Ataques A Redes de Computadores

Aula 01
SERPRO (Analista - Especialização:

Tecnologia) Segurança da Informação -
2023 (Pós-Edital)
Autor:
André Castro
25 de Abril de 2023
André Castro
Aula 01
Índice
1) Ataques e Malwares - Completo
..............................................................................................................................................................................................3
SERPRO (Analista - Especialização: Tecnologia) Segurança da Informação - 2023 (Pós-Edital) 2

www.estrategiaconcursos.com.br 140
André Castro
Aula 01
Sumário
Ataques a Redes de Computadores ...................................................................................................... 4
Ataques na Internet .......................................................................................................................... 4
Exploração de Vulnerabilidades ....................................................................................................... 5
STRIDE ............................................................................................................................................ 8
Varredura em Redes – Scan ........................................................................................................... 10
Falsificação de e-mail (E-mail spoofing) ........................................................................................... 14
Man in the Middle.......................................................................................................................... 15
ARP Spoofing ou ARP Poisoning ....................................................................................................... 16
IP Spoofing ................................................................................................................................... 17
Ataque SMURF .............................................................................................................................. 18
Interceptação de tráfego (Sniffing) .................................................................................................. 19
Força Bruta ................................................................................................................................... 20
Desfiguração de página (Defacement) ............................................................................................. 22
Phishing ........................................................................................................................................ 24
Pharming ...................................................................................................................................... 25
Negação de Serviço (Denial of Service – DoS).................................................................................. 26
Negação de Serviço Distribuído (Distributed Denial of Service) ........................................................... 28
SPIM (Spam over Instant Message) .................................................................................................. 33
Ataques de Engenharia Social ......................................................................................................... 33
Sequestro de dados - Ransomware .................................................................................................. 34
Malwares ......................................................................................................................................... 37
VÍRUS ........................................................................................................................................... 38
WORM ......................................................................................................................................... 40
SPYWARE ..................................................................................................................................... 42

André Castro
Aula 01
CAVALO DE TRÓIA (TROJAN) ......................................................................................................... 45
BACKDOOR .................................................................................................................................. 45
ROOTKIT ...................................................................................................................................... 46
BOT e BOTNET .............................................................................................................................. 48
BOMBA LÓGICA ........................................................................................................................... 50
Ataque na Camada de Aplicação ....................................................................................................... 52
LFI – Local Files Insert ou Inclusão de Arquivo local ............................................................................ 52
RFI – Remote File Insert ou Inclusão de Arquivo Remoto ...................................................................... 53
Cross-Site-Scripting (XSS) ............................................................................................................... 53
CSRF (Cross-Site Request Forgery) ou XSRF....................................................................................... 58
Injeção SQL (SQL Injection) ............................................................................................................. 61
Injeção LDAP (LDAP Injection) .......................................................................................................... 63
Injeção XML (XML Injection) ............................................................................................................. 63
Vulnerabilidade Dia Zero (Zero Day Vulnerability) ............................................................................ 64
Buffer Overflow ............................................................................................................................ 64
Complementos Maliciosos (Malicious Add-ons) ................................................................................... 65
Sequestro de Sessão (Session Hijacking) ........................................................................................... 65
Ameaça Persistente Avançada (APT - Advanced Persistent Threat) ...................................................... 65
Ataques a Redes sem Fio ................................................................................................................... 66
Wardriving ................................................................................................................................... 67
Rogue Access Point (Pontos de Acesso Não autorizados) ..................................................................... 68
Ataque de Engenharia Elétrica ........................................................................................................ 68
Bluejacking.................................................................................................................................... 68
Bluesnarfing .................................................................................................................................. 69
NMAP .............................................................................................................................................. 69

André Castro
Aula 01
OWASP TOP 10 - Riscos de Segurança de Aplicações WEB .................................................................. 72
A01:2021 - Quebra de Controle de Acesso ..................................................................................... 75
A02:2021 - Falhas criptográficas .................................................................................................... 76
A03:2021 - Injeção........................................................................................................................ 79
A04:2021 - Design inseguro ........................................................................................................... 81
A05:2021 - Configuração incorreta de segurança ............................................................................ 82
A06:2021 - Componentes Vulneráveis e Desatualizados .................................................................... 83
A07:2021 - Falhas de Identificação e Autenticação........................................................................... 85
A08:2021 - Falhas de integridade de software e dados ................................................................... 86
A09:2021 - Falhas de registro e monitoramento de segurança ........................................................... 87
A10:2021 - Falsificação de solicitação do lado do servidor (SSRF) ..................................................... 88
Questões Comentadas ....................................................................................................................... 91
Questões Comentadas Complementares............................................................................................... 99
Lista De Questões ............................................................................................................................ 117
Lista de Questões Complementares ................................................................................................... 121
GABARITO ..................................................................................................................................... 132
Gabarito – Questões CESPE.......................................................................................................... 132
Gabarito – Questões FCC............................................................................................................. 134
Resumo .......................................................................................................................................... 134

André Castro
Aula 01
ATAQUES A REDES DE COMPUTADORES

Chegamos a um tópico muito bacana pessoal! Vamos falar sobre ataques a redes (Internet) e,
consequentemente, abordaremos diversos aspectos envolvidos na Segurança da Informação.
Atualmente, grandes empresas têm investido pesado em tecnologias e soluções com vistas a
mitigar as vulnerabilidades que podem ser exploradas por pessoas mal-intencionadas. E aqui já
podemos abordar o conceito do elo mais fraco.
Este está relacionado à ideia de um atacante sempre buscar descobrir uma vulnerabilidade ou um
meio que, através do menor esforço possível, ele conseguirá alcançar o objetivo do ataque.
Assim, de nada adianta um ambiente ter regras de firewall altamente precisas, com outros
equipamentos parrudos se não há uma conscientização dos usuários, através de normas e
políticas, para que não haja vazamento de dados através da engenharia social. Em regra, esse
tipo de ataque é aquele que gera o resultado com o menor esforço.
Portanto, devemos ter um ambiente equilibrado em todos os setores e áreas nos diversos
quesitos de segurança.
Ataques na Internet
Na era da Internet das coisas, temos diversos dispositivos conectados à Internet e, obviamente,
sujeitos a uma infinidade de possíveis ataques e más intenções de usuários da rede. Em termos
gerais, muitas são as possíveis motivações que levam esses usuários a tais ações. Podemos
citar:
Demonstração de Poder – Expor vulnerabilidade de empresas ou determinados

ambientes com o objetivo de se ter algum tipo de vantagem pessoal no futuro.
Motivações financeiras – Obter informações confidenciais e privilegiadas para

desenvolvimento de golpes que geram algum tipo de “lucro”.
Motivações ideológicas – Invadir sistemas para passar um recado ou divulgar

uma imagem que representa uma ideologia ou determinada linha de pensamento.
Motivações comerciais – Em um mercado cada vez mais competitivo em que

indisponibilidade de serviços e sistemas geram grandes prejuízos financeiro e de
imagens, pode-se ter agentes específicos que atuam de forma mal intencionada
para este fim.

André Castro
Aula 01
Frente a essas motivações, diversas técnicas de ataques que são desenvolvidas, além de
ferramentas para levantamento de informações que antecedem as ações dos atacantes, as quais
veremos a seguir.
Exploração de Vulnerabilidades
Segundo o Cert.br, uma vulnerabilidade “é definida como uma condição que, quando
explorada por um atacante, pode resultar em uma violação de segurança”.
Tais vulnerabilidades estão presentes em diversos locais, equipamentos, softwares ou pessoas.

Como exemplos, podemos citar um desenvolvimento falho de um sistema operacional ou
programa ou ainda bugs intrínsecos em equipamentos, como switches, roteadores ou firewalls.
Assim, a partir de tais vulnerabilidades, o atacante pode obter informações privadas, invadir
sistemas e até controlar sua máquina para ser instrumentos em outros ataques. Veremos
alguns tipos desses ataques ainda nessa aula.
Nesse contexto, um ataque pode ser dividido em algumas etapas:
1. Identificação e reconhecimento do ambiente;

2. Identificação de vulnerabilidade;
3. Análise da melhor estratégia;
4. Aplicação do ataque;
Na primeira etapa, o que se busca é conhecer o ambiente e área da vítima. Como os

equipamentos estão distribuídos, quem são esses equipamentos em termos de fabricantes,
versões do software, sistema operacional, endereços de rede, entre outros.
A partir dessas informações, busca-se identificar vulnerabilidades nesses equipamentos, a partir

das suas versões e configurações. Nesse contexto, surgem diversas ferramentas conhecidas
como “exploits” que já possuem em suas bases diversas vulnerabilidades a partir das informações
dos sistemas e equipamentos. Esse é um grande atalho para quem quer efetuar um ataque a
partir de vulnerabilidades já conhecidas.
A seguir temos um exemplo do Sistema Operacional KALI do Linux, propriamente customizado

para realização de ataques e exploração de vulnerabilidades. Percebam as diversas ferramentas
e nomes intuitivos de diversas questões que veremos também nesta aula.

André Castro
Aula 01
Em seguida, a partir da identificação, busca-se adotar a estratégia do “menor esforço”. Ou seja,

busca-se aquele tipo de ataque que gerará o resultado esperado a partir da menor complexidade
e esforço. Só então, operacionaliza-se o ataque.
Esse mesmo roteiro é usado também como mecanismo de defesa. Para saber se defender, é
preciso saber como os ataques ocorrem. Então por muitas vezes, profissionais de segurança e de
auditoria são contratados para fazerem análises nos ambientes e tentar explorá-los.
Surgem então os conhecidos “pentesters” ou testes de penetração.
Para se efetuar um pentest é preciso, antes de qualquer coisa, saber o escopo

que se quer analisar. Da mesma forma, um atacante pode realizar os ataques
com base em algumas premissas. Chamamos de tipo de conhecimento adquirido.
Isso porque um atacante pode ser alguém totalmente externo à corporação, pode
ser alguém de dentro da corporação, ou ainda algum parceiro que possui
informações parciais.
Para esses três tipos de perfis, tem-se, portanto, três premissas básicas de pentests conhecidos
como:

André Castro
Aula 01
1. Blackbox
2. Whiteboxx
3. Greybox
Blackbox – Como o próprio nome diz, é o teste da caixa preta. Nesse tipo de
teste, não se tem nenhum tipo de informação da rede ou do ambiente da
organização. Então o teste de exploração deve cumprir todas as etapas que
apresentamos anteriormente. Começando pela identificação e exploração do
ambiente para fins de adquirir conhecimento. Nesse tipo de teste, as principais
portas de entrada, como veremos adiante, são os ataques de engenharia social e
phishing. Aqui busca-se avaliar, inicialmente, o princípio da segurança de
obscuridade, que é justamente não fornecer ou divulgar informações sobre a rede
para fora.
Whitebox – Nesse tipo de ataque, fornece-se ao pentester todas as informações

básicas necessárias de conhecimento da rede, pulando, portanto, a etapa de
identificação. Esse tipo de ataque busca verificar a robustez de configurações dos
equipamentos e a inexistência de exploits conhecidos para as soluções.
Greybox – É um modelo intermediário. Fornece-se algumas informações básicas

que são facilmente descobertas e não fazem parte do escopo do princípio da
obscuridade.
Um outro conceito importante que surge é o de REDTEAM e BLUETEAM.
Basicamente, temos a perspectiva de dois grupos de profissionais de segurança

especializados, onde o primeiro, REDTEAM, trata de profissionais focados em
pentester e invasão, em busca de brechas e vulnerabilidades no ambiente de
rede e sistemas em geral.

André Castro
Aula 01
Já o segundo, falamos do BLUETEAM, que estará focado em manter o

ambiente seguro na perspectiva de defesa, buscando eliminar constantemente
as brechas existentes e descobertas pelo próprio time, ou derivado das
descobertas do REDTEAM.
Ainda, importante destacar um ponto importante nessa dinâmica que é avaliar

como o BLUETEAM reagirá em eventual descoberta de ataque frente a sucessos
totais ou parciais do REDTEAM. Avaliar se as políticas e processos estabelecidos
serão respeitados e surtirão os efeitos desejados.
FCC - 2017 - DPE-RS - Analista - Segurança da Informação
Um Pentester está atuando no processo de auditoria de segurança da informação de uma

organização e iniciou os testes de intrusão sem qualquer tipo de informação sobre a
infraestrutura de sistemas e de rede da empresa que será auditada. Ele está realizando um
teste
A) White-Box.
B) Black-Box.
C) Grey-Box.
D) Blind-Eagle.
E) Blind-Goat.
Comentários:
Vimos que o Black-Box é o teste mais complexo, uma vez que não se tem qualquer tipo de
informação do ambiente a ser analisado, sendo necessária uma construção de estratégia
inclusive para identificar e mapear esses recursos, para posteriormente avaliar suas
vulnerabilidades.
Gabarito: B
STRIDE
Um termo que tem começado a aparecer em provas é o STRIDE, que nada mais é do que um
modelo de ameaças (model of threats), como acrônimo para os 6 tipos de ameaças:

André Castro
Aula 01
• Spoofing
• Tampering
• Repudiation
• Information disclosure
• Denial of Service
• Elevation of Privilege
Neste modelo, temos ainda uma estrutura que define a ameaça que respeita os seguintes
parâmetros:
Propriedade - Ameaça - Definição
Desse modo, para cada tipo, vamos verificar como fica essa estrutura:
Autenticação - Spoofing - Personificar algo ou outra pessoa.
Integridade - Tampering - Modificar dados ou código.
Não repúdio - Repudiation - Alegar não ter realizado uma ação.
Confidencialidade - Information disclosure - Expor informações a alguém não autorizado

a vê-las
Disponibilidade - Denial of Service - Negar ou degradar o serviço aos usuários.
Autorização - Elevation of Privilege - Obter recursos sem a autorização adequada.
FGV/TJDFT/Segurança em TI/2022
Os analistas de segurança da informação estão pesquisando como mitigar riscos e

monitorar ameaças que podem surgir no futuro. No modelo de ameaças STRIDE, a ameaça
que tenta violar o princípio da confidencialidade é:
A spoofing;
B tampering;
C repudiation;
D information disclosure;
E elevation of privilege.
Comentários:
Conforme acabamos de ver, estamos falando do aspecto de confidencialidade, ou seja,

information disclosure.
Gabarito: D

André Castro
Aula 01
Varredura em Redes – Scan
A varredura em redes é uma técnica que geralmente antecede ataques. Essa técnica visa a
obtenção de informações que subsidiarão as ações dos atacantes, como a busca de
vulnerabilidades.
Um ataque bem planejado, busca conhecer o ambiente da vítima. Assim, a partir desse
conhecimento, pode-se traçar um plano de ação com vistas a reduzir os esforços e não deixar
rastros.
Como exemplos, podemos citar a obtenção de informações dos sistemas operacionais dos
servidores e de suas atualizações. Caso se verifique que o servidor está com as atualizações
defasadas, pode-se buscar vulnerabilidades a serem exploradas.
Outro exemplo de varredura é com vistas a se obter informações dos serviços e portas utilizadas
por um servidor. Assim, pode-se utilizar portas “abertas” de forma indevida para gerar acessos
indevidos a essa máquina.
Uma das principais ferramentas utilizadas para este fim é o NMAP. Esta ferramenta pode ser
facilmente instalada em um dispositivo e a partir deste, insere-se um IP que será o alvo da
varredura. Quando executado internamente em uma rede, pode-se obter informações
extremamente relevantes do ambiente. Quando rodados externamente, tende a sofrer bloqueio ou
filtragem de firewall que reconhecem a varredura.
Importante lembrarmos que a varredura também possui um tipo de execução legítima, quando,
pessoas devidamente autorizadas e mediante um plano de comunicação do procedimento a ser
realizado, fazem a varredura para efeito de auditoria ou verificação de aspectos de segurança,
sejam eles preventivas ou corretivas.
Ainda nessa perspectiva de de varredura, há ainda instrumento públicos e abertos que são
utilizados, como o próprio indexador de busca do Google (Google Search). Esse tipo de
indexador, também é conhecido como Web Spidering ou ainda Crawler.
Com ele, é possível realizar uma série de levantamentos de informações nos domínios diversos
na Internet.

André Castro
Aula 01
Os métodos utilizados pelo indexador são com base no GET do HTTP. Assim, todo campo de
entrada pode ser tratado diretamente no Browser, como os parâmetros a seguir:
https://www.google.com/search?q=cyber+security
site:nist.gov "cyber security"
site:www.nameoftargetsite.com filetype:pdf intext:password
Na primeira sequência, temos basicamente uma busca pelo conjunto cyber security, com cada palavra isolada.
Assim, o motor da google priorizará o conjunto, mas não excluirá as ocorrências individuais.
Já na segunda sequência, temos uma busca pelo conjunto fechado. Por isso aparece entre aspas. E mais do que isso,
com a busca ocorrendo dentro de um domínio específico, no caso, nist.gov. Ou seja, todas as ocorrências dessa
sequência de palavras dentro do site.
E no terceiro, temos, de fato, uma exploração de possibilidades, onde se busca, no referido domínio apresentado,
documentos com a extensão PDF, tendo, dentro dele, texto com a palavra password. Ou seja, uma clara tentativa de
busca por senhas expostas indevidamente em algum arquivo do site em questão.
Além disso, é importante terem no radar alguns parâmetros para composição de expressões regulares na pesquisa,
a saber:
• ( + ) force inclusion of something common;
• ( - ) exclude a search term;
• ( " ) use quotes around search phrases;
• ( . ) a single-character wildcard;
• ( * ) any word;
• ( & ) boolean 'AND';
• ( | ) boolean 'OR';
Na lista abaixo, temos ainda uma sequência de comandos que também podem ser utilizados da mesma forma, com
a indicação da possibilidade de conjugação com outros operadores, e referenciado o tipo de arquivos ou conjunto
de informações que podem ser aplicados:

André Castro
Aula 01
Nessa última hipótese, vemos uma pesquisa na prática e seu retorno de todos os subdomínios associados à busca
realizada no síte em questão:

André Castro
Aula 01
Caso tenham interesse em conhecer mais itens associado a essa técnica, conhecida como
GOOGLE HACKING, podem pesquisar em https://www.exploit-db.com/google-hacking-
database
Uma equipe de segurança de um órgão público foi designada para realizar testes de
penetração no âmbito do Tribunal de Justiça do Distrito Federal e dos Territórios. Como
parte da etapa de coleta de informações, a seguinte busca foi realizada em fontes abertas
https://www.google.com/search?q=site:tjdft.jus.br. A requisição retornará páginas:
A que contêm o link tjdft.jus.br;
B com a url tjdft.jus.br;
C que contêm endereços de e-mail tjdft.jus.br;
D que contêm o título tjdft.jus.br;
E dentro do domínio tjdft.jus.br.
Comentários:
Conforme vimos, nada mais teremos do que a busca dos subdomínios dentro do domínio do
tjdft.jus.br. As demais hipóteses são retornos de outros comandos apresentados na tabela da
nossa teoria.

André Castro
Aula 01
Gabarito: E
CESPE / CEBRASPE - 2022 - TCE-RJ - Analista de Controle Externo
As ferramentas de spidering são usadas na exploração de falhas e têm como finalidade

catalogar solicitações HTTP/S enviadas a partir do navegador e respostas geradas pela
aplicação web.
Comentários:
Pessoal, conforme comentamos, as ferramentas de spidering ou web spidering tem a finalidade

de indexação de páginas e recursos na WEB.
Gabarito: E
Falsificação de e-mail (E-mail spoofing)
Antes de falarmos especificamente do e-mail spoofing, vamos conceituar o termo spoof, pois é
algo que surge em diversas questões e podemos agilizar nossas resoluções com este assunto
bem consolidado.
O termo Spoofing está diretamente relacionado ao assunto de falsificação ou adulteração de

alguma informação com vistas a alteração de algum tipo de identidade ou identificador. Duas são
as principais intenções com isso:
1. Se passar por alguma pessoa, instituição ou dispositivo que possua certo grau de
confiabilidade e legitimidade para dar confiança à informação enviada. Por exemplo,
posso enviar e-mails em nome da Receita Federal para obter informações dos usuários.
2. Esconder informações da origem de tal forma que não seja possível a identificação ou o
rastreamento do atacante.
Assim, o Spoofing pode ser aplicado a e-mails, endereços IP ou MAC, entre outros.

André Castro
Aula 01
Como tópico dessa nossa abordagem, temos o e-mail spoofing. Essa técnica geralmente é
utilizada previamente a outro tipo de ataque mais prejudicial, como a propagação de códigos
maliciosos, envios e replicação de spans e golpes de phishing.
É um recurso básico para realização de SCAM! E aqui, muita atenção pessoal! Não é SCAN
(varredura) e sim SCAM (foco na enganação do usuário) com M!!!
Para se manipular as informações dos e-mails, basta-se adulterar os dados do cabeçalho do

SMTP, mais especificamente, do campo FROM, além dos campos REPLY-TO e RETURN-PATH.
Alguns exemplos clássicos que recebemos diariamente em nossos e-mails são:
• Atacantes se passando por alguém conhecido, solicitando que você clique em

um link ou execute um arquivo anexo;
• Atacantes se passando por seu banco, solicitando que você siga um link fornecido na
própria mensagem e informe dados da sua conta bancária;
• Atacantes se passando por administrador do serviço de e-mail que você utiliza,
solicitando informações pessoais e ameaçando bloquear a sua conta caso você não as
envie.
A partir da imagem abaixo, podemos ainda listar algumas observações:
Perceba que o atacante está se passando pela empresa PayPal. Entretanto, no link a ser clicado,
há um redirecionamento para uma página falsa ou ilegítima.
Man in the Middle
Este é um tipo de ataque básico que possui mais um caráter conceitual, de modo que pode ser
implementado por diversas técnicas.

