Escolar Documentos
Profissional Documentos
Cultura Documentos
Saúdo a todos e espero que este material seja de grande valia para a sua
aprovação. E contem SEMPRE comigo nesta trajetória de muito sucesso!
Roteiro da Aula
- Lista de Questões Comentadas.
- Considerações finais.
- Bibliografia.
- Lista das questões apresentadas na aula.
- Gabarito.
Uma informação privada deve ser vista, lida ou alterada somente pelo seu
dono. Esse princípio difere da confidencialidade, pois uma informação pode
ser considerada confidencial, mas não privada.
Quando falamos em segurança da informação, estamos nos referindo a
salvaguardas para manter a confidencialidade, integridade, disponibilidade e
demais aspectos da segurança das informações dentro das necessidades do
cliente (ALBUQUERQUE e RIBEIRO, 2002).
Gabarito: letra E.
• quando você consulta seu banco pela Internet, este tem que se
assegurar de sua identidade antes de fornecer informações sobre a
conta;
• quando você envia um e-mail importante, seu aplicativo de e-mail pode
utilizar seu certificado para assinar "digitalmente" a mensagem, de modo
a assegurar ao destinatário que o e-mail é seu e que não foi adulterado
entre o envio e o recebimento.
Gabarito: letra B.
Assinale:
(A) se uma empresa deve estar atenta, em sua análise, somente aos riscos I,
II e III.
(B) se uma empresa deve estar atenta, em sua análise, a todos esses tipos de
riscos.
(C) se uma empresa deve estar atenta, em sua análise, somente aos riscos I e
II.
(D) se uma empresa deve estar atenta, em sua análise, somente aos riscos II
e III.
(E) se uma empresa deve estar atenta, em sua análise,somente aos riscos I e
IV.
Assinale:
(A) se somente as afirmativas I, II e III ajudam a proteger tais equipamentos
e os dados que contêm.
Profa. Patrícia Lima Quintão www.pontodosconcursos.com.br 15
TI EM EXERCÍCIOS P/ ANALISTA LEGISLATIVO DO SENADO FEDERAL
ÁREA: TECNOLOGIA DA INFORMAÇÃO – ESPECIALIDADE: ANÁLISE DE SUPORTE DE SISTEMAS
PROFESSORA PATRÍCIA LIMA QUINTÃO
lucrativos;
• roubo de informações sensíveis dos usuários, tais como endereço e
dados pessoais de cartão de crédito;
• roubo de credenciais online para exploração de contas de leilão,
contas de correio eletrônico, ou contas de jogos para venda ou
manipulação de bens virtuais por troca de dinheiro;
• roubo de chaves de licença para a produção e venda de software
ilegais no mercado negro;
• ataques direcionados a redes, bens ou pessoas específicas de
interesse do bot herder, dentre outros.
• Trojan horse (Cavalo de troia): é um programa aparentemente
inofensivo que entra em seu computador na forma de cartão virtual, álbum
de fotos, protetor de tela, jogo etc, e que, quando executado (com a sua
autorização!), parece lhe divertir, mas, por trás abre portas de comunicação
do seu computador para que ele possa ser invadido.
Por definição, o cavalo de troia distingue-se de um vírus ou de um worm
por não infectar outros arquivos, nem propagar cópias de si mesmo
automaticamente.
O trojans ficaram famosos na Internet pela facilidade de uso, e por
permitirem a qualquer pessoa possuir o controle de um outro computador
apenas com o envio de um arquivo.
Os trojans atuais são divididos em duas partes, que são: o servidor e o
cliente. Normalmente, o servidor encontra-se oculto em algum outro
arquivo e, no momento em que o arquivo é executado, o servidor se instala
e se oculta no computador da vítima. Nesse momento, o computador já
pode ser acessado pelo cliente, que enviará informações para o servidor
executar certas operações no computador da vítima.
O Cavalo de Troia não é um vírus, pois não se duplica e não se dissemina
como os vírus. Na maioria das vezes, ele irá instalar programas para
possibilitar que um invasor tenha controle total sobre um computador. Estes
programas podem permitir:
• que o invasor veja e copie ou destrua todos os arquivos armazenados
no computador;
• a instalação de keyloggers ou screenloggers (descubra todas as
senhas digitadas pelo usuário);
• o furto de senhas e outras informações sensíveis, como números de
cartões de crédito;
• a inclusão de backdoors, para permitir que um atacante tenha total
controle sobre o computador;
• a formatação do disco rígido do computador, etc.
