Você está na página 1de 210

Aula 11

Informática p/ TREs - Todos os Cargos - com videoaulas


Professores: Fernando Mesquita, Victor Dalton
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

AULA 11: Segurança da Informação

SUMÁRIO PÁGINA
Apresentação 1
1. Proteção a redes de computadores 2
1.1 Considerações iniciais 2
1.2 Ameaças 5
1.3 Criptografia 18
1.4 Backup 41
1.5 VPN 42
1.6 Firewall 46
1.7 Outras boas práticas de segurança da informação 52
Exercícios Comentados 57
Considerações Finais 151
Lista de Exercícios 152

Olá amigos e amigas! Que bom estarmos juntos novamente!

Particularmente, gosto muito do conteúdo da aula de hoje. Criptografia


e ameaças trazem muitos conceitos e ideias que estão mais envolvidos com
o nosso dia a dia do que a gente pensa, e, justamente por isso, adoro o
tema.

Podemos começar?

Observação importante: este curso é protegido por direitos


autorais (copyright), nos termos da Lei 9.610/98, que altera,
atualiza e consolida a legislação sobre direitos autorais e dá
outras providências.

Grupos de rateio e pirataria são clandestinos, violam a lei e


prejudicam os professores que elaboram os cursos. Valorize o
trabalho de nossa equipe adquirindo os cursos honestamente
através do site Estratégia Concursos ;-)

Prof. Victor Dalton


www.estrategiaconcursos.com.br 1 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

SEGURANÇA DA INFORMAÇÃO

1. PROTEÇÃO A REDES DE COMPUTADORES

1.1 Considerações iniciais

Nos dias atuais, a informação trafega pela rede mundial de


computadores, ou simplesmente Internet. Nesse ambiente convivem
elementos bem e mal intencionados. Por causa disso, diversos recursos
para proteger a informação e as redes de computadores precisam ser
empregados.

A norma ISO 27002 ressalta que a informação é um ativo muito valioso


para uma organização. Diferentemente de outros ativos, ela pode ser
impressa, escrita em papel, armazenada em via eletrônica, ou até mesmo
conversada. Isto posto, ela deve ser protegida com adequação.

Nesse contexto, a segurança da informação é um conjunto de


controles, nos quais se incluem políticas, processos, funções de software
e hardware e estruturas organizacionais, aplicados com o intuito de
proteger a informação dos vários tipos de ameaças, para garantir a
continuidade do negócio em caso de desastre, maximizar o ROI (retorno
sobre o investimento) e as oportunidades de negócio.

Destaque para a tríade da segurança da informação:

Prof. Victor Dalton


www.estrategiaconcursos.com.br 2 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

Segundo a norma:

Confidencialidade: Garantia de que o acesso à informação seja


obtido somente por pessoas autorizadas.

Integridade: Salvaguarda da exatidão e completeza da informação e


dos métodos de processamento.

Disponibilidade: Garantia de que os usuários autorizados obtenham


acesso à informação e aos ativos correspondentes sempre que necessário.

(CESPE – TCU – Auditor - Tecnologia da Informação - 2015)


Confidencialidade é a garantia de que somente pessoas autorizadas tenham
acesso à informação, ao passo que integridade é a garantia de que os usuários
autorizados tenham acesso, sempre que necessário, à informação e aos ativos
correspondentes.

Errado! O conceito de confidencialidade está correto, mas o segundo conceito é


o de disponibilidade. Integridade é a garantia que a informação não foi alterada,
e permanece íntegra.

Além da famosa tríade, a resolução do TCU nº 229, de 2009 define


mais dois critérios utilizados para a classificação da informação. Ei-los:

Criticidade: Atributo da segurança da informação que define a


importância da informação para a continuidade do negócio da instituição;

Prazo de retenção: Período em que os dados ficarão retidos,


guardados e/ou armazenados. Na instituição governamental, o período é
alterado de acordo com a necessidade. Consiste no tempo em que o backup
não pode ser apagado, caso exista um histórico.

Ainda, alguns autores defendem que para que uma informação seja
considera segura, o sistema que o administra ainda deve respeitar os
seguintes critérios:

Autenticidade - Garante que a informação ou o usuário da mesma é


autêntico.

Prof. Victor Dalton


www.estrategiaconcursos.com.br 3 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

Não repúdio (irretratabilidade). Não é possível negar (no sentido


de dizer que não foi feito) uma operação ou serviço que modificou ou criou
uma informação; não é possível negar o envio ou recepção de uma
informação ou dado.

Legalidade. Garante a legalidade (jurídica) da informação; a


aderência de um sistema à legislação; e as características das informações
que possuem valor legal dentro de um processo de comunicação, onde
todos os ativos estão de acordo com as cláusulas contratuais pactuadas ou
a legislação nacional ou internacional vigente.

Privacidade. Foge do aspecto de confidencialidade, pois uma


informação pode ser considerada confidencial, mas não privada. Uma
informação privada deve poder ser vista / lida / alterada somente pelo seu
dono. Garante ainda, que a informação não será disponibilizada para outras
pessoas (neste caso é atribuído o caráter de confidencialidade à
informação). É a capacidade de um usuário realizar ações em um sistema
sem que seja identificado.

Auditoria. Rastreabilidade dos diversos passos de um negócio ou


processo, identificando os participantes, os locais e horários de cada etapa.
A auditoria aumenta a credibilidade da empresa e é responsável pela
adequação da empresa às políticas legais e internas.

Para Laureano e Moraes (Segurança Como Estratégia de Gestão da


Informação), as informações se classificam como pública, interna,
confidencial, secreta.

• Pública: Informação que pode vir a público sem maiores


consequências danosas ao funcionamento normal da empresa, e cuja
integridade não é vital.

• Interna: O acesso livre a este tipo de informação deve ser evitado,


embora as consequências do uso não autorizado não sejam por demais
sérias. Sua integridade é importante, mesmo que não seja vital.

• Confidencial: Informação restrita aos limites da empresa, cuja


divulgação ou perda pode levar a desequilíbrio operacional, e
eventualmente, a perdas financeiras ou de confiabilidade perante o cliente
externo.

• Secreta: Informação crítica para as atividades da empresa, cuja


integridade deve ser preservada a qualquer custo e cujo acesso deve ser

Prof. Victor Dalton


www.estrategiaconcursos.com.br 4 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

restrito a um número reduzido de pessoas. A segurança desse tipo de


informação é vital para a companhia.

1.2 Ameaças

A Internet é um cesto cheio dos mais diversos tipos de golpes e


ameaças. Para facilitar o entendimento do cidadão (e a cobrança em
concursos, rs), esses golpes e ameaças recebem uma série de
classificações. Vejamos:

1.2.1 Malware

Oriundo da expressão “Malicious Software”, Malware são programas


desenvolvidos para executar atividades maliciosas em um computador.
Lato sensu, até mesmo programas legítimos que, em virtude de falhas em
seu código, causam danos, podem ser classificados como malware. Os
principais tipos de malware são:

Vírus: um vírus de computador é um programa capaz de se replicar e


opera sem o consentimento do usuário, se espalhando ao se anexar a
outros programas. Outras variedades de vírus são os vírus de boot
capazes de danificar áreas responsáveis por carregar o sistema operacional
e os vírus de macro que podem causar alterações em documentos. Alguns

Prof. Victor Dalton


www.estrategiaconcursos.com.br 5 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

vírus apenas se replicam, outros podem trazer danos maiores como


corromper arquivos, sobrecarregar uma rede e levar uma máquina a ser
formatada.

Vírus simples

Um vírus simples, que só se replica e é fácil de ser detectado. Se um


usuário executa um vírus, esse vírus pode tomar conta do computador da
vítima e se anexar em outro arquivo, e, depois que ele se espalha, o
devolve o controle para o programa hospedeiro, que funciona
normalmente. O vírus pode se replicar inúmeras vezes, mas nunca se
modifica, logo, o antivírus pode facilmente localizá-lo por uma sequência
de bits característica. Essa sequência também é chamada de assinatura
do vírus.

Vírus encriptado

A ideia do vírus encriptado é esconder esta assinatura fixa,


embaralhando o vírus, para que este não seja detectado por um antivírus.
Um vírus encriptado consiste de uma rotina de decriptação e um corpo
encriptado que, ao ser executado, inicia a fase de decriptação. Após esta
fase, o corpo do vírus toma conta da máquina, se espalhando da mesma
forma que um vírus simples, mas com o diferencial de encriptar o corpo do
vírus com uma nova chave de encriptação, dificultando a detecção por
assinaturas de vírus. No entanto, a rotina de decriptação continua a ser a
mesma, logo, os antivírus passaram a checar por sequências de bytes que
identificassem a rotina de decriptação.

Vírus Polimórficos

Os vírus polimórficos são capazes de criar uma nova variante a cada


execução e diferentemente dos vírus encriptados que encriptam apenas o
código do vírus e permanecem com a mesma rotina de decriptação, os vírus
polimórficos alteram tanto a rotina de encriptação quanto a rotina de
decriptação, o que dificulta a detecção.

Em uma variante de um vírus polimórfico o módulo de decriptação


aparece em claro e o corpo do vírus aparece encriptado. No corpo do vírus
estão presentes a rotina do vírus em si e um módulo de mutação
responsável por gerar o módulo de encriptação e um novo módulo de

Prof. Victor Dalton


www.estrategiaconcursos.com.br 6 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

decriptação que terá uma nova chave, visto que o módulo de encriptação
foi alterado. Sendo assim, ao infectar um arquivo, o vírus apresentará um
novo módulo de encriptação e um novo corpo.

Em geral, para realizar a detecção dessas ameaças os softwares


antivírus fazem a decriptação do vírus usando um emulador ou realizam
uma análise de padrão do corpo do vírus, visto que o código muda, mas a
semântica não. O processo de emulação é também chamado de sandbox e
é capaz de detectar o vírus caso o código decriptado permaneça o mesmo.

Vírus Metamórficos

Os vírus polimórficos podem apresentar problemas durante as suas


mutações e podem até demorar a serem detectados, mas na maioria das
vezes são detectados devido ao baixo número de vírus polimórficos
eficientes.

Os desenvolvedores de vírus implementam novos códigos para


dificultar o trabalho do pesquisador. O W32/Apparition foi o primeiro vírus
de 32 bits a não utilizar decriptadores polimórficos para realizar mutações,
ele possuía seu código decompilado e quando encontrava um compilador
compilava o código. O vírus inseria e removia código desnecessário ao
código fonte e se recompilava. Dessa forma uma nova geração do vírus
parecia completamente diferente das anteriores. Esse tipo de técnica pode
ser mais destrutiva em ambientes baseados em Unix, onde os compiladores
C são instalados junto com o sistema.

Os vírus metamórficos são capazes de mudar o próprio corpo, por não


possuir um decriptador ou um corpo de vírus constante, mas são capazes
de criar novas gerações diferentes. Eles possuem um corpo único que
carregava dados como código. Os vírus metamórficos evitam gerar
instâncias parecidas com a anterior.

Vírus de macro

Os vírus de macro vinculam suas macros a modelos de documentos e


a outros arquivos de modo que, quando um aplicativo carrega o arquivo e
executa as instruções nele contidas, as primeiras instruções executadas
serão as do vírus.

Prof. Victor Dalton


www.estrategiaconcursos.com.br 7 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

Vírus de macro são parecidos com outros vírus em vários aspectos:


são códigos escritos para que, sob certas condições, este código se
"reproduz", fazendo uma cópia dele mesmo. Como outros vírus, eles podem
ser escritos para causar danos, apresentar uma mensagem ou fazer
qualquer coisa que um programa possa fazer.

Ainda cabe trazer a classificação de vírus segundo a CERT.BR:

Vírus propagado por e-mail: recebido como um arquivo anexo a um


e-mail cujo conteúdo tenta induzir o usuário a clicar sobre este arquivo,
fazendo com que seja executado. Quando entra em ação, infecta arquivos
e programas e envia cópias de si mesmo para os e-mails encontrados nas
listas de contatos gravadas no computador.

Vírus de script: escrito em linguagem de script, como VBScript e


JavaScript, e recebido ao acessar uma página Web ou por e-mail, como um
arquivo anexo ou como parte do próprio e-mail escrito em formato HTML.
Pode ser automaticamente executado, dependendo da configuração do
navegador Web e do programa leitor de e-mails do usuário.

Vírus de macro: tipo específico de vírus de script, escrito em


linguagem de macro, que tenta infectar arquivos manipulados por
aplicativos que utilizam esta linguagem como, por exemplo, os que compõe
o Microsoft Office (Excel, Word e PowerPoint, entre outros).

Vírus de telefone celular: vírus que se propaga de celular para


celular por meio da tecnologia bluetooth ou de mensagens MMS
(Multimedia Message Service). A infecção ocorre quando um usuário
permite o recebimento de um arquivo infectado e o executa. Após infectar
o celular, o vírus pode destruir ou sobrescrever arquivos, remover ou
transmitir contatos da agenda, efetuar ligações telefônicas e drenar a carga
da bateria, além de tentar se propagar para outros celulares.

E mais algumas classificações:

Vírus de Boot: Vírus que se infecta na área de inicialização dos


disquetes e de discos rígidos (são vírus bem antigos, rs). Essa área é onde
se encontram arquivos essenciais ao sistema. Os vírus de boot costumam
ter alto poder de destruição, impedindo, inclusive, que o usuário entre no
micro.

Prof. Victor Dalton


www.estrategiaconcursos.com.br 8 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

Vírus de Programa: infectam - normalmente - os arquivos


executáveis, com extensão .EXE e .COM, e algumas outras extensões,
como .OVL e .DLL.

Vírus Multipartite: misto dos vírus de Boot e de Programas. Eles


infectam ambos: arquivos de programas e setores de boot, o que os tornam
muito mais eficazes na tarefa de se espalhar, contaminando outros
arquivos e/ou discos, mas também mais difíceis de serem detectados e
removidos.

Vírus Stealth (Vírus Invisíveis): um dos mais complexos da


atualidade, cuja principal característica é a inteligência. Emprega técnicas
para evitar sua detecção durante a varredura de programas antivírus,
como, por exemplo, temporariamente se auto remover da memória.

E prossigamos com outros malwares!

Worm (importante!): worms são programas autorreplicantes,


passando de um sistema a outro, sem, necessariamente, utilizar um
arquivo hospedeiro. Além disso, pode causar danos sem a ativação pelo
usuário, diferentemente dos vírus.

Todo programa em um computador precisa ser executado.


Um worm, para se autorreplicar, precisa estar em execução.
O que difere o worm de um vírus, por exemplo, é que,
enquanto o vírus é executado por uma ação explícita do
usuário (como um clique duplo no arquivo malicioso), o worm
O worm é executado ou explora vulnerabilidades existentes ou falhas na
não é? configuração de softwares instalados em computadores. Ex:
execução do arquivo infectado autorun.inf em um
pendrive. O computador que está configurado para executar
automaticamente esse arquivo em mídias removíveis pode
ser contaminado apenas com a inserção do pendrive no
computador. O arquivo malicioso será executado, mesmo
que o usuário “não tenha feito nada”. Compreendeu?

(CESPE – FUB – Conhecimentos Básicos - 2015) Vírus é um programa


autossuficiente capaz de se propagar automaticamente pelas redes enviando
cópias de si mesmo de um computador para outro.

Prof. Victor Dalton


www.estrategiaconcursos.com.br 9 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

Errado! Descrição bem didática de worm. Vírus não são auto propagáveis pela
rede, enviando cópias de si mesmo.

Bot e Botnet: Bot é um programa que dispões de mecanismos com o


invasor que permite que ele seja controlado remotamente. Propaga-se de
maneira similar ao worm.
O computador infectado por um bot pode ser chamado de zumbi, pois
pode ser controlado remotamente, sem o conhecimento do dono. Por
exemplo, zumbis podem ser utilizados para realizar ataques DDos e para
envio de spam.
Botnet é o nome dado a uma rede de Bots.

Spyware: Spyware é um programa que monitora atividades de um


sistema e envia a terceiros. Podem ser keyloggers, do tipo que captura o
que o usuário digita; screenloggers, do tipo que registra os movimentos
de mouse de um usuário, ou adwares, daqueles que mostram
propagandas para o usuário.

Backdoor: É um programa que permite o retorno de um invasor a um


computador comprometido. Ele deixa “portas abertas” em programas
instalados na máquina, permitindo o acesso remoto futuro na máquina.

Cavalo de Tróia: programas impostores, arquivos que se passam por


um programa desejável, mas que, na verdade, são prejudiciais, pois
executam mais funções além daquelas que aparentemente ele foi
projetado. Contêm códigos maliciosos que, quando ativados, causam a
perda ou até mesmo o roubo de dados. Não se replicam.

Hijacker: é uma variação de Cavalo de Tróia que modifica a página


inicial do navegador e, muitas vezes, também abrem pop-ups indesejados.
O objetivo é vender os cliques que o usuário faz nessas páginas, o que gera
lucro para o criador do hijacker.

Rootkit: É um conjunto de programas e técnicas que esconde e


assegura a presença de um invasor ou código malicioso em um computador

Prof. Victor Dalton


www.estrategiaconcursos.com.br 10 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

comprometido. O objetivo do rootkit não é obter acesso privilegiado, mas


mantê-lo, apagando vestígios da invasão.

Segue, abaixo, uma tabela com características das principais ameaças,


pelo Comitê Gestor de Internet do Brasil (CGI.br):

Continuemos com outros tipos de ameaças!

Prof. Victor Dalton


www.estrategiaconcursos.com.br 11 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

Trapdoors: Trapdoors são mecanismos escondidos em softwares, são


falhas de programação gerada pelo próprio Programador, para em um
futuro, conseguir obter acesso e explorar o sistema. O termo Trapdoor soa
e chega a parecer bastante parecido com o backdoor, mas a diferença pode
ser explicada.
Enquanto o backdoor é instalado na máquina da vítima sem que a mesma
saiba, para obter acesso ao seu sistema, o Trapdoor é desenvolvido pelo
próprio programador ao deixar uma falha em seu próprio programa para
explorá-la futuramente, quando seu software estiver em uso em um
determinado lugar (empresa, consultoria, máquinas caseiras, etc).

Scan: Busca minuciosa em redes, para identificar computadores


ativos e coletar informações sobre eles.

Email spoofing (falsificação de email): Envio de email modificando


dados do cabeçalho, para ludibriar o destinatário, quanto ao remetente,
principalmente. Utilizado em spams e phishings.

Sniffing (interceptação de tráfego): é uma técnica que baseia-se


na interceptação de tráfego entre computadores, por meio de sniffers.

Defacement (desfiguração de página): é um ataque que consiste


em alterar o conteúdo de uma página Web de um site. Não raro, alguns
sites de órgãos públicos sofrem esse tipo de ataque, no qual os invasores
trocam a página principal do site por uma página própria, com alguma
mensagem radical.

SQL Injection (Injeção de SQL): é um ataque baseado na inserção


maliciosa de comandos ou consultas SQL em uma aplicação Web. O
objetivo é fazer a aplicação executar comandos indesejados ou permitir o
acesso a dados não autorizados.

Cross-Site Scripting - XSS: é um ataque no qual uma aplicação


recebe dados não confiáveis e os envia ao navegador sem validação ou
filtro adequados. Esse tipo de ataque permite aos atacantes executarem
scripts no navegador da vítima que podem “sequestrar” sessões do usuário,
desfigurar sites ou redirecionar o usuário para sites maliciosos.

Cross-Site Request Forgery: Força a vítima, que possui uma sessão


ativa em um navegador, a enviar uma requisição HTTP forjada, incluindo o
cookie da sessão da vítima e qualquer outra informação de autenticação

Prof. Victor Dalton


www.estrategiaconcursos.com.br 12 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

incluída na sessão, a uma aplicação web vulnerável. Esta falha permite ao


atacante forçar o navegador da vítima a criar requisições que a aplicação
vulnerável aceite como requisições legítimas realizadas pela vítima. Ao
contrário do XSS, o Cross-Site Request Forgery explora a confiança da
aplicação web no usuário que está conectado.

IP Spoofing: Mascaramento do endereço de pacotes IP por meio de


endereços de remetentes falsificados.

Port Scanning Attack: Os hackers enviam mensagens para múltiplas


portas e aguardam resposta. A depender das respostas, o invasor saberá
se a porta está disponível ou não para invasão. De fato, este procedimento
é muito utilizado pela própria segurança, em buscas de fraquezas nos
servidores.

Session Hijacking: Consiste em de explorar ou controlar uma sessão


de comunicação TCP/IP válida entre computadores sem o conhecimento ou
permissão dos donos dos mesmos. O session hijacking normalmente
implica explorar o mecanismo que controla a conexão entre um servidor
web e um navegador, o que se conhece como "token de sessão". Este token
consiste em uma cadeia de caracteres que um servidor web envia para um
cliente que se autentica. Ao prever ou roubar o token de sessão, um
atacante pode obter acesso ao servidor e dispor dos mesmos recursos que
o usuário comprometido.

Buffer Overflow: Consiste no transbordamento de memória, ao se


escrever mais dados do que a capacidade do buffer, o que pode
sobrescrever a memória adjacente. Um invasor pode utilizar essa técnica
para travar intencionalmente uma aplicação, tomar o controle sobre ela
e/ou ganhar privilégios em um sistema.

Advanced Persistent Threat: Invasores profissionais permanecem


em uma rede por muito tempo sem serem detectados, com o objetivo de
obter acesso crescente, e capturar informações. Podem usar phising,
engenharia social, backdoor ou qualquer outro artifício para manter-se
operando.

Prof. Victor Dalton


www.estrategiaconcursos.com.br 13 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

Flooding ou DoS: é uma forma de ataque de negação de serviço


(também conhecido como Denial of Service - DoS) em sistemas
computadorizados, na qual o atacante envia uma seqüência de requisições
para um sistema-alvo visando uma sobrecarga direta na camada de
transporte e indireta na camada de aplicação do modelo OSI. Sua variante
é o DdoS (Distributed Denial of Service).
Este é o tipo de ataque do qual ouvimos falar recentemente na mídia.
Lembra, em 2013, daquele grupo que anunciou ataques a bancos e órgãos
públicos no Brasil? Eles anunciavam o ataque, anunciavam o alvo, e o site
era derrubado.

Isso acontece porque os ataques do tipo Distributed Denial of Service,


ou ataques distribuídos de negação de serviço, são os de mais difícil
defesa.

Um ataque de negação de serviço (DoS), é uma tentativa em tornar


os recursos de um sistema indisponíveis para seus utilizadores. Alvos
típicos são servidores web, e o ataque tenta tornar as páginas hospedadas
indisponíveis na rede. Não se trata de uma invasão do sistema, mas sim da
sua invalidação por sobrecarga. Os ataques de negação de serviço são
feitos geralmente de duas formas:
 Forçar o sistema vítima a reinicializar ou consumir todos os
recursos (como memória ou processamento por exemplo) de forma
que ele não pode mais fornecer seu serviço.
 Obstruir a mídia de comunicação entre os utilizadores e o
sistema vítima de forma a não comunicarem-se adequadamente.

Em um ataque distribuído de negação de serviço, um computador


mestre (denominado "Master") pode ter sob seu comando até milhares de
computadores ("Zombies" - zumbis). Neste caso, as tarefas de ataque de
negação de serviço são distribuídas a um "exército" de máquinas
escravizadas.

Prof. Victor Dalton


www.estrategiaconcursos.com.br 14 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

O ataque consiste em fazer com que os Zumbis (máquinas infectadas


e sob comando do Mestre) se preparem para acessar um determinado
recurso em um determinado servidor em uma mesma hora de uma mesma
data. Passada essa fase, na determinada hora, todos os zumbis (ligados e
conectados à rede) acessarão ao mesmo recurso do mesmo servidor. Como
servidores web possuem um número limitado de usuários que pode atender
simultaneamente ("slots"), o grande e repentino número de requisições de
acesso esgota esse número de slot, fazendo com que o servidor não seja
capaz de atender a mais nenhum pedido.
Destaco ainda que todo ataque de DDoS foi precedido de alguma outra
forma de ataque. As máquinas “zumbis”, ou escravas, são máquinas de
usuários comuns que se deixaram infectar anteriormente por algum
malware (bots).

Hoax: são mensagens que possuem conteúdo alarmante ou falso.


Podem ser fotos polêmicas, correntes, pirâmides. Além disso, também
podem conter códigos maliciosos.

Spam: termo usado para se referir aos e-mails não solicitados, que
geralmente são enviados para um grande número de pessoas.

Phishing: também chamado de scam, é o tipo de fraude no qual um


golpista tenta obter dados pessoais e financeiros. Normalmente, é realizado
por mensagens eletrônicas que tentam se passar por alguma Instituição
Prof. Victor Dalton
www.estrategiaconcursos.com.br 15 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

conhecida, compelindo o destinatário a entrar em um site (falso) para o


fornecimento de dados pessoais.

Phishing: quem nunca recebeu um email desses?


Uma variação do Phising é o chamado Pharming. Nele, o serviço DNS
(Domain Name System, ou domínio de nomes do sistema) do navegador
Web é corrompido, redirecionando o usuário para um site falso, mesmo
quando ele digita o nome de um site verdadeiro.

Spear Phishing: Outra variação do Phishing, mas o remetente se


passa por alguém que você conhece, um amigo ou uma empresa com a
qual você mantém relacionamento.

(FCC – TRT 2ª Região – Analista Judiciário – Tecnologia da Informação –


2014) Independentemente do tipo de tecnologia usada, ao se conectar um
computador à rede ele pode estar sujeito a diversos tipos de ataques. De acordo
com a cartilha CERT. BR, está correto o que se afirma em:

(A) Interceptação de tráfego consiste em adivinhar, por tentativa e erro, um nome


de usuário e senha e, assim, executar processos e acessar sites, computadores e
serviços com o nome e com os mesmos privilégios deste usuário. Apesar deste
ataque poder ser realizado manualmente, na grande maioria dos casos, é
realizado com o uso de ferramentas automatizadas que permitem tornar o ataque
bem mais efetivo.

Prof. Victor Dalton


www.estrategiaconcursos.com.br 16 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

(B) Varredura em redes é uma técnica que consiste em alterar o conteúdo da


página web de um site. Para ganhar mais visibilidade, chamar mais atenção e
atingir maior número de visitantes, geralmente os atacantes alteram a página
principal do site, porém, páginas internas também podem ser alteradas.

(C) Um ataque de força bruta é uma técnica que consiste em efetuar buscas
minuciosas em redes, com o objetivo de identificar computadores ativos e coletar
informações. Com base nas informações coletadas é possível associar possíveis
vulnerabilidades aos serviços disponibilizados, e aos programas instalados nos
computadores ativos detectados.

(D) Desfiguração ou defacement é uma técnica que consiste em inspecionar os


dados trafegados em redes de computadores, por meio do uso de programas
específicos chamados de sniffers.

(E) Ataque de negação de serviço é uma técnica pela qual um atacante utiliza um
computador para tirar de operação um serviço, um computador ou uma rede
conectada à Internet. O objetivo é exaurir recursos e causar indisponibilidades ao
alvo. Quando isto ocorre, todas as pessoas que dependem dos recursos afetados
são prejudicadas, pois ficam impossibilitadas de acessar ou realizar as operações
desejadas.

Vamos reescrever as alternativas corretamente?

(A) Um ataque de força bruta consiste em adivinhar, por tentativa e erro, um


nome de usuário e senha e, assim, executar processos e acessar sites,
computadores e serviços com o nome e com os mesmos privilégios deste usuário.
Apesar deste ataque poder ser realizado manualmente, na grande maioria dos
casos, é realizado com o uso de ferramentas automatizadas que permitem tornar
o ataque bem mais efetivo.

(B) Desfiguração ou defacement é uma técnica que consiste em alterar o


conteúdo da página web de um site. Para ganhar mais visibilidade, chamar mais
atenção e atingir maior número de visitantes, geralmente os atacantes alteram a
página principal do site, porém, páginas internas também podem ser alteradas.

(C) Varredura em redes é uma técnica que consiste em efetuar buscas


minuciosas em redes, com o objetivo de identificar computadores ativos e coletar
informações. Com base nas informações coletadas é possível associar possíveis
vulnerabilidades aos serviços disponibilizados, e aos programas instalados nos
computadores ativos detectados.

(D) Interceptação de tráfego é uma técnica que consiste em inspecionar os


dados trafegados em redes de computadores, por meio do uso de programas
específicos chamados de sniffers.

(E) Ataque de negação de serviço é uma técnica pela qual um atacante utiliza
um computador para tirar de operação um serviço, um computador ou uma rede
conectada à Internet. O objetivo é exaurir recursos e causar indisponibilidades ao

Prof. Victor Dalton


www.estrategiaconcursos.com.br 17 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

alvo. Quando isto ocorre, todas as pessoas que dependem dos recursos afetados
são prejudicadas, pois ficam impossibilitadas de acessar ou realizar as operações
desejadas.

A cartilha CERT.BR, disponível em http://cartilha.cert.br/ é a principal fonte de


inspiração da FCC para questões deste tipo. Fica a recomendação para sua leitura
complementar.

Resposta certa, alternativa e).

1.3 Criptografia

Criptografia é o estudo dos princípios e técnicas pelas quais


a informação pode ser transformada da sua forma original para outra
ilegível, de forma que possa ser conhecida apenas por seu destinatário, o
que a torna difícil de ser lida por alguém não autorizado. Assim sendo, só
o receptor da mensagem pode ler a informação com facilidade. É um ramo
da Matemática, parte da Criptologia.

Há dois tipos principais de chaves criptográficas: chaves


simétricas e chaves assimétricas. Uma informação não-cifrada que é
enviada de uma pessoa (ou organização) para outra é chamada de "texto
claro" (plaintext). Cifragem é o processo de conversão de um texto claro
para um código cifrado e decifragem é o processo contrário, de recuperar
o texto original a partir de um texto cifrado. A criptografia moderna é
basicamente formada pelo estudo dos algoritmos criptográficos que podem
ser implementados em computadores.

Segundo Nakamura, a criptografia possui quatro propriedades, ou


objetivos, para a proteção da informação, a saber:

 Confidencialidade (privacidade) – sigilo entre as partes


envolvidas
 Integridade – a informação não sofrer alterações
 Autenticação (do remetente) – poder saber quem é o remetente
 Não-repúdio – o remetente não poder negar a autoria da mensagem

Prof. Victor Dalton


www.estrategiaconcursos.com.br 18 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

1.3.1 Conceitos relacionados

Uma técnica clássica de criptografia é a esteganografia.

Esteganografia (do grego "escrita escondida") é o estudo e uso das


técnicas para ocultar a existência de uma mensagem dentro de outra, uma
forma de segurança por obscurantismo. Em outras palavras,
esteganografia é o ramo particular da criptologia que consiste em fazer com
que uma forma escrita seja camuflada em outra a fim de mascarar o seu
verdadeiro sentido.

Interessante frisar a diferença entre criptografia e esteganografia.


Enquanto a primeira oculta o significado da mensagem, a segunda oculta a
existência da mensagem.

Veja abaixo um exemplo clássico de esteganografia.

Mensagem inocente, não?

Prof. Victor Dalton


www.estrategiaconcursos.com.br 19 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

E essa mensagem? Continua inocente?

Nos dias atuais, é possível empregar a esteganografia em mensagens


de áudio, texto, vídeos, imagens... enfim, qualquer tipo de mídia que
possa carregar informação.

Uma outra ideia relacionada à criptografia é a chamada cifra de


César.

A cifra de César é uma das formas mais simples de criptografia. Quem


já teve infância certamente já trocou bilhetes “criptografados” na escola,
usando a famosa regrinha do +1, -1, +2, etc. Por exemplo, escrevendo
CASA como DBTB ou BZRZ. Esta é a cifra de César.

A cifragem de César se baseia no deslocamento dos caracteres do


alfabeto.

Prof. Victor Dalton


www.estrategiaconcursos.com.br 20 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

Outros conceitos interessantes dizem a respeito da engenharia


reversa da criptografia. Uma parte interessada em quebrar uma
mensagem cifrada pode lançar mão de dois recursos, a saber:

Criptoanálise: os ataques criptoanalíticos contam com a natureza do


algoritmo e talvez mais algum conhecimento das características gerais do
texto claro, ou ainda algumas amostras do texto claro e texto cifrado. O
objetivo é deduzir o texto em claro ou a chave utilizada. A criptoanálise
pode ser considerada o oposto da criptologia, que é a arte de criar
mensagens cifradas.

Ataque por força bruta: o atacante experimenta cada chave possível


em um trecho de texto cifrado, até obter uma tradução inteligível para o
texto claro. Na média, metade de todas as chaves possíveis precisam ser
testadas para se obter sucesso.

Logo, percebe-se uma diferença clara entre a criptoanálise e a força


bruta.

Criptografar e decriptografar mensagens é um “jogo de gato e rato”.


Veremos mais sobre esse jogo, à medida que nos aprofundarmos no
assunto.

1.3.2 Criptografia simétrica e assimétrica (importante!)

Diferenciar algoritmos de chave simétrica e assimétrica é importante,


e não é difícil!

Os algoritmos de chave simétrica são uma classe


de algoritmos para a criptografia, que usam chaves criptográficas
relacionadas para as operações de cifragem e decifragem. A operação de
chave simétrica é mais simples, pois pode existir uma única chave entre as
operações. A chave, na prática, representa um segredo, partilhado entre
duas ou mais partes, que podem ser usadas para manter um canal
confidencial de informação. Usa-se uma única chave, partilhada por ambos
os interlocutores, na premissa de que esta é conhecida apenas por eles.
Resumindo, a mesma chave usava pra criptografar é a mesma utilizada
para decriptografar.

Prof. Victor Dalton


www.estrategiaconcursos.com.br 21 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

Criptografia com chave simétrica.

Os algoritmos de chave assimétrica, por sua vez, trabalham com chaves


distintas para a cifragem e decifragem. Normalmente utilizam o conceito de chave
pública e chave privada, no qual a chave pública do destinatário é utilizada para
a criptografia da informação, e apenas a chave privada consegue realizar a
decifragem. Requer o emprego de algoritmos complexos, como a utilização de
números primos extensos.

Criptografia assimétrica

Veja a comunicação acima. Thiago vai enviar uma mensagem para


Fábio. Assim sendo, Thiago utiliza a chave pública de Fábio para
criptografar a mensagem. Estando a mensagem cifrada, ela pode trafegar
por um canal inseguro (ex: Internet) com certa tranquilidade, pois apenas
Fábio poderá decifrar a mensagem, já que apenas ele possui a chave
privada, e nunca divulgou para ninguém.

Prof. Victor Dalton


www.estrategiaconcursos.com.br 22 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

O inconveniente da chave simétrica, por ser única, é que o meio pelo


qual trafegam as mensagens não pode ser o mesmo meio pelo qual a chave
é compartilhada, lógico. Portanto, distribuir a chave é um inconveniente.
Atualizar a chave é um inconveniente. Se existe um meio mais seguro para
compartilhar a chave, porque não utilizá-lo para o próprio fluxo de dados?
Além disso, gerenciar as chaves também pode ser um problema.
Afinal, para comunicar-se com muitos destinatários diferentes, o ideal é
que se tenha uma chave para cada destinatário diferente.
Por outro lado, as chaves simétricas são as mais recomendadas para
o trâmite de grandes volumes de dados, já que seu processamento é mais
rápido.

Já a chave assimétrica, teoricamente mais segura, requer algoritmos


complexos para o seu devido emprego, logo, não é difícil imaginar que
performance seja um gargalo neste sistema.
Como contrapartida, uma única chave pública pode ser distribuída
livremente, já que apenas a chave privada, nunca divulgada, consegue
decifrar a mensagem.

Essas diferenças merecem um comparativo, não é mesmo?

CHAVE SIMÉTRICA CHAVE ASSIMÉTRICA


Chaves Única Pública (divulgada livremente)
Privada(secreta)
Funcionamento Mesma chave cifra e Chave pública cifra a mensagem
decifra e chave privada decifra
Processamento Veloz Lento
Gerenciamento Complicado, uma Simples, basta divulgar a chave
das chaves chave para cada pública
usuário
Ataques de força São perigosos São ineficazes (números primos
bruta muito grandes)

1.3.3 Principais algoritmos

Hora de vermos alguns algoritmos.

DES (Data Encryption Standard) - DES é tipo de cifra em bloco, ou


seja, um algoritmo que toma uma string (“pedaço” de texto) de tamanho

Prof. Victor Dalton


www.estrategiaconcursos.com.br 23 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

fixo de um texto plano e a transforma, através de uma série de complicadas


operações, em um texto cifrado de mesmo tamanho. No caso do DES, o
tamanho do bloco é 64 bits. DES também usa uma chave para personalizar
a transformação, de modo que a decifragem somente é possível,
teoricamente, por aqueles que conhecem a chave particular utilizada para
criptografar. A chave consiste nominalmente de 64 bits, porém somente 56
deles são realmente utilizados pelo algoritmo. Os oito bits restantes são
utilizados para verificar a paridade e depois são descartados, portanto o
tamanho efetivo da chave é de 56 bits, e assim é citado o tamanho de sua
chave.

Prof. Victor Dalton


www.estrategiaconcursos.com.br 24 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

O DES, por ser um algoritmo simétrico, utiliza a mesma chave para


a decriptografia, aplicando-se as subchaves na sequência inversa. É um
algoritmo relativamente vulnerável a ataques de força bruta, nos dias
atuais.

O 3-DES é uma versão melhorada do DES, na qual os dados são


encriptados com a primeira chave, decifrados com a segunda chave e
finalmente encriptados novamente com uma terceira chave. Isto faz o 3DES
ser mais lento que o DES original, porém em contrapartida oferece maior
segurança.

AES (Advanced Encryption Standard) – Também conhecido como


Rjindael, o AES foi um algoritmo “provocado” pelo governo norteamericano,
em virtude da necessidade de substituição do DES, cuja vida útil se
aproximava do fim. Ele também é simétrico, usa um tamanho de bloco de
128 bits e admite chaves de 128, 192 e 256 bits.

IDEA (International Data Encryption Algorithm) – algoritmo


desenvolvido na Suíça, em 1990. Simétrico, usa chave de 128 bits.

Prof. Victor Dalton


www.estrategiaconcursos.com.br 25 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

RSA – O RSA é um algoritmo assimétrico de chave pública, conforme


exemplo mostrado anteriormente. Ele utiliza números primos muito
grandes.

RC4 – O RC4 não é uma técnica de blocos, ele trabalha em fluxo


contínuo de entrada e saída de bytes. A chave pode ter de 1 até 2048 bits,
mas é comum a utilização com chave de 40 ou 128 bits.

MD-5 (Message Digest Algorithm 5) - É um algoritmo de hash de


128 bits unidirecional desenvolvido pela RSA Data Security, Inc., e muito
utilizado por softwares com protocolo ponto-a-ponto na verificação de
integridade de arquivos e logins. Atualmente, a comunidade de segurança
considera o MD5 como um algoritmo quebrado, embora ainda seja utilizado
nos dias atuais.

SHA-1 (Secure Hash Algorithm 1) - A família de SHA (Secure Hash


Algorithm) está relacionada com as funções criptográficas e verificação de
integridade de dados. A função mais usada nesta família, a SHA-1, é usada
numa grande variedade de aplicações e protocolos de segurança, incluindo
TLS, SSL, PGP, SSH, S/MIME e IPSec. SHA-1 foi considerado o sucessor do
MD5.

O SHA-1 processa os dados de entrada em blocos de 512 bits e gera


um sumário de mensagens de 160 bits.

DSS (Digital Signature Standard) – O DSS é um padrão de


assinatura digital utiliza um algoritmo que foi projetado apenas para
oferecer a função de assinatura digital (o DSA). Diferentemente do RSA,
ele não pode ser usado para a criptografia ou troca de chave. Apesar disso,
é uma técnica de chave pública. O DSS também utiliza o algoritmo SHA-1
para a geração do hash.

DSA (Digital Signature Algorithm) – O DSA é o algoritmo do DSS


para assinatura digital, baseado na dificuldade de se calcular logaritmos
discretos. Ele trabalha com três parâmetros públicos, que podem ser
comuns a um grupo de usuários. Um número primo q de 160 bits, um
número p entre 512 a 1024 bits, de modo que q divida (p -1), e g, que será

Prof. Victor Dalton


www.estrategiaconcursos.com.br 26 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

igual a h elevado a [(p-1)/q], em que h é menor que p -1 e (g mod q) > 1.


h é a chave secreta a ser utilizada pelo assinante.

