Você está na página 1de 76

Professor Csar Vianna

Conceitos Bsicos de Segurana da Informao


Conceitos Bsicos de Segurana da Informao.
Sumrio
DEFINIES INICIAIS ................................................................................................................................... 4
1. Caractersticas Gerais..................................................................................................................................... 4
1.1. Princpios Bsicos ................................................................................................................................... 6
1.2. Princpios Derivados ............................................................................................................................... 8
2. Mecanismos de Segurana ............................................................................................................................. 9
2.1. Firewall ................................................................................................................................................. 10
2.2. Antivrus ............................................................................................................................................... 12
2.3 VPN Virtual Private Network ............................................................................................................. 14
2.4 Biometria................................................................................................................................................ 15
3. Ataque .......................................................................................................................................................... 15
3.1. Engenharia Social ................................................................................................................................. 16
3.2 Phishing.................................................................................................................................................. 17
3.3. Pharming ............................................................................................................................................... 18
3.4. Boato (Hoax) ......................................................................................................................................... 19
3.5. (Atualizao 2017) Varredura em redes (Scan) .................................................................................... 19
3.6 Interceptao de trfego (Sniffing) ........................................................................................................ 20
3.7. (Atualizao 2017) Fora bruta (Brute force) ....................................................................................... 20
3.8. (Atualizao 2017) Desfigurao de pgina (Defacement) .................................................................. 21
4. Malwares Pragas Eletrnicas .................................................................................................................... 21
4.1. Vrus ...................................................................................................................................................... 21
4.2. Worms ................................................................................................................................................... 22
4.3. Spyware................................................................................................................................................. 25
4.4. Bot ......................................................................................................................................................... 27
4.5. Backdoor ............................................................................................................................................... 28
4.6. Cavalo de troia (Trojan) ........................................................................................................................ 28
4.7. Rootkit................................................................................................................................................... 30
4.8. Ransomware .......................................................................................................................................... 30
5. Certificao Digital ...................................................................................................................................... 31
5.1. Certificado Digital ................................................................................................................................ 31
5.2. Infraestrutura de Chaves Pblicas Brasileira (ICP-Brasil) ................................................................... 32
5.2.1 Componentes do Processo .................................................................................................................. 32
5.3. Criptografia ........................................................................................................................................... 35
5.3.1. Criptografia de chave simtrica e de chaves assimtricas ................................................................. 35
5.3.1.1. Garantindo a Confidencialidade ..................................................................................................... 38
5.3.1.2. Garantindo a Autenticidade ............................................................................................................ 39
QUESTES PROPOSTAS ............................................................................................................................. 44
COMENTRIOS DAS QUESTES PROPOSTAS....................................................................................... 55
Ateno!!
A aprovao em um concurso pblico depende de um bom rendimento,
distribudo entre todas as matrias do edital.
Para chegar posse, distribua seu estudo entre todas as matrias!

Gostaria de propor uma sequncia de atividades para o seu aprendizado. Tendo como base a
frmula abaixo:

[APRENDER] = [COMPREENDER] + [MEMORIZAR]


Sabemos que de nada adianta compreendermos a matria, se no lembrarmos dela na hora da
prova. Tambm verdade, que a famosa decoreba tem uma aplicao limitada e perigosa.

Para unirmos as duas peas do aprendizado, seguiremos os passos abaixo:

1. Exposio terica (Compreenso)


2. Exerccios intercalados com a teoria (Compreenso)
3. Resumos e esquemas (Memorizao)
4. Lista de exerccios propostos (Memorizao)
Material de Apoio Recomendado
Duas entidades so referncia para o estudo de Segurana da Informao e so muito
utilizadas pelas bancas para elaborao de questes: ITI e CERT.br.
A primeira o Instituto Nacional de Tecnologia da Informao (ITI). Uma autarquia
federal vinculada Casa Civil da Presidncia da Repblica, cujo objetivo manter a
Infraestrutura de Chaves Pblicas Brasileira - ICP-Brasil, sendo a primeira autoridade
da cadeia de certificao - AC Raiz.
A segunda Centro de Estudos, Resposta e Tratamento de Incidentes de Segurana no
Brasil, mantido pelo NIC.br, do Comit Gestor da Internet no Brasil O CERT.br mantm
cartilhas muito ricas com conceitos e boas prticas para uso mais seguro da internet.
ITI / ICP-Brasil
http://www.iti.gov.br/icp-brasil
http://www.iti.gov.br/images/publicacoes/cartilhas/cartilhaentenda.pdf
CERT.br
http://www.cert.br/
http://cartilha.cert.br/

DEFINIES INICIAIS

Optei por iniciar nosso estudo por um tpico de grande relevncia para os concursos
atuais. A Segurana da Informao tema constante em editais e provas! E isso
resultado do valor que a informao galgou nas organizaes nos ltimos anos.
Atualmente ela um dos maiores, e por vezes o maior, ativo de uma empresa. Ento,
proteger as informaes de valor uma tarefa estratgica.
1. Caractersticas Gerais

Segurana da Informao est relacionada com proteo de um conjunto de dados, no


sentido de preservar o valor que possuem para um indivduo ou uma organizao.
Segurana da informao objetiva a preservao da confidencialidade, integridade e
disponibilidade da informao; adicionalmente, outras propriedades, tais como
autenticidade, responsabilidade, no repdio e confiabilidade, podem tambm estar
envolvidas
[ABNT NBR ISO/IEC 17799:2005]

importante frisar que a informao no se restringe a dados eletrnicos e sim a todo


ativo de informao, todo dado que possui valor para uma instituio.
Exemplos de ativos de informao incluem arquivos digitais, arquivos em papel,
ligaes telefnicas, conversas faladas, etc.
Uma regra interessante que quanto mais investimos em segurana, menor ser o
desempenho de nossos processos.
Como assim?
Pense. mais fcil entrar em uma loja de roupas ou em um banco?
Na loja, certo? Por que o banco tem um monte de instrumentos de segurana que a
loja no tem. Ento, essa uma relao custo/benefcio.

Dica!
Quanto maior a segurana, menor o desempenho.

Por esse motivo, as organizaes estabelecem seus mecanismos de proteo de acordo


com o seu negcio e objetivos. Por exemplo, uma empresa deve proteger a
confidencialidade de uma pea publicitria at o lanamento do produto, aps o que
menos ser almejado o sigilo da propaganda.
Essas decises estratgicas formam a Poltica de Segurana. Um conjunto de
diretrizes destinadas a definir a proteo adequada dos ativos produzidos pelos
Sistemas de Informao das entidades.
(FCC) Assistente Administrativo - DPE-RR/2015
Para assegurar a proteo e segurana das informaes que trafegam pela internet, um
Assistente Administrativo deve ter diversos cuidados, dentre os quais:
a) Seguir a poltica de confidencialidade e divulgar informaes profissionais em blogs e redes
sociais, de forma a aumentar a visibilidade e a transparncia dos servios pblicos.
b) Ficar atento s mudanas que ocorrem nas polticas de uso e de privacidade dos servios
que utiliza, para no ser surpreendido com alteraes que possam comprometer a sua
privacidade.
c) Nunca notificar atitudes consideradas abusivas, para no comprometer a credibilidade da
Defensoria.
d) Procurar fazer o download e executar simultaneamente diferentes programas antimalware
para aumentar a segurana em seu computador.
e) Bloquear sempre os cookies do navegador de Internet, pois todos os cookies instalam
malwares que podem deixar as informaes da Defensoria vulnerveis.
Comentrios

Ateno, ateno!! Olha a pegadinha!! Por um pequeno detalhe de redao, a letra A no est
correta.
Vamos reescrever:
Seguindo a poltica de confidencialidade, apenas divulgar informaes profissionais
permitidas em blogs e redes sociais, de forma a aumentar a visibilidade e a transparncia dos
servios pblicos.
A, sim! Mas, da forma como est na questo, nem pensar!
Agora a letra B, est perfeita! Os usurios devem estar atentos e atualizados sobre as regras
de segurana das organizaes as quais esto inseridos.
A letra C no resta dvidas, quanto ao erro. Devemos seguir as orientaes da poltica de
segurana notificando eventos importantes s reas responsveis.
Em relao letra D, guarde uma regra bsica:
Somente um software de proteo (de cada categoria) deve estar rodando
em um computador ao mesmo tempo!
Exemplos de Categorias de Softwares de segurana incluem antimalware,
antivrus, firewalls, anti-spam, etc.
Isto , no 2 antimalwares* no podem coexistir ao mesmo tempo, no mesmo
computador!
* Antimalwares so softwares que protegem contra diversas pragas, incluindo vrus,
entre outras.
Os cookies so recursos lcitos, utilizados para armazenar informaes de utilizao dos
usurios nas pginas da internet. Contudo, alguns sites podem fazer mau uso deles.
Logo, alguns cookies de alguns sites devem ser bloqueados. Se bloquearmos todos,
muitos sites no iro funcionar.
Gabarito: B
1.1. Princpios Bsicos

Os princpios bsicos formam a regra do CID.

1. Confidencialidade - propriedade que determina que a informao s esteja


disponvel a entidades autorizadas.

a. Para garantir a CONFIDENCIALIDADE, s pode VER quem pode.


2. Integridade - propriedade que garante que a informao s seja alterada
por entes autorizados durante todo o seu ciclo de vida (nascimento,
manuteno e destruio). Segundo a norma NBR ISSO/IEC 27001,
integridade a salvaguarda da exatido e completeza dos ativos.

a. Para garantir a INTEGRIDADE, s pode ALTERAR quem pode.


3. Disponibilidade - propriedade que garante que a informao esteja
disponvel e funcional para entidades autorizadas, quando for necessrio.

a. Para garantir a DISPONIBILIDADE, tenho que TER ACESSO quando


preciso.
A integridade o princpio bsico da segurana da informao que enuncia a garantia
de que uma informao no foi alterada durante seu percurso, da origem ao destino.
(CESGRANRIO) Escriturrio - Caixa/2008

O esquema abaixo daqueles para colocar na parede do quarto!

C I D
CONFIDENCIALIDADE INTEGRIDADE DISPONIBILIDADE

Tenho que TER


S pode VER quem S pode ALTERAR
ACESSO quando
pode. quem pode.
preciso.
(FCC) Analista Judicirio - TRT - 24 REGIO (MS)/2011
Considere:
I. Garantia de que o acesso informao seja obtido somente por pessoas autorizadas.
II. Salvaguarda da exatido e completeza da informao e dos mtodos de
processamento.
III. Garantia de que os usurios autorizados obtenham acesso informao e aos ativos
correspondentes sempre que necessrio.
Na ISO/IEC 17799, I, II e III correspondem, respectivamente, a
a) disponibilidade, integridade e confiabilidade.
b) confiabilidade, integridade e distributividade.
c) confidencialidade, integridade e disponibilidade.
d) confidencialidade, confiabilidade e disponibilidade.
e) integridade, confiabilidade e disponibilidade.
Comentrios
I S pode acessar/ver quem pode = CONFIDENCIALIDADE!
II S pode alterar quem pode = INTEGRIDADE!
III Se eu posso e preciso, preciso ter acesso = DISPONIBILIDADE!
Fechou o CID.
Gabarito: C.
(CESPE) Escriturrio - Banco do Brasil/2008
Confidencialidade, integridade e disponibilidade so caractersticas diretamente relacionadas
segurana da informao que podem ser ameaadas por agentes maliciosos. Em particular, a
perda de disponibilidade acontece quando determinada informao exposta ao manuseio de
pessoa no-autorizada, que, utilizando falha no equipamento causada por motivo interno ou
externo, efetua alteraes que no esto sob o controle do proprietrio da informao.
( ) Certo ( ) Errado
Comentrios

A perda da Disponibilidade ocorre quando um recurso no est acessvel a um agente


autorizado, no momento em que deveria estar. Ocorre por exemplo, quando um computador
queima ou quando o sistema cai.
Quando uma informao exposta e visualizada por um agente no autorizado, o princpio
atingido a Confidencialidade.
Se a informao for alterada sem a devida permisso, ento, atingiu-se a Integridade.

Gabarito: Errado.
(ESAF) Gesto de Infraestrutura de TI - ESAF/2015
A segurana da informao deve estar calcada em trs princpios bsicos. So eles:
a) confidencialidade, disponibilidade e integridade.
b) controle de acesso, criptografia e certificao.
c) poltica de segurana da informao, gesto e controle de ativos e controle de acesso.
d) preveno de furto de dados, ataque e vulnerabilidade.
e) segurana lgica, fsica e hbrida.
Comentrios

No se assuste com o cargo da questo. Esse um assunto muito presente em provas no


especficas de TI!
Lembre-se do CID!! Confidencialidade, Integridade e Disponibilidade so os princpios bsicos
da segurana da informao.

Gabarito: A

1.2. Princpios Derivados

1. Autenticidade: a propriedade que possibilita um usurio identificar a


identidade de um sistema e tambm permite que o sistema identifique de forma
correta e unvoca a identidade do usurio. Ao acessar um site bancrio, por
exemplo, podemos verificar a identidade do sistema atravs do certificado digital
do site. E a nossa identidade verificada atravs das informaes de agncia,
nmero de conta e senha. Contudo, outras tcnicas para autenticidade podem
ser utilizadas como certificados digitais para o usurio e biometria.
o Para garantir a AUTENTICIDADE, eu sei QUEM TU S, tu sabes QUEM
EU SOU.
2. No Repdio - no repdio ou irretratabilidade - o emissor no pode negar a
autenticidade da informao.
o Ao garantir o no repdio, se TU FIZESTE, ASSUME!
3. Confiabilidade A unio dos princpios bsicos garante a confiabilidade do
sistema. Quanto mais confivel um sistema , maior a sua segurana.
(FCC) Analista Judicirio - Medicina - TRE-RR/2015
O processo de proteo da informao das ameaas caracteriza-se como Segurana da
Informao. O resultado de uma gesto de segurana da informao adequada deve oferecer
suporte a cinco aspectos principais:
I. Somente as pessoas autorizadas tero acesso s informaes.
II. As informaes sero confiveis e exatas. Pessoas no autorizadas no podem alterar os
dados.
III. Garante o acesso s informaes, sempre que for necessrio, por pessoas autorizadas.
IV. Garante que em um processo de comunicao os remetentes no se passem por terceiros
e nem que a mensagem sofra alteraes durante o envio.
V. Garante que as informaes foram produzidas respeitando a legislao vigente.
Os aspectos elencados de I a V correspondem, correta e respectivamente, a:
a) integridade -disponibilidade -confidencialidade - autenticidade -legalidade
b) disponibilidade -confidencialidade -integridade - legalidade -autenticidade.
c) confidencialidade -integridade -disponibilidade - autenticidade -legalidade.
d) autenticidade -integridade -disponibilidade - le- galidade -confidencialidade
e) autenticidade -confidencialidade -integridade - disponibilidade -legalidade.
Comentrios

I. CONFIDENCIALIDADE
II. INTEGRIDADE
III. DISPONIBILIDDE
IV. AUTENTICIDADE
V. LEGALIDADE (Princpio no listado diretamente na Segurana da Informao)

Gabarito: C
2. Mecanismos de Segurana

Controles fsicos: previnem o acesso fsico no autorizado, danos e interferncias


com as instalaes e informaes da organizao.
Por exemplo, podemos limitar o acesso a uma informao, para garantir sua
confidencialidade, guardando-a em um cofre.
Controles Lgicos: limitam o acesso informao atravs de tcnicas de software.
A confidencialidade tambm pode ser implementada atravs de criptografia dos dados,
agora um controle lgico.
(CESGRANRIO) Tcnico de Contabilidade - Petrobras/2010
Os mecanismos implementados por software, usados para restringir o acesso e o uso do
sistema operacional, de redes, de programas utilitrios e aplicativos, constituem um processo
de segurana
a) digital.
b) fsica.
c) lgica.
d) restrita.
e) simples.
Comentrios
Os mecanismos empregados por software so classificados como Controles Lgicos. So
exemplos: senhas, softwares antivrus, entre outros.

Gabarito: C
2.1. Firewall

Um firewall um recurso de segurana que pode ser implementado por software ou por
hardware, servindo como um filtro para os pacotes que entram e saem de um
computador atravs da rede e para verificar se o trfego permitido ou no.
Por meio do firewall, aplica- se uma poltica de segurana a um determinado ponto da
rede, estabelecendo-se regras de acesso. Manter o firewall ativado evita a ocorrncia de
invases ou acessos indevidos rede.
Um firewall complementar ao antivrus e no pode substitu-lo, uma vez que os
firewalls so programas utilizados para evitar que conexes suspeitas e no autorizadas
vindas da Internet tenham acesso ao computador do usurio.
Fragmentos adaptados de questes da CESPE
Os critrios bsicos de filtragem dos firewalls so:
N IP
Protocolo
Porta
(FCC) Tcnico Judicirio - rea Administrativa - TRE-PR/2012
Uma barreira protetora que monitora e restringe as informaes passadas entre o seu
computador e uma rede ou a Internet, fornece uma defesa por software contra pessoas que
podem tentar acessar seu computador de fora sem a sua permisso chamada de
a) ActiveX.
b) Roteador.
c) Chaves pblicas.
d) Criptografia.
e) Firewall.
Comentrios

a) ActiveX plugin da Microsoft para reproduo de contedo multimdia online.


b) Roteador equipamento que conecta duas ou mais redes, estabelecendo a melhor rota para
os pacotes de informaes.
c) Chaves pblicas Componente do processo de Certificao Digital, forma uma associao
unvoca entre um certificado e uma entidade fsica ou jurdica.
d) Criptografia procedimento tcnico que codifica uma mensagem conferindo sigilo
informao.
e) Firewall filtro implementado por hardware ou software ou o conjunto dos dois com a
finalidade de filtrar informaes que trafegam entre redes. H tambm firewalls pessoais que
filtram o que um computador recebe e envia para a rede.

Gabarito: E
(CESPE) Tcnico em Regulao de Aviao Civil - rea 2 - ANAC/2012
Um firewall pessoal uma opo de ferramenta preventiva contra worms.
( ) Certo ( ) Errado
Comentrios

Ateno! Apesar de o firewall no ser um software destinado a proteger os sistemas contra


malwares, ele bloqueia conexes que podem ser brechas para a disseminao dessas pragas.
Ento, ele uma ferramenta que auxilia na preveno contra worms!
Esse um entendimento consolidado no CESPE. H quem discorde, mas deixe isso para a mesa
de bar.

Firewall auxilia na proteo contra Worms!


