Escolar Documentos
Profissional Documentos
Cultura Documentos
Cibernética Ofensiva_
Rivanildo Santos
2023
SUMÁRIO
Capítulo 1. Introdução a Segurança da Informação e Cibernética ........... 4
Siglas Importantes................................................................................................................... 33
2
Capítulo 5. Engenharia Social .................................................................................. 50
1
Gerenciamento de Contas de Usuários .......................................................................... 99
Servidores WEB........................................................................................................................115
Firewall .........................................................................................................................................123
3
Capítulo 1. Introdução a Segurança da Informação e Cibernética
Conceitos de Segurança da Informação
4
Pilares de Segurança da Informação
Os pilares da segurança da informação se aplicam a todas as suas
dimensões: da informação, cibernética, defensiva, ofensiva, dentre outras:
Fonte: https://treinaweb.com.br.
• Confidencialidade.
• Integridade.
• Disponibilidade.
• Autenticidade.
5
• Não-repúdio.
• Privacidade.
Exemplos:
• Travamento de servidor.
• Tempestade.
• Funcionário irritado.
6
Figura 2 – Agente de Ameaça (hacker do mal).
Fonte: https://braziljournal.com/.
Vulnerabilidade
Fraqueza de um ativo ou controle que pode ser explorada por uma
ou mais ameaças.
Exemplos:
• Antivírus desatualizado.
7
Figura 3 – Vulnerabilidades.
Fonte: https://braziljournal.com/.
Riscos
É a probabilidade de um agente de ameaça tirar proveito de uma
vulnerabilidade e do impacto no negócio correspondente.
Exemplos:
8
Figura 4 – Riscos.
Medidas de Segurança
As medidas de segurança são garantias técnicas ou administrativas,
ou ações para evitar, combater ou minimizar a perda ou indisponibilidade de
ativos de informação, devido às ameaças que atuam sobre as suas
correspondentes vulnerabilidades.
9
– Conformidade com legislações e regulamentos nacionais e
internacionais.
– Objetivos organizacionais.
– Requisitos operacionais.
10
Categorias de Medidas de Segurança
Para criar um plano de segurança, podemos considerar sete
categorias diferentes de medidas:
11
Conceitos de Segurança Cibernética
O que é Segurança Cibernética?
A segurança cibernética é um conjunto de ações sobre pessoas,
tecnologias e processos contra os ataques cibernéticos. Por vezes nomeada
como segurança digital ou segurança de TI, é uma ramificação na segurança
da informação.
12
O que são Ataques Cibernéticos?
Em computadores e redes de computadores, um ciberataque,
também chamado de ataque cibernético, é qualquer tentativa de expor,
alterar, desativar, destruir, roubar ou obter acesso não autorizado, ou fazer
uso não autorizado de um dispositivo.
Ransomware
Esse tipo de ataque ocorre quando uma pessoa acessa um site sem
segurança, dentro da rede da empresa. Além disso, anexos de e-mails não
confiáveis também podem causar esse problema.
Phishing
A atenção às páginas visitadas e aos links clicados é importante
também para evitar o phishing. Nesse caso, são criados gatilhos para que o
usuário se direcione a um site, que, por sua vez, apresenta baixa segurança.
13
bruta. Trata-se de tentativas de invasão de sistemas, por meio de estratégias
que ajudam a descobrir o nome dos usuários e a chave de acesso.
• A03:2021 – Injection.
14
Figura 8 – OWASP Top 10.
Fonte: https://owasp.org/.
Red Team
• Simula ataques.
15
Blue Team
Purple Team
16
2
Capítulo 2. Governança e Política de Segurança da Informação
Sistema de Gestão de Segurança da Informação (SGSI)
O que é um SGSI?
É um sistema de gestão corporativa voltado para a Segurança da
Informação, que inclui toda a abordagem organizacional usada para
proteger a informação empresarial e seus critérios de Confidencialidade,
Integridade e Disponibilidade.
Figura 8 – SGSI.
Fonte: https://www.tjsc.jus.br.
18
O sistema de gestão de segurança da informação – SGSI, é um
sistema fundamentado nas normas da família NBR ISO/IEC 27000, que
inclui toda a abordagem institucional usada para proteger a informação de
acordo com seus princípios e atributos de confidencialidade,
disponibilidade, integridade, responsabilidade, autenticidade e criticidade. E
estabelece os seguintes processos organizacionais:
19
O Sistema de Gestão de Segurança da Informação é nada mais do
que vários processos de segurança interligados – quão melhor esses
processos são definidos e inter-relacionados, menos incidentes de
segurança haverá na organização.
20
Figura 9 – PDCA.
Fonte: https://www.portalgdti.com.br.
Estabelecer o SGSI
É a etapa que dá vida ao SGSI. Suas atividades devem estabelecer
políticas, objetivos, processos e procedimentos para a gestão de segurança
da informação. São os instrumentos estratégicos fundamentais para que a
organização possa integrar a segurança da informação às políticas e
objetivos globais da organização.
21
• Objetivos de controle e controles selecionados (a empresa deve
declarar quais medidas foram selecionadas para tratar a segurança
da informação).