1.3.4 Assinatura digital

Analisar assinatura digital é a continuação natural da criptografia


assimétrica. Por enquanto, ainda estamos no “mundo das ideias”, mas já
traremos esses conceitos para o nosso dia a dia. Peço sua paciência!

Você deve ter percebido que a criptografia baseada em chave


assimétrica garante a confidencialidade da mensagem, pois, apenas o
destinatário da mesma consegue decifrá-la. Até aí tudo bem, mas quem
garante que a mensagem realmente está vindo daquele emissor?
Afinal de contas, qualquer um pode enviar uma mensagem para Fábio.
A chave pública de Fábio é pública, não é mesmo?

É nesse contexto que entra a assinatura digital. Ela garantirá a


autenticidade do remetente e a integridade da mensagem. Vamos ver
como?

Assinatura digital baseada em Chave Pública

A assinatura digital requer que emissores e receptores conheçam as


chaves públicas uns dos outros. Assim, quando a entidade emissora quer
enviar uma mensagem assinada digitalmente a outra entidade, aquela terá
que cifrar a mensagem com a sua chave privada e, em seguida, cifrar o
resultado com a chave pública da entidade receptora. Por sua vez, a
entidade receptora ao receber a mensagem terá que decifrá-la primeiro
com a sua chave privada e de seguida decifrar este resultado com a chave
pública da entidade emissora.

O receptor pode provar a recepção de qualquer mensagem através do


criptograma resultante da decifragem com a sua chave privada. Note-se
que ele consegue decifrá-lo mas nunca conseguiria produzi-lo uma vez que
desconhece a chave privada do emissor.

Prof. Victor Dalton


www.estrategiaconcursos.com.br 27 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

Este método de assinatura digital tem todas as vantagens dos


algoritmos de chave pública nomeadamente a sua impossibilidade de
decifragem por outros, pelo menos em tempo útil.

Figura – assinatura digital baseada em chave pública

Entendeu a jogada?

Se, além de cifrar a mensagem com a chave pública de Fábio, Thiago


cifrar também com sua própria chave privada, Fábio não só conseguirá
ler a mensagem, como também garantirá que a mensagem realmente é de
Thiago, pois a chave pública de Thiago também decifra mensagens cifradas
pela chave privada de Thiago.

Veja também outros dois tipos de assinatura digital:

Assinatura digital baseada em Chave Secreta

Esta aproximação requer a existência de uma autoridade central que


sabe tudo e em quem todos confiam. Cada entidade escolhe uma chave
secreta e a repassa à autoridade central. Desta forma só autoridade central
e a própria entidade têm conhecimento da sua chave secreta. Quando uma
entidade quer enviar uma mensagem assinada digitalmente à outra, terá
que a cifrar, com a sua chave secreta, e enviá-la à autoridade central. A
mensagem passará pela autoridade central que a decifrará com a chave
secreta da entidade emissora. A esta mensagem será concatenada uma
estampilha que só a autoridade central consegue gerar e decifrar. O
resultado será cifrado com a chave secreta da entidade receptora e
enviado. Desta forma, o receptor pode provar a recepção de qualquer

Prof. Victor Dalton


www.estrategiaconcursos.com.br 28 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

mensagem através da estampilha recebida (só a autoridade central


consegue produzir uma).

Assinatura digital baseada em funções de hash (importante!)

Uma das críticas que se podem fazer à aproximações apresentadas


anteriormente é que elas juntam duas funções distintas: autenticação e
privacidade. Muitas vezes, é necessária a autenticação, mas não existe
qualquer interesse de privacidade. Uma vez que a cifragem de uma
mensagem com criptografia de chaves públicas é normalmente lenta, é
frequentemente desejável enviar uma mensagem assinada digitalmente
sem preocupação de que ela seja lida por outros. Desta forma não será
necessário cifrar toda a mensagem.

Este esquema baseia-se nas funções de sentido único (one-way hash


functions) e tem como base a cifragem de uma parte, arbitrariamente
longa, da mensagem, obtendo como resultado o chamado message-
digest(resumo). Esse resumo possui tamanho fixo, independentemente do
tamanho da mensagem.

Desta forma, a entidade emissora terá que gerar o message-digest e


cifrá-lo (assiná-lo) com a sua chave privada.

De seguida poderá enviar a mensagem (cifrada ou não) concatenada


com a sua assinatura. A entidade receptora decifrará a assinatura com a
chave pública da entidade emissora (previamente publicada) e verificará se
o message-digest é o esperado. Como pode ser facilmente percebido, as
entidades comunicantes devem assegurar-se que conhecem as verdadeiras
chaves públicas umas das outras e não quaisquer outras ilegalmente
publicadas, a troco da segurança do sistema poder ficar comprometido.
Para garantir isso, i.e., para fazer a distribuição de chaves públicas de
forma segura, usa-se o conceito de certificado, um objeto que contém a
chave pública de uma dada entidade assinada digitalmente por uma
entidade de confiança, conhecida por autoridade certificadora (CA).

Figura – assinatura digital baseada em funções de hash

Prof. Victor Dalton


www.estrategiaconcursos.com.br 29 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

Estamos evoluindo! Primeiro, você entendeu como a mensagem é


enviada de uma forma segura. Segundo, você entendeu como garantir a
assinatura do remetente. Agora podemos fazer mais uma pergunta.

Quem garante que aquele emissor realmente é legítimo? Ou


seja, quem garante a Fábio que o Thiago realmente é o Thiago, e não
alguém se passando por Thiago?

A dica foi dada na última modalidade de assinatura digital. É hora de


estudarmos o Certificado Digital.

(FCC – SEFAZ/PI – Auditor Fiscal – 2015) Em determinada instituição, João


envia uma mensagem criptografada para Antônio, utilizando criptografia
assimétrica. Para codificar o texto da mensagem, João usa

(A) a chave privada de Antônio. Para Antônio decodificar a mensagem que recebeu
de João, ele terá que usar sua chave privada. Cada um conhece apenas sua própria
chave privada.
(B) a chave pública de Antônio. Para Antônio decodificar a mensagem que recebeu
de João, ele terá que usar a chave privada, relacionada à chave pública usada no
processo por João. Somente Antônio conhece a chave privada.
(C) a chave pública de Antônio. Para Antônio decodificar a mensagem que recebeu
de João, ele terá que usar a chave privada, relacionada à chave pública usada no
processo por João. Ambos conhecem a chave privada.
(D) a chave privada de Antônio. Para Antônio decodificar a mensagem que recebeu
de João, ele terá que usar a chave pública, relacionada à chave privada usada no
processo por João. Ambos conhecem a chave privada.
(E) sua chave privada. Para Antônio decodificar a mensagem que recebeu de João,
ele terá que usar sua chave pública. Somente João conhece a chave privada.

Na criptografia assimétrica, para que João envie uma mensagem para Antônio,
este deverá utilizar a chave pública de Antônio. Antônio, única parte que conhece
sua própria chave privada, será capaz de decifrar a mensagem com a própria
chave privada, que forma par com a chave pública utilizada no processo.
Resposta certa, alternativa b).

Prof. Victor Dalton


www.estrategiaconcursos.com.br 30 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

1.3.5 Certificado digital

Um certificado digital normalmente é usado para ligar uma entidade


a uma chave pública. Para garantir digitalmente, no caso de uma
Infraestrutura de Chaves Públicas (ICP), o certificado é assinado pela
Autoridade Certificadora (AC) que o emitiu e no caso de um modelo de Teia
de Confiança (Web of Trust), o certificado é assinado pela própria entidade
e assinado por outros que dizem confiar naquela entidade. Em ambos os
casos as assinaturas contidas em um certificado são atestamentos feitos
por uma entidade que diz confiar nos dados contidos naquele certificado.

O certificado digital oferece garantias de:


 Autenticidade - o receptor deverá poder confirmar a
assinatura do emissor;
 Integridade - garantia de que o conteúdo da transação não
foi alterado;
 Não-repúdio - garantia de que quem executou a transação
não pode negar que foi ele mesmo que executou;

Ainda está um pouco quadrado?

Pois imagine o Certificado Digital como uma cédula de identidade,


emitida por um cartório. A gente às vezes não precisa ir em um cartório
pra provar que a gente é a gente mesmo? Mesma coisa aqui!

Veja essa tela abaixo, por meio da qual um usuário entra em sua conta
no site do Banco do Brasil (repare no CADEADO VERDE):

Prof. Victor Dalton


www.estrategiaconcursos.com.br 31 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

Esta é uma típica comunicação de duas partes que usa criptografia


assimétrica. Uma parte é VOCÊ, cliente, e a outra é o BANCO.

Em telas cuja informação é sensível, como os dados bancários de um


cliente, o fornecedor de um serviço crítico, no caso, o BANCO, oferece um
canal seguro de comunicação, protegido por criptografia. Mas VOCÊ, no
caso o seu navegador, precisa ter certeza que realmente está trocando
mensagens com o BANCO. Para isso, o banco, ao entrar nesse canal
seguro, lhe envia um CERTIFICADO DIGITAL, mostrando quem ele é,
qual a criptografia que usa, lhe enviando a chave pública dele, e informando
qual a AUTORIDADE CERTIFICADORA que emitiu o Certificado dele.

VOCÊ, então, por meio de seu navegador de internet, verifica se a


autoridade certificadora dele realmente é de confiança (como se um
cartório fosse). Nas configurações avançadas de seu navegador, é possível
verificar estes certificados. Segue abaixo uma tela do Google Chrome, que
mostra isso:

Prof. Victor Dalton


www.estrategiaconcursos.com.br 32 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

Nem pense em modificar essas configurações! Seu navegador


pode ficar vulnerável!

Sendo o Certificado Digital realmente emitido por uma Autoridade


Certificadora de confiança, o CADEADO VERDE aparece na sua tela,
mostrando que sua comunicação, a partir daquele momento, será segura.

Viu como a criptografia faz parte do seu dia a dia?

P.S.: Você já deve ter entrado em sites, inclusive de órgãos públicos,


e ter se deparado com mensagens do tipo :”Este Certificado não foi
verificado. Deseja continuar?” , conforme imagem abaixo:

Tela vermelha de fundo, cadeado “cortado”, ou em vermelho, e alguma


mensagem do tipo “continue por sua conta e risco”.

Prof. Victor Dalton


www.estrategiaconcursos.com.br 33 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

Isso acontece porque a emissão de certificados é paga (como se


cartório fosse, rs), e nem todos aderem às Autoridades Certificadoras. Na
prática, isso quer dizer que a comunicação com a outra parte é segura,
mas não há Autoridade Certificadora garantindo que a outra parte é idônea.
Ou seja, é possível trocar informações de maneira segura com uma parte
mal intencionada. Nesses casos, confiar no outro lado fica por conta e risco
do usuário, e não da Autoridade Certificadora.

Em um certificado digital, poderão ser encontradas as seguintes


informações:

− versão e número de série do certificado.


− dados que identificam quem emitiu o certificado (assinatura da
AC).
− dados que identificam o dono do certificado (nome, registro civil).
− validade do certificado.
− chave pública do dono do certificado (a chave privada fica apenas
com o dono).
− algoritmo de assinatura.
− versão e número de série do certificado.
− requerente do Certificado.

1.3.6 A ICP - Brasil

Falando em Autoridade Certificadora, a ICP-Brasil é um conjunto de


entidades governamentais ou de iniciativa privada, padrões técnicos e
regulamentos, elaborados para suportar um sistema criptográfico com base
em certificados digitais e visa assegurar as transações entre titulares de
certificados digitais e detentores de chaves públicas, no Brasil.

Para assegurar que uma determinada chave pertence a você é


necessário que uma Autoridade Certificadora (AC) confira sua identidade e
seus respectivos dados. Ela será a entidade responsável pela emissão,
suspensão, renovação ou revogação de seu certificado digital, além de ser
obrigada a manter sempre disponível a Lista de Certificados Revogados
(CRL).

Prof. Victor Dalton


www.estrategiaconcursos.com.br 34 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

A ICP–Brasil é formada por uma Autoridade Certificadora Raiz (AC


RAIZ) que é representada pelo Instituto Nacional de Tecnologia da
Informação (ITI), sendo este órgão responsável pela autentificação das
demais Autoridades Certificadoras, além de executar atividades de
fiscalização e auditoria das AC e Autoridades de Registro (AR) para que
possa certificar-se de que a entidade está seguindo todas as Políticas de
Certificação.

Vejamos mais alguns conceitos relevantes sobre a ICP Brasil:

AC - Raiz

A Autoridade Certificadora Raiz da ICP-Brasil (AC-Raiz) é a primeira


autoridade da cadeia de certificação. Executa as Políticas de Certificados e
normas técnicas e operacionais aprovadas pelo Comitê Gestor da ICP-
Brasil. Portanto, compete à AC-Raiz emitir, expedir, distribuir, revogar
e gerenciar os certificados das autoridades certificadoras de nível
imediatamente subsequente ao seu.

A AC-Raiz também está encarregada de emitir a lista de certificados


revogados (LCR) e de fiscalizar e auditar as Autoridades Certificadoras
(ACs), Autoridades de Registro (ARs) e demais prestadores de serviço
habilitados na ICP-Brasil. Além disso, verifica se as ACs estão atuando em
conformidade com as diretrizes e normas técnicas estabelecidas pelo
Comitê Gestor da ICP-Brasil.

AC - Autoridade Certificadora

Uma Autoridade Certificadora (AC) é uma entidade, pública ou privada,


subordinada à hierarquia da ICP-Brasil, responsável por emitir, distribuir,
renovar, revogar e gerenciar certificados digitais. Tem a
responsabilidade de verificar se o titular do certificado possui a chave
privada que corresponde à chave pública que faz parte do certificado. Cria
e assina digitalmente o certificado do assinante, onde o certificado emitido
pela AC representa a declaração da identidade do titular, que possui um
par único de chaves (pública/privada).
Cabe também à AC emitir listas de certificados revogados (LCR) e
manter registros de suas operações sempre obedecendo às práticas

Prof. Victor Dalton


www.estrategiaconcursos.com.br 35 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

definidas na Declaração de Práticas de Certificação (DPC). Além de


estabelecer e fazer cumprir, pelas Autoridades Registradoras (ARs) a ela
vinculadas, as políticas de segurança necessárias para garantir a
autenticidade da identificação realizada.

AR – Autoridade de Registro

Uma Autoridade de Registro (AR) é responsável pela interface entre o


usuário e a Autoridade Certificadora. Vinculada a uma AC, tem por objetivo
o recebimento, validação, encaminhamento de solicitações de
emissão ou revogação de certificados digitais e identificação, de
forma presencial, de seus solicitantes. É responsabilidade da AR
manter registros de suas operações. Pode estar fisicamente localizada em
uma AC ou ser uma entidade de registro remota.

Dica do professor: perceba que a Autoridade de Registro NÃO EMITE


Certificados Digitais.

Embora uma entidade precise ir a uma AR para obter o seu Certificado


Digital, quem emitirá o certificado será a AC. A AR apenas faz o meio de
campo entre a entidade e a AC.

Ainda, perceba que ninguém emite Certificados diretamente com a AC-


Raiz, apenas as autoridades Certificadoras imediatamente abaixo de seu
nível na hierarquia.

Conheça a hierarquia resumida da ICP Brasil em:


http://www.iti.gov.br/images/icp-
brasil/estrutura/2014/atualizacao12/Estrutura_da_ICP-Brasil_-_site.pdf

Prof. Victor Dalton


www.estrategiaconcursos.com.br 36 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

1.3.7 Tipos de Certificação Digital

A ICP Brasil adota o padrão X.509 v3, definido pela ITU-T


(Internation Telecommunication Union – Telecommunication
Standardization Sector, ou sumplesmente Setor de Normatização das
Telecomunicações), para sua infraestrutura de chaves públicas. Tal
normatização define o formato dos certificados digitais.
Na ICP-Brasil estão previstos dez tipos de certificado. São três séries
de certificados. A série A (A1, A2, A3 e A4) reúne os certificados de
assinatura digital, utilizados na confirmação de identidade na Web,
em e-mail, em redes privadas virtuais (VPN) e em documentos
eletrônicos com verificação da integridade de suas informações.
Também certificados de assinatura digital, certificados do tipo T3 e
T4 somente podem ser emitidos para equipamentos das Autoridades de
Carimbo do Tempo (ACTs) credenciadas na ICP-Brasil.

A série S (S1, S2, S3 e S4), por sua vez, reúne os certificados de


sigilo, que são utilizados na codificação de documentos, de bases de
dados, de mensagens e de outras informações eletrônicas sigilosas. Os dez
tipos são diferenciados pelo uso, pelo nível de segurança e pela validade.

Nos certificados do tipo A1 e S1, as chaves privadas ficam


armazenadas no próprio computador do usuário. Nos tipos A2, A3, A4, S2,
S3 e S4, as chaves privadas e as informações referentes ao seu certificado
ficam armazenadas em um hardware criptográfico – cartão inteligente
(smart card) ou cartão de memória (token USB ou pen drive). Para acessar
essas informações, ainda, é necessária a digitação de senha no momento
crítico da transação.

Tipos T3 e T4 são para hardware específico das Autoridades de


Carimbo do Tempo, cuja finalidade é provar a sua existência em
determinado período, em qualquer documento ou transação eletrônica,
baseando-se na hora oficial brasileira fornecida pelo Observatório Nacional.

Prof. Victor Dalton


www.estrategiaconcursos.com.br 37 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

Chave criptográfica

Tipo de Tamanho da Processo de Validade máxima


certificado chave (bits) geração Mídia armazenadora (anos)*

A1 e S1 1024 Software Arquivo 1

Smart card ou token, sem capacidade


A2 e S2 1024 Sofware de geração de chave 2

Smart card ou token, com capacidade


A3 e S3 1024 Hardware de geração de chave 5

Smart card ou token, com capacidade


A4 e S4 2048 Hardware de geração de chave 3

Hardware criptográfico aprovado


T3 1024 Hardware pelo CG da ICP-Brasil 5

Hardware criptográfico aprovado


T4 2048 Hardware pelo CG da ICP-Brasil 3

*observação: a partir de 5 de julho de 2012, qualquer certificado emitido por AC de 1º ou 2º


nível pode ter validade de até 5 anos.

1.3.8 Métodos de autenticação

A autenticação, via de regra, depende de um ou mais dos métodos a


seguir:
O que voce é: meios biométricos, tais como impressão digital, padrão
de retina, padrão de voz, reconhecimento de assinatura, reconhecimento
facial.
O que você tem: objetos, tais como cartões de identificação, smart
cards, tokens USB.
O que você sabe: senhaa, dados pessoais, frases secretas.

Prof. Victor Dalton


www.estrategiaconcursos.com.br 38 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

Os bons métodos de autenticação atuais utilizam mais de um dos


métodos supracitados. Quando utilizados dois dos métodos, chamamos de
verificação em duas etapas.

A verificação em duas etapas está sendo cada vez mais utilizada em


nosso cotidiano.
Cito como exemplo o gmail, que tem trabalhado com senha (o que
você sabe) + envio de mensagem para o seu telefone (o que você tem).
Certamente você já precisou se autenticar em algum lugar utilizando
procedimento similar.

Verificação em duas etapas.

(FCC – SEFAZ/PI – Auditor Fiscal – 2015) O certificado digital utilizado na


Nota Fiscal Eletrônica (NF-e) deverá ser adquirido junto à Autoridade Certificadora
credenciada pela Infraestrutura de Chaves Públicas Brasileira − ICP-Brasil,
devendo ser do tipo …I… ou …II… e conter o CNPJ de um dos estabelecimentos da
empresa.

As características dos certificados digitais I e II são descritas a seguir:

I. A chave privada é armazenada no disco rígido do computador, que também é


utilizado para realizar a assinatura digital.
II. A chave privada é armazenada em dispositivo portátil inviolável do tipo smart
card ou token, que possui um chip com capacidade de realizar a assinatura digital.

I e II são, respectivamente,

(A) S1 e S2.
Prof. Victor Dalton
www.estrategiaconcursos.com.br 39 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

(B) A2 e A3.
(C) S1 e S3.
(D) A2 e A4.
(E) A1 e A3.

Os certificados do tipo A1 são armazenados no computador, enquanto os


certificados A3 são armazenados em smart card ou token. Não cabe marcar S1 e
S3, pois certificados de sigilo não serão utilizados para emissão de NF-e.

Resposta certa, alternativa e).

(FCC – SEFAZ/PI – Auditor Fiscal – 2015) s arquivos digitais no padrão


definido em norma e do aplicativo GeraTEDeNF, a empresa deverá possuir um
certificado digital, em um padrão específico, emitido por Autoridade Certificadora
credenciada à ICP/BR que contenha o CNPJ da empresa.

O uso de certificado digital de pessoa física emitido por Autoridade Certificadora


credenciada à ICP/BR, que contenha o CPF do titular será permitido desde que a
SEFAZ-PI seja comunicada previamente através da apresentação do Termo de
Outorga de Poderes para Assinatura e Transmissão de Arquivos Digitais firmada
pelo representante legal da empresa.

No site http://nf-eletronica.com consta o seguinte texto adaptado:

O Projeto Nota Fiscal Eletrônica (NF-e) exige o uso de Certificado Digital em um


padrão específico, emitido por Autoridade Certificadora credenciada à ICP/BR.
Um padrão específico de certificado digital usado na ICP Brasil (ICP/BR) é citado
em ambos os textos e especifica, entre várias outras coisas, o formato dos
certificados digitais, de tal maneira que se possa amarrar firmemente um nome a
uma chave pública, permitindo autenticação forte. Trata-se do padrão

(A) X509.v6.
(B) SET.
(C) PGP.
(D) X509.v3.
(E) SPDK/SDSI.

A ICP Brasil utiliza o padrão X509 v3 como padrão de certificação digital. Esta
padronização de infraestrutura de chave pública é definida pela ITU-T.

Resposta certa, alternativa d).

Prof. Victor Dalton


www.estrategiaconcursos.com.br 40 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

1.4 Backup

A informação mais importante a respeito de backup fica na norma ISO


27002, a qual afirma que as mídias de backup devem ficar situadas a
uma distância segura da mídia e dos sistemas originais, para que
danos causados por um desastre no site principal não afetem
também o backup. Questões de prova em cima dessa ideia são
frequentes.

Além disso, podemos destacar que os backups podem ser realizados


de três formas diferentes. São elas:

Backup Incremental: realiza um backup dos arquivos que foram


alterados ou novos desde o último backup, de qualquer tipo. Em suma, é
um backup de atualização.

Backup Diferencial: realiza um backup dos arquivos que foram


alterados desde o último backup completo. É um backup intermediário
entre o incremental e o completo.

Backup Completo (normal): como o próprio nome diz, todos os


arquivos e pastas na unidade sofrem o backup, ou seja, é criada uma cópia
de segurança para todos esses arquivos.

Onde gravar os backups: você pode usar mídias (como CD, DVD,
pen-drive, disco de Blu-ray e disco rígido interno ou externo) ou armazena-
los remotamente (online ou off-site). A escolha depende do programa de
backup que está sendo usado e de questões como capacidade de
armazenamento, custo e confiabilidade. Um CD, DVD ou Blu-ray pode
bastar para pequenas quantidades de dados, um pen-drive pode ser
indicado para dados constantemente modificados, ao passo que um disco
rígido pode ser usado para grandes volumes que devam perdurar.

Quais arquivos copiar: apenas arquivos confiáveis e que tenham


importância para você devem ser copiados. Arquivos de programas que
podem ser reinstalados, geralmente, não precisam ser copiados. Fazer
cópia de arquivos desnecessários pode ocupar espaço inutilmente e
dificultar a localização dos demais dados. Muitos programas de backup já
possuem listas de arquivos e diretórios recomendados, você pode optar por
aceitá-las ou criar suas próprias listas.

Prof. Victor Dalton


www.estrategiaconcursos.com.br 41 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

Com que periodicidade devo realiza-los: depende da frequência


com que você cria ou modifica arquivos. Arquivos frequentemente
modificados podem ser copiados diariamente ao passo que aqueles pouco
alterados podem ser copiados semanalmente ou mensalmente.

1.5 VPN

Uma Rede Privada Virtual (Virtual Private Network – VPN),


como o próprio nome sugere, é uma forma de conectar dois computadores
utilizando uma rede pública, como a Internet.

Como a Internet é uma rede pública, é preciso criar alguns


mecanismos de segurança para que as informações trocadas entre os
computadores de uma VPN não possam ser lidas por outras pessoas.

A proteção mais utilizada é a criptografia, pois essa garante que os


dados transmitidos por um dos computadores da rede sejam os mesmo que
as demais máquinas irão receber.
Prof. Victor Dalton
www.estrategiaconcursos.com.br 42 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

Depois de criptografados, os dados são então encapsulados e


transmitidos pela Internet, utilizando o protocolo de tunelamento, até
encontrar seu destino.

Os principais protocolos de tunelamento são os seguintes:

PPTP (Point-to-Point Tunneling Protocol) é um protocolo de nível


2desenvolvido pela Microsoft, 3Com, Ascend, EUA Robotics e ECI
Telematics.

L2F (Layer Two Forwarding) é um protocolo de nível 2 desenvolvido


pela Cisco, Northern Telecom e Shiva. Está hoje quase obsoleto.

L2TP (Layer Two Tunneling Protocol) é o resultado dos trabalhos


do IETF (RFC 2661) para fazer convergir as funcionalidades de PPTP e de
L2F. Trata-se assim de um protocolo de nível 2 que se apoia em PPP.

IPSec é um protocolo de nível 3, procedente dos trabalhos do IETF,


permitindo transportar dados calculados para as redes IP. Vejamos um
pouco mais sobre este protocolo, o mais conhecido.

O IPsec define dois protocolos de segurança designados de Cabeçalho


de Autenticação (AH) (RFC 2402) e Encapsulating Security Payload (ESP)
(RFC 2406). Cada protocolo define o seu próprio formato para o cabeçalho
IPsec no pacote IPsec. Ambos os protocolos usam o conceito de uma
Associação de Segurança (AS). Por isso, as SAs podem ser do tipo AH ou
ESP. Note-se que uma SA não pode ser em simultâneo do tipo AH e ESP.
Adicionalmente, quer o AH quer o ESP suportam os modos transporte e
túnel.

Prof. Victor Dalton


www.estrategiaconcursos.com.br 43 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

O AH proporciona integridade e autenticação, usando algoritmos de


chave partilhada como o MD5 e o SHA-1. O AH não proporciona
confidencialidade.

O ESP proporciona confidencialidade e, opcionalmente, integridade e


autenticação. Para a confidencialidade o ESP suporta algoritmos de
encriptação por chave partilhada tais como o DES e o 3-DES. Tal como o
AH o ESP suporta os algoritmos MD5 e SHA-1 para integridade e
autenticação.

Aparentemente O ESP fornece todas as funcionalidades do AH, o que


o tornaria desnecessário. Contudo existe uma diferença entre a integridade
e autenticação fornecidas pelo AH e pelo ESP.

Prof. Victor Dalton


www.estrategiaconcursos.com.br 44 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

Cabeçalho IP original AH TCP Dados

|------------------------------------------Testa a integridade ----------------------------------------------|

Cabeçalho IP original ESP TCP Dados

|-------------------------- Testa a integridade -----------------------------|


|--------------------- Encriptado ----------------------|

O ESP não testa a integridade da totalidade do pacote IP, deixando de


fora o cabeçalho. O AH testa a totalidade do pacote IPsec, incluindo o
cabeçalho IP (tecnicamente alguns campos do cabeçalho são sujeitos a
alterações durante o transito não podendo por isso o AH proteger estes
valores).

Por essa razão se for importante o controlo da integridade do


cabeçalho do pacote IP podem ser usados em conjunto o ESP e o AH. Isto
implica, como já foi dito, ter o dobro das SAs, uma vez que uma SA pode
implementar o ESP ou o AH mas não ambos.

O IPSec independe do algoritmo utilizado. – verdade. O IPSec


permite a escolha do algoritmo de criptografia a ser empregado, inclusive
nenhum (sem segurança).

Embora esteja na camada IP, o IPSec é orientado a conexões -


Uma “conexão” no contexto do IPSec é chamada de associação de
segurança, ou AS (security association). Tal conexão é simplex, e tem um
identificador de segurança associado a ela.

Pode ser usado no modo de transporte, em que todo pacote IP,


incluindo o cabeçalho, é encapsulado no corpo de um novo pacote
IP com um cabeçalho IP completamente novo. – Este é o modo
tunelamento. No modo de transporte, o cabeçalho IPSec é inserido logo
após o cabeçalho IP.

Prof. Victor Dalton


www.estrategiaconcursos.com.br 45 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

1.6 Firewall

O Firewall, segundo Nakamura, em seu livro Segurança de Redes


em Ambientes Cooperativos, pode ser definido como um “ponto entre
duas ou mais redes, que pode ser um componente ou conjunto de
componentes, por onde passa todo o tráfego, permitindo que o controle, a
autenticação e os registros de todo o tráfego sejam realizados”. Além disso,
“pode ser definido como um grupo de sistemas que reforça a política de
acesso entre duas redes, e, portanto, pode ser visto como uma
implementação da política de segurança.”

Na prática, firewalls são utilizados para:

 Registrar tentativas de acesso indevidas a um computador ou


rede;
 Bloquear o envio de informações coletadas por invasores e
códigos maliciosos;
 Bloquear tentativas de invasão e exploração de vulnerabilidades,
identificando a origem das tentativas;

Prof. Victor Dalton


www.estrategiaconcursos.com.br 46 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

 Analisar continuamente o conteúdo das conexões, filtrando


códigos maliciosos e barrando a comunicação entre um invasor
e um código malicioso já instalado;
 Evitar que um código malicioso já instalado se propague,
impedindo que vulnerabilidades em outros computadores sejam
exploradas.

Vejamos alguns termos relacionados a firewall:

Proxy: Sistemas que atuam como gateway entre duas redes,


“obrigando” que determinado fluxo de dados passe por ele. Facilita o
controle e gerenciamento de conteúdo na rede.

Bastion Hosts: equipamentos em que são instalados serviços a serem


oferecidos para internet. Por serem máquinas com contato direto com o
exterior, os bastion hosts devem ser servidores fortificados, executando
somente o mínimo de serviços que devem oferecer. Via de regra, os Bastion
Hosts ficam em zonas desmilitarizadas (DMZs).

Prof. Victor Dalton


www.estrategiaconcursos.com.br 47 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

Zona Desmilitarizada (DMZ): Rede que fica entre a rede interna,


que deve ser protegida, e a externa, por possuir um conjunto de serviços
cujo interesse da organização é a divulgação para o público externo. Em
caso de ataques aos Bastion Hosts, a rede interna continua protegida.

A DMZ precisa ser isolada do restante da rede porque suas regras de


proteção precisam ser mais “frouxas” do que as regras para a rede interna,
uma vez que os Bastion Hosts podem (e devem) receber acessos externos.
Prof. Victor Dalton
www.estrategiaconcursos.com.br 48 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

1.6.1 Tipos de Arquitetura de Firewall

As arquiteturas de um Firewall, via de regra, são definidas de acordo


com o porte e as necessidades da organização que o implanta. As três
arquiteturas clássicas são as seguintes:

Dual-Homed Host Architecture: nesta, um único proxy separando


a rede interna da rede externa, conforme a figura abaixo.

É uma estrutura mais econômica, por ser simples. Por outro lado, falta
transparência ao usuário que não sabe como o acesso externo é realizado.
Além disso, o host dual-homed é um único ponto de falha, e o risco da rede
reside nele.

Screened Host Architecture: é composto por um filtro de pacotes e


um Bastion Host.

Prof. Victor Dalton


www.estrategiaconcursos.com.br 49 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

Nele, as regras para o acesso à rede externa podem ser implantadas


via Bastion Host, ou filtro de pacotes, ou ambos (o que é chamado de
firewall híbrido).

É uma arquitetura mais “madura” que a dual-homed. Entretanto, caso


o Bastion Host seja comprometido, o invasor já estará na rede interna.

Screened Subnet Architecture: acrescenta a DMZ à rede, por meio


de filtros externo e interno.

O que diferencia a Screened Subnet da Dual-Homed é que os


roteadores interno e externo, vistos na figura acima, funcionarão como
verdadeiros filtros de pacotes. O filtro de pacote externo, um pouco
menos rígido, permite o acesso externo aos serviços disponibilizados pela
empresa, na DMZ; o interno, altamente rigoroso, permite apenas que as
respostas das requisições e serviços permitidos aos usuários internos
entrem na rede interna.
Prof. Victor Dalton
www.estrategiaconcursos.com.br 50 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

1.6.2 IPS e IDS

Sistemas de Detecção de Intrusos (IDS) são sistemas que


monitoram atividades em redes de computadores, capazes de detectar
atividades suspeitas. Configura-se uma solução passiva.

Sistemas de Prevenção de Intrusos (IPS), por sua vez, são


sistemas que implementam regras e políticas para o tráfego de uma rede,
capazes de prevenir e combater ataques. É uma solução ativa!

1.6.3 Recomendações para firewall

Cuidados a serem tomados:

• antes de obter um firewall pessoal, verifique a procedência e


certifique-se de que o fabricante é confiável;
• certifique-se de que o firewall instalado esteja ativo;
• configure seu firewall para registrar a maior quantidade de
informações possíveis (desta forma, e possível detectar tentativas de
invasão ou rastrear as conexões de um invasor).

As configurações do firewall dependem de cada fabricante. De forma


geral, a mais indicada é:
• liberar todo trafego de saída do seu computador (ou seja, permitir
que seu computador acesse outros computadores e serviços) e;
• bloquear todo trafego de entrada ao seu computador (ou seja,
impedir que seu computador seja acessado por outros computadores e
serviços) e liberar as conexões conforme necessário, de acordo com
os programas usados.

Prof. Victor Dalton


www.estrategiaconcursos.com.br 51 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

1.7 Outras boas práticas de segurança da informação

A seguir, veremos mais algumas boas práticas se segurança da


informação na utilização de equipamentos tecnológicos. São boas dicas
tanto para o seu dia-a-dia, bem como podem cair em prova! 

SENHAS FRACA E FORTES

Segundo a Cartilha CERT.BR, uma senha boa, bem elaborada, é aquela


que é difícil de ser descoberta (forte) e fácil de ser lembrada.

Alguns elementos que não se deve usar na elaboração de suas senhas:

Qualquer tipo de dado pessoal: evite nomes, sobrenomes, contas


de usuário, números de documentos, placas de carros, números de
telefones e datas (estes dados podem ser facilmente obtidos e usados por
pessoas que queiram tentar se autenticar como você).

Sequencias de teclado: evite senhas associadas a proximidade entre


os caracteres no teclado, como “1qaz2wsx” e “QwerTAsdfG”, pois são
bastante conhecidas e podem ser facilmente observadas ˜ ao serem
digitadas.

Palavras que façam parte de listas: evite palavras presentes em


listas publicamente conhecidas, como nomes de músicas, times de futebol,
personagens de filmes, dicionários de diferentes idiomas, etc. Existem
programas que tentam descobrir senhas combinando e testando estas
palavras e que, portanto, não devem ser usadas.

Alguns elementos que devem ser usados na elaboração de suas senhas


são:

Numeros aleatórios: quanto mais ao acaso forem os números


usados melhor, principalmente em sistemas que aceitem exclusivamente
caracteres numéricos.

Grande quantidade de caracteres: quanto mais longa for a senha


mais difícil será descobri-la. Apesar de senhas longas parecerem, a

Prof. Victor Dalton


www.estrategiaconcursos.com.br 52 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

princípio, difíceis de serem digitadas, com o uso frequente elas acabam


sendo digitadas facilmente.

Diferentes tipos de caracteres: quanto mais “bagunçada” for a


senha mais difícil será descobri-la. Procure misturar caracteres, como
números, sinais de pontuação e letras maiúsculas e minúsculas. O uso de
sinais de pontuação pode dificultar bastante que a senha seja descoberta,
sem necessariamente torna-la difícil de ser lembrada.

Porém, apenas o próprio usuário será capaz de produzir uma senha


boa. Não existe gabarito!

FERRAMENTAS ANTIMALWARE

Ferramentas antimalware são aquelas que procuram detectar e, então,


anular ou remover os códigos maliciosos de um computador. Antivírus,
antispyware, antirootkit e antitrojan são exemplos de ferramentas deste
tipo.

Entre as diferentes ferramentas existentes, a que engloba a maior


quantidade de funcionalidades e o antivírus. Apesar de inicialmente eles
terem sido criados para atuar especificamente sobre vírus, com o passar
do tempo, passaram também a englobar as funcionalidades dos demais
programas, fazendo com que alguns deles caíssem em desuso.

Os antivírus comerciais, em sua maioria podem funcionar por:

- Método de assinaturas: vírus conhecidos possuem assinaturas, ou


seja, um “pedaço” de arquivo conhecido, que quando identificado acusa a
presença do vírus;

- Busca algorítmica: se o arquivo possui um conjunto de instruções


peculiar, é reconhecido como vírus;

- Sensoriamento heurístico: útil para vírus desconhecidos, analisa


o “comportamento” do programa, para identificá-lo como vírus;

Prof. Victor Dalton


www.estrategiaconcursos.com.br 53 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

- Emulação: útil para detectar vírus polimórficos, ele decriptografa o


vírus, analisa o código e reconhece o agente malicioso.

Portanto, os antivírus possuem várias técnicas para analisar o


conteúdo dos arquivos. Quem não conhece, tende a achar que os antivírus
apenas reconhecem vírus que já existem e, na verdade, acabamos de ver
que é bem mais do que isso.

Cuidados a serem tomados:

• tenha um antimalware instalado em seu computador (programas


online, apesar de bastante úteis, exigem que seu computador esteja
conectado à Internet para que funcionem corretamente e podem conter
funcionalidades reduzidas);

• utilize programas online quando suspeitar que o antimalware local


esteja desabilitado/comprometido ou quando necessitar de uma segunda
opinião (quiser confirmar o estado de um arquivo que já foi verificado pelo
antimalware local);

• configure o antimalware para verificar toda e qualquer extensão de


arquivo;

• configure o antimalware para verificar automaticamente arquivos


anexados aos e-mails e obtidos pela Internet;

• configure o antimalware para verificar automaticamente os discos


rígidos e as unidades removíveis (como pen-drives, CDs, DVDs e discos
externos);

• mantenha o arquivo de assinaturas sempre atualizado


(configure o antimalware para atualizá-lo automaticamente pela rede, de
preferência diariamente);

• mantenha o antimalware sempre atualizado, com a versão mais


recente e com todas as atualizações existentes aplicadas;

• evite executar simultaneamente diferentes programas


antimalware (eles podem entrar em conflito, afetar o desempenho do
computador e interferir na capacidade de detecção um do outro);

• crie um disco de emergência e o utilize-o quando desconfiar que o


antimalware instalado está desabilitado/comprometido ou que o

Prof. Victor Dalton


www.estrategiaconcursos.com.br 54 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

comportamento do computador está estranho (mais lento, gravando ou


lendo o disco rígido com muita frequência, etc.).