A CESPE j inseriu essa afirmao em diversas provas.
Gabarito: Certo
(CESGRANRIO) Tcnico de Administrao e Controle Jnior - Petrobras/2015
Um grupo de torcedores, insatisfeitos com o resultado do jogo em que seu time sofreu uma
goleada, planejou invadir a rede de computadores do estdio onde ocorreu a disputa para
tentar alterar o placar do jogo. Os torcedores localizaram a rede, porm, entre a rede interna
e a externa, encontraram uma barreira que usou tecnologia de filtragem dos pacotes que eles
estavam tentando enviar.
Essa barreira de segurana de filtro dos pacotes o
a) firewall
b) antivrus
c) antispam
d) proxy
e) PKI
Comentrios

A barreira que fica entre duas redes, filtrando a entrada e sada de informaes o firewall.
Ele pode ser implementado tanto por equipamentos de hardware como por softwares ou o
conjunto de ambos.

Antivrus o programa especializado a evitar esse tipo de malware, mas convencionalmente


tambm protege dos demais.

Antispam o programa para evitar a entrada de mensagens no desejadas.


Proxy um programa para compartilhamento e controle de conexo entre redes, em geral de
uma rede interna para a internet.

PKI (Public Key Infrastruccture) a infraestrutura de chaves pblicas, um sistema de


segurana baseado em chaves criptogrficas assimtricas.

Gabarito: A
(CESGRANRIO) Tcnico Bancrio - Banco da Amaznia/2015
Um usurio deseja proteger seu computador, de modo a impedir que um hacker utilize portas
de protocolo para invadir esse computador.
Uma forma de permitir essa proteo atravs da
a) criao de um disco de restaurao do sistema
b) configurao do navegador para trabalhar em modo annimo
c) instalao de um software de firewall
d) criao de senha para e-mail
e) cpia de arquivos do sistema para uma pasta protegida
Comentrios

O Firewall realiza bloqueios e/ou permisses de acordo com os seguintes critrios:


IP de origem
IP de destino
Protocolo de Comunicao
Porta de Comunicao
Por exemplo, um firewall pode bloquear todas as requisies HTTP e HTTPS de um determinado
IP. Assim, esse computador no ir conseguir navegar em pginas web.

Gabarito: C
2.2. Antivrus

O antivrus protege o computador contra diversas pragas. Para tanto, aplica um


conjunto de tcnicas de seguranas. A principais so as vacinas (criadas a partir de
uma base de registro de ocorrncias) e a heurstica, que permite avaliar o
comportamento de determinado programa para indicar a probabilidade de ser conter
um vrus.
Os procedimentos a seguir so recomendados para aumentar o nvel de segurana do
computador:
- no utilizar programas piratas.
- manter antivrus e spyware atualizados.
- evitar o uso de dispositivos de armazenamento de terceiros.
- realizar periodicamente backup dos arquivos mais importantes.
CESGRANRIO/2008

A atualizao constante do antivrus de extrema importncia, uma vez que as pragas


so mutantes!
Um computador em uso na Internet vulnervel ao ataque de vrus, razo por que a
instalao e a constante atualizao de antivrus so de fundamental importncia para
se evitar contaminaes.
A manuteno da atualizao dos antivrus auxilia no combate s pragas virtuais, como
os vrus, que so mutantes.
Fragmentos retirados de questes da CESPE
(FCC) Analista Judicirio - Administrativa - TRE-AP/2015
Um Analista sempre busca manter seu PC protegido das pragas virtuais, mas mesmo com os
cuidados, teve sua mquina com o sistema operacional Windows 7, em portugus, infectada.
O Analista deve
a) fazer uma varredura no computador usando o antivrus que j est instalado para tentar
remover o malware. a opo mais segura, pois o antivrus no fica comprometido e no pode
ser modificado de forma maliciosa.
b) instalar outros antivrus e fazer a varredura na mquina com todos eles. Quanto mais
ferramentas antimalware houver na mquina, maior proteo ser obtida.
c) abrir o Gerenciador de Tarefas do Windows, abrir a aba Processos e desabilitar todos os
processos sendo executados. Certamente um deles o malware que est causando o problema
e isso resolver tudo.
d) entrar em modo de segurana com rede, abrir o navegador adequado e executar uma
ferramenta de varredura on-line atualizada, habilitando nveis de segurana, como a varredura
de arquivos comprimidos e cache do navegador.
e) utilizar o prompt de comando e desabilitar todos os utilitrios do msconfig e do regedit.
Certamente um deles o malware que est causando o problema e isso limpar a mquina dos
aplicativos que se iniciam com o Windows.
Comentrios

a) O antivrus que j est instalado pode sim ficar comprometido e ser modificado de forma
maliciosa, no sendo eficaz para a remoo do malware.
b) Devemos possuir apenas um software antimalware instalado na mquina. Caso contrrio,
um pode afetar o funcionamento do outro.
c) Encerrar o processo responsvel pelo malware uma ao comum no processo de remoo
das pragas. Contudo, e um procedimento bastante especfico e que requer um bom
conhecimento tcnico e apenas uma das aes necessrias.
d) Uma ferramenta de varredura online pode auxiliar na remoo de malwares, uma vez que
no sero afetadas diretamente pela ao dos mesmos. Alm disso, ao ingressar no
sistema em modo de segurana, diversos recursos so desabilitados restringindo a ao
dos malwares.
e) Msconfig e regedit so utilitrios do Windows e no podem ser desabilitados.
Gabarito: D
2.3 VPN Virtual Private Network

Rede Privada Virtual uma tcnica que permite a transmisso de informaes


privadas atravs de uma rede de comunicaes pblica (como por exemplo, a Internet).
Para isso, utilizado o recurso de tunelamento durante as transmisses que garantem
a ligao entre redes de forma segura, evitando que atores no autorizados tenham
acesso s informaes.

A VPN permite que um usurio autorizado acesse uma intranet a partir de um


computador da internet.
Uma VPN faz uso da infraestrutura pblica de comunicaes, como a internet, para
proporcionar acesso remoto e seguro a uma determinada rede localizada
geograficamente distante do local de acesso.
(FCC) Tcnico Judicirio - TJ-PE/2012
A VPN permite que duas ou mais redes se comuniquem e troquem dados entre si,
mantendo os nveis recomendados de segurana, atravs da montagem de um tnel de
criptografia para proteger as informaes que trafegam entre as redes.
(FCC) Operador de Computador - TRE-PB/2008

(CESPE) Oficial de Controle Externo - TCE-RS/2013


possvel, utilizando-se uma conexo VPN criptografada, acessar os dados da intranet do
TCE/RS por meio da Internet.
( ) Certo ( ) Errado
Comentrios

Quando a CESPE diz que possvel, no quer dizer que exista, que esteja disponvel. No se
atenha ao detalhe de saber ou no se existe l no TCE do RS!!
E sim, que realmente possvel utilizar uma VPN para estabelecer uma comunicao at a rede
interna, a partir da internet.

Gabarito: C
2.4 Biometria

As tcnicas de biometria visam garantir a autenticidade de uma pessoas, atravs de


suas caractersticas. As tcnicas incluem, impresso digital, reconhecimento de face,
de ris, retina, voz, geometria da mo, reconhecimento da assinatura (presso,
movimentos areos, etc).
A palavra biometria vem do grego: bios (vida) e metron (medida). Designa um mtodo
automtico de reconhecimento individual baseado em medidas biolgicas (anatmicas e
fisiolgicas) e caractersticas comportamentais.
As biometrias mais implementadas, ou estudadas, incluem as impresses digitais,
reconhecimento de face, ris, assinatura e at a geometria das mos.
Fonte: http://www.tse.jus.br/eleicoes/biometria-e-urna-eletronica/biometria-1
A biometria se refere a vrias tcnicas de autenticao, para distinguir um indivduo do
outro, baseando-se nas caractersticas fsicas e/ou comportamentais.
(FCC) Tcnico em Informtica - TCM-PA/2010

(CESPE) Nvel Superior - ICMBIO/2014


Biometria uma forma de se identificar o comportamento, garantindo a segurana dos usurios
de Internet
( ) Certo ( ) Errado
Comentrios

NO EXISTE SEGURANA 100%

A biometria tem o objetivo de identificar um usurio atravs de caractersticas fsicas e


comportamentais. Essa ao garante a autenticidade do usurio. Contudo, existem
diversos outros conceitos de segurana que no esto envolvidos nesse contexto. Alm
disso, a biometria pode ser utilizada para autenticar usurios em diversos sistemas e
no s para internet.
Gabarito: E
3. Ataque

Ato de tentar desviar dos controles de segurana de um programa, sistema ou rede de


computadores.
Nesse contexto, dois conceitos so cobrados em provas: EVENTO e INCIDENTE.
Vamos nos basear nas definies previstas na ISO 27001.
Evento de Segurana da Informao
Uma ocorrncia identificada de um estado de sistema, servio ou rede, indicando uma
possvel violao da poltica de segurana da informao ou falha de controles, ou uma
situao previamente desconhecida, que possa ser relevante para a segurana da
informao.
Incidente de Segurana da Informao
Um simples ou uma srie de eventos de segurana da informao indesejados ou
inesperados, que tenham uma grande probabilidade de comprometer as operaes do
negcio e ameaar a segurana da informao.

Um ataque pode ser ativo, tendo por resultado a alterao dos dados; ou passivo, tendo
por resultado a liberao ou acesso a dados de forma no autorizada.
3.1. Engenharia Social
o conto do vigrio!
So tcnicas utilizadas para obter acesso a informaes sigilosas em organizaes e
sistemas computacionais, por meio da explorao da confiana das pessoas. Os
golpistas procuram enganar e persuadir as potenciais vtimas a fornecerem informaes
sensveis ou a realizarem aes, como executar cdigos maliciosos e acessar pginas
falsas.
Considere que uma mensagem de correio eletrnico, supostamente vinda do provedor
de Internet, sob a alegao de que o computador que recebia a mensagem estava
infectado por um vrus, sugeria que fosse instalada uma ferramenta de desinfeco.
Considere ainda que na verdade, a ferramenta oferecida era um programa malicioso
que, aps a instalao, tornou os dados pessoais do usurio acessveis ao remetente da
mensagem. Nessa situao hipottica, correto afirmar que houve um ataque de
engenharia social.
(CESPE) Analista - Negcios em Tecnologia da Informao - SERPRO/2013

(CESGRANRIO) Tcnico em Regulao de Petrleo e Derivados - ANP/2016


Uma hacker ameaou divulgar na Web informaes sigilosas de uma empresa aps ter
conseguido acesso a seus sistemas de informao. Para conseguir o acesso, ela telefonou para
uma das secretrias da diretoria, passando-se por esposa de um dos diretores. Em seguida,
ela disse secretria que seu marido tinha sofrido um acidente e estava hospitalizado. Porm,
antes de ficar inconsciente, o diretor lhe havia pedido que entrasse em contato com a empresa
a fim de que uma de suas secretrias solicitasse a mudana do seu login e da sua senha, pois
ele havia perdido sua agenda no acidente e temia que algum pudesse invadir os sistemas da
empresa, uma vez que esses dados, por descuido seu, estavam anotados na agenda perdida.
Em seguida, a suposta esposa forneceu os novos login e senha secretria.
Esse tipo de ataque para obteno de informaes chamado de
a) informaes livres
b) engenharia social
c) varredura de vulnerabilidades
d) dumpster diving
e) ataque fsico
Comentrios
A alterativa A no tem relao com o contexto.
A alternativa B o nosso gabarito! A tcnica que a hacker utilizou baseada em influncia e
ao sobre a ingenuidade de pessoas ligadas ao processo que se deseja atacar.
A alternativa C uma tcnica bastante utilizada para avaliar potenciais falhas em sistemas
computacionais. Os hackers utilizam softwares que varrem os sistemas alvo e registram todas
as falhas. Aps, podem decidir por atacar, explorando as vulnerabilidades localizadas.
Dumpster diving, citada na alternativa D, tambm chamada de trashing e uma tcnica na
qual os hackers vasculham o lixo do alvo desejado em busca de informaes relevantes como
formulrios, cartas, faturas, etc.
A alternativa E traz um conceito extremamente amplo, quem engloba toda a tentativa de
desviar os controles fsicos, tratados no incio do item 2.
Gabarito: B
3.2 Phishing

Atravs do Phishing ou phishing-scam um golpista tenta obter dados pessoais e


financeiros de um usurio, pela utilizao combinada de meios tcnicos e engenharia
social.
Sabe aquele email que recebes do banco, solicitando recadastramento de dados?
Phishing!
E o comunicado do SERASA? Tambm Phishing!
Essas mensagens sempre tentam se passar por um agente confivel e solicitam acesso
a sites (que podem instalar malwares em seu computador) ou solicitam o fornecimento
de informaes pessoais.
um tipo de fraude por meio da qual um golpista tenta obter dados pessoais e
financeiros de um usurio, pela utilizao combinada de meios tcnicos e engenharia
social, ocorre por meio do envio de mensagens eletrnicas que:
tentam se passar pela comunicao oficial de uma instituio conhecida, tal como
banco, empresa ou site popular;
- procuram atrair a ateno do usurio, seja por curiosidade, por caridade ou pela
possibilidade de obter alguma vantagem financeira;
informam que a no execuo dos procedimentos descritos pode acarretar srias
consequncias, como a inscrio em servios de proteo de crdito e o
cancelamento de um cadastro, de uma conta bancria ou de um carto de
crdito;
tentam induzir o usurio a fornecer dados pessoais e financeiros, por meio do
acesso a pginas falsas, que tentam se passar pela pgina oficial da instituio;
da instalao de cdigos maliciosos, projetados para coletar informaes
sensveis; e do preenchimento de formulrios contidos na mensagem ou em
pginas web.
(FCC) Tcnico Judicirio - TRT - 9 REGIO (PR)/2013

(CESPE) Tcnico Judicirio - rea Administrativa - TRE-RJ/2012


Recomenda-se utilizar antivrus para evitar phishing-scam , um tipo de golpe no qual se tenta
obter dados pessoais e financeiros de um usurio.
( ) Certo ( ) Errado
Comentrios
Um antivrus no a ferramenta mais adequada para evitar ataques de phishing. Para isso,
necessrio o uso adequado e precavido das ferramentas, no confiando em qualquer
mensagem, nem fornecendo dados a sites no verificados.

Gabarito: E
(FCC) Administrador - DPE-SP/2015
Alguns spammers (agentes que enviam spam) enviam mensagens fraudulentas que tentam
fazer com que voc compartilhe informaes pessoais, como senhas ou nmeros de cartes de
crdito. O Gmail, por exemplo, alm de mover essas mensagens para a caixa SPAM, informa o
que voc precisa saber: Os criadores de spams conseguem enviar mensagens que parecem
ser de uma pessoa ou empresa que voc conhece. Eles conseguem at invadir contas de e-
mail e enviar mensagens delas. Portanto, tenha cuidado com essas mensagens, mesmo se voc
conhecer o remetente". Essa prtica chama-se phishing. Alm do referido cuidado, outra
recomendao do Gmail que voc
a) evite clicar em links nessas mensagens e que no as responda.
b) responda ao remetente, com cuidado, informando o fato a ele.
c) envie a mensagem a vrios amigos e veja o que eles pensam a respeito.
d) clique nos eventuais links que esto no corpo da mensagem para ver se realmente um
phishing.
e) envie a mensagem a um outro endereo de seu e-mail e faa l os testes de leitura e
cliques nos links.
Comentrios

Questo, fcil. Contudo, muito boa para teres em seu material de reviso, uma vez que seu
enunciado traz a explicao clara sobre o golpe de Phishing!

Olhe o que o Gmail diz em suas recomendaes:


Recomendamos que voc evite clicar em links nessas mensagens e que no as
responda. Os criadores de spams conseguem enviar mensagens que parecem ser de
uma pessoa ou empresa que voc conhece. Eles conseguem at invadir contas de e-mail
e enviar mensagens delas. Portanto, tenha cuidado com essas mensagens, mesmo se
voc conhecer o remetente. O Google nunca pede senhas nem informaes confidenciais
por e-mail.
Fonte: https://support.google.com/mail/answer/1366858?hl=pt-BR

Ao clicar em um link, voc pode ser direcionado a uma pgina falsa. Se responder
mensagem, estar atestando ao Spammer que seu email vlido. Logo, voc se
tornar um alvo potencial.
Gabarito: A

3.3. Pharming

Pharming um tipo especfico de phishing que visa corromper o DNS, fazendo com que
a URL de um site passe a apontar para um servidor diferente do original.
Neste caso, quando voc tenta acessar um site legtimo, o seu navegador Web
redirecionado, de forma transparente, para uma pgina falsa.
(CESGRANRIO) Tcnico - FINEP/2011
O ataque a uma rede de computadores que corrompe o DNS (Domain Name System), fazendo
com que a URL (Uniform Resource Locator) de um site redirecione o cliente para um servidor
diferente do original, denominado
a) backdoor

b) pharming

c) sharing

d) spam

e) worm
Comentrios
A - Backdoor um programa que permite o retorno de um invasor a um computador
comprometido, por meio da incluso de servios criados ou modificados para este fim.
B O enunciado tem a descrio exata de Pharming!
C Termo no relacionado ao contexto.
D Mensagem eletrnico no autorizada pelo destinatrio.
E Praga eletrnica com caracterstica central de autoreplicao e grande poder de infeco
de sistemas.

Gabarito: B

3.4. Boato (Hoax)

Um boato, ou hoax, uma mensagem que possui contedo alarmante ou falso. Como
artifcio de verossimilhana o real autor tenta se passar por um remetente confivel,
ou aponta como autora do texto alguma personalidade, instituio, empresa importante
ou rgo governamental.
As histrias falsas incluem correntes de cunho sentimental, filantrpico ou humanitrio,
ou falsos vrus que ameaam destruir, contaminar ou formatar o disco rgido
O excesso de e-mails enviados sobrecarrega a rede e causa transtornos em decorrncia
do crdito que os usurios destinam s informaes veiculadas.
O ataque de Hoax ocorre quando o usurio do computador recebe uma mensagem no
solicitada, geralmente de contedo alarmista, a fim de assust-lo e convenc-lo a
continuar a corrente interminvel de e-mails para gerar congestionamento na rede.
(FCC) Tcnico Judicirio - TRT - 24 REGIO (MS)/2011

(CESPE) Tcnico Cientfico - Suporte Tcnico - Banco da Amaznia/2012


Os vrus do tipo hoax so facilmente detectados pelas ferramentas de antivrus que utilizam
tcnicas de deteco por assinaturas, pois fazem uso de macros j conhecidas de vrus.
( ) Certo ( ) Errado
Comentrios

Os boatos no so vrus! So mensagens com informaes inverdicas.


