SEGURANÇA DA INFORMAÇÃO:

ATAQUES E AMEAÇAS
Prof. Esp. Sergio Sierro
ATAQUES E AMEAÇAS:
CONCEITOS BÁSICOS

Prof. Esp. Sergio Sierro

 INTRODUÇÃO
 Uma ameaça é uma possível causa de um incidente não desejado, o que pode
resultar em prejuízo ao sistema ou à organização.

 Qualquer coisa que possa explorar uma vulnerabilidade, e obter, danificar ou

destruir um ativo.

 Uma ameaça pode ser acidental ou intencional.

 Uma ameaça acidental é aquela que não foi planejada.
 Uma ameaça intencional, como o nome diz, está associada à intencionalidade
premeditada.
 INTRODUÇÃO
 Uma vulnerabilidade é a ausência ou a fraqueza de uma proteção que pode ser
explorada por uma ou mais ameaças.

 Um ataque ocorre quando uma ameaça intencional é realizada.

 São três os aspectos básicos que um sistema de segurança da informação deve

atender para evitar a concretização das ameaças e ataques:
 Prevenção.
 Detecção.
 Recuperação.
 PREVENÇÃO
 Proteção de hardware: normalmente chamada de segurança física, impede acessos
físicos não autorizados à infraestrutura da rede, prevenindo roubos de dados,
desligamento de equipamentos e demais danos.

 Proteção de arquivos e dados: proporcionada pela autenticação, controle de acesso

e sistemas antivírus. No processo de autenticação, é verificada a identidade do
usuário, o controle de acesso disponibiliza apenas as transações pertinentes ao
usuário e os antivírus garantem a proteção do sistema contra programas maliciosos.

 Proteção de perímetro: ferramentas de firewall e roteadores são usadas para

manter a rede protegida contra tentativas de intrusão (interna e externa à rede).
 DETECÇÃO
 Alertas: sistemas de detecção de intrusões alertam os responsáveis pela segurança
sobre qualquer sinal de invasão ou mudança suspeita no comportamento da rede
que possa significar um padrão de ataque. Os alertas podem ser via e-mail,
mensagem no console de gerência, celular, etc.

 Auditoria: periodicamente deve-se analisar os componentes críticos do sistema a

procura de mudanças suspeitas. Esse processo pode ser realizado por ferramentas
que procuram, por exemplo, modificações no tamanho dos arquivos de senhas,
usuários inativos, etc.
 RECUPERAÇÃO
 Cópia de segurança dos dados (backup): manter sempre atualizados e testados os
arquivos de segurança em mídia confiável e separados física e logicamente dos
servidores.

 Aplicativos de backup: ferramentas que proporcionam a recuperação rápida e

confiável dos dados atualizados em caso da perda das informações originais do
sistema.

 Backup do hardware: a existência de hardware reserva, fornecimento autônomo de

energia, linhas de dados redundantes, etc., podem ser justificados levando-se em
conta o custo da indisponibilidade dos sistemas.
 TIPOS DE ATAQUES
 Um meio de classificar ataques de segurança é em termos de ataques passivos e
ataques ativos.

 Ataques passivos são aqueles que não alteram a informação, nem o seu fluxo
normal, no canal sob escuta.

 Ataques ativos são os que intervêm no fluxo normal de informação, seja alterando
o seu conteúdo, ou produzindo informação não fidedigna, normalmente com
intuitos de atentar contra a segurança de um sistema.
 ATAQUES ZERO-DAY
 Ataque zero-day ou de dia zero é o termo usado para descrever uma
vulnerabilidade de segurança desconhecida em um software, ou seja, uma ameaça
que ainda não foi corrigida ou tornada pública.

 Uma vulnerabilidade de segurança deixa de ser uma “vulnerabilidade de dia-zero”

uma vez que os desenvolvedores tenham conhecimento do problema e tenham
lançado um patch.

 Um “vírus de dia zero” é usado para descrever um vírus que acabou de ser
descoberto e não é detectado por nenhum software antivírus existente.
 VETORES DE AMEAÇA
 Um vetor de ataque é um caminho, ou um meio, pelo qual um invasor pode obter
acesso não-autorizado a um computador ou rede.

 Os vetores de ameaças são os meios que os agentes de ameaças usam.

 Os vetores de ataque comuns incluem ataques de engenharia social, roubo de

credenciais, explorações de vulnerabilidades e proteção insuficiente contra
ameaças internas.
VETORES DE AMEAÇA
 DIRETO DO CONCURSO
Ano: 2017 Banca: FCC Órgão: TST Prova: FCC - 2017 - TST - Analista Judiciário – Suporte em Tecnologia da
Informação
No contexto da segurança de redes de computadores existem basicamente dois tipos de ataques, o passivo e o
ativo. Dentre os ataques do tipo passivo, inclui-se
a) Injeção SQL.
b) Man in the middle.
c) Ataque Smurf.
d) DNS spoofing.
e) Varredura de portas.
 DIRETO DO CONCURSO
Ano: 2017 Banca: FCC Órgão: TST Prova: FCC - 2017 - TST - Analista Judiciário – Suporte em Tecnologia da
Informação
No contexto da segurança de redes de computadores existem basicamente dois tipos de ataques, o passivo e o
ativo. Dentre os ataques do tipo passivo, inclui-se
a) Injeção SQL.
Comentário: Ataques Passivos: O objetivo dos ataques passivos é obter informações que estão
b) Man in the middle. sendo transmitidas.
c) Ataque Smurf. Ataques Ativos: Os ataques ativos envolvem alguma modificação do fluxo de dados ou a criação
de um fluxo falso.
d) DNS spoofing.
a) Injeção SQL. [ fluxo de dados é modificado: ATIVO ]
e) Varredura de portas. b) Man in the middle. [ fluxo de dados falso é criado: ATIVO ]
c) Ataque Smurf. [ é uma negação de serviço, fluxo de dados falso é criado: ATIVO ]
d) DNS spoofing. [ fluxo de dados falso é criado, por exemplo, uma página falsa é enviada: ATIVO ]
e) Varredura de portas. [ nenhum fluxo de dados é modificado ou criado: PASSIVO ]
 DIRETO DO CONCURSO
Ano: 2018 Banca: CESPE / CEBRASPE Órgão: ABIN Prova: CESPE - 2018 - ABIN - Oficial de Inteligência
Acerca das ameaças persistentes avançadas (APT), vulnerabilidades zero day e engenharia social, julgue o item a
seguir.
Um exploit elaborado para um ataque direcionado e com base em uma vulnerabilidade zero day permanece
efetivo até que a vulnerabilidade seja publicamente revelada e a correção de software seja produzida, distribuída
e aplicada.
 DIRETO DO CONCURSO
Ano: 2018 Banca: CESPE / CEBRASPE Órgão: ABIN Prova: CESPE - 2018 - ABIN - Oficial de Inteligência
Acerca das ameaças persistentes avançadas (APT), vulnerabilidades zero day e engenharia social, julgue o item a
seguir.
Um exploit elaborado para um ataque direcionado e com base em uma vulnerabilidade zero day permanece
efetivo até que a Comentário: Exploit
vulnerabilidade sejaé publicamente
um programa malicioso
reveladaque
e a se aproveita
correção dede uma brecha
software seja na segurança,
produzida, e causa a
distribuída
e aplicada. instabilidade do sistema para diminuir temporariamente a segurança do sistema, passando então a
executar ordens para roubar informações, invadir acessos bloqueados ou propagar vírus.
Zero-day é um estratégia usada em grande parte dos ataques a sistemas computacionais: um vetor de
Certo. ataque (ferramenta e/ou método de exploração) contra a qual não existe correção conhecida (patches,
service packs, hotfixies, recomendações técnicas) uma vez que o próprio desenvolvedor da solução ou
quaisquer soluções de detecção e/ou correção de vulnerabilidades – a priori – não conhecem, ainda, a
falha. O termo deriva do tempo do exploração (exploit). Quando um desenvolvedor toma conhecimento
de um furo de segurança, há uma corrida para fechá-lo antes que seja descoberta pelos atacantes ou que
a vulnerabilidade torne-se pública. Um ataque "0day" ocorre antes ou em "zeroth" , "0th" que é o
primeiro dia de conscientização do desenvolvedor sobre a vulnerabilidade, ou seja, o desenvolvedor não
teve qualquer oportunidade de distribuir uma correção de segurança para os usuários do software.
 ATAQUES E AMEAÇAS:
CÓDIGOS MALICIOSOS E MALWARES

Prof. Esp. Sergio Sierro

 CÓDIGOS MALICIOSOS
 Códigos maliciosos, também conhecidos como pragas e malware, são programas
desenvolvidos para executar ações danosas e atividades maliciosas em
equipamentos, como computadores, modems, switches, roteadores e dispositivos
móveis.

 Códigos maliciosos são usados como intermediários e possibilitam a prática de

golpes, realização de ataques e envio de spam.
 MALWARE
 O malware é considerado um tipo de software irritante e maligno que pretende
acessar secretamente um dispositivo sem o conhecimento do usuário.

 O termo malware descreve uma ampla gama de softwares intencionalmente

projetados para causar danos a sistemas e dispositivos, redes ou usuários.

 O malware também pode coletar informações, fornecer acesso ilícito e realizar uma
ampla gama de ações.
 RANSOMWARE
 O ransomware é um malware que assume o controle de um computador e exige um
resgate.

 Normalmente, bloqueia ou nega o acesso ao dispositivo e arquivos.

 Age codificando os dados (criptografia) de forma com que o usuário não tenha mais
acesso.

 Os ransomwares não permitem acesso externo ao computador infectado.

 TROJAN (CAVALO DE TRÓIA)
 O trojan é um tipo de malware normalmente disfarçado de software legítimo, que
se infiltra no dispositivo da vítima.

 Dependem de indivíduos desavisados que os executam.

 Não tenta se injetar em outros arquivos para se autorreplicar ou se propagar.

 Um trojan de acesso remoto (RAT), é um programa que combina as características

de trojan e de backdoor, permite ao atacante acessar o equipamento remotamente
e executar ações como se fosse o usuário.
 WORM
 O worm é um programa capaz de se propagar automaticamente pelas redes,
explorando vulnerabilidades nos programas instalados e enviando cópias de si
mesmo de equipamento para equipamento.