André Castro
Aula 01
A sua principal característica é a capacidade de se inserir no meio de uma comunicação entre

dois nós. Assim, ao invés de se ter uma comunicação direta entre as vítimas, tem-se o
estabelecimento de duas novas conexões, conforme podemos perceber na imagem a seguir:
Desse modo, o atacante consegue ter acesso a todos os dados trafegados na comunicação.
Assim, ele pode ainda agir de algumas formas:
• Pode simplesmente acessar e extrair os dados violando a confidencialidade. Para mitigar

esse tipo de ataque, pode-se utilizar a criptografia para tornar os dados ilegíveis;
• Pode modificar os dados, ainda que não consiga ter acesso ao conteúdo de forma direta,
violando assim a Integridade. Para mitigar esse tipo de ataque, pode-se utilizar recursos
que visam controlar a integridade dos dados como cálculos de verificação ou funções
HASH;
• Pode simplesmente escolher quais mensagens devem ou não chegar até o destino,
eliminando as demais, violando assim o princípio da Disponibilidade. Para mitigar esse tipo
de ataque, pode-se utilizar técnicas de controle semelhantes às que são implementadas
pelo protocolo TCP para confirmação de recebimento;
• Pode usar a identidade do usuário para realizar a autenticação em serviços diversos,

violando o princípio da autenticidade. Esse tipo de ataque, também é conhecido como
ataque REPLAY. Para mitigar esse tipo de ataque, pode-se utilizar de chaves dinâmicas de
sessão com prazo curto e temporário de validade.
ARP Spoofing ou ARP Poisoning
Dando continuidade ao assunto de falsificação, temos agora aplicado ao protocolo ARP. Como já
vimos, o ARP tem a característica de traduzir endereços IP para endereços MAC. O procedimento
padrão do ARP é o envio de um ARP request para todos da rede de tal modo que somente o
“dono” de determinado endereço IP deveria responder com a informação de seu endereço MAC
através da mensagem ARP REPLY.
Entretanto, no ARP Poisoning, não é isso que acontece. O objetivo aqui é assumir a identidade de
outro host da rede com vistas a interceptar o tráfego que deveria ser direcionado à vítima
passando a obter informações privadas.

André Castro
Aula 01
Vamos verificar na prática como isso acontece. Vamos partir da imagem abaixo:
O atacante envia a informação para BOB com o intuito de se passar por ALICE dizendo que o IP
10.0.0.7 tem como MAC correspondente o cc:cc:cc:cc:cc:cc, quando o correto seria
aa:aa:aa:aa:aa:aa, que é o endereço da ALICE.
Faz o mesmo procedimento ao enviar a informação para ALICE se passando por BOB, ao
informar que o endereço 10.0.0.1 possui como MAC correspondente o endereço MAC
cc:cc:cc:cc:cc:cc, quando o correto deveria ser bb:bb:bb:bb:bb:bb.
Assim, o atacante envenenou as tabelas ARP de ALICE e BOB. Agora, sempre que a ALICE
encaminhar uma mensagem para BOB, ela será redirecionada para o ATACANTE e vice-
versa.
Esse é um ataque extremamente fácil de ser realizado, tanto a nível do próprio Sistema
Operacional como através de ferramentas, como CAIN&ABEL.
IP Spoofing
Temos aqui um ataque bastante simples com o objetivo de mascarar ataques de rede com o
intuito de não deixar rastros que possam incriminar um atacante.
Ou seja, digamos que determinado atacante queira fazer uma varredura em um firewall de uma
instituição. Nesse caso, adultera-se os pacotes IP de tal modo a mascarar o IP real do atacante.
O mesmo princípio se aplica quando se objetiva a derrubada de um servidor, através de DoS, por
exemplo, que veremos mais à frente.
Se um volume muito grande de requisições parte de um mesmo host, gera-se uma suspeita de
que está sendo realizado um ataque. Assim, pode-se adulterar os pacotes dando a impressão
que são vários hosts realizando requisições distintas.
Outros tipos de ataques também são gerados a partir do IP Spoofing. Vamos analisar a imagem
abaixo:

André Castro
Aula 01
Percebam que o atacante enviou uma informação para JOHN. O IP original do atacante é
10.10.50.50. Entretanto, ele adultera a origem de tal modo que a resposta enviada por JOHN
agora vá para endereço adulterado, a saber: 10.10.20.30. Veremos que esse princípio é utilizado
para gerar ataques de negação de serviço.
Ataque SMURF
A partir do SPOOFING de IP, pode-se gerar ataques mais elaborados e potentes. Um exemplo
deles é o ataque SMURF. Esse tipo de ataque consiste em enviar ataques de resposta à
vítima a partir de mensagens do tipo echo request para um endereço de broadcast com o
“IP SPOOFADO” da vítima. A figura a seguir nos ajuda a entender este conceito:
Assim, o atacante sabendo que o IP da vítima é o 9.9.9.9, ele adultera o campo FROM do pacote
IP de uma mensagem do tipo echo request. Essa mensagem possui como destino um IP de
Broadcast de alguma rede que responde a PINGS.
Em seguida, o roteador distribuirá essas mensagens para todos os nós que fazem parte daquela
rede. Assim, cada nó responderá às requisições com uma mensagem do tipo ECHO REPLY.

André Castro
Aula 01
Entretanto, como o IP de origem corresponde ao endereço IP da vítima, todo esse tráfego será
redirecionado à vítima, gerando indisponibilidade do serviço.
Interceptação de tráfego (Sniffing)
Interceptação de tráfego, ou sniffing, é uma técnica que consiste em inspecionar os dados

trafegados em redes de computadores, por meio do uso de programas específicos chamados
de sniffers (Ex. Wireshark e TCPDump). Esta técnica pode ser utilizada de forma:
Legítima: por administradores de redes, para detectar problemas, analisar desempenho e

monitorar atividades maliciosas relativas aos computadores ou redes por eles
administrados.
Maliciosa: por atacantes, para capturar informações sensíveis, como senhas, números de
cartão de crédito e o conteúdo de arquivos confidenciais que estejam trafegando por meio
de conexões inseguras, ou seja, sem criptografia.
Note que as informações capturadas por esta técnica são armazenadas na forma como trafegam,
ou seja, informações que trafegam criptografadas apenas serão úteis ao atacante se ele
conseguir decodificá-las.
Ano: 2019 Banca: INSTITUTO AOCP Órgão: IBGE Prova: INSTITUTO AOCP
Informações sensíveis que trafegam em uma rede podem estar expostas caso algum
atacante esteja utilizando técnicas de sniffing. Em relação a esse tipo de ameaça, qual
seria o mecanismo mais eficiente para mitigá-la?
A Auditoria.
B Criptografia.
C Antimalware.
D Firewall.
E Autenticação.
Comentários:
Neste aspecto, é importante descatar que a técnica de sniffing, justamente, não surte efeito sobre
tráfego criptografado, pois este depende da obtenção e utilização das chaves de criptografia
utilizadas no processo de cifragem e decifragem, e que é de conhecimento restrito dos nós da
comunicação.
Gabarito: B

André Castro
Aula 01
Força Bruta
Como o próprio nome já diz, busca descobrir uma senha ou alguma outra informação através do
método de tentativa e erro de forma exaustiva.
Esse tipo de ataque demonstra a importância de se ter senhas grandes de complexas com o
objetivo de tornar esse tipo de ataque inviável.
O grau de desempenho desse ataque está diretamente relacionado à capacidade de

processamento computacional de um atacante.
Os mesmos conceitos de força bruta se aplicam também à quebra de chaves criptográficas para
que seja possível a interpretação de dados criptografados.
As tentativas de adivinhação baseiam-se em:
Dicionários de diferentes idiomas e que podem ser facilmente obtidos na Internet;
Listas de palavras comumente usadas, como personagens de filmes e nomes de

times de futebol;
Substituições óbvias de caracteres, como trocar "a" por "@" e "o" por "0"';
Sequências numéricas e de teclado, como "123456", "qwert" e "1qaz2wsx";
Informações pessoais, de conhecimento prévio do atacante ou coletadas na

Internet em redes sociais e blogs, como nome, sobrenome, datas e números de
documentos.
FCC /TJ-SC/2021
É uma forma de ataque na internet, que se utiliza do método de tentativa e erro para
descobrir nomes de usuários e senhas e que pode resultar em negação de serviço, quando
a quantidade de tentativas realizadas em um curto período de tempo é grande. Trata-se de
A strong attempt.
B identity theft.

André Castro
Aula 01
C hoax.
D brute force.
E strong punch.
Comentários:
Sem muito o que acrescentar pessoal. É justamente o ponto do nosso capítulo, para trazer uma
visão prática de como o assunto é cobrado em prova. Vejam que não tem muita invenção.
Gabarito: D
Marcelo está elaborando a política de segurança em seu órgão e incluiu orientações sobre
criação de senhas fortes para acesso aos sistemas, principalmente aqueles acessados
pela internet. A orientação do Marcelo visa proteger seus usuários contra ataques de
hackers que utilizam software automático para descobrir senhas fracas. A técnica para
obtenção de senhas da qual Marcelo está tentando proteger seus usuários é:
A man-in-the-middle;
B brute force;
C backdoors;
D session hijacking;
E XSS.
Comentários:
Sem dúvida, ter políticas bem estabelecidas para criação de senhas fortes, ou seja, que utilizem
uma grande quantidade de caracteres (8 ou mais), sendo obrigatório letras minúsculas e
maiúsculas, além da utilização de números e caracteres especiais ajudam no combate a técnicas
automatizadas (robôs) para quebra de senhas por meio da força bruta.
Apenas gostaria de destacar também a existência de CAPTCHAS, que são aquelas imagens ou
sequências de letras que precisamos inserir, por vezes, antes de logar em alguma aplicação.
Essa técnica também é criada e utilizada para combater o uso de robôs que eventualmente
tentem realizar ataques de força bruta na aplicação.
Gabarito: B

André Castro
Aula 01
(FCC – TRT -14ª Região (RO e AC)/Analista Judiciário – TI/2016)
Um atacante introduziu um dispositivo em uma rede para induzir usuários a se conectarem

a este dispositivo, ao invés do dispositivo legítimo, e conseguiu capturar senhas de acesso
e diversas informações que por ele trafegaram. A rede sofreu um ataque de
(A) varredura.
(B) interceptação de tráfego.
(C) negação de serviço.
(D) força bruta.
(E) personificação.
Comentários:
Trecho extraído diretamente da cartilha do cert.br, no link a seguir.
http://cartilha.cert.br/redes/
Ataque de personificação: um atacante pode introduzir ou substituir um dispositivo de rede para

induzir outros a se conectarem a este, ao invés do dispositivo legítimo, permitindo a captura de
senhas de acesso e informações que por ele passem a trafegar.
Gabarito: E
Desfiguração de página (Defacement)
Desfiguração de página, defacement ou pichação, é uma técnica que consiste em alterar o

conteúdo da página Web de um site. Possui um caráter unicamente de vandalismo, sendo
inclusive referenciado por algumas bancas como tal.
As principais formas que um atacante, neste caso, também chamado de defacer, pode utilizar
para desfigurar uma página Web são:
Explorar erros da aplicação Web;
Explorar vulnerabilidades do servidor de aplicação Web;
Explorar vulnerabilidades da linguagem de programação ou dos pacotes utilizados

no desenvolvimento da aplicação Web;
Invadir o servidor onde a aplicação Web está hospedada e alterar diretamente os

arquivos que compõem o site;

André Castro
Aula 01
Furtar senhas de acesso à interface Web usada para administração remota.
Para ganhar mais visibilidade, chamar mais atenção e atingir maior número de visitantes,
geralmente, os atacantes alteram a página principal do site, porém páginas internas também
podem ser alteradas.
Muita atenção, pois, o conceito que acabamos de ver é diferente do PHISHING, que veremos
a seguir.
Temos um exemplo do ataque:
Ano: 2021 Banca: CESPE / CEBRASPE Órgão: SERPRO Prova: CESPE / CEBRASPE - 2021
- SERPRO - Analista - Especialização: Desenvolvimento de Sistemas
Ataques bem-sucedidos de substituição de uma página web facilitados por vazamento de

senhas na Internet envolvem violações de segurança da informação nos aspectos de
integridade e disponibilidade.
Comentários:
Em que pese a principal vulnerabilidade associada ao DEFACEMENT seja a integridade, dada a

alteração na página da informação original do conteúdo, não podemos deixar de considerar
também o princípio da disponibilidade, uma vez que o conteúdo original, que deveria ser
acessado pelo público, estará inacessível.

André Castro
Aula 01
Gabarito: Certo
Phishing
A ideia aqui não é invadir algum sistema para adulterá-lo, mas sim, copiar uma página legítima e
divulgar às vítimas para obtenção de informações privadas. O principal meio de divulgação das
páginas falsas é por e-mail através de SPAM.
Assim, pode-se gerar um aviso de um banco, por exemplo, para que a vítima acesse a página e
regularize determinada condição. A vítima, ao clicar no link enviado pelo atacante, será
redirecionado para a página falsa, sendo um clone da página legítima do banco.
A vítima então acaba incluindo os seus dados bancários de acesso à conta na página falsa dando
acesso ao atacante à sua conta bancária. Assim, é muito importante estarmos atentos às URL’s,
de fato. Verificar sempre se estas correspondem aos endereços legítimos dos sites.
Outro conceito atrelado ao Phishing é o Spear Phishing. Esse tipo de ataque é similar ao
Phishing com a diferença de ter um destino específico, como uma empresa ou órgão
governamental, produzindo assim um ataque customizado através da falsificação de e-mails.
FGV/SEFAZ-BA/TI/2022
O ataque digital que tem como objetivo capturar informações sensíveis por meio de
fraudes eletrônicas e que se utiliza de pretextos falsos, com o intuito de receber
informações sensíveis dos usuários, e que ocorre com mais frequência por meio do envio
de e-mails e páginas web falsas, denomina-se
A IP spoofing.
B pharming.
C fakenews.
D phishing
E tootkit.
Comentários:
Novamente, uma questão bem simples e objetiva para vermos como a banca cobra em nível
superficial.
Gabarito: D

André Castro
Aula 01
Ano: 2021 Banca: CESPE / CEBRASPE Órgão: TCE-RJ Prova: CESPE / CEBRASPE - 2021 -
TCE-RJ - Analista de Controle Externo - Especialidade: Tecnologia da Informação
Os ataques de phishing caracterizam-se pelo envio de mensagens eletrônicas que

despertam a atenção de usuários por meio da sugestão de vantagens ou ameaças de
prejuízos e também por induzirem os usuários a fornecer dados pessoais e(ou) financeiros.
Comentários:
Sem dúvida é a narrativa que estamos cansados de receber e observar em nossos e-mails por
meio de SPAM's diários, certo pessoal? Então, tenhamos cuidado constante com os acessos a
esses conteúdos.
Gabarito: Certo
Pharming
Este tipo de ataque ocorre quando um tráfego que originalmente deveria ir para um site
legítimo é redirecionado para outro. Percebam a diferença do Phishing padrão. No Phishing o
usuário já dispara o acesso à uma página falsa na origem, enquanto no Pharming, há um desvio
ao longo da rede, sendo quase que transparente para o usuário.
Essa forma de ataque pode ocorrer de diversas formas, como por meio da alteração do
servidor DNS (DNS Poisoning), em que se faz um apontamento para um IP de destino que
armazena conteúdo similar, porém, é um site malicioso para se obter dados. Esse tipo de ataque
pode acontecer tanto nos arquivos de configuração de DNS local (Cache Poisoning)
quando em um servidor de consulta.
Ano: 2022 Banca: FUNDATEC Órgão: Prefeitura de Esteio - RS Prova: FUNDATEC
Recentemente foi noticiada a invasão de um servidor Web importante e conhecido. Mais

tarde, percebeu-se que não houve invasão nesse servidor Web, mas um redirecionamento
das conexões a outro servidor Web que o atacante controlava. Esse redirecionamento foi
possível através da invasão de um servidor de resolução de nomes e da alteração de um
dos seus registros. Esse tipo de ataque é conhecido como:
A Defacement.
B Envenenamento de DNS.
C Phishing.
D ARP Spoofing.

André Castro
Aula 01
E IP Spoofing.
Comentários:
Justamente na linha do que vimos. Esse tipo de ataque pessoal é muito poderoso, e pode trazer
danos estrondosos, uma vez que as vítimas, que são os usuários que consomem o serviço de
DNS envenenado, estarão totalmente expostos.
Nesse aspecto, gostaria de registrar a existência do serviço DNSSEC, que traz a

implementação do DNS por meio de uma estrutura de chaves públicas associadas que
permitirá a autenticação mútua entre os servidores autoritativos, além da garantia da troca
segura de informações de zonas e seus conjuntos de DNS's associados. Tal
implementação permite combater ataques como o DNS POISONING.
Gabarito: B
Negação de Serviço (Denial of Service – DoS)
Este tipo de ataque busca comprometer o princípio de Segurança conhecido como

disponibilidade. Assim, efetua-se o ataque para “tirar” um serviço do ar.
Para se retirar um serviço do ar, deve-se esgotar algum tipo de recurso de determinado sistema
que inviabilize o atendimento de novas requisições. Isso pode acontecer por uma
indisponibilidade total (desligamento ou travamento de sistemas), ou com funcionalidade
intermitente, de tal modo que o sistema fique tão lento que inviabilize sua utilização.
Este tipo de ataque pode se dar das seguintes formas:
• Envio de um grande volume de requisições para um serviço específico (como acesso à

uma página WEB), consumindo seus recursos de processamento, quantidade de sessões
suportadas, banda de internet, memória, disco, entre outros;
• Exploração de vulnerabilidade em programas causando sua indisponibilidade.
Ano: 2022 Banca: FGV Órgão: MPE-GO Prova: FGV - 2022 - MPE-GO - Assistente Programador

André Castro
Aula 01
Um cibercriminoso tentou obstruir o acesso ao portal institucional de uma empresa sobrecarregando os

servidores web com muitas requisições HTTP simultâneas, de forma a deixar os servidores e site lento e
indisponível para acesso.
Esse tipo de ataque cibernético que inunda servidores da Web com solicitações que impedem a conexão
de seus usuários regulares é denominado
A Decoy.
B DMA.
C DoS.
D Trojan.
E Ransomware.
Comentários:
Conforme vimos, certo pessoal? Diversos são os modos de ataques DoS. Um deles, e o mais tradicional, é
tentar abrir sessões legítimas via HTTP, por exemplo, no servidor vítima.
Gabarito: C
Ano: 2022 Banca: FGV Órgão: MPE-GO Prova: FGV - 2022 - MPE-GO - Assistente Programador
A empresa ABCTech, especializada em segurança da informação, anunciou o lançamento de um

produto para proteção corporativa com a promessa de segurança inviolável. Durante o lançamento do
produto, o site da empresa ficou indisponível para acesso devido a um grande número de acessos,
impedindo que futuros clientes conhecessem a nova tecnologia. Simultaneamente, os canais de TV que
divulgavam a propaganda do produto tiveram seus sites invadidos nos quais foram postadas
informações de que o site da empresa ABCTech estava sob ataque impedindo a divulgação do novo
produto.
A técnica de ataque utilizada para indisponibilizar o site da empresa ABCTech éA spoofing.
B denial of service (DoS).
C defacement.
D brute force.
E sniffing.
Comentários:
Vemos claramente a descrição do ataque do tipo Negação de Serviço, onde há um volume de tráfego
concentrado para "tirar" o site ou serviço do ar.

André Castro
Aula 01
Gabarito: B
Negação de Serviço Distribuído (Distributed Denial of Service)
Tem os mesmos princípios do ataque DoS, porém, é tratado de forma coordenada e distribuída,
sejam por computadores envolvidos de forma voluntária ou de forma involuntária (zumbis).
O mais usual é o segundo método. Assim, antes de efetuar esse tipo de ataque, um atacante
precisa controlar uma rede de computadores zumbis, muitas vezes chamadas de botnets. Desse
modo, o atacante envia o comando para que todos os dispositivos controlados enviem requisições
de forma simultânea a um host específico (vítima), gerando indisponibilidade do serviço.
Este tipo de ataque tem um alto grau de sucesso devido à grande dificuldade de se detectar e
reagir a tempo a esse tipo de ataque. Na maioria das vezes a ação é reativa com vistas a mitigar
o prejuízo.
A principal reação se dá através do contato com a operadora responsável pelo provimento do

acesso à Internet com vistas a bloquear determinada região ou rota BGP que está originando
esse grande volume de requisições.
A figura abaixo nos traz uma representação visual de um ataque do tipo DDoS:
Ataques mais elaborados e robustos de DDoS acabam por construir redes hierárquicas com
controles descentralizados, gerando um volume ainda maior. A imagem abaixo nos apresenta
esse cenário:

André Castro
Aula 01
(FCC – TRF – 1ªRegião/Técnico Judiciário – Informática/2014) Quando um site importante

usa um único servidor web para hospedá-lo, esse servidor se torna vulnerável a ataques.
Um destes ataques tenta sobrecarregar o servidor com um número muito grande de
requisições HTTP coordenadas e distribuídas - utilizando um conjunto de computadores
e/ou dispositivos móveis - fazendo com que o servidor não consiga responder às
requisições legítimas e se torne inoperante. Este tipo de ataque é conhecido como
a) broadcast flood.
b) DDoS.
c) XSS.
d) ACK flood.
e) DoS.
Comentário:
Pessoal, se falamos de indisponibilidade via sobrecarga no servidor, falamos de negação de

serviço. Entretanto, devemos buscar entender se falamos de um simples DoS, ou um ataque mais
elaborado de DDoS. Assim, quando encontramos o trecho “número muito grande de
requisições HTTP coordenadas e distribuídas” temo uma característica clássica de ataque
DDoS.
Gabarito: B

André Castro
Aula 01
Um ataque específico de DDoS que surge para aumentar ainda mais o poder de fogo é o DRDoS
ou DDoS Refletor. A ideia é utilizar zumbis para enviar requisições com endereços forjados para
usuários legítimos e não infectados. Entretanto, devido ao IP forjado gerado pelos zumbis, os
hosts legítimos encaminham o tráfego (resposta às requisições) à vítima, algo semelhante ao que
vimos no SMURF ATTACK.
Entretanto, com o volume, tem-se um poder de fogo muito maior. Percebam que o ataque,
diferentemente do DDoS padrão, não ocorre de forma direta dos zumbis para a vítima, e sim, por
intermediários que funcionam como refletores. A figura abaixo nos apresenta uma comparação
entre os três tipos:

André Castro
Aula 01
Vamos falar um pouco mais sobre as principais medidas que podem ser adotadas frente a
ataques do tipo DDoS. Há de se mencionar, que nem toda medida é absoluta de tal forma que a
junção de várias delas torna o sistema mais robusto. Como vimos, o DDoS busca esgotar
recursos de determinadas formas, seja no processamento, consumo de memória, banda, entre
outros.
Portanto, ao se evitar pontos únicos de falha, ou seja, possíveis gargalos, inevitavelmente obtém-
se um ambiente mais robusto.
As principais técnicas e medidas são:
• Superestimar recursos de rede (largura de banda) e recursos computacionais: A ideia

é ter cada vez mais largura de banda e recursos computacionais de tal modo que exigirá
ainda mais potência nos ataques de DDoS para esgotar os recursos. Entretanto, é uma
solução um tanto cara manter recursos dessa forma, principalmente, considerando que
estes ficarão ociosos em condições normais. Por esse motivo, acaba se tornando inviável
muitas vezes.
• Estabelecimento de padrões de tráfego: Monitorar o fluxo e traçar perfil de acesso e

utilização permite aos gerentes de rede bloquearem acessos que fogem ao padrão. Além
disso, pode-se determinar marcos específicos como uma Baseline de comportamento que
permite uma reação de forma mais rápida em caso de comportamento estranho.
Entretanto, esse tipo de operação pode gerar falsos positivos, ou seja, tráfego legítimos
que possuem um caráter de exceção e serão tratados como possíveis ataques.