Implementar o SGSI
Consiste em implementar e operar a política de segurança, os
controles / medidas de segurança, processos e procedimentos.
22
• Implementar procedimentos e outros controles capazes de permitir
a pronta detecção de eventos de segurança da informação e
resposta a incidentes de segurança da informação.
23
• Atualizar os planos de segurança da informação para levar em
consideração os resultados das atividades de monitoramento e
análise crítica.
24
• Cada seção definindo os controles de SI, contém um ou mais
objetivos de controle.
Fonte: ISACA.
25
Os controles são detalhados na ISO:
26
• Uso de pendrive de forma não autorizada.
Vazamento de dados:
• Má utilização de um sistema.
• Desfiguração de sites.
27
• Desrespeito à política de segurança ou à política de uso aceitável de
uma empresa ou provedor de acesso.
Fonte: LinkedIn.
28
Política de Segurança da Informação (PSI)
O que é uma PSI?
É um documento que registra os princípios e as diretrizes de
segurança adotados pela organização, a serem observados por todos os seus
integrantes e colaboradores e aplicados a todos os sistemas de informação
e processos corporativos.
29
• Consequências de violações de normas estabelecidas na política de
segurança.
• Controle de acesso.
– Transferência de informações.
– Backup.
– Transferência da informação.
• Controles criptográficos.
30
• Relacionamento na cadeia de suprimentos.
– Em forma de folheto.
31
3
Capítulo 3. Normas ISO 27000
Conceitos básicos
Normas: têm como propósito definir regras e instrumentos de
controle para assegurar a conformidade de um processo, produto ou serviço.
Diretrizes
Siglas Importantes
O que significa a palavra ISO?
A sigla ISO denomina a International Organization for
Standardization, ou seja, Organização Internacional de Padronização.
33
Portanto, é um meio de promover a padronização de produtos e serviços,
utilizando normas internacionais para melhoria contínua.
34
Quais são os princípios da ISO 27000?
Destacamos anteriormente que os preceitos presentes na ISO
27000 convertem para normas em relação à segurança dos dados. Entre os
principais princípios presentes nessa norma estão a disponibilidade, a
integridade, a confidencialidade e a autenticidade.
Fonte: http://www.iso.org.
35
4
Capítulo 4. Carreira Profissional e Certificações
Tendências de Mercado e Regulamentações
A segurança e privacidade na internet sempre foi uma grande
preocupação da sociedade. Contudo, com o aumento exponencial do
mercado digital nos últimos anos, esses cuidados precisam agora ser
redobrados.
Fonte: https://acaditi.com.br.
Regulamentações
E seguindo a tendência mundial, em agosto de 2018 o governo
brasileiro sancionou uma lei que regula a captação e tratamento de dados
pessoais. Conhecida como LGPD, a Lei Geral de Proteção de Dados foi
inspirada na regulamentação semelhante aprovada pela União Europeia, a
37
GPDR (General Data Protection Regulation). Com isso, o Brasil faz parte dos
mais de 120 países que têm uma legislação específica para o tratamento de
dados.
Figura 16 – LGPD.
38
Áreas de atuação de um Profissional de Cibersegurança
Cibersegurança
A cibersegurança é um conjunto de ações e técnicas para proteger
sistemas, programas, redes e equipamentos de invasões.
A internet está cada vez mais complexa e isso abre mais pontos de
vulnerabilidade aos sistemas. Por esse motivo, a cibersegurança pode ser
dividida em diversos setores, cada um com uma responsabilidade diferente.
Segurança da Rede
O profissional desse setor é responsável por garantir que todos os
componentes de rede da empresa estejam protegidos contra ameaças e
possíveis vazamentos de informações, ou seja, costuma ser a primeira linha
de defesa da organização.
39
Figura 17 – Segurança da Rede.
Fonte: Fibracem.
40
Figura 18 – Segurança de Informações e Dados.
Fonte: Databel.
Segurança da Nuvem
Com tantos arquivos e dados sendo compartilhados na nuvem, não
é à toa que existe uma área da cibersegurança totalmente dedicada para a
situação.
41
Figura 18 – Segurança de Informações e Dados.
Fonte: Kaspersky.
Segurança de Aplicação
Nesse departamento, o especialista fica responsável por encontrar e
ajustar vulnerabilidades no código-fonte dos computadores, web e
dispositivos móveis. É interessante que esse profissional seja familiarizado
com, pelo menos, uma linguagem de programação.
Fonte: Convisoappsec.
42
Segurança de Endpoints
Esse setor permite aos servidores se comunicarem de forma segura
com os terminais, o que pode incluir dispositivos pessoais. Os profissionais
dessa área da cibersegurança estão diretamente envolvidos em desenvolver
e configurar plataformas de proteção, garantindo a continuidade do negócio.
Fonte: Canaltech.
43
As certificações podem apresentar diferentes níveis de classificação,
partindo do básico até o mais avançado, podendo exigir alto investimento e
processos longos de preparação.
Fonte: Tecjump.
Certificações Profissionais
Certificações de segurança cibernética podem ser uma ótima
maneira de fast-tracking para sua carreira. O curso certo pode ajudar você a
obter aquela promoção tão desejada.