Existe um vrus denominado vrus de macro que infecta arquivos de documentos utilizando
linguagens de script.

Gabarito: E

3.5. (Atualizao 2017) Varredura em redes (Scan)

A Varredura em redes (Scan) permite realizar um mapeamento de redes para avaliar


equipamentos ativos e captar dados sobre eles. Assim possvel verificar qual o
Sistema Operacional utilizado, portas de comunicao abertas ou ativas, programas
instalados, entre outras informaes. O atacante coleta essas informaes para
explorar vulnerabilidades dos sistemas.
3.6 Interceptao de trfego (Sniffing)

Os programas denominados Sniffers realizam a inspeo dos dados que transitam na


rede, afim de interceptar informaes desejadas.
Essa ao pode ser legtima, quando realizada para fins de segurana e administrao
de rede ou maliciosa, quando realizada sem o conhecimento e consentimento dos
usurios.
(CESPE) Analista Administrativo - MS/2013
O sniffers, que pode ser do tipo filtro de pacotes e do tipo proxy de aplicaes, um dispositivo
que tem por objetivo aplicar uma poltica de segurana a determinado ponto de uma rede de
computadores.
( ) Certo ( ) Errado
Comentrios

Sniffer no uma ferramenta de segurana e sim uma fraude para coleta indevida de
informaes em uma rede.

Gabarito: E
Agora olha a prxima questo!!!
(FCC) Contador - TRF - 1 REGIO/2011
Dispositivo que tem por objetivo aplicar uma poltica de segurana a um determinado ponto de
controle da rede de computadores de uma empresa. Sua funo consiste em regular o trfego
de dados entre essa rede e a internet e impedir a transmisso e/ou recepo de acessos nocivos
ou no autorizados. Trata-se de
a) antivrus.
b) firewall.
c) mailing.
d) spyware.
e) adware.
Comentrios

Mesmo texto!!
Essa a funo do Firewall. Agir com um filtro de rede, permitindo pu bloqueando determinados
pacotes de acordo com regras pr-estabelecidas.

Gabarito: B

3.7. (Atualizao 2017) Fora bruta (Brute force)

O atacante utiliza tcnicas para adivinhar o nome de usurio e senha atravs de


sucessivas tentativas (por tentativa e erro). Caso consiga sucesso, ele poder ter
acesso e privilgios de forma indevida.
3.8. (Atualizao 2017) Desfigurao de pgina (Defacement)
Tem vezes que o ingls nos ajuda. Esse conceito foi cobrado na prova do TRT MS (2017)
para Tcnico Administrativo.
Defacement significa Desfigurar. Esse ataque consiste em desfigiurar uma pgina da
internet, modificando e inserindo contedos, sem autorizao. Tambm chamado de
Pichao Virtual.
4. Malwares Pragas Eletrnicas

Este tipo de programa indesejado, instalado sem o consentimento do usurio, tem por
objetivo capturar informaes de um computador de forma ilcita ou, ainda, danificar o
sistema. Entre os tipos mais comuns, esto os vrus, que se propagam infectando outras
mquinas com cpias de si prprios.
Extrado da prova para Gestor Governamental SEPLAG-MG /2013
Banca: IESES

(CESPE) Tcnico Forense - SEGESP-AL/2013


Um computador que apresenta reinicializaes inexplicveis ou lentides excessivas no
processamento de comandos pode estar infectado com algum malware, como vrus ou
spyware.
( ) Certo ( ) Errado
Comentrios

Um Malware um programa com potencial de causar algum impacto negativo sobre o


sistema. Existem diversos tipos de pragas eletrnicas. Elas se diferem em relao
forma que infectam os sistemas e pelas aes que executam. Tais aes, podem forar
a reinicializao do computador, deteriorar o desempenho das aplicaes e inclusive
causar danos fsicos a equipamentos, como superaquecimento, por exemplo.
Gabarito: Certo.
4.1. Vrus
Vrus um segmento de cdigo de computador, normalmente malicioso, que se
propaga inserindo cpias de si mesmo e se tornando parte de outros programas e
arquivos. Os programas que so afetados pelos vrus tornam-se hospedeiros. A
execuo do hospedeiro o gatilho para a execuo do vrus.
Ento, para que possa se tornar ativo e dar continuidade ao processo de infeco, o
vrus depende da execuo do programa ou arquivo hospedeiro, ou seja, para
que o seu computador seja infectado preciso que um programa j infectado seja
executado.
(FCC) Tcnico Judicirio - rea Administrativa - TRE-PB/2015
Atualmente, a forma mais utilizada para a disseminao de vrus por meio de mensagens de
e-mails com anexos recebidos pela internet. Para que o vrus seja ativado:
a) necessria a transferncia do anexo para a rea de trabalho do computador.
b) necessrio que o anexo contaminado seja aberto ou executado.
c) basta realizar a abertura da mensagem para a sua leitura.
d) suficiente o download da mensagem do servidor de e-mail para o computador.
e) necessrio que, uma vez aberta a mensagem, haja uma conexo com a internet.
Comentrios

O vrus dependente de seu hospedeiro. A execuo do hospedeiro o gatilho para a ativao


do vrus, uma vez que esse no possui a capacidade de autoexecuo.

Gabarito: B
(FCC) Escriturrio - Banco do Brasil/2013
A comunicao entre os funcionrios da empresa onde Ana trabalha se d, em grande parte,
por meio da troca de e-mails. Certo dia, Ana notou que um dos e-mails recebidos por ela
continha um arquivo anexo e uma mensagem na qual Ana era informada de que deveria abrir
o arquivo para atualizar seus dados cadastrais na empresa. Apesar do computador de Ana
conter um antivrus instalado, se o arquivo anexo no e-mail contm um vrus, correto afirmar
que o computador
a) foi infectado, pois ao ler a mensagem, o vrus se propagou para a memria do computador.
b) foi infectado, pois ao chegar caixa de e-mail, o vrus contido no arquivo se propaga
automaticamente para a memria do computador.
c) no ser infectado se Ana no abrir o arquivo anexo, mesmo que ela leia a mensagem do
e-mail.
d) no ser infectado, mesmo que ela abra o arquivo anexo, pois o antivrus instalado no
computador garante que no ocorra a infeco.
e) no ser infectado, pois os mecanismos de segurana presentes no servidor de e-mail
removem automaticamente o vrus do arquivo quando ele for aberto.
Comentrios

A caracterstica central dos vrus que so dependente de um hospedeiro. E para acionar o


vrus, necessrio acionar o arquivo hospedeiro, nesse caso o anexo do email. Ento, se a
usuria no executar o anexo, o vrus no ser ativado.

Gabarito: C
4.2. Worms
Worm um programa capaz de se propagar automaticamente pelas redes, enviando
cpias de si mesmo de computador para computador. isso que o difere do vrus: o
Worm no necessita de hospedeiro!
O worm no se propaga por meio da incluso de cpias de si mesmo em outros
programas ou arquivos, mas sim pela execuo direta de suas cpias ou pela
explorao automtica de vulnerabilidades existentes em programas instalados em
computadores.
O dano aos sistemas causado por consumir muitos recursos, devido grande
quantidade de cpias de si mesmo que costumam propagar e, como consequncia,
podem afetar o desempenho de redes e a utilizao de computadores. Essa situao
pode afetar a disponibilidade dos recursos.
Uma situao clssica de ao de um worm ocorre quando recebemos um email em
branco e ao questionarmos o remetente (comumente uma pessoa conhecida), o mesmo
informa que no enviou mensagem alguma. O que ocorreu? Um Worm ao infectar um
computador capaz de se enviar automaticamente a toda a lista de contatos do usurio
infectado. Assim, sua propagao atinge ndices exponenciais!
(FCC) Auditor Fiscal da Fazenda Estadual - SEFAZ-PI /2015
Considere o seguinte processo de propagao e infeco de um tipo de malware.
Aps infectar um computador, ele tenta se propagar e continuar o processo de infeco.
Para isto, necessita identificar os computadores alvos para os quais tentar se copiar,
o que pode ser feito de uma ou mais das seguintes maneiras:
a. efetuar varredura na rede e identificar computadores ativos;
b. aguardar que outros computadores contatem o computador infectado;
c. utilizar listas, predefinidas ou obtidas na Internet, contendo a identificao dos
alvos;
d. utilizar informaes contidas no computador infectado, como arquivos de
configurao e listas de endereos de e-mail.
Aps identificar os alvos, ele efetua cpias de si mesmo e tenta envi-las para estes
computadores, por uma ou mais das seguintes formas:
a. como parte da explorao de vulnerabilidades existentes em programas
instalados no computador alvo;
b. anexadas a e-mails;
c. via programas de troca de mensagens instantneas;
d. includas em pastas compartilhadas em redes locais ou do tipo P2P (Peer to
Peer).
Aps realizado o envio da cpia, ele necessita ser executado para que a infeco ocorra,
o que pode acontecer de uma ou mais das seguintes maneiras:
a. imediatamente aps ter sido transmitido, pela explorao de vulnerabilidades
em programas sendo executados no computador alvo no momento do
recebimento da cpia;
b. diretamente pelo usurio, pela execuo de uma das cpias enviadas ao seu
computador;
c. pela realizao de uma ao especfica do usurio, a qual ele est condicionado
como, por exemplo, a insero de uma mdia removvel.
Aps o alvo ser infectado, o processo de propagao e infeco recomea, sendo que,
a partir deste momento, o computador que antes era o alvo passa a ser tambm
originador dos ataques.
Trata-se do processo de propagao e infeco por
a) backdoor.
b) trojan.
c) spyware.
d) worm.
e) vrus.
Comentrios
Para que tanto texto!?!!?

Vamos destacar o que interessa:

Aps infectar um computador, ele tenta se propagar e continuar o processo de


infeco.
Aps identificar os alvos, ele efetua cpias de si mesmo e tenta envi-las para
estes computadores.
Aps realizado o envio da cpia, ele necessita ser executado para que a
infeco ocorra.

O malware que tem como principal objetivo de propagar, que cria cpias de si mesmo
e necessita ter a execuo explcita do cdigo malicioso efetuada o Worm!

Para maiores informaes sobre comparao entre malwares, veja a Tabela 4.1:
Resumo comparativo entre os cdigos maliciosos. da Cartilha do Cert.BR disponvel
em http://cartilha.cert.br/malware/

Gabarito: D
(CESPE) Analista - Telebras/2015
Worms, assim como os vrus, so autorreplicveis e necessitam ser executados pelos
usurios para se propagarem e infectarem os computadores de uma rede.
( ) Certo ( ) Errado
Comentrios

Os Vrus se diferem dos Worm pela forma de propagao e execuo.


Caractersticas dos Vrus
Age atravs da execuo de um arquivo infectado (hospedeiro);
Se propaga inserindo cpia de si prprio em arquivos.
Caractersticas dos Worms
Age atravs da execuo explcita do cdigo malicioso (sem hospedeiro);
Se propaga enviando cpia de si prprio automaticamente pela rede e por email.
Gabarito: Errado.
(CESGRANRIO) Escriturrio - Banco do Brasil/2014
H caractersticas importantes que distinguem os cdigos maliciosos denominados worm
daqueles denominados trojan.
Uma dessas caractersticas a:
a) autorreplicao automtica pela rede
b) instalao por execuo de arquivo infectado
c) contaminao atravs de redes sociais
d) contaminao por compartilhamento de arquivos
e) instalao por execuo explcita do cdigo malicioso
Comentrios

A Cartilha do Cert.BR possui uma tabela comparativa dos malwares muito interessante!
http://cartilha.cert.br/malware/#tab4.1
Nela consta o seguinte:
Vrus Worm Bot Trojan Spyware Backdoor Rootkit
Envia cpia de si prprio
automaticamente pela rede

Podemos notar pela tabela que o Worm se autorreplica, enquanto o Trojan, no.
O Trojan no se propaga, sendo necessrio ser enviado de alguma forma vtima e
executado explicitamente.
Gabarito: A

4.3. Spyware

um programa espio que monitora as atividades de um sistema e envia as


informaes coletadas para terceiros.
Os spywares podem ser legtimos ou maliciosos. Se forem autorizados pelo usurio,
com consentimento explcito para a coleta de dados, so considerados lticos.
Contudo, se forem instalados sem o conhecimento, e, consequente mente, sem o
consentimento do usurio, so danosos e considerados malwares.
Existem alguns tipos especficos de Spywares:
Keyloggers: armazenam as teclas digitadas pelo usurio.
Screenloggers: armazenam as telas e a posio do cursor. So utilizados para
capturar os dados inseridos em teclados virtuais.
Adwares: exibem propagandas de forma no autorizada, em geral, baseadas no
comportamento do usurio, sem seu consentimento.
(CESPE) Especialista em Financiamento e Execuo de Programas e Projetos
Educacionais - FNDE/2012
Embora sejam considerados programas espies, os spywares tambm so desenvolvidos por
empresas com o objetivo de coletar legalmente informaes acessveis de usurios.
( ) Certo ( ) Errado
Comentrios

Atualmente, diversos programas possuem Spywares legtimos e autorizados pelo usurio. Os


fabricantes utilizam as informaes coletadas para diversos fins. Ora melhorar e personalizar
os programas, ora para parcerias comerciais.

Gabarito: C
(CESGRANRIO) Tcnico Administrativo - ANP/2016
Uma das redes da sede de uma empresa foi invadida por um software que coletou informaes
de vrios computadores, instalou favoritos, barras de ferramentas e links indesejados nos
navegadores da Web, alterou home pages padro e fez com que fossem exibidos anncios de
pop-ups frequentemente.
Um modo de previnir invases desse gnero
a) instalar switches inteligentes na rede.
b) instalar antispywares nas mquinas da rede.
c) criar um algoritmo de criptografia para e-mails.
d) traduzir os endereos IPv4s para formato IPv6.
e) refazer todas as senhas de acesso aos computadores da rede.
Comentrios
A primeira ao do malware foi coletar informaes!! Caracterstica explcita de spywares!!
As demais so aes secundrias, utilizadas pelo spyware para gerar acesso a sistemas falsos,
nos quais podem ser solicitadas informaes especficas como dados pessoais e bancrios.
Vejamos as demais alternativas:
Alternativa A Os switches so equipamentos de rede, utilizados para interligar
computadores e outros equipamentos.
A criptografia (Alternativa C) utilizada para prover sigilo a dados, isto , tornar os dados
confidenciais. Veremos mais detalhes a seguir.
A alternativa D no tem qualquer relao com o contexto da questo. Estudamos os
protocolos IPV4 e IPV6 na aula de conceitos de redes de computadores.
Alterar as senhas, conforme sugere a alternativa E, uma ao vlida quando o acesso
indevido foi realizado burlando a autenticao do usurio, o que no foi o caso descrito.

Gabarito: B
(CESGRANRIO) Escriturrio - Banco do Brasil/2015
Os escriturrios de uma agncia foram chamados para uma reunio com um profissional da
rea de segurana da informao de um banco. O objetivo dessa reunio era inform-los de
que houve uma falha nos procedimentos de segurana da rede de computadores da agncia, o
que permitiu a propagao de um programa malicioso bastante perigoso.
Durante a reunio, o profissional de segurana disse que o programa em questo permite
monitorar a movimentao do mouse por sobre a tela de uma aplicao bancria, com o
objetivo de descobrir a senha digitada por um usurio que esteja usando um teclado virtual.
Ele completou sua explanao dizendo que esse tipo de cdigo malicioso chamado de
a) vrus
b) trojan clicker
c) spyware
d) botnet
e) trojan backdoor
Comentrios
Alternativa A os vrus tem aes diversas e possuem caracterstica bsica a dependncia
de um hospedeiro.
Alternativa B O Trojan Clicker um tipo de Cavalo de Tria que redireciona a navegao
do usurio, forando-o a acessar determinados sites.
Alternativa C A questo descreve o comportamento de um Screenlogger, que um tipo
especfico de Spyware!
Alternativa D botnet uma rede de programas robs, controlados remotamente.
Alternativa E Trojan Backdoor um tipo de cavalo de tria que permite que o atacante
controle o computador infectado remotamente.

Gabarito: C
(CESGRANRIO) Tcnico de Comercializao Logstica Jnior - Petrobras/2011
Um adware, em sua concepo original, um
a) software projetado para ajudar a exibir propagandas e/ou sites no desejados no
computador.
b) software projetado para ajudar o browser a inibir pop-ups no computador.
c) programa destrutivo que se duplica sozinho.
d) programa utilizado para capturar senhas.
e) vrus que se instala no computador para apagar arquivos do disco rgido.
Comentrios

O Adware um software que fica embutido em outro, com o objetivo de exibir propagandas.
Pode ser lcito, quando autorizado pelo usurio, ou ilcito, quando age oculto e sem
consentimento.
A prova desconsiderou esse detalhe e o descreveu somente como um software no autorizado.
Letra B Bloqueador de pop-ups
Letra C Os malwares que se autorreplicam so os Worms e os Bots.
Letra D Caracterstica central dos spywares. Contudo, outros malwares permitem o roubo
de informaes.
Letra E Cavalo de Tria do tipo Trojan Destrutivo.

Gabarito da Banca: A

4.4. Bot

Bot um programa que dispe de mecanismos de comunicao com o invasor que


permitem que ele seja controlado remotamente. Possui processo de infeco e
propagao similar ao do worm, ou seja, capaz de se propagar automaticamente,
explorando vulnerabilidades existentes em programas instalados em computadores.
A ao de um Bot pode ser potencializada atravs de uma ao em conjunto. Uma
Botnet uma rede formada por centenas ou milhares de computadores zumbis e que
permite potencializar as aes danosas executadas pelos bots.
Um ataque comum utilizado atravs de Botnets o DoS (Denial of Service/Ataque de
Negao de Servio). Nele uma grande os bots de uma grande rede so programados
para realizar acessos simultneos a determinado sistema, extrapolando a capacidade
de atendimento e tornando o recurso indisponvel.
(CESPE) Agente de Polcia - Polcia Federal/2014
Computadores infectados por botnets podem ser controlados remotamente bem como
podem atacar outros computadores sem que os usurios percebam.
( ) Certo ( ) Errado
Comentrios

A CESPE considerou certa a afirmativa. Contudo, creio que h um equvoco na


elaborao da questo.
Em verdade, o computador infectado com um Bot. E o conjunto de computadores
infectados por Bots para uma ao em conjunto, so denominados Botnets. Fora esse
deslize, o restante descreve corretamente a ao dos Bots.
Gabarito: Certo (pela banca).