André Castro
Aula 01
• Encaminhar o tráfego inválido para “buracos negros”: Como o perfil desses ataques
geralmente utilizam requisições falsas ou incompletas ao servidor, busca-se descartar ou
desconsiderar esse tipo de tráfego. Para tanto, pode-se redirecioná-los por rotas nulas,
chamadas de “buracos negros”. Como não há a resposta de informação de que os pacotes
estão sendo descartados, dificulta-se a ação alternativa por parte dos atacantes.
Há de se mencionar que atacantes mais experientes já possuem pleno conhecimento

dessas técnicas e não esperam uma resposta nos casos de rotas inválidas. Essa técnica
visa simplesmente à mitigação dos danos provenientes desse tipo de ataque.
• Utilização de serviços de distribuição de conteúdo: Focado em reduzir a carga de um

eventual ataque, pode-se utilizar serviços específicos de fornecimento de conteúdo
(CDN’s). Assim, pode-se manter informações específicas nas CDN’s de modo a desonerar
o consumo de recursos nos servidores principais da aplicação. Entretanto, devido ao
volume a ser utilizado, também pode se tornar inviável em termos financeiros.
• Hardening de Sistemas: A configuração segura com vistas a eliminar possíveis

vulnerabilidades de sistemas operacionais e serviços. Assim, pode-se tornar o ambiente
mais robusto e menos suscetível a esse tipo de ataque.
Temos um link muito bacana gerado pelo CERT dos Estados Unidos que traz uma visão geral a
respeito do DDoS, desde suas principais técnicas de implementação e contramedidas.
Recomendo a leitura do artigo de apenas três páginas:
https://www.us-cert.gov/sites/default/files/publications/DDoS%20Quick%20Guide.pdf
Ano: 2021 Banca: CESPE / CEBRASPE Órgão: PG-DF Prova: CESPE / CEBRASPE - 2021 -
PG-DF - Analista Jurídico - Analista de Sistema - Desenvolvimento de Sistema
A fim de evitar um ataque de DDoS, um procedimento apropriado é identificar padrões de

comportamento suspeitos e, então, aplicar filtros aos pacotes cujas características indicam
risco de ataque.
Comentários:
Sem dúvida pessoal é uma tentativa válida, com vistas a tentar antecipar. Cumpre destacar que
este tipo de ataque é muito rápido, tendo um aumento volumetria de forma exacerbada. Com isso,
naturalmente, tem-se a sobrecarga dos sistemas e serviços, além das máquinas e links utilizados.
Vale ressaltar que para gerar indisponibilidade, basta o prejuízo em algum destes recursos.
Gabarito: Certo

André Castro
Aula 01
SPIM (Spam over Instant Message)
O tão conhecido SPAM possui uma variação para serviços de mensagem instantânea.
Chama-se SPAM via IM. Nesse caso, os indivíduos mal-intencionados utilizam dois métodos de
transferência de código malicioso. Eles podem enviar um arquivo com vírus, trojan ou spyware, ou
podem fazer uso de engenharia social. Uma vez que o código é executado, o usuário poderá ter
sua lista de contados violada e roubada, propagando o ataque para outros usuários.
Ataques de Engenharia Social
A partir da enganação da vítima por meio social, pode-se obter informações privilegiadas para se
gerar ataques. Existem várias técnicas que usam a engenharia social, quais sejam:
• Vishing – Trata-se de uma prática em que o sujeito que inicia um ataque vai fazer uso de
um sistema telefônico (VoiP, por exemplo) para ter acesso a informações pessoais da
vítima;
• Phishing ou Spear Phishing – Conforme já vimos;
• Hoax – Trata-se de uma mentira que, quando divulgada por veículos de disseminação em
massa, pode parecer verdade. Essa disseminação pode utilizar os diversos meios de
comunicação.
• Whaling – São ataques altamente direcionados com vistas a ludibriar executivos do alto
escalão de uma organização.
Marina recebeu uma ligação de um suposto funcionário que dizia estar fazendo uma
pesquisa sanitária sobre uma pandemia. Marina passou suas informações pessoais e
profissionais, que permitiram ao falso funcionário acessar um sistema com suas
credenciais. A técnica empregada pelo falso funcionário para conseguir as informações de
Marina é:
A poisoning;
B flooding;
C engenharia social;
D suborno;
E sniffer.
Comentários:
Conforme vimos, temos justamente o principal ataque de partida para obtenção de informações
sensíveis ou importantes junto à empresa vítima. Com a Engenharia Social, é possível encurtar,
sobremaneira, o esforço de realização de um ataque a qualquer ambiente operativo de TI.

André Castro
Aula 01
Gabarito: C
Sequestro de dados - Ransomware
Um ataque que tem ganhado cada vez mais expressão é o de sequestro de dados. Neste tipo de
ataque, o atacante obtém acesso privilegiado ao sistema da vítima e realiza criptografia dos
dados da vítima. Assim, os dados passam a estar inacessíveis, dependendo da inserção da
chave criptográfica para decriptar os dados.
O atacante então exige um valor a ser pago para disponibilização da chave à vítima para que ela
possa acessar seus dados novamente.
Além disso, o atacante geralmente agrega ameaças de destruição dos dados e que o “resgate”
deve ser pago em um período específico, geralmente, 3 dias.
A imagem a seguir representa um exemplo desse tipo de ataque:
FCC /TJ-SC/2021

André Castro
Aula 01
Considere que, por hipótese, determinada empresa do ramo de soluções para redes de
computadores está negociando com uma empresa-cliente a instalação de um software que
proteja contra o sequestro de dados, situação que ocorre quando um computador é
invadido por um malware que criptografa arquivos do disco da máquina e exige um resgate
em dinheiro virtual ou físico para descriptografar e liberar os dados para uso novamente.
Tendo em vista tais dados, esse software em negociação tem, a princípio, a função de
A antispam.
B antispyware.
C detecção de intrusão.
D defesa de ransomware.
E filtro de rede local com lista de acesso.
Comentários:
Pessoal, na prática, não há uma receita de bolo ainda por causa das características diversas dos
ataques. Então tais soluções, na prática implementam um conjunto de recursos e serviços, que,
de forma conjugada, atuam para tentar mitigar riscos de ataques de ransomware, e por isso
carregam a marca de anti-ransomware.
Gabarito: D
CESPE / CEBRASPE - 2020 - TJ-PA - Analista Judiciário - Análise de Sistemas (Suporte)
Assinale a opção que indica o tipo de ataque mais comumente utilizado como precursor
para viabilizar ataques de ransomware contra estações de trabalho de usuários.
A DDoS (distributed denial of service)
B procedimento de defacement
C ataque de phishing
D keylogger
E vírus
Comentários:
Importante sempre reforçarmos essa percepção de que ataques são gerados em conjunto com
múltiplas técnicas, ferramentas e recursos. Nesse sentido, para que um Ransomware realize sua
prática, é preciso entrar na rede da organização. E como principais técnicas, tem-se os Trojan
Horses e Phishings. Falaremos sobre esses malwares mais a frente.

André Castro
Aula 01
Gabarito: C
FGV - 2022 - TRT - 13ª Região (PB) - Técnico Judiciário - Tecnologia da Informação
Paola recebeu um e-mail que continha um anexo desconhecido. Ao tentar fazer o download desse
anexo, um código malicioso que criptografou os arquivos do sistema foi executado.
Em seguida, Paola recebeu uma notificação de que seus dados estavam inacessíveis e que seria
necessário um pagamento de resgate para restabelecer o acesso.
É correto afirmar que Paola foi vítima de
A Adware.
B DDoS.
C MITM.
D Spoofing.
E Ransomware.
Comentários:
Mais uma questão para reforçar o conceito.
Gabarito: E
FGV - 2022 - TRT - 13ª Região (PB) - Analista Judiciário - Tecnologia da Informação
O software malicioso que toma como refém informações pessoais ou corporativas e que
depende do pagamento de uma quantia em dinheiro ou bitcoins para a liberação desses se
denomina
A swindling.
B rootkit.
C adware.
D ransomware.
E scareware.
Comentários:

André Castro
Aula 01
Mais uma vez a referência ao ataque Ransomware de forma objetiva e simples.
Gabarito: D
MALWARES
Avançando um pouco mais a nossa conversa, vamos discutir diversos termos e nomes que
caracterizam os mais diversos ataques.
Vamos começar trazendo a definição de um MALWARE. Nada mais é do que um software

malicioso, dando origem ao termo em questão (MALICIOUS SOFTWARE).
Desse modo, podemos perceber que um MALWARE é o conceito mais genérico no que tange a
ataques a rede. Podemos ter MALWARES com o objetivo de roubar dados, roubar identidades,
traçar perfis, gerar danos aos hardwares e sistemas, entre muitas outras hipóteses. Assim,
apresentarei a vocês os tipos de MALWARES mais conhecidos e cobrados em prova. Antes
disso, é importante termos em mente algumas formas que esses MALWARES infectam os
dispositivos:
• Exploração de vulnerabilidades intrínsecas em programas:

o Aqui temos a importância de manter programas atualizados e sempre utilizar
programas legítimos.
• Pela execução automática de mídias removíveis infectadas, como pen-drive:

o Recomenda-se desabilitar a auto execução de mídias para evitar este tipo de
ataque. Caso tenha um arquivo infectado, ele dependerá de execução para se
propagar, ou seja, sem a auto execução, já teremos um fator de dificuldade para o
sucesso do MALWARE;
• Pelo acesso a Páginas Web Maliciosas:

o Vários pontos podem ser explorados ao se acessar uma página desse tipo, seja
através da exploração de vulnerabilidade do próprio Browser, ou downloads de
arquivos infectados, entre outros;
• Pela ação direta de atacantes que ao invadir os computadores, inserem códigos e

programas indesejados;
o Devemos ter senhas de acesso mais complexas, controlar as portas de acesso aos
dispositivos, entre outras técnicas que dificultam o acesso indevido às máquinas. A
esses procedimentos damos o nome de HARDENING. Ou seja, busca-se
“endurecer” o servidor de tal forma que ele não fique tão vulnerável;
Vamos conhecer então os principais tipos de MALWARES existentes e suas características.

André Castro
Aula 01
VÍRUS
Esse tipo de Malware nada mais é do que um código que pode ser representado por um
programa ou parte de um programa com a capacidade de gerar cópias de si mesmo e se
inserindo em outros programas ou arquivos, além de executar tarefas específicas no computador
da vítima como deleção de arquivos, instalação de outros programas, redução de configurações
de segurança, desestabilização do sistemas e ocupação de espaço de armazenamento.
Um termo chave do VÍRUS é que este depende de uma ação direta do usuário ou do SO em
termos de execução do programa ou abertura de um arquivo infectado. Então o simples fato do
arquivo está no seu computador não implica que você tenha necessariamente sido infectado.
O principal meio utilizado para propagação é a própria Internet ou mídias removíveis, como
pen drives. E aqui temos uma dica de segurança: não devemos deixar ativado a auto execução
de arquivos seja através de downloads da Internet ou na inserção de mídias removíveis no
computador.
Existem alguns conceitos que categorizam os vírus em tipos conforme a sua forma de ação. Para
não deixarmos lacunas, vamos verificar quais são:
Vírus de Boot: Infecta a área de inicialização dos sistemas operacionais, também

conhecido como MBR (Master Boot Record) do disco rígido. Esse tipo de vírus
não corrompe arquivos específicos, mas sim, todo o disco. Os antivírus comuns
de sistemas operacionais não são capazes de detectar esse tipo vírus, sendo
necessário uma varredura antes da inicialização do sistema para sua detecção.
Vírus de Arquivo: Infecta arquivos de programas executáveis, geralmente, nas

extensões .EXE e .COM. Ao se executar o referido programa, ativa-se o vírus.
Vírus Residente: Este é carregado diretamente na memória RAM do SO toda vez

que o SO é iniciado. Este tipo de vírus pode ser extremamente danoso,
bloqueando acessos à memória RAM, interromper determinados processos e
funções a serem executadas e inclusive, alterar tais funções para fins maliciosos.
Vírus propagado por e-mail: recebido como um arquivo anexo a um e-mail cujo
conteúdo tenta induzir o usuário a clicar sobre este arquivo, fazendo com que seja
executado. Quando entra em ação, infecta arquivos e programas e envia cópias
de si mesmo para os e-mails encontrados nas listas de contatos gravadas no
computador.
Vírus de script: escrito em linguagem de script, como VBScript e JavaScript, e

recebido ao acessar uma página Web ou também por e-mail, como um arquivo
anexo ou como parte do próprio e-mail escrito em formato HTML. Pode ser
automaticamente executado, dependendo da configuração do navegador Web e
do programa leitor de e-mails do usuário.
Vírus de macro: tipo específico de vírus de script, escrito em linguagem de macro

(série de comandos e instruções que podem ser agrupadas em um simples
comando), que tenta infectar arquivos manipulados por aplicativos que utilizam

André Castro
Aula 01
esta linguagem como, por exemplo, os que compõe o Microsoft Office (Excel,
Word e PowerPoint, entre outros). Geralmente são escritas em linguagens como
Visual Basic para Aplicações (VBA) e ficam armazenadas nos próprios
documentos. Este é o motivo das MACROS serem bloqueadas nativamente por
estes programas devendo o usuário habilitá-la manualmente para macros
legítimas.
Vírus de telefone celular: vírus que se propaga de celular para celular por meio
da tecnologia bluetooth ou de mensagens MMS (Multimedia Message Service). A
infecção ocorre quando um usuário permite o recebimento de um arquivo
infectado e o executa. Após infectar o celular, o vírus pode destruir ou
sobrescrever arquivos, remover ou transmitir contatos da agenda, efetuar ligações
telefônicas e drenar a carga da bateria, além de tentar se propagar para outros
celulares.
Assim, o Vírus busca manter-se indetectável para se propagar ao máximo nos programas de um
computador.
Nesse contexto surgiu o conceito de Vírus Stealth, um malware que evita a sua detecção
através de técnicas de programação.
Além disso, tem-se ainda os chamados vírus metamórficos e polimórficos, que são executados
e automaticamente conseguem transformar-se, ou seja, modificam seu próprio código ou
assinatura, dificultando e adiando a detecção da ameaça pelo antivírus.
Neste contexto, algumas bancas já estão tratando a especificidade dessas categorias, de tal
modo que carece um detalhamento, senão vejamos:
• Também referenciado como mutante

• Adota diferentes formas a cada infecção com foco em não ser
identificado pelo antivírus
Polimófico • Altera sua assinatura, mantendo suas funcionalidades e
alterando apenas o seu padrão de bits
• Também pode se alterar a cada infecção

• Pode mudar seu tamanho, característica e inclusive
comportamento, aumentando a dificuldade de
Metamórfico detecção
• Não muda somente sua assinatura, mas também sua
funcionalidade

André Castro
Aula 01
CESPE / CEBRASPE - 2020 - TJ-PA - Analista Judiciário - Análise de Sistemas (Suporte)

Um vírus do tipo polimórfico é um vírus que se
A conecta a arquivos executáveis e se replica quando o programa infectado é executado.
B aloja na memória principal como parte de um programa residente no sistema.
C transforma a cada infecção, o que impossibilita a detecção pela assinatura do vírus.
D espalha quando o sistema é inicializado, por infectar um registro-mestre de inicialização.
E reescreve a cada interação, podendo mudar seu comportamento e aparência, o que aumenta a
dificuldade de detecção.
Comentário:
Conforme acabamos de ver, tem-se o foco na mutação do vírus para tentar se esconder do
antivírus. Vimos que há uma distinção entre vírus Polimórfico e Metamórfico. O primeiro, tem foco
na mudança de sua assinatura, que, de fato, impede sua detecção com base em assinatura, mas
é possível por meio de comportamento.
Já a opção E, traz as características de um vírus Metamórfico.
Gabarito: C
WORM
Outro malware muito comum é o WORM. Este possui como principal característica a capacidade
de se propagar pela rede de computadores através do envio de cópias de seu código a
outros dispositivos. Além disso, o Worm busca explorar vulnerabilidades específicas dos
sistemas, diferentemente do Vírus.
Devido ao seu grande poder de propagação na rede, acaba por gerar um grande consumo de
processamento e banda, prejudicando bastante a qualidade dos sistemas e da rede. Pode ter
uma propagação a nível global ao longo da Internet nos casos da existência de vulnerabilidades
presentes nos mais diversos sistemas.
PG-DF - Técnico Jurídico - Tecnologia e Informação

André Castro
Aula 01
Um programa malicioso do tipo worm não pode ser considerado um vírus, uma vez que os
worms não se replicam automaticamente.
Comentários:
A questão está parcialmente correta, ao afirmar que o tipo de worm não pode ser considerado um
vírus. Agora o segundo ponto, tem um erro, pois os worms são sim capazes de se multiplicarem
de forma automática.
Gabarito: E
CESPE / CEBRASPE - 2022 - BANRISUL - Analista de Segurança da Tecnologia da

Informação
O worm se diferencia do vírus pelo fato de se propagar por meio da inclusão de cópias de
si mesmo em outros programas ou arquivos, consumindo, assim, muitos recursos
computacionais.
Comentários:
Temos uma descrição de característica do Vírus. Ele não depende de outros programas para se
propagar.
Gabarito: E
CESPE/PCAL/2021
A grande diferença entre vírus e worms está na forma como eles se propagam: o vírus, ao
contrário do worm, não se propaga por meio da inclusão de cópias de si mesmo em outros
programas, mas pela execução direta de uma de suas cópias.
Comentários:
Para consolidar de vez esse entendimento. Aqui temos uma inversão dos conceitos. O WORM
não se propaga por meio da inclusão de cópias de si mesmo em outros programas, mas pela
execução direta de uma de suas cópias.
Gabarito: E

André Castro
Aula 01
SPYWARE
Este tipo de malware foca na obtenção de informações de um host ou sistemas através do

monitoramento de suas atividades. Assim, pode-se enviar informações a um terceiro qualquer
para consolidar os dados obtidos e tentar coletar informações relevantes para outros fins.
Assim como já vimos anteriormente, pode ser dividido em uso legítimo e malicioso. O primeiro,
pode ser instalado pelo próprio usuário para monitorar ações em seu dispositivo por outros
usuários ou ainda com o consentimento deste para monitoramento de uma instituição de
trabalho, por exemplo.
Já o modo malicioso fere o princípio da privacidade da pessoa ou do usuário, podendo ser

obtidas senhas de acesso e outras informações privilegiadas.
Ainda em relação ao spyware, podemos categorizá-lo em espécies divididas tanto pela sua
finalidade como pela forma de obtenção dos dados. Vamos alguns dos principais:
Keylogger: capaz de capturar e armazenar as teclas digitadas pelo usuário

no teclado do computador. Sua ativação, em muitos casos, é condicionada a
uma ação prévia do usuário, como o acesso a um site específico de comércio
eletrônico ou de Internet Banking.
Por esse motivo, foi desenvolvido o teclado virtual, de tal modo que o usuário não
necessita digitar senhas diretamente em sem teclado, mas sim, através de cliques
do mouse. Assim, caso haja um Keylogger na máquina do usuário, este não será
capaz de coletar as informações digitas.
Screenlogger: similar ao Keylogger é capaz de armazenar a posição do cursor

e a tela apresentada no monitor, nos momentos em que o mouse é clicado,
ou a região que circunda a posição onde o mouse é clicado. É bastante utilizado
por atacantes para capturar as teclas digitadas pelos usuários em teclados
virtuais, disponíveis principalmente em sites de Internet Banking. Desse modo,
podemos considerar inclusive como sendo uma evolução do Keylogger.
Para evitar este tipo de ataque, foi desenvolvido teclados virtuais que
“embaralham” os caracteres em cada acesso, ou seja, a sequência de digitação
da senha nunca será a mesma, inviabilizando, portanto, a dedução dos números
e letras pela posição do teclado virtual.
Adware: projetado especificamente para apresentar propagandas

direcionadas ao perfil do usuário. Pode ser usado para fins legítimos, quando
incorporado a programas e serviços, como forma de patrocínio ou retorno
financeiro para quem desenvolve programas livres ou presta serviços gratuitos
(como o google adwords). Aqui, muitos usuários não concordam com essa política
do google, entretanto, ao instalar seu navegador ou SO ou outros sistemas,
muitos de nós damos o devido consentimento ao marcar a opção “Eu li e aceitos
os termos. ”