44
respondidas em até seis horas. O nível de dificuldade é alto e, por isso, o
candidato deve estudar muito antes de tentar obter o seu certificado.
• Gerenciamento de Riscos.
45
criado a partir da análise mais recente do conteúdo do exame. Os candidatos
têm até 4 horas (240 minutos) para concluir o exame.
CompTIA Security +
CompTIA Security + é a primeira certificação de segurança que um
candidato deve obter. Ele estabelece o conhecimento básico necessário para
qualquer função de segurança cibernética e fornece um trampolim para
trabalhos de segurança cibernética de nível intermediário. Security +
incorpora as melhores práticas na solução de problemas práticos,
garantindo que os candidatos tenham habilidades práticas de resolução de
problemas de segurança necessárias para:
46
• Monitore e proteja ambientes híbridos, incluindo nuvem, celular e
IoT.
47
base no padrão ISO/IEC 27001), mas também em novos requisitos, como
Proteção de Dados e Blockchain.
Fonte: EXIN.
48
5
Capítulo 5. Engenharia Social
O que é Engenharia Social?
Muito se fala sobre as ameaças cibernéticas, que aproveitam de
vulnerabilidades dos sistemas para invadir as redes e roubar dados de
usuários. Porém, não são só falhas virtuais que podem causar problemas
para a população. Erros humanos podem acontecer e comprometer
informações, e é isso que a engenharia social tenta causar.
Fonte: atlasgov.com.
50
Como atua o Engenheiro Social?
Troia, século XIII a.C. Os gregos haviam desistido da luta contra os
troianos. Como prova de amizade, deram-lhes um presente: um enorme
cavalo de madeira, tomado pelo povo troiano como símbolo da vitória. Dentro
da estátua, contudo, havia diversos guerreiros gregos, esperando pelo
momento certo para atacar os troianos desprevenidos. Em uma única noite
os gregos venceram uma guerra que durou por quase dez anos.
51
Figura 24 – Engenharia Social: Linha do Tempo.
Fonte: atlasgov.com.
52
Figura 24 – Engenharia Social - “O Presente”.
Fonte: atlasgov.com.
Phishing
Nos últimos anos a pescaria se tornou um dos esportes mais
praticados nos meios digitais – mas não de peixes, de pessoas. Isso porque
o Phishing, uma estratégia de ciberataque utilizada com frequência por
criminosos cibernéticos, tem feito diversas vítimas no mundo.
53
Smishing
“Parabéns! Você foi premiado! Nunca mais precisará se preocupar
com custos por ligações e internet móvel, pois você acaba de receber
R$10.000,00 em créditos! Para obtê-los, basta clicar no link abaixo...”
Vishing
É a versão verbal do phishing, usada em ligações telefônicas.
Usualmente, o golpista utiliza disfarces e cria pretextos para obter os dados
da vítima no outro lado da linha (como no exemplo do tópico sobre
pretextings).
54
Quid pro quo
Quid pro quo é uma expressão latina que significa "tomar uma coisa
por outra". No contexto de Segurança da Informação é o ciberataque em que
a vítima é levada a acreditar em uma mentira, como de que o computador
dela foi infectado com um malware, por exemplo. Então, uma “solução” para
o suposto problema é oferecida, induzindo a vítima a baixar o malware do
invasor.
Baiting
Eis que, inesperadamente, um sujeito tem a sorte grande de receber
um incrível prêmio pelo e-mail: um material exclusivo – que ele não solicitou
- sobre uma pesquisa de mercado com dados muito interessantes – de um
remetente que ele não conhece. Basta fazer download do arquivo, sem
estresse e sem burocracia.
Pretexting
Duas pessoas conversam ao telefone. De um lado da linha, o
atendente explica que o cartão de crédito da pessoa com quem está falando
foi clonado e utilizado para uma compra de R$ 3.000,00. O proprietário do
cartão fica em choque. Rapidamente, o atendente oferece uma solução
imediata: “passe seus dados bancários e cancelaremos em apenas alguns
minutos a compra realizada no seu nome”.
55
diversos golpes. O objetivo do golpista é criar um cenário que funcione como
pretexto para obter informações confidenciais da vítima.
Sextorsão
A Sextorsão, de acordo com o portal SaferNet, “é a ameaça de se
divulgar imagens íntimas para forçar alguém a fazer algo – ou por vingança,
ou humilhação ou para extorsão financeira. É uma forma de violência grave,
que pode levar a consequências extremas”.
Dumpster diving
Também conhecido como Trashing, o Dumpster diving ocorre
quando criminosos vasculham o lixo da empresa em busca de informações
sigilosas que possam lhe dar alguma oportunidade de obter dinheiro por
meio de extorsão, roubo ou golpe. Em função disso, muitas organizações
picam todos os documentos antes de os descartar.
Shoulder surfing
Traduzido do inglês como “surfar no ombro”, essa prática é muito
usada por golpistas que, por trás das vítimas, vigiam dados utilizados para
acessar contas bancárias, e-mails, ou usar cartões de crédito. Como
precaução contra isso, sempre verifique se há algum desconhecido atrás de
você ao utilizar senhas e logins, principalmente em espaços públicos. Se
você costuma trabalhar em shoppings, cafés ou coworkings, é algo para se
atentar.
