outros programas, como IRC ou processadores de texto;
Instalao de outros programas spyware;
Captura de senhas bancrias e nmeros de cartes de crdito;
Captura de outras senhas usadas em sites de comrcio eletrnico.
importante ter em mente que estes programas, na maioria das vezes, comprometem a privacidade do usurio e, pior,
a segurana do computador do usurio, dependendo das aes realizadas pelo spyware no computador e de quais informaes
so monitoradas e enviadas para terceiros.
Keyloggers
Keylogger um programa que duplica o que digitado pelo usurio. Um arquivo gerado e enviado para o e-mail do
invasor ou para um servidor de arquivos. O atacante procura seqncia de informaes como: Endereos de sites, nome de
usurio, senhas, identidades de acesso, RG, CPF, endereos residenciais e comerciais, nmeros de carto de crditos (com cdigo
verificador e data de validade), etc...
Screenloggers
Screenlogger um programa semelhante ao Keylogger, porm ao invs de colher informaes digitadas pelo usurio,
envia, em forma de imagem, a regio clicada pelo usurio. Essa tcnica visa obter informaes que no seriam obtidas pelos
Keyloggers, por exemplo, senhas clicadas em um teclado virtual e etc.
Worms
Worm um programa independente com capacidade de se auto-propagar atravs de redes, enviando cpias de si
mesmo de computador para computador, explorando a vulnerabilidade de programas e sistemas ou falhas na configurao de
softwares instalados.
O Worm no um vrus, pois no embute cpias de si mesmo em outros programas ou arquivos e no necessita ser
executado para se propagar.
Pode abrir portas de acesso para entrada de novos Worms.
Vrus
Vrus um programa ou parte de um programa de computador, normalmente malicioso, que se propaga infectando,
isto , inserindo cpias de si mesmo e se tornando parte de outros programas e arquivos de um computador. O vrus depende da
execuo do programa ou arquivo hospedeiro para que possa se tornar ativo e dar continuidade ao processo de infeco.
Os vrus criam cpias de si mesmo, espalhando-se pelo computador, dificultando a ao do antivrus.
Os vrus de computador podem gerar desde travamentos, lentido, perda de dados e at mesmo danificar programas e
arquivos.
Os principais tipos de vrus so:
Vrus de arquivos: infectam arquivos de programas e criados pelo usurio;
Vrus de boot: infectam os arquivos de inicializao do sistema, escondem-se no primeiro setor do disco e so carregados
na memria antes do sistema operacional.
Vrus de macro: comuns em arquivos do Word e Excel so vrus que ficam anexados ao arquivo.
Vrus criptografados: so vrus que tem seu cdigo fonte (linhas de comando) criptografadas, ou seja, os caracteres da
programao so alterados por outros caracteres. Tudo isso para dificultar sua interpretao e conseqentemente seu
antdoto.
Vrus polimrficos: destaca-se por multiplicarem-se com facilidade e para cada novo vrus gerado seu cdigo fonte
alterado.
Spam
Spam o termo usado para se referir aos e-mails no solicitados, que geralmente so enviados para um grande nmero
de pessoas. Quando o contedo exclusivamente comercial, este tipo de mensagem tambm referenciado como UCE (do
ingls Unsolicited Commercial E-mail E-mail Comercial No Solicitado).
Este e-mail contm propaganda, enganosa ou no. Podem conter vrus anexados mensagem, bem como conter links que
direcionam para arquivos maliciosos.
Boatos (Hoax)
Boatos (hoaxes) so e-mails que possuem contedos alarmantes ou falsos e que, geralmente, tm como remetente ou
apontam como autora da mensagem alguma instituio, empresa importante ou rgo governamental. Atravs de uma leitura
minuciosa deste tipo de e-mail, normalmente, possvel identificar em seu contedo mensagens absurdas e muitas vezes sem
sentido.
Dentre os diversos boatos tpicos, que chegam s caixas postais de usurios conectados Internet, podem-se citar as
correntes, pirmides, mensagens sobre pessoas que esto prestes a morrer de cncer, entre outras.