4.5. Backdoor

Backdoor um programa que permite o retorno de um invasor a um computador


comprometido, por meio da incluso de servios criados ou modificados para este fim.
Diversos programas possuem Backdoors implantados pelos fabricantes com o objetivo
de permitir acessos administrativos quando necessrio. Contudo, essas brechas podem
oferecer grandes riscos e so objetos de grande polmica. Nos Estados Unidos, por
exemplo, faz parte da legislao que determinados equipamentos devem possuir
Backdoors para acesso legal para fins de auditoria.
(CESPE) Tcnico Judicirio - rea Administrativa - TJ-DFT/2013
Backdoor uma forma de configurao do computador para que ele engane os invasores, que,
ao acessarem uma porta falsa, sero automaticamente bloqueados.
( ) Certo ( ) Errado
Comentrios

A questo descreve uma ferramenta de segurana denominada HoneyPot. Funciona como


uma armadilha para rato. O ambiente simula uma falha para bloquear os invasores.

Gabarito: E

4.6. Cavalo de troia (Trojan)

Cavalo de troia, trojan ou trojan-horse, um programa que, alm de executar as


funes para as quais foi aparentemente projetado, tambm executa outras funes,
normalmente maliciosas, e sem o conhecimento do usurio.
Existem diversos tipos de Cavalos de Tria, conforme a tabela abaixo extrada do site
http://cartilha.cert.br/malware/
Tipo Ao
Trojan Downloader instala outros cdigos maliciosos, obtidos de sites
na Internet.
Trojan Dropper instala outros cdigos maliciosos, embutidos no
prprio cdigo do trojan.
Trojan Backdoor inclui backdoors, possibilitando o acesso remoto
do atacante ao computador.
O mais cobrado em provas!
Trojan DoS instala ferramentas de negao de servio e as
utiliza para desferir ataques.
Trojan Destrutivo altera/apaga arquivos e diretrios, formata o
disco rgido e pode deixar o computador fora de
operao.
Trojan Clicker redireciona a navegao do usurio para sites
especficos, com o objetivo de aumentar a
quantidade de acessos a estes sites ou apresentar
propagandas.
Trojan Proxy instala um servidor de proxy, possibilitando que
o computador seja utilizado para navegao
annima e para envio de spam.
Trojan Spy instala programas spyware e os utiliza para
coletar informaes sensveis, como senhas e
nmeros de carto de crdito, e envi-las ao
atacante.
Trojan Banker ou Bancos coleta dados bancrios do usurio, atravs da
instalao de programas spyware que so
ativados quando sites de Internet Banking so
acessados. similar ao Trojan Spy porm com
objetivos mais especficos.

(CESPE) Delegado de Polcia - PC-TO/2008


Trojan um programa que age utilizando o princpio do cavalo de tria. Aps ser instalado no
computador, ele libera uma porta de comunicao para um possvel invasor.
( ) Certo ( ) Errado
Comentrios

A questo descreve corretamente o Trojan do tipo Backdoor. Ao ser infectado por um Trojan
Backdoor o computador fica vulnervel a invases.

Gabarito: C
(CESGRANRIO) Tcnico Bancrio - Banco da Amaznia/2015
Como classificado o cdigo malicioso que instala um servidor de proxy, de modo a permitir
que um computador seja utilizado para navegao annima e envio de spam?
a) Spyware
b) Cavalo de troia
c) Worm
d) Bot
e) Backdoor
Comentrios

Descrio direta do Cavalo de Tria do tipo Trojan Proxy, conforme descrito na Cartilha do
Cert.BR. Essa cartilha leitura bsica para concursos!
http://cartilha.cert.br/

As demais alternativas trazem outros malwares contidos na nossa aula.


Gabarito: B
4.7. Rootkit

Conjunto de programas e tcnicas que permite esconder e assegurar a presena de um


invasor ou de outro cdigo malicioso em um computador comprometido.
O Rootkit utilizado para apagar as evidncias de uma infeco ou invaso,
possibilitando que o ataque possa ser continuamente executado.
(CESPE) Escrivo de Polcia - PC-DF/2013
Rootkit um tipo de praga virtual de difcil deteco, visto que ativado antes que o
sistema operacional tenha sido completamente inicializado.
( ) Certo ( ) Errado
Comentrios

Uma forma empregada pelos rootkits para garantir o acesso privilegiado e a ocultao
de sua atuao agir no processo de inicializao da mquina. Assim, possvel
inclusiva desativar programas de proteo antes que eles possam agir sobre o malware.
Gabarito: Certo.
4.8. Ransomware

Malware que causa a indisponibilidade das informaes, exigindo resgate para a


liberao do acesso.
Aps infectar um equipamento, o Ransomware criptografa os arquivos e exige resgate
(ransom) a descriptografia.
5. Certificao Digital

A Certificao Digital fornece mecanismos de segurana que visam garantir a


autenticidade, confidencialidade e integridade das informaes eletrnicas. Para
tanto, so utilizados recursos como a Criptografia e Assinatura Digital.

A ferramenta central para o uso dos recursos citados Certificado Digital, um documento
eletrnico que permite identificar um usurio e um sistema.

Os mecanismos de Certificao Digital visam garantir:

AUTENTICIDADE CONFIDENCIALIDADE INTEGRIDADE

5.1. Certificado Digital

O certificado digital um documento eletrnico assinado digitalmente e cumpre a funo de


associar uma pessoa ou entidade a uma chave pblica.

Um dos processos em uma infraestrutura de chaves pblicas o processo de certificao


digital. O certificado digital um registro eletrnico composto por um conjunto de dados
que distingue uma entidade e associa a ela uma chave pblica. Ele pode ser emitido para
pessoas, empresas, equipamentos ou servios na rede e pode ser homologado para
diferentes usos, como confidencialidade e assinatura digital. De forma geral, os dados
bsicos que compem um certificado digital devem conter, entre outros, a verso e
nmero de srie do certificado, os dados que identificam a Autoridade Certificadora que
emitiu o certificado e os dados que identificam o dono do certificado.
(FCC) Tcnico Ministerial - Informtica - MPE-AP/2012

nome da pessoa ou entidade a ser associada


chave pblica
Um Certificado Digital
perodo de validade do certificado
normalmente apresenta
chave pblica
as seguintes
nome e assinatura da entidade que assinou o
informaes:
certificado
nmero de srie
Um exemplo comum do uso de certificados digitais o servio bancrio provido via
Internet. Os bancos possuem certificado para autenticar-se perante o cliente,
assegurando que o acesso est realmente ocorrendo com o servidor do banco. E o
cliente, ao solicitar um servio, como por exemplo, acesso ao saldo da conta corrente,
pode utilizar o seu certificado para autenticar-se perante o banco.
5.2. Infraestrutura de Chaves Pblicas Brasileira (ICP-Brasil)

A ICP-Brasil a entidade que viabiliza todo o processo de Certificao Digital em nosso pas.
Abaixo dela estabelecida uma hierarquia de atividades para emisso, validao e
operacionalizao de pedidos de certificados digitais.
A Infraestrutura de Chaves Pblicas Brasileira (ICP-Brasil) uma cadeia hierrquica e
de confiana que viabiliza a emisso de certificados digitais para identificao virtual do
cidado. Observa-se que o modelo adotado pelo Brasil foi o de certificao com raiz
nica, sendo que o ITI, alm de desempenhar o papel de Autoridade Certificadora Raiz
(AC-Raiz), tambm tem o papel de credenciar e descredenciar os demais participantes
da cadeia, supervisionar e fazer auditoria dos processos.
http://www.iti.gov.br/index.php/icp-brasil/o-que-e

A estrutura hierrquica da ICP-Brasil fornece mecanismos para a validao dos


certificados digitais. Essa uma funo primordial para todo o processo de segurana.
Para tanto, o Certificado Digital possui a identificao e a assinatura da entidade que
o emitiu. Tais dados, permitem averiguar a autenticidade e a integridade do
certificado.

A entidade responsvel por emitir Certificados Digitais denomina-se


Autoridade Certificadora AC!
A ICP-Brasil a Autoridade Certificador Raiz!

5.2.1 Componentes do Processo

Existem 3 tipos de entidade bsicas nesse processo:

1. Autoridade Certificadora Raiz - AC-Raiz


2. Autoridades Certificadoras - ACs
3. Autoridades de Registro - ARs
A AC-Raiz responsvel por:

Executar as Polticas de Certificados e normas tcnicas e operacionais aprovadas pelo


Comit Gestor da ICP-Brasil.
Emitir, expedir, distribuir, revogar e gerenciar os certificados das autoridades
certificadoras de nvel imediatamente subsequente ao seu.
Emitir a lista de certificados revogados (LCR)
Fiscalizar e auditar as Autoridades Certificadoras (ACs), Autoridades de Registro (ARs)
e demais prestadores de servio habilitados na ICP-Brasil
As Autoridades Certificadoras - ACs so responsveis por:

Emitir, distribuir, renovar, revogar e gerenciar certificados digitais.


Verificar se o titular do certificado possui a chave privada que corresponde chave
pblica que faz parte do certificado.
Criar e assinar digitalmente o certificado do assinante, onde o certificado emitido pela
AC representa a declarao da identidade do titular, que possui um par nico de
chaves (pblica/privada).
Emitir listas de certificados revogados (LCR).
Manter registros de suas operaes sempre obedecendo s prticas definidas na
Declarao de Prticas de Certificao (DPC).
Estabelecer e fazer cumprir, pelas Autoridades Registradoras (ARs) a ela vinculadas, as
polticas de segurana necessrias para garantir a autenticidade da identificao
realizada.
Uma Autoridade Certificadora (AC) pode ser uma entidade, pblica ou
privada!
As Autoridades de Registro ARs so responsveis por:

Realizar a interface entre o usurio e a Autoridade Certificadora.


Operacionalizar o recebimento, validao, encaminhamento de solicitaes de emisso
ou revogao de certificados digitais e identificao, de forma presencial, de seus
solicitantes.
Manter registros de suas operaes.
(FCC) Auditor Fiscal do Tesouro Estadual - SEFAZ-PE/2014
A certificao digital uma forma de demonstrar e certificar a identidade do titular da
assinatura digital. correto afirmar que
a) o contabilista de uma empresa deve ficar com o certificado digital do contribuinte para
assinar documentos por ele na sua ausncia e/ou em caso de urgncia.
b) o certificado digital pode ser obtido junto a qualquer instituio pblica estadual ou federal,
autorizada pelo governo a realizar operaes financeiras e/ou fiscais.
c) a entidade subordinada hierarquia da ICP-Brasil, responsvel por emitir, distribuir, renovar,
revogar e gerenciar certificados digitais, chamada de Autoridade Certificadora.
d) assinatura digital a operao de criptografar um documento com o uso de uma chave
criptogrfica pblica, que atribui ao documento integridade e disponibilidade.
e) a assinatura digital uma senha do contribuinte que permite a identificao do autor de um
documento submetido Secretaria da Fazenda.
Comentrios

a) Errado. O certificado digital um documento, individual e intransfervel.


b) Errado. O certificado digital pode ser obtido junto a qualquer instituio cadastrada e
autorizada pela ICP-Brasil. A solicitao de certificados realizada junto a Autoridades de
Registros.
c) Exato! Conforme vimos, essas so funes das Autoridades Certificadoras. Tais atribuies
esto documentadas em: http://www.iti.gov.br/index.php/icp-brasil/como-funciona
d) Errado. A assinatura digital a operao de criptografar um documento com o uso de uma
chave criptogrfica privada, que atribui ao documento autenticidade, integridade (com a tcnica
de hash) e no repdio.
e) Errado. A assinatura digital uma tcnica que visa garantir autenticidade, integridade e no
repdio.

Gabarito: C
(CESPE) Tcnico Bancrio - Caixa/2010
Ainda a respeito de certificao digital, assinale a opo correta.
a) A autoridade certificadora raiz possui a incumbncia de gerar certificados para todos os
usurios de uma infraestrutura de chaves pblicas.
b) O certificado digital s precisa ter data de validade se o usurio estiver em situao de
risco de perd-lo, pois, em geral, no possui restrio de expirao.
c) A autoridade certificadora a entidade responsvel por emitir uma chave pblica.
d) O certificado digital pessoal e intransfervel e no possui nenhuma informao sobre o
seu titular.
e) A certificao digital uma forma de ingresso a stios inseguros, mas cuja configurao
no permite que o contedo seja alterado.
Comentrios

(A) Errado. A autoridade certificadora raiz possui a incumbncia de gerar certificados para
as ACs subordinadas.
(B) Errado. O certificado digital sempre tem data de validade.
(C) Certo! A autoridade certificadora a entidade responsvel por emitir certificados digitais
que possuem uma chave pblica associada a uma pessoa fsica, jurdica ou sistema
computacional.
(D) Errada. O certificado digital possui informaes sobre o seu titular.
(E) Errada. A certificao digital um conjunto de mecanismos e tcnicas que visa garantir
autenticidade, confidencialidade e integridade das informaes eletrnicas.
Gabarito: C
5.3. Criptografia

A criptografia, considerada como a cincia e a arte de escrever mensagens em forma


cifrada ou em cdigo, um dos principais mecanismos de segurana que voc pode
usar para se proteger dos riscos associados ao uso da Internet.
Atualmente, a criptografia j est integrada ou pode ser facilmente adicionada grande
maioria dos sistemas operacionais e aplicativos e para us-la, muitas vezes, basta a
realizao de algumas configuraes ou cliques de mouse.
Por meio do uso da criptografia voc pode:
Proteger os dados sigilosos armazenados em seu compu-tador, como o seu
arquivo de senhas e a sua declarao de Imposto de Renda;
Criar uma rea (partio) especfica no seu computador, na qual todas as
informaes que forem l gravadas sero automaticamente criptografadas;
Proteger seus backups contra acesso indevido, principal-mente aqueles enviados
para reas de armazenamento externo de mdias;
Proteger as comunicaes realizadas pela Internet, como os e-mails
enviados/recebidos e as transaes bancrias e comerciais realizadas.
5.3.1. Criptografia de chave simtrica e de chaves assimtricas

De acordo com o tipo de chave usada, os mtodos criptogrficos podem ser


subdivididos em duas grandes categorias: criptografia de chave simtrica e criptografia
de chaves assimtricas.
Criptografia de chave simtrica: tambm chamada de criptografia de chave secreta
ou nica, utiliza uma mesma chave tanto para codificar como para decodificar
informaes, sendo usada principalmente para garantir a confidencialidade dos dados.
Casos nos quais a informao codificada e decodificada por uma mesma pessoa no
h necessidade de compartilhamento da chave secreta. Entretanto, quando estas
operaes envolvem pessoas ou equipamentos diferentes, necessrio que a chave
secreta seja previamente combinada por meio de um canal de comunicao seguro
(para no comprometer a confidencialidade da chave). Exemplos de mtodos
criptogrficos que usam chave simtrica so: AES, Blowfish, RC4, 3DES e IDEA.
Criptografia de chaves assimtricas: tambm conhecida como criptografia de chave
pblica, utiliza duas chaves distintas: uma pblica, que pode ser livremente divulgada,
e uma privada, que deve ser mantida em segredo por seu dono. Quando uma
informao codificada com uma das chaves, somente a outra chave do par pode
decodific-la. Qual chave usar para codificar depende da proteo que se
deseja, se confidencialidade ou autenticao, integridade e no-repdio. A
chave privada pode ser armazenada de diferentes maneiras, como um arquivo no
computador, um smartcard ou um token. Exemplos de mtodos criptogrficos que
usam chaves assimtricas so: RSA, DSA, ECC e Diffie-Hellman.
A Certificao Digital utiliza a Criptografia Assimtrica, a partir de um par de
chaves!
(FCC) Auditor Fiscal da Fazenda Estadual - SEFAZ-PI /2015
Em determinada instituio, Joo envia uma mensagem criptografada para Antnio, utilizando
criptografia assimtrica. Para codificar o texto da mensagem, Joo usa
a) a chave privada de Antnio. Para Antnio decodificar a mensagem que recebeu de Joo,
ele ter que usar sua chave privada. Cada um conhece apenas sua prpria chave privada.
b) a chave pblica de Antnio. Para Antnio decodificar a mensagem que recebeu de Joo,
ele ter que usar a chave privada, relacionada chave pblica usada no processo por Joo.
Somente Antnio conhece a chave privada.
c) a chave pblica de Antnio. Para Antnio decodificar a mensagem que recebeu de Joo,
ele ter que usar a chave privada, relacionada chave pblica usada no processo por Joo.
Ambos conhecem a chave privada.
d) a chave privada de Antnio. Para Antnio decodificar a mensagem que recebeu de Joo,
ele ter que usar a chave pblica, relacionada chave privada usada no processo por Joo.
Ambos conhecem a chave privada.
e) sua chave privada. Para Antnio decodificar a mensagem que recebeu de Joo, ele ter
que usar sua chave pblica. Somente Joo conhece a chave privada.
Comentrios

Joo = REMETENTE
Antnio = DESTINATRIO
Para codificar = CHAVE PBLICA DO DESTINATRIO (Antnio)
Para decodificar = CHAVE PRIVADA DO DESTINATRIO (Antnio)
Para codificar o texto da mensagem, Joo usa a chave pblica de Antnio. Para Antnio
decodificar a mensagem que recebeu de Joo, ele ter que usar a chave privada, relacionada
chave pblica usada no processo por Joo. Somente Antnio conhece a chave privada.
Gabarito: B
(CESPE) Perito Criminal Federal - Cargo 2 - DPF/2013
Esquemas de criptografia de chave pblica tambm so conhecidos como de criptografia
simtrica, pois possuem apenas uma chave, tanto para encriptao quanto para
desencriptao.
( ) Certo ( ) Errado
Comentrios

Vamos corrigir a afirmao!


Esquemas de criptografia de chave secreta tambm so conhecidos como de criptografia
simtrica, pois possuem apenas uma chave, tanto para encriptao quanto para
desencriptao.

Esquemas de criptografia de chave pblica tambm so conhecidos como de criptografia


assimtrica, pois possuem um par de chaves, uma para encriptao e outra para
desencriptao.