 Os worms podem se espalhar por meio de anexos de e-mail, compartilhamentos de

arquivos de rede ou outros métodos.

 Os worms também se auto-instalam, ao invés de exigir que os usuários cliquem

neles, tornando-os bastante perigosos.
 ROOTKITS
 O rootkit é um conjunto de programas e técnicas que permite esconder e assegurar
a presença de um invasor ou de outro código malicioso em um equipamento
comprometido.

 Os rootkits são malwares projetados especificamente para permitir que invasores

acessem um sistema por meio de um backdoor.

 Alguns rootkits são instalados intencionalmente, seja como parte de sistemas de

gerenciamento de direitos digitais (DRM) ou como parte de kits de ferramentas anti-
cheating para jogos, ou porque fazem parte de uma ferramenta usada para anular
mecanismos de proteção contra cópia.
 BACKDOOR
 Um backdoor é um programa que permite o retorno de um invasor a um
equipamento comprometido, por meio da inclusão de serviços criados ou
modificados para este fim.

 Os backdoors são métodos ou ferramentas que fornecem acesso que ignora os

procedimentos normais de autenticação e autorização, permitindo que invasores
acessem sistemas, dispositivos ou aplicativos.

 Trojans e rootkits geralmente incluem um backdoor para que os invasores possam

acessar os sistemas que infectaram.
 BOTS
 Bots são sistemas ou dispositivos controlados remotamente que têm uma infecção
por malware.

 Um bot é uma abreviação de “robot” e indica um tipo de software, aplicativo ou

script de código que pode ser comandado remotamente pelo invasor.

 Grupos de bots são conhecidos como botnets, usados para realizar várias ações,
desde comprometimentos e infecções adicionais até ataques de negação de serviço
ou atuando como retransmissores de spam.
 BOTS
 Muitos sistemas botnet de comando e controle (C&C) operam em modo cliente-
servidor.

 Os servidores de comando e controle (C&C) são o núcleo de uma botnet.

 BOTS
 Além dos botnets cliente-servidor, também podemos encontrar modelos de botnet
peer-to-peer.
 KEYLOGGERS
 Keyloggers são programas que capturam pressionamentos de teclas de teclados,
podem capturar outras entradas, como movimento do mouse, entradas de tela
sensível ao toque.

 O objetivo de um keylogger é capturar a entrada do usuário para ser analisada e

usada por um invasor.
 LOGIC BOMBS
 As bombas lógicas não são programas maliciosos independentes.

 São funções ou códigos que são colocados dentro de outros programas que serão
ativados quando as condições definidas forem atendidas.

 As bombas lógicas são consideradas no desenvolvimento de software e no

gerenciamento de sistemas.
 VÍRUS
 Os vírus são programas maliciosos que se copiam e se replicam automaticamente.

 Os vírus exigem um ou mais mecanismos de infecção que eles usam para se

espalhar, geralmente combinados com alguma forma de capacidade de pesquisa
para encontrar novos lugares para se espalhar.

 O vírus também costuma ter um gatilho, que define as condições para quando o
vírus será executado, e uma carga útil, que é o que o vírus faz, entrega ou as ações
que executa.
 FILELESS MALWARE
 Não depende de arquivos e não deixa rastros, dificultando a detecção e a remoção.

 O malware sem arquivo opera na memória.

 Não são armazenados em arquivos ou instalados diretamente em uma máquina, as

infecções sem arquivo vão direto para a memória e o conteúdo malicioso nunca toca
o disco rígido.

 O malware sem arquivo não precisem instalar código para iniciar um ataque.
 SPYWARE
 Spyware é um malware projetado para obter informações sobre um indivíduo,
organização ou sistema.

 Muitos spywares rastreiam os hábitos de navegação dos usuários, software instalado

ou informações semelhantes e relatam aos servidores centrais.

 Spyware está associado a roubo de identidade e fraude, publicidade e

redirecionamento de tráfego.
 DIRETO DO CONCURSO
Ano: 2022 Banca: FGV Órgão: TJ-DFT Prova: FGV - 2022 - TJ-DFT - Analista Judiciário - Segurança da Informação
João administra uma rede de computadores com muitos sistemas de informação cujas operações são de acesso
restrito, pois contém informações confidenciais. Nos últimos meses, João recebeu diversos relatos de ataques de
keylogger e screenlog. Diante desse cenário, João deve proteger a sua rede de ataques do tipo:
a) worm.
b) spyware.
c) botnet.
d) zumbi.
e) remote access trojan.
 DIRETO DO CONCURSO
Ano: 2022 Banca: FGV Órgão: TJ-DFT Prova: FGV - 2022 - TJ-DFT - Analista Judiciário - Segurança da Informação
João administra uma rede de computadores com muitos sistemas de informação cujas operações são de acesso
restrito, pois contém informações confidenciais. Nos últimos meses, João recebeu diversos relatos de ataques de
keylogger e screenlog. Diante desse cenário, João deve proteger a sua rede de ataques do tipo:
a) worm.
b) spyware. Comentário: A questão trata dos principais malwares das redes e o enunciado questiona qual é
c) botnet. aquele responsável por diversos ataques de keylogger e screenlog. Esses ataques dizem
respeito aos spywares, programas espiões, os quais são criados para roubar dados das vítimas.
d) zumbi. O keylogger monitora as teclas do computador, enquanto que o screenlogger monitora a tela,
e) remote access trojan. em busca de tirar prints para roubar dados sensíveis. Sendo assim, reúnem essas informações
sem conhecimento da vítima e depois repassam aos atacantes; Por isso, o antimalware deve
estar em constante alerta.
 DIRETO DO CONCURSO
Ano: 2022 Banca: CESPE / CEBRASPE Órgão: Telebras Prova: CESPE / CEBRASPE - 2022 - Telebras - Especialista em
Gestão de Telecomunicações – Engenheiro de Redes
A respeito de ataques em redes e aplicações corporativas, julgue o próximo item.
Ataques da ransonware podem ser detectados de forma preditiva, logo depois de começar a infecção e antes de
finalizar a infecção.
 DIRETO DO CONCURSO
Ano: 2022 Banca: CESPE / CEBRASPE Órgão: Telebras Prova: CESPE / CEBRASPE - 2022 - Telebras - Especialista em
Gestão de Telecomunicações – Engenheiro de Redes
A respeito de ataques em redes e aplicações corporativas, julgue o próximo item.
Ataques da ransonware podem ser detectados de forma preditiva, logo depois de começar a infecção e antes de
finalizar a infecção.

Comentário: Ransomware é um programa malicioso que sequestra os arquivos e programas de

Errado. um computador, através da criptografia. Os arquivos são compactados com senha, e o usuário
não consegue mais abri-los. A vítima é então pressionada a fazer um pagamento (resgate) para
que a senha lhe seja enviada e permita a abertura dos seus arquivos e programas.
O item está errado pois, segundo especialistas, o tempo médio necessário para o ransomware
começar a criptografar os arquivos após a execução é de míseros três segundos, ou seja, é
impossível detectar o ransomware da forma descrita pelo enunciado. A melhor forma de evitar
os males causados por este tipo de malware é a utilização de backups.
 DIRETO DO CONCURSO
Ano: 2021 Banca: CESPE / CEBRASPE Órgão: CODEVASF Prova: CESPE / CEBRASPE - 2021 - CODEVASF - Analista
em Desenvolvimento Regional - Tecnologia da Informação
Em determinada organização, não existem vulnerabilidades de segurança conhecidas nos servidores e os
sistemas estão atualizados e bem configurados. Considerando essa situação hipotética, julgue o item seguinte.
Eventual ataque bem-sucedido de ransomware contra os servidores dessa organização poderá ser revertido por
meio de um bem elaborado contra-ataque de quebra das chaves criptográficas por força bruta.
 DIRETO DO CONCURSO
Ano: 2021 Banca: CESPE / CEBRASPE Órgão: CODEVASF Prova: CESPE / CEBRASPE - 2021 - CODEVASF - Analista
em Desenvolvimento Regional - Tecnologia da Informação
Em determinada organização, não existem vulnerabilidades de segurança conhecidas nos servidores e os
sistemas estão atualizados e bem configurados. Considerando essa situação hipotética, julgue o item seguinte.
Eventual ataque bem-sucedido de ransomware contra os servidores dessa organização poderá ser revertido por
meio de um bem elaborado contra-ataque de quebra das chaves criptográficas por força bruta.

Errado. Comentário: Ao realizar o backup com frequência, o usuário garante que possui uma cópia de seus
arquivos, podendo recuperá-los sem necessidade de acessar seus arquivos originais cujo acesso é
impedido pelo ransomware que exige uma quantia em criptomoedas para liberá-lo.
Pelo enunciado da questão vai depender da criptografia usada pelo ransomware. Se for uma criptografia
fraca um bruteforce pode encontrar a chave, mas, em cenários reais, é muito mais provável que esses
malwares usem uma criptografia forte o que torna o ataque de brutefoce inviável.
 DIRETO DO CONCURSO
Ano: 2018 Banca: FGV Órgão: Prefeitura de Niterói - RJ Prova: FGV - 2018 - Prefeitura de Niterói - RJ - Analista de
Políticas Públicas e Gestão Governamental - Gestão de Tecnologia
As falhas de segurança em sistemas operacionais ou em aplicativos podem permitir que pessoas não autorizadas
acessem informações de computadores e instalem vírus ou aplicativos de controle sobre máquinas remotas.
Essas falhas de segurança são denominadas
a) DDoS.
b) Keylogging.
c) Backdoor.
d) Phishing.
e) Spyware.
 DIRETO DO CONCURSO
Ano: 2018 Banca: FGV Órgão: Prefeitura de Niterói - RJ Prova: FGV - 2018 - Prefeitura de Niterói - RJ - Analista de
Políticas Públicas e Gestão Governamental - Gestão de Tecnologia
As falhas de segurança em sistemas operacionais ou em aplicativos podem permitir que pessoas não autorizadas
acessem informações de computadores e instalem vírus ou aplicativos de controle sobre máquinas remotas.
Essas falhas de segurança são denominadas
a) DDoS.
Comentário: Backdoor é um programa que permite o retorno de um invasor a um computador
b) Keylogging.
comprometido, por meio da inclusão de serviços criados ou modificados para este fim. Pode ser
c) Backdoor. incluído pela ação de outros códigos maliciosos, que tenham previamente infectado o computador,
d) Phishing. ou por atacantes, que exploram vulnerabilidades existentes nos programas instalados no
computador para invadi-lo. Após incluído, o backdoor é usado para assegurar o acesso futuro ao
e) Spyware. computador comprometido, permitindo que ele seja acessado remotamente, sem que haja
necessidade de recorrer novamente aos métodos utilizados na realização da invasão ou infecção e,
na maioria dos casos, sem que seja notado.
ATAQUES E AMEAÇAS:
ENGENHARIA SOCIAL

Prof. Esp. Sergio Sierro

 ENGENHARIA SOCIAL
 As técnicas de engenharia social se concentram no lado humano da segurança da
informação.

