RESUMO

https://www.cebraspe.org.br/concursos/SERPRO_23

DICA: RELEIA A QUESTÃO ANTES DE RESPONDER!

DICA: RELEIA A QUESTÃO ANTES DE RESPONDER!
DICA: RELEIA A QUESTÃO ANTES DE RESPONDER!

Segurança da Informação

ISO 27000 – Confiabilidade, integridade e disponibilidade.

Três pilares:
● Confidencialidade (sigilo + privacidade): garante que apenas pessoas autenticadas e autorizadas
acessarão certos dados. É violado quando alguém intercepta e acessa dados que não são
direcionados a ela.
● Confiabilidade: objetivo garantir que os dados sejam os mesmos no início e fim, mensagem intacta no
destino. Serve também para dados em repouso.
● Integridade: apenas pessoa autorizada pode acessar e modificar uma informação.
● Disponibilidade: objetivo de garantir que determinado recurso esteja disponível quando requisitado

Outros princípios comuns:

● Autenticidade: garante que determinada pessoa ou sistema é de fato quem diz ser (por impressão
digital, reconhecimento facial, assinatura digital).
● Não-Repúdio (Irretratabilidade): e o usuário não tenha condições de negar ou contrariar o fato de que
foi ele quem gerou determinado conteúdo ou informação
● Legalidade: respeitar legislação e normas vigentes

Segurança de arquiteturas: norma X.800

Tipos de segurança
● Segurança física: aspectos tangíveis
○ UPS: bateria de tempo limitado
○ Gerador: pode ser prolongado com uso de combustível
○ Site físico redundante: ambiente que assume a operação em caso de catástrofe no ambiente
principal
○ CFTV: câmeras de registro para monitoramento e análise
○ travas de equipamento: bloqueio de portas ou unidades ou mesmo chaves que prendem o
equipamento no local (kensington)
○ alarmes: aspecto físico e lógico
○ catracas: restringe acesso
○ sala cofre: ambiente seguro para data centers
● Segurança lógica: dados em formato analógico ou digital
○ Hardening: técnicas de “endurecer” servidor
■ Impedir acessar root diretamente, apenas com escalação de privilégio (usuário logado
que executa a mudança de privilégio)
■ Redução de serviços
■ Limitação de acesso remoto: exigir protocolo SSH. restringir acesso ao servidor para
certas máquinas ou redes
 ■ Atualização do sistema com as últimas e mais atualizadas versões

ISO

Sistema de Gestão de Segurança da Informação (SGSI / ISMS):

● consists of the policies, procedures, guidelines, and associated resources and activities, collectively
managed by an organization, in the pursuit of protecting its information assets.
● An ISMS is a systematic approach for establishing, implementing, operating, monitoring, reviewing,
maintaining and improving an organization’s information security to achieve business objectives
● Passos para estabelecer, monitorar e manter um SGSI (aplicar e repetir os passos):
○ Identificar ativos de informação e seus requerimentos de SI
○ avaliar riscos de SI e tratá-los
○ escolher e implementar controles relevantes para gerenciar riscos inaceitáveis
○ monitor, prover manutenção e melhorar a efetividade de controles associados com os ativos de
informação

Incidentes de segurança da informação: eventos de segurança da informação probabilidade significativa de

comprometer as operações da empresa e de ameaçar a segurança da informação

Segurança da informação:
● Garante confiabilidade, integridade e disponibilidade da informação
● Envolve aplicação e gerenciamento de controles apropriados
● Minimiza as consequências de incidentes de segurança da informação

ISO/IEC 27001: requerimentos normativos para desenvolvimento e operação de um SGSI

ISO/IEC 27002: provides guidance on the implementation of information security controls

Mecanismos de segurança.

Criptografia.

Chave simétrica: quem envia e quem recebe possuem a mesma chave. Mais rápido.

Chave pública (ou assimétrica): pares de chaves - pública e privada. Mais lento. Dependem da chave privada
ser secreta. Qualquer um com a chave pública pode encriptar uma mensagem, porém apenas aquele com a
chave privada pode decriptar.
● Caso de autenticação: usa a chave privada para encriptar e chave pública para decriptar
● É comum o uso da chave assimétrica para compartilhar chave simétrica.