Histrias deste tipo so criadas no s para espalhar desinformao pela Internet, mas tambm para outros fins
maliciosos.
Phishing
Phishing, tambm conhecido como phishing scam, um termo criado para descrever qualquer ao maliciosa que
tenha como objetivo obter dados pessoais e financeiros do usurio.
As tcnicas Phishing do-se atravs do envio de mensagem no solicitada, se passa por comunicao de uma instituio
conhecida, como um banco, empresa ou site popular, e que procura induzir o acesso a pginas falsificadas, projetadas para furtar
dados pessoais e financeiros de usurios.
A palavra phishing (de "fishing") vem de uma analogia criada pelos fraudadores, onde "iscas" (e-mails) so usadas para
"pescar" senhas, dados pessoais e financeiros de usurios da Internet.
Atualmente, este termo vem sendo utilizado tambm para se referir aos seguintes casos:
Mensagem que procura induzir o usurio instalao de cdigos maliciosos, projetado para obter dados pessoais e
financeiros (ex: Spyware, Keyloggers);
Mensagem que, no prprio contedo, apresenta formulrios para o preenchimento e envio de dados pessoais e
financeiros de usurios.
Pharming
O Pharming uma tcnica que utiliza o seqestro ou a contaminao do DNS (Domain Name System) para levar os
usurios a um site falso, alterando o DNS do site de destino. O sistema tambm pode redirecionar os usurios para sites
autnticos atravs de proxies controlados pelos Phishers, que podem ser usados para monitorar e interceptar a digitao.
Os sites falsificados coletam nmeros de cartes de crdito, nomes de contas, senhas e nmeros de documentos. Isso
feito atravs da exibio de um Pop-up para roubar a informao antes de levar o usurio ao site real. O programa mal-
intencionado usa um certificado auto-assinado para fingir a autenticao e induzir o usurio a acreditar nele o bastante para
inserir seus dados pessoais no site falsificado.
Outra forma de enganar o usurio sobrepor a barra de endereo e status de navegador para induzi-lo a pensar que
est no site legtimo e inserir suas informaes.
Os phishers utilizam truques para instalar programas criminosos nos computadores dos consumidores e roubar
diretamente as informaes. Na maioria dos casos, o usurio no sabe que est infectado, percebendo apenas uma ligeira
reduo na velocidade do computador ou falhas de funcionamento atribudas a vulnerabilidades normais de software. Um
software de segurana uma ferramenta necessria para evitar a instalao de programas criminosos se o usurio for atingido
por um ataque.
Alguns veculos de divulgao descrevem Pharming como um tipo especfico de Phishing.
Engenharia Social
Conhecido como a arte de enganar. uma tcnica utilizada pelo atacante para obter informaes pessoais de um usurio.
Existem casos onde o atacante se passa por outra pessoa ou empresa para obter estas informaes.
228. Um vrus de computador pode ser contrado no acesso 240. Caso um usurio envie uma mensagem de correio
a pginas web. Para se evitar a contaminao por vrus, eletrnico e deseje que ela no possa ser lida por algum
necessrio que o navegador utilizado tenha um software que, por algum meio, a intercepte, ele deve se certificar
antivrus instalado e ativado. Para se ativar o antivrus que nenhum processo de criptografia seja usado para
disponibilizado pelo IE6, suficiente clicar o menu codific-la.
Ferramentas e, em seguida, clicar a opo Ativar antivrus.
241. Considerando que um teste de velocidade de conexo
229. Atualmente, mensagens de correio eletrnico podem tenha sido realizado por meio de um computador que
ser utilizadas para se enviar aplicativos maliciosos que, ao tenha ativado sistema antivrus e de um firewall, se estes
serem executados, acarretam aumento na vulnerabilidade sistemas fossem desativados, a velocidade de transmisso
de um computador e das possibilidades de ataque a um medida poderia atingir valores maiores que o obtido no
sistema. teste mencionado.