56
Tailgating
Há um motivo lógico para que alguns ambientes de uma organização
tenham controle de acesso: é uma prevenção contra o contato de pessoas
não-autorizadas com informações confidenciais. Contudo, já aconteceram
casos em que criminosos se passaram por colaboradores com autorização,
passando pelo complexo de segurança sem ser detectado e tendo acesso a
diversos dados sigilosos. Essa atividade é conhecida como Tailgating.
Fonte: Valuehost.
57
Confira a fonte
Recebeu um e-mail de uma empresa? Cheque o remetente. Achou
uma unidade USB do nada em sua mesa? Tente traçar a origem do
dispositivo antes de o conectar em seu computador. Checar a fonte é um
processo que não demanda muito esforço e que pode poupar muito estresse
no futuro.
Mantenha a calma
A engenharia social muitas vezes depende de um senso de urgência.
Em um exemplo fora do mundo digital, se você recebe um telefonema
falando que sua mãe foi sequestrada, sua primeira reação é ficar
desesperado. Porém, se você se acalma e entra em contato com ela, o
bandido perde toda a vantagem que tinha no golpe.
58
empresa que está supostamente entrando em contato com você, você verá
com facilidade como é fácil quebrar os objetivos dos criminosos.
Peça identificação
Recebeu um telefonema que de cara já está pedindo várias
informações pessoais? Pergunte com quem o telefonista trabalha e qual o
nome dele, ou desligue e vá entrar em contato com os números oficiais da
instituição. Não aceite de cara os questionamentos, trate com cuidado os
seus dados e sempre investigue o que realmente está acontecendo.
59
da conta algo como “nome do primeiro animal de estimação”. Se você
compartilhou esse dado no Instagram, é possível que os criminosos saibam
a resposta e a usem para invadir suas contas. Alguns ataques de engenharia
social também tentam ganhar sua confiança usando eventos recentes
compartilhados em redes sociais para chamar sua atenção.
60
6
Capítulo 6. Introdução a Cloud Computing
Definição de Cloud Computing
Cloud Computing (Computação em nuvem) é um termo coloquial
para a disponibilidade sob demanda de recursos do sistema de computador,
especialmente armazenamento de dados e capacidade de computação, sem
o gerenciamento ativo direto do utilizador. O termo geralmente é usado para
descrever centros de dados disponíveis para muitos utilizadores pela
Internet.
62
A ABNT ISO/IEC 17788 fornece uma visão de cloud computing
acompanhada de um conjunto de termos e definições. Nesta norma é
fornecida a seguinte definição:
Fonte: Wikipédia.
63
Figura 27 – Termos associados à Cloud.
64
A definição de computação em nuvem do Instituto Nacional de
Padrões e Tecnologia (NIST), são “cinco características essenciais”:
65
demanda. Para o consumidor, os recursos disponíveis para utilização
muitas vezes parecem ilimitados e podem ser apropriados em
qualquer quantidade e a qualquer momento.
66
Figura 28 – SaaS - Software as a Service.
Fonte: Heymel.
67
Figura 29 – PaaS - Platform as a Service.
Fonte: Movidesk.
• RackSpace Cloud.
• GoGrid.
• Windows Azure.
68
• IBM Cloud.
69
Figura 30 – PaaS - Platform as a Service.
Fonte: Senasnerd.
70
Figura 31 – Modelos de Implantação de Cloud.
Fonte: researchgate.
71
como as aplicações são implementadas na nuvem. Uma nuvem privada é, em
geral, construída sobre um data center privado.
Fonte: tiexames.
72
• O custo total de propriedade (TCO) é alto e geralmente proibitivo
para empresas de pequeno porte.
Fonte: CentralServer.
• Redução do TCO.
73
• Implantação mais rápida.
• Segurança:
• Privacidade:
74
Figura 34 – Cloud Híbrida.
Fonte: CentralServer.
75
Figura 35 – Cloud Comunitária.
Fonte: tiexames.
76
pode ter algumas limitações, como falhas de conexão com a Internet e
podem indisponibilizar os serviços.
77
7
Capítulo 7. Introdução a Comandos básicos de Linux
Introdução ao Linux
Sistema Operacional
O Sistema Operacional é a interface entre o usuário e seus
programas e o computador. Ele é responsável pelo gerenciamento de
recursos e periféricos (como memória, discos, arquivos, impressoras, CPU
etc.) e a execução de programas.
O que é o Linux?
O Linux é um sistema operacional criado em 1991 por Linus Torvalds
na universidade de Helsinky, na Finlândia. É um sistema Operacional de
código aberto distribuído gratuitamente pela Internet. Seu código-fonte é
liberado como Free Software (software gratuito), o aviso de copyright do
kernel, feito por Linus, descreve detalhadamente isso, sendo proibido fazer
a comercialização do sistema. Isso quer dizer que você não precisa pagar
nada para usar o Linux e não é crime fazer cópias para instalar em outros
computadores, nós inclusive incentivamos isso.
79
Figura 36 – Linux.
Fonte: YouTube.
• Multitarefa real.
• Multiusuário.
80
devido à grande segurança oferecida pelas permissões de acesso do
sistema que funcionam, inclusive, durante a execução de programas.