Gabarito: E
(ESAF) Auditor Fiscal da Receita Federal - rea Tributria e Aduaneira - Receita
Federal/2005
O processo de cifragem e decifragem so realizados com o uso de algoritmos com funes
matemticas que protegem a informao quanto sua integridade, autenticidade e sigilo.
Quanto aos algoritmos utilizados nos processos de cifragem, decifragem e assinatura digital
correto afirmar que
a) o uso da assinatura digital garante o sigilo da mensagem independentemente do tipo de
chave utilizada.
b) os algoritmos RSA para assinatura digital fazem o uso de chave simtrica.
c) os algoritmos de chave simtrica tm como principal caracterstica a possibilidade de
utilizao de assinatura digital e de certificao digital, sem alterao da chave.
d) a criptografia de chave simtrica tem como caracterstica a utilizao de uma mesma chave
secreta para a codificao e decodificao dos dados.
e) a assinatura digital obtida com a aplicao do algoritmo de Hash sobre a chave pblica
do usurio que deseja assinar digitalmente uma mensagem.
Comentrios

(A) O uso da assinatura digital garante a autenticidade, no-repdio e integridade da


mensagem. Para tanto, utiliza a chave privada do remetente para assinar e a chave pblica
do remetente para validao.
(B) O algoritmo RSA utiliza criptografia assimtrica, utilizando um par de chaves.
(C) A processo de Certificao Digital e o mecanismo de Assinatura Digital so baseados em
criptografia assimtrica.
(D) Afirmao correta! Criptografia Simtrica = UMA chave.
(E) A assinatura digital obtida com a aplicao da criptografia assimtrica sobre o Hash da
mensagem, utilizando a chave privada do usurio que deseja assinar digitalmente uma
mensagem. (mais detalhes a seguir)
Gabarito: D
(CESGRANRIO) Profissional Jnior - Cincias Econmicas - LIQUIGS/2012
A tecnologia utilizada na internet que se refere segurana da informao
a) criptografia
b) download
c) streaming
d) mailing lists
e) web feed
Comentrios

A criptografia muito utilizada na internet, uma vez que o trfego de informaes na grande
rede altamente suscetvel a interceptaes indevidas.
Os demais conceitos no possuem relao com segurana.
Download a transferncia de dados de um computador remoto para o computador local.
Streaming fluxo contnuo de mdia, utilizado em rdios online e transmisso de vdeos sob
demanda (youtube, por exemplo).
Mailing Lists so listas para envio de mensagem em massa.
Web Feed um registro para servio RSS, utilizado para navegao por contedo.

Gabarito: A
5.3.1.1. Garantindo a Confidencialidade

O termo criptografia est diretamente ligado a confidencialidade, isto , garantia de sigilo da


informao.

Para o concursos, temos que saber como realizada essa cifragem e a posterior decifragem
dos dados.

Vamos listar passo a passo como ocorre:

1. O emissor da mensagem deve obter a Chave Pblica do destinatrio desejado.


2. O emissor cifra a mensagem, utilizando a chave pblica do destinatrio.
3. A mensagem enviada.
4. O destinatrio a recebe e a decifra utilizando a sua prpria chave privada.

Algortmo Algortmo
Processo Processo
Criptogrfico Mensagem Garantia de Criptogrfico
de de
Chave Pblica Cifrada Confidencialidade Chave Privada
Cifragem do Destinatrio Deciragem do Destinatrio

A confidencialidade garantida uma vez que somente o destinatrio possui a chave privada
associada sua chave pblica (utilizada na cifragem). E s de posse dela ser possvel
descriptografar a informao.
(FCC) Escriturrio - Banco do Brasil/2006
Uma mensagem enviada de X para Y criptografada e decriptografada, respectivamente, pelas
chaves
a) pblica de Y (que X conhece) e privada de Y.
b) pblica de Y (que X conhece) e privada de X.
c) privada de X (que Y conhece) e privada de Y.
d) privada de X (que Y conhece) e pblica de X.
e) privada de Y (que X conhece) e pblica de X.
Comentrios

Quando a questo no cita a finalidade, a criptografia usada para sigilo. A, vale


sempre a regra abaixo!

MEMORIZE!!!
CHAVE PBLICA DO
PARA CRIPTOFRAGAR USA-SE DESTINATRIO

CHAVE PRIVADA DO
PARA DESCRIPTOFRAGAR USA-SE DESTINATRIO

Gabarito: A
5.3.1.2. Garantindo a Autenticidade

Para garantir autenticidade, o processo utiliza as chaves invertidas.

1. O emissor cifra a mensagem, utilizando a sua chave privada.


2. A mensagem enviada.
3. O destinatrio a recebe e a decifra, utilizando a chave pblica do remetente.
Assim, fica garantida a identidade do remetente, uma vez que somente ele possui a chave
privada que casa com a chave pblica utilizada na decifragem.

Esse o processo utilizado na Assinatura Digital!

Algortmo Algortmo
Processo Criptogrfico Processo Criptogrfico
Mensagem Garantia de
de Chave de Chave Pblica
Cifrada Autenticidade
Cifragem Privada do Deciragem do
Remetente Remetente

Nesse contexto, o mais importante a saber que o ato de Assinar Digitalmente realizado com
a Chave Privada do remetente e a validao da assinatura realizada com a Chave Pblica do
remetente.
Agora, a Assinatura Digital tem uns detalhes. Como o processo de criptografia lento, ao invs
de assinar toda a mensagem, o processo cria um hash da mesma e assina esse hash.
O hash (tambm conhecido como resumo hash) uma mensagem menor que a original, gerada
atravs de clculos matemticos, de forma que quase impossvel que outra operao gere o
mesmo resultado.

Algortmo
Criptogrfico Mensagem Garantia de
Processo
Criao do Cifragem Original + Autenticidade,
de Chave
Resumo Hash do Hash Hash Integridade e
Assinatura Privada do Cifrado No-Repdio
Remetente

Algortmo
Criptogrfico Mensagem
Processo
Validao do Decifragem Original + Mensagem
de Chave Pblica
Resumo Hash do Hash Hash conferida!
Verificao do Decifrado
Remetente

Recomendo fortemente a leitura da Cartilha sobre Certificao Digital do Instituto Nacional de


Tecnologia da Informao ITI, disponvel no link abaixo:
http://www.iti.gov.br/images/publicacoes/cartilhas/cartilhaentenda.pdf

(FCC) Auditor Fiscal da Receita Estadual - SEFAZ-RJ/2014


Considere:
- Funciona como uma impresso digital de uma mensagem, gerando, a partir de uma entrada
de tamanho varivel, um valor fixo pequeno.
- Este valor est para o contedo da mensagem assim como o dgito verificador de uma conta-
corrente est para o nmero da conta ou o check sum est para os valores que valida.
- utilizado para garantir a integridade do contedo da mensagem que representa.
- Ao ser utilizado, qualquer modificao no contedo da mensagem ser detectada, pois um
novo clculo do seu valor sobre o contedo modificado resultar em um valor bastante distinto.
Os itens acima descrevem
a) um Hash criptogrfico.
b) um Certificado digital.
c) uma Assinatura digital.
d) um Algoritmo de chave pblica.
e) um Algoritmo de chave secreta.
Comentrios

A primeira caracterstica j mata a questo! O Hash um resumo, uma informao menor que
a original, gerada para permitir comparaes que visam a garantia da integridade.

Gabarito: A
(FCC) Auditor Fiscal da Fazenda Estadual - SEFAZ-PI /2015
Na Secretaria da Fazenda do Estado do Piau a assinatura digital permite comprovar que uma
informao foi realmente gerada por quem diz t-la gerado e que ela no foi alterada. Isto
equivale a afirmar, respectivamente, que possvel comprovar que uma informao
a) autntica e confidencial.
b) autntica e est ntegra.
c) no pode ser repudiada e autntica.
d) no pode ser repudiada e confidencial.
e) privada e est sempre disponvel.
Comentrios

A Assinatura Digital atravs da criptografia (utilizando a chave privada para assinar) garante a
Autenticidade da mensagem.
O mecanismo de Hash no processo de assinatura garante a Integridade.

Gabarito: B
(CESPE) Tcnico Bancrio - Caixa/2010
Com relao a certificao e assinatura digital, assinale a opo correta.
a) A assinatura digital facilita a identificao de uma comunicao, pois baseia-se em
criptografia simtrica de uma nica chave.
b) Quando um usurio com assinatura digital envia e-mail para um destinatrio, a mensagem
ser assinada por uma chave pblica do destinatrio, para garantir que seja aberta apenas pelo
destinatrio.
c) No Windows, no necessrio utilizar assinatura digital, pois todos os aplicativos,
principalmente os navegadores web, utilizam essa tecnologia de maneira automtica e
transparente ao usurio.
d) Uma desvantagem dos aplicativos da sute BR Office, em relao aos da sute Microsoft
Office, no possuir suporte a assinaturas digitais nem exibir certificados digitais criados para
os usurios.
e) O destinatrio de uma mensagem assinada utiliza a chave pblica do remetente para
garantir que essa mensagem tenha sido enviada pelo prprio remetente.
Comentrios

(A) Errada. A assinatura digital facilita a identificao de uma comunicao, pois


baseia-se em criptografia assimtrica de um par de chaves. Sendo que a chave privada
do remetente utilizada para assinar a mensagem e a sua chave pblica utilizada para
validar a assinatura.
(B) Errada. Quando um usurio com assinatura digital envia e-mail para um
destinatrio, a mensagem ser assinada por uma chave privada do remetente, para
garantir a autenticidade da mesma.
(C) Errada. Diversos aplicativos do Windows possuem a funcionalidade de assinatura
digital.
(D) Errada. Aplicativos da sute BR Office (LibreOffice) e da sute Microsoft Office
possuem suporte a assinaturas digitais.
(E) Correta! A assinatura realizada com a chave privada do remetente e o
destinatrio de uma mensagem assinada utiliza a chave pblica do remetente para
garantir que essa mensagem tenha sido enviada pelo prprio remetente.
Gabarito: E
(ESAF) Assistente Tcnico Administrativo - MF/2012
Para a verificao de uma assinatura digital numa mensagem eletrnica, basta ter acesso
a) ao CPF e identidade do remetente.
b) identidade do remetente.
c) chave criptogrfica dupla do destinatrio.
d) ao certificado digital do destinatrio.
e) ao certificado digital do remetente.
Comentrios

Para verificar uma assinatura digital necessrio a chave pblica do remetente e informaes
sobre a Autoridade Certificadora que o emitiu, afim de validar se o certificado no est
revogado. Todas essas informaes esto contidas no Certificado Digital.

Gabarito: E
(CESGRANRIO) Analista - CMB/2012
A criptografia assimtrica pode ser utilizada para possibilitar a verificao da integridade e da
autenticidade de uma mensagem.
Para isso, o emissor deve produzir a assinatura digital da mensagem, que formada pela
criptografia do(a)
a) cdigo de hash da mensagem com a chave privada do emissor
b) cdigo de hash da mensagem com a chave pblica do emissor
c) cdigo de hash da mensagem com a chave pblica do receptor
d) chave pblica do emissor com o cdigo de hash da mensagem
e) chave privada do emissor com o cdigo de hash da mensagem
Comentrios

A Assinatura Digital realizada pela criptografia do cdigo de hash da mensagem com a chave
privada do emissor!
Assim, somente a respectiva chave pblica poder decifrar o resumo hash, garantindo a
Autenticidade da informao.

Gabarito: A
(CESGRANRIO) Arquivista - BNDES/2010
A assinatura digital uma modalidade de assinatura eletrnica, resultado de uma operao
matemtica que utiliza algoritmos de criptografia e permite aferir, com segurana, a origem e
a integridade do documento. Nesse contexto, analise os atributos a seguir.

I - Ser igual para os documentos de um mesmo signatrio.


II - Comprovar a autoria do documento digital.
III - Possibilitar a verificao da integridade.

(So) atributo(s) da assinatura digital


a) I, apenas.
b) I e II, apenas.
c) I e III, apenas.
d) II e III, apenas.
e) I, II e III.
Comentrios

Cada mensagem ir resultar em uma assinatura digital exclusiva, que o conjunto da


mensagem original + o resumo hash criptografado (afirmao I falsa).
A Assinatura Digital visa garantir a autenticidade da mensagem, isto , que o autor
legtimo (afirmao II verdadeira).
No processo de validao da mensagem recebida, um novo resumo hash gerado e
comparado ao original descritografado. Se os dois forem idnticos, a mensagem ser
vlida e ntegra (afirmao III verdadeira)
Gabarito: D

Conclumos aqui a apresentao terica sobre Conceitos de Segurana da Informao.


A seguir, listei uma srie de questes para que possas testar seu aprendizado. muito
importante que voc resolva as questes somente aps o seu estudo e reviso.
Assim, poders verificar quais pontos foram compreendidos e quais carecem de melhor
ateno. Ao final das questes apresento o gabarito e comentrios detalhados de cada uma.

Boa sorte e conte comigo para qualquer dvida!


QUESTES PROPOSTAS

Questo 01 (FCC) Tcnico Judicirio - Administrativa - TRE-AP/2015


Um usurio de computador observou que, ao conectar um pendrive no computador, os arquivos
do pendrive foram transformados em atalhos, no conseguindo acessar os arquivos
originalmente armazenados. Esse sintoma caracterstico de um malware do tipo
a) Spyware.
b) Keylogger.
c) Worm.
d) Vrus.
e) Adware.

Questo 02 (FCC) Analista Judicirio - rea Judiciria - TRT - 4 REGIO (RS)/2015


Ferramentas antimalware, como os antivrus, procuram detectar, anular ou remover os cdigos
maliciosos de um computador. Para que estas ferramentas possam atuar preventivamente,
diversos cuidados devem ser tomados, por exemplo:
a) utilizar sempre um antimalware online, que mais atualizado e mais completo que os
locais.
b) configurar o antimalware para verificar apenas arquivos que tenham a extenso .EXE.
c) no configurar o antimalware para verificar automaticamente os discos rgidos e as
unidades removveis (como pen-drives e discos externos), pois podem ser uma fonte de
contaminao que o usurio no percebe.
d) atualizar o antimalware somente quando o sistema operacional for atualizado, para evitar
que o antimalware entre em conflito com a verso atual do sistema instalado.
e) evitar executar simultaneamente diferentes programas antimalware, pois eles podem
entrar em conflito, afetar o desempenho do computador e interferir na capacidade de deteco
um do outro.

Questo 03 (FCC) Analista Judicirio - Anlise de Sistemas - TRE-RR/2015


Quando se trata da segurana das informaes trocadas entre duas pessoas, a criptografia
garante ...I... e a funo hash permite verificar a ...II... da mensagem.
As lacunas I e II so preenchidas, correta e respectivamente, com
a) a confidencialidade - integridade.
b) a integridade - disponibilidade.
c) a confidencialidade - disponibilidade.
d) o no repdio - integridade.
e) a autenticidade - irretratabilidade.

Questo 4 (FCC) Analista Judicirio - TRT - 16 REGIO (MA)/2014


Diversos mecanismos de segurana foram desenvolvidos para prover e garantir
proteo da informao que, quando corretamente configurados e utilizados, podem
auxiliar os usurios a se protegerem dos riscos envolvendo o uso da Internet. Os
servios disponibilizados e as comunicaes realizadas pela internet devem garantir os
requisitos bsicos de segurana e proteo da informao, como:
Identificao: permitir que uma entidade se identifique, ou seja, diga quem ela .
I. Verificar se a entidade realmente quem ela diz ser.
II. Determinar as aes que a entidade pode executar.
III. Proteger a informao contra alterao no autorizada.
IV. Proteger a informao contra acesso no autorizado.
V. Evitar que uma entidade possa negar que foi ela que executou uma ao.
Disponibilidade: garantir que um recurso esteja disponvel sempre que necessrio.
As definies numeradas de I a V correspondem, respectivamente, a:
a) Integridade; Autenticao; Autorizao; Acessabilidade; No repdio.
b) Identificao; Raio de Ao; Autorizao; Acessabilidade; Negao.
c) Autenticao; Autorizao; Integridade; Confidencialidade; No repdio.
d) Autenticao; Raio de Ao; Integridade; Confidencialidade; Identificao.
e) Integridade; Confidencialidade; Autenticao; Autorizao; Negao.
Questo 05 (CESPE) Contador - MTE/2014
Os antivrus so ferramentas capazes de detectar e remover os cdigos maliciosos de
um computador, como vrus e worms. Tanto os vrus quanto os worms so capazes de
se propagarem automaticamente por meio da incluso de cpias de si mesmo em
outros programas, modificando-os e tornando-se parte deles
( ) Certo ( ) Errado
Questo 06 (CESPE) Nvel Mdio - CADE/2014
Os vrus de computador podem apagar arquivos criados pelo editor de texto, no entanto
so incapazes de infectar partes do sistema operacional, j que os arquivos desse
sistema so protegidos contra vrus.
( ) Certo ( ) Errado
Questo 07 (CESPE) Nvel Superior - Polcia Federal/2014
Phishing um tipo de malware que, por meio de uma mensagem de email, solicita
informaes confidenciais ao usurio, fazendo-se passar por uma entidade confivel
conhecida do destinatrio.
( ) Certo ( ) Errado
Questo 08 (CESPE) Agente Administrativo - MDIC/2014
O comprometimento do desempenho de uma rede local de computadores pode ser
consequncia da infeco por um worm.
( ) Certo ( ) Errado
Questo 09 (CESPE) Agente de Polcia - PC-DF/2013
Malware qualquer tipo de software que pode causar algum impacto negativo
sobre a informao, podendo afetar sua disponibilidade, integridade e
confidencialidade. Outros softwares so produzidos para oferecer proteo
contra os ataques provenientes dos malwares.
Com relao a esse tema, julgue o prximo item.
Os vrus, ao se propagarem, inserem cpias de seu prprio cdigo em outros
programas, enquanto os worms se propagam pelas redes, explorando, geralmente,
alguma vulnerabilidade de outros softwares.
( ) Certo ( ) Errado
Questo 10 (ESAF ) Auditor do Tesouro Municipal - Auditoria - Prefeitura de Natal
RN /2008
Considerando-se as caractersticas da Segurana da Informao na
transmisso de dados, quando o destinatrio examina uma mensagem para
certifi car-se de que ela no foi alterada durante o trnsito, isto chamado de
a) criptografia assimtrica.
b) criptografia simtrica.
c) garantia da qualidade dos dados.
d) verificao de integridade de dados.
e) verificao de no-repdio dos dados.
Questo 11 (ESAF) Auditor Fiscal da Receita Federal - rea Tributria e Aduaneira -
Receita Federal/2005
Analise as seguintes afirmaes relacionadas segurana e proteo de
documentos no Microsoft Word, em suas verses mais recentes:
I. Para proteo contra vrus de macro no necessrio instalar um software
antivrus especializado, pois o Word j possui todos os recursos para esse tipo
de vrus.
II. Para evitar vrus de macro, o Word permite que o usurio assine
digitalmente um arquivo ou macros usando um certificado digital.
III. No Word, possvel exigir que os usurios abram um documento como
somente leitura. Se um usurio abrir um documento como somente leitura e o
alterar, essa pessoa no poder salvar esse documento com modificaes, em
hiptese alguma.
IV. No Word, possvel proteger um formulrio quando ele est sendo usado
e, tambm, proteger a verso final para evitar que usurios faam alteraes
medida que o preenchem.
Indique a opo que contenha todas as afirmaes verdadeiras.
a) I e II
b) II e III
c) III e IV
d) I e III
e) II e IV
Questo 12 (ESAF) Analista de Finanas e Controle - CGU/2012
Comparando a criptografia simtrica com a assimtrica, observa-se que
a) a primeira possui o problema do gerenciamento de chaves, ao passo que a segunda possui
o problema da complexidade binria.
b) a primeira possui o problema da privacidade da chave universal, ao passo que a segunda
possui o problema da criao e distribuio de chaves.
c) a primeira possui o problema da distribuio e gerenciamento de chaves, ao passo que a
segunda possui o problema do desempenho.
d) a primeira possui o problema do desempenho em redes sem fio, ao passo que a segunda
possui o problema do desempenho em ambientes corporativos.
e) a primeira possui o problema do desempenho, ao passo que a segunda possui o problema
da gerao de chaves.
Questo 13 (ESAF) Analista Administrativo - ANAC/2016
Para que o receptor de uma mensagem sigilosa cifrada por um emissor com
criptografia assimtrica possa decifr-la, necessrio fazer uso de
a) chave pblica do receptor
b) chaves pblica e privada do emissor.
c) chave pblica do emissor.
d) chave privada do emissor.
e) chave privada do receptor.