André Castro
Aula 01
Também pode ser usado para fins maliciosos, quando as propagandas

apresentadas são direcionadas, de acordo com a navegação do usuário e sem
que este saiba que tal monitoramento está sendo feito.
Alguns Adwares mais complexos e danosos possuem a capacidade de sequestrar

e invadir os navegadores dos usuários. Assim, altera-se páginas iniciais de
acesso, mecanismos de pesquisas, redirecionamentos automáticos, entre outros,
com a finalidade de controlar, até certo ponto, a navegação do usuário.
Importante delimitar a ação desse tipo de ataque, pois a finalidade não é criar
zumbis ou inserir vírus, entre outros.
João administra uma rede de computadores com muitos sistemas de informação cujas
operações são de acesso restrito, pois contém informações confidenciais. Nos últimos
meses, João recebeu diversos relatos de ataques de keylogger e screenlog. Diante desse
cenário, João deve proteger a sua rede de ataques do tipo:
A worm;
B spyware;
C botnet;
D zumbi;
E remote access trojan.
Comentários:
Pessoal, sem muito o que acrescentar por aqui. Na prática, temos as variantes de SPYWARE,
com o KeyLogger e Screenlog.
Gabarito: B
FGV – Auditor de Controle Externo – Tecnologia da Informação (TCE-TO)/2022
João acessou a sua conta bancária digitando a senha no seguinte teclado virtual:

André Castro
Aula 01
Alguns dias depois, João percebeu que sua conta foi acessada por terceiros.
O ataque spyware que João sofreu foi:
a) Adware;
b) Rootkit;
c) Backdoor;
d) Keylogger;
e) Screenlogger.
Comentários:
Muita atenção pessoal. A questão retrata um cenário onde houve uma interação de inserção de
informação por meio da tela com o ponteiro do mouse. Assim sendo, para se violar a vítima,
nesse caso, deve-se monitorar as ações realizadas na tela do dispositivo. Logo, estamos falando
de um ScreenLogger.
Gabarito: E
Ano: 2021 Banca: FGV Órgão: FUNSAÚDE - CE Prova: FGV - 2021 - FUNSAÚDE - CE -
Tecnólogo de Suporte Operacional em Hardware e Software
As ameaças virtuais representam riscos a qualquer computador conectado à internet. Os
softwares que realizam ações maliciosas, publicidade indevida, coleta de informações
pessoais ou alteração da configuração do computador, sem o consentimento do usuário
são denominados
A) Trojan
B) Spywares
C) Ransonware
D) Worm
E) DDoS
Comentários:
Questão bem direta a respeito do Spyware e suas diversas capacidades de obter dados dos
usuários. Veja que a questão abstrai o detalhamento do malware Adware, ao afirmar que gera
publicidade indevida, tratando tudo como um grande malware do tipo Spyware.
Gabarito: B

André Castro
Aula 01
Ainda que um spyware já tenha sido instalado e esteja ativo em um computador, o uso do
firewall é uma medida de detecção da presença desse malware.
Comentários:
Uma questão muito bem elaborada pelo CESPE, que exige análise e cuidado do candidato, para
não se limitando aos conceitos, mas incorporando a dinâmica do ataque.
Em que pese o objetivo do firewall, para essa situação, não seja impedir a entrada do malware,
mas sim para gerenciar o tráfego interno gerado pelo SPYWARE para envio até algum serviço
externo do atacante.
E é justamente nesse ponto que entra o firewall, reconhecendo esse tráfego de saída sem lastro
em outras requisições, e alertado o administrador que tem um tráfego estranho na rede, que está
enviando dados dos elementos de origem.
Gabarito: Certo
CAVALO DE TRÓIA (TROJAN)
Cavalos de Tróia são programas que entram no sistema operacional com outros programas
escondidos dentro de si. Assim, o usuário recebe um programa imaginando que este foi
desenvolvido para determinado propósito, porém, escondido dentro dele, há um código malicioso.
Um detalhe a ser observado é que, de fato, o programa principal executará as operações
esperadas trazendo alguma credibilidade ao usuário para que ele não desconfie.
Típicos cavalos de Tróia que são amplamente divulgados são programas para “craquear”
produtos originais através da geração de códigos ou números de série.
Outros tipos bastante difundidos são aqueles mascarados sobre produtos desenvolvidos para
aumentar o desempenho de seu computador ou até mesmo antivírus ou antimalwares. Ele de fato
pode realizar buscar e achar aspectos legítimos, porém, sempre mascarando seu verdadeiro
propósito com algum malware.
Outro ponto a se observar é que o cavalo de Tróia não se restringe a esconder um único tipo de
malware. Pode carregar diversos tipos, sejam simultâneos ou não.
BACKDOOR
Este tipo de código malicioso busca gerar algum meio para acesso futuro de um atacante. A
ideia aqui não é somente invadir um sistema, mas manter o acesso. Então após alguma invasão,
como por exemplo, um cavalo de Tróia, o atacante instala um backdoor que abrirá alguma porta
no dispositivo para acesso futuro, podendo agregar outros códigos e tomar controle total da
vítima.
FCC /TJ-SC/2021
Ao analisar a rede do Tribunal de Justiça de Santa Catarina, hipoteticamente, um Analista
de Sistemas percebeu a existência de um programa com código malicioso que combinava

André Castro
Aula 01
as características de dois outros códigos maliciosos conhecidos, o que permitia ao

atacante acessar o equipamento remotamente e executar ações como se fosse o usuário.
Esse programa, conhecido pela sigla RAT, combina as características de
A trojan e de backdoor.
B bot e de ransomware.
C botnet e de spyware.
D rootkit e de screenlogger.
E zombie e de worm.
Comentários:
Temos aí a descrição das funcionalidades de um TROJAN HORSE, que congrega a perspectiva
original do software, no sentido do serviço que ele provê, mas ao mesmo tempo, tem-se
internalizado um código malicioso para realizar outra ação não autorizada.
Ainda, a questão traz a perspectiva do acesso remoto posterior, garantindo o retorno do atacante.
Nesse aaspecto, temos justamente a característica de uma BackDo
Gabarito: A
ROOTKIT
É um tipo de malware que tem se popularizado bastante pela sua efetividade de invasão e
controle, além da dificuldade de detecção. O ROOTKIT é um conjunto de programas e técnicas
que permite esconder e assegurar a presença de um invasor ou de outro código malicioso
em um computador comprometido. Percebam que seu foco não é na invasão em si, mas
sim na manutenção do acesso indevido. Busca realizar operações como:
1. Remover evidências de registros em arquivos de logs;
2. Instalar outros códigos maliciosos, como backdoors;
3. Esconder atividades e informações como arquivos, diretórios, processos, entre

outros;
4. Mapear potenciais vulnerabilidades a serem exploradas em outros

computadores na rede a qual a vítima está inserida e capturar informações
através da interceptação de tráfego;

André Castro
Aula 01
Tais ações são possíveis após a invasão e escalada de privilégios em um Sistema Operacional,
obtendo o maior nível de acesso possível em um computador. Nos casos de ambientes UNIX,
temos o modo ROOT. Para ambientes Windows, temos o modo SYSTEM.
Diversos tipos de Rootkits podem ser carregados em um sistema, como por exemplo:
- Kernel Rootkits (carregado no Kernel do SO);
- Virtual Rootkits (Agem na camada de virtualização de um sistema);
- Firmware Rootkit (Agem nos componentes de hardware, como placas de vídeo, controladoras,
etc);
- Library Rootkit (Carregado no módulo de bibliotecas de um SO).
Kernel Rootkits • Carregado no Kernel do SO
Virtual Rootkits • Agem na camada de virtualização de um sistema
Firmware Rootkit • Agem nos componentes de hardware, como placas de

vídeo, controladoras, etc
Library Rootkit • Carregado no módulo de bibliotecas de um SO
Carlos recebeu um e-mail que parecia pertencer ao seu banco e, sem perceber, baixou e
instalou um software malicioso no seu computador. A partir desse software, um criminoso
cibernético passou a ter o controle do computador de Carlos. O software malicioso
instalado no computador de Carlos é:
A phishing;
B DoS;
C ransomware;
D rootkit;
E sandbox.
Comentários:

André Castro
Aula 01
Vejam que a questão traz uma visão genérica no sentido de se obter controle para realizar ações
diversas, inclusive, apagando lastro das ações realizadas com eventuais escalação de privilégios.
Gabarito: D
Se um rootkit for identificado como ativo no sistema operacional de um computador, na
forma de um malware, a solução técnica que deverá estar presente com alta prioridade é a
de formatar e reinstalar todo o sistema operacional a partir do zero.
Comentários:
Dado o alto poder de impacto pessoal, bem como a perda de controle da máquina e da gestão
dos usuários, sem dúvida, uma prática mais radical, mas que garanta uma maior segurança, é
realizar tal procedimento.
Gabarito: Certo
CESPE /Analista em TI/2022

Rootkit, é um conjunto de programas e técnicas que permite esconder e assegurar a
presença de um invasor ou de outro código malicioso em um computador comprometido.
Comentários:
Conforme já mencionamos, ele possui essa premissa básica de esconder e assegurar a presença
no invasor na máquina.
Gabarito: Certo
BOT e BOTNET
Já introduzimos esse conceito quando falamos de ataques DDoS. Os BOTS são programas que
permitem a comunicação e controle do invasor sobre o sistema da vítima por intermédio de
acessos remotos. Para tanto, utiliza-se de vulnerabilidades presentes nos sistemas dos
usuários. A sua propagação se dá de modo semelhante ao Worm, através da replicação de
seus códigos e envio pela rede, e-mail ou outros meios.
Desse modo, havendo o controle por parte do invasor, este poderá disparar diversos tipos de
ataques utilizando o sistema da vítima, como ataques de negação de serviço, furto de dados de
outras vítimas e envios de SPAM, contando com a dificuldades de se rastrear a origem real do
ataque.

André Castro
Aula 01
Como vimos, esses BOTS são conhecidos como zumbis (Zombies), uma vez que tal programa
fica inerte até que haja o interesse do invasor para utiliza-lo para algum fim específico.
Desse modo, ao se construir diversos controles de vários BOTS, cria-se, portanto, uma
BOTNET, ou seja, uma rede de BOTS ou zumbis. A ideia é controlar cada vez mais vítimas com
vistas a potencializar ainda mais os ataques. Essas redes são inclusive comercializadas no
mercado negro. Ou seja, caso você seja demitido de uma empresa e queira desferir um ataque
contra ela, você pode entrar em contato com algum dono de BOTNET e pagar um valor de
aluguel, por exemplo, para ter essa rede disponível para um ataque à empresa que te demitiu.
Bot é um software malicioso que, quando instalado em um computador, possui a

capacidade de controlá-lo remotamente.
Comentários:
Pessoal, vejam as sutilezas e, por vezes, a sobreposição de conceitos. No BOT, o foco é
realmente em controlar a máquina para usá-la para outras finalidades.
E aí vem o receio de confundir ou haver uma sobreposição com o RootKit. Percebam que o
Rootkit, também possui as funcionalidades básicas de BOT inseridas, mas não só, possui outras
perspectivas.
Gabarito: Certo
PG-DF - Analista Jurídico - Analista de Sistema - Suporte e Infraestrutura
O botnet consiste em
A um pedaço de código incorporado em um sistema de software.
B um tipo de malware que cria uma rede de computadores contaminados.
C um programa que realiza propositalmente atividades secundárias, não percebidas pelo usuário.
D um programa que coleta informações sobre o usuário do computador e envia essas
informações para outra parte.
E uma forma de fraude na Internet praticada comumente por meio de mensagem eletrônica.
Comentários:
Novamente, sem muito o que acrescentar, mas tão somente observar a necessidade de
instalação do Malware, em ambiente totalmente controlado por este "master" da rede.
Gabarito: B

André Castro
Aula 01
BOMBA LÓGICA
Outro tipo de malware que consiste em programas que são disparados a partir de eventos
específicos e predefinidos. Como exemplo, podemos ter uma data ou um conjunto de
caracteres digitados. Geralmente são instaladas a partir de usuários que já possuem acesso ao
sistema da vítima.
Temos uma tabela apresentada na cartilha do cert.br através do link cartilha.cert.br/malware muito
interessante que traz um resumo das principais características de alguns tipos de malware.

André Castro
Aula 01
Sendo de praxe, típicas de questão FCC, temos um copia e cola justamente da tabela. Importante
destacar que são aspectos que podem ser cobrados por outras bancas. Vejamos a questão a
seguir:
FCC - 2019 - TJ-MA - Analista Judiciário - Analista de Sistemas - Suporte e Rede
A tabela abaixo indica a forma de propagação de 5 malwares.

André Castro
Aula 01
De acordo com a tabela, os tipos de malwares numerados de I a V são, correta e

respectivamente,
A) I - Vírus; II - Bot ; III - Spyware; IV - Backdoor; V - Rootkit
B) I - Backdoor; II - Rootkit; III - Botnet; IV - Phishing; V - Worm
C) I - Adware; II - Bot; III - Worm; IV - Phishing; V - Spyware
D) I - Botnet; II - Pharming; III - Rootkit; IV - Worm; V - Backdoor
E) I - Rootkit; II - Backdoor; III - Pharming; IV - Vírus; V - Worm
Comentários:
Pessoal, realmente não tem muito o que acrescentar, a não ser demonstrar a dinâmica de
cobrança da banca, tendo como gabarito a opção A.
Gabarito: E
ATAQUE NA CAMADA DE APLICAÇÃO

Dando continuidade à nossa discussão dos diversos tipos de ataques, vamos focar agora em
ataque que acontecem na camada de aplicação do modelo OSI. Esse tipo de ataque tem crescido
bastante uma vez que não depende de conhecimento de aspectos da rede, mas tão somente uma
codificação e programação maliciosa a nível da camada 7 do modelo OSI.
Portanto, vamos conhecer os principais ataques dessa camada.
LFI – Local Files Insert ou Inclusão de Arquivo local
A sua aplicação básica acontece na tentativa de burlar as técnicas de controle de acesso por
intermédio de consultas a arquivos locais no servidor que armazenam informações. Assim, caso o

André Castro
Aula 01
atacante obtenha informações dos arquivos e consiga acessá-los, é possível inserir arquivos ou
dados em arquivos, permitindo assim o seu acesso posterior.
Essa técnica basicamente se utiliza da passagem de parâmetros em suas requisições para

manipulação no lado do servidor, geralmente com o método GET do HTTP.
RFI – Remote File Insert ou Inclusão de Arquivo Remoto
Nesse caso, o RFI utiliza de um servidor comprometido para passar inserir arquivos em outro
servidor alvo. Tal técnica se utiliza da passagem de URL do servidor comprometido para envio do
arquivo em áreas da nova vítima que suportam inserção de arquivos.
Assim, em princípio, é mais tranquilo realizar esse ataque em áreas do site que simplesmente
aceitem a entrada de arquivos e tenham códigos que permitam a inserção de URL’s como
passagem de parâmetro.
Um atacante utilizou um motor de buscas para detectar um website com componentes
vulneráveis. Ele verificou que a aplicação dinamicamente incluía scripts externos, e assim
conseguiu fazer o upload de um script malicioso hospedado em um site controlado pelo
atacante.
Esse comprometimento permitiu a alteração e remoção de páginas, bem como o sequestro
do servidor para ser utilizado como um bot de DDoS. Por fim, dados foram afetados, com
roubo de senhas e informações.
A primeira vulnerabilidade explorada, que permitiu todos esses ataques, foi
A xss.
B remote file inclusion.
C defacement.
D ransomware.
E xsrf.
Comentários:
Pessoal, vejam que a narrativa da questão traz, um passo inicial, que se desdobrou em muitas
outras ações. O destaque fica, de fato, pela função de ter realizado o UPLOAD de um script no
site. Ou seja, temos aí justamente a inserção de um código/arquivos no sistema, logo um RFI.
Gabarito: B
Cross-Site-Scripting (XSS)
O XSS é uma técnica de obter informações do usuário após este ser persuadido a entrar em um
site com scripts que são executados no computador da vítima. Uma vez que se executa tal script,
com os devidos privilégios de usuário, podem ser executadas rotinas diversas no dispositivo.

André Castro
Aula 01
Esse tipo de ataque tem crescido bastante, se tornando como um dos principais na atualidade.
Dois são os principais tipos de ataques XSS. O primeiro, é conhecido como não persistente e o
segundo, persistente.
Esses ataques exploram uma vulnerabilidade no servidor de aplicação de determinado sistema e

modificam o código inserindo código malicioso. A partir de então, todos que entrarem nesse link,
que até um primeiro momento é legítimo, será afetado.
Os ataques de XSS são frequentemente utilizados para causar danos, seja através da obtenção
de dados dos usuários, como o prejuízo de imagem da instituição que está “hospedando” o
código malicioso.
Percebam que, apesar do código residir no servidor de aplicação, a atuação do XSS não é contra
o servidor de aplicação, mas sim, aos usuários daquele serviço, onde de fato o script será
executado.
Assim, pode-se sequestrar as sessões dos usuários através de cookies, alterar códigos HTML no
lado do cliente, redirecionar usuários para sites maliciosos (phishing) e alterar os objetos para
captura de entradas de usuários.
Para se evitar esse tipo de ataque podemos extrair do guia OWASP, o seguinte.
“Deve-se separar os dados não confiáveis do ativo no navegador”.
Como exemplos, temos:
Filtrar adequadamente todos os dados não confiáveis com base no contexto

HTML (corpo, atributo, Javascript, CSS ou URL)
Criar Listas Brancas ou de entradas positivas. Entretanto, não possui uma defesa
completa, uma vez que muitas aplicações requerem caracteres especiais em sua
entrada. Tal validação deve, tanto quanto possível, validar o tamanho, caracteres,
formato, e as regras de negócio sobre os dados antes de aceitar a entrada.
Para conteúdo do tipo RICH, considere o uso de bibliotecas de auto sanitização.

Ou seja, deve-se realizar filtros que consigam remover TAGS potencialmente
danosa, validando de forma adequada as entradas de dados dos usuários.
Implementação de CSP – Content Security Policy em todo o site. ”
Podemos encontrar ainda diversas técnicas em sites especializados de segurança, o qual

correlaciono também a seguir:

André Castro
Aula 01
Para minimizar a vulnerabilidade de cross-site scripting, os desenvolvedores/proprietários de sites

devem:
Garantir que qualquer página em seu site que aceite entrada do usuário filtre as
entradas de código, como HTML e JavaScript.
Faça a varredura em busca de vulnerabilidades de aplicativos da Web e conserte-

as de acordo.
Atualize seu site e software de servidor para evitar a exploração futura de

vulnerabilidades que podem ser visadas por um ataque XSS.
Para evitar ser vítima de um ataque XSS, os usuários individuais devem:
Desativar os scripts em páginas em que eles não são necessários ou desativá-los

completamente.
Evitar clicar em links de e-mails ou postagens suspeitas em painéis de

mensagens, pois eles podem levar a páginas comprometidas.
Acessar sites diretamente digitando o URL em seu navegador, em vez de por

meio de uma fonte ou link de terceiros.
Manter o software atualizado para se beneficiar das últimas correções de bugs e

patches de segurança. Atualizar regularmente o software reduzirá
significativamente as vulnerabilidades que deixam um site ou aplicativo aberto a
ataques XSS.
Fazer a auditoria de aplicativos para determinar quais são necessários e quais

raramente são usados. Livrar-se de aplicativos que você não usa reduz o número
de vulnerabilidades potenciais.
Ainda, o XSS possui uma classificação própria, dividida em três categorias. Vejamos:
1. Cross-site scripting armazenado (XSS Persistente ou armazenado)
Tem a característica de ser o mais danoso. Envolve uma entrada do usuário direto para o
processamento em uma página web. Geralmente associada a fóruns de mensagens ou redes
sociais, por meio dos comentários e interações. O atacante, conforme vimos, injeta o código
malicioso no servidor, provedor do serviço. Essa carga está armazenada no servidor e será
processada, tão logo seja acessado, pelo cliente no navegador da própria vítima.
2. Cross-site scripting Refletido (XSS Não persistente ou refletido)
Não sendo o mais danoso, porém, o mais comum. Nesse caso, a carga não é armazenada
no servidor, e, portanto, deverá fazer parte da carga envolvida na requisição do usuário. Por isso
é conhecido como refletido, pois parte do próprio usuário, para ele mesmo. Na prática, a resposta
HTTP inclui a carga útil da solicitação HTTP.

André Castro
Aula 01
Tal processo geralmente é deflagrado por uma interação anterior da vítima com algum site
ou serviço malicioso. Por não ser um ataque persistente, o invasor precisa que a carga útil
maliciosa seja repassada a cada vítima. Vejam a diferença do XSS persistente, onde basta que a
carga útil maliciosa seja inserida no servidor, não tendo que ser propagada para cada potencial
vítima.
3. Cross-site scripting baseado em DOM - Document Object Model
Neste caso, fica associado direto ao DOM e não ao HTML. Em ataques de cross-site
scripting refletidos e armazenados, você pode ver a carga útil da vulnerabilidade na página de
resposta, mas no cross-site scripting baseado em DOM, o código-fonte HTML do ataque e a
resposta serão os mesmos, ou seja, a carga útil não pode ser encontrada na resposta. Ele só
pode ser observado em tempo de execução ou investigando o DOM da página.
Geralmente o ataque é aplicado diretamente e exclusivamente no lado do cliente, não

sendo enviada ao servidor.