Existem vários algoritmos que usam chaves simétricas, como o DES (Data
Encryption Standard), o IDEA (International Data Encryption Algorithm), e o
RC (Ron's Code ou Rivest Cipher).
Criptografia de Chave Assimétrica (ou de Chave Pública)
Item II. Algoritmos de chave simétrica utilizam APENAS UMA chave para
encriptar e decriptar as mensagens. Os algoritmos de criptografia
assimétrica (criptografia de chave pública) utilizam duas chaves
diferentes, uma pública (que pode ser distribuída) e uma privada (pessoal e
intransferível). O item II é falso.
Item III. Cabe destacar que algoritmos RSA são algoritmos de criptografia
assimétrica. Conforme visto, se utilizar uma chave pública na encriptação irá
utilizar a chave privada na decriptação. O item III está correto.
Item IV. O item fala de algoritmos RSA, que são algoritmos de criptografia
assimétrica, mas o relaciona a um procedimento de criptografia de chave
simétrica (mesma chave privada). A criptografia assimétrica (usa duas chaves
– uma pública para embaralhar e uma privada para desembaralhar!!). O item
D é falso.
Gabarito: letra D.
Profa. Patrícia Lima Quintão www.pontodosconcursos.com.br 31
TI EM EXERCÍCIOS P/ ANALISTA LEGISLATIVO DO SENADO FEDERAL
ÁREA: TECNOLOGIA DA INFORMAÇÃO – ESPECIALIDADE: ANÁLISE DE SUPORTE DE SISTEMAS
PROFESSORA PATRÍCIA LIMA QUINTÃO
Gabarito: letra A.
A RFC 2828 (Request for Coments nº 2828) define o termo firewall como
sendo uma ligação entre redes de computadores que restringem o tráfego de
comunicação de dados entre a parte da rede que está “dentro” ou “antes” do
firewall, protegendo-a assim das ameaças da rede de computadores que está
“fora” ou depois do firewall. Esse mecanismo de proteção geralmente é
utilizado para proteger uma rede menor (como os computadores de uma
empresa) de uma rede maior (como a Internet).
Um firewall deve ser instalado no ponto de conexão entre as redes, onde,
através de regras de segurança, controla o tráfego que flui para dentro e para
fora da rede protegida. Pode ser desde um único computador, um software
sendo executado no ponto de conexão entre as redes de computadores ou um
conjunto complexo de equipamentos e softwares.
verificados. Quando não possui a vacina, ele, pelo menos, tem como
detectar o vírus, informando ao usuário acerca do perigo que está iminente;
• não executar ou abrir arquivos recebidos por e-mail ou por outras fontes,
mesmo que venham de pessoas conhecidas (caso seja necessário abrir o
arquivo, certifique-se de que ele foi verificado pelo programa antivírus);
• procurar utilizar na elaboração de documentos formatos menos suscetíveis
à propagação de vírus, tais como .rtf, ou .pdf, dentre outros;
• não abrir arquivos anexos a e-mails de pessoas que você não conhece;
idem para os e-mails de pessoas conhecidas também! (Os Worms atuais
atacam um computador e usam a sua listagem de endereços para mandar
um e-mail para cada pessoa da lista como se fosse o dono do computador!),
etc.
Item E. A resposta correta é worm, e não vírus. O worm (verme) explora
deficiências de segurança nos equipamentos e propaga-se de forma autônoma
na Internet. Item ERRADO.
Gabarito: letra D.
abre portas de comunicação do seu computador para que ele possa ser
invadido. Normalmente consiste em um único arquivo que necessita ser
explicitamente executado. Para evitar a invasão, fechando as portas que o
cavalo de troia abre, é necessário ter, em seu sistema, um programa chamado
firewall.
Phishing é um tipo de fraude eletrônica projetada para roubar informações
particulares que sejam valiosas para cometer um roubo ou fraude
posteriormente. O golpe de phishing é realizado por uma pessoa
mal-intencionada através da criação de um website falso e/ou do envio de uma
mensagem eletrônica falsa, geralmente um e-mail ou recado através
de scrapbooks como no sítio Orkut, entre outros exemplos.
Utilizando de pretextos falsos, tenta enganar o receptor da mensagem e
induzi-lo a fornecer informações sensíveis (números de cartões de crédito,
senhas, dados de contas bancárias, entre outras).
As duas figuras seguintes apresentam “iscas” (e-mails) utilizadas em golpes de
phishing, uma envolvendo o Banco de Brasil e a outra o Serasa.