230. Existem diversos procedimentos ou mecanismos para
(FCC)
impedir que aplicativos maliciosos anexados a uma
mensagem de correio eletrnico sejam armazenados ou
executados em um computador. Entre esses, pode-se 242. Um firewall tradicional
destacar o uso do antivrus, que, ao ser instalado em um a) Permite realizar filtragem de servios e impor polticas
computador capaz de decidir ativamente qual arquivo de segurana.
pode ou no ser executado, diminuindo as conseqncias b) Bem configurado em uma rede corporativa realiza a
de um ataque do tipo phishing. proteo contra vrus, tornando-se desnecessria a
231. Vrus de macro infectam a rea do sistema de um aquisio de ferramentas antivrus.
disco, ou seja, o registro de inicializao em disquetes e c) Protege a rede contra bugs e falhas nos equipamentos
discos rgidos. decorrentes da no atualizao dos sistemas
operacionais.
232. Um vrus de computador pode ser contrado no acesso
a pginas web. Para se evitar a contaminao por vrus, d) Evita colises na rede interna e externa da empresa,
necessrio que o navegador utilizado tenha um software melhorando, com isto, o desempenho do ambiente
antivrus instalado e ativado. Para se ativar o antivrus organizacional.
disponibilizado pelo IE6, suficiente clicar o menu e) Deve ser configurado com base em regras permissivas
Ferramentas e, em seguida, clicar a opo Ativar antivrus. (todos podem fazer tudo o que no for proibido),
233. Considere a seguinte situao hipottica. Para que um restringindo-se acessos apenas quando necessrio,
cliente acesse os seus dados bancrios por meio da como melhor poltica de segurana.
Internet, o Banco do Brasil, para aumentar a segurana 243. Programa malicioso que, uma vez instalado em um
nesse acesso, passou a exigir o cadastramento do nmero microcomputador, permite a abertura de portas,
MAC da interface de rede do computador utilizado pelo possibilitando a obteno de informaes no
cliente no acesso ao stio do banco. Nessa situao, autorizadas, o:
correto concluir que, para cada provedor de acesso que o
cliente utilize para acessar o stio do banco, novo cadastro
a) Firewall.
dever ser efetuado, pois, para cada provedor, haver um b) Trojan Horse.
nmero MAC especfico. c) SPAM Killer.
234. O termo WORM usado na informtica para designar d) Vrus de Macro.
programas que combatem tipos especficos de vrus de e) Antivrus.
computador que costumam se disseminar criando cpias de 244. A respeito de assinatura e autenticao digital,
si mesmos em outros sistemas e so transmitidos por analise as ocorrncias abaixo:
conexo de rede ou por anexos de e-mail. I. Uso de uma de funo hash;
235. A assinatura digital consiste na criao de um cdigo II. Uso da chave privada;
de modo que a pessoa ou entidade que receber uma III. Uso da chave pblica;
mensagem contendo este cdigo possa verificar se o IV. Envio dos dados de um usurio do sistema para outro
remetente mesmo quem diz ser e identificar qualquer usurio.
mensagem que possa ter sido modificada. Na correta seqncia temporal, estritamente de um
processo de assinatura digital tradicional (desconsiderando
236. O firewall o dispositivo que permite a conexo com a a criptografia da mensagem), temos:
Internet, uma vez que responsvel pela converso do a) O item I somente ocorrendo aps o item II.
sinal analgico em sinal digital.
b) O item III somente ocorrendo aps o item II.
237. Trojan um programa que age utilizando o princpio c) O item I somente ocorrendo aps o item IV.
do cavalo de tria. Aps ser instalado no computador, ele
libera uma porta de comunicao para um possvel invasor.
d) O item I somente ocorrendo antes do item IV.
e) O item III somente ocorrendo antes do item IV.
238. O termo TCP/IP denomina o grupo de aplicativos de
245. Tradicionalmente realiza a proteo de mquinas de
computador que tem a funo de detectar e eliminar a
uma rede contra os ataques (tentativas de invaso)
infeco de programas por vrus de computador.
provindos de um ambiente externo. Trata-se de
239. Adwares so softwares maliciosos criados por a) Roteador. b) Antivrus. c) Password. d) Firewall. e) Hub.
programadores de vrus.