• Usuário.
• Grupo.
• Superusuário.
81
Usuário
Como o Linux foi concebido para que várias pessoas pudessem
utilizar os mesmos recursos presentes em uma única máquina, surgiu o
conceito de usuário para diferenciar o que cada pessoa está fazendo e quais
recursos ela está ocupando. O usuário é a identificação da pessoa que irá
utilizar o sistema.
Grupos
O Linux também possui o conceito de “grupo”. Um grupo é, como o
próprio nome diz, um agrupamento de vários usuários que devem
compartilhar algumas características em comum como, por exemplo,
permissões de acessos a arquivos e dispositivos.
Superusuário
O superusuário é aquele que tem plenos poderes dentro do Linux. É
o superusuário quem pode criar novos usuários, alterar direitos, configurar
e fazer a atualização do sistema. Somente ele tem direito de executar essas
atividades.
82
Entrando e Saindo do Sistema
Ao iniciar o Linux, um prompt semelhante ao ilustrado a seguir será
mostrado:
• Linux (tty1)
• XPE login:
• [aluno@XPE aluno]$
Obs.: o Linux tem terminais virtuais. Você pode alterar entre eles
utilizando as teclas Alt-Fn, onde n pode variar de 1 até 6 na configuração
padrão.
Desligando o Sistema
A fim de evitar danos ao sistema de arquivos, é necessário que o
superusuário pare o sistema antes de desligar o computador. Um dos
comandos que podem ser utilizados é o comando shutdown. Este comando
permite tanto desligar quanto reiniciar o computador.
83
• [aluno@XPE aluno]$ shutdown -h now
84
Figura 36 – Linux.
Listando Arquivos
O comando ls mostra o conteúdo de um diretório. O formato do
comando é o seguinte:
• ls [ - l ] [ - a ] [ - F ] [dir]
85
• [aluno@XPE X11]$ ls
• [aluno@XPE X11]$
Metacaracteres
Existem sinais, chamados metacaracteres, usados para facilitar a
utilização de comandos no Linux.
86
*, ?, [], {} – são úteis para se referenciar arquivos que possuam
características em comum.
• [aluno@XPE aluno]$ ls
O asterisco “*”:
O asterisco é usado para representar “qualquer quantidade de
qualquer caractere”. Por exemplo, arquivo* retornaria todos os arquivos em
que o nome iniciasse com “arquivo”.
arquivo3
12arquivo
87
Os colchetes “[]”:
Os colchetes são utilizados para indicar uma lista de caracteres. Para
entender melhor, verifique os exemplos.
arquivo3
1arquivo 2arquivo
As chaves “{}”:
As chaves têm sua utilização muito assemelhada a dos colchetes. A
diferença está na possibilidade de referenciar sequências de caracteres
separadas por vírgulas, conforme o exemplo a seguir:
arquivo34
arquivo3 arquivo34
Estrutura de Diretórios
O sistema Linux possui a seguinte estrutura básica de diretórios:
• /bin
• /boot
• /dev
88
Contém arquivos usados para acessar dispositivos (periféricos)
existentes no computador.
• /etc
• /home
• /lib
• /mnt
• /usr
• /var
Contém maior parte dos arquivos que são gravados com frequência
pelos programas do sistema, e-mails, spool de impressora, cache etc.
• /sbin
89
Criando Diretórios
O comando mkdir é usado para criar diretórios. A sintaxe do
comando é a mostrada a seguir:
Removendo Diretórios
O comando rmdir é usado para remover diretórios. Por exemplo: para
remover o diretório meu_dir, basta digitar o seguinte comando:
90
• [aluno@XPE aluno]$ rmdir -p temp/sub_dir/sub_dir_2
Copiando Arquivos
O comando cp é utilizado para efetuar a cópia de arquivos no Linux,
sua sintaxe é mostrada a seguir:
• Copiar um arquivo para outro diretório que, por sua vez, possui um
diretório com mesmo nome do arquivo a ser copiado: não é
permitido, pois no Linux um diretório também é um arquivo.
91
• [aluno@XPE aluno]$ cp doc.txt documento.txt
doc.txt doc.txt~
92
Mover ou Renomear
As habilidades para mover e renomear arquivos no Linux são básicas
para organizar informações no sistema. A seguir será apresentado como
fazê-lo utilizando o comando mv. O formato básico do comando é mostrado
a seguir:
• mv arquivo destino.
documento.txt documento.txt~
93
• [aluno@XPE aluno]$ mv dir_1 dir_2
Removendo Arquivos
O comando rm (remove) é usado para remover arquivos e diretórios.
É possível remover vários arquivos simultaneamente, bastando para tal
colocar o nome dos arquivos a remover logo depois do comando. O formato
básico do comando é mostrado a seguir:
• rm [parametros] arquivo
94
• [aluno@XPE aluno]$ rm -rf /tmp
Permissões de Arquivos
Conceitos
Este capítulo trata do sistema de direitos de acesso aos arquivos do
Linux, incluindo também informações de como alterar estes direitos.