Questo 14 (ESAF) Analista de Finanas e Controle - MF/2013


um exemplo de algoritmo assimtrico:
a) 3DES.
b) RSA.
c) AS2.
d) IDEA.
e) RC2.

Questo 15 (CESPE) Conhecimentos Gerais - TRE-PI/2016


A remoo de cdigos maliciosos de um computador pode ser feita por meio de
a) anti-spyware.
b) deteco de intruso.
c) anti-spam.
d) anti-phishing.
e) filtro de aplicaes.

Questo 16 (CESPE) Analista - DPU/2016


A respeito da Internet e suas ferramentas, julgue o item a seguir.
Malwares so mecanismos utilizados para evitar que tcnicas invasivas, como phishing e
spams, sejam instaladas nas mquinas de usurios da Internet.
( ) Certo ( ) Errado

Questo 17 (CESPE) Analista - DPU/2016


A respeito da Internet e suas ferramentas, julgue o item a seguir.
Integridade, confidencialidade e disponibilidade da informao, conceitos fundamentais de
segurana da informao, so adotados na prtica, nos ambientes tecnolgicos, a partir de um
conjunto de tecnologias como, por exemplo, criptografia, autenticao de usurios e
equipamentos redundantes.
( ) Certo ( ) Errado
Questo 18 (CESPE) Conhecimentos Bsicos - TJ-DFT/2015
Na segurana da informao, controles fsicos so solues implementadas nos sistemas
operacionais em uso nos computadores para garantir, alm da disponibilidade das informaes,
a integridade e a confidencialidade destas.
( ) Certo ( ) Errado

Questo 19 (CESPE) Conhecimentos Bsicos - TJ-DFT/2015


As entidades denominadas certificadoras so entidades reconhecidas pela ICP Brasil
(Infraestrutura de Chaves Pblicas) e autorizadas a emitir certificados digitais para usurios ou
instituies que desejam utiliz-los.
( ) Certo ( ) Errado

Questo 20 (CESPE) Analista Superior - Comercial - Telebras/2015


A respeito de segurana da informao, julgue o item subsecutivo.
A biometria, tecnologia de segurana da informao utilizada por bancos, devido a sua
preciso e eficincia, garante a autenticidade da identidade de um usurio durante a
sua autenticao junto aos sistemas.
( ) Certo ( ) Errado
Questo 21 (CESPE) Analista Superior - Comercial - Telebras/2015
A respeito de segurana da informao, julgue o item subsecutivo.
A assinatura digital um cdigo criado mediante a utilizao de uma chave privada
, que permite identificar a identidade do remetente de dada mensagem.
( ) Certo ( ) Errado
Questo 22 (CESPE) Analista Judicirio TI -TRT - 8 Regio (PA e AP)/2013
Considere que, em uma organizao, uma planilha armazenada em um computador (o
servidor de arquivos) tenha sido acessada indevidamente por usurios que visualizaram
as informaes contidas na planilha, mas no as modificaram. O princpio da segurana
da informao comprometido com esse incidente foi
a) a disponibilidade
b) a autenticidade
c) o no repdio
d) a confidencialidade
e) a integridade
Questo 23 (CESPE) Auditor Fiscal da Receita Estadual - SEFAZ-ES/2013
Com base nas propriedades da segurana da informao, correto afirmar que a
utilizao de assinatura digital garante.
a) cifra simtrica.
b) disponibilidade
c) confidencialidade.
d) autenticao.
e) integridade.
Questo 24 (CESPE) Tcnico Judicirio - rea Administrativa - TRE-RJ/2012
Pharming um tipo de golpe em que h o furto de identidade do usurio e o golpista tenta se
passar por outra pessoa, assumindo uma falsa identidade roubada, com o objetivo de obter
vantagens indevidas. Para evitar que isso acontea, recomendada a utilizao de firewall ,
especificamente, o do tipo personal firewall.
( ) Certo ( ) Errado

Questo 25 (CESPE) Conhecimentos Bsicos - Telebras/2015


Sniffers so programas aparentemente inofensivos cuja principal caracterstica utilizar a
tcnica de mascaramento. A tcnica em questo permite, por exemplo, que um sniffer seja
anexado a um jogo, que, por sua vez, ao ser instalado em um computador, coletar
informaes bancrias do usurio.
( ) Certo ( ) Errado

Questo 26 (CESPE) Conhecimentos Bsicos - Exceto Cargo 2 - FUB/2015


O phishing um procedimento que possibilita a obteno de dados sigilosos de usurios da
Internet, em geral, por meio de falsas mensagens de email.
( ) Certo ( ) Errado

Questo 27 (CESPE) Conhecimentos Bsicos - Todos os Cargos - MEC/2014


A ao de worms pode afetar o desempenho de uma rede de computadores.
( ) Certo ( ) Errado
Questo 28 (CESPE) Tcnico - Segurana Institucional - BACEN/2013
Em relao forma de infeco de computadores, vrus e worms so recebidos
automaticamente pela rede, ao passo que trojans e backdoors so inseridos por um invasor.
( ) Certo ( ) Errado

Questo 29 (CESPE) Tcnico - BACEN/2013


Os arquivos criados no LibreOffice Calc no esto sujeitos contaminao por vrus, mais
frequente em arquivos do sistema operacional Windows.
( ) Certo ( ) Errado

Questo 30 (CESPE) Tcnico Previdencirio - INSS/2016


A infeco de um computador por vrus enviado via correio eletrnico pode se dar
quando se abre arquivo infectado que porventura esteja anexado mensagem
eletrnica recebida.
( ) Certo ( ) Errado
Questo 31 (CESPE) Analista Judicirio - TJ-DFT/2015
Vrus do tipo boot, quando instalado na mquina do usurio, impede que o sistema
operacional seja executado corretamente.
( ) Certo ( ) Errado
Questo 32 (CESPE) Tcnico Judicirio - rea Judiciria - TJ-SE/2014
Para evitar a contaminao de um arquivo por vrus, suficiente salv-lo com a opo
de compactao.
( ) Certo ( ) Errado
Questo 33 (CESPE) Nvel Mdio - FUB/2014
Computadores podem ser infectados por vrus mesmo que no estejam conectados
Internet.
( ) Certo ( ) Errado
Questo 34 (CESPE) Todos os Cargos - ANEEL/2010
Phishing um tipo de ataque na Internet que tenta induzir, por meio de mensagens de e-mail
ou stios maliciosos, os usurios a informarem dados pessoais ou confidenciais.
( ) Certo ( ) Errado

Questo 35 (CESGRANRIO) Escriturrio - Banco do Brasil/2015


O gerente de uma agncia recebeu um e-mail, supostamente reenviado por um cliente, com o
seguinte contedo
COMPRASRAPIDO - PROMOO
Prezado Amigo, voc acaba de ser contemplado(a) na promoo Compra Premiada
COMPRASRAPIDO e ganhou R$ 1.000,00 (Mil Reais) em vale compras em qualquer
estabelecimento que tenha as mquinas COMPRASRAPIDO.
Clique no boto abaixo e cadastre-se.
Cadastre-se
Qual deve ser a providncia do gerente?
a) Clicar no boto e candidatar-se ao prmio.
b) Contatar o cliente e perguntar do que se trata.
c) Devolver o e-mail ao cliente, solicitando informaes suplementares.
d) Encaminhar o e-mail aos amigos, celebrando o fato e incentivando-os a participar da
promoo.
e) Contatar o rgo responsvel pela segurana da informao, relatar o fato e perguntar
como proceder.

Questo 36 (CESPE) Economista - MTE/2008


O firewall um sistema antivrus que inibe a infeco de novos tipos de vrus. Para ser eficiente,
o firewall deve ser atualizado frequentemente.
( ) Certo ( ) Errado
Questo 37 (CESGRANRIO) Tcnico de Administrao e Controle Jnior -
Petrobras/2012
Sobre providncias que, comprovadamente, preservam os dados armazenados em seu
computador, analise as afirmativas abaixo.
I - Instalar muitos software antivrus, quanto mais melhor.
II - Fazer backup com frequncia.
III - Utilizar senhas fceis de lembrar, como datas de aniversrio.
correto o que se afirma em
a) I, apenas.
b) II, apenas.
c) I e III, apenas.
d) II e III, apenas.
e) I, II e III.

Questo 38 (CESPE) Tcnico Judicirio - rea Administrativa - STF/2013


Antivrus modernos e atualizados podem detectar worms se sua assinatura for
conhecida.
( ) Certo ( ) Errado
Questo 39 - (CESPE) Analista Judicirio - TRE-GO/2015
Botnet uma rede formada por inmeros computadores zumbis e que permite potencializar as
aes danosas executadas pelos bots, os quais so programas similares ao worm e que
possuem mecanismos de controle remoto.
( ) Certo ( ) Errado

Questo 40 - (FCC) Tcnico Judicirio - rea Administrativa - TRT - 16 REGIO


(MA)/2014
O recurso de criptografia amplamente utilizado nos servios de comunicao da internet para
assegurar a confidencialidade da informao transmitida. O acesso s pginas Web que
requerem a identificao por usurio e senha, feito por meio do protocolo HTTPS, que utiliza
o esquema de criptografia de chaves
a) elpticas.
b) compartilhadas.
c) hbridas.
d) ortogonais.
e) pblicas.
Questo 41 - (FCC) Analista Judicirio - rea Jud. - TRT - 11 Regio (AM)/2012
Quando o cliente de um banco acessa sua conta corrente atravs da internet, comum que
tenha que digitar a senha em um teclado virtual, cujas teclas mudam de lugar a cada caractere
fornecido. Esse procedimento de segurana visa evitar ataques de
a) spywares e adwares.
b) keyloggers e adwares.
c) screenloggers e adwares.
d) phishing e pharming.
e) keyloggers e screenloggers.

Questo 42 - (FCC) Tcnico Judicirio - rea Adm. - TRE-PE/2011


Analise:
I. Umas das maneiras de proteo das informaes no computador se d pela utilizao de um
firewall, que bloqueia ou libera acesso ao computador por meio de uma rede ou internet
dependendo de sua configurao.
II. Os vrus de correio eletrnico so anexados s mensagens enviadas e recebidas. O firewall
de filtros de pacotes pode verificar o contedo de tais mensagens e, portanto, proteger o
computador contra ataques deste tipo.
III. Phishing uma tcnica de ataque que induz o usurio a fornecer informaes pessoais ou
financeiras. Umas das formas comuns para esse tipo de ataque o recebimento de mensagens
de correio eletrnico de fontes aparentemente confiveis, mas que, na verdade, dirige o usurio
para pginas de internet fraudulentas, como por exemplo falsas pginas de banco.
correto o que consta em
a) II, apenas.
b) I, II e III.
c) II e III, apenas.
d) I e III, apenas.
e) I e II, apenas.
Questo 43 - (FCC) Analista Judicirio - rea Judiciria - TRE-PE/2011
Analise:
I. Para que uma conexo nos navegadores seja segura, o protocolo HTTP deve ser utilizado.
Neste tipo de conexo so empregados certificados digitais que garantem a autenticidade do
servidor e tambm utilizadas tcnicas de criptografia para a transmisso dos dados.
II. A utilizao de certificados digitais em correio eletrnico garante a autenticidade do cliente.
Nesse processo, o cliente assina digitalmente a mensagem com sua chave privada, garantindo
que a assinatura seja validada somente com sua chave pblica.
III. A utilizao de teclados virtuais utilizados em pginas na internet uma forma de se
precaver contra softwares maliciosos que possam estar monitorando o teclado do computador.
correto o que consta em
a) I, II e III.
b) II e III, apenas.
c) I, apenas.
d) I e III, apenas.
e) II, apenas.

Questo 44 - (FCC) Analista Jud. - rea Jud. - TRT - 20 (SE)/2011


Sobre segurana da informao correto afirmar:
a) Os usurios de sistemas informatizados, devem ter acesso total aos recursos de informao
da organizao, sendo desnecessrio a utilizao de login e senha.
b) As organizaes no podem monitorar o contedo dos e-mails enviados e recebidos pelos
seus colaboradores e nem utilizar esses dados para fins de auditoria e/ou investigao.
c) possvel saber quais pginas foram acessadas por um computador, identificar o perfil do
usurio e instalar programas espies, entretanto, no possvel identificar esse computador
na Internet devido ao tamanho e complexidade da rede.
d) Para criar senhas seguras indicado utilizar informaes fceis de lembrar, como nome,
sobrenome, nmero de documentos, nmeros de telefone, times de futebol e datas.
e) Um firewall/roteador ajuda a promover uma navegao segura na web, pois permite filtrar
os endereos e bloquear o trfego de sites perigosos.
GABARITO
01 02 03 04 05 06 07 08 09 10 11 12
D E A C E E C C C D E C
13 14 15 16 17 18 19 20 21 22 23 24
E B A E C E C C C D E E
25 26 27 28 29 30 31 32 33 34 35 36
E C C E E C C E C C E E
37 38 39 40 41 42 43 44 45
B C C E E D B E A
COMENTRIOS DAS QUESTES PROPOSTAS

Questo 01 (FCC) Tcnico Judicirio - Administrativa - TRE-AP/2015


Um usurio de computador observou que, ao conectar um pendrive no computador, os arquivos
do pendrive foram transformados em atalhos, no conseguindo acessar os arquivos
originalmente armazenados. Esse sintoma caracterstico de um malware do tipo
a) Spyware.
b) Keylogger.
c) Worm.
d) Vrus.
e) Adware.
Comentrios

Questo difcil!! A melhor estratgia para ela a eliminao!

REGRA SALVADORA!!
Se voc no sabe a resposta certa, elimine as erradas!
Essa uma regra que todo concurseiro sabe. Mas, por vezes voc esquece na hora da
prova, no mesmo?! Ento, relembre de tempos em tempos e exercite esse mtodo!
Vejamos qual a ao padro de cada malware:
a) Spyware: software espio. Captura informaes e envia ao atacante.
b) Keylogger: tipo de Spyware. Registra teclas digitadas.
c) Worm: praga que se autoexecuta e autorreplica, enviando cpias de si mesmo a outros
usurios.
d) Vrus: malware, dependente de hospedeiro, que pode executar diversas aes, dependendo
de sua programao.
e) Adware: software destinado a exibir propagandas. Se elas no forem autorizadas, so
consideradas pragas.

E agora? Qual a nica alternativa que pode executar a ao descrita no enunciado?


Vrus! As aes dos vrus so diversas, enquanto os demais so especficos!
Gabarito: D
Questo 02 (FCC) Analista Judicirio - rea Judiciria - TRT - 4 REGIO (RS)/2015
Ferramentas antimalware, como os antivrus, procuram detectar, anular ou remover os cdigos
maliciosos de um computador. Para que estas ferramentas possam atuar preventivamente,
diversos cuidados devem ser tomados, por exemplo:
a) utilizar sempre um antimalware online, que mais atualizado e mais completo que os
locais.
b) configurar o antimalware para verificar apenas arquivos que tenham a extenso .EXE.
c) no configurar o antimalware para verificar automaticamente os discos rgidos e as
unidades removveis (como pen-drives e discos externos), pois podem ser uma fonte de
contaminao que o usurio no percebe.
d) atualizar o antimalware somente quando o sistema operacional for atualizado, para evitar
que o antimalware entre em conflito com a verso atual do sistema instalado.
e) evitar executar simultaneamente diferentes programas antimalware, pois eles podem
entrar em conflito, afetar o desempenho do computador e interferir na capacidade de deteco
um do outro.
Comentrios

a) Nem sempre um antimalware online o mais adequado. Alem disso, tanto os softwares
online, quanto os locais podem ser atualizados medida que as vacinas so lanadas.
b) O indicado que o antimalware verifique todos os arquivos que ofeream risco. As
extenses mais perigosas so: .EXE, .BAT, .CMD, .SCR, .VBS, .WS. Contudo, as pragas podem
se esconder em praticamente todos os tipos de arquivos.
c) O indicado verificar automaticamente, exatamente por poderem ser uma fonte de
contaminao.
d) necessrio atualizar o antimalware sempre que houver atualizaes disponveis.
e) Exato! O computador deve possuir apenas um antimalware ativo..

Gabarito: E
Questo 3 (FCC) Analista Judicirio - Anlise de Sistemas - TRE-RR/2015
Quando se trata da segurana das informaes trocadas entre duas pessoas, a criptografia
garante ...I... e a funo hash permite verificar a ...II... da mensagem.

As lacunas I e II so preenchidas, correta e respectivamente, com


a) a confidencialidade - integridade.
b) a integridade - disponibilidade.
c) a confidencialidade - disponibilidade.
d) o no repdio - integridade.
e) a autenticidade - irretratabilidade.
Comentrios

Quando a banca fala simplesmente em Criptografia, trata-se da criptografia para sigilo que visa
garantir confidencialidade.
A funo Hash um tcnica que resume a informao criando uma informao menor, de forma
que outro hash da mesma informao gere o mesmo resultado e qualquer outra informao
gere um Hash diferente. Essa tcnica permite verificar a integridade da informao.