246. No que diz respeito proteo e segurana em e) Mant-los atualizados com a aplicao de patches
informtica, analise as definies abaixo: especficos.
I. Procedimento para salvaguarda fsica de informaes.
II. Palavra secreta que visa a restringir o acesso a 252. Selecione a melhor forma de privacidade para dados
determinadas informaes. que estejam trafegando em uma rede:
III. Mtodo de codificao de dados que visa a garantir o a) Criptografia.
sigilo de informaes. b) Chaves de segurana e bloqueio de teclados.
Essas definies correspondem, respectivamente, a c) Emprego de sistema de senhas e autenticao de
a) Layout, criptograma e restore. acesso.
d) Mtodos de Backup e recuperao eficientes.
b) Backup, password e criptografia.
e) Desativao da rede e utilizao dos dados apenas em
c) Lookup, password e login. papel impresso.
d) Criptografia, login e backup.
253. Um conjunto de programas relacionados, alocados no
e) Backup, plugin e reprografia. servidor de uma rede de computadores, que protege os
recursos privados dessa rede contra a intruso ou acesso
247. Os vrus que normalmente so transmitidos pelos
indesejvel de usurios no autorizados um
arquivos dos aplicativos MS-Office so denominados tipo
a) Wallpaper. b) Homework. c) Scan vrus. d) Retro vrus. e)
vrus de
Firewall.
a) Macro.
b) Boot. 254. Aps instalar antivrus em uma rede,
c) E-mail. a) No necessrio proceder varredura dos arquivos
d) Setor de inicializao. das estaes se, porventura, estas adquirirem algum
e) Arquivo executvel. tipo de vrus.
b) Deve-se ativ-lo somente quando todas as estaes de
248. Uma senha se tornar frgil, ou ser fcil de ser
trabalho estiverem conectadas rede.
descoberta, caso na sua elaborao utilize
a) Um cdigo, que seja trocado regularmente. c) Deve-se manter atualizada a lista de vrus.
b) Pelo menos 8 caracteres entre letras, nmeros e d) No necessrio instalar um firewall porque o antivrus
smbolos. j possui essa funo embutida.
c) Nomes prprios ou palavras contidas em dicionrios. e) Deve-se instalar um firewall, caso contrrio o antivrus
d) Um cdigo fcil de ser lembrado. no funcionar na rede.
e) Um cdigo simples de digitar.
255. Um _____ efetivamente coloca uma barreira entre a
249. A pessoa que quebra ilegalmente a segurana dos rede corporativa e o lado externo, protegendo o
sistemas de computador ou o esquema de registro de um permetro e repelindo hackers. Ele age como um nico
software comercial denominado: ponto de entrada, atravs do qual todo o trfego que
a) Hacker. b) Scanner. c) Finger. d) Cracker. e) Sniffer. chega pela rede pode ser auditado, autorizado e
autenticado. Completa corretamente a lacuna acima:
250. Se a proteo contra vrus de macro do processador
de texto estiver assinalada com nvel de segurana alto a) Firewall.
e um documento que contenha macros no assinadas b) Antivrus.
for aberto, o software antivrus do Oficce 2000 verificar o c) Servidor Web.
documento e d) Servidor de aplicativos.
a) As macros sero desativadas automaticamente e o e) Browser.
documento aberto. 256. As ferramentas antivrus:
b) As macros sero ativadas automaticamente e o a) So recomendadas apenas para redes com mais de 100
documento aberto. estaes.
c) O usurio ser solicitado a ativar ou desativar as
macros.
b) Dependem de um firewall para funcionarem.