 A engenharia social é a prática de manipular as pessoas através de uma variedade

de estratégias para realizar as ações desejadas.

 O objetivo é influenciar os alvos a tomar ações que eles não poderiam ter feito de
outra forma.
 ENGENHARIA SOCIAL
 Vários princípios-chave são aproveitados para fazer engenharia social de um
indivíduo com sucesso:

 Autoridade: baseia-se no fato de que a maioria das pessoas irá obedecer alguém que
parece estar no comando ou conhecedor, independentemente de estar ou não de
fato.

 Intimidação: baseia-se em assustar ou intimidar um indivíduo a tomar uma ação

desejada.
 ENGENHARIA SOCIAL
 Consenso: usa o fato de que as pessoas tendem a querer fazer o que os outros estão
fazendo. Pode apontar que todos os outros em um departamento já clicaram em um
link ou fornecer depoimentos falsos sobre um produto, fazendo com que pareça
seguro. O consenso é chamado de “prova social” em alguns esquemas de
categorização.

 Escassez: o objetivo é fazer algo parecer mais desejável porque pode ser o último
disponível.

 Familiaridade: dependem de você gostar do indivíduo ou mesmo da organização que

o indivíduo alega representar.
 ENGENHARIA SOCIAL
 Confiança: depende de uma conexão com o indivíduo visado. Ao contrário da
familiaridade, que depende dos alvos pensarem que algo é normal e, portanto,
familiar, a técnica de confiança trabalha para construir uma conexão com seus alvos
para que eles executem as ações que desejam.

 Urgência: depende de criar um sentimento de que a ação deve ser tomada

rapidamente devido a algum motivo.
 PHISHING
 Phishing é uma aquisição fraudulenta de informações, geralmente focada em
credenciais como nomes de usuário e senhas, bem como informações pessoais
confidenciais, como números de cartão de crédito e dados relacionados.

 Spear phishing (caça às baleias) tem como alvo indivíduos ou grupos específicos em
uma organização na tentativa de coletar informações ou acesso desejados.
 CREDENTIAL HARVESTING
 A coleta de credenciais geralmente é realizada por meio de ataques de phishing,
mas também pode ser realizada por meio de comprometimento do sistema, para
roubar credenciais ou qualquer outra técnica que colete credenciais para invasores.

 A autenticação multifator (MFA) é um forte controle que pode ajudar a limitar o

impacto de ataques bem-sucedidos de coleta de credenciais.
 PHARMING
 Os ataques de pharming redirecionam o tráfego de sites legítimos para versões
maliciosas.

 O pharming normalmente requer um ataque bem-sucedido que pode alterar as

entradas de DNS em um computador local ou em um servidor DNS local confiável,
permitindo que o tráfego seja redirecionado.

 Pharming é o termo atribuído ao ataque baseado na técnica DNS cache poisoning

(envenenamento de cache DNS) que, consiste em corromper o DNS em uma rede de
computadores, fazendo com que a URL de um site passe a apontar para um servidor
diferente do original.
 SPAM
 O spam também é conhecido como e-mail não solicitado ou lixo eletrônico.

 Geralmente emprega técnicas de engenharia social para tentar fazer com que os
destinatários abram a mensagem ou cliquem em links dentro dela.

 O termo spam está associado ao envio de mensagens para uma grande quantidade
de pessoas.
 DIRETO DO CONCURSO
Ano: 2022 Banca: CESPE / CEBRASPE Órgão: TCE-SC Prova: CESPE / CEBRASPE - 2022 - TCE-SC - Auditor Fiscal de
Controle Externo - Ciência da Computação
Julgue o item subsequente, a respeito de políticas para o uso de dispositivo móvel.
A ameaça em segurança dos dispositivos móveis da empresa denominada ataques de engenharia social é
caracterizada pelo mau uso dos recursos de rede, dispositivo ou identidade, como, por exemplo, ataques de
negação de serviço.
 DIRETO DO CONCURSO
Ano: 2022 Banca: CESPE / CEBRASPE Órgão: TCE-SC Prova: CESPE / CEBRASPE - 2022 - TCE-SC - Auditor Fiscal de
Controle Externo - Ciência da Computação
Julgue o item subsequente, a respeito de políticas para o uso de dispositivo móvel.
A ameaça em segurança dos dispositivos móveis da empresa denominada ataques de engenharia social é
caracterizada pelo mau uso dos recursos de rede, dispositivo ou identidade, como, por exemplo, ataques de
negação de serviço.

Comentário: Engenharia social tem a ver com o ato de persuadir e convencer as pessoas. Ou
Errado. seja, é o bom e velho golpe usando a lábia e outros métodos de convencimento. Portanto, tem a
ver com a inocência do usuário.
Ataques de negação de serviço ou DDoS (negação distribuída de serviço), é um ataque onde o
invasor sobrecarrega seu alvo com tráfego de Internet indesejado para que o tráfego normal
não possa atingir o destino pretendido.
 DIRETO DO CONCURSO
Ano: 2022 Banca: CESPE / CEBRASPE Órgão: Telebras Prova: CESPE / CEBRASPE - 2022 - Telebras - Especialista em
Gestão de Telecomunicações – Engenheiro de Redes
A respeito de ataques em redes e aplicações corporativas, julgue o próximo item.
Uma das técnicas para phishing é a clonagem de sítios de instituições financeiras, com o objetivo de obter as
credenciais de acesso do usuário.
 DIRETO DO CONCURSO
Ano: 2022 Banca: CESPE / CEBRASPE Órgão: Telebras Prova: CESPE / CEBRASPE - 2022 - Telebras - Especialista em
Gestão de Telecomunicações – Engenheiro de Redes
A respeito de ataques em redes e aplicações corporativas, julgue o próximo item.
Uma das técnicas para phishing é a clonagem de sítios de instituições financeiras, com o objetivo de obter as
credenciais de acesso do usuário.

Certo.
Comentário: Phishing é um termo originado do inglês (fishing) que em computação se trata de um tipo de
roubo de identidade online. Essa ação fraudulenta é caracterizada por tentativas de adquirir ilicitamente
dados pessoais de outra pessoa, sejam senhas, dados financeiros, dados bancários, números de cartões de
crédito ou simplesmente dados pessoais.
 DIRETO DO CONCURSO
Ano: 2021 Banca: FGV Órgão: Banestes Prova: FGV - 2021 - Banestes - Analista em Tecnologia da Informação -
Segurança da Informação
Antônio recebeu uma mensagem SMS supostamente enviada pela segurança corporativa, orientando-o a clicar
em um link para atualizar um cadastro. Ao fazê-lo, Antônio cai em um site falso, mas bastante parecido com o da
sua empresa, e fornece dados sigilosos como nome de usuário e senha.
Esse tipo de técnica de engenharia social que se aproveita da confiança depositada por um usuário para roubar
dados é denominado:
a) trojan.
b) phishing.
c) spoofing.
d) backdoor.
e) ransomware.
 DIRETO DO CONCURSO
Ano: 2021 Banca: FGV Órgão: Banestes Prova: FGV - 2021 - Banestes - Analista em Tecnologia da Informação -
Segurança da Informação
Antônio recebeu uma mensagem SMS supostamente enviada pela segurança corporativa, orientando-o a clicar
em um link para atualizar um cadastro. Ao fazê-lo, Antônio cai em um site falso, mas bastante parecido com o da
sua empresa, e fornece dados sigilosos como nome de usuário e senha.
Esse tipo de técnica de engenharia social que se aproveita da confiança depositada por um usuário para roubar
dados é denominado:
a) trojan.
b) phishing. Comentário: Phishing é uma técnica de engenharia social usada para enganar usuários e obter
informações confidenciais, como nome de usuário, senha e detalhes do cartão de crédito. São
c) spoofing.
comunicações falsificadas que parecem vir de uma fonte confiável.
d) backdoor.
e) ransomware.
 DIRETO DO CONCURSO
Ano: 2021 Banca: CESPE / CEBRASPE Órgão: TCE-RJ Prova: CESPE / CEBRASPE - 2021 - TCE-RJ - Analista de
Controle Externo - Especialidade: Tecnologia da Informação
A respeito de segurança em redes de computadores e criptografia, julgue o item seguinte.
Os ataques de phishing caracterizam-se pelo envio de mensagens eletrônicas que despertam a atenção de
usuários por meio da sugestão de vantagens ou ameaças de prejuízos e também por induzirem os usuários a
fornecer dados pessoais e(ou) financeiros.
 DIRETO DO CONCURSO
Ano: 2021 Banca: CESPE / CEBRASPE Órgão: TCE-RJ Prova: CESPE / CEBRASPE - 2021 - TCE-RJ - Analista de
Controle Externo - Especialidade: Tecnologia da Informação
A respeito de segurança em redes de computadores e criptografia, julgue o item seguinte.
Os ataques de phishing caracterizam-se pelo envio de mensagens eletrônicas que despertam a atenção de
usuários por meio da sugestão de vantagens ou ameaças de prejuízos e também por induzirem os usuários a
fornecer dados pessoais e(ou) financeiros.

Certo.
Comentário: É uma técnica de crime cibernético por meio da engenharia social que usa fraude,
truque, engano, para manipular usuários e obter informações confidenciais como nome de
usuário, senha e detalhes do cartão de crédito. Para cometer as fraudes eletrônicas, os
criminosos utilizam mensagens aparentemente reais.
 ATAQUES E AMEAÇAS:
ATAQUES DE SENHA, DE AUTENTICAÇÃO E DE
AUTORIZAÇÃO
Prof. Esp. Sergio Sierro
 ATAQUES DE SENHA
 Um ataque de senha refere-se a qualquer um dos vários métodos usados ​para
autenticar maliciosamente em contas protegidas por senha.