USO SEGURO DA INTERNET

Ao usar navegadores Web:

• mantenha-o atualizado, com a versao mais recente e com todas as


atualizações aplicadas;

• configure-o para verificar automaticamente atualizações, tanto dele


próprio como de complementos que estejam instalados;

• permita a execução de programas Java e JavaScript, porém


assegure-se de utilizar complementos, como o NoScript (disponível para
alguns navegadores), para liberar gradualmente a execução, conforme
necessário, e apenas em sites confiáveis;

• permita que programas ActiveX sejam executados apenas quando


vierem de sites conhecidos e confiáveis;

• seja cuidadoso ao usar cookies caso deseje ter mais privacidade;

• caso opte por permitir que o navegador grave as suas senhas, tenha
certeza de cadastrar uma chave mestra e de jamais esquecê-la (para que
somente com a chave mestra seja possível visualizar as outras senhas
salvas pelo navegador);

Ao usar programas leitores de e-mails:

• mantenha-o atualizado, com a versão mais recente e com as todas


atualizações aplicadas;

• configure-o para verificar automaticamente atualizações, tanto dele


próprio como de complementos que estejam instalados;

• não utilize-o como navegador Web (desligue o modo de visualização


no formato HTML);

• seja cuidadoso ao usar cookies caso deseje ter mais privacidade;

Prof. Victor Dalton


www.estrategiaconcursos.com.br 55 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

• seja cuidadoso ao clicar em links presentes em e-mails (se você


realmente quiser acessar a página do link, digite o endereço diretamente
no seu navegador Web);

• desconfie de arquivos anexados a mensagem mesmo que tenham


sido enviados por pessoas ou instituições conhecidas (o endereço do
remetente pode ter sido falsificado e o arquivo anexo pode estar infectado);

• antes de abrir um arquivo anexado a mensagem tenha certeza de


que ele não apresenta riscos, verificando-o com ferramentas antimalware;

• verifique se seu sistema operacional está configurado para mostrar


a extensão dos arquivos anexados;

• desligue as opções que permitem abrir ou executar automaticamente


arquivos ou programas anexados as mensagens;

• desligue as opções de execução de JavaScript e de programas Java;

• habilite, se possível, opções para marcar mensagens suspeitas de


serem fraude;

• use sempre criptografia para conexão entre seu leitor de e-mails e


os servidores de e-mail do seu provedor;

(CESPE – INSS – Técnico de Seguro Social - 2016) A infecção de um


computador por vírus enviado via correio eletrônico pode se dar quando se abre
arquivo infectado que porventura esteja anexado à mensagem eletrônica
recebida.

Se o usuário ABRE um arquivo com vírus, a execução do arquivo infectado aciona


o vírus. Correta!

Finda essa “enxurrada” de conhecimento, que tal uma bateria de


exercícios para consolidar o conhecimento?

Prof. Victor Dalton


www.estrategiaconcursos.com.br 56 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

EXERCÍCIOS COMENTADOS

1. (FCC – SEFAZ/PI – Auditor Fiscal – 2015) Na Secretaria da


Fazenda do Estado do Piauí a assinatura digital permite comprovar que uma
informação foi realmente gerada por quem diz tê-la gerado e que ela não
foi alterada. Isto equivale a afirmar, respectivamente, que é possível
comprovar que uma informação

(A) é privada e está sempre disponível.

(B) é autêntica e confidencial.

(C) é autêntica e está íntegra.

(D) não pode ser repudiada e é autêntica.

(E) não pode ser repudiada e é confidencial.

A assinatura digital garante a autenticidade (por meio das chaves


privada/pública) e a integridade da mensagem (por meio do hash).

Resposta certa, alternativa c).

2. (FCC – TRE/AP – Analista Judiciário – 2015) Um Analista


sempre busca manter seu PC protegido das pragas virtuais, mas mesmo
com os cuidados, teve sua máquina com o sistema operacional Windows 7,
em português, infectada. O Analista deve

(A) fazer uma varredura no computador usando o antivírus que já está


instalado para tentar remover o malware. É a opção mais segura, pois o
antivírus não fica comprometido e não pode ser modificado de forma
maliciosa.

(B) instalar outros antivírus e fazer a varredura na máquina com todos


eles. Quanto mais ferramentas antimalware houver na máquina, maior
proteção será obtida.

Prof. Victor Dalton


www.estrategiaconcursos.com.br 57 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

(C) abrir o Gerenciador de Tarefas do Windows, abrir a aba Processos


e desabilitar todos os processos sendo executados. Certamente um deles é
o malware que está causando o problema e isso resolverá tudo.

(D) entrar em modo de segurança com rede, abrir o navegador


adequado e executar uma ferramenta de varredura on-line atualizada,
habilitando níveis de segurança, como a varredura de arquivos
comprimidos e cache do navegador.

(E) utilizar o prompt de comando e desabilitar todos os utilitários do


msconfig e do regedit. Certamente um deles é o malware que está
causando o problema e isso limpará a máquina dos aplicativos que se
iniciam com o Windows.

Sabemos que não é recomendável instalar mais de um antimalware no


computador, pois o desempenho do computador cai e um antimalware
interfere no trabalho do outro. Quando suspeitamos que o antimalware
instalado está comprometido, recomenda-se utilizar um antimalware online
para realizar a inspeção no computador.

Resposta certa, alternativa c).

3. (FCC – SEFAZ/PI – Auditor Fiscal – 2015) O certificado


digital utilizado na Nota Fiscal Eletrônica (NF-e) deverá ser adquirido junto
à Autoridade Certificadora credenciada pela Infraestrutura de Chaves
Públicas Brasileira − ICP-Brasil, devendo ser do tipo …I… ou …II… e conter
o CNPJ de um dos estabelecimentos da empresa.

As características dos certificados digitais I e II são descritas a seguir:

I. A chave privada é armazenada no disco rígido do computador, que


também é utilizado para realizar a assinatura digital.

II. A chave privada é armazenada em dispositivo portátil inviolável do


tipo smart card ou token, que possui um chip com capacidade de realizar a
assinatura digital.
Prof. Victor Dalton
www.estrategiaconcursos.com.br 58 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

I e II são, respectivamente,

(A) S1 e S2.

(B) A2 e A3.

(C) S1 e S3.

(D) A2 e A4.

(E) A1 e A3.

Os certificados do tipo A1 são armazenados no computador, enquanto


os certificados A3 são armazenados em smart card ou token. Não cabe
marcar S1 e S3, pois certificados de sigilo não serão utilizados para emissão
de NF-e.

Resposta certa, alternativa e).

4. (FCC – SEFAZ/PI – Auditor Fiscal – 2015) Em determinada


instituição, João envia uma mensagem criptografada para Antônio,
utilizando criptografia assimétrica. Para codificar o texto da mensagem,
João usa

(A) a chave privada de Antônio. Para Antônio decodificar a mensagem


que recebeu de João, ele terá que usar sua chave privada. Cada um
conhece apenas sua própria chave privada.

(B) a chave pública de Antônio. Para Antônio decodificar a mensagem


que recebeu de João, ele terá que usar a chave privada, relacionada à chave
pública usada no processo por João. Somente Antônio conhece a chave
privada.

(C) a chave pública de Antônio. Para Antônio decodificar a mensagem


que recebeu de João, ele terá que usar a chave privada, relacionada à chave
pública usada no processo por João. Ambos conhecem a chave privada.

Prof. Victor Dalton


www.estrategiaconcursos.com.br 59 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

(D) a chave privada de Antônio. Para Antônio decodificar a mensagem


que recebeu de João, ele terá que usar a chave pública, relacionada à chave
privada usada no processo por João. Ambos conhecem a chave privada.

(E) sua chave privada. Para Antônio decodificar a mensagem que


recebeu de João, ele terá que usar sua chave pública. Somente João
conhece a chave privada.

Na criptografia assimétrica, para que João envie uma mensagem para


Antônio, este deverá utilizar a chave pública de Antônio. Antônio, única
parte que conhece sua própria chave privada, será capaz de decifrar a
mensagem com a própria chave privada, que forma par com a chave
pública utilizada no processo.

Resposta certa, alternativa b).

5. (FCC – SEFAZ/PI – Auditor Fiscal – 2015) s arquivos


digitais no padrão definido em norma e do aplicativo GeraTEDeNF, a
empresa deverá possuir um certificado digital, em um padrão específico,
emitido por Autoridade Certificadora credenciada à ICP/BR que contenha o
CNPJ da empresa.

O uso de certificado digital de pessoa física emitido por Autoridade


Certificadora credenciada à ICP/BR, que contenha o CPF do titular será
permitido desde que a SEFAZ-PI seja comunicada previamente através da
apresentação do Termo de Outorga de Poderes para Assinatura e
Transmissão de Arquivos Digitais firmada pelo representante legal da
empresa.

No site http://nf-eletronica.com consta o seguinte texto adaptado:

O Projeto Nota Fiscal Eletrônica (NF-e) exige o uso de Certificado


Digital em um padrão específico, emitido por Autoridade Certificadora
credenciada à ICP/BR.

Um padrão específico de certificado digital usado na ICP Brasil


(ICP/BR) é citado em ambos os textos e especifica, entre várias outras
coisas, o formato dos certificados digitais, de tal maneira que se possa
amarrar firmemente um nome a uma chave pública, permitindo
autenticação forte. Trata-se do padrão

Prof. Victor Dalton


www.estrategiaconcursos.com.br 60 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

(A) X509.v6.

(B) SET.

(C) PGP.

(D) X509.v3.

(E) SPDK/SDSI.

A ICP Brasil utiliza o padrão X509 v3 como padrão de certificação


digital. Esta padronização de infraestrutura de chave pública é definida pela
ITU-T.

Resposta certa, alternativa d).

6. (FCC – SEFAZ/PI – Auditor Fiscal – 2015) Considere o


seguinte processo de propagação e infecção de um tipo de malware.

Após infectar um computador, ele tenta se propagar e continuar o


processo de infecção. Para isto, necessita identificar os computadores alvos
para os quais tentará se copiar, o que pode ser feito de uma ou mais das
seguintes maneiras:

a. efetuar varredura na rede e identificar computadores ativos;

b. aguardar que outros computadores contatem o computador


infectado;

c. utilizar listas, predefinidas ou obtidas na Internet, contendo a


identificação dos alvos;

d. utilizar informações contidas no computador infectado, como


arquivos de configuração e listas de endereços de e-mail.

Após identificar os alvos, ele efetua cópias de si mesmo e tenta enviá-


las para estes computadores, por uma ou mais das seguintes formas:

a. como parte da exploração de vulnerabilidades existentes em


programas instalados no computador alvo;

b. anexadas a e-mails;

c. via programas de troca de mensagens instantâneas;

Prof. Victor Dalton


www.estrategiaconcursos.com.br 61 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

d. incluídas em pastas compartilhadas em redes locais ou do tipo P2P


(Peer to Peer).

Após realizado o envio da cópia, ele necessita ser executado para que
a infecção ocorra, o que pode acontecer de uma ou mais das seguintes
maneiras:

a. imediatamente após ter sido transmitido, pela exploração de


vulnerabilidades em programas sendo executados no computador alvo no
momento do recebimento da cópia;

b. diretamente pelo usuário, pela execução de uma das cópias


enviadas ao seu computador;

c. pela realização de uma ação específica do usuário, a qual ele está


condicionado como, por exemplo, a inserção de uma mídia removível.

Após o alvo ser infectado, o processo de propagação e infecção


recomeça, sendo que, a partir deste momento, o computador que antes
era o alvo passa a ser também originador dos ataques.

Trata-se do processo de propagação e infecção por

(A) vírus.

(B) backdoor.

(C) trojan.

(D) spyware.

(E) worm.

A questão explica em detalhes o funcionamento de um worm, que é


um malware autorreplicante.

Resposta certa, alternativa e).

7. (FCC – TCM/GO – Auditor de Controle Externo -


Informática – 2015) E-mail spoofing é uma técnica que pode ser utilizada
para propagação de códigos maliciosos, envio de spam e golpes de
phishing. Esta técnica consiste em

Prof. Victor Dalton


www.estrategiaconcursos.com.br 62 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

(A) alterar os campos do protocolo SMTP, de forma que os e-mails do


usuário sejam direcionados para outra conta sem que ele saiba.

(B) alterar as configurações de um servidor de e-mail para que dispare


uma infinidade de e-mails falsos até encher a caixa de correio de um ou
muitos usuários.

(C) falsificar o protocolo SMTP para inspecionar os dados trafegados


na caixa de e-mail do usuário, por meio do uso de programas específicos.

(D) alterar os campos do cabeçalho de um e-mail, de forma a


aparentar que ele foi enviado de uma determinada origem quando, na
verdade, foi enviado de outra.

(E) efetuar buscas minuciosas no computador do usuário, com o


objetivo de identificar informações sigilosas.

O email spoofing consiste no envio de email modificando dados do


cabeçalho, para ludibriar o destinatário, quanto ao remetente,
principalmente.

Resposta certa, alternativa d).

8. (FCC – TCM/GO – Auditor de Controle Externo -


Informática – 2015) Considere que o TCM/GO decidiu adquirir
certificados digitais ICP-BRASIL do tipo A3 para que seus servidores
possam acessar os sistemas, informações e serviços no ambiente
informatizado. Neste tipo de certificado os dados são gerados,
armazenados e processados

(A) na nuvem, em repositório sob responsabilidade da ICP-Brasil.

(B) em um cartão inteligente ou token.

(C) no computador pessoal do usuário.

(D) em repositório protegido por senha, cifrado por software.

(E) em CD, DVD ou pen drive criptografado.

Prof. Victor Dalton


www.estrategiaconcursos.com.br 63 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

O certificado do tipo A3 é armazenado em smart card ou token.

Resposta certa, alternativa b).

9. (FCC – CNMP – Analista – Suporte e Infraestrutura –


2015) Uma das formas de se implementar a segurança em um sistema de
bancos de dados é por meio da criptografia de dados, em que um dos
mecanismos utilizados consiste na criptografia de chave pública, que
apresenta a característica de que

(A) um usuário U3 que tenha recebido dados criptografados de um


usuário U4 deve conhecer a chave privada de U4 para decodificar os dados.

(B) cada usuário do sistema de banco de dados possui uma chave


pública e uma chave privada.

(C) cada usuário do sistema de banco de dados possui apenas duas


chaves privadas e nenhuma chave pública.

(D) se um usuário U1 quiser trocar dados com um usuário U2 deve


criptografar os dados com a chave privada de U2.

(E) cada usuário do sistema de banco de dados possui apenas duas


chaves públicas e nenhuma chave privada.

Na criptografia de chave pública, cada usuário possui uma chave


pública e uma chave privada. Para enviar uma chave a Ux, deve-se cifrar a
mensagem com a chave pública de Ux, que decifrará a mensagem com sua
chave privada.

Resposta certa, alternativa b).

10. (FCC – CNMP – Analista – Suporte e Infraestrutura –


2015) Em segurança da informação, a criptografia é a técnica que utiliza
a cifragem e, frequentemente, uma chave criptográfica para transformar a
informação original para que apenas o interlocutor, ou as pessoas
autorizadas, possam ler a informação original. Dentre as diferentes técnicas
de criptografia atualmente utilizadas, a que utiliza o esquema de chave
assimétrica é

Prof. Victor Dalton


www.estrategiaconcursos.com.br 64 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

(A) DES.

(B) RSA.

(C) IDEA.

(D) RC4.

(E) AES.

RSA é o único método dentre as alternativas que apresenta um


esquema de chave assimétrica.

Alternativa b).

11. (FCC – TRT/15ª Região – Analista Judiciário – Tecnologia


da Informação – 2015) Esquemas de criptografia com chave simétrica e
com chave assimétrica são utilizados para os diferentes tipos de
transferência de dados e informações. É um recurso de segurança que
utiliza o esquema de criptografia de chave assimétrica:

(A) Acesso ao gerenciador de banco de dados Oracle 10g por meio de


senha.

(B) Segurança WEP para redes sem fio WiFi.

(C) Acesso ao sistema operacional Linux Xen por meio de senha.

(D) Internet banking, ou seja, acesso aos serviços bancários pela


internet.

(E) Acesso ao sistema operacional Windows 2008 Server por meio de


senha.

O Internet Banking sempre utiliza comunicação criptografada, por


meio do protocolo HTTPS, e com certificação digital. Isto significa que o
estabelecimento da comunicação entre o seu computador e o site do banco
utiliza criptografia assimétrica.

Resposta certa, alternativa d).

Prof. Victor Dalton


www.estrategiaconcursos.com.br 65 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

12. (FCC – TRT/15ª Região – Técnico Judiciário – Tecnologia


da Informação – 2015) O usuário de um computador conectado à
internet está se queixando que, repentinamente, começaram a aparecer
janelas com anúncios na tela do computador. Considerando a possibilidade
de que um malware está atacando o computador do usuário, o sintoma
relatado aparenta ser a ação de um malware do tipo

(A) Backdoor.

(B) Adware.

(C) Botnet.

(D) Spyware.

(E) Rootkit.

O usuário que começa a sofrer com pop-ups de anúncios certamente


está sofrendo a ação de Adware.

Resposta certa, alternativa b).

13. (FCC – TRT/15ª Região – Analista Judiciário – Tecnologia


da Informação – 2015) Sobre um programa de código malicioso −
malware, considere:

I. É notadamente responsável por consumir muitos recursos devido à


grande quantidade de cópias de si mesmo que costuma propagar e, como
consequência, pode afetar o desempenho de redes e a utilização de
computadores.

II. Programa capaz de se propagar automaticamente pelas redes,


enviando cópias de si mesmo de computador para computador.

III. Diferente do vírus, não se propaga por meio da inclusão de cópias


de si mesmo em outros programas ou arquivos, mas sim pela execução
direta de suas cópias ou pela exploração automática de vulnerabilidades
existentes em programas instalados em computadores.

Os itens I, II e III tratam de características de um

(A) Keylogger.

(B) Scan.
Prof. Victor Dalton
www.estrategiaconcursos.com.br 66 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

(C) Worm.

(D) Spoofing.

(E) Trojan Proxy.

Analisando as alternativas, vemos que elas descrevem, com


insistência, um worm, malware autorreplicante.

Resposta certa, alternativa c).

14. (FCC – TRT/15ª Região – Analista Judiciário – Tecnologia


da Informação – 2015) Considere, abaixo, as células assinaladas por um
tique, como características de códigos maliciosos.

Neste caso, I e II correspondem, correta e respectivamente a

(A) Rootkit e Trojan.

(B) Trojan e Rootkit.

(C) Backdoor e Rootkit.


Prof. Victor Dalton
www.estrategiaconcursos.com.br 67 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

(D) Trojan e Backdoor.

(E) Rootkit e Backdoor.

A questão acima extraiu um enxerto do resumo comparativo de


malwares da Cartilha da CERT.BR. São características do Backdoor e
Rootkit, respectivamente.

Na prática, você faria essa questão por eliminação. Trojan seria


eliminado com certa facilidade, pois ele pode ser recebido por email, o que
não está marcado em I e II. Eliminando três alternativas, a), b) e d), você
diferenciaria backdoor de rootkit nas ações maliciosas mais comuns, uma
que o backdoor, por si só, não altera arquivos nem instala outros códigos
maliciosos.

Resposta certa, alternativa c).

15. (FCC – TRT/3ª Região – Analista Judiciário – Tecnologia


da Informação – 2015) O Analista Judiciário da área de TI incumbido de
melhorar a segurança da informação do TRT da 3a Região deseja escolher
o esquema de criptografia a ser utilizado para uma transferência de
urgência de grande quantidade de dados entre os Tribunais.

Dentre os esquemas de criptografia, o Analista deve escolher o de


chave

(A) simétrica, pois apresenta maior velocidade de processamento se


comparado ao de chave assimétrica.

(B) assimétrica, pois utiliza um algoritmo eficiente e de maior


desempenho de processamento se comparado ao de chave simétrica.

(C) simétrica devido à facilidade que este apresenta para enviar a


chave pela internet de forma segura.

(D) assimétrica, pois requer a utilização de duas chaves para


criptografar e descriptografar a informação, o que o torna mais seguro que
o de chave simétrica.

(E) simétrica devido à facilidade que este apresenta para gerenciar


grande quantidade de chaves se comparado ao de chave assimétrica.

Prof. Victor Dalton


www.estrategiaconcursos.com.br 68 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

Tendo em mente que o algoritmo assimétrico é mais seguro e o


algoritmo simétrico é mais rápido (em termos de processamento),
precisamos contextualizar a resposta com a questão, que fala em transferir
urgentemente grande quantidade de dados.

A rigor, as alternativas a) e d) trazem consigo sentenças corretas.


Mas esta última está fora de contexto com o que se pede na questão.

16. (FCC – TRE/MA – Técnico Judiciário – 2015) Alcebíades


queria instalar um software em seu computador rapidamente para
modificar umas fotos. Procurou na internet e achou um software freeware.
Baixou e instalou, sem perceber que alguns softwares adicionais foram
instalados também. Como a prioridade era a rapidez e não a segurança,
ele pagou o preço. Sua página inicial do browser foi alterada, sua página
de procura principal e redirecionamentos de páginas. Qual destas pragas
virtuais Alcebiades instalou?

a) Browser Hijacker.

b) Trojans.

c) Spyware.

d) Worms.

O Browser Hijacker, como o próprio nome diz, “toma” o navegador


do usuário, modificando seus parâmetros, como página inicial e
ferramentas de busca.

Resposta certa, alternativa a).

17. (FCC – TRT/3ª Região – Analista Judiciário – Tecnologia


da Informação – 2015) O algoritmo de criptografia AES foi desenvolvido
para substituir o DES, cuja segurança havia sido quebrada. Diferentemente
do DES, o algoritmo do AES realiza a cifragem sobre blocos de dados com
tamanho, em bits, de

(A) 192.

(B) 256.

Prof. Victor Dalton


www.estrategiaconcursos.com.br 69 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

(C) 128.

(D) 512.

(E) 240.

O AES realiza a cifragem sobre blocos de 128 bits e admite chaves de


128, 192 e 256 bits.

Resposta certa, alternativa c).

18. (FCC – TRT/3ª Região – Técnico Judiciário – Tecnologia


da Informação – 2015) O técnico judiciário da área de TI do TRT da 3a
Região deve escolher o esquema de criptografia mais adequado para a
seguinte situação. Ele deve receber uma informação de forma segura, ou
seja, criptografada, de outro Tribunal, mas não tem meios para enviar um
código secreto (chave) de forma segura para aquele Tribunal. Nessa
situação, o técnico deve utilizar o esquema de criptografia de chave

(A) simétrica.

(B) privada.

(C) assimétrica.

(D) unificada.

(E) isolada.

Nesta questão, é evidente que o usuário deverá utilizar uma chave


assimétrica, uma vez que a chave pública pode ser disponibilizada em um
meio não seguro.

Resposta certa, alternativa c).

19. (FCC – TRT/3ª Região – Técnico Judiciário – Tecnologia


da Informação – 2015) Diversos recursos e ferramentas são utilizados
para melhorar a segurança da informação, principalmente a transmissão
de informações pela rede de computadores. Nesse contexto, o hash é
utilizado para

Prof. Victor Dalton


www.estrategiaconcursos.com.br 70 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

(A) gerar um conjunto de dados de tamanho fixo independentemente


do tamanho do arquivo original.

(B) criar uma chave criptográfica específica e personalizada para o


arquivo a ser transmitido pela rede.

(C) verificar a autenticidade da mensagem utilizando a chave simétrica


gerada no processo de hashing.

(D) armazenar, em um arquivo, e transmitir a chave assimétrica


utilizada para criptografar os dados.

(E) checar a veracidade de uma assinatura digital junto a uma


Autoridade Certificadora.

O hash é um arquivo de tamanho fixo gerado a partir da mensagem


original, independentemente do seu tamanho. Seu objetivo é verificar a
integridade da mensagem no seu destinatário, que gerará um hash com
base na mensagem que chegou. Se o hash gerado no destino for igual ao
hash enviado, a mensagem é íntegra.

Resposta certa, alternativa a).

20. (FCC – TRT/3ª Região – Técnico Judiciário – Tecnologia


da Informação – 2015) Um dos padrões de criptografia mais difundidos
mundialmente é o Data Encryption Standard − DES. Atualmente ele é
utilizado na forma denominada Triple DES, devido à fragilidade identificada
no DES que utiliza uma chave com

(A) 48 bits.

(B) 56 bits.

(C) 128 bits.

(D) 84 bits.

(E) 64 bits.

A chave consiste nominalmente de 64 bits, porém somente 56 deles


são realmente utilizados pelo algoritmo. Os oito bits restantes são utilizados
para verificar a paridade.
Prof. Victor Dalton
www.estrategiaconcursos.com.br 71 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

Resposta certa, alternativa b).

21. (ESAF – Superintendência de Seguros Privados –


Tecnologia da Informação – 2010) Por política de segurança entende-
se

a) política planejada, válida para os setores críticos da organização,


com regras o mais claro e simples possível, e estrutura gerencial de
fiscalização dessa política, claramente sustentada pela alta hierarquia da
área de informática.
b) política elaborada, implantada e em contínuo processo de revisão,
válida para toda a organização, com regras o mais claro e simples possível,
e estrutura gerencial e material de suporte a essa política, claramente
sustentada pela alta hierarquia.
c) política e diretrizes de implantação, em contínuo processo de
desenvolvimento, fiscalizada por toda a organização, com regras
criptografadas e estrutura matricial e material de priorização dessa política,
claramente sustentada pela alta hierarquia.
d) política elaborada, implantada e imune a revisões, válida para toda
a organização, com estrutura gerencial de regras de formalização
individualizada dessa política nas unidades organizacionais, claramente
sustentada pelos gestores do nível operacional.
e) o conjunto de diretrizes e metas elaboradas, implantadas e em
contínuo processo de revisão, válidas para os responsáveis pela segurança,
com técnicas criptográficas o mais claro e simples possível, e estrutura
gerencial e material de terceirização de procedimentos, sustentada pela
alta hierarquia, quando possível.

A ESAF extraiu essa definição de um parágrafo grifado na página 24


do livro do Caruso, Segurança em Informática e de Informações. Esse livro
não nos será necessário.

A norma ISO 27002 define a Segurança da Informação como “a


proteção da informação de vários tipos de ameaças para garantir a
continuidade no negócio, minimizar o risco ao negócio, maximizar
o retorno sobre os investimentos e as oportunidades de negócio”.

Prof. Victor Dalton


www.estrategiaconcursos.com.br 72 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

Ainda, esta mesma norma diz que o objetivo da política da segurança


da informação é “prover uma orientação e apoio da direção para a
segurança da informação de acordo com os requisitos do negócio e com as
leis e regulamentações relevantes”, e que “convém que a direção
estabeleça uma política clara, alinhada com os objetivos do negócio e
demonstre apoio e comprometimento com a segurança da informação por
meio da publicação e manutenção de uma política de segurança da
informação para toda a organização.”

Sendo conhecedor esta definição e entendendo o intuito dela, veja que


podemos trabalhar as alternativas por eliminação:

a)a alternativa “a” fala em política apenas para os setores críticos da


organização. Segurança da informação é preocupação de TODOS!
Eliminada;
c)Política ”com regras criptografadas”? Estamos falando de políticas,
diretrizes, alto nível. Eliminada;
d)Política “imune a revisões”. Nem precisa continuar lendo;
e)Nesta os erros estão um pouco mais velados. Fala em “terceirização
de procedimentos” e em suporte “quando possível”. Na pior das hipóteses,
dá pra ficar em dúvida entre a letra e) e a letra b), e uma observação mais
atenta nos conduzirá à resposta correta.

Ao longo das questões de Segurança da Informação, você constatará


que o bom-senso pode ser um forte aliado na resolução deste tipo de
questão.

Confirmando, letra b).

22. (FCC – TRT 24ª Região – Analista Judiciário – Tecnologia


da Informação – 2011 - adaptada) Considere:

I. Garantia de que o acesso à informação seja obtido somente por


pessoas autorizadas.

II. Salvaguarda da exatidão e completeza da informação e dos


métodos de processamento.

III. Garantia de que os usuários autorizados obtenham acesso à


informação e aos ativos correspondentes sempre que necessário.

Prof. Victor Dalton


www.estrategiaconcursos.com.br 73 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

Na ISO/IEC 17799(27002), I, II e III correspondem, respectivamente,


a

a) disponibilidade, integridade e confiabilidade.

b) confiabilidade, integridade e distributividade.

c) confidencialidade, integridade e disponibilidade.

d) confidencialidade, confiabilidade e disponibilidade.

e) integridade, confiabilidade e disponibilidade.

Preciso falar sobre isso?

Segundo a norma:

Confidencialidade: Garantia de que o acesso à informação seja


obtido somente por pessoas autorizadas.

Integridade: Salvaguarda da exatidão e completeza da informação e


dos métodos de processamento.

Disponibilidade: Garantia de que os usuários autorizados obtenham


acesso à informação e aos ativos correspondentes sempre que necessário.

Sem mistérios, pessoal. Alternativa c).

Prof. Victor Dalton


www.estrategiaconcursos.com.br 74 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

23. (FCC – SEFAZ/SP – Agente Fiscal de Rendas – 2013) Um


dos recursos básicos utilizados na segurança da informação é a criptografia
que tem como objetivo assegurar a

a) consistência.

b) disponibilidade.

c) integridade.

d) privacidade.

e) legalidade.

Nessa questão vou chiar um pouco.

Segundo Nakamura, e eu já falei isso antes, a criptografia possui


quatro propriedades, ou objetivos, para a proteção da informação, a saber:
 Confidencialidade (privacidade) – sigilo entre as partes
envolvidas
 Integridade – a informação não sofrer alterações
 Autenticação (do remetente) – poder saber quem é o remetente
 Não-repúdio – o remetente não poder negar a autoria da mensagem

Se nós fôssemos hierarquizar essas propriedades, provavelmente a


privacidade é a mais importante delas.

Mas, pra mim, a questão seria passível de anulação por colocar tanto
privacidade como integridade entre as alternativas. Por eliminação, eu
marcaria a alternativa d), mas continuo achando que essa questão
deveria ter sido anulada.

24. (FCC – Banco Central do Brasil – Analista Área 1 – 2006)


NÃO é uma cifra de César resultante da criptografia sobre uma mesma
mensagem:

a) F H Q W U D O.

b) K M V C W J Q.

c) E G P V T C N.

d) I K T Z X G R.

Prof. Victor Dalton


www.estrategiaconcursos.com.br 75 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

e) G I R X V E P.

Eu simplesmente adoro esta questão, pois não vejo forma mais


inteligente de se cobrar o conhecimento a respeito da cifra de César.

Quem já teve infância já trocou bilhetes “criptografados” na escola,


usando a famosa regrinha do +1, -1, +2, etc. Por exemplo, escrevendo
CASA como DBTB ou BZRZ. Esta é a cifra de César.

Pois bem, sem conhecer a mensagem original, o que podemos fazer é


tomar uma alternativa como referência e compará-la com as demais.

Escolhendo a alternativa c) como referência, comparo-a uma a uma


com as outras. EGPVTCN + 1 vira FHQWUDO (letra a), +1 vira GIRXVEP
(letra e), + 2 vira IKTZXGR (letra d), e +2 vira KMVBZIT. Logo, a
alternativa b) está errada.

25. (FCC – Banco Central do Brasil – Analista Área 1 – 2006)


Em uma criptografia, o conceito de força bruta significa uma técnica para

a) eliminar todas as redundâncias na cifra.

b) tornar complexa a relação entre a chave e a cifra.

c) acrescentar aleatoriedade aos dados, tornando maior o caos.

d) quebrar uma criptografia simétrica por meio de busca exaustiva da


chave.

e) ocultar uma determinada informação para torná-la imperceptível.

Já vimos que a engenharia reversa da criptografia se desenvolve de


duas formas:

Criptoanálise: os ataques criptoanalíticos contam com a natureza do


algoritmo e talvez mais algum conhecimento das características gerais do
texto claro, ou ainda algumas amostras do texto claro e texto cifrado. O
objetivo é deduzir o texto em claro ou a chave utilizada. A criptoanálise
pode ser considerada o oposto da criptologia, que é a arte de criar
mensagens cifradas.

Prof. Victor Dalton


www.estrategiaconcursos.com.br 76 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

Ataque por força bruta: o atacante experimenta cada chave possível


em um trecho de texto cifrado, até obter uma tradução inteligível para o
texto claro. Na média, metade de todas as chaves possíveis precisam ser
testadas para se obter sucesso.

Alternativa d).

26. (ESAF – Auditor de Finanças e Controle – Infraestrutura


de TI – 2012) Comparando a criptografia simétrica com a assimétrica,
observa-se que

a) a primeira possui o problema do gerenciamento de chaves, ao passo


que a segunda possui o problema da complexidade binária.
b) a primeira possui o problema da privacidade da chave universal, ao
passo que a segunda possui o problema da criação e distribuição de chaves.
c) a primeira possui o problema da distribuição e gerenciamento de
chaves, ao passo que a segunda possui o problema do desempenho.
d) a primeira possui o problema do desempenho em redes sem fio, ao
passo que a segunda possui o problema do desempenho em ambientes
corporativos.
e) a primeira possui o problema do desempenho, ao passo que a
segunda possui o problema da geração de chaves.

Revisando:

Os algoritmos de chave simétrica são uma classe


de algoritmos para a criptografia, que usam chaves criptográficas
relacionadas para as operações de cifragem e decifragem.

Criptografia com chave simétrica.

Os algoritmos de chave assimétrica, por sua vez, trabalham com chaves


distintas para a cifragem e decifragem. Normalmente utilizam o conceito de chave
Prof. Victor Dalton
www.estrategiaconcursos.com.br 77 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

pública e chave privada, no qual a chave pública do destinatário é utilizada para


a criptografia da informação, e apenas a chave privada consegue realizar a
decifragem. Requer o emprego de algoritmos complexos, como a utilização de
números primos extensos.

Criptografia assimétrica

CHAVE SIMÉTRICA CHAVE ASSIMÉTRICA


Chaves Única Pública (divulgada livremente)
Privada(secreta)
Funcionamento Mesma chave cifra e Chave pública cifra a mensagem
decifra e chave privada decifra
Processamento Veloz Lento
Gerenciamento Complicado, uma Simples, basta divulgar a chave
das chaves chave para cada pública
usuário
Ataques de força São perigosos São ineficazes (números primos
bruta muito grandes)

Lembrou?

Portanto, nossa resposta correta é a letra c).

27. (FCC – MPE/MA – Analista Ministerial – Segurança da


Informação – 2013) Considere:

I. Utiliza uma mesma chave tanto para codificar como para decodificar
informações, sendo usada principalmente para garantir a confidencialidade
dos dados.
II. Utiliza duas chaves distintas: uma pública, que pode ser livremente
divulgada, e uma privada. Quando uma informação é codificada com uma
das chaves, somente a outra chave do par pode decodificá-la.

Prof. Victor Dalton


www.estrategiaconcursos.com.br 78 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

Os itens acima descrevem, respectivamente,


a) assinatura digital e função de resumo.
b) método de espalhamento e PKI.
c) função de resumo e assinatura digital.
d) criptografia de chave simétrica e de chave assimétrica.
e) criptografia de chave pública e método de espalhamento

Associação mental imediata: criptografia de chave simétrica e


assimétrica.

Alternativa d).

28. (FCC – TRT 11ª Região – Analista Judiciário – Tecnologia


da Informação - 2012) Corresponde a uma função de hash criptográfico,
a um algoritmo de criptografia simétrica e a um algoritmo de chave pública,
respectivamente,

a) SHA-1, DES e RSA.

b) MD5, Diffie-Hellman e RSA.

c) 3DES, MD5 e RC5.

d) AES, SHA-1 e RC6.

e) Diffie-Hellman, MD5 e DES.

Revisando:

DES (Data Encryption Standard) – simétrico.

3-DES (Triple DES) – simétrico, até 3 chaves.

AES (Advanced Encryption Standard) – simétrico, mais avançado


da categoria, usa um tamanho de bloco de 128 bits e admite chaves de
128, 192 e 256 bits.

RSA – assimétrico de chave pública, números primos muito grandes.

MD-5 (Message Digest Algorithm 5) - algoritmo de hash, verifica


integridade de dados.

Prof. Victor Dalton


www.estrategiaconcursos.com.br 79 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

SHA-1 (Secure Hash Algorithm 1) – algoritmo de hash, sucede o


MD5.

Questões sobre algoritmos costumam ser bastante objetivas. As


bancas não costumam se aprofundar a nível matemático neles, uma vez
que tornaria a questão demasiadamente longa e complexa.

Resposta certa, alternativa a).

29. (FCC – TRT 6ª Região – Analista Judiciário – Tecnologia


da Informação – 2012) A respeito de algoritmos criptográficos, é correto
afirmar que

a) AES é um exemplo de criptografia de chave assimétrica.

b) SHA1 é um exemplo de algoritmo de criptografia com aplicações


que não são criptográficas como, por exemplo, a verificação de integridade
de dados.

c) RSA é um exemplo de criptografia de chave simétrica.

d) DES é considerado mais seguro que AES, porque este último é


suscetível a "ataques de força bruta".

e) AES é considerado mais seguro que DES, porque este último utiliza
chaves assimétricas.

Não se pode deixar ser confundido pelas alternativas. Cada alternativa


apresenta uma informação incorreta, com exceção da letra b).

30. (FCC – TJ/PE – Analista Judiciário – Analista de Suporte


– 2012) O padrão de criptografia que é uma cifra simétrica de bloco que
usa um tamanho de bloco de 128 bits e um tamanho de chave de 128, 192
ou 256 bits é conhecido como:

a) PKCS#7.

b) SHA 1.

c) RSA.

d) DES.

Prof. Victor Dalton


www.estrategiaconcursos.com.br 80 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

e) AES.

Quando o conhecimento está fresco na cabeça, a questão chega a


parecer boba. O desafio é levar esse conhecimento fresco para o dia da
prova.

Alternativa e).

31. (Cesgranrio - BNDES – Analista de Suporte de Sistemas


–2010) Um usuário mal-intencionado obteve, além do tipo de algoritmo
utilizado na criptografia, a chave pública de João, quando este iniciou uma
comunicação criptografada (algoritmo assimétrico) com Marcela. De posse
dessa chave pública e do algoritmo, o usuário mal-intencionado

a) pode ler o conteúdo das mensagens enviadas de João a Marcela,


mas não o inverso.
b) pode ler o conteúdo das mensagens enviadas de Marcela a João,
mas não o inverso.
c) não tem acesso ao conteúdo das mensagens de posse desses itens.
d) consegue obter a chave privada a partir de ataques de dicionário.
e) consegue obter a chave privada utilizando ataques de SQL Injection.

De imediato, percebe-se que a questão exige, mais do que saber se o


candidato decorou os conceitos, é possível avaliar com precisão se ele sabe
o funcionamento das chaves. Vamos lá:
Quando um usuário mal-intencionado obtém a chave pública de
alguém, ele NADA pode fazer. No máximo, poderá verificar a assinatura
digital. Ah, mas ele também o tipo de algoritmo utilizado na criptografia. E
daí? Suponha que o tipo seja a utilização de números primos muito
grandes. Se ele não souber o número primo da chave privada, continuará
sem acesso a informação alguma. Para conseguir ler a mensagem
endereçada a alguém é necessário ter a chave privada desse alguém. E as
alternativas d) e e) não fazem sentido algum.

Resposta certa: letra c).

32. (FCC – MPE/MA – Analista Ministerial – Segurança da


Informação – 2013) Uma assinatura digital é um recurso de segurança
cujo objetivo é

Prof. Victor Dalton


www.estrategiaconcursos.com.br 81 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

a) identificar um usuário apenas por meio de uma senha.


b) identificar um usuário por meio de uma senha, associada a um
token.
c) garantir a autenticidade de um documento.
d) criptografar um documento assinado eletronicamente.
e) ser a versão eletrônica de uma cédula de identidade.

Não tem erro: assinatura serve para a verificação do remetente,


simples assim.
Alternativa c).

33. (ESAF – Auditor de Finanças e Controle – Infraestrutura


de TI – 2012) Com relação ao processo de verificação de assinatura
digital, tem-se que o algoritmo de assinatura digital é aplicado sobre a
assinatura digital recebida, usando a chave pública do remetente, o que
resulta no resumo criptográfico da mensagem; em seguida, o algoritmo de
hash é aplicado na mensagem recebida. A assinatura digital é válida se

a) os dois resumos obtidos forem simétricos.


b) os dois certificados digitais forem iguais.
c) o resumo obtido na recepção for o hash do resumo original.
d) os dois resumos obtidos forem iguais.
e) as chaves públicas forem diferentes.

Analisar assinatura digital é a continuação natural da criptografia de


chave pública. Lembrando que são três as formas de assinaturas digitais:

Assinatura digital baseada em Chave Secreta


Quando uma entidade quer enviar uma mensagem assinada
digitalmente à outra, terá que a cifrar, com a sua chave secreta, e enviá-
la à autoridade central. A mensagem passará pela autoridade central
que a decifrará com a chave secreta da entidade emissora. A esta
mensagem será concatenada uma estampilha que só a autoridade central
consegue gerar e decifrar. O resultado será cifrado com a chave secreta da
entidade receptora e enviado. Desta forma, o receptor pode provar a
recepção de qualquer mensagem através da estampilha recebida (só a
autoridade central consegue produzir uma).