A característica principal do ataque cross-site scripting (XSS) é que ele é realizado
somente de um modo: por meio do envio de códigos JavaScript pelos formulários de
cadastro de uma aplicação web com a finalidade de manipular as informações no
navegador do usuário.
Comentários:
Pessoal, conforme vimos, há os três modos: armazenado, refletido e baseado em DOM.
Gabarito: E

Um analista de TI descobriu que teve sua conta comprometida a partir de um código
javascript malicioso num site que está habituado a acessar. Ao analisar a página acessada,
identificou que existia uma vulnerabilidade que permitia que tags HTML fossem
incorporadas na seção de comentários da página, de maneira permanente.
O ataque sofrido na página foi:
a) Cross-Site Scripting (XSS) refletido;
b) Cross-Site Scripting (XSS) persistente;
c) SQL Injection;
d) LDAP Injection;
e) Decoy.
Comentários:
Pessoal, vejam que a questão descreve e ressalta a inserção do código no servidor, o que
caracteriza o tipo PERSISTENTE.
Gabarito: B

André Castro
Aula 01
Assim, para fecharmos, temos a figura a seguir que representa um pouco a dinâmica do ataque:
CESPE / CEBRASPE - 2021 - PG-DF - Analista Jurídico - Analista de Sistema -

Desenvolvimento de Sistema
Em um ataque de execução de script entre sites (XSS), as entradas de dados de um
programa interferem no fluxo de execução desse mesmo programa.
Comentários:
O Ataque XSS interferem no fluxo de execução de outros programas, que na prática, são scripts
que serão processados nos dispositivos/browsers das vítimas. O XSS propriamente dito apenas
injeta o código/script no servidor WEB que funcionará como vetor de ataque.
Uma forma de tentar tornar o item correto, seria alterar "execução" por "injeção".
Gabarito: E
(CESPE – FUNPRESP/ Área 8/2016)

Um ataque de XSS (cross site script) não permite a injeção de código em formulários HTTP.
Comentários:
Muito pelo contrário. A ideia do ataque é justamente injetar códigos, como o JAVASCRIPT, nas
páginas e formulários, para posterior captura de dados dos usuários.

André Castro
Aula 01
Gabarito: E
(2022 – FGV - SEFAZ-AM – Analista em Tecnologia da Informação) Um invasor detecta e

explora uma vulnerabilidade em um campo de formulário em uma página de uma aplicação
Web e, consegue injetar um script malicioso dentro de uma postagem em uma rede social.
Isso possibilita que qualquer usuário dessa rede social, ao visualizar tal postagem
contaminada, tenha a sua máquina infectada pelo script malicioso, que é executado
localmente.
A este ataque é dado o nome de:
(A) Database Injection.

(B) XSRF.
(C) XSS em DOM.
(D) XSS armazenado
(E) XSS refletido.
Comentário:
Conforme acabamos de ver, a respeito das características de cada um dos tipos.
Gabarito: D
CSRF (Cross-Site Request Forgery) ou XSRF
Diferentemente do XSS, o CSRF não busca obter informações ou roubar dados, mas tão somente
redirecionar ações legítimas do usuário, transformando-as, e aplicando no serviço em questão.
Assim, basicamente, em uma visão bancária, um aluno muito feliz com sua aprovação após a
leitura do material do professor André Castro, resolve fazer a transferência de R$10.000,00 para o
Professor André Castro. Entretanto, infelizmente (para mim e para a vítima), o aluno foi alvo do
ataque CSRF e agora a transferência continua acontecendo na sessão autenticada do usuário,
mas o atacante manipula a requisição e altera o destino da transferência, agora para a conta do
atacante.
Então de uma maneira genérica, podemos dizer que o ataque força a vítima a realizar ações
indesejadas em aplicações WEB nas quais está autenticada. Basicamente, a partir de engenharia
social, como envio de links, a vítima, ao clicar no link, se torna vítima em todos os ambientes no
qual está autenticado, passando a estar suscetível a qualquer manipulação das requisições.
O atacante, apesar de não conhecer a senha da vítima, consegue se utilizar das identidades dela
para gerar o ataque. É como se o atacante pegasse um cheque em branco, devidamente
assinado, mas não sabe falsificar a assinatura, ok?

André Castro
Aula 01
A seguir, uma imagem que representa o contexto de aplicação deste ataque:
Vejam que na etapa 1, há uma conexão legítima com um servidor correto. Já na etapa 2, em
paralelo, o próprio usuário acessar um outro site/serviço malicioso. Na etapa 3, ele recebe o
conteúdo malicioso, geralmente uma página, em que, ao acessar, passa a estar vulnerável. A
partir daí, já na etapa 4, o atacante é capaz de forjar as requisições a partir da etapa 1, que foi o
estabelecimento de uma conexão/sessão.
Então é nesse sentido onde um atacante consegue fazer as requisições forjadas a partir da
sessão aberta e autenticada de um usuário.
Há diversas técnicas que são implementadas para tentar mitigar os impactos e oportunidades
desse tipo de ataque. Uma delas é o recurso HSTS - HTTP Strict Transport Security.
Basicamente, sua implementação reside no estabelecimento da obrigatoriedade por parte de um

site ou serviço WEB de que suas requisições sejam realizadas por meio DO HTTPS apenas.
Muitos sites e serviços recepcionam as requisições tanto em HTTP e HTTPS. Muitas,
simplesmente implementam um redirecionamento das chamadas HTTP para a página HTTPS. E
aí está um primeiro problema. Nessa transição, o usuário está vulnerável e poder ser atacado.
Desse movo, essa técnica de segurança do HSTS simplesmente envia no cabeçalho de resposta
HTTP. Essa técnica também foi implementada para combater uma forma de ataque conhecida
como SSL STRIP ATTACK ou SSL DOWNGRADE, onde basicamente o usuário malicioso aplica
uma ataque man-in-the-middle, e, antes do estabelecimento da conexão HTTPS entre o usuário e
o servidor, ele consegue antecipar. A imagem a seguir representa essa técnica:

André Castro
Aula 01
Avançando um pouco mais na nossa discussão, sem dúvida a principal técnica atualmente
utilizada reside na criação/utilização de tokens anti-csrf. Basicamente esse token busca garantir
que o usuário autenticado é, de fato, quem deve realizar as requisições. A segurança reside na
geração desse token para cada sessão aberta a partir do nó do usuário e somente é alterado no
ato da renovação da sessão do próprio usuário.
Ainda, vou elencar algumas outras medidas de prevenção que são difundidas na WEB para que
saibam das existências, pois, sabemos que, em muitas ocasiões, a banca simplesmente realizada
a cópia desses textos.
• Exigindo um segredo, específico do token do usuário em todas os formulários de submissões

e o efeito colateral das URLs impedem o CSRF; o site do invasor não pode colocar o token
direto nas suas alegações
• Exigir que o cliente forneça dados de autenticação na solicitação HTTP mesmo se utilizado
para realizar qualquer operação com implicações de segurança (transferência de dinheiro, etc)
• Limitar o tempo de vida de cookies da sessão
• Verificando o cabeçalho HTTP Referer
• Assegurando que não há nenhum arquivo clientaccesspolicy.xml para a concessão de acesso
não intencional aos controles Silverlight
• Assegurando que não há nenhum arquivo crossdomain.xml concedendo acesso não
intencional de vídeos em Flash

André Castro
Aula 01
Em aplicações Web, a vulnerabilidade denominada CSRF (crosssite request forgery)

ocorre quando solicitações não autorizadas aum website são enviadas a partir de um
equipamento onde existe uma sessão ativa em que o website confia.
Uma forma de se proteger desse ataque é a(o)
(A) desativação do recurso HSTS.
(B) uso de cabeçalho X-Csrf-Protection nas requisições GET.
(C) uso do atributo httponly nos cookies utilizados.
(D) uso de tokens anti-csrf pela aplicação.
(E) garantia que os cookies não serão enviados em texto claro na rede.
Comentário:
Na linha do que comentamos, a melhor prática é o token anti-csrf configurado pela aplicação,
associado às sessões dos usuários. A letra A também seria uma alternativa válida caso indicada
a simples “Ativação do recurso HSTS”.
Gabarito: D

O tipo de ataque em que o atacante explora a relação de confiança que um sítio possui
com o navegador que o acessa é conhecido como CSRF (cross-site request forgery).
Comentário:
Nessa linha pessoal... O mais difícil era entender o que a banca chamou de relação de
confiança... Mas na prática, nada mais é do que uma sessão estabelecida, e já reconhecida pelas
partes envolvidas, no caso, o Browser do cliente e o serviço web.
Gabarito: C
Injeção SQL (SQL Injection)
Ataque bastante conhecido e difundido, porém, com grande nível de sucesso atualmente. Esse
tipo de ataque também explora uma vulnerabilidade da aplicação (página web, por exemplo).
Esse tipo de ataque permite que determinado usuário malicioso manipule as entradas de banco
de dados nos envios de requisições ou consultas à base de dados de alguma aplicação.
Assim, caso não haja o devido bloqueio de operações, pode-se, por exemplo, complementar um
comando de consulta a uma tabela que visa retornar uma lista, com um “DROP TABLE”, podendo
gerar perda de todos os dados ali armazenados.

André Castro
Aula 01
Caso uma aplicação permita que comandos SQL sejam digitados nos inputs de seus
formulários e concatenados diretamente nos comandos SQL da própria aplicação, sem que
seja realizada uma validação ou tratamento antecedente, certamente essa aplicação estará
vulnerável ao ataque conhecido como SQL Injection.
Comentários:
Exatamente o contexto básico e definição da vulnerabilidade associada à aplicação.
Gabarito: C
CESPE / CEBRASPE - 2022 - Telebras - Especialista em Gestão de Telecomunicações –

Engenheiro de Redes
SQL Injection é uma técnica de ataque na qual o invasor se aproveita de falhas em

aplicativos web que interagem com bases de dados para inserir uma instrução SQL
personalizada e indevida.
Para evitar essa ameaça de segurança, é necessário:
A utilizar expressões regulares para cifrar as variáveis enviadas para o sistema;
B concatenar diretamente o input do usuário com a consulta SQL;
C encapsular as entradas de dados dentro de aspas simples ao montar dinamicamente consultas

SQL;
D retornar no corpo das respostas HTTP as mensagens de erro em bancos de dados;
E validar todas as entradas de dados, como formulários ou URL da aplicação.
Comentários:
Lembrando que o ataque de SQL injection buscará viabilizar a injeção de código diretamente nas
entradas de formulários da aplicação. Então, deve-se buscar ações e práticas que mitiguem esse
espaço de atuação. Vamos aos itens:
A) A utilização de expressões regulares para controlar a entrada é sempre bem-vinda, mas não
com o propósito de cifrar as variáveis enviadas para o sistema. INCORRETO

André Castro
Aula 01
B) Essa medida causa efeito contrário. Pois justamente a concatenação desse input que
possibilita a execução do comando indevido. INCORRETO
C) Novamente, é um procedimento que causa efeito contrário, justamente por já contemplar

formatação que favorece a estrutura SQL. INCORRETO
D) Isso gera informação desnecessária que pode servir de insumo para o atacante aprimorar sua
técnica de ataque. INCORRETO
E) Aí sim, faz sentido! CORRETO
Gabarito: E
CESPE / CEBRASPE - 2022 - Telebras - Especialista em Gestão de Telecomunicações –

Engenheiro de Redes
SQL injection consiste em inserir ou manipular consultas efetuadas pela aplicação, com o
objetivo de diminuir sua performance.
Comentários:
O foco não é alterar a performance, mas sim influenciar as estruturas de dados, seja para apagar,
alterar, incluir informações diretamente nas tabelas.
Gabarito: E
Injeção LDAP (LDAP Injection)
Possui estrutura de funcionamento semelhante ao SQL injection no sentido de manipulação de

entradas.
No caso do LDAP injection, temos uma técnica para explorar aplicações web que fazem
interface com servidores LDAP sem que as informações inseridas sejam verificadas,
podendo fazer o envio de comando indesejados e ganhar acessos indevidos, podendo modificar
informações e executar comandos com acessos privilegiados.
Injeção XML (XML Injection)
Seguindo o mesmo modelo, temos agora a injeção na linguagem XML. Ocorre quando o atacante
cria um XML com entradas maliciosas explorando vulnerabilidades em sistemas que não aplicam
as validações devidas.

André Castro
Aula 01
Vulnerabilidade Dia Zero (Zero Day Vulnerability)
Como sabemos, o processo de desenvolvimento de aplicações e sistemas é extenso. Há

procedimentos de testes, homologação, betas, entre outros. Entretanto, por diversas vezes,
alguns sistemas ainda são disponibilizados com falhas ou vulnerabilidades que são descobertos
posteriormente pelo fabricante ou desenvolvedor. Assim, as vulnerabilidades existentes entre
o período da descoberta e de correção é conhecido como vulnerabilidade Dia Zero.
Buffer Overflow
Temos aqui uma clássica falha de programação que possibilita ao usuário malicioso gerar
indisponibilidade de serviços ou sistemas. A ideia básica é simples: aloca-se uma informação que
exige espaço em memória ou registradores maiores do que se suporta, gerando um travamento
da aplicação.
Um exemplo simples é na soma de número binários, por exemplo. Vamos supor que determinado
campo receba entradas para gerar respostas de soma binária. O campo de resposta, suporta
apenas 4 bits, ou seja, o maior valor suportado é 1111.
Entretanto, o que acontecerá se somarmos 1111 com 1111? Simples não? Teremos 10000! Ou
seja, necessita-se de 5 bits para representar o valor, porém, este campo só suporta 4 bits! Temos
aqui um possível CRASH do sistema!
Outro tipo de utilização desse ataque é para explorar áreas indevidas na memória do servidor
ou da vítima. Isso acontece quando não há o devido tratamento dos dados de uma entrada no
sistema. Assim, um invasor busca injetar strings que extrapolam o tamanho máximo permitido na
entrada de um campo.
Ao fazer isso, o invasor consegue injetar códigos nas áreas de memória que não deveriam ser
acessadas.
CESPE / CEBRASPE - 2022 - BANRISUL - Analista de Segurança da Tecnologia da

Informação
O ataque em que se explora a utilização do buffer de espaço durante a inicialização de uma

sessão do protocolo de controle de transmissão é conhecido como TCP SYN flood.
Comentários:
Pessoal, na linha do que falamos... Ele pode ser utilizado tanto para indisponibilidade, no que
tange a gerar negação de serviços - DoS, ou também para vazamento de informações. Assim
sendo, o TCP SYN flood, de fato, é uma técnica que pode ser utilizada para esse propósito ao
explorar o processo de estabelecimento de conexão, que ao guardar as conexões abertas no
processo do 3-way-handshake, consome recursos da máquina, especificamente falando da
estrutura de buffer.
Gabarito: C

André Castro
Aula 01
Complementos Maliciosos (Malicious Add-ons)
Os Add-ons são complementos a diversos sistemas que permitem a inclusão de recursos

adicionais, sejam em navegadores, aplicativos de PC, entre outros.
Nem sempre se verifica a legitimidade dos complementos disponibilizados, situação essa que
pode gerar a instalação de códigos maliciosos.
Sequestro de Sessão (Session Hijacking)
A ideia aqui é simples. A vítima realiza o estabelecimento de uma sessão com determinado
servidor web. Um terceiro malicioso, monitorando a comunicação, realiza o spoofing de IP da
máquina da vítima e força com que o servidor responda à requisição original para ele.
Desse modo, ele se passa pela vítima com a sessão já estabelecida e encerra a sessão com a
vítima, tomando conta de toma comunicação. Esse é o modo ativo do sequestro de sessão.
O modo passivo apenas monitora e coleta dados da sessão, sem encerrar a sessão com a vítima.
Ameaça Persistente Avançada (APT - Advanced Persistent

Threat)
O conceito que se aplica aqui está voltado ao direcionamento de um ataque a determinada

vítima de forma concentrada, a partir de diversas técnicas, como as já vistas acima, com a
utilização de recursos diversos da rede para processamento dessas investidas. Geralmente
se organizam em times ou grupos altamente coordenados para efetuarem os ataques.
Desse modo, podemos dizer que os ataques APT são direcionados, porém, não podemos afirmar
que todos os ataques direcionados são do tipo APT.
Esse tipo de ataque pode ser dividido em 5 fases básicas:
Reconhecimento – Faz-se o levantamento de informações do ambiente da vítima

com o objetivo de entender o cenário a ser atacado.
Incursão ou Investida – Geralmente se utiliza de engenharia social para invadir

a rede de alguma organização. Assim, implanta-se algum malware para explorar
vulnerabilidades;
Descoberta – Uma vez dentro do ambiente da vítima, o atacante busca evitar sua
detecção a partir de ações lentas e discretas com a finalidade de mapear as
defesas a partir de uma visão interna da organização e criar um plano de ataque
com vistas a explorar o máximo de vulnerabilidades possíveis para garantir o
sucesso do ataque.
Captura – O atacante consegue invadir os sistemas e capturar informações.

André Castro
Aula 01
Extração – Finalmente, a partir das informações capturadas, o atacante busca ter

acesso a esses dados, enviando via rede para sua base de ataque.
Todo ataque APT tem um objetivo e propósito em relação a determinado adversário ou vítima. Os
principais são roubo de dados confidenciais, como descrições de projetos, contratos e
informações patenteadas. Temos ainda o fato de que a finalidade não é “roubo” ou “desvio” de
dinheiro de alguma forma, mas sim obter informações para que o atacante se torne tão capaz em
conhecimento quanto a vítima.
ATAQUES A REDES SEM FIO

Um ponto que tem começado a surgir em provas são os ataques a redes sem fio. Apesar de já
serem amplamente difundidos no cenário atual, para efeito de prova, podemos considerar como
um assunto novo.
Os ataques de redes sem fio buscam explorar as diversas brechas existentes na própria estrutura
ou arquitetura de implementação da tecnologia. Há de se lembrar que, nos ambientes de redes
sem fio, os dados enviados pelos dispositivos possuem um caráter de Broadcast, ou seja, todos
os dispositivos dentro daquele range específico de alcance do sinal poderão interceptar o tráfego.
Desse modo, vamos conhecer alguns dos principais ataques utilizados nesses ambientes.
Mas antes, gostaria apenas de lembrar que as redes sem fio são, nos casos do 802.11,
extensões da rede cabeada. Dessa feita, a maioria dos ataques possíveis de serem realizados
nos ambientes com fio também poderão ser utilizados nas redes sem fio.
EavesDropping
Trata-se de técnica associada à violação do princípio da confidencialidades. Basicamente, alguém

não autorizado, se utiliza de algum método ou técnica específica que possibilite a escuta ou o
monitoramento do tráfego da vítima, com vistas a obter informações que estão trafegando de
forma aberta e sem criptografia.
Um dos principais vetores está associado a redes sem fio abertas ou com vulnerabilidades
associadas às suas fragilidades de segurança, como é o caso dos algoritmos de segurança com
vulnerabilidades conhecidas: WEP e WPA.
Um ponto importante se dá pelo fato de que esse ataque não se restringe a redes sem fio, ainda
que seja utilizado nesse contexto em maior escala.
FGV – Analista Técnico – Tecnologia da Informação (TCE-TO)/2022
O analista Cléber instalou a rede sem fio MinhaWifi no prédio do TCE/TO. A MinhaWifi é
uma rede aberta que não possui senha e aceita conexões de qualquer host. Cléber utilizou

André Castro
Aula 01
a MinhaWifi por alguns dias para navegar na Internet. Porém, nesse mesmo período, um
atacante ingressou na MinhaWifi e passou a monitorar os dados de Cléber trafegados em
claro, roubando informações confidenciais.
Portanto, Cléber foi vítima de um ataque passivo do tipo:
a) SYN flood;
b) ping flood;
c) spoofing;
d) phishing;
e) eavesdropping.
Comentários:
Questão bem tranquila pessoal, e de regime mais conceitual. Então vejam que basicamente, pelo
simples fato de Cléber estar com uma rede aberta e tráfego aberto, está sujeito a esse tipo de
ataque (eavesdropping).
Gabarito: E
Wardriving
Essa terminologia define um método que busca procurar redes sem fio através de uma antena de
alto alcance conectada a um dispositivo móvel qualquer, preferencialmente, um laptop.
Esta procura geralmente é feita a partir de um automóvel e possui como principal objetivo a
enumeração das redes em busca de redes abertas, desprotegidas ou com sistemas de
proteção suscetíveis a quebra.
De forma complementar, utiliza-se recursos de GPS com vistas a mapear em softwares que
disponibilizam mapas, como o GOOGLE MAPS. Desse modo, apresenta-se no mapa as diversas
redes com os seus respectivos nomes (SSID), bem como suas tecnologias de acesso e
autenticação (WEP, WPA, WPA2).
Atualmente já existem software específicos que realizam essas tarefas, como é o caso do Kismet,
para ambientes UNIX.