 Esses ataques geralmente são facilitados pelo uso de software que acelera a quebra
ou adivinhação de senhas.

 Os métodos de ataque mais comuns incluem ataques de força bruta, ataques de

dicionário, pulverização de senha e preenchimento de credenciais.
 BRUTE-FORCE ATTACKS
 Ataque de força bruta é a tentativa de adivinhar uma senha iterando por todas as
combinações possíveis do conjunto de caracteres permitidos.

 Ataques de força bruta percorrem as senhas até encontrarem uma que funcione.

 Geralmente envolvem listas de palavras usadas em senhas comuns, palavras

especificamente escolhidas como prováveis de serem usadas pelo alvo.
 PASSWORD SPRAYING
 A pulverização de senhas tenta um pequeno número de senhas comuns em muitas
contas na esperança de acessar pelo menos uma delas.

 Esse método ajuda a evitar regras de bloqueio de conta e é mais difícil de detectar.

 É uma forma de ataque de força bruta que tenta usar uma única senha ou um
pequeno conjunto de senhas em várias contas.
 DICTIONARY ATTACKS
 Os ataques de dicionário tentam adivinhar senhas iterando por meio de senhas
comumente usadas, como palavras encontradas no dicionário e variações simples
delas.

 Existem dicionários de força bruta comumente disponíveis, e ferramentas como

John the Ripper, uma ferramenta popular de quebra de senhas de código aberto, têm
listas de palavras (dicionários) incorporadas.
 CREDENTIAL STUFFING
 O preenchimento de credenciais tira proveito de contas que nunca tiveram suas
senhas alteradas após uma invasão de conta.

 Explora a tendência dos usuários finais de reutilizar senhas por meio de

preenchimento de credenciais.

 Os hackers irão tentar várias combinações de nomes de usuário e senhas

anteriores, esperando que a vítima nunca os tenha alterado.
 ATAQUES DE AUTENTICAÇÃO
 Os ataques de autenticação tem como meta explorar o processo de login de uma
página na Web.

 Mecanismos de autenticação são utilizados para confirmar a identidade de usuários

e dispositivos e verificar se eles estão autorizados a realizar ações específicas.

 Os invasores geralmente procuram obter acesso ilegítimo a sistemas, serviços e

informações que seriam protegidos por essa infraestrutura de autenticação.
 SENHAS FRACAS
 Muitas aplicações web utilizam nenhum ou um mínimo de controle sobre a
qualidade das senhas do usuário.

 É comum encontrar aplicações que permitem senhas que são: muito curta ou em
branco, palavras de dicionário ou nomes, mesmo que o nome de usuário, ainda
definido para um valor default.

 As senhas são uma técnica de autenticação baseada em conhecimento. Um invasor

que descobre a senha de um usuário pode representar o usuário desse ponto em
diante até que a senha expire ou seja alterada.
 SEQUESTRO DE SESSÃO
 Também conhecido como Session Hijacking, o sequestro de sessão é um ataque que
interfere na comunicação entre o usuário e o host de determinado site com o
propósito de roubar informações.

 O objetivo é intermediar a comunicação entre o usuário e o host, permitindo

assumir temporariamente alguns destes dois papéis, seja o usuário ou o próprio
host.

 Ao assumir o papel do usuário, o criminoso mantém os mesmos acessos ativos

daquela sessão. Ao assumir o papel do host, o hacker passa a armazenar
temporariamente toda nova informação produzida.
 ESCALAÇÃO DE PRIVILÉGIOS
 A escalação de privilégios é o ato de explorar um erro (bug), uma falha de projeto ou
uma supervisão da configuração em um sistema operacional ou software de
aplicação para obter acesso elevado a recursos que normalmente são protegidos de
um aplicativo ou usuário.

 A escalação de privilégios permite que um usuário acesse o mesmo nível de

privilégios de outro.
 ESCALAÇÃO DE PRIVILÉGIOS
 Escalação de Privilégios Vertical
 Acontece quando um usuário com um nível de privilégio menor consegue realizar ações
com privilégios acima do seu nível.
 Também pode ser chamada de elevação de privilégios de usuário.

 Escalação de Privilégios Horizontal

 Acontece quando usuário consegue acessar funções de outros usuários no seu mesmo
nível de privilégio, mas que inicialmente não estariam acessíveis a ele.
 DIRETO DO CONCURSO
Ano: 2021 Banca: FCC Órgão: TJ-SC Prova: FCC - 2021 - TJ-SC - Analista de Sistemas
É uma forma de ataque na internet, que se utiliza do método de tentativa e erro para descobrir nomes de
usuários e senhas e que pode resultar em negação de serviço, quando a quantidade de tentativas realizadas em
um curto período de tempo é grande. Trata-se de
a) strong attempt.
b) identity theft.
c) hoax.
d) brute force.
e) strong punch.
 DIRETO DO CONCURSO
Ano: 2021 Banca: FCC Órgão: TJ-SC Prova: FCC - 2021 - TJ-SC - Analista de Sistemas
É uma forma de ataque na internet, que se utiliza do método de tentativa e erro para descobrir nomes de
usuários e senhas e que pode resultar em negação de serviço, quando a quantidade de tentativas realizadas em
um curto período de tempo é grande. Trata-se de
a) strong attempt. Comentário: O ataque de força bruta (brute force) é um tipo de ataque de tentativa e erro
através de combinações. Por exemplo, uma senha de 8 caracteres, composta por números, será
b) identity theft.
quebrada em força bruta ao ser tentado todas as combinações possíveis (ex.: 00000000,
c) hoax. 00000001, 00000002, 00000003 ... 99999999). Contudo, esse método é pouco eficaz, pois a
d) brute force. maioria dos sistemas tem funções que bloqueiam as tentativas feitas sequencialmente através
de captchas e / ou forçando os usuários a criar senhas seguras (mais de 8 caracteres, entre
e) strong punch. letras maiúsculas e minúsculas, números e caracteres especiais), entre outras formas de
prevenção.
O hoax (boato) é uma mensagem falsa/fraude transmitida na rede visando causar grande
movimentação, mas sem grandes ofensividades. Geralmente estão associadas a alarmes falsos
de catástrofes e acompanhados de frases como “envie esta mensagem para todos os seus
amigos/contatos”.
 DIRETO DO CONCURSO
Ano: 2017 Banca: FCC Órgão: TRF - 5ª REGIÃO Prova: FCC - 2017 - TRF - 5ª REGIÃO - Técnico Judiciário -
Informática
Atualmente existem vários tipos de ataques e ameaças realizados por meio da internet em computadores e
dispositivos móveis. Nesse contexto, o ataque denominado Força Bruta se caracteriza por
a) efetuar buscas minuciosas em redes, com o objetivo de identificar computadores ativos e coletar informações
sobre eles como, por exemplo, serviços disponibilizados e programas instalados.
b) adivinhar, por tentativa e erro, um nome de usuário e senha e, assim, executar processos e acessar sites,
computadores e serviços em nome e com os mesmos privilégios do usuário vítima do ataque.
c) utilizar endereços de e-mail coletados de computadores infectados para enviar mensagens e tentar fazer com
que os seus destinatários acreditem que elas partiram de pessoas conhecidas.
d) capturar informações sensíveis, como números de cartão de crédito e o conteúdo de arquivos confidenciais
que estejam trafegando por meio de conexões inseguras sem criptografia.
e) explorar vulnerabilidades da linguagem de programação ou dos pacotes utilizados no desenvolvimento de
aplicação Web.
 DIRETO DO CONCURSO
Ano: 2017 Banca: FCC Órgão: TRF - 5ª REGIÃO Prova: FCC - 2017 - TRF - 5ª REGIÃO - Técnico Judiciário -
Informática
Atualmente existem vários tipos de ataques e ameaças realizados por meio da internet em computadores e
dispositivos móveis. Nesse contexto, o ataque denominado Força Bruta se caracteriza por
a) efetuar buscas minuciosas em redes, com o objetivo de identificar computadores ativos e coletar informações
sobre eles como, por exemplo, serviços disponibilizados e programas instalados.
b) adivinhar, por tentativa e erro, um nome de usuário e senha e, assim, executar processos e acessar sites,
computadores e serviços em nome e com os mesmos privilégios do usuário vítima do ataque.
c) utilizar endereços de e-mail coletados de computadores infectados para enviar mensagens e tentar fazer com
que os seus destinatários acreditem que elas partiram de pessoas conhecidas.
Comentário: O ataque de força bruta é um método de adivinhar um usuário e senha por meio
d) capturar informações sensíveis, como
de tentativas, números de
normalmente temcartão de crédito
por objetivo e oaconteúdo
o acesso derestrita
alguma área arquivos
comconfidenciais
os privilégios
que estejam trafegando pore meio de conexões
liberações de acessoinseguras sem
do usuário. Oscriptografia.
ataques podem ser feitos de duas maneiras, de forma
manual
e) explorar vulnerabilidades ou por meio
da linguagem dedeprogramação
ferramentas automatizadas,
ou dos pacotes queutilizados
essas por sua vez podem diminuirde
no desenvolvimento o
aplicação Web. tempo para descobrir a chave de entrada do sistema.
 DIRETO DO CONCURSO
Ano: 2018 Banca: CESPE / CEBRASPE Órgão: EMAP Prova: CESPE - 2018 - EMAP - Analista Portuário - Tecnologia
da Informação
A equipe de segurança da informação de determinado órgão identificou uma tentativa de ataque com as
seguintes características:
• IP de origem: identificado no roteador de Internet e no firewall (200.20.30.45)
• IP de origem: identificado na aplicação web (200.20.30.45)
• payload de HTTP: GET
http:/servidor.com.br/admin/index.php?username=1'%20or%20'1'%20=%20'1&password
=1'%20or%20'1'%20=%20'1
Os analistas de segurança levantaram hipótese de existência de regras no firewall que permitiam o acesso de
todos os segmentos, internos e externos, ao servidor web na porta 80 com o protocolo TCP. Identificaram
também que a aplicação web atacada possuía controle de acesso ao ambiente de administração baseado nos
perfis das credenciais e do range de IPs internos da rede corporativa.
 DIRETO DO CONCURSO
Ano: 2018 Banca: CESPE / CEBRASPE Órgão: EMAP Prova: CESPE - 2018 - EMAP - Analista Portuário - Tecnologia
da Informação
Considerando essa situação hipotética e as boas práticas de segurança da informação, julgue o item a seguir.
O atacante em questão usou a técnica de Hijacking de sessão, buscando burlar alguma possível filtragem por IP
de origem, ao tentar acessar o servidor web.
 DIRETO DO CONCURSO
Ano: 2018 Banca: CESPE / CEBRASPE Órgão: EMAP Prova: CESPE - 2018 - EMAP - Analista Portuário - Tecnologia
da Informação
Considerando essa situação hipotética e as boas práticas de segurança da informação, julgue o item a seguir.
O atacante em questão usou a técnica de Hijacking de sessão, buscando burlar alguma possível filtragem por IP
de origem, ao tentar acessar o servidor web.