Assinatura digital baseada em Chave Pública

Prof. Victor Dalton


www.estrategiaconcursos.com.br 82 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

Esta aproximação requer que o a entidade emissora saiba a chave


pública da entidade receptora e esta saiba as chaves públicas da primeira,
que em princípio são diferentes. Assim, quando a entidade emissora quer
enviar uma mensagem assinada digitalmente a outra entidade, aquela terá
que cifrar a mensagem com a sua chave privada e, em seguida, cifrar
o resultado com a chave pública da entidade receptora. Por sua vez, a
entidade receptora ao receber a mensagem terá que decifrá-la primeiro
com a sua chave privada e de seguida decifrar este resultado com a chave
pública da entidade emissora.

Assinatura digital baseada em funções de hash


Este esquema baseia-se nas funções de sentido único (one-way hash
functions) e tem como base a cifragem de uma parte, arbitrariamente
longa, da mensagem, obtendo como resultado o chamado message-
digest(resumo). Esse resumo possui tamanho fixo, independentemente do
tamanho da mensagem.

Desta forma, a entidade emissora terá que gerar o message-digest e


cifrá-lo (assiná-lo) com a sua chave privada.
De seguida poderá enviar a mensagem (cifrada ou não) concatenada
com a sua assinatura. A entidade receptora decifrará a assinatura com a
chave pública da entidade emissora (previamente publicada) e verificará se
o message-digest é o esperado.

Percebe-se que o processo de verificação de assinatura digital cobrado


na questão é o terceiro; e os message-digests (resumos) obtidos devem
ser iguais para que a assinatura digital seja verdadeira.

Resposta certa: letra d).

34. (FCC – MPE/MA – Analista Ministerial – Segurança da


Informação – 2013) A assinatura digital permite comprovar a ...... e a
integridade de uma informação, ou seja, que ela foi realmente gerada por
quem diz e que ela não foi alterada. A assinatura digital baseia-se no fato
de que apenas o dono conhece a chave privada, garantindo deste modo
que apenas ele possa ter efetuado a operação.

A lacuna é preenchida corretamente por


a) confidencialidade.
b) velocidade.
Prof. Victor Dalton
www.estrategiaconcursos.com.br 83 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

c) robustez.
d) autenticidade.
e) criptografia.

Mais do mesmo... alternativa d).

35. (ESAF – Auditor de Finanças e Controle – Infraestrutura


de TI – 2008) Em assinaturas digitais, a chave criptográfica usada para a
verificação da autenticidade de um dado emissor por um receptor é a chave

a) privada do emissor.
b) pública do emissor.
c) pública do receptor.
d) privada do receptor.
e) simétrica compartilhada entre emissor e receptor.

Uma questão bacana para raciocinar em cima do que falamos sobre


assinatura digital!
A assinatura digital funciona de maneira “oposta” ao envio da
mensagem. Se E (emissor) envia uma mensagem para R(receptor), E
utiliza a chave pública de R para criptografar sua mensagem, e R usa a sua
chave privada para decifrá-la. Quanto à assinatura da mensagem, E usa a
sua chave privada para assinar, enquanto R usará a chave pública de E
para verificar a assinatura.

Portanto, a resposta é a letra b).

36. (FCC – TRT/2ª Região – Técnico Judiciário – Tecnologia


da Informação – 2013) Um código anexado ou logicamente associado a
uma mensagem eletrônica que permite, de forma única e exclusiva, a
comprovação da autoria de um determinado conjunto de dados é:

a) uma autoridade certificadora;


b) uma trilha de auditoria;
c) uma chave simétrica;
d) uma assinatura digital;
e) um certificado digital.

Prof. Victor Dalton


www.estrategiaconcursos.com.br 84 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

Comprovar autoria? Isso parece.... alternativa d).

37. (FCC – MPE/MA – Analista Ministerial – Segurança da


Informação – 2013) Um certificado digital pode ser comparado a um
documento de identidade, por exemplo, ao passaporte, no qual constam
dados pessoais e a identificação de quem o emitiu. No caso do passaporte,
a entidade responsável pela emissão e pela veracidade dos dados é a Polícia
Federal.

No caso do certificado digital esta entidade é a


a) Autoridade Certificadora.
b) Unidade de Registro de Domínios.
c) Autoridade de Registro.
d) Comissão Regional de Registros.
e) Federação de Segurança.

Relembrando:

Um certificado digital normalmente é usado para ligar uma entidade a


uma chave pública. Para garantir digitalmente, no caso de uma
Infraestrutura de Chaves Públicas (ICP), o certificado é assinado pela
Autoridade Certificadora (AC). Não é mesmo?

Alternativa a).

38. (FGV – Senado - Analista de Sistemas – 2012 – 1ª


aplicação) Um certificado digital é um arquivo eletrônico que identifica
quem é o seu titular, pessoa física ou jurídica, ou seja, é um documento
eletrônico de identidade. Quando são realizadas transações, de forma
presencial, muitas vezes é solicitada uma identificação, por meio de um
registro que comprove identidade. Na Internet, quando as transações são
feitas de forma eletrônica, o Certificado Digital surge como forma de
garantir a identidade das partes envolvidas. Entre os fatores garantidos
pela Certificação Digital, dois são descritos a seguir:

I. É a garantia de que somente o titular do Certificado poderia ter


realizado determinada operação.

Prof. Victor Dalton


www.estrategiaconcursos.com.br 85 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

II. É a garantia de que as informações trocadas nas transações


eletrônicas não foram alteradas no caminho que percorreram.
Esses fatores são conhecidos, respectivamente, por:

a) Não-repúdio e Privacidade nas transações


b) Não-repúdio e Integridade das mensagens
c) Confidencialidade e Integridade das mensagens
d) Autenticidade e Integridade das mensagens
e) Autenticidade e Privacidade nas transações

O bom desse enunciado é que ele já começa definindo o que é o


Certificado Digital. Continuando:
O certificado digital oferece garantias de:
 Autenticidade - o receptor deverá poder confirmar a
assinatura do emissor;
 Integridade - garantia de que o conteúdo da transação não
foi alterado;
 Não-repúdio - garantia de que quem executou a transação
não pode negar que foi ele mesmo que executou;

Eu não vou desperdiçar nem o meu e nem o seu tempo, porque esta
questão é polêmica! O Item II você já sabe que é integridade, mas o I é
autenticidade ou não-repúdio?
De antemão, já digo que o gabarito é não-repúdio. Eu não vou ficar
defendendo a banca (mesmo porque não é a FGV a nossa avaliadora).
Entretanto, acho muito importante que você entenda a diferença entre
autenticidade e não-repúdio.
Autenticidade e não-repúdio são complementares. Enquanto, na
autenticidade, o receptor consegue confirmar a assinatura do emissor, o
não-repúdio é a consequência lógica, na qual o emissor não pode negar a
sua autoria. Então, no item I, creio que o “somente o titular” é que
direciona a resposta para o não-repúdio, ao invés da autencididade. Espero
que você não esqueça essa ideia!

Resposta certa, letra b).

39. (FCC – MPE/MA – Analista Ministerial – Segurança da


Informação – 2013) De forma geral, os dados básicos que compõem um
certificado digital são:

− versão e número de série do certificado.


Prof. Victor Dalton
www.estrategiaconcursos.com.br 86 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

− dados que identificam quem emitiu o certificado.


− dados que identificam o dono do certificado.

É INCORRETO dizer que dentre estes dados também se inclua:

a) validade do certificado.
b) chave privada do dono do certificado.
c) chave pública do dono do certificado.
d) algoritmo de assinatura.
e) requerente.

Nesta questão, vemos uma série de elementos que compõem o


certificado digital. A alternativa que eu espero que você não somente tenha
achado errado, mas achado um absurdo, é a alternativa b). A chave
privada NUNCA É REVELADA!

40. (FCC – Câmara dos Deputados – Analista de Informática


– 2007) Um certificado digital é:

I – Um arquivo eletrônico que contém a identificação de uma pessoa


ou instituição.
II – Equivalente ao RG ou CPF de uma pessoa.
III – O mesmo que uma assinatura digital.
Está correto o que consta em:

a) I apenas;
b) III apenas;
c) I e II apenas;
d) I e III apenas;
e) I, II e III.

O certificado digital não é a assinatura digital! A assinatura é um código


que acompanha uma mensagem, que comprova a autoria da mensagem.
O certificado, por sua vez, pode ser comparado a um documento, que
assegura a legitimidade do autor da mensagem. Tranquilo?

Alternativa c).

Prof. Victor Dalton


www.estrategiaconcursos.com.br 87 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

41. (FCC – INFRAERO – Analista de Sistemas – Rede e


Suporte – 2011) Em relação à assinatura digital, é INCORRETO afirmar:

a) Quando um usuário usa a chave pública do emitente para decifrar


uma mensagem, ele confirma que foi aquele emitente e somente aquele
emitente quem enviou a mensagem, portanto, a assinatura é autêntica.
b) O documento assinado não pode ser alterado: se houver qualquer
alteração no texto criptografado este só poderá ser restaurado com o uso
da chave pública do emitente.
c) A assinatura não pode ser forjada, pois somente o emitente conhece
sua chave secreta.
d) A assinatura é uma função do documento e não pode ser transferida
para outro documento, portanto, ela não é reutilizável.
e) O usuário destinatário não precisa de nenhuma ajuda do usuário
emitente para reconhecer sua assinatura e o emitente não pode negar ter
assinado o documento, portanto, a assinatura não pode ser repudiada.

A assinatura digital acompanha cada mensagem enviada pelo


remetente. Se o conteúdo muda, a assinatura também muda, e somente a
chave privada do remetente pode realizar essa modificação.

Portanto, a alternativa b) está errada.

42. (ESAF – Analista de Finanças e Controle – Infraestrutura


de TI – 2012) Infraestrutura de Chave Pública é o conjunto de
hardware,software, pessoas, políticas e procedimentos necessários para

a) instanciar, transmitir, apagar, publicar e revogar certificados


digitais.
b) montar, validar perante a Polícia Federal, distribuir e apagar
certificados digitais.
c) criar, gerenciar, armazenar, distribuir e revogar certificados digitais.
d) criar, instanciar, armazenar, restaurar e publicar certificados
digitais.
e) montar, gerenciar, armazenar, restaurar e publicar certificados
digitais.

Pessoal, vocês podem estar vendo uma questão de conteúdo, mas eu


vejo apenas uma questão de lógica.

Prof. Victor Dalton


www.estrategiaconcursos.com.br 88 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

A ICP-Brasil é um conjunto de entidades governamentais ou de


iniciativa privada, padrões técnicos e regulamentos, elaborados para
suportar um sistema criptográfico com base em certificados digitais e visa
assegurar as transações entre titulares de certificados digitais e detentores
de chaves públicas.
Para assegurar que uma determinada chave pertence a você é
necessário que uma Autoridade Certificadora (AC) confira sua identidade
e seus respectivos dados. Ela será a entidade responsável pela emissão,
suspensão, renovação ou revogação de seu certificado digital, além de ser
obrigada a manter sempre disponível a Lista de Certificados Revogados
(CRL).
A ICP–Brasil é formada por uma Autoridade Certificadora Raiz (AC
RAIZ) que é representada pelo Instituto Nacional de Tecnologia da
Informação (ITI), sendo este órgão responsável pela autentificação das
demais Autoridades Certificadoras, além de executar atividades de
fiscalização e auditoria das AC e Autoridades de Registro (AR) para que
possa certificar-se de que a entidade está seguindo todas as Políticas de
Certificação.

Ok,ok, sabemos o que é ICP-Brasil. Porém, eu DUVIDO que você


decore quais são os verbos das ações que a ICP realiza. Como falei antes,
a questão não é de conteúdo, é de lógica!
Diante de tantos verbos confusos, eu faria esta questão da seguinte
forma:
Dentre as várias coisas que a ICP faz, uma que eu tenho certeza é que
ela revoga os certificados (mesmo porque eles possuem prazo de validade,
e necessitam de renovação). Logo, descartei as letras b), d) e e).
A letra a) cita verbos como “apagar”, “instanciar”, “transmitir”,
enquanto a letra c) cita “gerenciar” e “distribuir”, verbos muito mais
sensatos para referenciar órgãos governamentais. Não estou certo?

Sim, estou. Letra c).

43. (FCC – TRT 24ª Região – Analista Judiciário – Tecnologia


da Informação - 2011) Consiste em uma chave pública mais um ID de
usuário do proprietário da chave, com o bloco inteiro assinado por um
terceiro que tenha credibilidade. A definição é de

a) assinatura digital e o terceiro referido corresponde ao signatário


recebedor da mensagem.

Prof. Victor Dalton


www.estrategiaconcursos.com.br 89 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

b) criptografia assimétrica e o terceiro referido corresponde ao


signatário recebedor da mensagem.

c) criptografia simétrica e o proprietário referido corresponde a uma


autoridade certificadora.

d) certificado de chave pública e o terceiro referido corresponde a uma


autoridade certificadora.

e) assinatura de chave pública e o proprietário referido corresponde a


uma autoridade certificadora.

Quanto ao terceiro com credibilidade, creio que não haja dúvidas de


sua parte que estamos falando da autoridade certificadora. Já a chave
pública mais um ID de usuário do proprietário da chave trata-se do próprio
certificado.

Resposta certa, alternativa d).

44. (FCC – TRT/1ª Região – Analista Judiciário – Tecnologia


da Informação - 2014) Um Analista em Tecnologia da Informação do TRT
da 1a Região deve escolher um algoritmo de criptografia assimétrica para
os serviços de acesso à rede de computadores do Tribunal. O Analista deve
escolher o

(A) AES.
(B) RSA.
(C) RC4.
(D) DES.
(E) IDEA.

O único algoritmo de criptografia assimétrico apresentado é o RSA,


que implementa a utilização de chaves públicas e privadas. Os demais são
simétricos.

Alternativa b).

Prof. Victor Dalton


www.estrategiaconcursos.com.br 90 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

45. (FCC – TCE/RS – Auditor Público Externo – Técnico em


Processamento de Dados – 2014) O sistema de Certificação Digital foi
introduzido para aumentar a segurança da informação transmitida entre
duas organizações, garantindo os aspectos de confidencialidade,
autenticidade e confiabilidade. Esse sistema foi proposto em decorrência do
problema de

(A) distribuição de chaves simétricas.


(B) ineficiência do algoritmo de criptografia de chaves assimétricas.
(C) simplicidade das chaves simétricas.
(D) ineficiência do algoritmo de criptografia de chaves simétricas.
(E) quebra do sigilo de chaves assimétricas.

O sistema de Certificação Digital, que implementa com segurança a


utilização chaves assimétricas e assinatura digital no envio de mensagens,
surgiu em virtude da dificuldade de distribuição de chaves simétricas.
Como o meio (Internet) é potencialmente inseguro, a única forma de trocar
chaves por ele é utilizar a criptografia assimétrica, além da Certificação
Digital para assegurar a autenticidade dos remetentes.

Resposta certa, alternativa a).

46. (FCC – TRT 16ª Região – Técnico Judiciário –Tecnologia


da Informação – 2014) Os certificados usados para confirmação da
identidade na web, correio eletrônico, transações online, redes privadas
virtuais, transações eletrônicas, informações eletrônicas, cifração de
chaves de sessão e assinatura de documentos com verificação da
integridade de suas informações, são os Certificados de Assinatura Digital

(A) A1, A2, A3 e A4.


(B) SHA-0, SHA-1, SHA-256 e SHA-512.
(C) B1, B2, B3, B4 e B5.
(D) S1, S2, S3 e S4.
(E) SHA-32, SHA-64, SHA-128 e SHA-256.

Na ICP-Brasil estão previstos dez tipos de certificado. São duas séries


de certificados. A série A (A1, A2, A3 e A4) reúne os certificados de
assinatura digital, utilizados na confirmação de identidade na Web,

Prof. Victor Dalton


www.estrategiaconcursos.com.br 91 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

em e-mail, em redes privadas virtuais (VPN) e em documentos


eletrônicos com verificação da integridade de suas informações.

Também certificados de assinatura digital, certificados do tipo T3 e


T4 somente podem ser emitidos para equipamentos das Autoridades de
Carimbo do Tempo (ACTs) credenciadas na ICP-Brasil.

A série S (S1, S2, S3 e S4), por sua vez, reúne os certificados de


sigilo, que são utilizados na codificação de documentos, de bases de
dados, de mensagens e de outras informações eletrônicas sigilosas. Os dez
tipos são diferenciados pelo uso, pelo nível de segurança e pela validade.

Portanto, a alternativa a) é a nosso item correto.

47. (FCC – ISS/SP – Auditor-Fiscal Tributário Municipal I –


Tecnologia da Informação – 2012) São algumas das medidas de
prevenção contra a infecção ou proliferação de vírus:

I. Desabilitar no programa leitor de e-mails a autoexecução de


arquivos anexados às mensagens.
II. Procurar utilizar, na elaboração de documentos, formatos menos
suscetíveis à propagação de vírus, tais como RTF, PDF ou PostScript.
III. Procurar não utilizar, no caso de arquivos comprimidos, o formato
executável.
IV. Não executar ou abrir arquivos recebidos por e-mail ou por outras
fontes antes de certificar-se de que esses arquivos foram verificados pelo
programa antivírus.

Está correto o que se afirma em


a) I, II e III, apenas.
b) I, II, III e IV.
c) I e III, apenas.
d) II, apenas.
e) II e III, apenas.

Tudo acima está correto. Alternativa b).

Prof. Victor Dalton


www.estrategiaconcursos.com.br 92 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

48. (FCC – Banco Central do Brasil – Analista Área 1 – 2006)


Um código malicioso que se altera em tamanho e aparência cada vez que
infecta um novo programa é um vírus do tipo

a) de boot.

b) de macro.

c) parasita.

d) camuflado.

e) polimórfico.

Revendo os tipos de vírus:

Vírus simples - só se replica é e fácil de ser detectado.

Vírus encriptado - esconde a assinatura fixa do vírus, embaralhando


o vírus.
Vírus Polimórficos - capazes de criar uma nova variante a cada
execução.

Vírus Metamórficos - capazes de mudar o próprio corpo, evitam


gerar instâncias parecidas com a anterior.

Vírus de macro - vinculam suas macros a modelos de documentos e


a outros arquivos.

Dentre as alternativas, só podemos marcar a alternativa e).

49. (Cesgranrio - BNDES - Analista de Suporte de Sistemas


–2010) Um conjunto de computadores está sendo utilizado para tirar de
operação um serviço de determinado órgão público. Essa situação configura
o ataque do tipo

a) Replay.
b) SQL Injection.
c) XSS.
d) Buffer Overflow.
e) DDoS.

Prof. Victor Dalton


www.estrategiaconcursos.com.br 93 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

Já falamos sobre isso! Você se lembra?

Um ataque de negação de serviço (DoS), é uma tentativa em tornar


os recursos de um sistema indisponíveis para seus utilizadores. Alvos
típicos são servidores web, e o ataque tenta tornar as páginas hospedadas
indisponíveis na rede. Não se trata de uma invasão do sistema, mas sim da
sua invalidação por sobrecarga. Os ataques de negação de serviço são
feitos geralmente de duas formas:
 Forçar o sistema vítima a reinicializar ou consumir todos os
recursos (como memória ou processamento por exemplo) de forma
que ele não pode mais fornecer seu serviço.
 Obstruir a mídia de comunicação entre os utilizadores e o
sistema vítima de forma a não comunicarem-se adequadamente.

Em um ataque distribuído de negação de serviço, um computador


mestre (denominado "Master") pode ter sob seu comando até milhares de
computadores ("Zombies" - zumbis). Neste caso, as tarefas de ataque de
negação de serviço são distribuídas a um "exército" de máquinas
escravizadas.

O ataque consiste em fazer com que os Zumbis (máquinas infectadas


e sob comando do Mestre) se preparem para acessar um determinado
recurso em um determinado servidor em uma mesma hora de uma mesma
data. Passada essa fase, na determinada hora, todos os zumbis (ligados e
conectados à rede) acessarão ao mesmo recurso do mesmo servidor. Como

Prof. Victor Dalton


www.estrategiaconcursos.com.br 94 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

servidores web possuem um número limitado de usuários que pode atender


simultaneamente ("slots"), o grande e repentino número de requisições de
acesso esgota esse número de slot, fazendo com que o servidor não seja
capaz de atender a mais nenhum pedido.
Destaco ainda que todo ataque de DDoS foi precedido de alguma outra
forma de ataque. As máquinas “zumbis”, ou escravas, são máquinas de
usuários comuns que se deixaram infectar anteriormente por algum
malware, como um bot.

Sendo assim, a resposta é a letra e).

50. (FCC – MPE/AP – Técnico Ministerial – Informática -


2012) Códigos maliciosos (malwares) são programas que objetivam
executar ações danosas e atividades maliciosas em um computador. Neste
contexto encontram-se bots e botnets, sobre os quais é correto afirmar:

a) Botnet é um software malicioso de monitoramento de rede que tem


a função de furtar dados que transitam pela rede e, normalmente, tornar a
rede indisponível disparando uma grande carga de dados direcionados ao
servidor da rede.

b) Bot é um programa que dispõe de mecanismos de comunicação


com o invasor e possui um processo de infecção e propagação igual ao do
vírus, ou seja, não é capaz de se propagar automaticamente.

c) Um computador infectado por um bot costuma ser chamado de


attack base, pois serve de base para o atacante estabelecer suas ações
maliciosas. Também pode ser chamado de spam host, pois o bot instalado
tem o objetivo de enviar infinitamente spams para a caixa de e-mail de
quem é vítima do ataque.

d) A comunicação entre o invasor e o computador infectado pelo bot


pode ocorrer exclusivamente via redes do tipo P2P. Ao se comunicar, o
invasor pode enviar instruções para que ações maliciosas sejam
executadas, como desferir ataques, furtar dados do computador infectado
e enviar spam.

e) Algumas das ações maliciosas que costumam ser executadas por


intermédio de botnets são: ataques de negação de serviço, propagação de
códigos maliciosos, coleta de informações de um grande número de
computadores, envio de spam e camuflagem da identidade do atacante.

Prof. Victor Dalton


www.estrategiaconcursos.com.br 95 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

Relembrando:

Bot e Botnet: Bot é um programa que dispões de mecanismos com o


invasor que permite que ele seja controlado remotamente. Propaga-se de
maneira similar ao worm.
O computador infectado por um bot pode ser chamado de zumbi, pois
pode ser controlado remotamente, sem o conhecimento do dono. Por
exemplo, zumbis podem ser utilizados para realizar ataques DDos e para
envio de spam.
Botnet é o nome dado a uma rede de Bots.

Agora, analisemos as alternativas:

a) Quem furta dados que trafegam por uma rede são os sniffers, e
quem indisponibiliza uma rede são os ataques DoS ou DDoS.

b) Quase tudo certo, mas o bot pode se propagar automaticamente,


semelhante a um worm;

c) Errado. Uma máquina atacada por um bot é uma máquina zumbi,


e caso ela venha a ser um spam host, seu objetivo é mandar
spams para outros, e não para si mesmo;

d) Não há exclusividade para redes P2P. Pode ser via canais de IRC,
servidores Web, P2P, entre outros. Errada;

e) Correta. Uma máquina zumbi pode ser utilizada para diversos fins,
como os exemplificados.

51. (FCC – TST – Analista Judiciário – Tecnologia da


Informação - 2012) Vírus de computador e outros programas maliciosos
(Malwares) agem de diferentes formas para infectar e provocar danos em
computadores. O Malware que age no computador capturando as ações e
as informações do usuário é denominado

a) Cavalo de Troia.

b) Keyloggers.

c) Backdoors.

d) Spyware.

e) Worm.

Prof. Victor Dalton


www.estrategiaconcursos.com.br 96 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

Capturando informações e ações do usuário, ou seja, espionando o


usuário: spyware. Keyloggers são um subtipo de spyware, logo, a
alternativa d) é a mais abrangente.

52. (FCC – TRT/6ª Região – Técnico Judiciário – Tecnologia


da Informação - 2012) Considere:

Em relação a malwares e com base na notícia apresentada, é correto


afirmar:

a) Trata-se de uma notícia alarmista e falsa, pois os computadores


Mac são imunes a este tipo de ataque.

b) Caso seja fornecida a senha, o usuário perderá sua máquina, pois


o Flashback irá destruir o disco rígido.

c) Certamente empresas especializadas podem oferecer soluções para


desinfectar as máquinas Mac.

d) Dificilmente uma empresa, mesmo especializada, conseguirá


oferecer soluções de desinfecção para máquinas Mac.

e) A Apple certamente irá à falência depois de uma notícia como esta.

Questão mais de bom senso do que de conhecimento, não?

Alternativa c).

53. (FCC – TRT/6ª Região – Técnico Judiciário – Tecnologia


da Informação - 2012) O termo malware é uma denominação genérica
para designar software projetado para causar danos a quem o executa.
Software assim pode ganhar acesso a um computador através dos
seguintes meios, EXCETO
Prof. Victor Dalton
www.estrategiaconcursos.com.br 97 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

a) um arquivo .mp3 que infecta o sistema ao ser tocado.

b) um arquivo .doc que infecta o sistema ao ser aberto no editor.

c) uma extensão do navegador que infecta o sistema ao ser


executada.

d) um programa executável que infecta o sistema ao ser executado.

e) uma arquivo .xls que infecta o sistema ao ser aberto.

Arquivos de música, como mp3, ou de imagens, como jpg, png, não


contêm vírus. Plugins de navegador, programas executáveis ou
documentos, esses sim estão sujeitos a malware.

Alternativa a).

54. (FCC – MPE/PE – Analista Ministerial – Informática -


2012) Sobre Cavalo de Tróia, é correto afirmar:

a) Consiste em um conjunto de arquivos .bat que não necessitam ser


explicitamente executados.

b) Contém um vírus, por isso, não é possível distinguir as ações


realizadas como consequência da execução do Cavalo de Tróia
propriamente dito, daquelas relacionadas ao comportamento de um vírus.

c) Não é necessário que o Cavalo de Tróia seja executado para que


ele se instale em um computador. Cavalos de Tróia vem anexados a
arquivos executáveis enviados por e-mail.

d) Não instala programas no computador, pois seu único objetivo não


é obter o controle sobre o computador, mas sim replicar arquivos de
propaganda por e-mail.

e) Distingue-se de um vírus ou de um worm por não infectar outros


arquivos, nem propagar cópias de si mesmo automaticamente.

Esse é um dos tipos mais importantes!

Cavalo de Tróia: programas impostores, arquivos que se passam por


um programa desejável, mas que, na verdade, são prejudiciais, pois

Prof. Victor Dalton


www.estrategiaconcursos.com.br 98 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

executam mais funções além daquelas que aparentemente ele foi


projetado. Contêm códigos maliciosos que, quando ativados, causam a
perda ou até mesmo o roubo de dados. Não se replicam.

Portanto, a alternativa e) é a única correta.

55. (FUNCAB – MPE/RO – Analista – Suporte de Informática


- 2012) Os programas keyloggers e screenloggers são considerados
programas do tipo:

a) adware

b) cavalo de troia.

c) spyware

d) worms

e) hoaxes

Spyware. Simples assim.

Alternativa c).

56. (FCC – TRT/14ª Região – Analista Judiciário – Tecnologia


da Informação - 2011) Analise as seguintes características de software:

I. Especificamente projetado para apresentar propagandas, quer por


intermédio de um browser quer por meio de algum outro programa
instalado.

II. Monitorar atividades de um sistema e enviar as informações


coletadas para terceiros.

De acordo com cgi.br, I e II são tipos de software categorizados,


respectivamente, como

a) Trojan e worm.

b) adware e worm.

c) adware e spyware.

Prof. Victor Dalton


www.estrategiaconcursos.com.br 99 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

d) spyware e trojan.

e) phishing e spam.

Falou em propaganda, pensou adware (ad – advertising);

Falou em espionar pensou spyware.

Alternativa c).

57. (FCC – MPE/AM – Agente de Apoio – Manutenção e


Suporte de Informática - 2013) Com relação à utilização correta de
ferramentas antimalware, considere:

I. É aconselhável utilizar programas antimalware on-line quando se


suspeitar que o antimalware local esteja desabilitado ou comprometido ou
quando se necessitar de uma segunda verificação.
II. Devem ser configuradas para verificar apenas arquivos executáveis,
pois são os únicos que podem conter vírus e outros tipos de malware.
III. Deve-se evitar executar simultaneamente diferentes programas
antimalware, pois eles podem entrar em conflito, afetar o desempenho do
computador e interferir na capacidade de detecção um do outro.
IV. Não é recomendável ter um antimalware instalado no computador,
pois os programas on-line além de serem mais eficientes, são suficientes
para proteger o computador.

Está correto o que se afirma APENAS em


a) I, II e III.
b) III e IV.
c) I e III.
d) II e IV.
e) I.

Analisemos as assertivas:

I. Perfeitamente razoável, e cópia da cartilha da Cert.br. Correto.

II. Opa! Diversas extensões, além do .exe, podem conter


malwares, como plug-ins, complementos e extensões para
navegadores wen, documentos, enfim.... A Cert.br recomenda

Prof. Victor Dalton


www.estrategiaconcursos.com.br 100 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

que o antimalware deve verificar TODA E QUALQUER extensão


de arquivo. Errada!

III. Correto. Também é cópia da cartilha.

IV. Precisa comentar? Errada!

Portanto, nossa resposta correta é a alternativa c).

58. (FCC – MPE/CE – Analista Ministerial – Ciências da


Computação - 2013) Há diferentes tipos de vírus. Alguns procuram
permanecer ocultos, infectando arquivos do disco e executando uma série
de atividades sem o conhecimento do usuário. Há outros que permanecem
inativos durante certos períodos, entrando em atividade apenas em datas
específicas. Alguns dos tipos de vírus mais comuns são apresentados nas
afirmativas abaixo. Assinale o que NÃO se trata de um vírus.

a) Propaga-se de celular para celular por meio de bluetooth ou de


mensagens MMS. A infecção ocorre quando um usuário permite o
recebimento de um arquivo infectado e o executa. Após infectar o celular,
pode destruir ou sobrescrever arquivos, remover ou transmitir contatos da
agenda, efetuar ligações telefônicas e drenar a carga da bateria.

b) Recebido como um arquivo anexo a um e-mail, que tenta induzir o


usuário a clicar sobre este arquivo para que seja executado. Quando entra
em ação, infecta arquivos e programas e envia cópias de si mesmo para os
e-mails encontrados nas listas de contatos gravadas no computador.

c) Escrito em linguagem de script, recebido ao acessar uma página


web ou por e-mail, como um arquivo anexo ou parte do próprio e-mail
escrito em HTML. Pode ser automaticamente executado, dependendo da
configuração do browser e do leitor de e-mails do usuário.

d) Escrito em linguagem de macro e tenta infectar arquivos


manipulados por aplicativos que utilizam esta linguagem como, por
exemplo, os que compõem o Microsoft Office.

e) Após infectar um computador, tenta se propagar e continuar o


processo de infecção. Para isso, necessita identificar os computadores alvos
para os quais tentará se copiar, o que pode ser feito efetuando uma
varredura na rede e identificando os computadores ativos.

Prof. Victor Dalton


www.estrategiaconcursos.com.br 101 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

Para esta questão, até o enunciado a FCC copiou da cartilha da Cert.br.


Interessante chamar a atenção para essa questão, pois ela mostra uma
outra forma de classificar os tipos de vírus, segundo a cartilha. Vejamos as
alternativas:

a) É o chamado vírus de telefone celular.

b) Vírus propagado por email.

c) Vírus de script.

d) Vírus de macro.

e) Worm! Achamos quem não é vírus.

59. (FCC – MPE/CE – Analista Ministerial – Ciências da


Computação - 2013) Ataques costumam ocorrer na Internet com
diversos objetivos, visando diferentes alvos e usando variadas técnicas.
Analise os exemplos e descrições abaixo.

1. Pode ser realizado por diversos meios, como pela geração de grande
tráfego de dados para uma rede, ocupando toda a banda disponível e
tornando indisponível qualquer acesso a computadores ou serviços desta
rede.

2. Uma pessoa recebe um e-mail, em nome de um site de comércio


eletrônico ou de uma instituição financeira, que tenta induzi-la a clicar em
um link. Ao fazer isto, é direcionada para uma página web falsa, semelhante
ao site que realmente deseja acessar, no qual são solicitados os dados
pessoais e financeiros da pessoa.

3. Consiste em alterar campos do cabeçalho de um e-mail, de forma a


aparentar que ele foi enviado de uma determinada origem quando, na
verdade, foi enviado de outra. Esta técnica é possível devido a
características do protocolo SMTP que permitem que campos do cabeçalho
sejam falsificados.

A associação entre a descrição e o tipo de ataque é expressa correta,


e respectivamente, em

a) 1-flood 2-rootkit 3-spyware

b) 1-DoS 2-phishing 3-spoofing

Prof. Victor Dalton


www.estrategiaconcursos.com.br 102 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

c) 1-DoS 2-adware 3-rootkit

d) 1-adware 2-DoS 3-spyware

e) 1-spyware 2-rootkit 3-DoS

Analisemos as assertivas:

1. É o ataque de negação de serviço, ou DoS;

2. É a “pescaria” (de leigos), ou phishing;

3. É o disfarce do remetente, ou spoofing.

Portanto, nossa alternativa correta é a letra b).

60. (FCC – ISS/SP – Auditor-Fiscal Tributário Municipal I –


Tecnologia da Informação – 2012) NÃO é um item a ser considerado
para a geração das cópias de segurança:

a) A produção de registros completos e exatos das cópias de segurança


e de documentação apropriada sobre os procedimentos de restauração da
informação é indispensável.

b) Os procedimentos de recuperação devem ser verificados e testados


regularmente, de forma a garantir que estes são efetivos e que podem ser
concluídos dentro dos prazos definidos nos procedimentos operacionais de
recuperação.

c) As mídias de cópias de segurança devem ser testadas regularmente


para garantir que sejam suficientemente confiáveis para uso de
emergência, quando necessário.

d) A extensão (por exemplo, completa ou diferencial) e a frequência


da geração das cópias de segurança devem refletir os requisitos de negócio
da organização.

e) As cópias de segurança devem ser armazenadas no local onde os


dados foram processados para facilitar um rápido processo de restauração
em caso de desastre.

Prof. Victor Dalton


www.estrategiaconcursos.com.br 103 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

Mais uma vez, tudo certo com as alternativas de a) a d).

E, na alternativa e), a “velha” pegadinha de armazenar cópias


próximo dos originais. Errado!

61. (UEL – SEFAZ/PR – Auditor Fiscal – 2012) Sobre o


algoritmo de criptografia RSA, considere as afirmativas a seguir.

I. A dificuldade no ataque ao RSA consiste em encontrar os fatores


primos de um número composto.

II. É baseado em criptografia simétrica.

III. É computacionalmente inviável gerar um par de chaves.

IV. Pode ser utilizado para autenticação do emissor e do receptor.

Assinale a alternativa correta.

a) Somente as afirmativas I e II são corretas.

b) Somente as afirmativas I e IV são corretas.

c) Somente as afirmativas III e IV são corretas.

d) Somente as afirmativas I, II e III são corretas.

e) Somente as afirmativas II, III e IV são corretas.

O RSA, na condição de algoritmo de chave assimétrica, trabalha com


chaves distintas para a cifragem e decifragem. Normalmente utilizam o
conceito de chave pública e chave privada, no qual a chave pública do
destinatário é utilizada para a criptografia da informação, e apenas a chave
privada consegue realizar a decifragem. Requer o emprego de algoritmos
complexos, como a utilização de números primos extensos.

A chave assimétrica teoricamente é segura, pois é


computacionalmente inviável encontrar os fatores primos de um número
composto muito grande. Entretanto, o RSA requer algoritmos complexos
para o seu devido emprego, logo, não é difícil imaginar que performance
seja um gargalo neste sistema.
Prof. Victor Dalton
www.estrategiaconcursos.com.br 104 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

Por trabalhar com os conceitos de chave pública e chave privada, o


RSA pode ser utilizado para autenticação do emissor e do receptor. Assim,
quando a entidade emissora quer enviar uma mensagem assinada
digitalmente a outra entidade, aquela terá que cifrar a mensagem com a
sua chave privada e de seguida cifrar o resultado com a chave pública da
entidade receptora. Por sua vez, a entidade receptora ao receber a
mensagem terá que decifrá-la primeiro com a sua chave privada e de
seguida decifrar este resultado com a chave pública da entidade emissora.

Portanto, apenas os itens I e IV são corretos. Alternativa b).

62. (FCC – TRT 16ª Região – Analista Judiciário – Tecnologia


da Informação – 2014) Após a instalação de um programa obtido na
internet, o navegador Internet Explorer utilizado por Luis apresenta uma
página inicial diferente da configurada por ele, além de exibir pop-up
indesejável. A partir dessas informações, pode-se concluir que o tipo de
malware que atacou o computador do Luis é

(A) Hijacker.

(B) Rootkit.

(C) Worm.

(D) Bootnet.

(E) Keylogger.

Hijacker é uma variação de Cavalo de Tróia que modifica a página


inicial do navegador e, muitas vezes, também abrem pop-ups indesejados.
O objetivo é vender os cliques que o usuário faz nessas páginas, o que gera
lucro para o criador do hijacker.

Resposta certa, alternativa a).

63. (FCC – TRT 2ª Região – Analista Judiciário – Tecnologia


da Informação – 2014) Independentemente do tipo de tecnologia usada,
ao se conectar um computador à rede ele pode estar sujeito a diversos
Prof. Victor Dalton
www.estrategiaconcursos.com.br 105 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

tipos de ataques. De acordo com a cartilha CERT. BR, está correto o que se
afirma em:

(A) Interceptação de tráfego consiste em adivinhar, por tentativa e


erro, um nome de usuário e senha e, assim, executar processos e acessar
sites, computadores e serviços com o nome e com os mesmos privilégios
deste usuário. Apesar deste ataque poder ser realizado manualmente, na
grande maioria dos casos, é realizado com o uso de ferramentas
automatizadas que permitem tornar o ataque bem mais efetivo.

(B) Varredura em redes é uma técnica que consiste em alterar o


conteúdo da página web de um site. Para ganhar mais visibilidade, chamar
mais atenção e atingir maior número de visitantes, geralmente os atacantes
alteram a página principal do site, porém, páginas internas também podem
ser alteradas.

(C) Um ataque de força bruta é uma técnica que consiste em efetuar


buscas minuciosas em redes, com o objetivo de identificar computadores
ativos e coletar informações. Com base nas informações coletadas é
possível associar possíveis vulnerabilidades aos serviços disponibilizados, e
aos programas instalados nos computadores ativos detectados.

(D) Desfiguração ou defacement é uma técnica que consiste em


inspecionar os dados trafegados em redes de computadores, por meio do
uso de programas específicos chamados de sniffers.

(E) Ataque de negação de serviço é uma técnica pela qual um atacante


utiliza um computador para tirar de operação um serviço, um computador
ou uma rede conectada à Internet. O objetivo é exaurir recursos e causar
indisponibilidades ao alvo. Quando isto ocorre, todas as pessoas que
dependem dos recursos afetados são prejudicadas, pois ficam
impossibilitadas de acessar ou realizar as operações desejadas.

Vamos reescrever as alternativas corretamente?

(A) Um ataque de força bruta consiste em adivinhar, por tentativa


e erro, um nome de usuário e senha e, assim, executar processos e acessar
sites, computadores e serviços com o nome e com os mesmos privilégios
deste usuário. Apesar deste ataque poder ser realizado manualmente, na
grande maioria dos casos, é realizado com o uso de ferramentas
automatizadas que permitem tornar o ataque bem mais efetivo.

Prof. Victor Dalton


www.estrategiaconcursos.com.br 106 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

(B) Desfiguração ou defacement é uma técnica que consiste em


alterar o conteúdo da página web de um site. Para ganhar mais visibilidade,
chamar mais atenção e atingir maior número de visitantes, geralmente os
atacantes alteram a página principal do site, porém, páginas internas
também podem ser alteradas.