André Castro
Aula 01
Rogue Access Point (Pontos de Acesso Não autorizados)
Esse tipo de ataque visa explorar brechas na infraestrutura de uma rede sem fio. Busca-se
configurar um access point para receber conexões de outros dispositivos na rede como se fosse
um access point legítimo na rede.
Uma vez que seja configurado tal equipamento, todos os dados enviados e recebidos pelos
dispositivos atrelados ao access point não autorizados poderão ser capturados e tratados pelo
atacante.
Com vistas a amplificar esse ataque, geralmente configura-se access points com técnicas de
autenticação fracas ou inclusive abertas para se tornar um atrativo para as vítimas.
Assim, quando a vítima pensa que está tirando alguma vantagem ao se conectar a uma rede
alheia de maneira indevida, na verdade, ela está entregando todo o seu fluxo de dados a um
eventual atacante.
Um exemplo clássico desse modelo é um atacante sentar em uma lanchonete do McDonalds e

configurar seu computador ou um access point acesso de terceiros. Assim, os clientes da referida
lanchonete, se conectariam à rede achando que está em uma rede legítima do McDonalds,
quando, na prática, estão sendo vítimas de um ataque.
Por esse motivo, jamais devemos acessar recursos privados como e-mails particulares ou
corporativos, bancos, ou outras plataformas que tratam dados de maneira sigilosa.
Ataque de Engenharia Elétrica
Essa técnica tem como objetivo gerar indisponibilidade da rede sem fio ou, pelo menos, prejudicar
a qualidade da transmissão de dados. Como a rede sem fio atua em frequência específicas, que
podem ser facilmente obtidas pelos atacantes, acabam por ficar vulneráveis a um alto grau de
interferência.
A ideia é simplesmente ter um equipamento ou uma antena que gere sinal de alta intensidade na
mesma frequência de operação da referida rede, gerando assim uma relação Sinal-Ruído baixa
que impede o funcionamento adequado da rede, impedindo, inclusive, que novos usuários se
associem à rede sem fio.
Bluejacking
Esse tipo de ataque, como o próprio nome já nos ajuda a lembrar, busca explorar o modelo de
comunicação por bluetooth. O seu funcionamento é similar ao SPAM, lá do contexto de
correio eletrônico. Entretanto, para o bluetooth, utiliza-se o protocolo OBEX para tal finalidade.
Geralmente esse tipo de ataque não gera danos às vítimas. Estas acabam por receber
mensagens de texto com propagandas ou informações indesejadas de outros dispositivos que
estejam próximos. Caso o dispositivo suporte mensagens multimídia – MMS – estas também
podem ser utilizadas.

André Castro
Aula 01
A principal proteção contra esse tipo de ataque é não habilitar o modo “visível” de seu
aparelho quando estiver com o bluetooth ativado, invocando assim o método de segurança
por obscuridade ou desconhecimento.
Bluesnarfing
Outro tipo de ataque que também habita em redes bluetooth é o bluesnarfing. Esse tipo de ataque
possui um caráter invasivo que fere a privacidade, podendo atingir ainda a confidencialidade de
determinados dados nos aparelhos das vítimas.
Essa técnica permite que o atacante tenha acesso à agenda, lista de contatos, correios
eletrônicos, mensagens de textos, entre outros recursos do aparelho da vítima.
Com o surgimento de técnicas de autenticação para a sincronização ou o emparelhamento de

dispositivos via bluetooth, essa técnica perdeu força.
NMAP
Algumas questões abordam características mais específicas do NMAP, como parâmetros e
técnicas utilizadas para a varredura. A principal referência para as informações aqui apresentadas
é o próprio site nmap.org.
Assim, aproveitaremos a discussão da ferramenta para entender o funcionamento das principais

técnicas utilizadas, muitas das vezes, utilizando a própria estrutura dos principais protocolos da
arquitetura TCP/IP.
O NMAP é uma ferramenta gratuita e de código aberto utilizado tanto de forma legítima (auditoria
de segurança) como ilegítima (descoberta de informações da rede). A estrutura padrão do
comando executado pelo NMAP se dá da seguinte forma:
# nmap [Scan Type(s)] [Options] {target specification}
Onde
Scan Type(s) - determina a técnica utilizada e o tipo de resultado esperado.
Options – campo opcional para complemento da varredura.
Target specification – IP do alvo.

André Castro
Aula 01
Além disso, pode-se utiliza o parâmetro “-p” para se determinar portas específicas a serem
varridas no alvo.
Analisando os possíveis parâmetros a serem utilizados, poderemos perceber que alguns deles
são intuitivos em relação às Flags correspondentes do protocolo TCP. Vamos conhecê-los:
• -sT - Com esse parâmetro é feito um escaneamento através de tentativas de conexão TCP
– TCP (CONNECT). Essa forma é muito fácil de ser identificada por firewalls e IDS. Caso
se consiga uma conexão em determinada porta, tem-se o indicativo que esta porta está
aberta. Caso não seja especificado nenhum tipo de parâmetro, este será o padrão
utilizado.
• -sS - A tentativa será com pacotes TCP com a flag SYN ligada, ou seja, como apenas uma
requisição de conexão – TCP SYN (HALF OPEN). Nesse método, um pacote SYN é
enviado, caso haja resposta (um pacote SYN-ACK seja recebido), é porque a porta está
aberta. Caso seja recebido um RST é porque está fechada. Se a resposta vier positiva
(SYN-ACK), o nmap envia outro RST fechando a conexão, de modo que a conexão não se
complete. A vantagem desse método é que fica mais difícil a detecção do portscan, pois
ele não abre uma conexão TCP completa, se assemelhando a um procedimento legítimo;
• -sF - Também conhecido como método STEALTH. Esse método envia pacotes FIN para o
alvo, caso não haja resposta, a porta está aberta, caso seja recebido um pacote RST, é
porque está fechada. Esse método é útil, pois alguns firewalls podem detectar a chegada
de pacotes SYN, detectando o método TCP SYN, esse modo elimina essa possibilidade de
detecção. Existem outras duas variações desse parâmetro, quais sejam: nmap –sX (Xmas
Tree -> envia as flag FIN, URG e PUSH no pacote FIN); nmap –sN (null scan -> não envia
flag no pacote FIN);
• -sA - Também conhecido como ACK SCAN. Esse método é utilizado para mapear o
firewall alvo. Ele pode determinar o tipo de firewall e se ele apenas bloqueia os pacotes
SYN.
• -sP - Também conhecido como PING SCAN. Nesse método são enviados pacotes "ICMP
echo request" para o alvo. Caso não haja resposta, é enviado um pacote TCP ACK para a
porta 80 ou então um pacote SYN (se nenhum das anteriores responder), isso tudo porque
alguns firewalls bloqueiam o "ping". Ele é utilizado para ver se a máquina alvo está ativa ou
não.
• -sV - Habilita a detecção de versão. Alternativamente, pode-se utilizar o parâmetro "-A"

para habilitar tanto a detecção de SO como a detecção de versão.
• -sU - Nesse método, um pacote UDP de 0 byte é enviado, caso seja recebido um "ICMP
port Unreachable" é porque a porta está fechada, caso contrário, está aberta.
• -sO - É usado para tentar determinar os protocolos suportados pelo host;

• -O - Também conhecido como TCP/IP FINGERPRINT. Esse método ativa a identificação
remota do sistema operacional. Ela usa várias informações recebidas e as compara com a

André Castro
Aula 01
base de dados dos sistemas operacionais conhecidos, detectando qual o sistema usado
na máquina. -A - Verifica a porta e o serviço que está rodando.
Além dessas opções, o nmap possui muitas outras, como por exemplo o scan rápido (nmap -F)
ou então a opção de não pingar a máquina antes de realizar o scan (nmap -P0).
Em adição a esses métodos de scan, o nmap oferece a opção de escolher "políticas", de modo a
dificultar a detecção pelo IDS da máquina alvo. As opções são "Paranoid", "Sneaky", "Polite",
"Normal", "Aggressive" ou "Insane".
A opção "Paranoid" escaneia de 5 em 5 minutos cada porta, a "Sneaky", de 15 em 15 segundos e

assim evoluindo. A vantagem do "scan" ser mais lento é que dificulta a descoberta pelo IDS da
máquina alvo. A opção padrão é a normal.
Como exemplo, podemos verificar a imagem abaixo como resultado de um SCAN de uma rede
através do seguinte comando:
# nmap -sS 192.168.0.0/24 -p 1-150
Percebamos que serão apresentadas quais portas TCP estão abertas em cada host ativo na rede.
Esse tipo de ferramenta se encontra em constante evolução, explorando a cada dia novas
técnicas a partir das características dos protocolos utilizados. Na prática, em termos de
equipamentos, devemos sempre buscar por firewalls e IPS no intuito de identificar e filtrar esse
tipo de varredura.

André Castro
Aula 01
Além disso, a configuração apenas dos serviços essenciais em cada servidor é uma técnica
altamente recomendada que faz parte do escopo de HARDENING de servidores (aplicação de
regras rígidas para garantida de segurança).
CESPE / CEBRASPE - 2020 - Ministério da Economia - Tecnologia da Informação -

Segurança da Informação e Proteção de Dados
Em uma máquina com o Ubuntu 16.04.6 LTS na qual esteja instalado o servidor nginx
1.10.3 configurado com o valor off atribuído à variável server_tokens, a execução do
comando nmap -sV localhost -p80 nessa máquina gerará o resultado a seguir, relacionado
à porta analisada. 80/tcp open http nginx 1.10.3 (Ubuntu)
Comentários:
A variável server_tokens determina se deve ser mostrada a versão do servidor nginx em páginas
de erro e no cabeçalho http/s. Sendo atribuído o valor off, a versão não será exibida, ou seja, o
nmap não receberá essa informação e não mostrará "nginx 1.10.3 (versão)".
Fonte: http://nginx.org/en/docs/http/ngx_http_core_module.html#server_tokens
Gabarito: E
OWASP TOP 10 - RISCOS DE SEGURANÇA DE

APLICAÇÕES WEB
Pessoal, para iniciar nossa conversa sobre o assunto, não tem como fugirmos da definição do
próprio site sobre o assunto, vejamos:
O OWASP Top 10 é um documento de conscientização padrão para desenvolvedores e segurança

de aplicativos da web. Ele representa um amplo consenso sobre os riscos de segurança mais
críticos para aplicativos da web.
Reconhecido globalmente pelos desenvolvedores como o primeiro passo para uma codificação
mais segura.
As empresas devem adotar este documento e iniciar o processo de garantir que suas aplicações
web minimizem esses riscos. Usar o OWASP Top 10 talvez seja o primeiro passo mais eficaz para
mudar a cultura de desenvolvimento de software em sua organização para uma que produza um
código mais seguro.

André Castro
Aula 01
O OWASP Top 10 é baseado, essencialmente, em submissões de dados de empresas

especializadas na área da segurança aplicacional e em inquéritos realizados a profissionais
individuais do setor. Estes dados refletem as vulnerabilidades identificadas em centenas de
organizações, aplicações e APIs reais. Os tópicos do Top 10 são selecionados e ordenados de
acordo com a sua prevalência, combinada com uma estimativa ponderada do potencial de abuso,
detecção e impacto.
O principal objetivo do OWASP Top 10 é o de educar programadores, desenhadores e arquitetos

de aplicações, bem como gestores e as próprias organizações sobre as consequências dos
problemas de segurança mais comuns e mais importantes no contexto das aplicações web. O
Top 10 oferece não só técnicas básicas para proteção nestas áreas problemáticas e de elevado
risco, mas também direções sobre onde encontrar informação adicional sobre estes assuntos.
Classificação de Risco para o Top 10 é uma metodologia baseada na OWASP Risk Rating
Methodology e consiste em estimar, para cada categoria do Top 10, o risco peculiar que
cada falha introduz em uma aplicação web típica e, posteriormente, ordenar o Top 10 de
acordo com as falhas que tipicamente introduzem o risco mais significativo para uma
aplicação.
Comentários:
Típica questão conceito pessoal, que aborda a metodologia de classificação de riscos da própria
OWASP para se chegar à referida classificação.
Esse é um exemplo para o TOP 1 da lista:
CWEs mapeados - 34
Taxa de incidência máxima – 55,97%
Taxa média de incidência – 3,81%
Exploração média ponderada – 6,92
Impacto médio ponderado – 5,93
Cobertura máxima – 94,55%
Cobertura média – 47,72%

André Castro
Aula 01
Total de Ocorrências – 318,487
Total de CVEs – 19,13
Gabarito: C
Nesse sentido, temos a classificação direta e objetiva da lista, trazendo inclusive o histórico de
evolução e mudança das classificações.
Nesse contexto, é importante verificar as evoluções da análise, pois é justamente onde as bancas
gostam de tentar trabalhar com o candidato. Três categorias anteriores deixaram de existir, e
foram incorporadas em estruturas mais genéricas, então é um ponto que a banca pode querer
explorar, ao referenciá-los, pois estavam em 2017, a saber:
A04:2017 - XML External Entities (XXE)
A07:2017 - Cross-Site Scripting (XSS)
A08:2017 -Insecure Deserialization
Ainda, importante ter no radar o surgimento de três novas categorias nesse processo, a
saber:
A04:2021 - Security Misconfiguration
A08:2021 - Software and Data Integrity Failures
A10:2021 - Server-Side Request Forgery (SSRF)
Bom pessoal, avançando, infelizmente, não temos para onde correr agora a não ser percorrer
todos os itens das 10 categorias previstas no OWASP. As bancas estão cobrando itens
específicos dentro de cada controle, conforme veremos a seguir.
Basicamente, cada categoria apresenta uma visão geral da vulnerabilidade, com uma descrição
associada, e contramedidas/prevenções que devem ser aplicadas ou realizadas. Por fim, tem-se

André Castro
Aula 01
exemplos práticos com cenários específicos para cada um. Não passaremos pelos exemplos, nos
atendo até as medidas de prevenção. Desta feita, vamos avançar...
A01:2021 - Quebra de Controle de Acesso
1. Descrição
• Restrição de ações com base em suas permissões
• Falhas nesse processo levam a divulgação, modificação ou destruição não autorizadas da
informação
2. Vulnerabilidades
I. Violação do princípio de privilégio mínimo ou negação por padrão, onde o acesso

deve ser concedido apenas para recursos, funções ou usuários específicos, mas está
disponível para qualquer pessoa.
II. Ignorando as verificações de controle de acesso modificando a URL (alteração de
parâmetro ou navegação forçada), o estado interno do aplicativo ou a página HTML, ou
usando uma ferramenta de ataque modificando solicitações de API.
III. Permitir a visualização ou edição da conta de outra pessoa, fornecendo seu
identificador exclusivo (referências de objetos diretos inseguros)
IV. Acessando API com controles de acesso ausentes para POST, PUT e DELETE.
V. Elevação de privilégio. Atuar como usuário sem estar conectado ou atuar como
administrador quando estiver conectado como usuário.
VI. Manipulação de metadados, como reproduzir ou adulterar um token de controle de
acesso JSON Web Token (JWT), ou um cookie ou campo oculto manipulado para elevar
privilégios ou abusar da invalidação de JWT.
VII. A configuração incorreta do Cross-Origin Resource Sharing - CORS - permite o acesso à
API de origens não autorizadas/não confiáveis.
VIII. Força a navegação em páginas autenticadas como usuário não autenticado ou em páginas
privilegiadas como usuário padrão.
Pessoal, então o que tenho a acrescentar aqui é sempre no horizonte de quebra de autenticação
e utilização indevida desses acessos para interação com domínios não autorizados ou restritos.
Tenham isso em mentes no que tange às vulnerabilidades geradas dentro desta categoria.
3. Prevenção
I. Exceto para recursos públicos, negar por padrão.

II. Implemente mecanismos de controle de acesso uma vez e reutilize-os em todo o aplicativo,
inclusive minimizando o uso do Cross-Origin Resource Sharing (CORS).
III. Os controles de acesso do modelo devem impor a propriedade do registro em vez de
aceitar que o usuário possa criar, ler, atualizar ou excluir qualquer registro.
IV. Os requisitos exclusivos de limite de negócios do aplicativo devem ser impostos por
modelos de domínio.
V. Desative a listagem de diretórios do servidor web e certifique-se de que os metadados do
arquivo (por exemplo, .git) e os arquivos de backup não estejam presentes nas raízes da
web.

André Castro
Aula 01
VI. Registre falhas de controle de acesso, alerte os administradores quando apropriado (por
exemplo, falhas repetidas).
VII. Taxa de limite de acesso à API e ao controlador para minimizar os danos das ferramentas
de ataque automatizadas.
VIII. Os identificadores de sessão com estado devem ser invalidados no servidor após o logout.
Os tokens JWT sem estado devem ser de curta duração para que a janela de oportunidade
para um invasor seja minimizada. Para JWTs de vida mais longa, é altamente
recomendável seguir os padrões OAuth para revogar o acesso.
Meu destaque aqui vai sempre para exceções... Então tem-se um princípio de Arquitetura Zero-
Trust aqui, ao se negar por padrão, exceto aqueles recursos públicos. Chamo sua atenção para
isso.
FGV - 2022 - TRT - 13ª Região (PB) - Técnico Judiciário - Tecnologia da Informação
A falha ou quebra de controle de acesso ("Broken Access Control") é um risco de

segurança crítico para aplicações Web.
Para prevenir essa vulnerabilidade, o OWASP recomenda que
A a listagem de diretórios do servidor web seja desativada.
B os tokens JWT stateless sejam de longa duração.
C as sessões stateful sejam mantidas no servidor após o logout.
D evite reutilizar os mecanismos de controle de acesso.
E utilize APIs sem taxa limite de requisições.
Comentários:
Exatamente comforme o item V previsto na prevenção:
V. Desative a listagem de diretórios do servidor web e certifique-se de que os

metadados do arquivo (por exemplo, .git) e os arquivos de backup não estejam presentes
nas raízes da web.
Gabarito: A
A02:2021 - Falhas criptográficas
1. Descrição
• Falhas relacionadas à criptografia ou falta dela

André Castro
Aula 01
• Exposição de dados sensíveis ou confidenciais

• Necessidade de determinação de segurança de dados em trânsito ou repouso
• Destaques a dados privados suscetíveis a regulações próprias
Meu destaque pessoal fica por conta do fortalecimento e necessidade de uso da criptografia,
tanto para dados em repousou, como em trânsito. Veremos mais alguns detalhes a seguir, que
merecem também sua atenção.
2. Vulnerabilidades
I. Algum dado é transmitido em texto simples? Isso diz respeito a protocolos como HTTP,
SMTP, FTP também usando atualizações TLS como STARTTLS. O tráfego externo da
Internet é perigoso. Verifique todo o tráfego interno, por exemplo, entre balanceadores de
carga, servidores web ou sistemas back-end.
II. Algum algoritmo ou protocolo criptográfico antigo ou fraco é usado por padrão ou em
código mais antigo?
III. As chaves criptográficas padrão estão em uso, as chaves criptográficas fracas são geradas
ou reutilizadas ou o gerenciamento ou rotação de chaves está ausente? As chaves
criptográficas são verificadas nos repositórios de código-fonte?
IV. A criptografia não é aplicada. Por exemplo, há alguma diretiva de segurança de cabeçalhos
HTTP (navegador) ou cabeçalhos ausentes?
V. O certificado do servidor recebido e a cadeia de confiança estão devidamente
validados?
VI. Os vetores de inicialização são ignorados, reutilizados ou não gerados suficientemente
seguros para o modo de operação criptográfico? Está em uso um modo de operação
inseguro, como o BCE? A criptografia é usada quando a criptografia autenticada é mais
apropriada?
VII. As senhas estão sendo usadas como chaves criptográficas na ausência de uma função de
derivação de chave de base de senha?
VIII. A aleatoriedade é usada para fins criptográficos que não foram projetados para atender
aos requisitos criptográficos? Mesmo que a função correta seja escolhida, ela precisa ser
propagada pelo desenvolvedor e, caso contrário, o desenvolvedor sobrescreveu a
funcionalidade de propagação forte incorporada a ela com uma semente que não possui
entropia/imprevisibilidade suficiente?
IX. As funções de hash obsoletas, como MD5 ou SHA1, estão em uso ou as funções de
hash não criptográficas são usadas quando as funções de hash criptográficas são
necessárias?
X. Estão em uso métodos de preenchimento criptográfico obsoletos, como PKCS número 1

v1.5?
XI. As mensagens de erro criptográficas ou informações de canal lateral podem ser

exploradas, por exemplo, na forma de ataques oracle de preenchimento?

André Castro
Aula 01
Pessoal, então o que tenho a acrescentar aqui é sempre no horizonte de quebra de autenticação
e utilização indevida desses acessos para interação com domínios não autorizados ou restritos.
Tenham isso em mentes no que tange às vulnerabilidades geradas dentro desta categoria.
3. Prevenção
I. Classifique os dados processados, armazenados ou transmitidos por um aplicativo.

Identifique quais dados são confidenciais de acordo com as leis de privacidade, requisitos
regulatórios ou necessidades de negócios.
II. Não armazene dados confidenciais desnecessariamente. Descarte-o o mais rápido
possível ou use tokenização compatível com PCI DSS ou até mesmo truncamento. Os
dados que não são retidos não podem ser roubados.
III. Certifique-se de criptografar todos os dados confidenciais em repouso.
IV. Garantir que algoritmos, protocolos e chaves padrão atualizados e fortes estejam em vigor;
use o gerenciamento de chaves adequado.
V. Criptografe todos os dados em trânsito com protocolos seguros, como TLS com
cifras de sigilo de encaminhamento (FS), priorização de cifras pelo servidor e
parâmetros seguros. Imponha a criptografia usando diretivas como HTTP Strict
Transport Security (HSTS).
VI. Desabilite o armazenamento em cache para respostas que contenham dados
confidenciais.
VII. Aplique os controles de segurança necessários de acordo com a classificação dos dados.
VIII. Não use protocolos legados, como FTP e SMTP, para transportar dados
confidenciais.
IX. Armazene senhas usando funções de hashing adaptáveis e Salt com um fator de trabalho
(fator de atraso), como Argon2, scrypt, bcrypt ou PBKDF2.
X. Os vetores de inicialização devem ser escolhidos de acordo com o modo de operação.
Para muitos modos, isso significa usar um CSPRNG (gerador de números pseudo-
aleatórios criptograficamente seguro). Para modos que exigem um nonce, o vetor de
inicialização (IV) não precisa de um CSPRNG. Em todos os casos, o IV nunca deve ser
usado duas vezes para uma chave fixa.
XI. Sempre use criptografia autenticada em vez de apenas criptografia.
XII. As chaves devem ser geradas criptograficamente aleatoriamente e armazenadas na
memória como arrays de bytes. Se uma senha for usada, ela deverá ser convertida em
uma chave por meio de uma função de derivação de chave de base de senha apropriada.
XIII. Certifique-se de que a aleatoriedade criptográfica seja usada quando apropriado e que não
tenha sido propagada de maneira previsível ou com baixa entropia. A maioria das APIs
modernas não exige que o desenvolvedor semeie o CSPRNG para obter segurança.
XIV. Evite funções criptográficas obsoletas e esquemas de preenchimento, como MD5, SHA1,
PKCS número 1 v1.5 .
XV. Verifique de forma independente a eficácia da configuração e configurações.
Vejamos uma questão sobre o assunto:
CESPE / CEBRASPE - 2022 - BANRISUL - Desenvolvimento de Sistemas
No que se refere a falhas de criptografia, recomenda-se desabilitar o cache para respostas

que contenham dados sensíveis.