Gabarito: A
Questo 4 (FCC) Analista Judicirio - rea Administrativa - TRT - 16 REGIO
(MA)/2014
Diversos mecanismos de segurana foram desenvolvidos para prover e garantir
proteo da informao que, quando corretamente configurados e utilizados, podem
auxiliar os usurios a se protegerem dos riscos envolvendo o uso da Internet. Os
servios disponibilizados e as comunicaes realizadas pela internet devem garantir os
requisitos bsicos de segurana e proteo da informao, como:
Identificao: permitir que uma entidade se identifique, ou seja, diga quem ela .
I. Verificar se a entidade realmente quem ela diz ser.
II. Determinar as aes que a entidade pode executar.
III. Proteger a informao contra alterao no autorizada.
IV. Proteger a informao contra acesso no autorizado.
V. Evitar que uma entidade possa negar que foi ela que executou uma ao.
Disponibilidade: garantir que um recurso esteja disponvel sempre que necessrio.
As definies numeradas de I a V correspondem, respectivamente, a:
a) Integridade; Autenticao; Autorizao; Acessabilidade; No repdio.
b) Identificao; Raio de Ao; Autorizao; Acessabilidade; Negao.
c) Autenticao; Autorizao; Integridade; Confidencialidade; No repdio.
d) Autenticao; Raio de Ao; Integridade; Confidencialidade; Identificao.
e) Integridade; Confidencialidade; Autenticao; Autorizao; Negao.
Comentrios
I. Autenticidade o princpio que permite que usurio identifique o sistema e o
sistema identifique o usurio.
II. Usurios autenticados podem ser autorizados a realizar determinadas aes.
III. Informaes ntegras somente so alteradas por atores autorizados.
IV. Para garantir a confidencialidade somente pessoas autorizadas podem
acessar as informaes a que tem direito.
V. Informaes autnticas garantem a identificao do ator responsvel, logo ele
no poder se retratar ou repudiar a ao realizada (envio de mensagem,
assinatura digital de documentos). Esse o princpio da irretratabilidade ou no
repdio.
Gabarito: C
Questo 05 (CESPE) Contador - MTE/2014
Os antivrus so ferramentas capazes de detectar e remover os cdigos maliciosos de
um computador, como vrus e worms. Tanto os vrus quanto os worms so capazes de
se propagarem automaticamente por meio da incluso de cpias de si mesmo em
outros programas, modificando-os e tornando-se parte deles
( ) Certo ( ) Errado
Comentrios

Os vrus se diferem dos worms na forma de infeco e replicao.


Worms so capazes de se propagarem automaticamente.
Vrus se esalham por meio da incluso de cpias de si mesmo em outros programas,
modificando-os e tornando-se parte deles.
Caractersticas dos Vrus
Age atravs da execuo de um arquivo infectado (hospedeiro);
Se propaga inserindo cpia de si prprio em arquivos.
Caractersticas dos Worms
Age atravs da execuo explcita do cdigo malicioso (sem hospedeiro);
Se propaga enviando cpia de si prprio automaticamente pela rede e por email.
Gabarito: Errado
Questo 06 (CESPE) Nvel Mdio - CADE/2014
Os vrus de computador podem apagar arquivos criados pelo editor de texto, no entanto
so incapazes de infectar partes do sistema operacional, j que os arquivos desse
sistema so protegidos contra vrus.
( ) Certo ( ) Errado
Comentrios

Uma ao muito comum dos vrus danificar o Sistema Operacional.


Nenhum arquivo do computador totalmente protegido contra vrus.
Gabarito: Errado
Questo 07 (CESPE) Nvel Superior - Polcia Federal/2014
Phishing um tipo de malware que, por meio de uma mensagem de email, solicita
informaes confidenciais ao usurio, fazendo-se passar por uma entidade confivel
conhecida do destinatrio.
( ) Certo ( ) Errado
Comentrios

O ataque de Phishing utiliza diversas tcnicas para convencer o alvo a fornecer dados
importantes. A maneira mais comum atravs de envio de mensagens falsas, se
passando por entidades confiveis, solicitando dados pessoais e bancrios.
Gabarito: Certo.
Questo 08 (CESPE) Agente Administrativo - MDIC/2014
O comprometimento do desempenho de uma rede local de computadores pode ser
consequncia da infeco por um worm.
( ) Certo ( ) Errado
Comentrios

Um Worm tem como principal objetivo infectar o maior nmero de dispositivos possvel.
Sendo assim, ele se replica automaticamente, podendo consumir um alto nvel de
recursos, comprometendo o desempenho e, em casos extremos, tornando indisponvel
a rede ou o sistema infectado.
Gabarito: Certo.
Questo 09 (CESPE) Agente de Polcia - PC-DF/2013
Malware qualquer tipo de software que pode causar algum impacto negativo
sobre a informao, podendo afetar sua disponibilidade, integridade e
confidencialidade. Outros softwares so produzidos para oferecer proteo
contra os ataques provenientes dos malwares.
Com relao a esse tema, julgue o prximo item.
Os vrus, ao se propagarem, inserem cpias de seu prprio cdigo em outros
programas, enquanto os worms se propagam pelas redes, explorando, geralmente,
alguma vulnerabilidade de outros softwares.
( ) Certo ( ) Errado
Comentrios

Essa uma excelente questo! Guarde ela e revise-a com frequncia!!


Inicialmente ela traz uma tima definio de Malware. Lembrando que a parte em
negrito funciona como um enunciado. Ento, esse fragmento necessariamente est
certo.
Aps, a CESPE diferencia de forma bastante precisa os vrus dos worms. Enquanto os
vrus dependem de hospedeiro, os worms se auto enviam, se espalhando pelas redes.
Gabarito: Certo.
Questo 10 (ESAF ) Auditor do Tesouro Municipal - Auditoria - Prefeitura de Natal
RN /2008
Considerando-se as caractersticas da Segurana da Informao na
transmisso de dados, quando o destinatrio examina uma mensagem para
certificar-se de que ela no foi alterada durante o trnsito, isto chamado de
a) criptografia assimtrica.
b) criptografia simtrica.
c) garantia da qualidade dos dados.
d) verificao de integridade de dados.
e) verificao de no-repdio dos dados.
Comentrios

(A) A criptografia assimtrica permite proteger tanto a confidencialidade quanto a


autenticidade das informaes, atravs do uso de um par de chaves.
(B) A criptografia simtrica permite proteger a confidencialidade das informaes, atravs
de uma nica chave secreta.
(C) Qualidade est fora do contexto de segurana.
(D) Integridade!! o princpio bsico de segurana da informao que visa garantir que a
informao no seja alterada por entes no autorizados. Resposta correta!
(E) No-repdio um princpio derivado que visa garantir que uma ao autntica no seja
negada pelo autor.
Gabarito: D
Questo 11 (ESAF) Auditor Fiscal da Receita Federal - rea Tributria e Aduaneira -
Receita Federal/2005
Analise as seguintes afirmaes relacionadas segurana e proteo de
documentos no Microsoft Word, em suas verses mais recentes:
I. Para proteo contra vrus de macro no necessrio instalar um software
antivrus especializado, pois o Word j possui todos os recursos para esse tipo
de vrus.
II. Para evitar vrus de macro, o Word permite que o usurio assine
digitalmente um arquivo ou macros usando um certificado digital.
III. No Word, possvel exigir que os usurios abram um documento como
somente leitura. Se um usurio abrir um documento como somente leitura e o
alterar, essa pessoa no poder salvar esse documento com modificaes, em
hiptese alguma.
IV. No Word, possvel proteger um formulrio quando ele est sendo usado
e, tambm, proteger a verso final para evitar que usurios faam alteraes
medida que o preenchem.
Indique a opo que contenha todas as afirmaes verdadeiras.
a) I e II
b) II e III
c) III e IV
d) I e III
e) II e IV
Comentrios

I Errada. Os vrus de macro podem ser detectados por antivrus como os demais tipos
desse malware. O Word no capaz de proteger contra malwares de forma isolada.
II Afirmao correta! Ao assinar digitalmente uma informao, implementamos
garantia de integridade. Logo, se um vrus infectar o documento, a integridade ser
ferida e a assinatura no ser mais vlida.
III Errada. A ao de abrir um documento somente como leitura evita acidentes. Mas,
no uma proteo efetiva para a integridade, sendo possvel remover essa proteo.
IV Afirmao correta! possvel conferir diversas protees ao formulrio:
Voc pode proteger controles de contedo individuais em um modelo de formulrio para
impedir que algum exclua ou edite um controle de contedo ou grupo de controles em
particular. Tambm possvel preparar um formulrio para ser distribudo e preenchido
ao bloque-lo. Voc pode ajudar a proteger todo o contedo do modelo de formulrio
com uma senha.
Fonte: https://support.office.com/pt-br/article/Criar-formul%C3%A1rios-preenchidos-ou-impressos-pelos-usu%C3%A1rios-
no-Word-c8466a9a-525a-4ba4-8e57-ed24101f4291#__add_protection_to

Gabarito: E
Questo 12 (ESAF) Analista de Finanas e Controle - CGU/2012
Comparando a criptografia simtrica com a assimtrica, observa-se que
a) a primeira possui o problema do gerenciamento de chaves, ao passo que a segunda possui
o problema da complexidade binria.
b) a primeira possui o problema da privacidade da chave universal, ao passo que a segunda
possui o problema da criao e distribuio de chaves.
c) a primeira possui o problema da distribuio e gerenciamento de chaves, ao passo que a
segunda possui o problema do desempenho.
d) a primeira possui o problema do desempenho em redes sem fio, ao passo que a segunda
possui o problema do desempenho em ambientes corporativos.
e) a primeira possui o problema do desempenho, ao passo que a segunda possui o problema
da gerao de chaves.
Comentrios

A criptografia simtrica utiliza apenas UMA chave para criptografar e descriptografar a


informao.
A criptografia assimtrica utiliza um PAR DE CHAVES. Uma chave para criptografar e outra para
descriptografar a informao.
Na criptografia simtrica existe um grande problema na transmisso da chave nica. Ela deve
ser conhecida apenas pelos entes autorizados a decifrar a mensagem, caso contrrio o sigilo
ser comprometido.
A criptografia assimtrica resolve esse problema, pois a chave parra realizar a descriptografia
pode ser divulgada livremente. Contudo, esse processo mais oneroso do que o primeiro.

Gabarito: C
Questo 13 (ESAF) Analista Administrativo - ANAC/2016
Para que o receptor de uma mensagem sigilosa cifrada por um emissor com
criptografia assimtrica possa decifr-la, necessrio fazer uso de
a) chave pblica do receptor
b) chaves pblica e privada do emissor.
c) chave pblica do emissor.
d) chave privada do emissor.
e) chave privada do receptor.
Comentrios

O processo de criptografia de sigilo segue o seguinte fluxo:

CHAVE PBLICA DO
PARA CRIPTOFRAGAR USA-SE DESTINATRIO

CHAVE PRIVADA DO
PARA DESCRIPTOFRAGAR USA-SE DESTINATRIO

Gabarito: E
Questo 14 (ESAF) Analista de Finanas e Controle - MF/2013
um exemplo de algoritmo assimtrico:
a) 3DES.
b) RSA.
c) AS2.
d) IDEA.
e) RC2.
Comentrios

Algoritmos de Criptografia Algoritmos de Criptografia


Simtrica Assimtrica
AES, Diffie-Hellman
Twofish, DSS (Digital Signature Standard)
ElGamal
Serpent, Curvas elpticas
Blowfish, Criptossistema de Paillier
CAST5, RSA
RC2, RC4 Criptossistema de CramerShoup
3DES (baseado no DES), e Protocolo de acordo de chave
IDEA. autenticada YAK

* AS2 um protocolo de comunicao para transferncia de arquivos de um sistema para


outro, assim como o FTP, estudado na aula de redes.

Gabarito: B
Questo 15 (CESPE) Conhecimentos Gerais - TRE-PI/2016
A remoo de cdigos maliciosos de um computador pode ser feita por meio de
a) anti-spyware.
b) deteco de intruso.
c) anti-spam.
d) anti-phishing.
e) filtro de aplicaes.
Comentrios

Existem diversos tipos de pragas eletrnicas, conforme estudamos ao longo desta aula.
Podemos ter ferramentas especficas para cada tipo de praga. Dentre as alternativas a nica
que trata de uma praga o Anti-Spyware.
As demais citam proteo contra tcnicas de ataque.

Gabarito: A
Questo 16 (CESPE) Analista - DPU/2016
A respeito da Internet e suas ferramentas, julgue o item a seguir.
Malwares so mecanismos utilizados para evitar que tcnicas invasivas, como phishing e
spams, sejam instaladas nas mquinas de usurios da Internet.
( ) Certo ( ) Errado
Comentrios

Malwares so pragas eletrnicas e no mecanismo de proteo.


Phishing uma tcnica utilizada para obter dados pessoais e financeiros de um usurio, pela
utilizao combinada de meios tcnicos e engenharia social, com o envio de mensagens
eletrnicas falsas.
Spam so mensagens no autorizadas.

Gabarito: Errado
Questo 17 (CESPE) Analista - DPU/2016
A respeito da Internet e suas ferramentas, julgue o item a seguir.
Integridade, confidencialidade e disponibilidade da informao, conceitos fundamentais de
segurana da informao, so adotados na prtica, nos ambientes tecnolgicos, a partir de um
conjunto de tecnologias como, por exemplo, criptografia, autenticao de usurios e
equipamentos redundantes.
( ) Certo ( ) Errado
Comentrios

Perfeita afirmao! Os princpios bsicos formam a regra do CID Confidencialidade,


Integridade e Disponibilidade.
Vejamos a relao de proteo:
Confidencialidade Criptografia: a criptografia pode ser utilizada para garantir a confidencialidade
e integridade das informaes.
.

Integridade Autenticao de usurios: a autenticao de usurios, permite controlar quem


poder alterar uma informao, protegendo sua integridade
Disponibilidade Equipamentos redundantes: atravs da aplicao de redundncia, garantimos a
disponibilidade da informao. Se um dado ou sistema for comprometido, a sua
redundncia ativada.

Gabarito: Certo
Questo 18 (CESPE) Conhecimentos Bsicos - TJ-DFT/2015
Na segurana da informao, controles fsicos so solues implementadas nos sistemas
operacionais em uso nos computadores para garantir, alm da disponibilidade das informaes,
a integridade e a confidencialidade destas.
( ) Certo ( ) Errado
Comentrios

Olha o pega rato! A questo bem escrita, parece tudo certo. Mas, em verdade descreve
aes dos controles lgicos!
Controles fsicos so portas, cadeados, sistema antincndio, redundncia eltrica, etc.

Gabarito: Errado
Questo 19 (CESPE) Conhecimentos Bsicos - TJ-DFT/2015
As entidades denominadas certificadoras so entidades reconhecidas pela ICP Brasil
(Infraestrutura de Chaves Pblicas) e autorizadas a emitir certificados digitais para usurios ou
instituies que desejam utiliz-los.
( ) Certo ( ) Errado
Comentrios

Exato! A ACs Autoridades Certificadoras fazem parte da cadeira hierrquica da ICP-Brasil


(AC-Raiz) e possuem a funo de emitir certificados digitais, entre outras tarefas descritas em
nossa aula.

Gabarito: Certo.
Questo 20 (CESPE) Analista Superior - Comercial - Telebras/2015
A respeito de segurana da informao, julgue o item subsecutivo.
A biometria, tecnologia de segurana da informao utilizada por bancos, devido a sua
preciso e eficincia, garante a autenticidade da identidade de um usurio durante a
sua autenticao junto aos sistemas.
( ) Certo ( ) Errado
Comentrios

A biometria emprega diversas tcnicas para identificao de usurios, a partir de caractersticas


fsicas e comportamentais. um processo que pode obter alto grau de confiabilidade, contudo
pode ser bastante oneroso.

Gabarito: Certo.
Questo 21 (CESPE) Analista Superior - Comercial - Telebras/2015
A respeito de segurana da informao, julgue o item subsecutivo.
A assinatura digital um cdigo criado mediante a utilizao de uma chave privada
, que permite identificar a identidade do remetente de dada mensagem.
( ) Certo ( ) Errado
Comentrios

O objetivo central da Assinatura Digital garantir a autenticidade da informao, vinculando-


a de forma unvoca ao seu autor. Para tanto, utilizada a Chave Privada do remetente da
mensagem para assin-la.

Gabarito: Certo.
Questo 22 (CESPE) Analista Judicirio TI -TRT - 8 Regio (PA e AP)/2013
Considere que, em uma organizao, uma planilha armazenada em um computador (o
servidor de arquivos) tenha sido acessada indevidamente por usurios que visualizaram
as informaes contidas na planilha, mas no as modificaram. O princpio da segurana
da informao comprometido com esse incidente foi
a) a disponibilidade
b) a autenticidade
c) o no repdio
d) a confidencialidade
e) a integridade
Comentrios

(A) A disponibilidade comprometida quando um ativo de informao no est disponvel


ao usurio autorizado, no momento que necessrio.
(B) A autenticidade comprometida quando um usurio se identifica em lugar de outro, ou
quando um sistema fraude sua identidade (sites falsos, por exemplo).
(C) O no repdio comprometido quando um usurio nega uma ao por ele realizada.
(D) A confidencialidade comprometida quando um agente no autorizado obtm acesso a
uma informao. Resposta certa!
(E) A integridade comprometida quando uma informao alterada sem autorizao.
Gabarito: D.
Questo 23 (CESPE) Auditor Fiscal da Receita Estadual - SEFAZ-ES/2013
Com base nas propriedades da segurana da informao, correto afirmar que a
utilizao de assinatura digital garante.
a) cifra simtrica.
b) disponibilidade
c) confidencialidade.
d) autenticao.
e) integridade.
Comentrios

A Assinatura Digital emprega criptografia assimtrica e clculo de resumo hash para garantir
Autenticidade, Integridade e No Repdio.