258. Assinale a opo que, no mbito da segurana da d) Detectar um vrus ainda desconhecido.
informao, NO um exemplo de vulnerabilidade. e) Restaurar o sistema operacional a um estado antes da
a) Funcionrio desonesto. infeco.
b) Firewall mal configurado. 264. O arquivo que, anexado mensagem de correio
c) Sistema operacional desatualizado. eletrnico, oferece, se aberto, O MENOR risco de
d) Links sem contingncia. contaminao do computador por vrus :
e) Rede eltrica instvel. a) copia.exe
b) happy.doc
259. Os procedimentos a seguir so recomendados para
c) love.com
aumentar o nvel de segurana do computador, EXCETO:
d) vrus.jpg
a) No utilizar programas piratas. e) renomeia.bat
b) Manter antivrus e spyware atualizados.
265. Uma mensagem enviada de X para Y criptografada
c) Instalar programas com procedncia desconhecida.
e descriptografada, respectivamente, pelas chaves:
d) Evitar o uso de dispositivos de armazenamento de
terceiros. a) Pblica de Y (que X conhece) e privada de X.
b) Pblica de Y (que X conhece) e privada de Y.
e) Realizar periodicamente backup dos arquivos mais c) Privada de X (que Y conhece) e privada de Y.
importantes. d) Privada de X (que Y conhece) e pblica de X.
260. Para executar tarefas comuns, que no exijam e) Privada de Y (que X conhece) e pblica de X.
privilgios de administrador, uma boa prtica de 266. Sendo E (o Emissor) que envia uma mensagem
segurana no utilizar um usurio que possua tais sigilosa e criptografada, com a chave pblica, para R (o
privilgios, uma vez que: Receptor), pode-se dizer que E codifica com a chave
a) Cavalos de tria s atacam mquinas autenticadas com
a) Pblica de R e R decodifica com a chave pblica de E.
administrador do sistema.
b) Um cdigo malicioso pode ganhar os privilgios do b) Pblica de R e R decodifica com a chave privada de R.
usurio autenticado. c) Pblica de E e R decodifica com a chave privada de R.
c) Programas antivrus s podem ser atualizados por
d) Privada de E e R decodifica com a chave pblica de R.
usurios sem privilgios de administrador.
d) Usurios sem privilgio de administrador so imunes a e) Privada de E e R decodifica com a chave pblica de E.
cdigo malicioso. 267. Observe a citao abaixo referente a um malware de
e) Usurios sem privilgios de administrador, apenas, computador:
possuem permisso para executar o navegador HTML.
Programa intruso nos sistemas, normalmente de aparncia
261. NO considerado um programa malicioso: inofensiva, mas que provoca uma ao maliciosa quando
a) Keylogger executado. No tem capacidade de infectar outros arquivos
ou se disseminar de um computador a outro. Para se
b) Trojan
introduzir em um sistema, deve ser deliberadamente
c) Worm enviado aos usurios, normalmente disfarados como
d) Spyware fotos, jogos e utilitrios em geral. Possibilita que um intruso
e) Firewall tome controle total do sistema invadido ou, at mesmo
262. Observe as seguintes afirmativas sobre segurana em roube senhas e outras informaes privadas.
senhas de acesso. O malware descrito do tipo:
I. Todo vrus com extenso EXE instala um programa espio (A) Hoax (Boatos)
para roubo de senhas. (B) Trojan (Cavalo de Tria)
II. Quanto menor o tamanho de uma senha, maior sua (C) Worm (Verme)
segurana. (D) Keyloggers
III. Quanto maior a aleatoriedade de uma senha, maior sua (E) Sniffers (Farejador)
segurana.
Est(o) correta(s), somente, a(s) afirmativa(s): (NCE)
a) I
b) II 268. Vrus de computador :
c) III
d) I e III a) Arquivo auto-executvel que se instala no
e) II e III microcomputador, provocando desde travamento dos
programas at a perda completa dos dados gravados
263. Em programas de antivrus, heursticas so utilizadas nos discos.
para: b) Mau funcionamento do computador, causado
a) Imunizar e-mails contaminados. pela umidade e mau contato entre as placas.
b) Bloquear conexes externas ao computador. c) Instalao incorreta dos softwares.
d) Memria que carrega programa infectado.
c) Atualizar automaticamente as estatsticas globais de
Instalao incorreta de itens de Hardware.
infeco.