André Castro
Aula 01
Comentários:
Exatamente pessoal. Típica questão que demonstra que não temos para onde correr, a não ser
passar por todas as medidas e prevenções do OWASP. Este item está previsto na prevenção de
nº 6 do Controle A02:2021 - Falhas Criptográficas.
Gabarito: C
A03:2021 - Injeção
1. Descrição
• Congrega diversas técnicas de ataque, incluindo XSS e CSRF, por exemplo, além dos
clássicos SQL Injection
• A revisão constante dos códigos e scripts é fundamental para tentar identificar as
vulnerabilidades
• Pode-se utilizar ferramentas como SAST, DAST e IAST
Pessoal, para este item, é importante vocês terem em mente que houve uma agregação de tipos
de ataques que possuem como premissa básica o ato de injeção de código ou scripts. Dito isso,
tivemos os ataques de XSS e CSRF em conjunto com o "famoso" SQL Injection. Em que pese
tenham característica semelhantes de entrada, os impactos e consequência, bem como cada
ataque é derivado posteriormente à injeção, é diferente, inclusive no que tange à sua finalidade.
Ainda, merece destacar a importância do uso de ferramentas automatizadas que buscam avaliar
a qualidade do código em torno dos aspectos de segurança. Nesse quesito, tem-se o SAST (que
olha código estático, basicamente, seu código fonte), o DAST (que foca nas funcionalidades do
sistema, simulando a ótica do usuário), e o IAST (que traz uma perspectiva das interações do
código e produto).
2. Vulnerabilidades
I. Os dados fornecidos pelo usuário não são validados, filtrados ou higienizados pelo
aplicativo.
II. Consultas dinâmicas ou chamadas não parametrizadas sem escape sensível

ao contexto são usadas diretamente no interpretador.
III. Dados hostis são usados em parâmetros de pesquisa de mapeamento relacional de

objeto (ORM) para extrair registros confidenciais adicionais.

André Castro
Aula 01
IV. Dados hostis são usados diretamente ou concatenados. O SQL ou comando

contém a estrutura e os dados maliciosos em consultas dinâmicas, comandos
ou procedimentos armazenados.
Importante termos em mente, como principal característica, as vulnerabilidades associadas a

entrada de dados diretamente nas páginas, por parte de áreas dinâmica e chamadas diversas ao
código por parte do usuário.
3. Prevenção
I. Manter os dados separados de comandos e consultas

II. A opção preferencial é usar uma API segura, que evite totalmente o uso do interpretador,
forneça uma interface parametrizada ou migre para Object Relational Mapping Tools
(ORMs).
i. Nota: Mesmo quando parametrizados, os procedimentos armazenados ainda
podem introduzir injeção de SQL se PL/SQL ou T-SQL concatenar consultas
e dados ou executar dados hostis com EXECUTE IMMEDIATE ou exec().
III. Use validação de entrada positiva do lado do servidor. Essa não é uma defesa
completa, pois muitos aplicativos exigem caracteres especiais, como áreas de texto
ou APIs para aplicativos móveis.
IV. Para quaisquer consultas dinâmicas residuais, escape caracteres especiais usando a
sintaxe de escape específica para esse interpretador.
i. Nota: Estruturas SQL, como nomes de tabelas, nomes de colunas e assim
por diante, não podem ser escapadas e, portanto, os nomes de estrutura
fornecidos pelo usuário são perigosos. Este é um problema comum em
software de redação de relatórios.
V. Use LIMIT e outros controles SQL nas consultas para evitar a divulgação em massa de
registros em caso de injeção de SQL.
Aqui, o que imaginamos a banca realizando, é justamente permutar itens de

vulnerabilidades e prevenção do injection com outras categorias. Então é importante
ficarem atentos a essa dinâmica.
FGV - 2022 - SEFAZ-AM - Analista de Tecnologia da Informação da Fazenda Estadual
De modo a prevenir falhas de injeção de dados maliciosos, recomenda-se não usar, para o
transporte de dados confidenciais, protocolos legados, como FTP e SMTP.
Comentários:
Pessoal, a descrição em tela se refere a recomendações de prevenção da categoria de FALHAS

CRIPTOGRÁFICAS e não de INJEÇÃO DE DADOS. Vejam justamente a dinâmica que comentei
com vocês sobre troca de características.
Gabarito: E

André Castro
Aula 01
A04:2021 - Design inseguro
1. Descrição
• Trata-se de uma nova categoria.
• Foca nos aspectos voltados a problemas de arquitetura e design (desenho) do produto
• Possui foco na pré codificação, isto é, antes do código ser desenvolvido
• Pode-se ter problemas de ausência de controles ou este ser ineficaz durante o período de
design
• Deve-se fortalecer as ações associadas ao proecsso de coleta de requisitos e ao Ciclo de
Desenvolvimento Seguro
Um design seguro ainda pode ter defeitos de implementação levando a vulnerabilidades que
podem ser exploradas. Um design inseguro não pode ser corrigido por uma implementação
perfeita, pois, por definição, os controles de segurança necessários nunca foram criados para se
defender contra ataques específicos.
Por este motivo pessoal, é de suma importância ter um processo bem definido e desenhado na
construção de uma solução, incorporando, ainda antes do desenvolvimento, essas questões e
segurança. Importante lembrar como se fosse a fundação de uma casa. Se ela sair com
problema, a casa sempre terá problemas estruturais independentemente do que faça por cima, ou
seja, da qualidade do código que será desenvolvido.
2. Prevenção
I. Estabeleça e use um ciclo de vida de desenvolvimento seguro com profissionais da

AppSec para ajudar a avaliar e projetar controles relacionados à segurança e privacidade
II. Estabeleça e use uma biblioteca de padrões de projeto seguros ou componentes prontos
para uso de estradas pavimentadas
III. Use a modelagem de ameaças para autenticação crítica, controle de acesso, lógica de
negócios e fluxos de chaves
IV. Integre linguagem e controles de segurança em histórias de usuários
V. Integre verificações de plausibilidade em cada camada do seu aplicativo (do front-end ao
back-end)
VI. Escreva testes de unidade e integração para validar se todos os fluxos críticos são
resistentes ao modelo de ameaça. Compile casos de uso e casos de uso indevido para
cada camada de seu aplicativo.
VII. Segregar camadas de camadas no sistema e nas camadas de rede, dependendo das
necessidades de exposição e proteção
VIII. Separe os locatários de forma robusta por design em todas as camadas

André Castro
Aula 01
De acordo com a OWASP TOP 10 2021, para o risco design inseguro, são medidas de
prevenção para o desenvolvimento seguro o uso da modelagem de ameaças para
autenticações críticas, controle de acesso e lógica de negócios.
Comentários:
Exatamente da na linha do que conversamos pessoal.
Gabarito: C
A05:2021 - Configuração incorreta de segurança
1. Descrição
Envolve a configuração de ambientes e servidores, bem como ausências de baselines seguras e
ferramentas de compliance.
Importante reforçar o conceito de baseline, que trata justamente daquela configuração de
referência que poderá ser incorporada e espelhada, com todas as diretrizes e padrões de
segurança já conhecidos e mapeados.
2. Vulnerabilidades
I. Falta de proteção de segurança apropriada em qualquer parte da pilha de aplicativos ou

permissões configuradas incorretamente em serviços de nuvem.
II. Recursos desnecessários são ativados ou instalados (por exemplo, portas, serviços,
páginas, contas ou privilégios desnecessários).
III. As contas padrão e suas senhas ainda estão habilitadas e inalteradas.
IV. O tratamento de erros revela rastreamentos de pilha ou outras mensagens de erro
excessivamente informativas aos usuários.
V. Para sistemas atualizados, os recursos de segurança mais recentes são desabilitados ou
não configurados com segurança.
VI. As configurações de segurança nos servidores de aplicativos, estruturas de aplicativos (por
exemplo, Struts, Spring, ASP.NET), bibliotecas, bancos de dados etc., não são definidas
para valores seguros.
VII. O servidor não envia cabeçalhos ou diretivas de segurança ou eles não estão configurados
para valores seguros.
VIII. O software está desatualizado ou vulnerável (consulte A06:2021-Componentes
vulneráveis e desatualizados ).Importante termos em mente, como principal característica,
as vulnerabilidades associadas a entrada de dados diretamente nas páginas, por parte de
áreas dinâmica e chamadas diversas ao código por parte do usuário.
3. Prevenção
I. Um processo de proteção repetível torna rápido e fácil a implantação de outro

ambiente devidamente bloqueado. Os ambientes de desenvolvimento, controle de

André Castro
Aula 01
qualidade e produção devem ser configurados de forma idêntica, com credenciais

diferentes usadas em cada ambiente. Esse processo deve ser automatizado para
minimizar o esforço necessário para configurar um novo ambiente seguro.
II. Uma plataforma mínima sem recursos, componentes, documentação e amostras
desnecessários. Remova ou não instale recursos e estruturas não utilizados.
III. Uma tarefa para revisar e atualizar as configurações apropriadas para todas as notas de
segurança, atualizações e patches como parte do processo de gerenciamento de patches
(consulte A06:2021-Componentes vulneráveis e desatualizados). Revise as permissões de
armazenamento em nuvem (por exemplo, permissões de bucket do S3).
IV. Uma arquitetura de aplicativo segmentada fornece separação eficaz e segura entre
componentes ou locatários, com segmentação, conteinerização ou grupos de segurança
de nuvem (ACLs).
V. Envio de diretivas de segurança para clientes, por exemplo, Cabeçalhos de Segurança.
VI. Um processo automatizado para verificar a eficácia das configurações e ajustes em todos
os ambientes.
CESPE / CEBRASPE - 2021 - SEFAZ-CE - Auditor Fiscal de Tecnologia da Informação da

Receita Estadual
A inadequada configuração de segurança, um dos riscos da OWASP Top 10, pode ocorrer
em qualquer nível de serviço de uma aplicação; em razão disso, o uso de scanners e testes
automatizados é ineficaz na tarefa de detectar falhas de configuração.
Comentários:
Estamos falando do tipo de Controle A05 - Security Misconfiguration. Então, a primeira parte da
questão está correta, pois, de fato, pode ocorrer em qualquer nível de serviço. Agora o erro está
na segunda parte, ao afirmar que o uso de scanners e testes são ineficazes. Muito pelo contrário,
esses testes ajudam, e muito nesse processo.
Gabarito: E
A06:2021 - Componentes Vulneráveis e Desatualizados
1. Descrição
Basicamente essa família está associada ao processo de inventário de software. A partir de
então, conhecendo-se o parque, é possível entender possíveis vulnerabilidades, bem como ações
de mitigação.
Uma das referências é a utilização das atualizações automáticas. Entretanto, nem sempre
atualizar é simples, e pode gerar quebras na aplicação utilizada, exigindo retrabalho por parte dos
atores.

André Castro
Aula 01
2. Vulnerabilidades
I. Se você não conhece as versões de todos os componentes que usa (tanto do lado do
cliente quanto do lado do servidor). Isso inclui componentes que você usa diretamente,
bem como dependências aninhadas.
II. Se o software for vulnerável, sem suporte ou desatualizado. Isso inclui o sistema
operacional, servidor de aplicativos/web, sistema de gerenciamento de banco de dados
(DBMS), aplicativos, APIs e todos os componentes, ambientes de tempo de execução e
bibliotecas.
III. Se você não verificar vulnerabilidades regularmente e assinar boletins de segurança

relacionados aos componentes que usa.
IV. Se você não corrigir ou atualizar a plataforma, estruturas e dependências subjacentes de

maneira oportuna e baseada em risco. Isso geralmente acontece em ambientes em que a
correção é uma tarefa mensal ou trimestral sob controle de alterações, deixando as
organizações abertas a dias ou meses de exposição desnecessária a vulnerabilidades
corrigidas.
V. Se os desenvolvedores de software não testarem a compatibilidade de bibliotecas

atualizadas, atualizadas ou corrigidas.
VI. Se você não proteger as configurações dos componentes (consulte A05:2021-

Configuração incorreta de segurança).
3. Prevenção
I. Remova dependências não utilizadas, recursos, componentes, arquivos e documentação

desnecessários.
II. Faça um inventário contínuo das versões de componentes do lado do cliente e do lado do
servidor (por exemplo, estruturas, bibliotecas) e suas dependências usando ferramentas
como versões, verificação de dependência OWASP, retire.js etc. Monitore continuamente
fontes como Vulnerabilidade e exposições comuns (CVE) e National Vulnerability Database
(NVD) para vulnerabilidades nos componentes. Use ferramentas de análise de composição
de software para automatizar o processo. Assine alertas por e-mail para vulnerabilidades
de segurança relacionadas aos componentes que você usa.
III. Obtenha apenas componentes de fontes oficiais em links seguros. Prefira pacotes
assinados para reduzir a chance de incluir um componente mal-intencionado modificado
(consulte A08:2021-Falhas de integridade de software e dados).
IV. Monitore bibliotecas e componentes que não são mantidos ou não criam patches de
segurança para versões mais antigas. Se a aplicação de patches não for possível,
considere a implantação de um patch virtual para monitorar, detectar ou proteger contra o
problema descoberto.

André Castro
Aula 01
A07:2021 - Falhas de Identificação e Autenticação
1. Descrição
Na versão de 2017, aparecia como Quebra de Autenticação. Importante, desde já, diferenciar do
grupo A01, pois lá naquela categoria, estávamos falando de autorização. Já nesse item, estamos
focados no processo de identificação e autenticação.
Não há dúvidas quanto à importância e necessidade de se identificar, autenticar e gerenciar as
sessões desses usuários com vistas a proteger contra ataques de personificação ou falsificação
de identidade.
2. Vulnerabilidades
I. Permite ataques automatizados, como preenchimento de credenciais, em que o

invasor possui uma lista de nomes de usuários e senhas válidos.
II. Permite força bruta ou outros ataques automatizados.
III. Permitir senhas padrão, fracas ou conhecidas, como "Password1" ou
"admin/admin".
IV. Usa recuperação de credenciais fraca ou ineficaz e processos de esquecimento de senha,
como "respostas baseadas em conhecimento", que não podem ser seguras.
V. Usa armazenamentos de dados de senhas de texto simples, criptografados ou com hash
fraco (consulte A02:2021-Falhas de criptografia ).
VI. Não tem autenticação multifator ou é ineficaz.
VII. Expõe o identificador de sessão na URL.
VIII. Reutilize o identificador de sessão após o login bem-sucedido.
IX. Não invalida corretamente os IDs de sessão. Sessões de usuário ou tokens de
autenticação (principalmente tokens de logon único (SSO)) não são invalidados
corretamente durante o logout ou um período de inatividade.
Já falamos bastante sobre estes aspectos ao longo da nossa aula. Sem dúvida, a utilização de
uma estrutura de autenticação robusta no lado corporativo, é fundamental. Entretanto, aqui
entram itens relativos aos controles de usuários, pois as senhas destes podem ser violadas e
gerar dano à organização.
Por isso, os itens relativos a política de senhas e procedimentos de renovação é fundamental.
3. Prevenção
I. Sempre que possível, implemente a autenticação multifator para evitar ataques

automatizados de preenchimento de credenciais, força bruta e reutilização de
credenciais roubadas.
II. Não envie ou implante com credenciais padrão, principalmente para usuários
administradores.
III. Implemente verificações de senhas fracas, como testar senhas novas ou alteradas na lista
das 10.000 piores senhas.

André Castro
Aula 01
IV. Alinhe as políticas de comprimento, complexidade e rotação de senha com as diretrizes do

Instituto Nacional de Padrões e Tecnologia (NIST) 800-63b na seção 5.1.1 para Segredos
Memorizados ou outras políticas de senha modernas baseadas em evidências.
V. Garanta que os caminhos de registro, recuperação de credenciais e API sejam protegidos
contra ataques de enumeração de conta usando as mesmas mensagens para todos os
resultados.
VI. Limite ou retarde cada vez mais as tentativas de login com falha, mas tome cuidado para
não criar um cenário de negação de serviço. Registre todas as falhas e alerte os
administradores quando forem detectados preenchimento de credenciais, força bruta ou
outros ataques.
VII. Use um gerenciador de sessão integrado, seguro e do lado do servidor que gera um novo
ID de sessão aleatório com alta entropia após o login. O identificador de sessão não deve
estar no URL, ser armazenado com segurança e invalidado após o logout, inatividade e
tempos limites absolutos.
Códigos de verificação de um sistema de autenticação de dois fatores podem ser enviados

por email ou gerados por um aplicativo autenticador instalado no dispositivo móvel do
usuário.
Comentários:
Certo pessoal. Ambos são viáveis, e não são as únicas hipóteses.
Gabarito: C
A08:2021 - Falhas de integridade de software e dados
1. Descrição
Mais uma nova categoria no OWASP. Basicamente, este item está associado ao processo de
deploy ou disponibilização em produção, alcançando as esteiras de Integração Contínua e
Entrega contínua, quando não há verificações de integridades no processo.
Deve-se estar atento aos códigos e à infraestrutura quando ambos não protegem contra violações
de integridade do código.
Um exemplo disso é quando um aplicativo depende de plugins, bibliotecas ou módulos de fontes
não confiáveis, repositórios e redes de entrega de conteúdo (CDNs). Um pipeline de CI/CD
inseguro pode introduzir o potencial de acesso não autorizado, código malicioso ou
comprometimento do sistema.
2. Prevenção
I. Use assinaturas digitais ou mecanismos semelhantes para verificar se o software ou

os dados são da fonte esperada e não foram alterados.

André Castro
Aula 01
II. Garanta que bibliotecas e dependências, como npm ou Maven, estejam consumindo
repositórios confiáveis. Se você tiver um perfil de risco mais alto, considere hospedar um
repositório interno em boas condições que seja verificado.
III. Certifique-se de que uma ferramenta de segurança da cadeia de suprimentos de software,
como OWASP Dependency Check ou OWASP CycloneDX, seja usada para verificar se os
componentes não contêm vulnerabilidades conhecidas
IV. Certifique-se de que haja um processo de revisão para alterações de código e
configuração para minimizar a chance de que código ou configuração mal-intencionados
possam ser introduzidos em seu pipeline de software.
V. Certifique-se de que seu pipeline de CI/CD tenha segregação, configuração e
controle de acesso adequados para garantir a integridade do código que flui pelos
processos de compilação e implantação.
VI. Certifique-se de que os dados serializados não assinados ou não criptografados não sejam
enviados para clientes não confiáveis sem alguma forma de verificação de integridade ou
assinatura digital para detectar adulteração ou repetição dos dados serializados
A09:2021 - Falhas de registro e monitoramento de segurança
1. Descrição
Aqui temos o foco na detecção, escalação e resposta às violações ativas. Quando não há registro
e monitoramento, as violações não podem ser detectadas, tratadas e conhecidas de forma
eficiente.
2. Vulnerabilidades
I. Eventos auditáveis, como logins, logins com falha e transações de alto valor, não
são registrados.
II. Avisos e erros geram mensagens de log inexistentes, inadequadas ou pouco claras.
III. Os logs de aplicativos e APIs não são monitorados quanto a atividades suspeitas.
IV. Os logs são armazenados apenas localmente.
V. Limites de alerta apropriados e processos de escalação de resposta não estão em vigor ou
não são eficazes.
VI. Testes de penetração e varreduras por ferramentas de teste de segurança de aplicativos
dinâmicos (DAST) (como OWASP ZAP) não acionam alertas.
Neste item, temos um apelo muito forte às práticas de registros e logs da ISO 27002.
3. Prevenção
I. Garanta que todas as falhas de login, controle de acesso e validação de entrada do

lado do servidor possam ser registradas com contexto de usuário suficiente para
identificar contas suspeitas ou maliciosas e mantidas por tempo suficiente para
permitir análises forenses atrasadas.
II. Certifique-se de que os logs sejam gerados em um formato que as soluções de
gerenciamento de log possam consumir facilmente.