Função de hash: mapeia dados de comprimento variável para comprimento fixo. Objetivo geral é integridade
dos dados.
● Colisões são possíveis, mas uma boa função de hash as evita
● Uma mudança de qualquer bit na entrada resulta com alta probabilidade de uma mudança no código
de hash
● Computacionalmente inviável descobrir:
○ um objeto de dados que seja mapeado para um resultado de hash específico (propriedade da
mão única)
○ dois objetos de dados que sejam mapeados para o mesmo resultado de hash (propriedade
livre de colisão)
● A entrada é tamanho variável, mas é geralmente preenchida até o tamanho limite
Assinatura digital.

O usuário criptografa o hash (resumo) da mensagem com sua chave privada. Qualquer um pode
descriptografar usando a chave pública disponível no certificado e confirmar a autenticidade.

Típico esquema:
● É gerada uma chave privada e uma pública correspondente a ela.
● Algoritmo de assinatura: dada uma mensagem e chave privada, produz uma assinatura.
● Algoritmo que verifica assinatura: dada uma mensagem, chave pública e assinatura, aceita ou rejeita a
alegação de autenticidade.
○ Qualquer um com a chave pública pode verificar a autenticidade, porém apenas com a chave
privada pode-se assinar.

Normalmente baseada em criptografia RSA:

● Chave pública é a multiplicação de dois números primos e qualquer um tem acesso para encriptar
mensagens.
● A chave privada consiste em saber os números primos. Apenas deste modo é possível decriptar
mensagens.

Tipos de falsificação:
● Existencial: atacante forja assinatura para pelo menos uma mensagem
● Universal: atacante encontra algoritmo de assinatura eficiente que oferece modo equivalente de
construção de assinaturas para mensagens arbitrárias

Garantia de integridade.

Conexão SSL (TLS):

● Cliente requisita sessão segura e apresenta uma lista de funções de hashs e cifras
● O servidor escolhe uma cifra e função de hash que ele suporte e notifica o cliente da decisão
(negociação da conexão)
● Normalmente o servidor apresenta um certificado digital
● O cliente confirma a validade do certificado antes de prosseguir
● Protocolos utilizam chave pública para compartilhar as configurações de criptografia e uma chave de
sessão única é compartilhada
● A partir daí toda comunicação é compartilhada por meio da chave simétrica

Integridade: prevenir-se contra a modificação ou destruição imprópria de informação, incluindo a

irretratabilidade e autenticidade dela. Uma perda de integridade seria a modificação ou destruição não
autorizada de informação.

Um serviço de integridade orientado à conexão, que lida com um fluxo de mensagens, garante que elas
sejam recebidas conforme enviadas, sem duplicação, inserção, modificação, reordenação ou repasses

Controle de acesso.

Diz respeito tanto ao campo físico quanto lógico.

Ligado ao princípio da autenticidade e autorização.

Para AUTENTICAR precisamos IDENTIFICAR

No caso lógico: Capacidade de limitar e dominar o acesso aos sistemas e aplicações por meio de links de
comunicação. Para conseguir isso, cada entidade que tenta obter acesso precisa primeiro ser identificada, ou
autenticada, de modo que os direitos de acessos possam ser ajustados ao indivíduo.

Três técnicas principais:

● Mandatory Access Control (MAC): O adm atribui permissões por meio de labels.
● Discretionary Access Control (DAC): Mais flexível, em que são atribuídos acessos aos recursos (ex.:
linux ou windows no esquema de permissões de arquivo).
● Role-Based Access Control (RBAC): “Controle baseado em papéis”. Acesso de acordo com a função.
Mais simples.

Mecanismos de autenticação dividem-se em 3 grandes grupos:

● Algo que vc sabe: senhas, por exemplo
● Algo que vc tem: token, crachá, smart card
● Algo que vc é: mecanismo mais robusto da autenticidade. Ex.: biometria

DICA: biometria não se restringe à impressão digital, podendo ser padrão de voz, irís, imagem da face

Autorização: determinado usuário ou serviço depende de autenticação para acessar recurso. Não basta ser
usuário válido no sentido da autenticação.

Auditabilidade: registra ações para permitir rastreamento e identificação de falhas ou usos indevidos.

DICA: AAA - (authentication, authorization e accounting)

Certificação digital, ICP-Brasil.

Tipo de Certificados

Padrão X­.509 V3

Na ICP-Brasil estão definidos oito tipos de certificados para titulares, classificados da seguinte forma: A1, A2,
A3, A4, S1, S2, S3 e S4 e um tipo de certificado para Autoridades Certificadoras.

Certificado digital A1: é um arquivo de computador, que fica armazenado diretamente na máquina em que
será usado.