Trojan x Phishing
Como complemento, gostaria de destacar a diferença entre trojan e phishing,
já que por diversas vezes os alunos fizeram esse questionamento.
Então, temos que:
Comentários
Item a. A VPN (Virtual Private Network) pode ser utilizada em um meio público
como a Internet para estabelecer uma conexão privada entre dois hosts ou
duas redes com segurança. Portanto é um mecanismo de segurança utilizado
em rede de computadores. Item VERDADEIRO.
Item b. Adwares são programas instalados no computador do usuário
realizando constantes aberturas de janelas (pop-up) de anúncios de
propagandas. Item FALSO.
Item c. Keylogger é um tipo de malware que tem a função de capturar as
teclas digitadas pelo usuário. O seu objetivo é roubar senhas e informações
pessoais. Item FALSO.
Item d. Trapdoors são brechas inseridas propositalmente em sistemas de
informação por programadores de sistemas. Item FALSO.
Item e. Flooding é um tipo de técnica utilizada para inundar um serviço com
requisições que podem ser de vários tipos como utilização de protocolos como
UDP, ICMP, etc. Item FALSO.
Gabarito: letra A.
Profa. Patrícia Lima Quintão www.pontodosconcursos.com.br 43
TI EM EXERCÍCIOS P/ ANALISTA LEGISLATIVO DO SENADO FEDERAL
ÁREA: TECNOLOGIA DA INFORMAÇÃO – ESPECIALIDADE: ANÁLISE DE SUPORTE DE SISTEMAS
PROFESSORA PATRÍCIA LIMA QUINTÃO
Token
Smart Card
Figura. Ilustração de dispositivos de segurança
Profa. Patrícia Lima Quintão www.pontodosconcursos.com.br 51
TI EM EXERCÍCIOS P/ ANALISTA LEGISLATIVO DO SENADO FEDERAL
ÁREA: TECNOLOGIA DA INFORMAÇÃO – ESPECIALIDADE: ANÁLISE DE SUPORTE DE SISTEMAS
PROFESSORA PATRÍCIA LIMA QUINTÃO
Item FALSO.
Gabarito: letra C.
Caiu na prova
A política de segurança cumpre três principais funções: define o que e
mostra por que se deve proteger; atribui responsabilidades pela
proteção; e serve de base para interpretar situações e resolver
conflitos que venham a surgir no futuro.
Quanto aos comentários da questão:
Item a. Uma vez estabelecida a política, ela deve ser claramente comunicada a
todos os funcionários da organização, terceiros e prestadores de serviços, que
assinarão o termo declarando que leram, entenderam e concordam com a
Política de Segurança em uso na organização. Item errado.
Item b. A adequada utilização dos recursos da informação está diretamente
relacionada com a atribuição de regras e responsabilidades para todas as
áreas, a saber: usuários das informações, comitê de segurança da informação,
proprietário das informações, área de segurança da informação, e da
administração. Item errado.
Item c. Uma política de segurança deve ser escrita em linguagem simples e
direta, evitando-se termos técnicos de difícil entendimento para evitar
ambiguidades ou equívocos na sua interpretação. Item errado.
Item d. O documento da política de segurança não aborda os aspectos técnicos
de implementação dos mecanismos de segurança, que têm grande variação ao
longo do tempo. Item correto.
Item e. O principal objetivo de se explicitar conseqüências das violações da
própria política é incentivar os usuários a aderirem a ela e também dar
respaldo jurídico à organização. Item errado.
Gabarito: letra D.
Gabarito: letra A.
c) XSS.
d) Buffer Overflow
e) DDoS
Transporte da informação
Alguns aspectos negativos também devem ser considerados sobre a utilização
de VPNs:
• Perda de velocidade de transmissão: as informações criptografadas têm
seu tamanho aumentado, causando uma carga adicional na rede.
• Maiores exigências de processamento: o processo de criptografar e
decriptar as informações transmitidas gera um maior consumo de
processamento entre os dispositivos envolvidos.
Protocolos de VPN
O protocolo da VPN estabelecerá a conexão e a criptografia entre os hosts da
rede privada. Os protocolos normalmente utilizados em uma VPN são:
Figura Tunelamento
A tela seguinte desta a opção de “arquivo morto” obtida ao clicar com o botão
direito do mouse no arquivo intitulado lattes.pdf, do meu computador que
possui o sistema operacional Windows Vista.
p Quando um arquivo está com esse atributo marcado, significa que ele
deverá ser copiado no próximo backup.
p Se estiver desmarcado, significa que, provavelmente, já foi feito um backup
deste arquivo.