Errado. Comentário: Session hijacking é a exploração de uma sessão de computador válida, às vezes também
chamada de uma chave de sessão - para obter acesso não autorizado a informações ou serviços em um
sistema de computador. Em outras palavras, um invasor intercepta e assume uma sessão legitimamente
estabelecida entre um usuário e um host.
No ataque considerado, não temos uma sessão já estabelecida. Mas sim está havendo um processo de
autenticação para estabelecimento da sessão. E, como o atacante não conhece as credenciais de um usuário
válido, está havendo um ataque de injeção SQL.
 DIRETO DO CONCURSO
Ano: 2018 Banca: CESPE / CEBRASPE Órgão: Polícia Federal Prova: CESPE - 2018 - Polícia Federal - Perito Criminal
Federal - Área 3
Softwares desenvolvidos para a Web podem ter diversas vulnerabilidades e cada uma delas pode ser explorada
com uma técnica específica. Sendo o ataque bem-sucedido, o atacante tem o controle do sistema. A respeito de
características de ataques em software web, julgue o próximo item.
O ataque de sequestro de sessão tem por característica o comprometimento do token de autenticação de um
usuário, podendo esse token ser obtido interceptando-se a comunicação ou predizendo-se um token válido.
 DIRETO DO CONCURSO
Ano: 2018 Banca: CESPE / CEBRASPE Órgão: Polícia Federal Prova: CESPE - 2018 - Polícia Federal - Perito Criminal
Federal - Área 3
Softwares desenvolvidos para a Web podem ter diversas vulnerabilidades e cada uma delas pode ser explorada
com uma técnica específica. Sendo o ataque bem-sucedido, o atacante tem o controle do sistema. A respeito de
características de ataques em software web, julgue o próximo item.
O ataque de sequestro de sessão tem por característica o comprometimento do token de autenticação de um
usuário, podendo esse token ser obtido interceptando-se a comunicação ou predizendo-se um token válido.
Comentário: Um ataque de sequestro de sessão ocorre quando um invasor utiliza um software de
Certo. monitoramento de rede para capturar o token (muitas vezes um cookie) de autenticação usado para
representar a sessão de um usuário com uma aplicação. Com o cookie capturado, o invasor pode enganar a
sessão do usuário e ganhar acesso à aplicação. O invasor possui nível de privilégios igual ao do usuário
legítimo.
A expressão “predizendo-se um token válido” também é uma forma de se obter o token da vítima: em um
terminal público, por exemplo, caso o último usuário não tenha desfeito seu login na aplicação web, o
atacante poderá usar a aplicação como se fosse este usuário.
ATAQUES E AMEAÇAS:
ATAQUES DE INJEÇÃO

Prof. Esp. Sergio Sierro

 VULNERABILIDADES DE INJEÇÃO
 As vulnerabilidades de injeção permitem que um invasor forneça algum tipo de
código ao aplicativo como entrada e induza o servidor a executar esse código.

 A injeção ocorre quando os dados fornecidos pelo usuário são enviados a um

interpretador com parte do comando ou consulta.

 A informação malicioso a fornecida pelo atacante engana o interpretador que irá

executar comandos mal intencionados ou manipular informações.
 SQL INJECTION
 Comandos SQL são injetados na entrada do plano de dados para afetar a execução
de comandos SQL predefinidos.

 Por que o SQL Injection funciona?

 Por que a aplicação aceita dados arbitrários fornecidos pelo usuário (“confia” no texto
digitado).
 As conexões são feitas no contexto de um usuário com privilégios altos.

 É uma técnica de injeção de código que pode destruir o banco de dados, um código
malicioso é inserido em instruções SQL, via entrada de página da web.
 SQL INJECTION
 Geralmente ocorre quando é solicitada a entrada de um usuário, como o nome/id
de usuário, e ao invés de fornecer um nome/id de usuário, é fornecido uma
instrução SQL que é executada no banco de dados.

 A entrada deve ser validada para garantir que esteja na forma correta que é
esperada antes de usar em uma consulta SQL.

 O site entrega o código (payload) ao servidor. O payload entra em ação e afeta o

banco de dados para cumprir os objetivos definidos.
 SQL INJECTION
 Um ataque de injeção SQL ocorre em dois estágios:

 Pesquisa: o invasor fornece alguns valores aleatórios e inesperados para o

argumento, observa como o aplicativo responde e decide tentar um ataque.

 Ataque: o invasor fornece um valor cuidadosamente elaborado para o argumento.

O aplicativo interpretará a parte do valor de um comando SQL em vez de
meramente os dados, o banco de dados então executa o comando SQL modificado
pelo invasor.
SQL INJECTION
 LDAP INJECTION
 LDAP é um protocolo de aplicação aberto, livre de fornecedor e padrão de indústria
para acessar e manter serviços de informação de diretório distribuído.

 A injeção de LDAP é um ataque usado para explorar aplicativos baseados na web que
constroem instruções LDAP com base na entrada do usuário.

 É possível modificar as instruções LDAP por meio de técnicas semelhantes à injeção

SQL.
LDAP INJECTION
 COMMAND INJECTION
 A aplicação envia comandos para o sistema operacional, juntamente com dados que
o usuário enviar para a aplicação (através de formulários, cookies, HTTP headers etc)
sem nenhum tipo de validação.

 Interação de forma insegura, entre a aplicação web e o sistema operacional sobre o

qual a aplicação estiver rodando.

 O comando enviado será executado utilizando os privilégios que a aplicação web

possuir.
 DIRETO DO CONCURSO
Ano: 2021 Banca: FGV Órgão: Banestes Prova: FGV - 2021 - Banestes - Analista em Tecnologia da Informação -
Segurança da Informação
SQL Injection é uma técnica de ataque na qual o invasor se aproveita de falhas em aplicativos web que interagem
com bases de dados para inserir uma instrução SQL personalizada e indevida.
Para evitar essa ameaça de segurança, é necessário:
a) utilizar expressões regulares para cifrar as variáveis enviadas para o sistema.
b) concatenar diretamente o input do usuário com a consulta SQL.
c) encapsular as entradas de dados dentro de aspas simples ao montar dinamicamente consultas SQL.
d) retornar no corpo das respostas HTTP as mensagens de erro em bancos de dados.
e) validar todas as entradas de dados, como formulários ou URL da aplicação.
 DIRETO DO CONCURSO
Ano: 2021 Banca: FGV Órgão: Banestes Prova: FGV - 2021 - Banestes - Analista em Tecnologia da Informação -
Segurança da Informação
Comentário: Um ataque SQL Injection acontece quando o hacker injeta comandos
SQL Injection é uma técnica de ataque na qual (SQL
maliciosos o invasor se aproveita
queries) de dados
no banco de falhas por
em meio
aplicativos web queou
de formulários interagem
URLs de
com bases de dados para inserir umaaplicações
instruçãovulneráveis,
SQL personalizada e indevida.
com o objetivo de extrair informações.
Para evitar essa ameaça de segurança, A injeção de SQL geralmente ocorre quando você solicita a entrada de um usuário,
é necessário:
como seu nome de usuário/id de usuário e, em vez de um nome/id, o usuário
a) utilizar expressões regulares para cifrar as variáveis enviadas para o sistema.
fornece uma instrução SQL que você executará inadvertidamente em seu banco de
b) concatenar diretamente o input do usuário com a consulta SQL.
dados.
Daí a importância
c) encapsular as entradas de dados dentro de validar
de aspas simples aotodas as entradas
montar de dados,consultas
dinamicamente como formulários
SQL. ou URL da
aplicação.
d) retornar no corpo das respostas HTTP as mensagens de erro em bancos de dados.
e) validar todas as entradas de dados, como formulários ou URL da aplicação.
 DIRETO DO CONCURSO
Ano: 2022 Banca: CESPE / CEBRASPE Órgão: Telebras Prova: CESPE / CEBRASPE - 2022 - Telebras - Especialista em
Gestão de Telecomunicações – Engenheiro de Redes
A respeito de ataques em redes e aplicações corporativas, julgue o próximo item.
SQL injection consiste em inserir ou manipular consultas efetuadas pela aplicação, com o objetivo de diminuir
sua performance.
 DIRETO DO CONCURSO
Ano: 2022 Banca: CESPE / CEBRASPE Órgão: Telebras Prova: CESPE / CEBRASPE - 2022 - Telebras - Especialista em
Gestão de Telecomunicações – Engenheiro de Redes
A respeito de ataques em redes e aplicações corporativas, julgue o próximo item.
SQL injection consiste em inserir ou manipular consultas efetuadas pela aplicação, com o objetivo de diminuir
sua performance.