95
Os demais nove caracteres, divididos em três grupos de três
caracteres cada, definem as permissões do dono do arquivo, dos membros
do grupo a que está relacionado o arquivo e de outros usuários,
respectivamente. As permissões de acesso aos arquivos são representadas
pelas letras r, w e x, conforme detalhado na tabela abaixo:
Utilizando o chmod
O comando chmod permite que se altere as permissões de um ou
mais arquivos. Existem duas notações para se aplicar o comando: o modo
simbólico e o octal. Somente o superusuário ou o dono do arquivo podem
executar esta operação. Veja a sintaxe do comando abaixo:
96
Uma das opções mais usadas no chmod é a opção -R que permite
que se altere recursivamente as permissões de arquivos e diretórios.
97
Nesse caso, são concedidas permissões de leitura e gravação ao
dono, e execução ao grupo para o arquivo documento.txt. Exemplo de
definição octal de permissões:
Utilizando chown
Veja a sintaxe do comando abaixo:
98
usuário pode alterar o grupo caso ele pertença tanto ao grupo de origem
como ao grupo de destino. Exemplos:
Contas de Usuário
O Linux é um sistema operacional multiusuário, portanto é
necessário que todos os usuários sejam cadastrados e tenham permissões
de acesso diferenciados, é possível também cadastrá-los em grupos para
facilitar o gerenciamento. Neste tópico serão abordados justamente estes
aspectos do Linux e os comandos necessários para a administração do
sistema.
99
• /etc/passwd – informações de contas de usuários
Exemplo:
O Comando passwd
O comando passwd permite que se troque a senha de determinado
usuário. O superusuário pode trocar a senha de qualquer outro. O usuário
comum, porém, pode trocar somente a sua senha. As senhas são
armazenadas no arquivo /etc/shadow, e as demais informações dos usuários
são armazenadas no arquivo /etc/passwd.
Após a criação do usuário será necessário criar uma senha para este,
caso contrário não será permitido que este usuário faça login no sistema.
Para tal, deve-se utilizar o comando passwd.
100
Sintaxe: passwd [usuário]
Exemplos:
O Comando userdel
O comando userdel permite que se elimine usuários do sistema.
Somente o superusuário poderá utilizar este comando. Veja abaixo sua
sintaxe:
O Comando gpasswd
O comando gpasswd é utilizado para administrar o arquivo
/etc/group (e o arquivo /etc/gshadow, caso seja compilado com
SHADOWGRP). Todos os grupos podem ter administradores, membros e
uma senha. O administrador do sistema pode usar a opção -A para definir o
101
administrador do grupo e -M para definir os membros e todos os seus
direitos, assim como os do administrador. Veja a sintaxe abaixo:
• gpasswd grupo
• gpasswd -R grupo
• gpasswd -r grupo
• id [opções] [nome]
102
Utilizado sem nenhuma opção, o comando id retorna os dados do
usuário corrente.
• [aluno@XPE aluno]$ id
103
Comandos de Controle e Acesso
Comandos de Comunicações
104
• find: localizar arquivos, como por exemplo: find . -name *.txt -print,
para pesquisa de arquivos de texto do diretório atual.
105
Web
106
• diff: compara o conteúdo de dois arquivos ASCII.
107
• sync: faz um flush aos buffers do sistema de arquivos, sincroniza os
dados no disco com a memória, ou seja, escreve todos os dados
presentes nos buffers da memória para o disco.
• sort: ordena, une ou compara texto, podendo ser usado para extrair
informações dos arquivos de texto ou mesmo para ordenar dados de
outros comandos como, por exemplo, listar arquivos ordenados pelo
nome.
• fold: encurta, ou seja, faz um fold das linhas longas para caberem no
dispositivo de output.
108
• head: mostra as primeiras linhas de um arquivo, como por exemplo
com head -10 a.txt, ou usado como filtro para mostrar apenas os
primeiros x resultados de outro comando.
109
• rsh: um shell em outros sistemas UNIX.
• kill: mata um processo, como por exemplo kill -kill 100 ou kill -9 100
ou kill -9 %1.
• top: lista os processos que mais cpu usam, útil para verificar que
processos estão a provocar um uso excessivo de memória e quanta
percentagem de cpu cada um usa em dado momento.
110
Comandos de Informação de Estado
111
• spend: lista os custos ACITS UNIX até a data time mede o tempo de
execução de programas.
• w: nos mostra quem está no sistema ou que comando cada job está
a executar.
112
• latex: formata texto em LaTeX, que é baseado no TeX.
113
8
Capítulo 8. Servidores WEB, Banco de Dados e Firewall
Servidores WEB
Servidor web é um software responsável por aceitar pedidos em
HTTP de clientes, geralmente os navegadores, e servi-los com respostas em
HTTP, incluindo opcionalmente dados, que geralmente são páginas web, tais
como documentos em HTML com objetos embutidos (imagens etc.) ou um
computador que executa um programa que provê a funcionalidade descrita
anteriormente. O mais popular, e mais utilizado no mundo, é o servidor
Apache (software livre). A Microsoft possui a sua própria solução
denominada IIS (Internet Information Services).
Características
Os pedidos http, que se referem habitualmente a páginas em HTML,
são normalmente feitos através de navegadores.