(C) Varredura em redes é uma técnica que consiste em efetuar


buscas minuciosas em redes, com o objetivo de identificar computadores
ativos e coletar informações. Com base nas informações coletadas é
possível associar possíveis vulnerabilidades aos serviços disponibilizados, e
aos programas instalados nos computadores ativos detectados.

(D) Interceptação de tráfego é uma técnica que consiste em


inspecionar os dados trafegados em redes de computadores, por meio do
uso de programas específicos chamados de sniffers.

(E) Ataque de negação de serviço é uma técnica pela qual um atacante


utiliza um computador para tirar de operação um serviço, um computador
ou uma rede conectada à Internet. O objetivo é exaurir recursos e causar
indisponibilidades ao alvo. Quando isto ocorre, todas as pessoas que
dependem dos recursos afetados são prejudicadas, pois ficam
impossibilitadas de acessar ou realizar as operações desejadas.

Resposta certa, alternativa e).

64. (FCC – ALEPE – Analista Legislativo – Infraestrutura –


2014) Os programas antivírus:

I. Protegem contra phishing de páginas web quando o usuário está em


navegação utilizando livremente o browser.

II. Protegem contra trojan embarcado em uma aplicação quando o


usuário aceita a sua instalação em sua máquina.

III. Criptografam comunicações em rede, sejam elas por meio de envio


de mensagens ou navegação na Internet através de browser.

IV. Protegem contra códigos maliciosos embutidos em macros, as


quais são utilizadas por um software aplicativo ou utilitário do computador
do usuário.

V. Previnem a instalação de aplicativos infectados, no momento da


solicitação de sua instalação, ao gerarem um alerta sobre conteúdo
suspeito ou ao bloquearem a operação de instalação.
Prof. Victor Dalton
www.estrategiaconcursos.com.br 107 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

Está correto o que se afirma APENAS em

(A) I e II.

(B) II e III.

(C) III e IV.

(D) IV e V.

(E) II e V.

Antivírus são ferramentas muito úteis para proteger os computadores.


Entretanto, ele não pode:

I. Proteger contra phishing de páginas web quando o usuário


está em navegação utilizando livremente o browser, pois ele não
pode indicar para o usuário se um determinado site é verdadeiro, ou se é
um golpe;

II. Proteger contra trojan embarcado em uma aplicação quando


o usuário aceita a sua instalação em sua máquina - uma vez que o
usuário autorize a instalação de um aplicativo, se ele possuir um trojan
embarcado, o antivírus entenderá que o usuário permitiu tal
comportamento;

III. Criptografar comunicações em rede, sejam elas por meio de


envio de mensagens ou navegação na Internet através de browser
– o antivírus não realiza criptografia para o envio de mensagens pela rede.
Isso será feito por meio de algum protocolo comum a remetente e
destinatário, como o HTTPS, por exemplo.

Resposta certa, alternativa d).

65. (FCC – TRT 16ª Região – Técnico Judiciário –Tecnologia


da Informação – 2014) Considere o texto abaixo.

É a entidade subordinada à hierarquia da ICP-Brasil, responsável por


emitir, distribuir, renovar, revogar e gerenciar certificados digitais. Cabe
também a esta entidade emitir listas de certificados revogados (LCR) e
manter registros de suas operações sempre obedecendo às práticas
definidas na Declaração de Práticas de Certificação (DPC). Desempenha

Prof. Victor Dalton


www.estrategiaconcursos.com.br 108 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

como função essencial a responsabilidade de verificar se o titular do


certificado possui a chave privada que corresponde à chave pública que faz
parte do certificado. Cria e assina digitalmente o certificado do assinante,
onde o certificado emitido representa a declaração da identidade do titular,
que possui um par único de chaves (pública/privada). Na hierarquia dos
Serviços de Certificação Pública, esta entidade está subordinada às
entidades de nível hierarquicamente superior.

O texto refere-se à Autoridade

(A) Certificadora Raiz (AC Raiz).


(B) Gestora de Políticas da ICP-Brasil.
(C) de Registro (AR).
(D) de Validação de Chaves (AVC).
(E) Certificadora (AC).

Uma Autoridade Certificadora (AC) é uma entidade, pública ou


privada, subordinada à hierarquia da ICP-Brasil, responsável por emitir,
distribuir, renovar, revogar e gerenciar certificados digitais. Tem a
responsabilidade de verificar se o titular do certificado possui a chave
privada que corresponde à chave pública que faz parte do certificado. Cria
e assina digitalmente o certificado do assinante, onde o certificado emitido
pela AC representa a declaração da identidade do titular, que possui um
par único de chaves (pública/privada).
Cabe também à AC emitir listas de certificados revogados (LCR) e
manter registros de suas operações sempre obedecendo às práticas
definidas na Declaração de Práticas de Certificação (DPC). Além de
estabelecer e fazer cumprir, pelas Autoridades Registradoras (ARs) a ela
vinculadas, as políticas de segurança necessárias para garantir a
autenticidade da identificação realizada.

Portanto, alternativa e).

66. (FCC – TRF 3ª Região – Técnico Judiciário –Informática


– 2014) Considere as seguintes descrições dos ataques que podem ser
realizados por meio da internet:

I. Ocorrem quando dados não confiáveis são enviados para um


interpretador como parte de um comando ou consulta SQL. Os dados

Prof. Victor Dalton


www.estrategiaconcursos.com.br 109 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

manipulados pelo atacante podem iludir o interpretador para que este


execute comandos indesejados ou permita o acesso a dados não
autorizados.

II. Ocorrem sempre que uma aplicação recebe dados não confiáveis e
os envia ao navegador sem validação ou filtro adequados. Esse tipo de
ataque permite aos atacantes executarem scripts no navegador da vítima
que podem “sequestrar” sessões do usuário, desfigurar sites ou
redirecionar o usuário para sites maliciosos.

III. Força a vítima, que possui uma sessão ativa em um navegador, a


enviar uma requisição HTTP forjada, incluindo o cookie da sessão da vítima
e qualquer outra informação de autenticação incluída na sessão, a uma
aplicação web vulnerável. Esta falha permite ao atacante forçar o
navegador da vítima a criar requisições que a aplicação vulnerável aceite
como requisições legítimas realizadas pela vítima.

As descrições I, II e III correspondem, respectivamente, a ataques

(A) de Injeção, Cross-Site Scripting e Quebra de Autenticação e


Gerenciamento de Sessão.

(B) de Redirecionamentos e encaminhamentos inválidos, de Exposição


de Dados Sensíveis e Cross-Site Request Forgery.

(C) Cross-Site Scripting, Cross-Site Request Forgery e de Injeção.

(D) de Injeção, Cross-Site Scripting e Cross-Site Request Forgery.

(E) Cross-Site Scripting, de Injeção e Cross-Site Request Forgery.

I. Ocorrem quando dados não confiáveis são enviados para um


interpretador como parte de um comando ou consulta SQL. Os dados
manipulados pelo atacante podem iludir o interpretador para que este
execute comandos indesejados ou permita o acesso a dados não
autorizados – SQL Injection;

II. Ocorrem sempre que uma aplicação recebe dados não confiáveis e
os envia ao navegador sem validação ou filtro adequados. Esse tipo de
ataque permite aos atacantes executarem scripts no navegador da vítima
que podem “sequestrar” sessões do usuário, desfigurar sites ou
redirecionar o usuário para sites maliciosos – XSS, ou Cross-Site
Scripting;

Prof. Victor Dalton


www.estrategiaconcursos.com.br 110 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

III. Força a vítima, que possui uma sessão ativa em um navegador, a


enviar uma requisição HTTP forjada, incluindo o cookie da sessão da vítima
e qualquer outra informação de autenticação incluída na sessão, a uma
aplicação web vulnerável. Esta falha permite ao atacante forçar o
navegador da vítima a criar requisições que a aplicação vulnerável aceite
como requisições legítimas realizadas pela vítima – Cross-Site Request
Forgery;

Resposta certa, alternativa d).

67. (FCC – SEFAZ/PE – Auditor Fiscal – 2014) A certificação


digital é uma forma de demonstrar e certificar a identidade do titular da
assinatura digital. É correto afirmar que

(A) o certificado digital pode ser obtido junto a qualquer instituição


pública estadual ou federal, autorizada pelo governo a realizar operações
financeiras e/ou fiscais.

(B) a entidade subordinada à hierarquia da ICP-Brasil, responsável por


emitir, distribuir, renovar, revogar e gerenciar certificados digitais, é
chamada de Autoridade Certificadora.

(C) assinatura digital é a operação de criptografar um documento com


o uso de uma chave criptográfica pública, que atribui ao documento
integridade e disponibilidade.

(D) a assinatura digital é uma senha do contribuinte que permite a


identificação do autor de um documento submetido à Secretaria da
Fazenda.

(E) o contabilista de uma empresa deve ficar com o certificado digital


do contribuinte para assinar documentos por ele na sua ausência e/ou em
caso de urgência.

A Autoridade Certificadora é aquela responsável por emitir,


renovar, revogar e gerenciar certificados digitais. As demais sentenças são
fictícias.

Resposta certa, alternativa b).

Prof. Victor Dalton


www.estrategiaconcursos.com.br 111 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

68. (FCC – SEFAZ/PE – Auditor Fiscal – 2014) Reúne os


certificados de assinatura digital, utilizados na confirmação de identidade
na web, em e-mails, em Redes Privadas Virtuais (VPNs) e em documentos
eletrônicos com verificação da integridade das informações.

II. Reúne os certificados de sigilo, que são utilizados na codificação de


documentos, de bases de dados, de mensagens e de outras informações
eletrônicas sigilosas.

As séries de certificados I e II são categorizadas, respectivamente, de

(A) A e B.

(B) B e D.

(C) A e F.

(D) A e S.

(E) B e C.

Na ICP-Brasil estão previstos dez tipos de certificado. São duas séries


de certificados. A série A (A1, A2, A3 e A4) reúne os certificados de
assinatura digital, utilizados na confirmação de identidade na Web,
em e-mail, em redes privadas virtuais (VPN) e em documentos
eletrônicos com verificação da integridade de suas informações.

A série S (S1, S2, S3 e S4), por sua vez, reúne os certificados de


sigilo, que são utilizados na codificação de documentos, de bases de
dados, de mensagens e de outras informações eletrônicas sigilosas. Os dez
tipos são diferenciados pelo uso, pelo nível de segurança e pela validade.

Portanto, a alternativa d) é a nosso item correto.

69. (FCC – SEFAZ/PE – Auditor Fiscal – 2014) O método


criptográfico normalmente utilizado para gerar assinaturas digitais que,
quando aplicado sobre uma informação, independentemente do tamanho
que ela tenha, gera um resultado único e de tamanho fixo é chamado de
Prof. Victor Dalton
www.estrategiaconcursos.com.br 112 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

(A) hash.

(B) patch.

(C) hoax.

(D) compact brief.

(E) abstract key.

Assinatura digital baseada em funções de hash

Este esquema baseia-se nas funções de sentido único (one-way hash


functions) e tem como base a cifragem de uma parte, arbitrariamente
longa, da mensagem, obtendo como resultado o chamado message-
digest(resumo). Esse resumo possui tamanho fixo, independentemente do
tamanho da mensagem.

Resposta certa, alternativa a).

EXERCÍCIOS COMENTADOS CESPE

1. (CESPE – DPU – Analista - 2016) Malwares são mecanismos


utilizados para evitar que técnicas invasivas, como phishing e
spams, sejam instaladas nas máquinas de usuários da internet.

Questão completamente errada. Malware é o nome “gênero” para as


mais diversas espécies de programas maliciosos para computador. Além
disso, phishing não é um programa que pode ser instalado no computador
do usuário, mas sim um nome dado a um tipo de ataque que tem por
finalidade extrair dados da vítima.

Prof. Victor Dalton


www.estrategiaconcursos.com.br 113 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

2. (CESPE – DPU – Analista - 2016) Integridade,


confidencialidade e disponibilidade da informação, conceitos
fundamentais de segurança da informação, são adotados na
prática, nos ambientes tecnológicos, a partir de um conjuntos de
tecnologias como, por exemplo, criptografia, autenticação de
usuários e equipamentos redundantes.

Os exemplos citados estão alinhados aos princípios fundamentais de


segurança da informação citados. Equipamentos redundantes garantem a
disponibilidade dos recursos, enquanto a autenticação e a criptografia, em
conjunto, podem garantir a integridade e a confidencialidade dos dados.
Correto.

3. (CESPE – INSS – Técnico de Seguro Social - 2016) A infecção


de um computador por vírus enviado via correio eletrônico pode se
dar quando se abre arquivo infectado que porventura esteja
anexado à mensagem eletrônica recebida.

Se o usuário ABRE um arquivo com vírus, a execução do arquivo


infectado aciona o vírus. Correta!

4. (CESPE – TCU – Auditor - Tecnologia da Informação - 2015)


Confidencialidade é a garantia de que somente pessoas autorizadas
tenham acesso à informação, ao passo que integridade é a garantia
de que os usuários autorizados tenham acesso, sempre que
necessário, à informação e aos ativos correspondentes.

O conceito de confidencialidade está correto, mas o segundo conceito


é o de disponibilidade. Integridade é a garantia que a informação não foi
alterada, e permanece íntegra. Errado!

Prof. Victor Dalton


www.estrategiaconcursos.com.br 114 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

5. (CESPE – TCU – Auditor - Tecnologia da Informação - 2015)


A autoridade de registro, além de ser a emissora de certificados e
listas de revogação de certificados, é um componente obrigatório
nas PKI e está associada ao registro das autoridades certificadoras.

A autoridade de registro não emite certificados, ela faz o “meio de


campo” entre a autoridade certificadora (esta sim emite certificados e
listas de certificados revogados) e o usuário. A AR pode estar fisicamente
localizada em uma AC ou ser uma entidade de registro remota. Errado!

6. (CESPE – FUB – Conhecimentos Básicos - 2015) Vírus é um


programa autossuficiente capaz de se propagar automaticamente
pelas redes enviando cópias de si mesmo de um computador para
outro.

Descrição bem didática de worm. Vírus não são auto propagáveis pela
rede, enviando cópias de si mesmo. Errado!

7. (CESPE – FUB – Nível Intermediário - 2015) Certificado


digital de email é uma forma de garantir que a mensagem enviada
possui, em anexo, a assinatura gráfica do emissor da mensagem.

O Certificado digital de email é um arquivo que assegura ao


destinatário do email que o remetente é legítimo. Essa “assinatura gráfica”
é ficção do examinador para confundir o candidato. Errado!

8. (CESPE – FUB – Nível Intermediário - 2015) A fim de evitar


a infecção de um computador por vírus, deve-se primeiramente
instalar uma versão atualizada de um antivírus, e somente depois
abrir os arquivos suspeitos anexados a emails.

Prof. Victor Dalton


www.estrategiaconcursos.com.br 115 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

Atenção! Não é porque você tem antivírus instalado é que você pode
abrir arquivos suspeitos. Pode ser que o antivírus não identifique o vírus e
você seja contaminado do mesmo jeito. NÃO SE RECOMENDA EM HIPÓTESE
NENHUMA abrir arquivos suspeitos. Errado!

9. (CESPE – FUB – Conhecimentos Básicos exceto cargo 2 -


2015) A função da autoridade certificadora é emitir certificado
digital de usuários da Internet.

Uma Autoridade Certificadora (AC) é uma entidade, pública ou privada,


subordinada à hierarquia da ICP-Brasil, responsável por emitir, distribuir,
renovar, revogar e gerenciar certificados digitais. Tem a
responsabilidade de verificar se o titular do certificado possui a chave
privada que corresponde à chave pública que faz parte do certificado. Cria
e assina digitalmente o certificado do assinante, onde o certificado emitido
pela AC representa a declaração da identidade do titular, que possui um
par único de chaves (pública/privada). Correto.

10. (CESPE – FUB – Conhecimentos Básicos exceto cargo 2 -


2015) O phishing é um procedimento que possibilita a obtenção de
dados sigilosos de usuários da Internet, em geral, por meio de
falsas mensagens de email.

O phishing normalmente é o primeiro passo para aplicar alguma fraude


financeira no usuário que cai nele. Via de regra, o objetivo é ter acesso a
dados bancários do usuário para tal finalidade. Correto.

11. (CESPE – STJ – Técnico Judiciário - 2015) Atualmente,


um dos procedimentos de segurança mais adotados pelos sítios é

Prof. Victor Dalton


www.estrategiaconcursos.com.br 116 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

chamado de captcha. As captchas mais conhecidas são as imagens


distorcidas de um código alfanumérico. Esse mecanismo é
considerado bastante seguro, mas não impede totalmente que
alguns programas automatizados preencham formulários na Web
como se fossem uma pessoa realizando, por exemplo, um cadastro
em um sítio de compras.

Comentário: Polêmica! A meu ver, A assertiva não apresenta


incorreções. Temos três sentenças:

Atualmente, um dos procedimentos de segurança mais adotados pelos


sítios é chamado de captcha. - Verdade, o captcha (Completely
Automated Public Turing Test to Tell Computers and Humans
Apart - teste de Turing público completamente automatizado para
diferenciação entre computadores e humanos) é um recurso comum em
sites, em locais que exigem interação humana com preenchimento de
formulários. Visualize um exemplo de captcha em

http://www.receita.fazenda.gov.br/Aplicacoes/Atrjo/ConsRest/Atual.a
pp/paginas/index.asp. Assim como no site da Receita Federal, órgãos
públicos e sites de empresas adotam este procedimento corriqueiro de
segurança para assegurarem que estão lidando com um humano, e não
com um robô.

As captchas mais conhecidas são as imagens distorcidas de um código


alfanumérico. - Também verdade. Existem outros tipos de captchas, como
os captchas matemáticos ou com imagens, mas os alfanuméricos
realmente são os mais tradicionais.

Esse mecanismo é considerado bastante seguro, mas não impede


totalmente que alguns programas automatizados preencham formulários
na Web como se fossem uma pessoa realizando, por exemplo, um cadastro
em um sítio de compras. - Também verdadeiro. De uma forma genérica,
não existe mecanismo 100% seguro, e para o captcha isto não é
diferente. Existem softwares de reconhecimento ótico de caracteres (OCR)
que tentam identificar o conteúdo do captcha e burlá-lo. [ATUALIZAÇÃO]
Em pesquisas na internet, encontrei algumas correntes que garantem ser
impossível que um bot burle um site com captcha, estando aí o erro da
questão. Nunca se diz nunca em segurança da informação, mas TALVEZ o
erro esteja aqui.

Prof. Victor Dalton


www.estrategiaconcursos.com.br 117 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

Enfim, entendo que a sentença está correta, mas o gabarito final da


banca foi Errado.

12. (CESPE – TCU – Técnico Federal de Controle Externo -


2015) Um dos procedimentos de segurança quanto à navegação na
Internet é sair das páginas que exigem autenticação por meio dos
botões ou links destinados para esse fim, como, por exemplo, Sair,
Desconectar, Logout etc., e não simplesmente fechar o browser.

Por meio desse procedimento, nós garantimos que a “sessão” foi


encerrada tanto do lado do usuário quanto do lado do servidor. Relaxar
neste procedimento pode fazer que um terceiro malicioso reabra a janela
fechada em seu navegador logo após você sair do computador, por
exemplo, ou mesmo sofrer um ataque mais elaborado como session
hijacking, por exemplo. Correto.

13. (CESPE – TCU – Técnico Federal de Controle Externo -


2015) O vírus do tipo stealth, o mais complexo da atualidade, cuja
principal característica é a inteligência, foi criado para agir de
forma oculta e infectar arquivos do Word e do Excel. Embora seja
capaz de identificar conteúdos importantes nesses tipos de
arquivos e, posteriormente, enviá-los ao seu criador, esse vírus não
consegue empregar técnicas para evitar sua detecção durante a
varredura de programas antivírus.

O vírus stealth, realmente o mais complexo da atualidade, emprega


técnicas para evitar sua detecção durante a varredura de programas
antivírus, como, por exemplo, temporariamente se auto remover da
memória. São os vírus de macro que infectam arquivos do Word/Excel.
Errado!

14. (CESPE – TCU – Técnico Federal de Controle Externo -


2015) O firewall é capaz de proteger o computador tanto de
ataques de crackers quanto de ataques de vírus.

Prof. Victor Dalton


www.estrategiaconcursos.com.br 118 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

Esta questão é uma das mais polêmicas da história recente CESPE. De


fato, o firewall protege o computador de ataques oriundos da rede (o que
incluem ataques de crackers). Porém, vírus são arquivos que infectam o
computador de forma local. Um firewall nada pode fazer contra um arquivo
que já esteja dentro de uma máquina, ou que venha de um pendrive, por
exemplo.

Porém, a banca considerou a questão como correta, mesmo após os


recursos. Uma visão “benevolente” é afirmar que o firewall é “capaz” de
proteger de um ataque de vírus quando ele vem pela rede.

Eu NÃO CONCORDO com essa abordagem, pois uma coisa é um


arquivo malicioso vem pela rede, outra coisa é quando ele ataca um
computador. O vírus é vírus apenas quando ele é executado. Enfim, fica
aqui a polêmica...

15. (CESPE – MPE/PI – Cargos 1 a 5 e 7 a 9 - 2011) Caso


computadores estejam conectados apenas a uma rede local, sem
acesso à Internet, a instalação de firewall em cada computador da
rede é suficiente para evitar a contaminação por vírus de um
computador dessa rede.

O CESPE costuma repetir essa ideia. Firewalls não impedem a


contaminação por vírus! Além do mais, não há necessidade de instalação
de Firewalls em cada computador da empresa. Firewalls devem ser
instalados em pontos da rede que sejam vulneráveis, como, por exemplo,
no proxy que fornece o acesso à Internet, ou nos pontos que fornecem
acesso à rede sem fio (wireless). Errado!

16. (CESPE – MP/ENAP – Técnico Federal de Controle


Externo - 2015) Trackwares são programas que rastreiam a
atividade do sistema, reúnem informações do sistema ou rastreiam
os hábitos do usuário, retransmitindo essas informações a
organizações de terceiros.

Trackwares são programas que rastreiam a atividade do sistema,


reúnem informações do sistema ou rastreiam os hábitos do usuário,
Prof. Victor Dalton
www.estrategiaconcursos.com.br 119 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

retransmitindo essas informações a organizações de terceiros. As


informações obtidas por esses programas não são confidenciais nem
identificáveis. Os programas de trackware são instalados com o
consentimento do usuário e também podem estar contidos em pacotes de
outro software instalado pelo usuário. Grandes empresas como Microsoft,
Google e Apple sugerem a instalação de trackwares o tempo todo para o
usuário.

Você já se deparou com alguma mensagem do tipo “Deseja enviar seus


dados anonimamente à XXX, para que possamos continuar melhorando
nosso software”? Então. Trackware. Correto.

17. (CESPE – TJDFT – Analista Judiciário - 2015) Para que se


utilize o firewall do Windows, mecanismo que auxilia contra
acessos não autorizados, a instalação de um equipamento de
hardware na máquina é desnecessária.

Existem firewalls de software e outros que combinam hardware e


software. O Windows Firewall não exige hardware adicional para funcionar,
sendo ferramenta integrante do Windows. Correto.

18. (CESPE – TJDFT – Analista Judiciário - 2015) Vírus do


tipo boot, quando instalado na máquina do usuário, impede que o
sistema operacional seja executado corretamente.

Vírus de boot são perigosíssimos, pois eles podem impedir até mesmo
que o sistema operacional seja inicializado. Correto.

19. (CESPE – TJDFT – Analista Judiciário - 2015) Na


segurança da informação, controles físicos são soluções
implementadas nos sistemas operacionais em uso nos
computadores para garantir, além da disponibilidade das
informações, a integridade e a confidencialidade destas.

Prof. Victor Dalton


www.estrategiaconcursos.com.br 120 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

Em segurança da informação, controles físicos dizem respeito à


segurança aplicada às instalações. Como, por exemplo, uma sala com um
segurança na frente, que só deixa passar pessoas com determinados
crachás, ou mesmo uma porta que só abra com biometria, por meio da
impressão digital da pessoa com nível de autorização para entrar lá.
Errado.

20. (CESPE – TJDFT – Analista Judiciário - 2015) As


entidades denominadas certificadoras são entidades reconhecidas
pela ICP Brasil (Infraestrutura de Chaves Públicas) e autorizadas a
emitir certificados digitais para usuários ou instituições que
desejam utilizá-los.

Autoridades Certificadoras são responsáveis pela emissão de


certificados digitais. Correto.

21. (CESPE – TJDFT – Analista Judiciário - 2015) Uma virtual


private network é um tipo de rede privada dedicada exclusivamente
para o tráfego de dados seguros e que precisa estar segregada dos
backbones públicos da Internet. Em outras palavras, ela dispensa a
infraestrutura das redes comuns.

Uma rede privada virtual é uma rede privativa “tunelada” dentro da


própria internet. Ou seja, essa rede não está segregada da internet. Pelo
contrário, utiliza a mesma estrutura das redes comuns. Porém, seu acesso
é exclusivo aos integrantes da VPN. Errado.

22. (CESPE – TRE/RS – Técnico - 2015) Para garantir a


segurança da informação, é suficiente instalar e manter atualizados
antivírus.

Prof. Victor Dalton


www.estrategiaconcursos.com.br 121 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

Uma utilização segura do computador pode ser tão ou mais importante


do que apenas ter antivírus atualizados. Errada.

23. (CESPE – TRE/RS – Técnico - 2015) Não há diferença —


seja conceitual, seja prática — entre worms e vírus; ambos são
arquivos maliciosos que utilizam a mesma forma para infectar
outros computadores.

Para Fixar
Vírus Worm
Programa ou parte de um Programa
programa de computador
Propaga-se inserindo cópias de si Propaga - se automaticamente
mesmo e se tornando parte de pelas redes, enviando copias de si
outros programas e arquivos mesmo de computador para
computador
Depende da execução do programa Execução direta de suas cópias ou
ou arquivo hospedeiro para ser pela exploração automática de
ativado vulnerabilidades existentes em
programas instalados em
computadores

Errada.

24. (CESPE – TRE/RS – Técnico - 2015) Rootkits é um


arquivo que infecta o computador sem causar maiores danos, ainda
que implique a pichação da tela inicial do navegador.

Rootkit é um conjunto de programas e técnicas que esconde e


assegura a presença de um invasor ou código malicioso em um
computador comprometido. O objetivo do rootkit não é obter acesso
Prof. Victor Dalton
www.estrategiaconcursos.com.br 122 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

privilegiado, mas mantê-lo, apagando vestígios da invasão. Causa danos


SIM. Errada.

25. (CESPE – TRE/RS – Técnico - 2015) A segurança da


informação em uma organização depende integralmente de a sua
área de tecnologia optar pela adoção de recursos de segurança
atualizados, como firewall e antivírus.

Procedimentos de segurança adequados também são muito


importantes quando falamos de segurança da informação. De nada adianta
um firewall se a pessoa, por telefone, passa informações indevidas a
terceiros, por exemplo. Errada.

26. (CESPE – TRE/RS – Técnico - 2015) Em segurança da


informação, denominam-se engenharia social as práticas utilizadas
para obter acesso a informações importantes ou sigilosas sem
necessariamente utilizar falhas no software, mas, sim, mediante
ações para ludibriar ou explorar a confiança das pessoas.

A engenharia social compreende práticas utilizadas para obter


acesso a informações importantes ou sigilosas em organizações ou
sistemas por meio da enganação ou exploração da confiança das pessoas.
Para isso, o golpista pode se passar por outra pessoa, assumir outra
personalidade, fingir que é um profissional de determinada área, podendo,
inclusive, criar falsos relacionamentos de amizade para obter informações
estratégicas de uma organização. É uma forma de entrar em organizações
que não necessita da força bruta ou de erros em máquinas. Explora as
falhas de segurança das próprias pessoas que, quando não treinadas para
esses ataques, podem ser facilmente manipuladas. Correto.

27. (CESPE – ANATEL – Analista Administrativo – Suporte e


Infraestrutura de TI - 2014) Para que a criptografia de chave
pública seja considerada segura, uma das premissas é que o
conhecimento do algoritmo, o conhecimento de uma das chaves e
Prof. Victor Dalton
www.estrategiaconcursos.com.br 123 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

a disponibilidade de amostras de texto cifrado sejam, em conjunto,


insuficientes para determinar a outra chave.

Mesmo conhecendo o algoritmo e uma das chaves, normalmente a


pública, é matematicamente inviável descobrir a chave privada para
decifrar uma mensagem. Consolidados estes conceitos, a criptografia de
chave pública é segura. Correto.

28. (CESPE – ANATEL – Analista Administrativo – Suporte e


Infraestrutura de TI - 2014) A assinatura eletrônica vinculada a um
certificado emitido no âmbito da ICP-Brasil tem função específica e
restrita de determinar a não violação do conteúdo de um
documento assinado eletronicamente, e não conduz à presunção de
autenticidade do emissor do documento subscrito.

Um certificado válido emitido no âmbito da ICP-Brasil também


assegura a autenticidade do emissor do documento. Errado!

(CESPE – ANTAQ – Analista Administrativo – Infraestrutura de


TI - 2014) No que diz respeito aos fundamentos de criptografia e
certificação digital, julgue os itens subsecutivos. Nesse contexto, considere
que a sigla AC, sempre que utilizada, se refira a autoridade certificadora.

29. Para a obtenção da chave pública de uma AC, utiliza-se


um esquema de gerenciamento de chaves públicas, denominado
infraestrutura de chaves públicas (ICP). No Brasil, a ICP-Brasil é
organizada de forma hierárquica, em que uma AC raiz certifica
outras ACs e, posteriormente, estas, bem como a AC raiz, emitem
certificados para os usuários finais.

90% da sentença está correta. O único equívoco foi insinuar que a AC


raiz também emite certificados aos usuários finais. Ela emite somente para
as outras ACs imediatamente abaixo do seu nível. Errado!

Prof. Victor Dalton


www.estrategiaconcursos.com.br 124 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

30. Cada certificado digital emitido por uma AC é específico


para determinado usuário final e pode ser revogado a qualquer
momento pela respectiva AC.

Correto.

31. Na criptografia simétrica, a mesma chave compartilhada


entre emissor e receptor é utilizada tanto para cifrar quanto para
decifrar um documento. Na criptografia assimétrica, utiliza-se um
par de chaves distintas, sendo a chave pública do receptor utilizada
pelo emissor para cifrar o documento a ser enviado;
posteriormente, o receptor utiliza sua chave privada para decifrar
o documento.

Explicação bem didática de ambas as criptografias. Correto.

32. A utilização adequada dos mecanismos de criptografia


permite que se descubra qualquer alteração em um documento por
partes não autorizadas, o que garante a confidencialidade do
documento.

A garantia de não alteração de um documento se relaciona com o


princípio da integridade. Confidencialidade é a garantia de que a
informação será acessada somente por quem de direito. Errado!

33. Para a utilização de criptografia assimétrica, a


distribuição das chaves públicas é comumente realizada por meio
de certificado digital, que contém o nome do usuário e a sua chave
pública, sendo a autenticidade dessas informações garantida por
assinatura digital de uma terceira parte confiável, denominada
Autoridade Certificadora.

Prof. Victor Dalton


www.estrategiaconcursos.com.br 125 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

A Autoridade Certificadora garante a autenticidade do dono do


Certificado e, ao fornecer a chave pública, garante que somente o dono do
certificado pode decifrar as mensagens que lhe forem enviadas. Correto.

34. (CESPE – ANTAQ – Analista Administrativo –


Infraestrutura de TI - 2014) O ataque cross-site scripting,
executado quando um servidor web inclui, nos dados de uma
página web enviada para um usuário legítimo, um conjunto de
dados que tenham sido previamente recebidos de um usuário
malicioso, permite que se roube de um usuário legítimo senhas,
identificadores de sessões e cookies.

Correto.

35. (CESPE – ANTAQ – Analista Administrativo –


Infraestrutura de TI - 2014) Em um ataque de DDoS, que objetiva
deixar inacessível o recurso computacional para os usuários
legítimos, um computador mestre controla milhares de
computadores zumbis que acessam um sistema ao mesmo tempo
(um servidor web, por exemplo), com o objetivo de esgotar seus
recursos.

O DDoS, em virtude da aparência legítima de requisições de acesso, é


uma das formas de ataque mais difíceis de serem combatidas. Correto.

36. (CESPE – SUFRAMA – Analista de Sistemas - 2014) Para


averiguar a integridade de um arquivo de computador a ser
transmitido por um meio inseguro, pode-se gerar um hash antes da
transmissão e verificar o hash após a transmissão.

O hash, ao ser verificado após a transmissão, garante a


autenticidade do remetente e a integridade da mensagem. Correto.

Prof. Victor Dalton


www.estrategiaconcursos.com.br 126 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

37. (CESPE – SUFRAMA – Analista de Sistemas - 2014) A


utilização de algoritmos de criptografia garante a disponibilidade e
a autenticidade de informações em ambientes de tecnologia da
informação.

A criptografia não se relaciona diretamente com a disponibilidade da


informação. Disponibilidade é o acesso à informação quando deseja-se
acessá-la. Isto é garantido por meio de infraestrutura, permissões de
acesso... enfim, por outros meios. Errado!

38. (CESPE – TCDF – Analista de Administração Pública -


Sistemas de TI - 2014) A assinatura digital é gerada por criptografia
assimétrica mediante a utilização de uma chave pública para
codificar a mensagem.

Na assinatura digital, utiliza-se a chave privada para assinar a


mensagem. Assim, por meio da chave pública, constata-se a autenticidade
do autor da mensagem. Errado!

39. (CESPE – TCDF – Analista de Administração Pública -


Sistemas de TI - 2014) A técnica de criptografia de chave única
utiliza a mesma chave para criptografar e descriptografar uma
mensagem.

Esta é a criptografia simétrica. Correto.

40. (CESPE – TCDF – Analista de Administração Pública -


Sistemas de TI - 2014) A lista de certificados revogados (LCR) de
uma infraestrutura de chaves públicas deve ser emitida pela
autoridade certificadora, que também é responsável por emitir e
gerenciar certificados digitais.

Prof. Victor Dalton


www.estrategiaconcursos.com.br 127 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

Responsabilidades da AC. Correto.

41. (CESPE – TJ/SE – Analista Judiciário – Análise de


Sistemas - 2014) Cavalo de Troia, também conhecido como trojan,
é um programa malicioso que, assim como os worms, possui
instruções para autorreplicação.

Trojans não são autorreplicantes! Worms são... Errado!

42. (CESPE – TJ/SE – Analista Judiciário – Análise de


Sistemas - 2014) Spyware é um programa ou dispositivo que
monitora as atividades de um sistema e transmite a terceiros
informações relativas a essas atividades, sem o consentimento do
usuário. Como exemplo, o keylogger é um spyware capaz de
armazenar as teclas digitadas pelo usuário no teclado do
computador.

Correto.

43. (CESPE – TJ/SE – Analista Judiciário – Análise de


Sistemas - 2014) Vírus são programas que podem apagar arquivos
importantes armazenados no computador, podendo ocasionar, até
mesmo, a total inutilização do sistema operacional.

Correto.

44. (CESPE – TJ/SE – Analista Judiciário – Análise de


Sistemas - 2014) Um tipo específico de phishing, técnica utilizada
para obter informações pessoais ou financeiras de usuários da
Internet, como nome completo, CPF, número de cartão de crédito e
senhas, é o pharming, que redireciona a navegação do usuário para
sítios falsos, por meio da técnica DNS cache poisoning.

Prof. Victor Dalton


www.estrategiaconcursos.com.br 128 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

Correto.

45. (CESPE – TJ/SE – Analista Judiciário – Suporte Técnico


em Infraestrutura - 2014) Em sistemas de uso prático, são usadas
as técnicas simétricas e as assimétricas combinadas.

É normal a utilização da criptografia assimétrica para trocar a chave


simétrica, quando estabelecidas sessões curtas de comunicação (como, por
exemplo, o acesso a um site com certificado). Correto.

46. (CESPE – TJ/SE – Analista Judiciário – Suporte Técnico


em Infraestrutura - 2014) A confidencialidade pode ser obtida pelo
uso da criptografia simétrica e da assimétrica.

Criptografia, em primeiro lugar, preocupa-se com a


confidencialidade da informação. Correto.

47. (CESPE – TJ/SE – Analista Judiciário – Suporte Técnico


em Infraestrutura - 2014) Em conjunto com as funções de resumo
criptográfico (hash), a criptografia simétrica proporciona
autenticidade.

Seria a criptografia assimétrica. Errado!

48. (CESPE – TJ/SE – Analista Judiciário – Suporte Técnico


em Infraestrutura - 2014) A criptografia assimétrica proporciona o
não repúdio, não proporcionando, porém, a autenticidade.

O não-repúdio é um conceito que vai além da autenticidade.


Autenticade é você saber quem enviou, não-repúdio é o autor não poder

Prof. Victor Dalton


www.estrategiaconcursos.com.br 129 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

negar que foi ele quem enviou. Caso os instrumentos criptográficos


assegurem o não-repúdio, a autenticidade automaticamente é assegurada.
Errado!

49. (CESPE – TJ/SE – Analista Judiciário – Suporte Técnico


em Infraestrutura - 2014) As funções de resumo criptográfico
oferecem garantia probabilística de inforjabilidade.

Inforjabilidade é a impossibilidade de falsificação. O hash assegura


garantia probabilística de inforjabilidade, na medida em que é
matematicamente improvável adulterar uma mensagem de modo a
produzir exatamente o mesmo hash da mensagem original. Correto.

50. (CESPE – TJ/AC – Técnico em Informática - 2012) O


antispyware é um software que se destina especificamente a
detectar e remover spywares, enquanto o antivírus é uma
ferramenta que permite detectar e remover alguns programas
maliciosos, o que inclui certos tipos de spywares.

Correto.

51. (CESPE – TJ/AC – Técnico em Informática - 2012) Por


serem de difícil detecção, os worms só podem ser combatidos por
ferramentas específicas para esse fim, que se denominam
antiworms.

Worms são combatidos com firewall, que impedem sua propagação


pela rede. Errado!

52. (CESPE – TJ/AC – Técnico em Informática - 2012)


Sistemas de prevenção à intrusão (IPS) e sistemas de detecção de
intrusão (IDS) são sistemas concebidos com os mesmos
propósitos. A diferença entre eles encontra-se no público-alvo.

Prof. Victor Dalton


www.estrategiaconcursos.com.br 130 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

Enquanto os IPS são sistemas voltados para os usuários


domésticos, os IDS focam as grandes redes corporativas.

A diferença básica entre um Intrusion Detection System (IDS)


para um Intrusion Prevention System (IPS) é que os sistemas de
prevenção são ativos, enquanto os sistemas de detecção são passivos.
Enquanto o IDS informa sobre um potencial ataque, o IPS promove
tentativas de parar o ataque. Um outro grande avanço sobre o IDS é que
o IPS tem a capacidade de prevenir invasões com “assinaturas” conhecidas,
mas também pode impedir alguns ataques não conhecidos, devido a sua
base de dados de “comportamentos” de ataques genéricos. Visto como uma
combinação de IDS e de uma “camada de aplicação Firewall” para proteção,
o IPS geralmente é considerado a geração seguinte do IDS. Errado!

53. (CESPE – TJ/AC – Técnico em Informática - 2012) As


ferramentas antispam permitem combater o recebimento de
mensagens consideradas spam e, em geral, baseiam-se na análise
do conteúdo das mensagens.

As ferramentas antispam costumam integrar os webmails e os


aplicativos comerciais de email, como Outlook e Thunderbird. Correto.

54. (CESPE – TJ/AC – Técnico em Informática - 2012) O


recurso de segurança denominado firewall pode ser implementado
por software ou por hardware.

Além dos aplicativos Firewall, existem soluções comerciais de


hardware, de grandes fabricantes comerciais. Correto.

Prof. Victor Dalton


www.estrategiaconcursos.com.br 131 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

Firewall da CISCO

55. (CESPE – TJ/AC – Técnico em Informática - 2012) O


firewall é configurado pelo seu fabricante para que proteja uma
rede local de computadores, com base no perfil dos usuários dessa
rede.