O certificado digital A3 fica armazenado em uma mídia (cartão ou token), ele precisa de configurações
adicionais para uso.

AC - Raiz: Instituto Nacional de Tecnologia da Informação

Compete emitir, expedir, distribuir, revogar e gerenciar os certificados das autoridades certificadoras de nível
imediatamente subsequente ao seu. A AC-Raiz também está encarregada de emitir a Lista de Certificados
Revogados – LCR e de fiscalizar e auditar as Autoridades Certificadoras – ACs, Autoridades de Registro –
ARs e demais prestadores de serviço habilitados na ICP-Brasil.

AC - Autoridade Certificadora
Entidade, pública ou privada, subordinada à hierarquia da ICP-Brasil, responsável por emitir, distribuir,
renovar, revogar e gerenciar certificados digitais. Tem a responsabilidade de verificar se o titular do certificado
possui a chave privada que corresponde à chave pública que faz parte do certificado. Cria e assina
digitalmente o certificado do assinante, onde o certificado emitido pela AC representa a declaração da
identidade do titular, que possui um par único de chaves (pública/privada).
Cabe também à AC emitir Listas de Certificados Revogados – LCR e manter registros de suas operações
sempre obedecendo às práticas definidas na Declaração de Práticas de Certificação – DPC. Além de
estabelecer e fazer cumprir, pelas ARs a ela vinculadas, as políticas de segurança necessárias para garantir a
autenticidade da identificação realizada.

AR - Autoridade de Registro
Responsável pela interface entre o usuário e a AC. Vinculada a uma AC, tem por objetivo o recebimento, a
validação, o encaminhamento de solicitações de emissão ou revogação de certificados digitais e identificação,
de forma presencial, de seus solicitantes. É responsabilidade da AR manter registros de suas operações.
Pode estar fisicamente localizada em uma AC ou ser uma entidade de registro remota.

ACT - Autoridade Certificadora do Tempo

Entidade na qual os usuários de serviços de Carimbo do Tempo confiam para emissão dos mesmos. A ACT
tem a responsabilidade geral pelo fornecimento do Carimbo do Tempo, conjunto de atributos fornecidos pela
parte confiável do tempo que, associado a uma assinatura digital, confere provar a sua existência em
determinado período.
Na prática, um documento é produzido e seu conteúdo é criptografado. Em seguida, ele recebe os atributos
ano, mês, dia, hora, minuto e segundo, atestado na forma da assinatura realizada com certificado digital
servindo assim para comprovar sua autenticidade. A ACT atesta não apenas a questão temporal de uma
transação, mas também seu conteúdo.

PSS - Prestador de Serviço de Suporte

Desempenha atividade descrita nas Políticas de Certificado - PC e na Declaração de Práticas de Certificação
- DPC da AC a que estiver vinculado, diretamente ou por intermédio da AR, ou nas Políticas de Carimbo do
Tempo - PCT e na Declaração de Práticas de Carimbo do Tempo - DPCT da ACT a que estiver vinculado, ou
ainda nas atividades de PSBio, classificando-se, conforme o tipo de atividade prestada, em três categorias:
● disponibilização de infraestrutura física e lógica;
● disponibilização de recursos humanos especializados;
● disponibilização de infraestrutura física e lógica e de recursos humanos especializados.

PSBio - Prestador de Serviço Biométrico

O Prestador de Serviço Biométrico - PSBio é uma entidade com capacidade técnica para realizar a
identificação biométrica, tornando um registro/requerente único em um ou mais bancos/sistemas de dados
biométricos para toda ICP-Brasil, a verificação biométrica do requerente de um certificado digital e a
comparação de uma biometria, que possua característica perene e unívoca, de acordo com os padrões
internacionais de uso.

DICA: O par de chaves criptográficas será gerado sempre pelo próprio titular e sua chave privada de
assinatura será de seu exclusivo controle, uso e conhecimento

Gerência de riscos.

Ameaça, vulnerabilidade e impacto.