115
Páginas dinâmicas e estáticas
A origem do conteúdo enviado pelo servidor web numa resposta a
um pedido em HTTP pode ser:
Banco de Dados
O que é um Banco de Dados?
Um banco de dados é uma coleção organizada de informações – ou
dados – estruturadas, normalmente armazenadas eletronicamente em um
sistema de computador. Um banco de dados é geralmente controlado por
um sistema de gerenciamento de banco de dados (DBMS). Os dados e o
DBMS, juntamente com os aplicativos associados a eles, são chamados de
sistema de banco de dados, geralmente abreviados para apenas banco de
dados.
116
controlados e organizados. A maioria dos bancos de dados usa a linguagem
de consulta estruturada (SQL) para escrever e consultar dados.
117
Alguns exemplos de softwares de bancos de dados populares ou
DBMSs incluem MySQL, Microsoft Access, Microsoft SQL Server, FileMaker
Pro, Oracle Database e dBASE.
Data Warehouses
Um repositório central de dados, um Data Warehouse, é um tipo de
banco de dados projetado especificamente para consultas e análises
rápidas.
118
Bancos de dados NoSQL
Um NoSQL, ou banco de dados não relacional, permite que dados
não estruturados e semiestruturados sejam armazenados e manipulados
(em contraste com um banco de dados relacional, que define como todos os
dados inseridos no banco de dados devem ser compostos). Os bancos de
dados NoSQL se tornaram populares à medida que os aplicativos web se
tornaram mais comuns e mais complexos.
Esses são apenas alguns dos vários tipos de bancos de dados em uso
atualmente. Outros bancos de dados menos comuns são adaptados para
funções científicas, financeiras ou outras muito específicas. Além dos
diferentes tipos de banco de dados, as mudanças nas abordagens de
desenvolvimento de tecnologia e os avanços dramáticos, como a nuvem e a
automação, estão impulsionando os bancos de dados em direções
totalmente novas.
119
Alguns dos mais recentes bancos de dados incluem:
120
• Quem pode acessar os dados.
121
O que é um MySQL Database?
MySQL é um sistema de gerenciamento de banco de dados
relacional de código aberto baseado em SQL. Ele foi projetado e otimizado
para aplicativos da web e pode ser executado em qualquer plataforma. Como
surgiram requisitos novos e diferentes com a internet, o MySQL tornou-se a
plataforma preferida para desenvolvedores da web e aplicativos baseados
na web. Por ter sido projetado para processar milhões de consultas e
milhares de transações, o MySQL é uma escolha popular para empresas de
comércio eletrônico que precisam gerenciar várias transferências de
dinheiro. A flexibilidade sob demanda é o principal recurso do MySQL.
Fonte: Volvimm.
122
Firewall
O que é um Firewall?
Um firewall é um dispositivo de segurança da rede que monitora o
tráfego de rede de entrada e saída e decide permitir ou bloquear tráfegos
específicos de acordo com um conjunto definido de regras de segurança.
123
Perceba, com esses exemplos, que as políticas de um firewall são
baseadas, inicialmente, em dois princípios: todo tráfego é bloqueado, exceto
o que está explicitamente autorizado; todo tráfego é permitido, exceto o que
está explicitamente bloqueado.
Tipos de Firewalls
• Firewall de proxy:
124
próxima geração para bloquear ameaças modernas, como malware avançado
e ataques na camada da aplicação.
125
• Saber quais recursos sofrem um risco maior com reconhecimento
completo de contexto.
Figura 38 – Firewall.
Fonte: Wikipédia.
126
9
Capítulo 9. Introdução aos Comandos Básicos de Linux
Metodologia Ágil para TI
O que são Metodologias Ágeis?
As metodologias ágeis são uma forma de acelerar entregas de um
determinado projeto. Ela consiste no fracionamento de entregas para o
cliente final em ciclos menores. Com isso, eventuais problemas podem ser
corrigidos mais rapidamente e os planejamentos serem revistos. Apesar de
sua aplicação ter iniciado e ser muito comum em equipes de
desenvolvimento, a estratégia pode ser utilizada em qualquer tipo de
projeto.
128
cultura ágil vem se tornando cada vez mais comum, principalmente nas
empresas de TI.
129
la mais assertiva, prática e eficiente. Ou seja, otimizando o tempo e
diminuindo possíveis obstáculos.
Scrum
O Scrum é o framework ágil mais usado pelas organizações. Para
muitas é também a porta de entrada na agilidade.
130
• Sprint planning: reunião da equipe com o objetivo de construir o
backlog da sprint, sequenciar, estimar o tempo e distribuir as
demandas.
• Daily Scrum: reunião curta diária (15 minutos) para inspeção (o que
fez, o que vai fazer e obstáculos) e ajustes de última hora.
Mas para que o Scrum funcione, não basta ter apenas papéis,
cerimônias e um board. Na base disso, os criadores do Scrum colocaram
cinco valores cruciais para a metodologia produzir resultados:
131
• Foco: pelo período da sprint, o backlog é o único trabalho da equipe.
Há um cuidado em se manter fiel às demandas, fazendo os ajustes
tão logo quanto possível.
Figura 39 – Scrum.
Fonte: Wikipédia.