Indique a opo que contenha todas as afirmaes 16) Analista de Finanas e Controle - Tecnologia da
verdadeiras. Informao CGU (2004) Analise as seguintes afirmaes
a) I e II b) II e III c) III e IV relativas aos conceitos de Segurana da Informao:
d) I e III e) II e IV I. Cofidencialida
de a propriedade de manuteno do sigilo das
14) Tcnico Administrativo MPU gabarito 1 (2004) Analise informaes. uma garantia de que as informaes no
as seguintes afirmaes relativas segurana da podero ser acessadas por pessoas no autorizadas.
informao. II. Irretratabilidad
e a propriedade de evitar a negativa de autoria de
transaes por parte de usurios, garantindo ao
a) uma chave secreta nica para as duas pontas. 26) Tcnico Legislativo Agente de Polcia Cmara dos
b) uma chave pblica nica para as duas pontas. Deputados (07-2007) Um programa capaz de se auto-
c) duas chaves secretas, uma para cada ponta. propagar automaticamente atravs de redes, enviando
d) duas chaves pblicas, uma para cada ponta. cpias de si mesmo, de computador para computador,
e) uma chave secreta individual e uma chave pblica denomina-se
comum para cada uma das pontas. a) cavalo de tria. b) macro. c) backup.
d) backdoor. e) worm.
24) Anlise de Sistemas - TRT 24 regio (03-2006) Segundo
a NBR ISO/IEC 17799:2001, o conceito de segurana da 27) Analista de Controle Externo TI - TCE-AM (05-2008)
informao caracterizado pela preservao de: Programa capaz de capturar e armazenar as teclas digitadas
(I) que a garantia de que a informao acessvel pelo usurio no teclado de um computador o
somente por pessoas autorizadas a terem acesso; a) Worm. b) Spyware. c)
(II) que a salvaguarda da exatido e completeza da Backdoor.
informao e dos mtodos de processamento; d) Keylogger. e) Cavalo de Tria.
(III) que a garantia de que os usurios autorizados
obtenham acesso informao e aos ativos 28) Tcnico Judicirio TRT 8 regio (12-2004) As
correspondentes, sempre que necessrio. ferramentas antivrus:
Preenchem correta e respectivamente as lacunas I, II e III: a) so recomendadas apenas para redes com mais de 100
a) disponibilidade integridade confidencialidade. estaes.
b) confidencialidade integridade disponibilidade. b) dependem de um firewall para funcionarem.
c) integridade confidencialidade disponibilidade c) podem ser utilizadas independentes do uso de um
d) confidencialidade disponibilidade integridade firewall.
e) disponibilidade confidencialidade integridade d) e um firewall significam a mesma coisa e tm as
mesmas funes.
25) Cincias da Computao - Tribunal de Contas-PI (03- e) devem ser instaladas somente nos servidores de rede
2005) Os antivrus so programas que NO tm capacidade e no nas estaes de trabalho.
de
a) identificar e eliminar a maior quantidade de vrus 29) Anlise de Sistemas TJ-PE (05-2007) Uma pessoa mal
possvel. intencionada tenta obter informaes como nmeros de
b) analisar os arquivos obtidos pela Internet. cartes de crdito, senhas, dados de contas ou outras
c) evitar o acesso no autorizado a um backdoor instalado. informaes pessoais convencendo-o a fornec-las sob
d) verificar continuamente os discos rgidos e disquetes. pretextos enganosos em um ataque via WEB do tipo
e) procurar vrus em arquivos anexados aos e-mails. a) phishing scam. b) adware.
c) slice and dice. d) spyware. e) hijack.
1.C 2.D 3.A 4.D 5.E 6.B 7.D 8.A 9.C 10.E
11.D 12.B 13.C 14.B 15.D 16.A 17.B 18.E 19.B 20.D
21.A 22.A 23.E 24.B 25.C 26.E 27.D 28.C 29.A