Errado. Comentário: Injeção de SQL (do inglês SQL Injection) é um tipo de ameaça de segurança que se aproveita
de falhas em sistemas que interagem com bases de dados através de comandos SQL, em que o atacante
consegue inserir uma instrução SQL personalizada e indevida dentro de uma consulta (SQL query) através
da entradas de dados de uma aplicação, como formulários ou URL de uma aplicação.
 DIRETO DO CONCURSO
Ano: 2022 Banca: FCC Órgão: TJ-CE Prova: FCC – 2022 – TJ-CE – Analista Judiciário – Ciência da Computação –
Sistemas da Informação
Para evitar os efeitos indesejáveis de ataques SQL Injection em aplicações web, uma recomendação correta de
programação segura é
a) não utilizar ferramentas Object Relational Mapping (ORM) como Hibernate, NHibernate ou JPA.
b) utilizar as propriedades security="true" e/ou encode="secure" nos campos de formulários HTML.
c) realizar a validação dos dados de entrada do lado do servidor por meio de whitelists.
d) validar a entrada de dados no cliente, evitando assim qualquer possibilidade de envio de instruções maliciosas
ao servidor.
e) utilizar concatenação de valores nas consultas de dados ao invés de consultas parametrizadas.
 DIRETO DO CONCURSO
Comentário: SQL Injection é um tipo de ataque em que se injeta, através de uma entrada de dados do
Ano: 2022 Banca:lado FCCdoÓrgão:
cliente,TJ-CE Prova: SQL
um comando FCCno
– 2022 – TJ-CE
servidor. – Analista
O comando Judiciário
SQL pode – Ciência
ser injetado em umdaespaço
Computação
de um site–
Sistemas da Informação
em que o usuário deve digitar seu login e sua senha.
A letraindesejáveis
Para evitar os efeitos A está ERRADA. Não faz o SQL
de ataques menor sentido em
Injection imaginar que umweb,
aplicações framework como o Hibernate
uma recomendação ou a Java
correta de
programação segura Persistence
é API são capazes de evitar a SQL Injection. O uso destes frameworks, inclusive, aumenta a
segurança do banco de dados, uma vez que eles automatizam o processo de mapeamento entre modelos
a) não utilizar ferramentas
para o modeloObject Relational Mapping (ORM) como Hibernate, NHibernate ou JPA.
relacional.
A letra B está
b) utilizar as propriedades ERRADA. Os atributos
security="true" acima não são listados
e/ou encode="secure" como sendo
nos campos da tag de formulários
de formulários HTML. HTML. Ainda
assim, mesmo com essas atualizações listadas, ainda poderia ser possível injetar código SQL no espaço
c) realizar a validação dos dados de entrada do lado do servidor por meio de whitelists.
para formulário.
d) validar a entrada de dados
A letra no cliente,
C está CERTA. evitando
Quando assim
o usuário qualquer
da maquina possibilidade
cliente de envio
tentar injetar SQL node instruções
campo maliciosas
do formulário cujo
ao servidor. HTML (ou JSON, ou o que quer que seja) será enviado ao servidor. O servidor irá realizar uma validação do
conteúdo enviado através de whitelists (listas brancas), e se a página enviada não pertencer a whitelist, o
e) utilizar concatenação de valores nas consultas de dados ao invés de consultas parametrizadas.
servidor não irá executar.
A letra D está ERRADA. Essa alternativa seria como dizer que as medidas de segurança que evitam a
entrada de um ladrão em uma casa devem ser validadas por qualquer pessoa que deseja entrar na casa,
inclusive pelo próprio ladrão.
A letra E está ERRADA. O que está descrito na alternativa não evita um ataque de SQL Injection.
 DIRETO DO CONCURSO
Ano: 2018 Banca: INSTITUTO AOCP Órgão: UFOB Prova: INSTITUTO AOCP – 2018 – UFOB – Analista de Tecnologia
da Informação – Infraestrutura
Ataques costumam ocorrer na internet com diversos objetivos, visando diferentes alvos e usando variadas
técnicas. Qualquer serviço, computador ou rede que seja acessível via internet pode ser alvo de um ataque,
assim como qualquer computador com acesso à internet pode participar de um ataque. Com referência aos
DDoS, DoS, IP spoofing, port scan, session hijacking, buffer overflow, SQL Injection, cross-site scripting, spear
phishing e APT (advanced persistent threat), julgue o item a seguir.
Um lote de instruções SQL é um grupo de duas ou mais instruções SQL separadas por ponto e vírgula. Um ataque
SQL Injection pode ser realizado nesse caso colocando um comando malicioso após uma entrada esperada.
Exemplo: “SELECT * FROM usuario where id =” concatenado à entrada “5; DROP TABLE usuario;”
 DIRETO DO CONCURSO
Ano: 2018 Banca: INSTITUTO AOCP Órgão: UFOB Prova: INSTITUTO AOCP – 2018 – UFOB – Analista de Tecnologia
da Informação – Infraestrutura
Ataques costumam ocorrer na internet com diversos objetivos, visando diferentes alvos e usando variadas
técnicas. Qualquer serviço, computador ou rede que seja acessível via internet pode ser alvo de um ataque,
assim como qualquer computador com acesso à internet pode participar de um ataque. Com referência aos
DDoS, DoS, IP spoofing, port scan, session hijacking, buffer overflow, SQL Injection, cross-site scripting, spear
phishing e APT (advanced persistent threat), julgue o item a seguir.
Um lote de instruções SQL é um grupo de duas ou mais instruções SQL separadas por ponto e vírgula. Um ataque
Comentário:
SQL Injection pode As falhas
ser realizado de caso
nesse Injeção, como a injeção
colocando de SQL, malicioso
um comando ocorrem quando dadosentrada
após uma não confiáveis são
esperada.
Exemplo: “SELECTenviados
* FROMpara um interpretador
usuario como parte deà entrada
where id =” concatenado um comando ou consulta.
“5; DROP Os dados manipulados pelo
TABLE usuario;”
atacante podem iludir o interpretador para que este execute comandos indesejados ou permita o acesso a
dados não autorizados.
Certo. Um exemplo de ataque de injeção SQL seria o definido pela questão, no qual a aplicação utiliza dados não
confiáveis na construção da chamada SQL vulnerável. Uma forma de se evitar esses ataques seria validar
as entradas referenciadas que são utilizadas na consulta ou chamada SQL antes de executar o código.
 DIRETO DO CONCURSO
Ano: 2022 Banca: FGV Órgão: TJ-DFT Prova: FGV – 2022 – TJ-DFT – Analista Judiciário – Segurança da Informação
A equipe de segurança de um órgão público detectou em seus sistemas de monitoramento a seguinte requisição
em direção a um site do órgão: http://www.site.gov.br/index.php?username=1'%20or%20'1'%20
=%20'1'))/*&password=t&$t3. O tipo e a técnica de ataque detectados são, respectivamente:
a) HTML injection, com o objetivo de alterar a página de login.
b) SQL injection, com o objetivo de bypassar a página de login.
c) SQL injection, com o objetivo de forçar o banco de dados a gerar um erro.
d) Command injection, com o objetivo de realizar a execução de código na página de login.
e) Command injection, com o objetivo de forçar o banco de dados a gerar um erro.
 DIRETO DO CONCURSO
Ano: 2022 Banca: FGV Órgão: TJ-DFT Prova: FGV – 2022 – TJ-DFT – Analista Judiciário – Segurança da Informação
A equipe de segurança de um órgão público detectou em seus sistemas de monitoramento a seguinte requisição
em direção a um site do órgão: http://www.site.gov.br/index.php?username=1'%20or%20'1'%20
=%20'1'))/*&password=t&$t3. O tipo e a técnica de ataque detectados são, respectivamente:
a) HTML injection, com o objetivo de alterar a página de login.
b) SQL injection, com o objetivo de bypassar a página de login.
c) SQL injection, com o objetivo de forçar o banco de dados a gerar um erro.
d) Command injection, com oAs
Comentário: objetivo
falhas de
de realizar
Injeção, acomo
execução de código
a injeção de SQL,naocorrem
página de login.dados não confiáveis são
quando
enviados
e) Command injection, compara um interpretador
o objetivo de forçarcomo
o bancoparte
dede um comando
dados a gerar umouerro.
consulta. Os dados manipulados pelo
atacante podem iludir o interpretador para que este execute comandos indesejados ou permita o acesso a
dados não autorizados.
Um exemplo de ataque de injeção SQL seria o definido pela questão, no qual a aplicação utiliza dados não
confiáveis na construção da chamada SQL vulnerável. Uma forma de se evitar esses ataques seria validar
as entradas referenciadas que são utilizadas na consulta ou chamada SQL antes de executar o código.
 ATAQUES E AMEAÇAS:
ATAQUES A APLICAÇÕES WEB

Prof. Esp. Sergio Sierro

 CROSS SITE SCRIPTING (XSS)
 É um tipo de ataque de injeção de código em aplicações web, onde scripts
maliciosos são injetados em sites confiáveis.

 Permite aos atacantes executarem scripts no navegador da vítima.

 Com o XSS, um site legítimo pode ser transformado em um portal de phishing.

 Existem três tipos de ataques XSS.

CROSS SITE SCRIPTING (XSS)
 REFLECTED XSS
 Se a entrada tiver que ser fornecida toda vez para executar, o XSS é chamado de
refletido ou não armazenado.

 São realizados principalmente entregando uma carga diretamente à vítima.

 A vítima solicita uma página com uma solicitação contendo o payload e o payload
vem embutido na resposta como um script.

 Um exemplo de XSS refletido é no campo de pesquisa.

REFLECTED XSS
 STORED XSS
 Quando a resposta que contém o payload é armazenada no servidor de forma que o
script seja executado a cada visita sem o envio do payload, é identificada como XSS
armazenado.

 Fica hospedado de forma permanente no servidor de destino.

 Qualquer usuário pode executar o código malicioso sem nenhuma ação específica.

 Um exemplo de XSS armazenado é no encadeamento de comentários.

STORED XSS
 DOM BASED XSS
 Explora o Document Object Model (DOM), que é a interface que define a leitura de
HTML e XML no navegador.

 O script é capaz de alterar as propriedades das aplicações que executam estes tipos
de extensões diretamente no navegador, sem necessidade de interação com o
servidor para performar o ataque.

 Neste caso, a falha está na validação do código HTML ou XML no navegador.

 Os dados maliciosos não tocam no servidor web.

 CROSS-SITE REQUEST FORGERY (CSRF)
 O ataque CSFR necessita de uma sessão autenticada.

 É um ataque que força um usuário final a executar ações indesejadas em um

aplicativo da web no qual está autenticado no momento.

 O atacante explora apenas sessões em que o usuário está logado em serviços web.