1º) restaurar os dados do último backup completo, que seria do dia 1o dia.
Dessa forma, teremos os dados até o dia 1o, às 19horas;
2o) restaurar os dados do backup diferencial mais recente, que é o do dia 15.
Dessa forma teremos os dados até o dia 15, às 19horas;
3º) em seguida, precisamos recuperar as mídias dos backups incrementais dos
dias 16, 17 e 18. Aqui teremos restaurados os dados até o dia 18 às 19 horas.
As modificações que porventura foram realizadas a partir do dia 18 não podem
ser recuperadas, já que o último backup que temos é do dia 18, e ainda não
havia sido feito o backup do dia 19, quando ocorreu a pane.
Gabarito: letra D.
Considerações Finais
Bem, estamos chegando ao final da aula, espero que estejam conseguindo
assimilar os inúmeros conceitos já apresentados que serão de grande valia no
dia da prova.
Caso tenham dúvidas, não deixem de nos enviar pelo fórum do curso. O
retorno de vocês é de grande importância para que nossos objetivos estejam
alinhados! Fiquem com Deus, bons estudos e até a nossa próxima aula!
Um abraço.
Profa Patrícia Quintão
Bibliografia
QUINTÃO, Patrícia Lima. Notas de aula, 2011.
ABNT NBR ISO/IEC 27001:2006 – Tecnologia da Informação – Técnicas de
Segurança –Sistema de Gestão de Segurança da Informação – Requisitos.
ABNT NBR ISO/IEC 27002:2005 – Tecnologia da Informação – Técnicas de
Segurança –Código de Prática para a Gestão de Segurança da Informação
(antiga 17799:2005).
CHESWICK, W. R., BELLOVIN, S. M. e RUBIN, A. D. Firewalls e Segurança na
Internet: repelindo o hacker ardiloso. Ed. Bookman, 2ª Ed., 2005.
GARFINKEL, S.;SPAFFORD, G. Comércio e Segurança na Web. São Paulo:
Market Press,1999.
GUIMARÃES, A. G., LINS, R. D. e OLIVEIRA, R. Segurança com Redes Privadas
Virtuais (VPNs). Ed. Brasport, Rio de Janeiro, 2006.
NAKAMURA, E. T., GEUS, P.L. Segurança de Redes em Ambientes
Cooperativos. Ed. Novatec, 2007.
STALLINGS, W. Criptografia e Segurança de Redes: Princípios e Práticas. Ed.
Prentice-Hall, 4ª Edição, 2008.
MENEZES, ALFRED J.; Oorschot, Paul C. van; Vanstone, Scott A. Handbook of
Applied Criptography.
http://www.mapasequestoes.com.br.
Assinale:
(A) se uma empresa deve estar atenta, em sua análise, somente aos riscos I,
II e III.
(B) se uma empresa deve estar atenta, em sua análise, a todos esses tipos de
riscos.
(C) se uma empresa deve estar atenta, em sua análise, somente aos riscos I e
II.
(D) se uma empresa deve estar atenta, em sua análise, somente aos riscos II
e III.
(E) se uma empresa deve estar atenta, em sua análise,somente aos riscos I e
IV.
Assinale:
(A) se somente as afirmativas I, II e III ajudam a proteger tais equipamentos
e os dados que contêm.
(B) se todas as afirmativas ajudam a proteger tais equipamentos e os dados
que contêm.
(C) se somente as afirmativas I e II ajudam a proteger tais equipamentos e os
dados que contêm.
(D) se somente as afirmativas II e III ajudam a proteger tais equipamentos e
os dados que contêm.
(E) se somente as afirmativas I e IV ajudam a proteger tais equipamentos e os
dados que contêm.
se passa por inofensivo, mas que pode causar sérios danos no computador
onde é executado, como alterar ou destruir arquivos, furtar senhas e outras
informações sensíveis. Normalmente, este tipo de programa não se replica,
não infecta outros arquivos nem propaga cópias de si mesmo, sendo a
melhor estratégia para evitá-lo não rodar arquivos anexos a e-mails,
particularmente os de origem desconhecida. Esse programa é conhecido
por:
(A) Trojan
(B) Spam
(C) Cookie
(D) McAffee
d) Trapdoors.
e) Inundação (flooding).
Gabarito