O firewall deve ser configurado pelo administrador da rede, com base


nas necessidades da organização. Se os usuários da rede desejarem utilizar
torrent, por exemplo, e isso for contrário ao interesse da organização, o
firewall pode ser configurado para não permitir a utilização dessas portas.
Errado!

56. (CESPE – TJ/AC – Técnico em Informática - 2012) O uso


de programas antivírus continuamente atualizados é uma prática
suficiente para se evitar que um worm contamine um computador.

Worms não se instalam em arquivos, portanto, não são encontrados


por antivírus. Errado!

57. (CESPE – CNJ – Técnico Judiciário: Programação de


Sistemas - 2013) Vírus de macro infectam arquivos criados por
softwares que utilizam linguagem de macro, como as planilhas
eletrônicas Excel e os documentos de texto Word. Os danos variam
de alterações nos comandos do aplicativo à perda total das
informações.

Prof. Victor Dalton


www.estrategiaconcursos.com.br 132 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

Por isso que Excel e Word sempre perguntam ao usuário se ele deseja
“Habilitar Macros”, quando abre algum arquivo que possua esse recurso.
Correto.

58. (CESPE – CNJ – Técnico Judiciário: Programação de


Sistemas - 2013) Vírus de script registram ações dos usuários e são
gravados no computador quando da utilização de um pendrive
infectado.

Vírus de script são comandos maliciosos inseridos em scripts de


páginas web. Quem registra ações dos usuários são os keyloggers, ou os
mouseloggers. Eles são ativados quando uma página maliciosa é aberta.
Errado!

59. (CESPE – CNJ – Técnico Judiciário: Programação de


Sistemas - 2013) A utilização de sistemas biométricos dispensa a
segurança de dados de forma isolada, uma vez que o acesso é mais
restrito em decorrência do alto controle de erro, não havendo
necessidade de intervenção do programador no testamento dos
dados.

Sistemas com biometria, como, por exemplo, uma catraca, exige


segurança na tramitação dos seus dados, bem como pode exigir o teste e
a verificação de eventuais erros, por parte do programador. Errado!

60. (CESPE – CNJ – Técnico Judiciário: Programação de


Sistemas - 2013) A proteção aos recursos computacionais inclui
desde aplicativos e arquivos de dados até utilitários e o próprio
sistema operacional.

Lembrando, ainda, que até mesmo a proteção física das instalações


faz parte das medidas de segurança de um sistema. Correto.

Prof. Victor Dalton


www.estrategiaconcursos.com.br 133 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

61. (CESPE – CNJ – Técnico Judiciário: Programação de


Sistemas - 2013) Para aumentar a segurança de um programa,
deve-se evitar o uso de senhas consideradas frágeis, como o
próprio nome e identificador de usuário, sendo recomendada a
criação de senhas consideradas fortes, ou seja, aquelas que
incluem, em sua composição, letras (maiúsculas e minúsculas),
números e símbolos embaralhados, totalizando, preferencialmente,
mais de seis caracteres.

Correto.

62. (CESPE – CNJ – Técnico Judiciário: Programação de


Sistemas - 2013) O princípio da autenticidade é garantido quando
o acesso à informação é concedido apenas a pessoas explicitamente
autorizadas.

Esse é o princípio da confidencialidade. O princípio da


autenticidade é aquele no qual é possível atestar que a entidade emissora
da mensagem realmente é quem diz ser. Errado!

63. (CESPE – MPE/PI – Técnico Ministerial – Informática -


2011) O firewall do Windows tem funcionalidades apropriadas que
possibilitam o bloqueio de algumas solicitações de conexão ao
computador pessoal de um usuário.

Quando não existe nenhum firewall instalado no computador, o firewall


do Windows é ativo e permite uma série de configurações. Correto.

64. (CESPE – TJDFT – Técnico Judiciário Área Administrativa


- 2013) Backdoor é uma forma de configuração do computador para
que ele engane os invasores, que, ao acessarem uma porta falsa,
serão automaticamente bloqueados.

Prof. Victor Dalton


www.estrategiaconcursos.com.br 134 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

Backdoor é uma falha de segurança que pode existir em um programa


de computador ou sistema operacional, que pode permitir a invasão do
sistema. Errado!

65. (CESPE – ANAC – Analista Administrativo: Cargo 4 –


2012) O algoritmo RSA, baseado na construção de chaves públicas
e privadas, utiliza números primos, e, quanto maior for o número
primo escolhido, mais seguro será o algoritmo.

O RSA é um algoritmo de chave assimétrica, e sua segurança está


diretamente relacionada à dificuldade de decifrar grandes números primos.
Certa.

66. (CESPE – ANAC – Analista Administrativo: Cargo 4 –


2012) A técnica utilizada para esconder uma mensagem secreta
dentro de uma maior, de modo que não se possa discernir a
presença ou o conteúdo da mensagem oculta é denominada
estenografia.

Esteganografia. A cara do CESPE. Errada.

67. (CESPE – ANAC – Analista Administrativo: Cargo 4 –


2012) O DES (data encryption standard) triplo utiliza, exatamente,
por três vezes o algoritmo DES, além de uma mesma chave de 56
bits para criptografar mensagens.

Opa! O 3-DES realmente usa o algoritmo DES 3 vezes, mas ele usa
três chaves diferentes, e não a mesma chave. Lembro ainda que a chave
possui 64bits, sendo 56 bits efetivamente utilizados no algoritmo e 8 bits
de paridade. Errada.

Prof. Victor Dalton


www.estrategiaconcursos.com.br 135 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

68. (CESPE – ANAC – Analista Administrativo: Cargo 4 –


2012) A Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil) é
uma cadeia hierárquica e de confiança que viabiliza a emissão de
certificados digitais para a identificação virtual do cidadão no
Brasil, conforme os padrões e normas estipulados pela CERTISIGN,
à qual se subordina hierarquicamente em nível mundial.

A ICP-Brasil é subordinada à Presidência da República, e a CERTISIGN


é uma autoridade certificadora de 1º nível, diretamente subordinada à AC-
Raiz. Veja mais em http://www.iti.gov.br/index.php/icp-brasil/estrutura.
Errada.

69. (CESPE – ANAC – Analista Administrativo: Cargo 4 –


2012) Assim como pessoas físicas, as micro e pequenas empresas
também podem comprovar sua identidade no meio virtual, realizar
transações comerciais e financeiras com validade jurídica,
participar de pregões eletrônicos e trocar mensagens no mundo
virtual com segurança e agilidade com o e-CPF Simples.

O e-CPF é a versão eletrônica do CPF para a pessoa física, enquanto o


e-CPF Simples é a versão para as micro e pequenas empresas. Certa.

70. (CESPE – ANCINE – Analista Administrativo: Área 2 –


2013) No que tange à autenticação, a confiabilidade trata
especificamente da proteção contra negação, por parte das
entidades envolvidas em uma comunicação, de ter participado de
toda ou parte desta comunicação.

Trata-se do não-repúdio. Errada.

71. (CESPE – ANCINE – Analista Administrativo: Área 2 –


2013) A assinatura digital, que é uma unidade de dados originada
de uma transformação criptográfica, possibilita que um

Prof. Victor Dalton


www.estrategiaconcursos.com.br 136 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

destinatário da unidade de dados comprove a origem e a


integridade dessa unidade e se proteja contra falsificação.

Certa.

72. (CESPE – BACEN – Analista - Área 2 –2013) A autoridade


certificadora é responsável por divulgar informações caso o
certificado por ela emitido não seja mais confiável.

Quando um certificado perde a validade ou a sua confiabilidade, é


responsabilidade da autoridade certificadora revogá-lo. Certa.

73. (CESPE – BACEN – Analista - Área 2 –2013) O uso de


assinatura digital objetiva comprovar a autenticidade e a
integridade de uma informação, sendo a integridade garantida
mediante a codificação de todo o conteúdo referente à assinatura.

As funções de hash servem justamente para não precisar codificar toda


a mensagem, mas sim um resumo dela. Errada.

74. (CESPE – SERPRO – Analista – Desenvolvimento de


Sistemas –2013) Um ataque à infraestrutura de conectividade de
um banco à Internet, interrompendo o acesso a seus serviços de
home banking, afeta a disponibilidade.

Se a informação deixa de estar disponível, é a disponibilidade a


característica afetada. Certa.

75. (CESPE – SERPRO – Analista – Desenvolvimento de


Sistemas –2013) O furto de um notebook que contenha prontuários
e resultados de exames dos pacientes de um médico afeta a
confiabilidade das informações.
Prof. Victor Dalton
www.estrategiaconcursos.com.br 137 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

Nesse caso, a confidencialidade será afetada, uma vez que esta


informação estará de posse de pessoas não autorizadas a acessar a
informação. Ainda, se esses prontuários estivessem somente nesse
notebook, a disponibilidade também seria afetada. Errada.

76. (CESPE – SERPRO – Analista – Desenvolvimento de


Sistemas –2013) Uma assinatura digital consiste na cifração do
resumo criptográfico de uma mensagem ou arquivo, com o uso da
chave privada de quem assina.

Certa.

(CESPE – CNPQ – Cargo 1 - 2011) Sistemas de segurança da


informação são frequentemente comparados a uma corrente com muitos
elos que representam os componentes desenvolvidos, tais como
equipamento, software, protocolos de comunicação de dados, e outros,
incluindo o usuário humano. Na literatura sobre segurança da informação,
o usuário humano é frequentemente referenciado como o elo mais fraco.

Internet: <www.cienciasecognicao.org> (com adaptações).

Tendo como referência o texto acima, julgue os próximos itens,


referentes ao comportamento do usuário quanto à segurança da
informação.

77. A fim de se preservar a integridade, a confidencialidade


e a autenticidade das informações corporativas, é necessário que
os empregados e os contratados do órgão sejam treinados, de
forma que se conscientizem da importância da segurança da
informação e se familiarizem com os procedimentos adequados na
ocorrência de incidentes de segurança.

De nada adianta a utilização das mais complexas tecnologias para a


proteção da informação se as pessoas responsáveis por sua segurança são
mal treinadas e/ou mal orientadas. Correto.
Prof. Victor Dalton
www.estrategiaconcursos.com.br 138 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

78. O fato de pesquisa de Alan S. Brown (Generating and


Remembering Passwords – 2004) mostrar que mais da metade dos
entrevistados guardavam cópias escritas de suas senhas confirma
que o usuário humano é “o elo mais fraco” do processo de
segurança da informação, situação que é compensada pela
utilização combinada de firewalls, anti-vírus ou pela utilização dos
UPP (user protectors passwords).

Como afirmado no item anterior, não existe “compensação” para a


falha humana. Firewalls e antivírus não protegem a máquina de um acesso
indevido realizado por um intruso que apoderou-se da senha de um
usuário, porque estava escrita em um papel, ou por qualquer outro motivo.
UPP (user protectors passwords) não existe. Errado!

79. (CESPE – SESA/ES – Todos os cargos - 2011) O


certificado digital é uma das tecnologias que permite identificar se
um sítio de informações é reconhecido pelos registradores de
domínio da Internet, se seu endereço é válido e se é garantida a
segurança dos usuários que baixarem arquivos gerados por
certificados autoassinados.

O Certificado Digital é, na prática, um arquivo de computador que


contém um conjunto de informações referentes a entidade para o qual o
certificado foi emitido (seja uma empresa, pessoa física ou computador)
mais a chave pública referente à chave privada que acredita-se ser de
posse unicamente da entidade especificada no certificado.
Voltando à questão, ela até começa correta, uma vez que o Certificado
Digital, como consequência, valida o site que está sendo acessado como
legítimo. Mas “garantida a segurança dos usuários que baixarem arquivos
gerados por certificados autoassinados” é um erro. Certificados que não
são assinados por autoridades certificadoras são perigosos, pois podem ser
utilizados para fins maliciosos. Recomendo a leitura de
http://cartilha.cert.br/criptografia/ para complementar seus estudos, caso
você ainda tenha dúvidas. Errado!

Prof. Victor Dalton


www.estrategiaconcursos.com.br 139 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

80. (CESPE – SESA/ES – Todos os cargos - 2011) Uma das


formas de se aplicar o conceito de disponibilidade da informação é
por meio da realização de cópias de segurança, que contribuem
para a restauração dos dados ao seu ponto original (de quando foi
feita a cópia), o que reduz as chances de perda de informação em
situações de panes, roubos, queda de energia, entre outras.

Disponibilidade da informação relaciona-se com a informação estar


sempre disponível, quando necessário. Logo, a criação de cópias de
segurança é um procedimento que colabora com a manutenção desse
princípio. Correto.

81. (CESPE – SSP/CE – Cargos 1 a 5 e 7 a 9 - 2012) O


antivírus, para identificar um vírus, faz uma varredura no código do
arquivo que chegou e compara o seu tamanho com o tamanho
existente na tabela de alocação de arquivo do sistema operacional.
Caso encontre algum problema no código ou divergência de
tamanho, a ameaça é bloqueada.

O antivírus compara o código de um arquivo com padrões maliciosos


conhecidos, em sua base de dados. Por isso a importância de manter os
antivírus sempre atualizados, de modo que ele saiba reconhecer os vírus
mais novos. Errada!

82. (CESPE – SEGER/ES – Todos os cargos - 2010) Entre as


características de um certificado digital inclui-se a existência de um
emissor, do prazo de validade e de uma assinatura digital.

O emissor do certificado é a Autoridade Certificadora. O prazo de


validade é o período para o qual o certificado tem valor e a assinatura
digital é um recurso que permite a assinatura de uma mensagem pelo
emissor. Ela é feita com a chave privada do emissor, e, ao utilizar a chave
pública para decifrar, é verificada a autenticidade do emissor, bem como a
integridade da mensagem enviada. Correto.
Prof. Victor Dalton
www.estrategiaconcursos.com.br 140 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

83. (CESPE – SEGER/ES – Todos os cargos - 2010) O uso do


protocolo https assegura que as informações trafegadas utilizem
certificados digitais.

Sites com https utilizam certificados digitais. Atenção: sites cujos


certificados foram assinados por autoridades certificadoras possuem um
cadeado exibido pelo navegador de Internet. Em caso de certificados
autoassinados, o navegador de internet emite um aviso, e pergunta se você
deseja continuar navegando pelo referido site. Correto.

84. (CESPE – Assembleia Legislativa/CE – Cargo 10 - 2011)


Worms são programas que se espalham em uma rede, criam cópias
funcionais de si mesmo e infectam outros computadores.

Os worms são autorreplicantes. Certo.

85. (CESPE – Assembleia Legislativa/CE – Cargo 10 - 2011)


O adware, tipo de firewall que implementa segurança de acesso às
redes de computadores que fazem parte da Internet, evita que
essas redes sejam invadidas indevidamente.

Adware não é firewall! É um malware, relacionado à publicidade.


Errado!

86. (CESPE – Corpo de Bombeiros /DF – Todas as áreas -


2011) Phishing é um programa utilizado para combater spyware,
adware e keyloggers, entre outros programas espiões.

Phishing é uma fraude virtual que normalmente chega por e-mail,


com a tentativa de convencer o usuário de que ele precisa preencher um
Prof. Victor Dalton
www.estrategiaconcursos.com.br 141 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

formulário com seus dados ou clicar em um determinado link para baixar


um arquivo, que na verdade é um vírus, e o site, se acessado, roubará
todos os dados digitados. Errado!

87. (CESPE – Corpo de Bombeiros /DF – Todas as áreas -


2011) Os procedimentos de backup devem ser executados com
frequência para se evitar a perda de dados. Uma ação recomendável
é manter uma cópia das informações críticas em local diferente do
computador em que essas informações se encontrem.

A norma ISO 27002 recomenda esse tipo de procedimento. Correto.

88. (CESPE – Câmara dos Deputados 2012 – Analista


Legislativo: Técnica Legislativa - 2012) O termo Spam, consiste de
emails não solicitados que são enviados, normalmente, apenas para
uma única pessoa e têm sempre conteúdo comercial. Essa
mensagem não transporta vírus de computador ou links na
Internet.

Inverta tudo. Spam é um tipo de email enviado em massa, pode ter


conteúdo comercial, pornográfico, bancário, etc. Ainda, pode transportar
vírus ou indicar links maliciosos na internet. Errado!

89. (CESPE – Câmara dos Deputados 2012 – Analista


Legislativo: Técnica Legislativa - 2012) A finalidade do uso de
certificados digitais em páginas na Internet, por meio de HTTPS, é
evitar que o conteúdo total dos dados de camada de aplicação, se
capturados durante o tráfego, sejam identificados por quem o
capturou.

Com HTTPS, o conteúdo é enviado de maneira criptografada, utilizando


os princípios de chave pública e privada. Certo.

Prof. Victor Dalton


www.estrategiaconcursos.com.br 142 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

90. (CESPE – Câmara dos Deputados 2012 – Analista


Legislativo: Técnica Legislativa - 2012) O termo phishing designa a
técnica utilizada por um fraudador para obter dados pessoais de
usuários desavisados ou inexperientes, ao empregar informações
que parecem ser verdadeiras com o objetivo de enganar esses
usuários.

Correto.

91. (CESPE – ANAC – Técnico em Regulação áreas 1,3 e 4 -


2012) Um firewall pessoal é uma opção de ferramenta preventiva
contra worms.

Worms procuram replicar-se pela rede sem conhecimento do usuário.


Uma computador com firewall pode impedir a propagação de worms, bem
como o seu recebimento. Correto.

92. (CESPE – ANAC – Técnico em Regulação áreas 1,3 e 4 -


2012) Com o certificado digital que é emitido pelo próprio titular do
certificado, podem-se realizar transações seguras com qualquer
empresa que ofereça serviços pela Internet.

Certificados autoassinados podem pertencer a sites maliciosos.


Lembre-se disso! Errado!

93. (CESPE – FNDE – Técnico em Financiamento e Execução


de Programas e Projetos Educacionais - 2012) Trojans ou cavalos
de troia são programas capazes de multiplicar-se mediante a
infecção de outros programas maiores. Eles não têm o objetivo de
controlar o sistema, porém tendem a causar efeitos indesejados. Já
os worms causam efeitos altamente destrutivos e irreparáveis. Ao
contrário dos trojans, os worms utilizam o email como principal
canal de disseminação, mas não possuem a capacidade de produzir
cópias de si mesmos ou de algumas de suas partes.

Prof. Victor Dalton


www.estrategiaconcursos.com.br 143 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

Os conceitos de worms e trojans estão invertidos, no começo. Os


Worms se multiplicam, enquanto os Trojans podem ter efeitos altamente
destrutivos. Trojans podem ser enviados por email, mas esse é o ponto
forte dos Worms, que, além disso, produzem cópias de si mesmo, ou de
algumas partes. Errado!

94. (CESPE – FNDE – Especialista em Financiamento e


Execução de Programas e Projetos Educacionais - 2012) Como
forma de garantir a disponibilidade de informação mantida em
meios eletrônicos, deve-se fazer o becape de arquivos dos dados
originais. Normalmente, sempre que o procedimento de becape é
executado, o sistema operacional do equipamento faz uma cópia da
totalidade dos dados em meio de armazenamento distinto do
utilizado para guarda dos dados originais.

Apenas a parte final. O Sistema Operacional, por padrão, faz backup


no próprio disco rígido. Para fazer backup em outra mídia, é necessário a
intervenção do usuário. Errado!

95. (CESPE – FNDE – Especialista em Financiamento e


Execução de Programas e Projetos Educacionais - 2012) Embora
sejam considerados programas espiões, os spywares também são
desenvolvidos por empresas com o objetivo de coletar legalmente
informações acessíveis de usuários.

Quando você autoriza a Microsoft, ou outra empresa, a enviar dados


de maneira anônima para “ajudar a aprimorar o software”, tal tarefa é
realizada por um spyware legítimo, chamado também de trackware.
Correto.

96. (CESPE – FNDE – Especialista em Financiamento e


Execução de Programas e Projetos Educacionais - 2012) Para
proteger um computador contra os efeitos de um worm, pode-se
utilizar, como recurso, um firewall pessoal.
Prof. Victor Dalton
www.estrategiaconcursos.com.br 144 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

O firewall ajuda a proteger contra worms, pois fecha portas que eles
utilizam para se reproduzir, pela rede. Correto.

97. (CESPE – Câmara dos Deputados – Analista Legislativo:


Técnico em Material e Patrimônio - 2012) Para garantir que os
computadores de uma rede local não sofram ataques vindos da
Internet, é necessária a instalação de firewalls em todos os
computadores dessa rede.

Para proteger uma rede de computadores de ataques oriundos da


Internet, basta a instalação de um firewall no computador que realiza o
Proxy da rede, ou seja, o computador que centraliza o acesso externo da
rede. Errado!

98. (CESPE – Câmara dos Deputados – Analista Legislativo:


Técnico em Material e Patrimônio - 2012) Ao se realizar um
procedimento de backup de um conjunto arquivos e pastas
selecionados, é possível que o conjunto de arquivos e pastas gerado
por esse procedimento ocupe menos espaço de memória que aquele
ocupado pelo conjunto de arquivos e pastas de que se fez o backup.

O backup pode empregar algum método de compressão, diminuindo o


espaço em disco ocupado originalmente. Correto.

99. (CESPE – Câmara dos Deputados – Analista Legislativo:


Técnico em Material e Patrimônio - 2012) Os worms, assim como
os vírus, infectam computadores, mas, diferentemente dos vírus,
eles não precisam de um programa hospedeiro para se propagar.

Worms se reproduzem sem a necessidade de um programa


hospedeiro. Correto.

Prof. Victor Dalton


www.estrategiaconcursos.com.br 145 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

Para Fixar
Vírus Worm
Programa ou parte de um Programa
programa de computador
Propaga-se inserindo cópias de si Propaga - se automaticamente
mesmo e se tornando parte de pelas redes, enviando copias de si
outros programas e arquivos mesmo de computador para
computador
Depende da execução do programa Execução direta de suas cópias ou
ou arquivo hospedeiro para ser pela exploração automática de
ativado vulnerabilidades existentes em
programas instalados em
computadores

100. (CESPE – TRE/RJ – Conhecimentos Básicos cargos 1 a 7


– 2012) É possível executar um ataque de desfiguração
(defacement) — que consiste em alterar o conteúdo da página web
de um sítio — aproveitando-se da vulnerabilidade da linguagem de
programação ou dos pacotes utilizados no desenvolvimento de
aplicação web.

Os ataques de defacement são aqueles que modificam sites


legítimos. Sites de instituições públicas são alvos constantes desse tipo de
invasão, utilizada por grupos hackers para fazer protestos de cunho
político. Correto.

101. (CESPE – TRE/RJ – Conhecimentos Básicos cargos 1 a 7


– 2012) Nos procedimentos de backup, é recomendável que as
mídias do backup sejam armazenadas no mesmo local dos dados de

Prof. Victor Dalton


www.estrategiaconcursos.com.br 146 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

origem, a fim de tornar a recuperação dos dados mais rápida e


eficiente.

Preconiza-se guardar as mídias de backup em local distinto dos dados


de origem, para evitar que ambos sejam atingidos por um mesmo desastre,
como um incêndio ou roubo. Errado!

102. (CESPE – TJ/AC – Técnico em Informática - 2012) A


execução dos procedimentos de segurança da informação
estabelecida em uma empresa compete ao comitê responsável pela
gestão da segurança da informação.

A execução dos procedimentos de segurança da informação é de


responsabilidade de TODOS, da diretoria executiva ao estagiário mais novo
da organização. Errado!

103. (CESPE – TJ/AC – Técnico em Informática - 2012) A


atualização automática on-line do sistema operacional é uma
prática que garante que o computador não sofrerá infecção por
bots.

Atualizar o sistema operacional certamente colabora para a correção


de falhas de segurança. Mas garantir é um verbo muito forte, e que não se
aplica à questão. Errado!

104. (CESPE – TJ/AC – Técnico em Informática - 2012) Para


garantir a confidencialidade de informações críticas de uma
empresa, devem ser estabelecidos procedimentos não só para a
guarda e disponibilização dessas informações, mas também para o
seu descarte.

Confidencialidade diz respeito à garantia que somente as pessoas


autorizadas podem visualizar a informação. E, naturalmente, medidas

Prof. Victor Dalton


www.estrategiaconcursos.com.br 147 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

devem ser tomadas desde a geração da informação até o seu descarte.


Documento sigiloso na lixeira, sem triturar, pode ser facilmente lido, não é
mesmo? Correto.

105. (CESPE – TJDFT – Técnico Judiciário Área Administrativa


- 2013) Autenticidade é um critério de segurança para a garantia
do reconhecimento da identidade do usuário que envia e recebe
uma informação por meio de recursos computacionais.

Autenticidade é um critério de segurança para a garantia do


reconhecimento da identidade somente do usuário que envia uma
informação por meio de recursos computacionais. Errado!

106. (CESPE – TJDFT – Técnico Judiciário Área Administrativa


- 2013) Nas empresas, um mesmo endereço IP é, geralmente,
compartilhado por um conjunto de computadores, sendo
recomendável, por segurança, que dez computadores, no máximo,
tenham o mesmo endereço IP.

Primeiro, vamos destrinchar alguns conceitos. Todo computador, em


uma rede, possui um único endereço IP. Entretanto, nem sempre o
endereço IP dessa rede será o endereço IP que você possuirá perante a
internet. Se você estiver conectado em uma rede corporativa, ou mesmo
estiver em uma rede comum, com um roteador, poderá fazer essa
verificação. Em seu computador, verifique as propriedades de conexão da
sua rede, em uma tela similar a esta (exemplo para Windows):

Prof. Victor Dalton


www.estrategiaconcursos.com.br 148 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

Ao clicar no botão “Detalhes”, dentre várias informações, você poderá


ver o Endereço IPv4, que é o seu endereço IP em sua rede interna, e o
Gateway Padrão, que é o endereço IP da sua porta de acesso à Internet.

Nesse tipo de rede, o Gateway realiza uma operação chamada


Network Address Translation (NAT). Na prática, isso quer dizer que o
Gateway (ou o seu roteador) adota um outro endereço IP, de forma a
identificá-lo unicamente em toda a internet.

Mas por que isso acontece? Para que não haja necessidade de um IP
distinto para cada máquina dentro de uma rede interna. Tente verificar
você mesmo: acesse www.meuenderecoip.com no seu nevegador de
internet, e esse site te dirá o endereço IP que você é visto na internet. Será
o endereço IP da internet do seu roteador, ou do seu gateway. E se você
puder fazer o mesmo teste em outro computador vizinho, na mesma rede,
vai verificar que o endereço IP na internet será o mesmo, apesar das
propriedades da rede local mostrarem diferentes endereços de rede
interna.

Logo, a questão está correta? Não, pois não existe esse limite de dez
computadores por roteador, ou gateway. Teoricamente não existe limite,
mas, na prática, as empresas fazem um balanceamento de carga nos seus
gateways, pois a rede pode ficar congestionada se muitas máquinas
utilizarem um único gateway, dependendo do tipo de demanda que as
máquinas fazem da internet (se é pra ver emails, realizar
videoconferências, baixar arquivos muito grandes, cada uso exige a
internet de uma forma diferente). Errado!

Prof. Victor Dalton


www.estrategiaconcursos.com.br 149 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

107. (CESPE – TJDFT – Técnico Judiciário Área Administrativa


- 2013) A criptografia, mecanismo de segurança auxiliar na
preservação da confidencialidade de um documento, transforma,
por meio de uma chave de codificação, o texto que se pretende
proteger.

Definição de criptografia. Correto.

Prof. Victor Dalton


www.estrategiaconcursos.com.br 150 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

CONSIDERAÇÕES FINAIS

E finalmente encerramos!

E então, concorda comigo? A gente começa a ver criptografia como


quem não quer nada, e descobre que a utilizamos com bastante frequência.
Quando acessamos o homebanking, fazemos uma compra online... repare
no cadeado ao lado do “https”. Temos ali criptografia assimétrica,
assinatura digital, certificado digital... tudo no nosso dia a dia.

E os spams, que incomodam (e muito) nossa caixa de emails?


Tentativas diárias de phishing, quem não passa por isso? Tem algum
worm no seu computador?

Já deu uma olhada na lista de aplicativos instalada em seu PC? Não


existe, nessa lista, nenhum aplicativo que você não conheça, ou não sabe
para que serve? Pode ser um Cavalo de Tróia!

Ainda, deixo a dica abaixo para a Cartilha de Segurança para


Internet, do Centro de Estudos, Respostas e Tratamento de
Incidentes de Segurança do Brasil (Cert.br). Grande parte da nossa
aula de hoje veio daqui, e as bancas também costumam extrair suas
questões de prova dela.

http://cartilha.cert.br/livro/cartilha-seguranca-internet.pdf

Até a nossa última aula, com redes sem fio.

Victor Dalton

Prof. Victor Dalton


www.estrategiaconcursos.com.br 151 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

LISTA DE EXERCÍCIOS FCC

1. (FCC – SEFAZ/PI – Auditor Fiscal – 2015) Na Secretaria da


Fazenda do Estado do Piauí a assinatura digital permite comprovar que uma
informação foi realmente gerada por quem diz tê-la gerado e que ela não
foi alterada. Isto equivale a afirmar, respectivamente, que é possível
comprovar que uma informação

(A) é privada e está sempre disponível.

(B) é autêntica e confidencial.

(C) é autêntica e está íntegra.

(D) não pode ser repudiada e é autêntica.

(E) não pode ser repudiada e é confidencial.

2. (FCC – TRE/AP – Analista Judiciário – 2015) Um Analista


sempre busca manter seu PC protegido das pragas virtuais, mas mesmo
com os cuidados, teve sua máquina com o sistema operacional Windows 7,
em português, infectada. O Analista deve

(A) fazer uma varredura no computador usando o antivírus que já está


instalado para tentar remover o malware. É a opção mais segura, pois o
antivírus não fica comprometido e não pode ser modificado de forma
maliciosa.

(B) instalar outros antivírus e fazer a varredura na máquina com todos


eles. Quanto mais ferramentas antimalware houver na máquina, maior
proteção será obtida.

(C) abrir o Gerenciador de Tarefas do Windows, abrir a aba Processos


e desabilitar todos os processos sendo executados. Certamente um deles é
o malware que está causando o problema e isso resolverá tudo.

(D) entrar em modo de segurança com rede, abrir o navegador


adequado e executar uma ferramenta de varredura on-line atualizada,
habilitando níveis de segurança, como a varredura de arquivos
comprimidos e cache do navegador.

Prof. Victor Dalton


www.estrategiaconcursos.com.br 152 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

(E) utilizar o prompt de comando e desabilitar todos os utilitários do


msconfig e do regedit. Certamente um deles é o malware que está
causando o problema e isso limpará a máquina dos aplicativos que se
iniciam com o Windows.

3. (FCC – SEFAZ/PI – Auditor Fiscal – 2015) O certificado


digital utilizado na Nota Fiscal Eletrônica (NF-e) deverá ser adquirido junto
à Autoridade Certificadora credenciada pela Infraestrutura de Chaves
Públicas Brasileira − ICP-Brasil, devendo ser do tipo …I… ou …II… e conter
o CNPJ de um dos estabelecimentos da empresa.

As características dos certificados digitais I e II são descritas a seguir:

I. A chave privada é armazenada no disco rígido do computador, que


também é utilizado para realizar a assinatura digital.

II. A chave privada é armazenada em dispositivo portátil inviolável do


tipo smart card ou token, que possui um chip com capacidade de realizar a
assinatura digital.

I e II são, respectivamente,

(A) S1 e S2.

(B) A2 e A3.

(C) S1 e S3.

(D) A2 e A4.

(E) A1 e A3.

4. (FCC – SEFAZ/PI – Auditor Fiscal – 2015) Em determinada


instituição, João envia uma mensagem criptografada para Antônio,
utilizando criptografia assimétrica. Para codificar o texto da mensagem,
João usa

Prof. Victor Dalton


www.estrategiaconcursos.com.br 153 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

(A) a chave privada de Antônio. Para Antônio decodificar a mensagem


que recebeu de João, ele terá que usar sua chave privada. Cada um
conhece apenas sua própria chave privada.

(B) a chave pública de Antônio. Para Antônio decodificar a mensagem


que recebeu de João, ele terá que usar a chave privada, relacionada à chave
pública usada no processo por João. Somente Antônio conhece a chave
privada.

(C) a chave pública de Antônio. Para Antônio decodificar a mensagem


que recebeu de João, ele terá que usar a chave privada, relacionada à chave
pública usada no processo por João. Ambos conhecem a chave privada.

(D) a chave privada de Antônio. Para Antônio decodificar a mensagem


que recebeu de João, ele terá que usar a chave pública, relacionada à chave
privada usada no processo por João. Ambos conhecem a chave privada.

(E) sua chave privada. Para Antônio decodificar a mensagem que


recebeu de João, ele terá que usar sua chave pública. Somente João
conhece a chave privada.

5. (FCC – SEFAZ/PI – Auditor Fiscal – 2015) s arquivos


digitais no padrão definido em norma e do aplicativo GeraTEDeNF, a
empresa deverá possuir um certificado digital, em um padrão específico,
emitido por Autoridade Certificadora credenciada à ICP/BR que contenha o
CNPJ da empresa.

O uso de certificado digital de pessoa física emitido por Autoridade


Certificadora credenciada à ICP/BR, que contenha o CPF do titular será
permitido desde que a SEFAZ-PI seja comunicada previamente através da
apresentação do Termo de Outorga de Poderes para Assinatura e
Transmissão de Arquivos Digitais firmada pelo representante legal da
empresa.

No site http://nf-eletronica.com consta o seguinte texto adaptado:

O Projeto Nota Fiscal Eletrônica (NF-e) exige o uso de Certificado


Digital em um padrão específico, emitido por Autoridade Certificadora
credenciada à ICP/BR.

Prof. Victor Dalton


www.estrategiaconcursos.com.br 154 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

Um padrão específico de certificado digital usado na ICP Brasil


(ICP/BR) é citado em ambos os textos e especifica, entre várias outras
coisas, o formato dos certificados digitais, de tal maneira que se possa
amarrar firmemente um nome a uma chave pública, permitindo
autenticação forte. Trata-se do padrão

(A) X509.v6.

(B) SET.

(C) PGP.

(D) X509.v3.

(E) SPDK/SDSI.

6. (FCC – SEFAZ/PI – Auditor Fiscal – 2015) Considere o


seguinte processo de propagação e infecção de um tipo de malware.

Após infectar um computador, ele tenta se propagar e continuar o


processo de infecção. Para isto, necessita identificar os computadores alvos
para os quais tentará se copiar, o que pode ser feito de uma ou mais das
seguintes maneiras:

a. efetuar varredura na rede e identificar computadores ativos;

b. aguardar que outros computadores contatem o computador


infectado;

c. utilizar listas, predefinidas ou obtidas na Internet, contendo a


identificação dos alvos;

d. utilizar informações contidas no computador infectado, como


arquivos de configuração e listas de endereços de e-mail.

Após identificar os alvos, ele efetua cópias de si mesmo e tenta enviá-


las para estes computadores, por uma ou mais das seguintes formas:

a. como parte da exploração de vulnerabilidades existentes em


programas instalados no computador alvo;

b. anexadas a e-mails;

c. via programas de troca de mensagens instantâneas;

Prof. Victor Dalton


www.estrategiaconcursos.com.br 155 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

d. incluídas em pastas compartilhadas em redes locais ou do tipo P2P


(Peer to Peer).

Após realizado o envio da cópia, ele necessita ser executado para que
a infecção ocorra, o que pode acontecer de uma ou mais das seguintes
maneiras:

a. imediatamente após ter sido transmitido, pela exploração de


vulnerabilidades em programas sendo executados no computador alvo no
momento do recebimento da cópia;

b. diretamente pelo usuário, pela execução de uma das cópias


enviadas ao seu computador;

c. pela realização de uma ação específica do usuário, a qual ele está


condicionado como, por exemplo, a inserção de uma mídia removível.

Após o alvo ser infectado, o processo de propagação e infecção


recomeça, sendo que, a partir deste momento, o computador que antes
era o alvo passa a ser também originador dos ataques.

Trata-se do processo de propagação e infecção por

(A) vírus.

(B) backdoor.

(C) trojan.

(D) spyware.

(E) worm.

7. (FCC – TCM/GO – Auditor de Controle Externo -


Informática – 2015) E-mail spoofing é uma técnica que pode ser utilizada
para propagação de códigos maliciosos, envio de spam e golpes de
phishing. Esta técnica consiste em

(A) alterar os campos do protocolo SMTP, de forma que os e-mails do


usuário sejam direcionados para outra conta sem que ele saiba.

(B) alterar as configurações de um servidor de e-mail para que dispare


uma infinidade de e-mails falsos até encher a caixa de correio de um ou
muitos usuários.

Prof. Victor Dalton


www.estrategiaconcursos.com.br 156 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

(C) falsificar o protocolo SMTP para inspecionar os dados trafegados


na caixa de e-mail do usuário, por meio do uso de programas específicos.

(D) alterar os campos do cabeçalho de um e-mail, de forma a


aparentar que ele foi enviado de uma determinada origem quando, na
verdade, foi enviado de outra.

(E) efetuar buscas minuciosas no computador do usuário, com o


objetivo de identificar informações sigilosas.

8. (FCC – TCM/GO – Auditor de Controle Externo -


Informática – 2015) Considere que o TCM/GO decidiu adquirir
certificados digitais ICP-BRASIL do tipo A3 para que seus servidores
possam acessar os sistemas, informações e serviços no ambiente
informatizado. Neste tipo de certificado os dados são gerados,
armazenados e processados

(A) na nuvem, em repositório sob responsabilidade da ICP-Brasil.

(B) em um cartão inteligente ou token.

(C) no computador pessoal do usuário.

(D) em repositório protegido por senha, cifrado por software.

(E) em CD, DVD ou pen drive criptografado.

9. (FCC – CNMP – Analista – Suporte e Infraestrutura –


2015) Uma das formas de se implementar a segurança em um sistema de
bancos de dados é por meio da criptografia de dados, em que um dos
mecanismos utilizados consiste na criptografia de chave pública, que
apresenta a característica de que

(A) um usuário U3 que tenha recebido dados criptografados de um


usuário U4 deve conhecer a chave privada de U4 para decodificar os dados.

(B) cada usuário do sistema de banco de dados possui uma chave


pública e uma chave privada.

(C) cada usuário do sistema de banco de dados possui apenas duas


chaves privadas e nenhuma chave pública.

Prof. Victor Dalton


www.estrategiaconcursos.com.br 157 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

(D) se um usuário U1 quiser trocar dados com um usuário U2 deve


criptografar os dados com a chave privada de U2.

(E) cada usuário do sistema de banco de dados possui apenas duas


chaves públicas e nenhuma chave privada.

10. (FCC – CNMP – Analista – Suporte e Infraestrutura –


2015) Em segurança da informação, a criptografia é a técnica que utiliza
a cifragem e, frequentemente, uma chave criptográfica para transformar a
informação original para que apenas o interlocutor, ou as pessoas
autorizadas, possam ler a informação original. Dentre as diferentes técnicas
de criptografia atualmente utilizadas, a que utiliza o esquema de chave
assimétrica é

(A) DES.

(B) RSA.

(C) IDEA.

(D) RC4.

(E) AES.

11. (FCC – TRT/4ª Região – Analista Judiciário – 2015)


Ferramentas antimalware, como os antivírus, procuram detectar, anular ou
remover os códigos maliciosos de um computador. Para que estas
ferramentas possam atuar preventivamente, diversos cuidados devem ser
tomados, por exemplo:

(A) atualizar o antimalware somente quando o sistema operacional for


atualizado, para evitar que o antimalware entre em conflito com a versão
atual do sistema instalado.

(B) evitar executar simultaneamente diferentes programas


antimalware, pois eles podem entrar em conflito, afetar o desempenho do
computador e interferir na capacidade de detecção um do outro.

(C) utilizar sempre um antimalware online, que é mais atualizado e


mais completo que os locais.

(D) configurar o antimalware para verificar apenas arquivos que


tenham a extensão .EXE.

Prof. Victor Dalton


www.estrategiaconcursos.com.br 158 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

(E) não configurar o antimalware para verificar automaticamente os


discos rígidos e as unidades removíveis (como pen-drives e discos
externos), pois podem ser uma fonte de contaminação que o usuário não
percebe.