 O objetivo do CSFR está frequentemente relacionado a solicitações de mudança de

estado já que o atacante herda os privilégios de uma sessão autenticada.
 CROSS-SITE REQUEST FORGERY (CSRF)
 Para a maioria dos sites, as solicitações do navegador incluem automaticamente
quaisquer credenciais associadas ao site, como o cookie de sessão do usuário,
endereço IP, credenciais de domínio do Windows e assim por diante.

 Se o usuário estiver autenticado no site, o site não terá como distinguir entre a
solicitação forjada enviada pela vítima e uma solicitação legítima enviada pela
vítima.
CROSS-SITE REQUEST FORGERY (CSRF)
 DEFACEMENT
 Defacement ou deface, é um termo de origem inglesa para o ato de modificar ou
danificar a superfície ou aparência de algum objeto.

 É o processo de modificação do conteúdo que é exibido em um site.

 É comparado com o ato de pichar um muro ou parede.

DEFACEMENT
 MANIPULAÇÃO DE URL
 O ataque por manipulação de URL é usado para fazer o servidor transmitir páginas
às quais ele não teria autorização de acesso.

 Na prática, o usuário só tem acesso a links que são fornecidos pela página do site.

 É o processo de alterar a estrutura de uma URL.

 A manipulação de URL pode ser usada para explorar uma série vulnerabilidades de
segurança, incluindo cross-site scripting (XSS), cross-site request forgery (CSRF), e
SQL injection.
 DIRETO DO CONCURSO
Ano: 2021 Banca: CESPE / CEBRASPE Órgão: PG-DF Prova: CESPE / CEBRASPE - 2021 - PG-DF - Analista Jurídico -
Analista de Sistema - Desenvolvimento de Sistema
Julgue o item que se segue, referente às vulnerabilidade de sistemas computacionais e aos ataques a esses
sistemas.
Em um ataque de execução de script entre sites (XSS), as entradas de dados de um programa interferem no fluxo
de execução desse mesmo programa.
 DIRETO DO CONCURSO
Ano: 2021 Banca: CESPE / CEBRASPE Órgão: PG-DF Prova: CESPE / CEBRASPE - 2021 - PG-DF - Analista Jurídico -
Analista de Sistema - Desenvolvimento de Sistema
Julgue o item que se segue, referente às vulnerabilidade de sistemas computacionais e aos ataques a esses
sistemas.
Em um ataque de execução de script entre sites (XSS), as entradas de dados de um programa interferem no fluxo
de execução desse mesmo programa.

Errado.
Comentário: O XSS (Cross Site Scripting) é um ataque que pode ser feito na sua forma refletida (Reflected) ou sua
forma persistente (Stored). Trata-se da injeção de um código dentro da tag script (Stored XSS) em algum campo de
input da aplicação (geralmente campos de comentários). Ao efetuar o comentário, a aplicação que contém uma
falha de segurança (tratamento incorreto dos dados de entrada) salva o comentário com o código malicioso
normalmente. Diante disso, não é o ataque XSS quem executa o script, ele apenas injeta o código malicioso no
servidor e este o executa no momento que há a requisição da página afetada.
 DIRETO DO CONCURSO
Ano: 2022 Banca: CESPE / CEBRASPE Órgão: TCE-RJ Prova: CESPE / CEBRASPE – 2022 – TCE-RJ – Analista de
Controle Externo
Julgue o item a seguir, quanto às ferramentas e técnicas de exploração de vulnerabilidades em aplicativos web, à
Open Web Application Security Project (OWASP) e às ameaças e vulnerabilidades em aplicações web.
A característica principal do ataque cross-site scripting (XSS) é que ele é realizado somente de um modo: por
meio do envio de códigos JavaScript pelos formulários de cadastro de uma aplicação web com a finalidade de
manipular as informações no navegador do usuário.
 DIRETO DO CONCURSO
Ano: 2022 Banca: CESPE / CEBRASPE Órgão: TCE-RJ Prova: CESPE / CEBRASPE – 2022 – TCE-RJ – Analista de
Controle Externo
Julgue o item a seguir, quanto às ferramentas e técnicas de exploração de vulnerabilidades em aplicativos web, à
Open Web Application Security Project (OWASP) e às ameaças e vulnerabilidades em aplicações web.
A característica principal do ataque cross-site scripting (XSS) é que ele é realizado somente de um modo: por
meio do envio de códigos JavaScript pelos formulários de cadastro de uma aplicação web com a finalidade de
manipular as informações no navegador do usuário.

Errado. Comentário: O erro da questão é dizer que o XSS só é ativado de um modo, quando na verdade
ele possui três modos de atuação: refletido ou não persistente, baseado em DOM e persistente.
A questão descreve o modo persistente, que, como o próprio nome sugere, é aquele que fica
armazenado na página web, de forma que o usuário pode ser contaminado ao comentar algo na
página, preencher um formulário.
 DIRETO DO CONCURSO
Ano: 2022 Banca: FGV Órgão: SEFAZ-AM Prova: FGV - 2022 - SEFAZ-AM - Analista de Tecnologia da Informação da
Fazenda Estadual - Manhã
Um invasor detecta e explora uma vulnerabilidade em um campo de formulário em uma página de uma aplicação
Web e, consegue injetar um script malicioso dentro de uma postagem em uma rede social. Isso possibilita que
qualquer usuário dessa rede social, ao visualizar tal postagem contaminada, tenha a sua máquina infectada pelo
script malicioso, que é executado localmente.
A este ataque é dado o nome de
a) Database Injection.
b) XSRF.
c) XSS em DOM.
d) XSS armazenado.
e) XSS refletido.
 DIRETO DO CONCURSO
Ano: 2022 Banca: FGV Órgão: SEFAZ-AM Prova: FGV - 2022 - SEFAZ-AM - Analista de Tecnologia da Informação da
Fazenda Estadual - Manhã
Um invasor detecta e explora uma vulnerabilidade em um campo de formulário em uma página de uma aplicação
Web e, consegue injetar umComentário:
script malicioso dentro
O ataque XSS édeum
uma
dospostagem em uma
mais populares rede social.
e perigosos Isso possibilita
da Internet. Nesse tipoque
de
qualquer usuário dessa redeataque,
social, são
ao visualizar tal postagem
injetados códigos contaminada,
maliciosos tenhacódigos
em sites. Esses a sua máquina infectada
vão permitir pelo
que sejam
script malicioso, que é executado localmente.
roubados cookies de sessão, tokens, entre outros tipos de dados. No geral, os casos envolvem
falhas nas respostas a requisições genéricas com partes do site corrompidos. Por isso, abusa da
A este ataque é dado o nome de
confiança do usuário na página.
a) Database Injection. O cross-site scripting é um tipo de ataque virtual no qual um malware com código malicioso
b) XSRF. que sai de um website “hospedeiro” é injetado em um website anteriormente confiável, daí o
nome cross-site.
c) XSS em DOM. Existem 3 tipos de ataque XSS, a depender da forma como o golpe é organizado. Podem ser do
d) XSS armazenado. tipo refletido, persistente ou baseado em DOM.
e) XSS refletido. O tipo mencionado na questão é o tipo persistente ou armazenado. Ele é considerado o tipo
de ataque XSS mais prejudicial. O XSS armazenado ocorre quando a entrada fornecida pelo
usuário é armazenada e, em seguida, processada em uma página da Web.
 DIRETO DO CONCURSO
Ano: 2017 Banca: FCC Órgão: TRT - 24ª REGIÃO (MS) Prova: FCC - 2017 - TRT - 24ª REGIÃO (MS) - Técnico
Judiciário - Área Administrativa
Um Técnico de Informática, ao acessar o site da organização para a qual trabalha, encontrou-o totalmente
desfigurado, com o conteúdo das páginas alterado. Ao buscar razões para este tipo de ataque que viola a
segurança das informações, verificou que um atacante, para desfigurar uma página web, pode:
− explorar erros da aplicação web;
− explorar vulnerabilidades do servidor de aplicação web;
− explorar vulnerabilidades da linguagem de programação ou dos pacotes utilizados no desenvolvimento da
aplicação web;
− invadir o servidor onde a aplicação web está hospedada e alterar diretamente os arquivos que compõem o site;
− furtar senhas de acesso à interface web usada para administração remota.
 DIRETO DO CONCURSO
Ano: 2017 Banca: FCC Órgão: TRT - 24ª REGIÃO (MS) Prova: FCC - 2017 - TRT - 24ª REGIÃO (MS) - Técnico
Judiciário - Área Administrativa
O Técnico concluiu, corretamente, que este tipo de ataque é conhecido como
a) inundação UDP.
b) engenharia social.
c) wardriving
d) IP spoofing.
e) Defacement.
 DIRETO DO CONCURSO
Ano: 2017 Banca: FCC Órgão: TRT - 24ª REGIÃO (MS) Prova: FCC - 2017 - TRT - 24ª REGIÃO (MS) - Técnico
Judiciário - Área Administrativa
O Técnico concluiu, corretamente, que este tipo de ataque é conhecido como
a) inundação UDP.
b) engenharia social.
c) wardriving
d) IP spoofing.
e) Defacement.
Comentário: Defacement (desfiguração de página ou pichação) é o nome dado a uma técnica que
consiste em alterar o conteúdo de uma página web de um site. Para efetuar a alteração, o
atacante é chamado de defacer.
ATAQUES E AMEAÇAS:
ATAQUES DE REDE

Prof. Esp. Sergio Sierro

 DoS (DENIAL OF SERVICE)
 O ataque de negação de serviço sobrecarrega um servidor ou um computador com
um alto volume de pedidos de pacotes.

 Por não conseguir lidar com as requisições, o sistema não consegue mais
responder, ficando indisponível.

 Forçar o alvo a reinicializar ou consumir todos os recursos (como memória ou

processamento) de forma que não possa mais fornecer seu serviço.

 Obstruir a mídia de comunicação entre os utilizadores e o alvo.

 DoS (DENIAL OF SERVICE)
 As duas classes principais de métodos de ataque são:

 Ataques de diminuição de largura de banda são caracterizados pelos ataques por

inundação e amplificação.

 Ataques de esgotamento de recursos são ataques que fazem uso indevido dos
protocolos de comunicação de rede ou enviam pacotes de rede malformados.
 DoS (DENIAL OF SERVICE)
 Ataques por inundação se caracterizam por enviarem um grande volume de tráfego
ao alvo de modo a congestionar a banda.