Gabarito: E.
Questo 24 (CESPE) Tcnico Judicirio - rea Administrativa - TRE-RJ/2012
Pharming um tipo de golpe em que h o furto de identidade do usurio e o golpista tenta se
passar por outra pessoa, assumindo uma falsa identidade roubada, com o objetivo de obter
vantagens indevidas. Para evitar que isso acontea, recomendada a utilizao de firewall ,
especificamente, o do tipo personal firewall.
( ) Certo ( ) Errado
Comentrios
Vamos buscar a explicao na prpria CESPE!
Pharming um ataque que possui como estratgia corromper o DNS e direcionar o
endereo de um stio para um servidor diferente do original.
(CESPE) Analista Judicirio - Anlise de Sistemas - TJ-AC/2012

Para evitar o ataque de Pharming a Cartilha do Cert indica as seguintes aes:


desconfie se, ao digitar uma URL, for redirecionado para outro site, o qual tenta
realizar alguma ao suspeita, como abrir um arquivo ou tentar instalar um
programa;
desconfie imediatamente caso o site de comrcio eletrnico ou Internet Banking
que voc est acessando no utilize conexo segura. Sites confiveis de comrcio
eletrnico e Internet Banking sempre usam conexes seguras quando dados
pessoais e financeiros so solicitados ;
observe se o certificado apresentado corresponde ao do site verdadeiro.
Fonte: http://cartilha.cert.br/golpes/
Note que o Firewall no uma ao adequada para proteo contra esse tipo de golpe.
Gabarito: Errado
Questo 25 (CESPE) Conhecimentos Bsicos - Telebras/2015
Sniffers so programas aparentemente inofensivos cuja principal caracterstica utilizar a
tcnica de mascaramento. A tcnica em questo permite, por exemplo, que um sniffer seja
anexado a um jogo, que, por sua vez, ao ser instalado em um computador, coletar
informaes bancrias do usurio.
( ) Certo ( ) Errado
Comentrios

A questo descreve o conceito de Cavalo de Tria, que um programa que executa aes alm
do que aparenta.
Os Sniffers so programas que farejam os dados de rede, a fim de interceptar e roubar
informaes.

Gabarito: E
Questo 26 (CESPE) Conhecimentos Bsicos - Exceto Cargo 2 - FUB/2015
O phishing um procedimento que possibilita a obteno de dados sigilosos de usurios da
Internet, em geral, por meio de falsas mensagens de email.
( ) Certo ( ) Errado
Comentrios

Exato! A tcnica de phishing utiliza mecanismos de engenharia social, tentando levar o usurio
a fornecer informaes, como dados pessoais e bancrios.

Gabarito: C
Questo 27 (CESPE) Conhecimentos Bsicos - Todos os Cargos - MEC/2014
A ao de worms pode afetar o desempenho de uma rede de computadores.
( ) Certo ( ) Errado
Comentrios

As pragas do tipo worm tem como caracterstica a autoreplicao e autoenvio, atravs de


mensagens eletrnicas e mecanismos de rede. Assim, o alto volume de trfego pode deteriorar
o desempenho da rede.

Gabarito: C
Questo 28 (CESPE) Tcnico - Segurana Institucional - BACEN/2013
Em relao forma de infeco de computadores, vrus e worms so recebidos
automaticamente pela rede, ao passo que trojans e backdoors so inseridos por um invasor.
( ) Certo ( ) Errado
Comentrios
Questo extrada do Resumo Comparativo da Cartilha do Cert.BR!
Item 4.9 do link abaixo:
http://cartilha.cert.br/malware/

Cdigos Maliciosos

Vrus Worm Bot Trojan Spyware Backdoor Rootkit

Como obtido:

Recebido automaticamente pela rede

Recebido por e-mail

Baixado de sites na Internet

Compartilhamento de arquivos

Uso de mdias removveis infectadas

Redes sociais

Mensagens instantneas

Inserido por um invasor

Ao de outro cdigo malicioso


Como podemos observar o vrus no recebido automaticamente pela rede.

Gabarito: E
Questo 29 (CESPE) Tcnico - BACEN/2013
Os arquivos criados no LibreOffice Calc no esto sujeitos contaminao por vrus, mais
frequente em arquivos do sistema operacional Windows.
( ) Certo ( ) Errado
Comentrios

Os vrus utilizam diversos tipos de arquivos como seus hospedeiros, incluindo planilhas,
documentos de texto e apresentaes. Em especial nesses tipos de arquivos, existem um vrus
denominado vrus de macro, que utiliza uma linguagem de script para incluir cdigos maliciosos
em documentos.

Gabarito: E
Questo 30 (CESPE) Tcnico Previdencirio - INSS/2016
A infeco de um computador por vrus enviado via correio eletrnico pode se dar
quando se abre arquivo infectado que porventura esteja anexado mensagem
eletrnica recebida.
( ) Certo ( ) Errado
Comentrios

Os vrus se proliferam inseridos em arquivos atravs de diversos mecanismos: email,


mdias removveis, dados de rede, etc.
Pelo grande nmero de mensagens eletrnicas trocadas diariamente, esse um meio
bastante comum de disseminao desse tipo de malware.
Para que o vrus seja ativado, devemos executar seu hospedeiro, nesse caso o anexo
da mensagem.
Gabarito:Certo.
Questo 31 (CESPE) Analista Judicirio - TJ-DFT/2015
Vrus do tipo boot, quando instalado na mquina do usurio, impede que o sistema
operacional seja executado corretamente.
( ) Certo ( ) Errado
Comentrios

O processo de boot o processo de inicializao do computador que compreende a


verificao dos componentes bsicos de hardware e a chamada do Sistema
Operacional.
O vrus de boot infecta a rea de inicializao interferindo nesse processo. Essa ao
tem diversos impactos, incluindo mau funcionamento dos componentes do sistema.
Gabarito:Certo.
Questo 32 (CESPE) Tcnico Judicirio - rea Judiciria - TJ-SE/2014
Para evitar a contaminao de um arquivo por vrus, suficiente salv-lo com a opo
de compactao.
( ) Certo ( ) Errado
Comentrios

ATENO!!
Regra bsica para qualquer questo que fale em proteo para ataques e pragas
eletrnicas:
NO EXISTE SEGURANA 100%!
NADA SUFICIENTE!
TODO MECANISMO DE SEGURANA VISA MITIGAR1 RISCOS!
Logo, no h tcnica a se implementar que seja suficiente para a proteo contra vrus.
Alm disso, a compactao uma tcnica para diminuir o tamanho de um arquivo e
no tem nenhuma relao com proteo contra vrus.
Gabarito: Errado.
Questo 33 (CESPE) Nvel Mdio - FUB/2014
Computadores podem ser infectados por vrus mesmo que no estejam conectados
Internet.
( ) Certo ( ) Errado
Comentrios

Um computador pode ser infectado por vrus de diversas formas, desde que o arquivo
hospedeiro seja executado, ativando o gatilho de infeco.
Ento, um computador desconectado da internet pode ser infectado pela execuo de
um arquivo atravs do pendrive, por exemplo.
Gabarito: Certo.
Questo 34 (CESPE) Todos os Cargos - ANEEL/2010
Phishing um tipo de ataque na Internet que tenta induzir, por meio de mensagens de e-mail
ou stios maliciosos, os usurios a informarem dados pessoais ou confidenciais.
( ) Certo ( ) Errado
Comentrios

Conceito exato de phishing! Um golpe que envolve tcnicas de engenharia social para obter
dados atravs do convencimento.

Gabarito: C

1
Mitigar: Acalmar, atenuar, diminuir.
Questo 35 (CESGRANRIO) Escriturrio - Banco do Brasil/2015
O gerente de uma agncia recebeu um e-mail, supostamente reenviado por um cliente, com o
seguinte contedo
COMPRASRAPIDO - PROMOO
Prezado Amigo, voc acaba de ser contemplado(a) na promoo Compra Premiada
COMPRASRAPIDO e ganhou R$ 1.000,00 (Mil Reais) em vale compras em qualquer
estabelecimento que tenha as mquinas COMPRASRAPIDO.
Clique no boto abaixo e cadastre-se.
Cadastre-se
Qual deve ser a providncia do gerente?
a) Clicar no boto e candidatar-se ao prmio.
b) Contatar o cliente e perguntar do que se trata.
c) Devolver o e-mail ao cliente, solicitando informaes suplementares.
d) Encaminhar o e-mail aos amigos, celebrando o fato e incentivando-os a participar da
promoo.
e) Contatar o rgo responsvel pela segurana da informao, relatar o fato e perguntar
como proceder.
Comentrios
O contedo da mensagem tem diversas caractersticas de ataques de phishing. Contudo,
devemos tomar cuidado para no fornecer qualquer informao ao atacante.
Se respondermos a ele, ele ter a confirmao que nosso e-mail vlido e que h um usurio
em potencial do outro lado. Certamente ele tentar novos ataques a esse endereo.
Clicar ou enviar a mensagem a terceiros, tambm est totalmente fora de cogitao.
A ao mais correta notificar a rea de segurana para que possam tomar as devidas
providncias, como bloquear a mensagem no servidor da empresa, por exemplo.

Gabarito: E
Questo 36 (CESPE) Economista - MTE/2008
O firewall um sistema antivrus que inibe a infeco de novos tipos de vrus. Para ser eficiente,
o firewall deve ser atualizado frequentemente.
( ) Certo ( ) Errado
Comentrios

Firewall e antivrus so ferramentas distintas. O primeiro realiza um filtro de dados que entram
e saem da rede e o segundo protege o computador contra pragas. O antivrus precisa de
atualizao constante, uma vez que as pragas sofrem mutaes e novas so lanadas
constantemente.

Gabarito: E
Questo 37 (CESGRANRIO) Tcnico de Administrao e Controle Jnior -
Petrobras/2012
Sobre providncias que, comprovadamente, preservam os dados armazenados em seu
computador, analise as afirmativas abaixo.
I - Instalar muitos software antivrus, quanto mais melhor.
II - Fazer backup com frequncia.
III - Utilizar senhas fceis de lembrar, como datas de aniversrio.
correto o que se afirma em
a) I, apenas.
b) II, apenas.
c) I e III, apenas.
d) II e III, apenas.
e) I, II e III.
Comentrios

I FALSA - O procedimento adequado instalar apenas um software antivrus e mant-lo


configurado e atualizado. Mais de um software de mesmo objetivo pode ocasionar conflito e
prejudicar seu funcionamento.
II VERDADEIRA - As cpias de segurana so altamente indicadas para preservao da
disponibilidade dos dados. Quanto maior a frequncia de execuo de backups, menor o risco
de perda de informaes. Contudo, essa ao depende de uma relao de custo/benefcio. Em
sistemas que possuem grande necessidade de disponibilidade dos dados, utilizada uma
tcnica denominada redundncia. Nela, todo dado gravado em uma base principal
automaticamente replicado para uma base secundria.
III FALSA - As senhas devem ser complexas, dificultando sua descoberta. Deve-se evitar
inserir dados pessoais e palavras de dicionrios, como nomes de times de futebol, cidades, etc.

Gabarito: B
Questo 38 (CESPE) Tcnico Judicirio - rea Administrativa - STF/2013
Antivrus modernos e atualizados podem detectar worms se sua assinatura for
conhecida.
( ) Certo ( ) Errado
Comentrios

Atualmente os antivrus protegem o usurio de diversas pragas. Podemos dizer que


eles so Antimalwares. Contudo, o nome Antivrus ficou consolidado no mercado.
Uma das pragas que pode ser detectada o Worm, malware que tem como principal
caracterstica se propagar ativamente de diversas formas.
Gabarito: Certo.
Questo 39 - (CESPE) Analista Judicirio - TRE-GO/2015
Botnet uma rede formada por inmeros computadores zumbis e que permite potencializar as
aes danosas executadas pelos bots, os quais so programas similares ao worm e que
possuem mecanismos de controle remoto.
( ) Certo ( ) Errado
Comentrios

Exato! Uma rede de bots formada por computadores que podem ser controlados remotamente
para agirem em conjunto. A semelhana dos bots com os worms pode ser conferida na Tabela
4.1 da Cartilha do Crt.br
http://cartilha.cert.br/malware/

Gabarito: C
Questo 40 - (FCC) Tcnico Judicirio - rea Administrativa - TRT - 16 REGIO
(MA)/2014
O recurso de criptografia amplamente utilizado nos servios de comunicao da internet para
assegurar a confidencialidade da informao transmitida. O acesso s pginas Web que
requerem a identificao por usurio e senha, feito por meio do protocolo HTTPS, que utiliza
o esquema de criptografia de chaves
a) elpticas.
b) compartilhadas.
c) hbridas.
d) ortogonais.
e) pblicas.
Comentrios

O protocolo HTTPS fornece uma camada de segurana para as comunicaes atravs de


pginas da web.
Essa camada de segurana implementada pelo protocolo SSL/TLS que utiliza certificados
digitais para a criptografia (sigilo) e garantia de autenticidade das transaes. Essa uma
criptografia assimtrica (utiliza um par de chaves), tambm chamado de Criptografia de Chaves
Pblicas.

Gabarito: E
Questo 41 - (FCC) Analista Judicirio - rea Jud. - TRT - 11 Regio (AM)/2012
Quando o cliente de um banco acessa sua conta corrente atravs da internet, comum que
tenha que digitar a senha em um teclado virtual, cujas teclas mudam de lugar a cada caractere
fornecido. Esse procedimento de segurana visa evitar ataques de
a) spywares e adwares.
b) keyloggers e adwares.
c) screenloggers e adwares.
d) phishing e pharming.
e) keyloggers e screenloggers.
Comentrios

Os teclados virtuais tem como objetivo impedir a captura das teclas digitadas pelo usurio
atravs da ao de softwares espies (Spywares) do tipo Keylogger. Contudo, para
sobrepor esse mecanismo de segurana, foram criados os Screenloggers que tiram
fotografias da tela, mapeando a ao do usurio. Por isso, os teclados virtuais implementaram
a mudana de local da teclas.

Gabarito: E
Questo 42 - (FCC) Tcnico Judicirio - rea Adm. - TRE-PE/2011
Analise:
I. Umas das maneiras de proteo das informaes no computador se d pela utilizao de um
firewall, que bloqueia ou libera acesso ao computador por meio de uma rede ou internet
dependendo de sua configurao.
II. Os vrus de correio eletrnico so anexados s mensagens enviadas e recebidas. O firewall
de filtros de pacotes pode verificar o contedo de tais mensagens e, portanto, proteger o
computador contra ataques deste tipo.
III. Phishing uma tcnica de ataque que induz o usurio a fornecer informaes pessoais ou
financeiras. Umas das formas comuns para esse tipo de ataque o recebimento de mensagens
de correio eletrnico de fontes aparentemente confiveis, mas que, na verdade, dirige o usurio
para pginas de internet fraudulentas, como por exemplo falsas pginas de banco.
correto o que consta em
a) II, apenas.
b) I, II e III.
c) II e III, apenas.
d) I e III, apenas.
e) I e II, apenas.
Comentrios

I. Correta!
II. Errada. Os vrus de correio eletrnico podem ser acoplados aos anexos das mensagens
enviadas e recebidas. Os anexos so os hospedeiros do vrus. O firewall de filtros de pacotes
no verifica o contedo das mensagens, quem faz essa ao o antivrus.
III. Correta!

Gabarito: D
Questo 43 - (FCC) Analista Judicirio - rea Judiciria - TRE-PE/2011
Analise:
I. Para que uma conexo nos navegadores seja segura, o protocolo HTTP deve ser utilizado.
Neste tipo de conexo so empregados certificados digitais que garantem a autenticidade do
servidor e tambm utilizadas tcnicas de criptografia para a transmisso dos dados.
II. A utilizao de certificados digitais em correio eletrnico garante a autenticidade do cliente.
Nesse processo, o cliente assina digitalmente a mensagem com sua chave privada, garantindo
que a assinatura seja validada somente com sua chave pblica.
III. A utilizao de teclados virtuais utilizados em pginas na internet uma forma de se
precaver contra softwares maliciosos que possam estar monitorando o teclado do computador.
correto o que consta em
a) I, II e III.
b) II e III, apenas.
c) I, apenas.
d) I e III, apenas.
e) II, apenas.
Comentrios

I. Errada. Para que uma conexo nos navegadores seja segura, o protocolo HTTPS deve ser
utilizado. Neste tipo de conexo so empregados certificados digitais que garantem a
autenticidade do servidor e tambm utilizadas tcnicas de criptografia para a transmisso dos
dados.
II. Correta!
III. Correta!

Gabarito: B
Questo 44 - (FCC) Analista Jud. - rea Jud. - TRT - 20 (SE)/2011
Sobre segurana da informao correto afirmar:
a) Os usurios de sistemas informatizados, devem ter acesso total aos recursos de informao
da organizao, sendo desnecessrio a utilizao de login e senha.
b) As organizaes no podem monitorar o contedo dos e-mails enviados e recebidos pelos
seus colaboradores e nem utilizar esses dados para fins de auditoria e/ou investigao.
c) possvel saber quais pginas foram acessadas por um computador, identificar o perfil do
usurio e instalar programas espies, entretanto, no possvel identificar esse computador
na Internet devido ao tamanho e complexidade da rede.
d) Para criar senhas seguras indicado utilizar informaes fceis de lembrar, como nome,
sobrenome, nmero de documentos, nmeros de telefone, times de futebol e datas.
e) Um firewall/roteador ajuda a promover uma navegao segura na web, pois permite filtrar
os endereos e bloquear o trfego de sites perigosos.
Comentrios

a) Os usurios de sistemas informatizados, devem ter acesso somente aos recursos de


informao autorizados pela poltica de segurana da informao da organizao, sendo alguns
recursos acessveis apenas aps uma autenticao do usurios.
b) As organizaes podem monitorar o contedo dos e-mails enviados e recebidos pelos seus
colaboradores e utilizar esses dados para fins de auditoria e/ou investigao.

No confunda polticas de segurana com questes legais! Nas provas de


conceitos bsicos de informtica, o contedo foca na parte tcnica. S
avance para reflexes legais se o seu edital for explcito nesse sentido!
c) Os computadores so identificados em uma rede atravs de seu nmero IP. Toda conexo
pode ser mapeada.
d) Para criar senhas seguras indicado utilizar informaes difceis de lembrar. O item 8.2 da
cartilha do Cert.BR indica o que devemos e o que no devemos utilizar na formao de senhas.

Sugiro a leitura!
http://cartilha.cert.br/senhas/
e) O roteador pode funcionar como um firewall, estabelecendo critrios para o que pode ou no
trafegar na rede.

Gabarito: E
Questo 45 - (FCC) Tcnico Jud. Op. de Comp. - TRF - 1 /2011
Considerando o recebimento de um arquivo executvel de fonte desconhecida, no correio
eletrnico, a atitude mais adequada diante deste fato
a) no execut-lo.
b) baix-lo no seu desktop e execut-lo localmente, somente.
c) repass-lo para sua lista de endereos solicitando aos mais experientes que o executem.
d) execut-lo diretamente, sem baix-lo no seu desktop.
e) execut-lo de qualquer forma, porm comunicar o fato ao administrador de sua rede.
Comentrios

Alguns malwares, como os vrus, dependem da execuo explcita do arquivo para sua ao.
Sendo assim, ao receber um email de fonte desconhecida ou com contedo suspeito no
devemos execut-lo e devemos excluir o email.

Gabarito: A