12. (FCC – TRT/4ª Região – Analista Judiciário – 2015)


Ferramentas antimalware, como os antivírus, procuram detectar, anular ou
remover os códigos maliciosos de um computador. Para que estas
ferramentas possam atuar preventivamente, diversos cuidados devem ser
tomados, por exemplo:

(A) atualizar o antimalware somente quando o sistema operacional for


atualizado, para evitar que o antimalware entre em conflito com a versão
atual do sistema instalado.

(B) evitar executar simultaneamente diferentes programas


antimalware, pois eles podem entrar em conflito, afetar o desempenho do
computador e interferir na capacidade de detecção um do outro.

(C) utilizar sempre um antimalware online, que é mais atualizado e


mais completo que os locais.

(D) configurar o antimalware para verificar apenas arquivos que


tenham a extensão .EXE.

(E) não configurar o antimalware para verificar automaticamente os


discos rígidos e as unidades removíveis (como pen-drives e discos
externos), pois podem ser uma fonte de contaminação que o usuário não
percebe.

Quem já tentou instalar mais de um antivírus em um computador sabe


o transtorno que isso causa. Tais ferramentas consomem uma boa parte
da memória, e duas ou mais simultaneamente degradam o desempenho do
micro. Além disso, por realizarem procedimentos intrusivos na máquina,
um antivírus começa a achar que o outro antivírus é um vírus.

Resposta certa, alternativa b).

Prof. Victor Dalton


www.estrategiaconcursos.com.br 159 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

13. (FCC – TRT/15ª Região – Analista Judiciário – Tecnologia


da Informação – 2015) Esquemas de criptografia com chave simétrica e
com chave assimétrica são utilizados para os diferentes tipos de
transferência de dados e informações. É um recurso de segurança que
utiliza o esquema de criptografia de chave assimétrica:

(A) Acesso ao gerenciador de banco de dados Oracle 10g por meio de


senha.

(B) Segurança WEP para redes sem fio WiFi.

(C) Acesso ao sistema operacional Linux Xen por meio de senha.

(D) Internet banking, ou seja, acesso aos serviços bancários pela


internet.

(E) Acesso ao sistema operacional Windows 2008 Server por meio de


senha.

14. (FCC – TRT/15ª Região – Técnico Judiciário – Tecnologia


da Informação – 2015) O usuário de um computador conectado à
internet está se queixando que, repentinamente, começaram a aparecer
janelas com anúncios na tela do computador. Considerando a possibilidade
de que um malware está atacando o computador do usuário, o sintoma
relatado aparenta ser a ação de um malware do tipo

(A) Backdoor.

(B) Adware.

(C) Botnet.

(D) Spyware.

(E) Rootkit.

15. (FCC – TRT/15ª Região – Analista Judiciário – Tecnologia


da Informação – 2015) Sobre um programa de código malicioso −
malware, considere:

I. É notadamente responsável por consumir muitos recursos devido à


grande quantidade de cópias de si mesmo que costuma propagar e, como

Prof. Victor Dalton


www.estrategiaconcursos.com.br 160 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

consequência, pode afetar o desempenho de redes e a utilização de


computadores.

II. Programa capaz de se propagar automaticamente pelas redes,


enviando cópias de si mesmo de computador para computador.

III. Diferente do vírus, não se propaga por meio da inclusão de cópias


de si mesmo em outros programas ou arquivos, mas sim pela execução
direta de suas cópias ou pela exploração automática de vulnerabilidades
existentes em programas instalados em computadores.

Os itens I, II e III tratam de características de um

(A) Keylogger.

(B) Scan.

(C) Worm.

(D) Spoofing.

(E) Trojan Proxy.

16. (FCC – TRE/MA – Técnico Judiciário – 2015) Alcebíades


queria instalar um software em seu computador rapidamente para
modificar umas fotos. Procurou na internet e achou um software freeware.
Baixou e instalou, sem perceber que alguns softwares adicionais foram
instalados também. Como a prioridade era a rapidez e não a segurança,
ele pagou o preço. Sua página inicial do browser foi alterada, sua página
de procura principal e redirecionamentos de páginas. Qual destas pragas
virtuais Alcebiades instalou?

a) Browser Hijacker.

b) Trojans.

c) Spyware.

d) Worms.

Prof. Victor Dalton


www.estrategiaconcursos.com.br 161 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

17. (FCC – TRT/15ª Região – Analista Judiciário – Tecnologia


da Informação – 2015) Considere, abaixo, as células assinaladas por um
tique, como características de códigos maliciosos.

Neste caso, I e II correspondem, correta e respectivamente a

(A) Rootkit e Trojan.

(B) Trojan e Rootkit.

(C) Backdoor e Rootkit.

(D) Trojan e Backdoor.

(E) Rootkit e Backdoor.

18. (FCC – TRT/3ª Região – Analista Judiciário – Tecnologia


da Informação – 2015) O Analista Judiciário da área de TI incumbido de
melhorar a segurança da informação do TRT da 3a Região deseja escolher
o esquema de criptografia a ser utilizado para uma transferência de
urgência de grande quantidade de dados entre os Tribunais.

Prof. Victor Dalton


www.estrategiaconcursos.com.br 162 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

Dentre os esquemas de criptografia, o Analista deve escolher o de


chave

(A) simétrica, pois apresenta maior velocidade de processamento se


comparado ao de chave assimétrica.

(B) assimétrica, pois utiliza um algoritmo eficiente e de maior


desempenho de processamento se comparado ao de chave simétrica.

(C) simétrica devido à facilidade que este apresenta para enviar a


chave pela internet de forma segura.

(D) assimétrica, pois requer a utilização de duas chaves para


criptografar e descriptografar a informação, o que o torna mais seguro que
o de chave simétrica.

(E) simétrica devido à facilidade que este apresenta para gerenciar


grande quantidade de chaves se comparado ao de chave assimétrica.

19. (FCC – TRT/3ª Região – Analista Judiciário – Tecnologia


da Informação – 2015) O algoritmo de criptografia AES foi desenvolvido
para substituir o DES, cuja segurança havia sido quebrada. Diferentemente
do DES, o algoritmo do AES realiza a cifragem sobre blocos de dados com
tamanho, em bits, de

(A) 192.

(B) 256.

(C) 128.

(D) 512.

(E) 240.

20. (FCC – TRT/3ª Região – Técnico Judiciário – Tecnologia


da Informação – 2015) O técnico judiciário da área de TI do TRT da 3a
Região deve escolher o esquema de criptografia mais adequado para a
seguinte situação. Ele deve receber uma informação de forma segura, ou
seja, criptografada, de outro Tribunal, mas não tem meios para enviar um
código secreto (chave) de forma segura para aquele Tribunal. Nessa
situação, o técnico deve utilizar o esquema de criptografia de chave

Prof. Victor Dalton


www.estrategiaconcursos.com.br 163 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

(A) simétrica.

(B) privada.

(C) assimétrica.

(D) unificada.

(E) isolada.

21. (FCC – TRT/3ª Região – Técnico Judiciário – Tecnologia


da Informação – 2015) Diversos recursos e ferramentas são utilizados
para melhorar a segurança da informação, principalmente a transmissão
de informações pela rede de computadores. Nesse contexto, o hash é
utilizado para

(A) gerar um conjunto de dados de tamanho fixo independentemente


do tamanho do arquivo original.

(B) criar uma chave criptográfica específica e personalizada para o


arquivo a ser transmitido pela rede.

(C) verificar a autenticidade da mensagem utilizando a chave simétrica


gerada no processo de hashing.

(D) armazenar, em um arquivo, e transmitir a chave assimétrica


utilizada para criptografar os dados.

(E) checar a veracidade de uma assinatura digital junto a uma


Autoridade Certificadora.

22. (FCC – TRT/3ª Região – Técnico Judiciário – Tecnologia


da Informação – 2015) Um dos padrões de criptografia mais difundidos
mundialmente é o Data Encryption Standard − DES. Atualmente ele é
utilizado na forma denominada Triple DES, devido à fragilidade identificada
no DES que utiliza uma chave com

(A) 48 bits.

(B) 56 bits.

(C) 128 bits.

(D) 84 bits.

Prof. Victor Dalton


www.estrategiaconcursos.com.br 164 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

(E) 64 bits.

23. (ESAF – Superintendência de Seguros Privados –


Tecnologia da Informação – 2010) Por política de segurança entende-
se

a) política planejada, válida para os setores críticos da organização,


com regras o mais claro e simples possível, e estrutura gerencial de
fiscalização dessa política, claramente sustentada pela alta hierarquia da
área de informática.
b) política elaborada, implantada e em contínuo processo de revisão,
válida para toda a organização, com regras o mais claro e simples possível,
e estrutura gerencial e material de suporte a essa política, claramente
sustentada pela alta hierarquia.
c) política e diretrizes de implantação, em contínuo processo de
desenvolvimento, fiscalizada por toda a organização, com regras
criptografadas e estrutura matricial e material de priorização dessa política,
claramente sustentada pela alta hierarquia.
d) política elaborada, implantada e imune a revisões, válida para toda
a organização, com estrutura gerencial de regras de formalização
individualizada dessa política nas unidades organizacionais, claramente
sustentada pelos gestores do nível operacional.
e) o conjunto de diretrizes e metas elaboradas, implantadas e em
contínuo processo de revisão, válidas para os responsáveis pela segurança,
com técnicas criptográficas o mais claro e simples possível, e estrutura
gerencial e material de terceirização de procedimentos, sustentada pela
alta hierarquia, quando possível.

24. (FCC – TRT 24ª Região – Analista Judiciário – Tecnologia


da Informação – 2011 - adaptada) Considere:

I. Garantia de que o acesso à informação seja obtido somente por


pessoas autorizadas.

II. Salvaguarda da exatidão e completeza da informação e dos


métodos de processamento.

Prof. Victor Dalton


www.estrategiaconcursos.com.br 165 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

III. Garantia de que os usuários autorizados obtenham acesso à


informação e aos ativos correspondentes sempre que necessário.

Na ISO/IEC 17799(27002), I, II e III correspondem, respectivamente,


a

a) disponibilidade, integridade e confiabilidade.

b) confiabilidade, integridade e distributividade.

c) confidencialidade, integridade e disponibilidade.

d) confidencialidade, confiabilidade e disponibilidade.

e) integridade, confiabilidade e disponibilidade.

25. (FCC – SEFAZ/SP – Agente Fiscal de Rendas – 2013) Um


dos recursos básicos utilizados na segurança da informação é a criptografia
que tem como objetivo assegurar a

a) consistência.

b) disponibilidade.

c) integridade.

d) privacidade.

e) legalidade.

26. (FCC – Banco Central do Brasil – Analista Área 1 – 2006)


NÃO é uma cifra de César resultante da criptografia sobre uma mesma
mensagem:

a) F H Q W U D O.

b) K M V C W J Q.

c) E G P V T C N.

d) I K T Z X G R.

e) G I R X V E P.

Prof. Victor Dalton


www.estrategiaconcursos.com.br 166 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

27. (FCC – Banco Central do Brasil – Analista Área 1 – 2006)


Em uma criptografia, o conceito de força bruta significa uma técnica para

a) eliminar todas as redundâncias na cifra.

b) tornar complexa a relação entre a chave e a cifra.

c) acrescentar aleatoriedade aos dados, tornando maior o caos.

d) quebrar uma criptografia simétrica por meio de busca exaustiva da


chave.

e) ocultar uma determinada informação para torná-la imperceptível.

28. (ESAF – Auditor de Finanças e Controle – Infraestrutura


de TI – 2012) Comparando a criptografia simétrica com a assimétrica,
observa-se que

a) a primeira possui o problema do gerenciamento de chaves, ao passo


que a segunda possui o problema da complexidade binária.
b) a primeira possui o problema da privacidade da chave universal, ao
passo que a segunda possui o problema da criação e distribuição de chaves.
c) a primeira possui o problema da distribuição e gerenciamento de
chaves, ao passo que a segunda possui o problema do desempenho.
d) a primeira possui o problema do desempenho em redes sem fio, ao
passo que a segunda possui o problema do desempenho em ambientes
corporativos.
e) a primeira possui o problema do desempenho, ao passo que a
segunda possui o problema da geração de chaves.

29. (FCC – MPE/MA – Analista Ministerial – Segurança da


Informação – 2013) Considere:

I. Utiliza uma mesma chave tanto para codificar como para decodificar
informações, sendo usada principalmente para garantir a confidencialidade
dos dados.
II. Utiliza duas chaves distintas: uma pública, que pode ser livremente
divulgada, e uma privada. Quando uma informação é codificada com uma
das chaves, somente a outra chave do par pode decodificá-la.

Prof. Victor Dalton


www.estrategiaconcursos.com.br 167 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

Os itens acima descrevem, respectivamente,

a) assinatura digital e função de resumo.


b) método de espalhamento e PKI.
c) função de resumo e assinatura digital.
d) criptografia de chave simétrica e de chave assimétrica.
e) criptografia de chave pública e método de espalhamento

30. (FCC – TRT 11ª Região – Analista Judiciário – Tecnologia


da Informação - 2012) Corresponde a uma função de hash criptográfico,
a um algoritmo de criptografia simétrica e a um algoritmo de chave pública,
respectivamente,

a) SHA-1, DES e RSA.

b) MD5, Diffie-Hellman e RSA.

c) 3DES, MD5 e RC5.

d) AES, SHA-1 e RC6.

e) Diffie-Hellman, MD5 e DES.

31. (FCC – TRT 6ª Região – Analista Judiciário – Tecnologia


da Informação – 2012) A respeito de algoritmos criptográficos, é correto
afirmar que

a) AES é um exemplo de criptografia de chave assimétrica.

b) SHA1 é um exemplo de algoritmo de criptografia com aplicações


que não são criptográficas como, por exemplo, a verificação de integridade
de dados.

c) RSA é um exemplo de criptografia de chave simétrica.

d) DES é considerado mais seguro que AES, porque este último é


suscetível a "ataques de força bruta".

e) AES é considerado mais seguro que DES, porque este último utiliza
chaves assimétricas.

Prof. Victor Dalton


www.estrategiaconcursos.com.br 168 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

32. (FCC – TJ/PE – Analista Judiciário – Analista de Suporte


– 2012) O padrão de criptografia que é uma cifra simétrica de bloco que
usa um tamanho de bloco de 128 bits e um tamanho de chave de 128, 192
ou 256 bits é conhecido como:

a) PKCS#7.

b) SHA 1.

c) RSA.

d) DES.

e) AES.

33. (Cesgranrio - BNDES – Analista de Suporte de Sistemas


–2010) Um usuário mal-intencionado obteve, além do tipo de algoritmo
utilizado na criptografia, a chave pública de João, quando este iniciou uma
comunicação criptografada (algoritmo assimétrico) com Marcela. De posse
dessa chave pública e do algoritmo, o usuário mal-intencionado

a) pode ler o conteúdo das mensagens enviadas de João a Marcela,


mas não o inverso.
b) pode ler o conteúdo das mensagens enviadas de Marcela a João,
mas não o inverso.
c) não tem acesso ao conteúdo das mensagens de posse desses itens.
d) consegue obter a chave privada a partir de ataques de dicionário.
e) consegue obter a chave privada utilizando ataques de SQL Injection.

34. (FCC – MPE/MA – Analista Ministerial – Segurança da


Informação – 2013) Uma assinatura digital é um recurso de segurança
cujo objetivo é

a) identificar um usuário apenas por meio de uma senha.


b) identificar um usuário por meio de uma senha, associada a um
token.
c) garantir a autenticidade de um documento.
d) criptografar um documento assinado eletronicamente.
e) ser a versão eletrônica de uma cédula de identidade.

Prof. Victor Dalton


www.estrategiaconcursos.com.br 169 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

35. (ESAF – Auditor de Finanças e Controle – Infraestrutura


de TI – 2012) Com relação ao processo de verificação de assinatura
digital, tem-se que o algoritmo de assinatura digital é aplicado sobre a
assinatura digital recebida, usando a chave pública do remetente, o que
resulta no resumo criptográfico da mensagem; em seguida, o algoritmo de
hash é aplicado na mensagem recebida. A assinatura digital é válida se

a) os dois resumos obtidos forem simétricos.


b) os dois certificados digitais forem iguais.
c) o resumo obtido na recepção for o hash do resumo original.
d) os dois resumos obtidos forem iguais.
e) as chaves públicas forem diferentes.

36. (FCC – MPE/MA – Analista Ministerial – Segurança da


Informação – 2013) A assinatura digital permite comprovar a ...... e a
integridade de uma informação, ou seja, que ela foi realmente gerada por
quem diz e que ela não foi alterada. A assinatura digital baseia-se no fato
de que apenas o dono conhece a chave privada, garantindo deste modo
que apenas ele possa ter efetuado a operação.

A lacuna é preenchida corretamente por


a) confidencialidade.
b) velocidade.
c) robustez.
d) autenticidade.
e) criptografia.

37. (ESAF – Auditor de Finanças e Controle – Infraestrutura


de TI – 2008) Em assinaturas digitais, a chave criptográfica usada para a
verificação da autenticidade de um dado emissor por um receptor é a chave

a) privada do emissor.
b) pública do emissor.
c) pública do receptor.
d) privada do receptor.
e) simétrica compartilhada entre emissor e receptor.

38. (FCC – TRT/2ª Região – Técnico Judiciário – Tecnologia


da Informação – 2013) Um código anexado ou logicamente associado a

Prof. Victor Dalton


www.estrategiaconcursos.com.br 170 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

uma mensagem eletrônica que permite, de forma única e exclusiva, a


comprovação da autoria de um determinado conjunto de dados é:

a) uma autoridade certificadora;


b) uma trilha de auditoria;
c) uma chave simétrica;
d) uma assinatura digital;
e) um certificado digital.

39. (FCC – MPE/MA – Analista Ministerial – Segurança da


Informação – 2013) Um certificado digital pode ser comparado a um
documento de identidade, por exemplo, ao passaporte, no qual constam
dados pessoais e a identificação de quem o emitiu. No caso do passaporte,
a entidade responsável pela emissão e pela veracidade dos dados é a Polícia
Federal.

No caso do certificado digital esta entidade é a


a) Autoridade Certificadora.
b) Unidade de Registro de Domínios.
c) Autoridade de Registro.
d) Comissão Regional de Registros.
e) Federação de Segurança.

40. (FGV – Senado - Analista de Sistemas – 2012 – 1ª


aplicação) Um certificado digital é um arquivo eletrônico que identifica
quem é o seu titular, pessoa física ou jurídica, ou seja, é um documento
eletrônico de identidade. Quando são realizadas transações, de forma
presencial, muitas vezes é solicitada uma identificação, por meio de um
registro que comprove identidade. Na Internet, quando as transações são
feitas de forma eletrônica, o Certificado Digital surge como forma de
garantir a identidade das partes envolvidas. Entre os fatores garantidos
pela Certificação Digital, dois são descritos a seguir:

I. É a garantia de que somente o titular do Certificado poderia ter


realizado determinada operação.
II. É a garantia de que as informações trocadas nas transações
eletrônicas não foram alteradas no caminho que percorreram.
Esses fatores são conhecidos, respectivamente, por:

a) Não-repúdio e Privacidade nas transações


b) Não-repúdio e Integridade das mensagens
Prof. Victor Dalton
www.estrategiaconcursos.com.br 171 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

c) Confidencialidade e Integridade das mensagens


d) Autenticidade e Integridade das mensagens
e) Autenticidade e Privacidade nas transações

41. (FCC – MPE/MA – Analista Ministerial – Segurança da


Informação – 2013) De forma geral, os dados básicos que compõem um
certificado digital são:

− versão e número de série do certificado.


− dados que identificam quem emitiu o certificado.
− dados que identificam o dono do certificado.

É INCORRETO dizer que dentre estes dados também se inclua:

a) validade do certificado.
b) chave privada do dono do certificado.
c) chave pública do dono do certificado.
d) algoritmo de assinatura.
e) requerente.

42. (FCC – Câmara dos Deputados – Analista de Informática


– 2007) Um certificado digital é:

I – Um arquivo eletrônico que contém a identificação de uma pessoa


ou instituição.
II – Equivalente ao RG ou CPF de uma pessoa.
III – O mesmo que uma assinatura digital.
Está correto o que consta em:

a) I apenas;
b) III apenas;
c) I e II apenas;
d) I e III apenas;
e) I, II e III.

43. (FCC – INFRAERO – Analista de Sistemas – Rede e


Suporte – 2011) Em relação à assinatura digital, é INCORRETO afirmar:

Prof. Victor Dalton


www.estrategiaconcursos.com.br 172 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

a) Quando um usuário usa a chave pública do emitente para decifrar


uma mensagem, ele confirma que foi aquele emitente e somente aquele
emitente quem enviou a mensagem, portanto, a assinatura é autêntica.
b) O documento assinado não pode ser alterado: se houver qualquer
alteração no texto criptografado este só poderá ser restaurado com o uso
da chave pública do emitente.
c) A assinatura não pode ser forjada, pois somente o emitente conhece
sua chave secreta.
d) A assinatura é uma função do documento e não pode ser transferida
para outro documento, portanto, ela não é reutilizável.
e) O usuário destinatário não precisa de nenhuma ajuda do usuário
emitente para reconhecer sua assinatura e o emitente não pode negar ter
assinado o documento, portanto, a assinatura não pode ser repudiada.

44. (ESAF – Analista de Finanças e Controle – Infraestrutura


de TI – 2012) Infraestrutura de Chave Pública é o conjunto de
hardware,software, pessoas, políticas e procedimentos necessários para

a) instanciar, transmitir, apagar, publicar e revogar certificados


digitais.
b) montar, validar perante a Polícia Federal, distribuir e apagar
certificados digitais.
c) criar, gerenciar, armazenar, distribuir e revogar certificados digitais.
d) criar, instanciar, armazenar, restaurar e publicar certificados
digitais.
e) montar, gerenciar, armazenar, restaurar e publicar certificados
digitais.

45. (FCC – TRT 24ª Região – Analista Judiciário – Tecnologia


da Informação - 2011) Consiste em uma chave pública mais um ID de
usuário do proprietário da chave, com o bloco inteiro assinado por um
terceiro que tenha credibilidade. A definição é de

a) assinatura digital e o terceiro referido corresponde ao signatário


recebedor da mensagem.

b) criptografia assimétrica e o terceiro referido corresponde ao


signatário recebedor da mensagem.

Prof. Victor Dalton


www.estrategiaconcursos.com.br 173 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

c) criptografia simétrica e o proprietário referido corresponde a uma


autoridade certificadora.

d) certificado de chave pública e o terceiro referido corresponde a uma


autoridade certificadora.

e) assinatura de chave pública e o proprietário referido corresponde a


uma autoridade certificadora.

46. (FCC – TRT/1ª Região – Analista Judiciário – Tecnologia


da Informação - 2014) Um Analista em Tecnologia da Informação do TRT
da 1a Região deve escolher um algoritmo de criptografia assimétrica para
os serviços de acesso à rede de computadores do Tribunal. O Analista deve
escolher o

(A) AES.
(B) RSA.
(C) RC4.
(D) DES.
(E) IDEA.

47. (FCC – TCE/RS – Auditor Público Externo – Técnico em


Processamento de Dados – 2014) O sistema de Certificação Digital foi
introduzido para aumentar a segurança da informação transmitida entre
duas organizações, garantindo os aspectos de confidencialidade,
autenticidade e confiabilidade. Esse sistema foi proposto em decorrência do
problema de

(A) distribuição de chaves simétricas.


(B) ineficiência do algoritmo de criptografia de chaves assimétricas.
(C) simplicidade das chaves simétricas.
(D) ineficiência do algoritmo de criptografia de chaves simétricas.
(E) quebra do sigilo de chaves assimétricas.

48. (FCC – TRT 16ª Região – Técnico Judiciário –Tecnologia


da Informação – 2014) Os certificados usados para confirmação da
identidade na web, correio eletrônico, transações online, redes privadas
virtuais, transações eletrônicas, informações eletrônicas, cifração de
Prof. Victor Dalton
www.estrategiaconcursos.com.br 174 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

chaves de sessão e assinatura de documentos com verificação da


integridade de suas informações, são os Certificados de Assinatura Digital

(A) A1, A2, A3 e A4.


(B) SHA-0, SHA-1, SHA-256 e SHA-512.
(C) B1, B2, B3, B4 e B5.
(D) S1, S2, S3 e S4.
(E) SHA-32, SHA-64, SHA-128 e SHA-256.

49. (FCC – ISS/SP – Auditor-Fiscal Tributário Municipal I –


Tecnologia da Informação – 2012) São algumas das medidas de
prevenção contra a infecção ou proliferação de vírus:

I. Desabilitar no programa leitor de e-mails a autoexecução de


arquivos anexados às mensagens.
II. Procurar utilizar, na elaboração de documentos, formatos menos
suscetíveis à propagação de vírus, tais como RTF, PDF ou PostScript.
III. Procurar não utilizar, no caso de arquivos comprimidos, o formato
executável.
IV. Não executar ou abrir arquivos recebidos por e-mail ou por outras
fontes antes de certificar-se de que esses arquivos foram verificados pelo
programa antivírus.

Está correto o que se afirma em


a) I, II e III, apenas.
b) I, II, III e IV.
c) I e III, apenas.
d) II, apenas.
e) II e III, apenas.

50. (FCC – Banco Central do Brasil – Analista Área 1 – 2006)


Um código malicioso que se altera em tamanho e aparência cada vez que
infecta um novo programa é um vírus do tipo

a) de boot.

b) de macro.

c) parasita.

d) camuflado.
Prof. Victor Dalton
www.estrategiaconcursos.com.br 175 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

e) polimórfico.

51. (Cesgranrio - BNDES - Analista de Suporte de Sistemas


–2010) Um conjunto de computadores está sendo utilizado para tirar de
operação um serviço de determinado órgão público. Essa situação configura
o ataque do tipo

a) Replay.
b) SQL Injection.
c) XSS.
d) Buffer Overflow.
e) DDoS.

52. (FCC – MPE/AP – Técnico Ministerial – Informática -


2012) Códigos maliciosos (malwares) são programas que objetivam
executar ações danosas e atividades maliciosas em um computador. Neste
contexto encontram-se bots e botnets, sobre os quais é correto afirmar:

a) Botnet é um software malicioso de monitoramento de rede que tem


a função de furtar dados que transitam pela rede e, normalmente, tornar a
rede indisponível disparando uma grande carga de dados direcionados ao
servidor da rede.

b) Bot é um programa que dispõe de mecanismos de comunicação


com o invasor e possui um processo de infecção e propagação igual ao do
vírus, ou seja, não é capaz de se propagar automaticamente.

c) Um computador infectado por um bot costuma ser chamado de


attack base, pois serve de base para o atacante estabelecer suas ações
maliciosas. Também pode ser chamado de spam host, pois o bot instalado
tem o objetivo de enviar infinitamente spams para a caixa de e-mail de
quem é vítima do ataque.

d) A comunicação entre o invasor e o computador infectado pelo bot


pode ocorrer exclusivamente via redes do tipo P2P. Ao se comunicar, o
invasor pode enviar instruções para que ações maliciosas sejam
executadas, como desferir ataques, furtar dados do computador infectado
e enviar spam.

e) Algumas das ações maliciosas que costumam ser executadas por


intermédio de botnets são: ataques de negação de serviço, propagação de
Prof. Victor Dalton
www.estrategiaconcursos.com.br 176 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

códigos maliciosos, coleta de informações de um grande número de


computadores, envio de spam e camuflagem da identidade do atacante.

53. (FCC – TST – Analista Judiciário – Tecnologia da


Informação - 2012) Vírus de computador e outros programas maliciosos
(Malwares) agem de diferentes formas para infectar e provocar danos em
computadores. O Malware que age no computador capturando as ações e
as informações do usuário é denominado

a) Cavalo de Troia.

b) Keyloggers.

c) Backdoors.

d) Spyware.

e) Worm.

54. (FCC – TRT/6ª Região – Técnico Judiciário – Tecnologia


da Informação - 2012) Considere:

Em relação a malwares e com base na notícia apresentada, é correto


afirmar:

a) Trata-se de uma notícia alarmista e falsa, pois os computadores


Mac são imunes a este tipo de ataque.

b) Caso seja fornecida a senha, o usuário perderá sua máquina, pois


o Flashback irá destruir o disco rígido.

c) Certamente empresas especializadas podem oferecer soluções para


desinfectar as máquinas Mac.

d) Dificilmente uma empresa, mesmo especializada, conseguirá


oferecer soluções de desinfecção para máquinas Mac.

Prof. Victor Dalton


www.estrategiaconcursos.com.br 177 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

e) A Apple certamente irá à falência depois de uma notícia como esta.

55. (FCC – TRT/6ª Região – Técnico Judiciário – Tecnologia


da Informação - 2012) O termo malware é uma denominação genérica
para designar software projetado para causar danos a quem o executa.
Software assim pode ganhar acesso a um computador através dos
seguintes meios, EXCETO

a) um arquivo .mp3 que infecta o sistema ao ser tocado.

b) um arquivo .doc que infecta o sistema ao ser aberto no editor.

c) uma extensão do navegador que infecta o sistema ao ser


executada.

d) um programa executável que infecta o sistema ao ser executado.

e) uma arquivo .xls que infecta o sistema ao ser aberto.

56. (FCC – MPE/PE – Analista Ministerial – Informática -


2012) Sobre Cavalo de Tróia, é correto afirmar:

a) Consiste em um conjunto de arquivos .bat que não necessitam ser


explicitamente executados.

b) Contém um vírus, por isso, não é possível distinguir as ações


realizadas como consequência da execução do Cavalo de Tróia
propriamente dito, daquelas relacionadas ao comportamento de um vírus.

c) Não é necessário que o Cavalo de Tróia seja executado para que


ele se instale em um computador. Cavalos de Tróia vem anexados a
arquivos executáveis enviados por e-mail.

d) Não instala programas no computador, pois seu único objetivo não


é obter o controle sobre o computador, mas sim replicar arquivos de
propaganda por e-mail.

e) Distingue-se de um vírus ou de um worm por não infectar outros


arquivos, nem propagar cópias de si mesmo automaticamente.

Prof. Victor Dalton


www.estrategiaconcursos.com.br 178 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

57. (FUNCAB – MPE/RO – Analista – Suporte de Informática


- 2012) Os programas keyloggers e screenloggers são considerados
programas do tipo:

a) adware

b) cavalo de troia.

c) spyware

d) worms

e) hoaxes

58. (FCC – TRT/14ª Região – Analista Judiciário – Tecnologia


da Informação - 2011) Analise as seguintes características de software:

I. Especificamente projetado para apresentar propagandas, quer por


intermédio de um browser quer por meio de algum outro programa
instalado.

II. Monitorar atividades de um sistema e enviar as informações


coletadas para terceiros.

De acordo com cgi.br, I e II são tipos de software categorizados,


respectivamente, como

a) Trojan e worm.

b) adware e worm.

c) adware e spyware.

d) spyware e trojan.

e) phishing e spam.

59. (FCC – MPE/AM – Agente de Apoio – Manutenção e


Suporte de Informática - 2013) Com relação à utilização correta de
ferramentas antimalware, considere:

I. É aconselhável utilizar programas antimalware on-line quando se


suspeitar que o antimalware local esteja desabilitado ou comprometido ou
quando se necessitar de uma segunda verificação.
Prof. Victor Dalton
www.estrategiaconcursos.com.br 179 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

II. Devem ser configuradas para verificar apenas arquivos executáveis,


pois são os únicos que podem conter vírus e outros tipos de malware.
III. Deve-se evitar executar simultaneamente diferentes programas
antimalware, pois eles podem entrar em conflito, afetar o desempenho do
computador e interferir na capacidade de detecção um do outro.
IV. Não é recomendável ter um antimalware instalado no computador,
pois os programas on-line além de serem mais eficientes, são suficientes
para proteger o computador.

Está correto o que se afirma APENAS em


a) I, II e III.
b) III e IV.
c) I e III.
d) II e IV.
e) I.

60. (FCC – MPE/CE – Analista Ministerial – Ciências da


Computação - 2013) Há diferentes tipos de vírus. Alguns procuram
permanecer ocultos, infectando arquivos do disco e executando uma série
de atividades sem o conhecimento do usuário. Há outros que permanecem
inativos durante certos períodos, entrando em atividade apenas em datas
específicas. Alguns dos tipos de vírus mais comuns são apresentados nas
afirmativas abaixo. Assinale o que NÃO se trata de um vírus.

a) Propaga-se de celular para celular por meio de bluetooth ou de


mensagens MMS. A infecção ocorre quando um usuário permite o
recebimento de um arquivo infectado e o executa. Após infectar o celular,
pode destruir ou sobrescrever arquivos, remover ou transmitir contatos da
agenda, efetuar ligações telefônicas e drenar a carga da bateria.

b) Recebido como um arquivo anexo a um e-mail, que tenta induzir o


usuário a clicar sobre este arquivo para que seja executado. Quando entra
em ação, infecta arquivos e programas e envia cópias de si mesmo para os
e-mails encontrados nas listas de contatos gravadas no computador.

c) Escrito em linguagem de script, recebido ao acessar uma página


web ou por e-mail, como um arquivo anexo ou parte do próprio e-mail
escrito em HTML. Pode ser automaticamente executado, dependendo da
configuração do browser e do leitor de e-mails do usuário.

Prof. Victor Dalton


www.estrategiaconcursos.com.br 180 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

d) Escrito em linguagem de macro e tenta infectar arquivos


manipulados por aplicativos que utilizam esta linguagem como, por
exemplo, os que compõem o Microsoft Office.

e) Após infectar um computador, tenta se propagar e continuar o


processo de infecção. Para isso, necessita identificar os computadores alvos
para os quais tentará se copiar, o que pode ser feito efetuando uma
varredura na rede e identificando os computadores ativos.

61. (FCC – MPE/CE – Analista Ministerial – Ciências da


Computação - 2013) Ataques costumam ocorrer na Internet com
diversos objetivos, visando diferentes alvos e usando variadas técnicas.
Analise os exemplos e descrições abaixo.

1. Pode ser realizado por diversos meios, como pela geração de grande
tráfego de dados para uma rede, ocupando toda a banda disponível e
tornando indisponível qualquer acesso a computadores ou serviços desta
rede.

2. Uma pessoa recebe um e-mail, em nome de um site de comércio


eletrônico ou de uma instituição financeira, que tenta induzi-la a clicar em
um link. Ao fazer isto, é direcionada para uma página web falsa, semelhante
ao site que realmente deseja acessar, no qual são solicitados os dados
pessoais e financeiros da pessoa.

3. Consiste em alterar campos do cabeçalho de um e-mail, de forma a


aparentar que ele foi enviado de uma determinada origem quando, na
verdade, foi enviado de outra. Esta técnica é possível devido a
características do protocolo SMTP que permitem que campos do cabeçalho
sejam falsificados.

A associação entre a descrição e o tipo de ataque é expressa correta,


e respectivamente, em

a) 1-flood 2-rootkit 3-spyware

b) 1-DoS 2-phishing 3-spoofing

c) 1-DoS 2-adware 3-rootkit

d) 1-adware 2-DoS 3-spyware

e) 1-spyware 2-rootkit 3-DoS

Prof. Victor Dalton


www.estrategiaconcursos.com.br 181 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

62. (FCC – ISS/SP – Auditor-Fiscal Tributário Municipal I –


Tecnologia da Informação – 2012) NÃO é um item a ser considerado
para a geração das cópias de segurança:

a) A produção de registros completos e exatos das cópias de segurança


e de documentação apropriada sobre os procedimentos de restauração da
informação é indispensável.

b) Os procedimentos de recuperação devem ser verificados e testados


regularmente, de forma a garantir que estes são efetivos e que podem ser
concluídos dentro dos prazos definidos nos procedimentos operacionais de
recuperação.

c) As mídias de cópias de segurança devem ser testadas regularmente


para garantir que sejam suficientemente confiáveis para uso de
emergência, quando necessário.

d) A extensão (por exemplo, completa ou diferencial) e a frequência


da geração das cópias de segurança devem refletir os requisitos de negócio
da organização.

e) As cópias de segurança devem ser armazenadas no local onde os


dados foram processados para facilitar um rápido processo de restauração
em caso de desastre.

63. (UEL – SEFAZ/PR – Auditor Fiscal – 2012) Sobre o


algoritmo de criptografia RSA, considere as afirmativas a seguir.

I. A dificuldade no ataque ao RSA consiste em encontrar os fatores


primos de um número composto.

II. É baseado em criptografia simétrica.

III. É computacionalmente inviável gerar um par de chaves.

IV. Pode ser utilizado para autenticação do emissor e do receptor.

Assinale a alternativa correta.

a) Somente as afirmativas I e II são corretas.

b) Somente as afirmativas I e IV são corretas.

c) Somente as afirmativas III e IV são corretas.


Prof. Victor Dalton
www.estrategiaconcursos.com.br 182 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

d) Somente as afirmativas I, II e III são corretas.

e) Somente as afirmativas II, III e IV são corretas.

64. (FCC – TRT 16ª Região – Analista Judiciário – Tecnologia


da Informação – 2014) Após a instalação de um programa obtido na
internet, o navegador Internet Explorer utilizado por Luis apresenta uma
página inicial diferente da configurada por ele, além de exibir pop-up
indesejável. A partir dessas informações, pode-se concluir que o tipo de
malware que atacou o computador do Luis é

(A) Hijacker.

(B) Rootkit.

(C) Worm.

(D) Bootnet.

(E) Keylogger.

65. (FCC – TRT 2ª Região – Analista Judiciário – Tecnologia


da Informação – 2014) Independentemente do tipo de tecnologia usada,
ao se conectar um computador à rede ele pode estar sujeito a diversos
tipos de ataques. De acordo com a cartilha CERT. BR, está correto o que se
afirma em:

(A) Interceptação de tráfego consiste em adivinhar, por tentativa e


erro, um nome de usuário e senha e, assim, executar processos e acessar
sites, computadores e serviços com o nome e com os mesmos privilégios
deste usuário. Apesar deste ataque poder ser realizado manualmente, na
grande maioria dos casos, é realizado com o uso de ferramentas
automatizadas que permitem tornar o ataque bem mais efetivo.

(B) Varredura em redes é uma técnica que consiste em alterar o


conteúdo da página web de um site. Para ganhar mais visibilidade, chamar
mais atenção e atingir maior número de visitantes, geralmente os atacantes
alteram a página principal do site, porém, páginas internas também podem
ser alteradas.

(C) Um ataque de força bruta é uma técnica que consiste em efetuar


buscas minuciosas em redes, com o objetivo de identificar computadores
Prof. Victor Dalton
www.estrategiaconcursos.com.br 183 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

ativos e coletar informações. Com base nas informações coletadas é


possível associar possíveis vulnerabilidades aos serviços disponibilizados, e
aos programas instalados nos computadores ativos detectados.

(D) Desfiguração ou defacement é uma técnica que consiste em


inspecionar os dados trafegados em redes de computadores, por meio do
uso de programas específicos chamados de sniffers.

(E) Ataque de negação de serviço é uma técnica pela qual um atacante


utiliza um computador para tirar de operação um serviço, um computador
ou uma rede conectada à Internet. O objetivo é exaurir recursos e causar
indisponibilidades ao alvo. Quando isto ocorre, todas as pessoas que
dependem dos recursos afetados são prejudicadas, pois ficam
impossibilitadas de acessar ou realizar as operações desejadas.

66. (FCC – ALEPE – Analista Legislativo – Infraestrutura –


2014) Os programas antivírus:

I. Protegem contra phishing de páginas web quando o usuário está em


navegação utilizando livremente o browser.

II. Protegem contra trojan embarcado em uma aplicação quando o


usuário aceita a sua instalação em sua máquina.

III. Criptografam comunicações em rede, sejam elas por meio de envio


de mensagens ou navegação na Internet através de browser.

IV. Protegem contra códigos maliciosos embutidos em macros, as


quais são utilizadas por um software aplicativo ou utilitário do computador
do usuário.

V. Previnem a instalação de aplicativos infectados, no momento da


solicitação de sua instalação, ao gerarem um alerta sobre conteúdo
suspeito ou ao bloquearem a operação de instalação.