Ataques passivos: bisbilhotar ou monitorar transmissões. São mais difíceis de descobrir, pois não envolvem
modificação
● Vazamento de conteúdo de mensagem: o oponente descobre o conteúdo
 ● Análise de tráfego: mesmo que não conseguisse ler a mensagem (encriptada), o oponente descobre
identidade, padrões na troca, frequência, local etc
Ataques ativos: envolvem modificação do fluxo ou criação de fluxo falso
● disfarce: entidade finge ser outra
● repasse: captura passiva de dados e subsequente retransmissão para produzir efeito não desejado
● modificação da mensagem: parte da mensagem legítima é alterada (man-in-the-middle)
● negação de serviço (denial of service DoS): impede ou inibe uso ou gerenciamento normal das
instalações de comunicação. Pode decorrer de ataques de escalação de privilégios
● negação de serviço distribuído (DDoS): um computador mestre distribui a tarefa a computadores
zumbis
● zero day: ataques ainda não descobertos

Vulnerabilidade: condição de fragilidade do ativo que pode ser explorada por uma ou mais ameaças

Ameaça: uma ameaça é um possível perigo a explorar uma vulnerabilidade. causa potencial de um incidente
indesejado, que pode resultar em dano para um sistema ou organização

Impacto: considera o resultado gerado decorrente da verificação de um determinado evento de segurança

sobre um ou mais recursos

Risco: probabilidade potencial associada à exploração de uma ou mais vulnerabilidades por parte de uma ou
mais ameaças, capazes de gerar determinado IMPACTO para a organização. Lidando com riscos:
● evitar
● transferir: para 3ª parte, que assume a responsabilidade
● mitigar
● aceitar ou reter

● Worm: geram cópias de si próprios e não precisam da intervenção da vítima.

○ Crescimento exponencial
○ No geral afetam a rede
● Spyware: coleta dados e envia a terceiros sem consentimento
● Vírus: aloja-se no código de um executável
● malware: software malicioso

Políticas de segurança.

NBR ISO/IEC 27002:2005.

Apresenta um código de boas práticas com controles de Segurança da Informação

Gestão continuada de negócios: não permitir a interrupção das atividades do negócio e proteger os processos
críticos contra efeitos de falhas ou desastres significativos, e assegurar a sua retomada em tempo hábil, se for
o caso

PCN – Plano de Continuidade de Negócios: documento responsável por consolidar as ações para
continuidade do negócio. Todos os riscos envolvidos, no que tange às suas probabilidades e impactos devem
ser analisados. Foco também no capital intelectual
NBR ISO/IEC 27001:2013.

Define requisitos de um Sistema de Gestão da Segurança da Informação – SGSI. Busca ESTABELECER,

IMPLEMENTAR, OPERAR, MONITORAR, REVISAR, MANTER e MELHORAR a Segurança da Informação
através do SGSI

NBR ISO/IEC 15408.

Introduz Common Criteria (CC): framework

● Usuários especificam requisitos funcionais de segurança e garantia
● Fornecedores podem implementar e/ou fazer alegações sobre os atributos
● Labs podem avaliar se o produto cumpre as reivindicações

Políticas de senhas.

A password policy is a set of rules designed to enhance computer security by encouraging users to employ
strong passwords and use them properly. Either the password policy is merely advisory, or the computer
systems force users to comply with it
● NIST 2004: irregular capitalization, special characters, and at least one numeral
● NIST 2017: forcing complexity and regular changes is now seen as bad practice
○ Verifiers should not impose composition rules
○ Verifiers should not require passwords to be changed arbitrarily or regularly
○ must be at least 8 characters in length

Autenticação de dois fatores (MFA)

Autenticação forte, dois fatores (duas etapas), duplo fator de autenticação (2FA): necessariamente combina
algo que vc sabe, algo que vc tem ou algo que vc é. Múltiplo fator de autenticação (MFA) segue o mesmo
princípio e pode ter 2 ou mais fatores.

OAuth 2, JWT, SSO, Open ID Connect e SAML

O OAuth foi concebido em conjunto por Google e pelo Twitter, permitindo assim logins simplificados e
integrados a múltiplos serviços na Internet. O processo por trás é semelhante ao SAML. Versão atual 2.0
define 4 papéis básicos:
● Resource Owner: dono do recurso, quem concede acesso a seus dados, usuário final
● Resource Server: camada de integração disponibilizada pelo provedor de identidades
● Authorization Server: responsável por autenticação e emissão de tokens de acesso aos clientes.
Passa o token de forma segura através do bearer token
● Client: aplicação que interage com o dono do recurso
Single Sign On (SSO): possibilitar a determinado usuário consumir recursos de diversos sistemas e serviços a
partir de uma única camada de autenticação. Inverso é o Single Sign OFF. Principal protocolo é o LDAP

JWT: JSON web token, contém um conjunto de declarações e são criptografados por chave privada ou chave
pública/privada. Usados em contexto de SSO. Num acesso bem sucedido, o JWT é retornado e armazenado
localmente (na sessão ou cookies).