Kanban
Um kanban nada mais é do que um cartão. A ideia de traduzir fluxos
por meio de cartões surgiu na Toyota, na década de 1950, da mente do
engenheiro mecânico Taiichi Ohno. O objetivo era eliminar os desperdícios
e aumentar o nível de flexibilidade na indústria.
132
O Kanban, assim como o Scrum, funciona em um quadro. A forma
mais básica dele tem três listas com os kanban (cartões): a de tarefas por
fazer, a de tarefas em andamento e a de tarefas concluídas. Cada cartão é
uma atividade a ser puxada para a lista seguinte sempre que atender aos
requisitos, como uma fila. Simples, mas poderoso. Por quê? Anderson
responde com os seguintes pontos:
133
• Começar pelo que a equipe já faz: montar um Kanban força a equipe
a olhar para o que faz e a compreender por que faz.
Lean
Após a Segunda Guerra Mundial, a montadora de veículos Toyota,
com origem no Japão, se viu abalada pela enorme falta de recursos que
consequentemente ocasionava uma baixa produtividade.
134
supõe que reduzindo os desperdícios, a qualidade melhora e o tempo e custo
da produção diminuem.
Figura 40 – Lean.
Fonte: Atech.
135
Figura 41 – Os Sete Desperdícios do Lean.
Fonte: LinkedIn.
136
primeiro conhecer, entender e deixar bem-definido o que o cliente vê como
valor em seu produto ou serviço. Se você entrega algo que não é aquilo que
o seu cliente está disposto a pagar, temos um desperdício, pois basicamente
aquilo que agrega valor ao cliente é aquilo que ele se dispõe a pagar. Isso
exige estudos frequentes para entender o que agrega valor ao seu cliente e
para que você transforme o seu produto ou serviço para melhor adequá-lo.
Fluxo de Valor: este princípio está bem ligado ao anterior. Agora que
você sabe o que é valor para seu cliente, você precisa olhar para seus fluxos
e suas respectivas etapas para identificar o que agrega ou não agrega valor
ao cliente, pois aquelas que não agregam são consideradas desperdícios e,
portanto, devem ser eliminadas.
Perfeição: essa é uma etapa que deve ser eterna para que a perfeição
sempre seja buscada através da melhoria contínua dos processos, serviços,
produtos, pessoas etc., sempre visando a agregação de valor ao cliente.
137
Figura 42 – Os 5 Princípios do Lean.
Fonte: LinkedIn.
138
Como vimos, existem diversas metodologias (como Scrum e Lean)
que podem fazer parte da sua cultura organizacional. É importante frisar que
não há a “melhor metodologia”, mas a solução mais adequada dentro do
contexto do seu negócio ou projeto. Apesar de existirem diversas opções de
métodos em uma cultura ágil, os impactos na empresa tendem a ser os
mesmos. Contar com métodos ágeis é uma atitude que trará benefícios não
só para sua empresa, como também para seu cliente.
Múltiplas entregas
Outra vantagem importante na adoção de métodos ágeis é quanto
às múltiplas entregas que a organização passa a fazer para o seu cliente
final. Como na metodologia, as entregas são divididas em ciclos menores, a
empresa é capaz de gerar valor para seu cliente antes mesmo de o projeto
chegar ao fim.
Qualidade do produto
Os métodos ágeis são baseados no desenvolvimento frequente e
incremental. Isso significa que o projeto passa por diversas revisões e
correções ao longo de sua elaboração. Esse processo de melhoria constante
garante um produto final de qualidade superior.
139
Maior engajamento dos colaboradores com o projeto
Trabalhar com métodos ágeis requer uma dedicação maior dos
colaboradores. Isso porque, em seu desenvolvimento, as equipes passam a
ser autogerenciáveis, ou seja, os próprios colaboradores fazem a distribuição
de tarefas e a cobrança a respeito dos prazos de entrega. Isso acaba
resultando em um aumento de foco e engajamento dos profissionais com o
projeto.
140
Referências
ABNT NBR ISO/IEC 27001:2013. Tecnologia da Informação – Técnicas de
Segurança – Sistemas de Gestão da Segurança da Informação – Requisitos.
AMAZON WEB SERVICES. Home. In: Amazon Web Services, uma plataforma
de serviços de computação em nuvem, que formam uma plataforma de
computação na nuvem oferecida pela Amazon.com. Amazon Web Services
2022. Disponível em: <https://aws.amazon.com/pt/>. Acesso em 23. nov.
2022.
141
KALI ORG. Home. In: kali.org, uma distribuição Linux para de testes de
penetração. OffSec Services Limited 2022. Disponível em:
<https://www.kali.org/>. Acesso em 23. nov. 2022.
OWASP TOP 10. In: Open Web Application Security Project ® (OWASP), um
relatório atualizado regularmente que descreve questões de segurança para
a segurança de aplicativos web, com foco nos 10 riscos mais críticos.
Creative Commons, 2017.
142
VIRTUAL BOX. Virtualização. In: VirtualBox, um virtualizador completo de
uso geral para hardware x86, voltado para servidor, desktop e uso
incorporado. Oracle Tech Network, 2022. Disponível em:
<https://www.virtualbox.org/>. Acesso em 23. nov. 2022.
143