Está correto o que se afirma APENAS em

(A) I e II.

(B) II e III.

(C) III e IV.

(D) IV e V.

Prof. Victor Dalton


www.estrategiaconcursos.com.br 184 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

(E) II e V.

67. (FCC – TRT 16ª Região – Técnico Judiciário –Tecnologia


da Informação – 2014) Considere o texto abaixo.

É a entidade subordinada à hierarquia da ICP-Brasil, responsável por


emitir, distribuir, renovar, revogar e gerenciar certificados digitais. Cabe
também a esta entidade emitir listas de certificados revogados (LCR) e
manter registros de suas operações sempre obedecendo às práticas
definidas na Declaração de Práticas de Certificação (DPC). Desempenha
como função essencial a responsabilidade de verificar se o titular do
certificado possui a chave privada que corresponde à chave pública que faz
parte do certificado. Cria e assina digitalmente o certificado do assinante,
onde o certificado emitido representa a declaração da identidade do titular,
que possui um par único de chaves (pública/privada). Na hierarquia dos
Serviços de Certificação Pública, esta entidade está subordinada às
entidades de nível hierarquicamente superior.

O texto refere-se à Autoridade

(A) Certificadora Raiz (AC Raiz).


(B) Gestora de Políticas da ICP-Brasil.
(C) de Registro (AR).
(D) de Validação de Chaves (AVC).
(E) Certificadora (AC).

68. (FCC – TRF 3ª Região – Técnico Judiciário –Informática


– 2014) Considere as seguintes descrições dos ataques que podem ser
realizados por meio da internet:

I. Ocorrem quando dados não confiáveis são enviados para um


interpretador como parte de um comando ou consulta SQL. Os dados
manipulados pelo atacante podem iludir o interpretador para que este
execute comandos indesejados ou permita o acesso a dados não
autorizados.

II. Ocorrem sempre que uma aplicação recebe dados não confiáveis e
os envia ao navegador sem validação ou filtro adequados. Esse tipo de
ataque permite aos atacantes executarem scripts no navegador da vítima
Prof. Victor Dalton
www.estrategiaconcursos.com.br 185 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

que podem “sequestrar” sessões do usuário, desfigurar sites ou


redirecionar o usuário para sites maliciosos.

III. Força a vítima, que possui uma sessão ativa em um navegador, a


enviar uma requisição HTTP forjada, incluindo o cookie da sessão da vítima
e qualquer outra informação de autenticação incluída na sessão, a uma
aplicação web vulnerável. Esta falha permite ao atacante forçar o
navegador da vítima a criar requisições que a aplicação vulnerável aceite
como requisições legítimas realizadas pela vítima.

As descrições I, II e III correspondem, respectivamente, a ataques

(A) de Injeção, Cross-Site Scripting e Quebra de Autenticação e


Gerenciamento de Sessão.

(B) de Redirecionamentos e encaminhamentos inválidos, de Exposição


de Dados Sensíveis e Cross-Site Request Forgery.

(C) Cross-Site Scripting, Cross-Site Request Forgery e de Injeção.

(D) de Injeção, Cross-Site Scripting e Cross-Site Request Forgery.

(E) Cross-Site Scripting, de Injeção e Cross-Site Request Forgery.

69. (FCC – SEFAZ/PE – Auditor Fiscal – 2014) A certificação


digital é uma forma de demonstrar e certificar a identidade do titular da
assinatura digital. É correto afirmar que

(A) o certificado digital pode ser obtido junto a qualquer instituição


pública estadual ou federal, autorizada pelo governo a realizar operações
financeiras e/ou fiscais.

(B) a entidade subordinada à hierarquia da ICP-Brasil, responsável por


emitir, distribuir, renovar, revogar e gerenciar certificados digitais, é
chamada de Autoridade Certificadora.

(C) assinatura digital é a operação de criptografar um documento com


o uso de uma chave criptográfica pública, que atribui ao documento
integridade e disponibilidade.

(D) a assinatura digital é uma senha do contribuinte que permite a


identificação do autor de um documento submetido à Secretaria da
Fazenda.

Prof. Victor Dalton


www.estrategiaconcursos.com.br 186 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

(E) o contabilista de uma empresa deve ficar com o certificado digital


do contribuinte para assinar documentos por ele na sua ausência e/ou em
caso de urgência.

70. (FCC – SEFAZ/PE – Auditor Fiscal – 2014) Reúne os


certificados de assinatura digital, utilizados na confirmação de identidade
na web, em e-mails, em Redes Privadas Virtuais (VPNs) e em documentos
eletrônicos com verificação da integridade das informações.

II. Reúne os certificados de sigilo, que são utilizados na codificação de


documentos, de bases de dados, de mensagens e de outras informações
eletrônicas sigilosas.

As séries de certificados I e II são categorizadas, respectivamente, de

(A) A e B.

(B) B e D.

(C) A e F.

(D) A e S.

(E) B e C.

71. (FCC – SEFAZ/PE – Auditor Fiscal – 2014) O método


criptográfico normalmente utilizado para gerar assinaturas digitais que,
quando aplicado sobre uma informação, independentemente do tamanho
que ela tenha, gera um resultado único e de tamanho fixo é chamado de

(A) hash.

(B) patch.

(C) hoax.

(D) compact brief.

(E) abstract key.

Prof. Victor Dalton


www.estrategiaconcursos.com.br 187 de 209
Informática para Concursos de Tribunais
Prof Victor Dalton Aula 11

GABARITO

1 C 25 B 49 E
2 C 26 D 50 E
3 E 27 C 51 E
4 B 28 D 52 D
5 D 29 A 53 C
6 E 30 B 54 A
7 D 31 E 55 E
8 B 32 C 56 C
9 B 33 C 57 C
10 B 34 D 58 C
11 B 35 D 59 E
12 D 36 B 60 B
13 B 37 D 61 E
14 C 38 A 62 B
15 C 39 B 63 A
16 A 40 B 64 E
17 A 41 C 65 D
18 C 42 B 66 E
19 C 43 C 67 D
20 A 44 D 68 B
21 B 45 B 69 D
22 B 46 A 70 A
23 C 47 B
24 D 48 B

Prof. Victor Dalton


www.estrategiaconcursos.com.br 188 de 209
Noções de Informática para STF
Analista e Técnico Judiciário
Prof Victor Dalton Aula 12
LISTA DE EXERCÍCIOS CESPE

1. (CESPE – DPU – Analista - 2016) Malwares são mecanismos


utilizados para evitar que técnicas invasivas, como phishing e
spams, sejam instaladas nas máquinas de usuários da internet.

2. (CESPE – DPU – Analista - 2016) Integridade,


confidencialidade e disponibilidade da informação, conceitos
fundamentais de segurança da informação, são adotados na
prática, nos ambientes tecnológicos, a partir de um conjuntos de
tecnologias como, por exemplo, criptografia, autenticação de
usuários e equipamentos redundantes.

3. (CESPE – INSS – Técnico do Seguro Social - 2016) A infecção


de um computador por vírus enviado via correio eletrônico pode se
dar quando se abre arquivo infectado que porventura esteja
anexado à mensagem eletrônica recebida.

4. (CESPE – TCU – Auditor - Tecnologia da Informação - 2015)


Confidencialidade é a garantia de que somente pessoas autorizadas
tenham acesso à informação, ao passo que integridade é a garantia
de que os usuários autorizados tenham acesso, sempre que
necessário, à informação e aos ativos correspondentes.

5. (CESPE – TCU – Auditor - Tecnologia da Informação - 2015)


A autoridade de registro, além de ser a emissora de certificados e
listas de revogação de certificados, é um componente obrigatório
nas PKI e está associada ao registro das autoridades certificadoras.

6. (CESPE – FUB – Conhecimentos Básicos - 2015) Vírus é um


programa autossuficiente capaz de se propagar automaticamente
pelas redes enviando cópias de si mesmo de um computador para
outro.
Prof. Victor Dalton
www.estrategiaconcursos.com.br 189 de 209
Noções de Informática para STF
Analista e Técnico Judiciário
Prof Victor Dalton Aula 12

7. (CESPE – FUB – Nível Intermediário - 2015) Certificado


digital de email é uma forma de garantir que a mensagem enviada
possui, em anexo, a assinatura gráfica do emissor da mensagem.

8. (CESPE – FUB – Nível Intermediário - 2015) A fim de evitar


a infecção de um computador por vírus, deve-se primeiramente
instalar uma versão atualizada de um antivírus, e somente depois
abrir os arquivos suspeitos anexados a emails.

9. (CESPE – FUB – Conhecimentos Básicos exceto cargo 2 -


2015) A função da autoridade certificadora é emitir certificado
digital de usuários da Internet.

10. (CESPE – FUB – Conhecimentos Básicos exceto cargo 2 -


2015) O phishing é um procedimento que possibilita a obtenção de
dados sigilosos de usuários da Internet, em geral, por meio de
falsas mensagens de email.

11. (CESPE – STJ – Técnico Judiciário - 2015) Atualmente,


um dos procedimentos de segurança mais adotados pelos sítios é
chamado de captcha. As captchas mais conhecidas são as imagens
distorcidas de um código alfanumérico. Esse mecanismo é
considerado bastante seguro, mas não impede totalmente que
alguns programas automatizados preencham formulários na Web
como se fossem uma pessoa realizando, por exemplo, um cadastro
em um sítio de compras.

12. (CESPE – TCU – Técnico Federal de Controle Externo -


2015) Um dos procedimentos de segurança quanto à navegação na
Internet é sair das páginas que exigem autenticação por meio dos
botões ou links destinados para esse fim, como, por exemplo, Sair,
Desconectar, Logout etc., e não simplesmente fechar o browser.

Prof. Victor Dalton


www.estrategiaconcursos.com.br 190 de 209
Noções de Informática para STF
Analista e Técnico Judiciário
Prof Victor Dalton Aula 12

13. (CESPE – TCU – Técnico Federal de Controle Externo -


2015) O vírus do tipo stealth, o mais complexo da atualidade, cuja
principal característica é a inteligência, foi criado para agir de
forma oculta e infectar arquivos do Word e do Excel. Embora seja
capaz de identificar conteúdos importantes nesses tipos de
arquivos e, posteriormente, enviá-los ao seu criador, esse vírus não
consegue empregar técnicas para evitar sua detecção durante a
varredura de programas antivírus.

14. (CESPE – TCU – Técnico Federal de Controle Externo -


2015) O firewall é capaz de proteger o computador tanto de
ataques de crackers quanto de ataques de vírus.

15. (CESPE – MPE/PI – Cargos 1 a 5 e 7 a 9 - 2011) Caso


computadores estejam conectados apenas a uma rede local, sem
acesso à Internet, a instalação de firewall em cada computador da
rede é suficiente para evitar a contaminação por vírus de um
computador dessa rede.

16. (CESPE – MP/ENAP – Técnico Federal de Controle


Externo - 2015) Trackwares são programas que rastreiam a
atividade do sistema, reúnem informações do sistema ou rastreiam
os hábitos do usuário, retransmitindo essas informações a
organizações de terceiros.

17. (CESPE – TJDFT – Analista Judiciário - 2015) Para que se


utilize o firewall do Windows, mecanismo que auxilia contra
acessos não autorizados, a instalação de um equipamento de
hardware na máquina é desnecessária.

18. (CESPE – TJDFT – Analista Judiciário - 2015) Vírus do


tipo boot, quando instalado na máquina do usuário, impede que o
sistema operacional seja executado corretamente.

Prof. Victor Dalton


www.estrategiaconcursos.com.br 191 de 209
Noções de Informática para STF
Analista e Técnico Judiciário
Prof Victor Dalton Aula 12

19. (CESPE – TJDFT – Analista Judiciário - 2015) Na


segurança da informação, controles físicos são soluções
implementadas nos sistemas operacionais em uso nos
computadores para garantir, além da disponibilidade das
informações, a integridade e a confidencialidade destas.

20. (CESPE – TJDFT – Analista Judiciário - 2015) As


entidades denominadas certificadoras são entidades reconhecidas
pela ICP Brasil (Infraestrutura de Chaves Públicas) e autorizadas a
emitir certificados digitais para usuários ou instituições que
desejam utilizá-los.

21. (CESPE – TJDFT – Analista Judiciário - 2015) Uma virtual


private network é um tipo de rede privada dedicada exclusivamente
para o tráfego de dados seguros e que precisa estar segregada dos
backbones públicos da Internet. Em outras palavras, ela dispensa a
infraestrutura das redes comuns.

22. (CESPE – TRE/RS – Técnico - 2015) Para garantir a


segurança da informação, é suficiente instalar e manter atualizados
antivírus.

23. (CESPE – TRE/RS – Técnico - 2015) Não há diferença —


seja conceitual, seja prática — entre worms e vírus; ambos são
arquivos maliciosos que utilizam a mesma forma para infectar
outros computadores.

24. (CESPE – TRE/RS – Técnico - 2015) Rootkits é um


arquivo que infecta o computador sem causar maiores danos, ainda
que implique a pichação da tela inicial do navegador.

Prof. Victor Dalton


www.estrategiaconcursos.com.br 192 de 209
Noções de Informática para STF
Analista e Técnico Judiciário
Prof Victor Dalton Aula 12
25. (CESPE – TRE/RS – Técnico - 2015) A segurança da
informação em uma organização depende integralmente de a sua
área de tecnologia optar pela adoção de recursos de segurança
atualizados, como firewall e antivírus.

26. (CESPE – TRE/RS – Técnico - 2015) Em segurança da


informação, denominam-se engenharia social as práticas utilizadas
para obter acesso a informações importantes ou sigilosas sem
necessariamente utilizar falhas no software, mas, sim, mediante
ações para ludibriar ou explorar a confiança das pessoas.

27. (CESPE – ANATEL – Analista Administrativo – Suporte e


Infraestrutura de TI - 2014) Para que a criptografia de chave
pública seja considerada segura, uma das premissas é que o
conhecimento do algoritmo, o conhecimento de uma das chaves e
a disponibilidade de amostras de texto cifrado sejam, em conjunto,
insuficientes para determinar a outra chave.

28. (CESPE – ANATEL – Analista Administrativo – Suporte e


Infraestrutura de TI - 2014) A assinatura eletrônica vinculada a um
certificado emitido no âmbito da ICP-Brasil tem função específica e
restrita de determinar a não violação do conteúdo de um
documento assinado eletronicamente, e não conduz à presunção de
autenticidade do emissor do documento subscrito.

(CESPE – ANTAQ – Analista Administrativo – Infraestrutura de


TI - 2014) No que diz respeito aos fundamentos de criptografia e
certificação digital, julgue os itens subsecutivos. Nesse contexto, considere
que a sigla AC, sempre que utilizada, se refira a autoridade certificadora.

29. Para a obtenção da chave pública de uma AC, utiliza-se


um esquema de gerenciamento de chaves públicas, denominado
infraestrutura de chaves públicas (ICP). No Brasil, a ICP-Brasil é
organizada de forma hierárquica, em que uma AC raiz certifica
outras ACs e, posteriormente, estas, bem como a AC raiz, emitem
certificados para os usuários finais.

Prof. Victor Dalton


www.estrategiaconcursos.com.br 193 de 209
Noções de Informática para STF
Analista e Técnico Judiciário
Prof Victor Dalton Aula 12

30. Cada certificado digital emitido por uma AC é específico


para determinado usuário final e pode ser revogado a qualquer
momento pela respectiva AC.

31. Na criptografia simétrica, a mesma chave compartilhada


entre emissor e receptor é utilizada tanto para cifrar quanto para
decifrar um documento. Na criptografia assimétrica, utiliza-se um
par de chaves distintas, sendo a chave pública do receptor utilizada
pelo emissor para cifrar o documento a ser enviado;
posteriormente, o receptor utiliza sua chave privada para decifrar
o documento.

32. A utilização adequada dos mecanismos de criptografia


permite que se descubra qualquer alteração em um documento por
partes não autorizadas, o que garante a confidencialidade do
documento.

33. Para a utilização de criptografia assimétrica, a


distribuição das chaves públicas é comumente realizada por meio
de certificado digital, que contém o nome do usuário e a sua chave
pública, sendo a autenticidade dessas informações garantida por
assinatura digital de uma terceira parte confiável, denominada
Autoridade Certificadora.

34. (CESPE – ANTAQ – Analista Administrativo –


Infraestrutura de TI - 2014) O ataque cross-site scripting,
executado quando um servidor web inclui, nos dados de uma
página web enviada para um usuário legítimo, um conjunto de
dados que tenham sido previamente recebidos de um usuário
malicioso, permite que se roube de um usuário legítimo senhas,
identificadores de sessões e cookies.

35. (CESPE – ANTAQ – Analista Administrativo –


Infraestrutura de TI - 2014) Em um ataque de DDoS, que objetiva
Prof. Victor Dalton
www.estrategiaconcursos.com.br 194 de 209
Noções de Informática para STF
Analista e Técnico Judiciário
Prof Victor Dalton Aula 12
deixar inacessível o recurso computacional para os usuários
legítimos, um computador mestre controla milhares de
computadores zumbis que acessam um sistema ao mesmo tempo
(um servidor web, por exemplo), com o objetivo de esgotar seus
recursos.

36. (CESPE – SUFRAMA – Analista de Sistemas - 2014) Para


averiguar a integridade de um arquivo de computador a ser
transmitido por um meio inseguro, pode-se gerar um hash antes da
transmissão e verificar o hash após a transmissão.

37. (CESPE – SUFRAMA – Analista de Sistemas - 2014) A


utilização de algoritmos de criptografia garante a disponibilidade e
a autenticidade de informações em ambientes de tecnologia da
informação.

38. (CESPE – TCDF – Analista de Administração Pública -


Sistemas de TI - 2014) A assinatura digital é gerada por criptografia
assimétrica mediante a utilização de uma chave pública para
codificar a mensagem.

39. (CESPE – TCDF – Analista de Administração Pública -


Sistemas de TI - 2014) A técnica de criptografia de chave única
utiliza a mesma chave para criptografar e descriptografar uma
mensagem.

40. (CESPE – TCDF – Analista de Administração Pública -


Sistemas de TI - 2014) A lista de certificados revogados (LCR) de
uma infraestrutura de chaves públicas deve ser emitida pela
autoridade certificadora, que também é responsável por emitir e
gerenciar certificados digitais.

41. (CESPE – TJ/SE – Analista Judiciário – Análise de


Sistemas - 2014) Cavalo de Troia, também conhecido como trojan,

Prof. Victor Dalton


www.estrategiaconcursos.com.br 195 de 209
Noções de Informática para STF
Analista e Técnico Judiciário
Prof Victor Dalton Aula 12
é um programa malicioso que, assim como os worms, possui
instruções para autorreplicação.

42. (CESPE – TJ/SE – Analista Judiciário – Análise de


Sistemas - 2014) Spyware é um programa ou dispositivo que
monitora as atividades de um sistema e transmite a terceiros
informações relativas a essas atividades, sem o consentimento do
usuário. Como exemplo, o keylogger é um spyware capaz de
armazenar as teclas digitadas pelo usuário no teclado do
computador.

43. (CESPE – TJ/SE – Analista Judiciário – Análise de


Sistemas - 2014) Vírus são programas que podem apagar arquivos
importantes armazenados no computador, podendo ocasionar, até
mesmo, a total inutilização do sistema operacional.

44. (CESPE – TJ/SE – Analista Judiciário – Análise de


Sistemas - 2014) Um tipo específico de phishing, técnica utilizada
para obter informações pessoais ou financeiras de usuários da
Internet, como nome completo, CPF, número de cartão de crédito e
senhas, é o pharming, que redireciona a navegação do usuário para
sítios falsos, por meio da técnica DNS cache poisoning.

45. (CESPE – TJ/SE – Analista Judiciário – Suporte Técnico


em Infraestrutura - 2014) Em sistemas de uso prático, são usadas
as técnicas simétricas e as assimétricas combinadas.

46. (CESPE – TJ/SE – Analista Judiciário – Suporte Técnico


em Infraestrutura - 2014) A confidencialidade pode ser obtida pelo
uso da criptografia simétrica e da assimétrica.

47. (CESPE – TJ/SE – Analista Judiciário – Suporte Técnico


em Infraestrutura - 2014) Em conjunto com as funções de resumo

Prof. Victor Dalton


www.estrategiaconcursos.com.br 196 de 209
Noções de Informática para STF
Analista e Técnico Judiciário
Prof Victor Dalton Aula 12
criptográfico (hash), a criptografia simétrica proporciona
autenticidade.

48. (CESPE – TJ/SE – Analista Judiciário – Suporte Técnico


em Infraestrutura - 2014) A criptografia assimétrica proporciona o
não repúdio, não proporcionando, porém, a autenticidade.

49. (CESPE – TJ/SE – Analista Judiciário – Suporte Técnico


em Infraestrutura - 2014) As funções de resumo criptográfico
oferecem garantia probabilística de inforjabilidade.

50. (CESPE – TJ/AC – Técnico em Informática - 2012) O


antispyware é um software que se destina especificamente a
detectar e remover spywares, enquanto o antivírus é uma
ferramenta que permite detectar e remover alguns programas
maliciosos, o que inclui certos tipos de spywares.

51. (CESPE – TJ/AC – Técnico em Informática - 2012) Por


serem de difícil detecção, os worms só podem ser combatidos por
ferramentas específicas para esse fim, que se denominam
antiworms.

52. (CESPE – TJ/AC – Técnico em Informática - 2012)


Sistemas de prevenção à intrusão (IPS) e sistemas de detecção de
intrusão (IDS) são sistemas concebidos com os mesmos
propósitos. A diferença entre eles encontra-se no público-alvo.
Enquanto os IPS são sistemas voltados para os usuários
domésticos, os IDS focam as grandes redes corporativas.

53. (CESPE – TJ/AC – Técnico em Informática - 2012) As


ferramentas antispam permitem combater o recebimento de
mensagens consideradas spam e, em geral, baseiam-se na análise
do conteúdo das mensagens.

Prof. Victor Dalton


www.estrategiaconcursos.com.br 197 de 209
Noções de Informática para STF
Analista e Técnico Judiciário
Prof Victor Dalton Aula 12
54. (CESPE – TJ/AC – Técnico em Informática - 2012) O
recurso de segurança denominado firewall pode ser implementado
por software ou por hardware.

55. (CESPE – TJ/AC – Técnico em Informática - 2012) O


firewall é configurado pelo seu fabricante para que proteja uma
rede local de computadores, com base no perfil dos usuários dessa
rede.

56. (CESPE – TJ/AC – Técnico em Informática - 2012) O uso


de programas antivírus continuamente atualizados é uma prática
suficiente para se evitar que um worm contamine um computador.

57. (CESPE – CNJ – Técnico Judiciário: Programação de


Sistemas - 2013) Vírus de macro infectam arquivos criados por
softwares que utilizam linguagem de macro, como as planilhas
eletrônicas Excel e os documentos de texto Word. Os danos variam
de alterações nos comandos do aplicativo à perda total das
informações.

58. (CESPE – CNJ – Técnico Judiciário: Programação de


Sistemas - 2013) Vírus de script registram ações dos usuários e são
gravados no computador quando da utilização de um pendrive
infectado.

59. (CESPE – CNJ – Técnico Judiciário: Programação de


Sistemas - 2013) A utilização de sistemas biométricos dispensa a
segurança de dados de forma isolada, uma vez que o acesso é mais
restrito em decorrência do alto controle de erro, não havendo
necessidade de intervenção do programador no testamento dos
dados.

60. (CESPE – CNJ – Técnico Judiciário: Programação de


Sistemas - 2013) A proteção aos recursos computacionais inclui

Prof. Victor Dalton


www.estrategiaconcursos.com.br 198 de 209
Noções de Informática para STF
Analista e Técnico Judiciário
Prof Victor Dalton Aula 12
desde aplicativos e arquivos de dados até utilitários e o próprio
sistema operacional.

61. (CESPE – CNJ – Técnico Judiciário: Programação de


Sistemas - 2013) Para aumentar a segurança de um programa,
deve-se evitar o uso de senhas consideradas frágeis, como o
próprio nome e identificador de usuário, sendo recomendada a
criação de senhas consideradas fortes, ou seja, aquelas que
incluem, em sua composição, letras (maiúsculas e minúsculas),
números e símbolos embaralhados, totalizando, preferencialmente,
mais de seis caracteres.

62. (CESPE – CNJ – Técnico Judiciário: Programação de


Sistemas - 2013) O princípio da autenticidade é garantido quando
o acesso à informação é concedido apenas a pessoas explicitamente
autorizadas.

63. (CESPE – MPE/PI – Técnico Ministerial – Informática -


2011) O firewall do Windows tem funcionalidades apropriadas que
possibilitam o bloqueio de algumas solicitações de conexão ao
computador pessoal de um usuário.

64. (CESPE – TJDFT – Técnico Judiciário Área Administrativa


- 2013) Backdoor é uma forma de configuração do computador para
que ele engane os invasores, que, ao acessarem uma porta falsa,
serão automaticamente bloqueados.

65. (CESPE – ANAC – Analista Administrativo: Cargo 4 –


2012) O algoritmo RSA, baseado na construção de chaves públicas
e privadas, utiliza números primos, e, quanto maior for o número
primo escolhido, mais seguro será o algoritmo.

Prof. Victor Dalton


www.estrategiaconcursos.com.br 199 de 209
Noções de Informática para STF
Analista e Técnico Judiciário
Prof Victor Dalton Aula 12
66. (CESPE – ANAC – Analista Administrativo: Cargo 4 –
2012) A técnica utilizada para esconder uma mensagem secreta
dentro de uma maior, de modo que não se possa discernir a
presença ou o conteúdo da mensagem oculta é denominada
estenografia.

67. (CESPE – ANAC – Analista Administrativo: Cargo 4 –


2012) O DES (data encryption standard) triplo utiliza, exatamente,
por três vezes o algoritmo DES, além de uma mesma chave de 56
bits para criptografar mensagens.

68. (CESPE – ANAC – Analista Administrativo: Cargo 4 –


2012) A Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil) é
uma cadeia hierárquica e de confiança que viabiliza a emissão de
certificados digitais para a identificação virtual do cidadão no
Brasil, conforme os padrões e normas estipulados pela CERTISIGN,
à qual se subordina hierarquicamente em nível mundial.

69. (CESPE – ANAC – Analista Administrativo: Cargo 4 –


2012) Assim como pessoas físicas, as micro e pequenas empresas
também podem comprovar sua identidade no meio virtual, realizar
transações comerciais e financeiras com validade jurídica,
participar de pregões eletrônicos e trocar mensagens no mundo
virtual com segurança e agilidade com o e-CPF Simples.

70. (CESPE – ANCINE – Analista Administrativo: Área 2 –


2013) No que tange à autenticação, a confiabilidade trata
especificamente da proteção contra negação, por parte das
entidades envolvidas em uma comunicação, de ter participado de
toda ou parte desta comunicação.

71. (CESPE – ANCINE – Analista Administrativo: Área 2 –


2013) A assinatura digital, que é uma unidade de dados originada
de uma transformação criptográfica, possibilita que um

Prof. Victor Dalton


www.estrategiaconcursos.com.br 200 de 209
Noções de Informática para STF
Analista e Técnico Judiciário
Prof Victor Dalton Aula 12
destinatário da unidade de dados comprove a origem e a
integridade dessa unidade e se proteja contra falsificação.

72. (CESPE – BACEN – Analista - Área 2 –2013) A autoridade


certificadora é responsável por divulgar informações caso o
certificado por ela emitido não seja mais confiável.

73. (CESPE – BACEN – Analista - Área 2 –2013) O uso de


assinatura digital objetiva comprovar a autenticidade e a
integridade de uma informação, sendo a integridade garantida
mediante a codificação de todo o conteúdo referente à assinatura.

74. (CESPE – SERPRO – Analista – Desenvolvimento de


Sistemas –2013) Um ataque à infraestrutura de conectividade de
um banco à Internet, interrompendo o acesso a seus serviços de
home banking, afeta a disponibilidade.

75. (CESPE – SERPRO – Analista – Desenvolvimento de


Sistemas –2013) O furto de um notebook que contenha prontuários
e resultados de exames dos pacientes de um médico afeta a
confiabilidade das informações.

76. (CESPE – SERPRO – Analista – Desenvolvimento de


Sistemas –2013) Uma assinatura digital consiste na cifração do
resumo criptográfico de uma mensagem ou arquivo, com o uso da
chave privada de quem assina.

(CESPE – CNPQ – Cargo 1 - 2011) Sistemas de segurança da


informação são frequentemente comparados a uma corrente com muitos
elos que representam os componentes desenvolvidos, tais como
equipamento, software, protocolos de comunicação de dados, e outros,
incluindo o usuário humano. Na literatura sobre segurança da informação,
o usuário humano é frequentemente referenciado como o elo mais fraco.

Prof. Victor Dalton


www.estrategiaconcursos.com.br 201 de 209
Noções de Informática para STF
Analista e Técnico Judiciário
Prof Victor Dalton Aula 12
Internet: <www.cienciasecognicao.org> (com adaptações).

Tendo como referência o texto acima, julgue os próximos itens,


referentes ao comportamento do usuário quanto à segurança da
informação.

77. A fim de se preservar a integridade, a confidencialidade


e a autenticidade das informações corporativas, é necessário que
os empregados e os contratados do órgão sejam treinados, de
forma que se conscientizem da importância da segurança da
informação e se familiarizem com os procedimentos adequados na
ocorrência de incidentes de segurança.

78. O fato de pesquisa de Alan S. Brown (Generating and


Remembering Passwords – 2004) mostrar que mais da metade dos
entrevistados guardavam cópias escritas de suas senhas confirma
que o usuário humano é “o elo mais fraco” do processo de
segurança da informação, situação que é compensada pela
utilização combinada de firewalls, anti-vírus ou pela utilização dos
UPP (user protectors passwords).

79. (CESPE – SESA/ES – Todos os cargos - 2011) O


certificado digital é uma das tecnologias que permite identificar se
um sítio de informações é reconhecido pelos registradores de
domínio da Internet, se seu endereço é válido e se é garantida a
segurança dos usuários que baixarem arquivos gerados por
certificados autoassinados.

80. (CESPE – SESA/ES – Todos os cargos - 2011) Uma das


formas de se aplicar o conceito de disponibilidade da informação é
por meio da realização de cópias de segurança, que contribuem
para a restauração dos dados ao seu ponto original (de quando foi
feita a cópia), o que reduz as chances de perda de informação em
situações de panes, roubos, queda de energia, entre outras.

Prof. Victor Dalton


www.estrategiaconcursos.com.br 202 de 209
Noções de Informática para STF
Analista e Técnico Judiciário
Prof Victor Dalton Aula 12
81. (CESPE – SSP/CE – Cargos 1 a 5 e 7 a 9 - 2012) O
antivírus, para identificar um vírus, faz uma varredura no código do
arquivo que chegou e compara o seu tamanho com o tamanho
existente na tabela de alocação de arquivo do sistema operacional.
Caso encontre algum problema no código ou divergência de
tamanho, a ameaça é bloqueada.

82. (CESPE – SEGER/ES – Todos os cargos - 2010) Entre as


características de um certificado digital inclui-se a existência de um
emissor, do prazo de validade e de uma assinatura digital.

83. (CESPE – SEGER/ES – Todos os cargos - 2010) O uso do


protocolo https assegura que as informações trafegadas utilizem
certificados digitais.

84. (CESPE – Assembleia Legislativa/CE – Cargo 10 - 2011)


Worms são programas que se espalham em uma rede, criam cópias
funcionais de si mesmo e infectam outros computadores.

85. (CESPE – Assembleia Legislativa/CE – Cargo 10 - 2011)


O adware, tipo de firewall que implementa segurança de acesso às
redes de computadores que fazem parte da Internet, evita que
essas redes sejam invadidas indevidamente.

86. (CESPE – Corpo de Bombeiros /DF – Todas as áreas -


2011) Phishing é um programa utilizado para combater spyware,
adware e keyloggers, entre outros programas espiões.

87. (CESPE – Corpo de Bombeiros /DF – Todas as áreas -


2011) Os procedimentos de backup devem ser executados com
frequência para se evitar a perda de dados. Uma ação recomendável

Prof. Victor Dalton


www.estrategiaconcursos.com.br 203 de 209
Noções de Informática para STF
Analista e Técnico Judiciário
Prof Victor Dalton Aula 12
é manter uma cópia das informações críticas em local diferente do
computador em que essas informações se encontrem.

88. (CESPE – Câmara dos Deputados 2012 – Analista


Legislativo: Técnica Legislativa - 2012) O termo Spam, consiste de
emails não solicitados que são enviados, normalmente, apenas para
uma única pessoa e têm sempre conteúdo comercial. Essa
mensagem não transporta vírus de computador ou links na
Internet.

89. (CESPE – Câmara dos Deputados 2012 – Analista


Legislativo: Técnica Legislativa - 2012) A finalidade do uso de
certificados digitais em páginas na Internet, por meio de HTTPS, é
evitar que o conteúdo total dos dados de camada de aplicação, se
capturados durante o tráfego, sejam identificados por quem o
capturou.

90. (CESPE – Câmara dos Deputados 2012 – Analista


Legislativo: Técnica Legislativa - 2012) O termo phishing designa a
técnica utilizada por um fraudador para obter dados pessoais de
usuários desavisados ou inexperientes, ao empregar informações
que parecem ser verdadeiras com o objetivo de enganar esses
usuários.

91. (CESPE – ANAC – Técnico em Regulação áreas 1,3 e 4 -


2012) Um firewall pessoal é uma opção de ferramenta preventiva
contra worms.

92. (CESPE – ANAC – Técnico em Regulação áreas 1,3 e 4 -


2012) Com o certificado digital que é emitido pelo próprio titular do
certificado, podem-se realizar transações seguras com qualquer
empresa que ofereça serviços pela Internet.

Prof. Victor Dalton


www.estrategiaconcursos.com.br 204 de 209
Noções de Informática para STF
Analista e Técnico Judiciário
Prof Victor Dalton Aula 12
93. (CESPE – FNDE – Técnico em Financiamento e Execução
de Programas e Projetos Educacionais - 2012) Trojans ou cavalos
de troia são programas capazes de multiplicar-se mediante a
infecção de outros programas maiores. Eles não têm o objetivo de
controlar o sistema, porém tendem a causar efeitos indesejados. Já
os worms causam efeitos altamente destrutivos e irreparáveis. Ao
contrário dos trojans, os worms utilizam o email como principal
canal de disseminação, mas não possuem a capacidade de produzir
cópias de si mesmos ou de algumas de suas partes.

94. (CESPE – FNDE – Especialista em Financiamento e


Execução de Programas e Projetos Educacionais - 2012) Como
forma de garantir a disponibilidade de informação mantida em
meios eletrônicos, deve-se fazer o becape de arquivos dos dados
originais. Normalmente, sempre que o procedimento de becape é
executado, o sistema operacional do equipamento faz uma cópia da
totalidade dos dados em meio de armazenamento distinto do
utilizado para guarda dos dados originais.

95. (CESPE – FNDE – Especialista em Financiamento e


Execução de Programas e Projetos Educacionais - 2012) Embora
sejam considerados programas espiões, os spywares também são
desenvolvidos por empresas com o objetivo de coletar legalmente
informações acessíveis de usuários.

96. (CESPE – FNDE – Especialista em Financiamento e


Execução de Programas e Projetos Educacionais - 2012) Para
proteger um computador contra os efeitos de um worm, pode-se
utilizar, como recurso, um firewall pessoal.

97. (CESPE – Câmara dos Deputados – Analista Legislativo:


Técnico em Material e Patrimônio - 2012) Para garantir que os
computadores de uma rede local não sofram ataques vindos da
Internet, é necessária a instalação de firewalls em todos os
computadores dessa rede.

Prof. Victor Dalton


www.estrategiaconcursos.com.br 205 de 209
Noções de Informática para STF
Analista e Técnico Judiciário
Prof Victor Dalton Aula 12
98. (CESPE – Câmara dos Deputados – Analista Legislativo:
Técnico em Material e Patrimônio - 2012) Ao se realizar um
procedimento de backup de um conjunto arquivos e pastas
selecionados, é possível que o conjunto de arquivos e pastas gerado
por esse procedimento ocupe menos espaço de memória que aquele
ocupado pelo conjunto de arquivos e pastas de que se fez o backup.

99. (CESPE – Câmara dos Deputados – Analista Legislativo:


Técnico em Material e Patrimônio - 2012) Os worms, assim como
os vírus, infectam computadores, mas, diferentemente dos vírus,
eles não precisam de um programa hospedeiro para se propagar.

100. (CESPE – TRE/RJ – Conhecimentos Básicos cargos 1 a 7


– 2012) É possível executar um ataque de desfiguração
(defacement) — que consiste em alterar o conteúdo da página web
de um sítio — aproveitando-se da vulnerabilidade da linguagem de
programação ou dos pacotes utilizados no desenvolvimento de
aplicação web.

101. (CESPE – TRE/RJ – Conhecimentos Básicos cargos 1 a 7


– 2012) Nos procedimentos de backup, é recomendável que as
mídias do backup sejam armazenadas no mesmo local dos dados de
origem, a fim de tornar a recuperação dos dados mais rápida e
eficiente.

102. (CESPE – TJ/AC – Técnico em Informática - 2012) A


execução dos procedimentos de segurança da informação
estabelecida em uma empresa compete ao comitê responsável pela
gestão da segurança da informação.

103. (CESPE – TJ/AC – Técnico em Informática - 2012) A


atualização automática on-line do sistema operacional é uma
prática que garante que o computador não sofrerá infecção por
bots.

Prof. Victor Dalton


www.estrategiaconcursos.com.br 206 de 209
Noções de Informática para STF
Analista e Técnico Judiciário
Prof Victor Dalton Aula 12
104. (CESPE – TJ/AC – Técnico em Informática - 2012) Para
garantir a confidencialidade de informações críticas de uma
empresa, devem ser estabelecidos procedimentos não só para a
guarda e disponibilização dessas informações, mas também para o
seu descarte.

105. (CESPE – TJDFT – Técnico Judiciário Área Administrativa


- 2013) Autenticidade é um critério de segurança para a garantia
do reconhecimento da identidade do usuário que envia e recebe
uma informação por meio de recursos computacionais.

106. (CESPE – TJDFT – Técnico Judiciário Área Administrativa


- 2013) Nas empresas, um mesmo endereço IP é, geralmente,
compartilhado por um conjunto de computadores, sendo
recomendável, por segurança, que dez computadores, no máximo,
tenham o mesmo endereço IP.

107. (CESPE – TJDFT – Técnico Judiciário Área Administrativa


- 2013) A criptografia, mecanismo de segurança auxiliar na
preservação da confidencialidade de um documento, transforma,
por meio de uma chave de codificação, o texto que se pretende
proteger.

Prof. Victor Dalton


www.estrategiaconcursos.com.br 207 de 209
Noções de Informática para STF
Analista e Técnico Judiciário
Prof Victor Dalton Aula 12

GABARITO CESPE

71 E 91 E 111 E 131 C 151 E


72 C 92 E 112 C 132 E 152 C
73 C 93 E 113 C 133 C 153 C
74 E 94 E 114 C 134 E 154 C
75 E 95 E 115 C 135 C 155 E
76 E 96 C 116 C 136 E 156 E
77 E 97 C 117 E 137 E 157 C
78 E 98 E 118 E 138 E 158 E
79 C 99 E 119 C 139 C 159 C
80 C 100 C 120 C 140 E 160 C
81 E* 101 C 121 E 141 C 161 C
82 C 102 E 122 E 142 C 162 E
83 E 103 C 123 C 143 E 163 E
84 C* 104 C 124 C 144 C 164 E
85 E 105 C 125 E 145 E 165 C
86 C 106 C 126 E 146 C 166 C
87 C 107 E 127 C 147 C 167 E
88 C 108 E 128 E 148 E 168 C
89 E 109 C 129 E 149 E 169 C
90 C 110 C 130 C 150 C 170 C

Prof. Victor Dalton


www.estrategiaconcursos.com.br 208 de 209
Noções de Informática para STF
Analista e Técnico Judiciário
Prof Victor Dalton Aula 12
171 E 173 E 175 E 177 C
172 E 174 C 176 E

Prof. Victor Dalton


www.estrategiaconcursos.com.br 209 de 209