 Ataques por amplificação se caracterizam por enviarem requisições forjadas para

uma grande quantidade de computadores ou para um endereço IP de broadcast, que
irão responder às requisições. Todas as respostas são direcionadas para o alvo.

 Ataques por exploração de protocolos se caracterizam por consumir

excessivamente os recursos do alvo explorando alguma característica específica ou
falha de implementação.
 DDoS (DISTRIBUTED DENIAL OF SERVICE)
 Em um ataque distribuído de negação de serviço, um computador mestre
denominado master pode ter sob seu comando até milhares de computadores
zombies, literalmente zumbis.

 As tarefas de ataque são distribuídas a um “exército” de máquinas escravizadas.

 Um computador “mestre” pode ter sob sua responsabilidade até milhares de

computadores (botnet).
DDoS (DISTRIBUTED DENIAL OF SERVICE)
 IP SPOOFING
 IP Spoofing consiste em mascarar pacotes de IP através de endereços falsos de
remetente, o que permite a falsificação do endereço de origem por meio da
alteração dos cabeçalhos dos pacotes de IP.
 ARP SPOOFING
 ARP (Address Resolution Protocol) é um protocolo que permite que as
comunicações de rede alcancem um dispositivo específico na rede.

 ARP converte endereços de IP em um endereço MAC e vice-versa.

 ARP Spoofing, ou ARP Poisoning, é um ataque Man-in-the-Middle (MitM) que

permite aos invasores interceptar a comunicação entre dispositivos de rede.

 Finge ser os dois lados de um canal de comunicação de rede.

ARP SPOOFING
 ARP SPOOFING
 IP Spoofing consiste em mascarar pacotes de IP através de endereços falsos de
remetente, o que permite a falsificação do endereço de origem por meio da
alteração dos cabeçalhos dos pacotes de IP.
 FLOOD
 Um ataque flood do tipo MAC é baseado no estouro da tabela de endereços MAC
para dispositivos e seus segmentos de rede correspondentes.

 Um invasor pode enviar um grande número de quadros contendo identificadores de

rede falsos para o switch e inundar toda a tabela de endereços MAC.

 Um ataque flood de Ping, SYN e UDP é realizado inundando o sistema alvo com um
número excessivo de solicitações para sobrecarregar e impedir sua funcionalidade
normal.
 MAN-IN-THE-MIDDLE
 O invasor se posiciona entre duas partes que tentam comunicar-se, intercepta
mensagens enviadas e depois se passa por uma das partes envolvidas.
 DIRETO DO CONCURSO
Ano: 2021 Banca: CESPE / CEBRASPE Órgão: TCE-RJ Prova: CESPE / CEBRASPE - 2021 - TCE-RJ - Analista de
Controle Externo - Especialidade: Tecnologia da Informação
A respeito de segurança em redes de computadores e criptografia, julgue o item seguinte.
O objetivo principal de um ataque DDoS é invadir bases de dados para coletar informações sensíveis; para isso,
ele realiza a sobrecarga dos recursos do servidor, por meio do envio de excessiva quantidade de requisições ou
por meio da geração de grande tráfego de dados na rede.
 DIRETO DO CONCURSO
Ano: 2021 Banca: CESPE / CEBRASPE Órgão: TCE-RJ Prova: CESPE / CEBRASPE - 2021 - TCE-RJ - Analista de
Controle Externo - Especialidade: Tecnologia da Informação
A respeito de segurança em redes de computadores e criptografia, julgue o item seguinte.
O objetivo principal de um ataque DDoS é invadir bases de dados para coletar informações sensíveis; para isso,
ele realiza a sobrecarga dos recursos do servidor, por meio do envio de excessiva quantidade de requisições ou
por meio da geração de grande tráfego de dados na rede.
Comentário: Negação de serviço, ou DoS (Denial of Service), é uma técnica pela qual um atacante
Errado. utiliza um computador para tirar de operação um serviço, um computador ou uma rede conectada
à Internet. Quando utilizada de forma coordenada e distribuída, ou seja, quando um conjunto de
computadores é utilizado no ataque, recebe o nome de negação de serviço distribuído, ou DDoS
(Distributed Denial of Service).
O objetivo destes ataques não é invadir e nem coletar informações, mas sim exaurir recursos e
causar indisponibilidades ao alvo. Quando isto ocorre, todas as pessoas que dependem dos
recursos afetados são prejudicadas, pois ficam impossibilitadas de acessar ou realizar as operações
desejadas.
 DIRETO DO CONCURSO
Ano: 2022 Banca: CESPE / CEBRASPE Órgão: BANRISUL Prova: CESPE / CEBRASPE - 2022 - BANRISUL - Suporte à
Infraestrutura de Tecnologia da Informação
Acerca dos tipos de ataques a redes de computadores, julgue o item subsecutivo.
Chama-se spoofing o tipo de ataque em que se tenta autenticar uma máquina externa desconhecida como sendo
uma máquina da rede interna.
 DIRETO DO CONCURSO
Ano: 2022 Banca: CESPE / CEBRASPE Órgão: BANRISUL Prova: CESPE / CEBRASPE - 2022 - BANRISUL - Suporte à
Infraestrutura de Tecnologia da Informação
Acerca dos tipos de ataques a redes de computadores, julgue o item subsecutivo.
Chama-se spoofing o tipo de ataque em que se tenta autenticar uma máquina externa desconhecida como sendo
uma máquina da rede interna.

Certo. Comentário: O spoofing é uma falsificação que pode ser utilizada para esse fim. Temos o IP
spoofing, um ataque que serve para mascarar o IP de uma máquina. Sendo assim, pode-se ter o
caso em que uma máquina externa desconhecida pode se passar por uma máquina interna
legítima, inclusive conseguindo se autenticar a rede.
Isso faz com que o tráfego que iria para a máquina legítima seja redirecionado para a máquina
externa, de forma que ela pode roubar os dados da organização.
 DIRETO DO CONCURSO
Ano: 2019 Banca: IADES Órgão: AL-GO Prova: IADES - 2019 - AL-GO - Segurança da Informação
Desde a primeira apresentação do SSL em 1994 e a subsequente padronização do TLS, numerosos ataques foram
criados contra esses protocolos.
STALLINGS, W. Cryptography and network security: principles and practice. Londres: Pearson, 2017. Tradução
livre.
Um dos referidos ataques é caracterizado por criar uma pesada carga de processamento em um servidor ao
sobrecarregá-lo com requisições supérfluas. Esse ataque chama-se
a) buffer overflow.
b) spoofing.
c) DOS.
d) BEAST.
e) phishing.
 DIRETO DO CONCURSO
Ano: 2019 Banca: IADES Órgão: AL-GO Prova: IADES - 2019 - AL-GO - Segurança da Informação
Desde a primeira apresentação do SSL em 1994 e a subsequente padronização do TLS, numerosos ataques foram
criados contra esses protocolos.
STALLINGS, W. Cryptography and network security: principles and practice. Londres: Pearson, 2017. Tradução
livre.
Um dos referidos ataques é caracterizado por criar uma pesada carga de processamento em um servidor ao
Comentário:
sobrecarregá-lo com requisições Uma negação
supérfluas. de serviço
Esse ataque (DoS - Denial of Service) é qualquer tipo de ataque em que
chama-se
os atacantes tentam impedir que usuários legítimos acessem o serviço. Em um ataque DoS, o
a) buffer overflow. atacante geralmente envia mensagens excessivas solicitando à rede ou servidor para autenticar
b) spoofing. solicitações que possuem endereços de retorno inválidos. A rede ou o servidor não conseguirá
c) DOS. encontrar o endereço de retorno do invasor ao enviar a aprovação de autenticação, fazendo com
que o servidor aguarde antes de fechar a conexão. Quando o servidor fecha a conexão, o invasor
d) BEAST. envia mais mensagens de autenticação com endereços de retorno inválidos. Portanto, o processo
e) phishing. de autenticação e espera do servidor começará novamente, mantendo a rede ou o servidor
ocupado.
 DIRETO DO CONCURSO
Ano: 2019 Banca: FCC Órgão: SEMEF Manaus - AM Prova: FCC - 2019 - SEMEF Manaus - AM - Assistente Técnico
de Tecnologia da Informação da Fazenda Municipal - Suporte
Um ataque em redes de computadores foi identificado como sendo o SYN Flood, pois caracterizava-se por
a) esgotar a capacidade de resposta do servidor-alvo pelo envio de muitas requisições PING.
b) inundar o servidor com pacotes UDP SYN para bloquear o acesso ao servidor.
c) esgotar os recursos de buffer de comunicação do servidor-alvo pelo envio de vários TCP SYN.
d) inundar os roteadores com tráfego de pacotes ICMP SYN inutilizando-o.
e) esgotar a banda da rede de computadores com a inundação de pacotes TCP.
 DIRETO DO CONCURSO
Ano: 2019 Banca: FCC Órgão: SEMEF Manaus - AM Prova: FCC - 2019 - SEMEF Manaus - AM - Assistente Técnico
de Tecnologia da Informação da Fazenda Municipal - Suporte
Um ataque em redes de computadores foi identificado como sendo o SYN Flood, pois caracterizava-se por
a) esgotar a capacidade de resposta do servidor-alvo pelo envio de muitas requisições PING.
b) inundar o servidor com pacotes UDP SYN para bloquear o acesso ao servidor.
c) esgotar os recursos de buffer de comunicação do servidor-alvo pelo envio de vários TCP SYN.
d) inundar os roteadores com tráfego de pacotes ICMP SYN inutilizando-o.
e) esgotar a banda da rede de computadores com a inundação de pacotes TCP.

Comentário: O ataque SYN Flood consiste em inundar o receptor de requisições “TCP SYN”, que nada mais são do que
pedidos de abertura de conexão. O ataque envia uma série de requisições SYN a um determinado dispositivo, mas, após
receber a confirmação (SYN + ACK), não atende à mensagem final de estabelecimento de conexão (ACK), de forma que a
comunicação fica a meio caminho, mas ativa por algum tempo. Assim, esgotam-se os recursos de buffer do servidor alvo,
que em algum momento estará inundado de requisições às quais não conseguirá atender.