SAML - Security Assertion Markup Language: provedores de serviços e recursos de identidade passam
credenciais de autorização a provedores de serviços. Ex.: acesso.gov do governo federal.
● Transações geram um XML
● Transmite info sobre users, logins e atributos
● Login feito uma única vez
● Versão 2.0, definindo 3 papéis:
○ O principal (tipicamente um humano): solicita recursos ao SP
○ O Provedor de Serviços (Service Provider - SP): chama o IDP para reconhecer o usuário
○ O Provedor de Identidades (Identity Provider - IDP): solicita ao principal que informações (ex.:
login e senha) para liberar acesso

Categorias de acesso no acesso.gov

● Bronze: users respondem perguntas básicas por email (algo q vc sabe)
● Prata: comprovam a posse de documentos (algo q vc tem)
● Ouro: reconhecimento biométrico (algo q vc é)

Open ID connect (OIDC): protocolo de identidade simples construído usando OAuth2. Camada de
identificação sobre o OAuth2. Usa o OAuth2 para autenticação e autorização e, em seguida, constrói
identidades que identificam usuários exclusivamente. Usa JSON para passagem de dados.
OWASP Top 10

OWASP (Open Application Security Project): Trata-se de uma comunidade aberta dedicada a permitir que as
organizações concebam, desenvolvam, adquiram, operem e mantenham aplicativos confiáveis, fornecendo
conhecimento para aprendizado e compartilhamento contínuo

Checklist que pode ser integrado em qualquer ciclo de desenvolvimento. Na sua concepção, o objetivo foi
gerar um documento simples e enxuto, capaz de ser facilmente compreendido e absorvido pelas instituições.

Relatórios anual dos conhecidos TOP 10 ataques e vulnerabilidades exploradas.

Versão 2021:
1. Broken Access Control: usuários atuando fora das permissões
2. Falhas na criptografia: tanto transferência de dados quanto dados em repouso
3. Injection: a vulnerabilidade ocorre quando dados inseridos por usuários não são validados, filtrados ou
higienizados pela aplicação
4. Design não seguro: quando falta controle no design ou ele não é efetivo. Não pode ser corrigido por
implementação, pois a falha está no projeto. Ex.: falha em determinar o nível de segurança requerido
5. Security misconfiguration: Falta robustez de segurança a qualquer parte da aplicação
6. Componentes vulneráveis e datados: se não verifica vulnerabilidades com frequencia; se não sabe a
versão dos componentes; se não são testadas compatibilidades.
7. Falhas de identificação e autorização: permite quebrar por força bruta; permite senhas padrão
8. Falhas de integridade software e dados: CI/CD inseguro pode introduzir o potencial de acesso não
autorizado, código malicioso ou comprometimento do sistema.
9. Falhas em logs e monitoramentos de segurança
10. Falsificação de solicitação do lado do servidor (Server Side Request Forgery - SSRF): servidor web
vira vetor para ataque. O atacante acessa serviços que apenas o servidor poderia ter acesso.

PROCESSOS DE DESENVOLVIMENTO E SUSTENTAÇÃO DE

SOFTWARE
Processo de Desenvolvimento de Software: caracterização prescritiva ou descritiva de como um produto de
software deve ser desenvolvido

Desenvolvimento seguro:
● Fuzzing: enviar entradas randômicas para a aplicação
● Boas práticas de Código Seguro
○ Documentação
○ Validação de entrada: consiste em inserir dados em pontos de entrada da aplicação e verificar
se o comportamento está de acordo com o esperado pelo desenvolvedor
○ manipulação de erros: padrão de mensagem de erro que não vaze informações que possam
ser usadas para aprimorar ataques. Recomenda-se log em ambiente seguro

SDL (Security Development Lifecycle): metodologia Microsoft. Adição de uma série de atividades e produtos
concentrados na segurança em cada fase do processo de desenvolvimento de software da Microsoft.
Princípios conhecidos como SD3 + C:
● Secure by Design: A arquitetura, o design e a implementação do software resistente a ataques
● Secure by Default: considerar que haverão falhas de segurança e aumentar a segurança do estado
padrão do software
● Secure by Deployment: ferramentas e orientações que ajudem adms e users
● Communications: desenvolvedores preparados para descoberta de vulnerabilidades