André Castro
Aula 01
III. Certifique-se de que os dados de log sejam codificados corretamente para evitar injeções
ou ataques nos sistemas de log ou monitoramento.
IV. Garanta que as transações de alto valor tenham uma trilha de auditoria com controles de
integridade para evitar adulteração ou exclusão, como tabelas de banco de dados somente
anexadas ou similares.
V. As equipes de DevSecOps devem estabelecer monitoramento e alertas eficazes para que
atividades suspeitas sejam detectadas e respondidas rapidamente.
VI. Estabeleça ou adote um plano de resposta e recuperação de incidentes, como o Instituto
Nacional de Padrões e Tecnologia (NIST) 800-61r2 ou posterior.
A10:2021 - Falsificação de solicitação do lado do servidor

(SSRF)
1. Descrição
Aqui, temos uma categoria nova também na lista, que traz um ataque diferenciado no sentido de
que o servidor WEB envolvido na condição de vítima, nada mais é do que um vetor para um outro
ataque. Já comentamos sobre isso.
Assim, de forma resumida, temos que são criadas requisições no lado do servidor para URL’s ou
serviços de terceiros indevidamente
Um dos destaques dessa categoria é a possibilidade de conseguir burlar firewalls internos na
rede.
2. Prevenção
Da camada de rede
I. Segmente a funcionalidade de acesso remoto a recursos em redes separadas para

reduzir o impacto do SSRF
II. Aplique políticas de firewall “negar por padrão” ou regras de controle de acesso à
rede para bloquear todo o tráfego de intranet, exceto o essencial.
III. Dicas:
~ Estabeleça uma propriedade e um ciclo de vida para regras de firewall
baseadas em aplicativos.
~ Registre todos os fluxos de rede aceitos e bloqueados em firewalls (consulte
A09:2021-Registro de segurança e falhas de monitoramento ).
Da camada de aplicação:
I. Higienize e valide todos os dados de entrada fornecidos pelo cliente

II. Aplique o esquema de URL, a porta e o destino com uma lista de permissões
positiva
III. Não envie respostas brutas aos clientes
IV. Desabilitar redirecionamentos HTTP

André Castro
Aula 01
V. Esteja ciente da consistência do URL para evitar ataques como religação de DNS e
condições de corrida "tempo de verificação, tempo de uso" (TOCTOU)
VI. Não reduza o SSRF por meio do uso de uma lista de negação ou expressão regular. Os
invasores têm listas de carga útil, ferramentas e habilidades para contornar as listas de
negação.
VII. Não implante outros serviços relevantes de segurança em sistemas frontais (por exemplo,
OpenID). Controle o tráfego local nesses sistemas (por exemplo, localhost)
VIII. Para frontends com grupos de usuários dedicados e gerenciáveis, use criptografia de rede
(por exemplo, VPNs) em sistemas independentes para considerar necessidades de
proteção muito altas
Percebam que muito mais do que tratar as regras padrões de entradas positivas, tal qual
fora feito na categoria de injeção, tem-se ainda precedimentos para colocar uma regra
relativo ao usuário, na perspectiva de identificação e autorização.
Ao analisar uma aplicação web, um auditor verificou que ela estava vulnerável a um ataque
conhecido como SSRF, uma das vulnerabilidades Top Ten 2021 do OWASP.
Caso um invasor consiga explorar tal vulnerabilidade, ele poderá
A ler os conteúdos dos cookies que um navegador armazenou relativos a um dado

domínio.
B executar scripts no navegador da vítima, podendo inclusive realizar um sequestro de

sessão do usuário.
C injetar dados maliciosos no banco de dados da aplicação.
D realizar requisições não autorizadas a outras localidades por meio do lado servidor
dessa aplicação web vulnerável.
E realizar uma desfiguração em qualquer página da aplicação web vulnerável.
Comentários:
Com taxa de incidência relativamente baixa, as vulnerabilidades da família Server-Side Request

Forgery (SSRF), ou Falsificação de Solicitação no Lado do Servidor ocorrem sempre que uma
aplicação busca um recurso remoto, sem validar a URL fornecida pelo usuário.
Gabarito: D
-----------------
À luz das 10 categorias, vamos ver algumas questões adicionais:

André Castro
Aula 01
A aplicação Web SiCONTA viabiliza a recuperação de credenciais de acesso por meio da

conferência de respostas previamente cadastradas pelo usuário a questionamentos
realizados a ele no processo de criação da credencial.
Considerando a metodologia Open Web Application Security Project (OWASP), a aplicação

Web SiCONTA possui uma vulnerabilidade classificada na categoria:
a) Broken Access Control;
b) Insecure Identification;
c) Security Misconfiguration;
d) Insecure Design and Implementation;
e) Identification and Authentication Failures.
Comentários:
Pessoal, questão bem tranquila né? Veja que a vulnerabilidade está associada ao processo de
autenticação e identificação do usuário. Muito cuidado pois, o controle de acesso, trata-se de
autorização e será a próxima fase do acesso ao serviço.
Reforço, a questão narra um problema associado ao usuário e senha, ou seja, ainda não se
chegou na etapa de autorização, mas tão somente identificação e autenticação.
Muita atenção nesses detalhes.
Gabarito: E
Ano: 2021 Banca: CESPE / CEBRASPE Órgão: SERPRO Prova: CESPE / CEBRASPE - 2021
- SERPRO - Analista - Especialização: Desenvolvimento de Sistemas
Quanto aos riscos de segurança derivados da exposição de dados sensíveis contidos na

lista OWASP Top 10, é recomendável que o tráfego de dados confidenciais seja
criptografado e que o seu armazenamento interno seja feito sem criptografia, de modo a
viabilizar as funções de auditoria dos sistemas.
Comentários:
Pessoal, não há essa segregação do uso de criptografia, conforme a questão apresenta. Deve-se
usar em toda a rede, na medida do possível, pois nunca se sabe onde o ataque pode ocorrer ou
invasor possa estar.
Gabarito: E

André Castro
Aula 01
CESPE / CEBRASPE - 2020 - Ministério da Economia - Tecnologia da Informação -

Segurança da Informação e Proteção de Dados
O guia de testes do OWASP enumera verificações para cerca de setenta vulnerabilidades,

agrupadas em classes, como a de gerenciamento de sessões, que trata de erros na
implementação das regras de negócio.
Comentários:
Não há mais a categoria de gerenciamento de sessões.
Gabarito: E
QUESTÕES COMENTADAS
1. (CESPE – STJ/Analista Judiciário – Suporte em TI/2015) Uma vez que a varredura
simples de portas é facilmente detectada por firewalls, outros tipos de mensagens
passaram a ser utilizadas para mapeamento de serviços de redes, como por exemplo, as
de RESET e as de SYN-ACK, que sinalizariam tentativa legítima de conexão, e, ainda,
pacotes de resposta DNS (domain name system), que são respostas a mensagens geradas
internamente.
Comentários:
No caso da questão, temos a explicitação de três técnicas muito comuns, apesar de também já
serem detectados por firewalls mais avançados. No caso da RST, caso chegue um pacote com a
flag RST marcada e a porta está fechada, a RFC do TCP define que deverá ser enviado uma
resposta com um novo RST. Caso contrário, deve-se descartar o pacote.
Já com o SYN-ACK, esse conjunto é típico de resposta de uma tentativa de abertura de conexão
em portas abertas no ato de estabelecimento de conexão. As demais flags podem ser utilizadas
para se gerar uma infinidade de possibilidades de varreduras de portas.
Em relação aos pacotes de respostas DNS, vale lembrar, que em regra, são do tipo UDP e que
também podem ser utilizados para mapeamento de portas. O DNS é muito utilizado para
varredura de rede.

André Castro
Aula 01
Gabarito: C
2. (CESPE – ANTAQ/Analista administrativo – Infra de TI/2014) Em um ataque de

DDoS, que objetiva deixar inacessível o recurso computacional para os usuários legítimos,
um computador mestre controla milhares de computadores zumbis que acessam um
sistema ao mesmo tempo (um servidor web, por exemplo), com o objetivo de esgotar seus
recursos.
Comentários:
Questão bem tranquila a respeito da utilização de botnets para gerar ataques do tipo DDoS com
fim a gerar indisponibilidade de serviços.
Gabarito: C
3. (CESPE – ANTAQ/Analista administrativo – Infra de TI/2014) O ataque de spear

phishing, que é uma tentativa de fraude por falsificação de email, tem como alvo uma
organização específica e objetiva, normalmente, conseguir acesso não autorizado a dados
sigilosos.
Comentários:
Pessoal, bem tranquilo, certo?
Gabarito: C
4. (CESPE – TC-DF/Analista de Administração Pública – Sistemas de TI/2014)

Utilizado para a captura ilegal de informações de uma máquina em rede, o spoofing analisa
o tráfego da rede e coleta dados sigilosos como senhas e endereços.
Comentários:
O tipo de ataque que realiza análise de tráfego é o sniffing e não spoofing como afirma a questão.
Lembrando que o mesmo sniffing pode ser utilizado de forma legítima na administração de redes,
por exemplo.
Gabarito: E

André Castro
Aula 01
5. (CESPE – MPU/Analista – Suporte e Infraestrutura/2013) O combate à

contaminação por um worm pode ser realizada por meio da utilização de antivírus no
computador que se deseja proteger
Comentários:
Temos aqui uma questão de cunho bastante prático. Os antivírus, como o próprio nome diz, foram
desenvolvidos para combater vírus em dispositivos. Entretanto, com a evolução das soluções, há
uma sobreposição muito grande de ferramentas que são capazes de detectar diversos tipos de
malwares, além daqueles para os quais foram desenvolvidos especificamente.
Assim, no cenário atual, os antivírus possuem uma base de dados gigantesca que não se
restringe a vírus, contemplando também assinaturas de outros malwares, como, por exemplo, de
worms.
Gabarito: C
6. (CESPE – MPOG/Técnico de Nível Superior/2013) Ataques de negação de serviço

volumétricos, distribuídos ou não, envolvem flooding para esgotamento de recursos e
spoofing para dificultar o rastreamento da origem.
Comentários:
Como sempre, ataques bem sucedidos não se restringem a um único tipo. Assim, ataques de
DoS ou DDoS não se restringem a causar indisponibilidade de serviços, mas também, de tornar o
ataque irrastreável. Para tanto, pode-se utilizar o spoofing para mascarar o IP de origem do
ataque, ou seja, do controlador Master de uma botnet, por exemplo.
Gabarito: C
7. (CESPE – SERPRO/Analista de Desenvolvimento/2013) Um ataque à infraestrutura

de conectividade de um banco à Internet, interrompendo o acesso a seus serviços de home
banking, afeta a disponibilidade.
Comentários:
Se afetamos a conectividade de dispositivos que fornecem um serviço, esses estarão

inacessíveis ou pelo menos, intermitentes no acesso. Isso gerará problemas de acessos aos
serviços de tal modo que o serviço fique indisponível. Ou seja, afeta-se claramente o princípio da
disponibilidade.
Gabarito: C

André Castro
Aula 01
8. (CESPE – INPI/Analista de Planejamento – Infraestrutura de TI/2013) Worm é um

programa que possui código malicioso, capaz de se disseminar, por meio de uma rede,
para vários computadores.
Comentários:
Temos a descrição da principal característica dos Worms.
Gabarito: C
9. (CESPE – INPI/Analista de Planejamento – Infraestrutura de TI/2013) A principal

atividade de programas com códigos maliciosos e que funcionam na função de keylogger é
apresentar propagandas não solicitadas pelo usuário, direcionando-o a sítios maliciosos.
Comentários:
Não, né pessoal? Keylogger busca capturar as informações digitadas pelos usuários. O que
temos descrito na assertiva é o Adware.
Gabarito: E
10. (CESPE – INPI/Analista de Planejamento – Infraestrutura de TI/2013)

Um spyware pode ser utilizado de forma legítima ou maliciosa, pois sua função é monitorar
atividades de um sistema, além de coletar e enviar informações a terceiros.
Comentários:
Lembrando que o spyware, ao ser usado de forma legítima, permite a um administrador de redes
monitorar o acesso e navegação dos usuários de uma rede, verificando assim as regras e
políticas as quais estes estão submetidos.
Gabarito: C
11. (CESPE – INPI/Analista de Planejamento – Infraestrutura de TI/2013) DDOS

(distributed denial of service) é um tipo de ataque que tem a finalidade de inviabilizar o
funcionamento de um computador. Para isso, a partir de vários computadores, é enviada
grande quantidade de requisições a determinado serviço, a fim de consumir os recursos
do computador alvo do ataque.
Comentários:
Mais uma questão a respeito do DDoS e seus conceitos básicos. Percebam a frequência que este
assunto é cobrado em provas.

André Castro
Aula 01
Gabarito: C
12. (CESPE – TJ-AC/Técnico Judiciário – Informática/2012) O funcionamento de um

computador que tenha sofrido um ataque conhecido como phishing pode ser
comprometido, sendo os dados gravados nesse computador armazenados em um disco
corrompido.
Comentários:
Uma mistura de vários termos que não possuem relação entre si. Phishing tem o objetivo de
capturar dados sigilosos de usuários através de páginas falsas. E o disco corrompido, professor?
Não sei mesmo o que passou na cabeça do examinador, mas que bom que ele nos ajudou com
esse absurdo.
Gabarito: E
13. (CESPE – TJ-AC/Técnico Judiciário – Informática/2012) Os bots e os worms são

tipos de programas maliciosos que se propagam enviando cópias de si mesmos pela rede
de computadores.
Comentários:
Vimos que ambos possuem basicamente a mesma forma de propagação. Lembrando que o bot,
diferentemente do worm, possibilita a comunicação do invasor e da vítima, de tal modo que seu
sistema passa a ser controlado.
Gabarito: C
14. (CESPE – TJ-AC/Técnico Judiciário – Informática/2012) Computadores conectados

à Internet e infectados por bots são vulneráveis, estando sujeitos ao controle de
criminosos que podem comandar um ataque de negação de serviço.
Comentários:
Reforçando o que acabamos de ver na questão anterior.
Gabarito: C
15. (CESPE – TJ-AC/Técnico Judiciário – Informática/2012) Para que seja instalado em

um computador, é necessário que o spyware seja explicitamente executado pelo usuário.
Comentários:

André Castro
Aula 01
Exatamente isso. Lembremos que os casos clássicos de spywares são aqueles programas que
vamos dando “next”, “next” e “next” e quando vemos, demos a devida autorização para execução
e instalação em nosso ambiente.
Gabarito: C
16. (CESPE – TJ-AC/Técnico Judiciário – Informática/2012) Um cavalo de troia é um

tipo de programa malicioso que, uma vez instalado no computador, possibilita o seu
controle remotamente.
Comentários:
Pessoal, temos aqui um problema conceitual. Vimos que o TROJAN é apenas um meio de
entrada para diversos outros tipos de malwares, entre eles os BOTS, sendo que estes últimos
possuem como característica o controle remoto de determinado dispositivo.
Entretanto, acabam que por diversas vezes, esses conceitos acabam se sobrepondo, levando a
autores, como Tanenbaum, falarem de forma genérica a respeito do TROJAN, conforme trecho
abaixo:
“O mais provável é que o (Cavalo de Troia) se conecte a alguma porta IP e espere pelas
instruções, transformando a máquina em um zumbi pronto para enviar spam ou executar qualquer
ordem que seja da vontade de seu mestre remoto.”
Portanto, utilizemos essa questão para traçar a linha de pensamento do CESPE a esse respeito.
Gabarito: C
17. (CESPE – TJ-AC/Técnico Judiciário – Informática/2012) A atualização

automática on-line do sistema operacional é uma prática que garante que o computador
não sofrerá infecção por bots.
Comentários:
A atualização automática é um importantíssimo recurso para a segurança uma vez que ela
possibilita a correção de falhas e vulnerabilidades existentes no sistema. Entretanto, não há
relação com a prevenção contra bots, muito menos no sentido de “Garantir” tal condição.
Gabarito: E
18. (CESPE – TJ-AC/Técnico Judiciário – Informática/2012) Por serem de difícil

detecção, os worms só podem ser combatidos por ferramentas específicas para esse fim,
que se denominam antiworms.

André Castro
Aula 01
Comentários:
Lembrando que os worms geram impactos que são, muitas das vezes, bem perceptíveis, não
sendo difícil ao menos suspeitar de sua presença. Além disso, vimos que antivírus comumente
disponibilizados, inclusive em versões gratuitas, são capazes de detectar worms, não exigindo,
portanto, ferramentas específicas para este fim.
Gabarito: E
19. (CESPE – TJ-AC/Técnico Judiciário – Informática/2012) O uso de programas

antivírus continuamente atualizados é uma prática suficiente para se evitar que
um worm contamine um computador.
Comentários:
Apesar dos antivírus serem extremamente eficientes contra worms, não é possível garantir a
plena prevenção, pois, os antivírus mais modernos são baseados em assinaturas específicas ou
através de análise comportamental. Assim, caso exista um WORM novo que não conste na base
de dados das assinaturas de um antivírus e consiga burlar o lado comportamental, este
dispositivo poderá sim ser infectado.
Gabarito: E
20. (CESPE – TRE/RS / Analista Judiciário/2015) Acerca de sistemas de segurança,

ataques e malwares, assinale a opção correta.
A) A fase de disparo de um verme ou worm é caracterizada pela busca de outros sistemas para
infectar, por meio de exame das tabelas de hosts ou repositórios semelhantes de endereços de
sistemas remotos.
B) Em um ataque DDoS refletor, o atacante é capaz de implantar software zumbi em diversas

máquinas distribuídas pela Internet, divididas em zumbis mestres e zumbis escravos. No ataque,
o atacante coordena e dispara os zumbis mestres, que coordenam e disparam os zumbis
escravos, e esses efetivamente enviam pacotes maliciosos para os alvos.
C) No caso da identificação indevida de tráfego como intrusão por um sistema IDS, ou

identificação de falsos positivos, a adoção de contramedidas rígidas, como o bloqueio do tráfego,
poderá contribuir para a quebra da disponibilidade da informação que deveria fluir pela rede.
D) A técnica avançada dos sistemas antivírus conhecida como sistema digital imune permite que
um programa antivírus detecte vírus polimórficos complexos e mantenha altas velocidades de
varredura.
E) Os tipos mais agressivos de adware incluem os sequestradores de navegadores, que exploram

fragilidades nos sistemas navegadores para baixar e instalar automaticamente códigos maliciosos
de clientes para redes zumbis ou botnets.

André Castro
Aula 01
Comentários:
Vamos aos itens:
a) O Worm simplesmente busca alcançar todos os dispositivos de rede que estão ao seu alcance.
A fase de disparo está relacionada ao conceito de vírus, em que de fato ele realiza a ação
maliciosa para qual foi proposto. INCORRETO
b) Pessoal, a figura abaixo nos mostra os tipos de ataque DoS, DDoS e DRDoS. Percebam que
no DRDoS ou DDoS refletor, os zumbis não atacam diretamente a vítima: INCORRETO
c) Esse, de fato, é o risco de se aumentar o nível de controle em um IDS ou de se habilitar o

modo de análise por comportamento. Quando se categoriza tráfegos legítimos como intrusões e
aplica-se contramedidas para bloqueio do tráfego, lembrando sempre que o IDS apenas detecta e
não bloqueia automaticamente como o IPS, tem-se uma prejudicialidade ao princípio da
disponibilidade. CORRETO
d) Esse recurso foi criado pela IBM e symantech. Possui diversos benefícios, entretanto, detectar
vírus polimórficos não é uma delas. Mais informações
em https://www.symantec.com/avcenter/reference/dis.tech.brief.pdf
INCORRETO
e) De fato os adwares mais agressivos possuem a capacidade de sequestrar e invadir

navegadores. Mas seu objetivo final não é criar zumbis e inseri-los em botnets mas tão somente
controlar e direcionar a navegação da vítima para áreas específicas. INCORRETO
Gabarito: C

André Castro
Aula 01
21. (CESPE – FUNPRESP/ Área 8/2016) Um ataque de XSS (cross site script) não permite a
injeção de código em formulários HTTP.
Comentários:
Muito pelo contrário. A ideia do ataque é justamente injetar códigos, como o JAVASCRIPT, nas páginas e
formulários, para posterior captura de dados dos usuários.
Gabarito: E
22. (CESPE – FUNPRESP/ Área 8/2016) O SQL Injection caracteriza-se por permitir que, ao se
fazer um POST via formulário HTTP, a codificação base64 retorne todos os comandos que um banco
SQL suporte.
Comentários:
O SQL injection objetiva injetar comandos SQL em campos de entrada de dados em determinados sites ou
páginas. Desse modo, quando o servidor for processar a informação enviada, como por exemplo via POST,
na prática, ele vai rodar o comando SQL injetado e poderá apresentar informações indevidas, como a
listagem dos usuários e senhas cadastradas no respectivo banco de dados do servidor.
Gabarito: E
QUESTÕES COMENTADAS COMPLEMENTARES

1. (FCC – TRE-SP/Analista Judiciário – Análise de Sistemas/2017) Hipoteticamente,
para orientar os usuários de computadores do TRE-SP a se prevenirem contra ataques de
códigos maliciosos (Malwares), um Analista de Sistemas, além de especificar a instalação
de mecanismos de proteção e manter a atualização de programas e do sistema operacional
dos computadores, orientou os usuários para não executarem arquivos de pendrives de
desconhecidos, pois podem ocorrer ataques, principalmente, do tipo
(A) Worm.
(B) Trojan.
(C) Bot.

André Castro
Aula 01
(D) Vírus.
(E) Spyware.
Comentário:
A principal característica que distingue o Virus dos demais é a necessidade de execução do

arquivo hospedeiro para que o Virus possa agir. Tla regra não se aplica ao Worm, Bot ou
Spywares. Entretanto, cabe uma crítica ao Trojan, uma vez que também depende uma ação do
usuário para agir.
Entretanto, a diferença é que o Vírus não é executado diretamente, mas sim o seu programa
hospedeiro. Já o Trojan, é executado diretamente. Entretanto, a questão não deixou claro essa
diferença, o que, gera prejuízo da análise da questão. Entendo que a questão deveria ser anulada
por haver dois possíveis gabaritos.
Gabarito: D (Gabarito do Professor: Anulação)
2. (FCC – TRE-SP/Analista Judiciário – Análise de Sistemas/2017) Sistemas de

detecção de intrusão − IDS e sistemas de prevenção de intrusão − IPS devem ser utilizados
para identificar e, se possível, prevenir ataques realizados em redes de computadores.
Entretanto, é necessário configurar o sistema com a identificação de comportamentos dos
vários tipos de ataques para o seu bom funcionamento. Um desses tipos de ataque tem
como objetivo saturar a capacidade de comunicação de rede do servidor por meio de
pacotes ICMP em Broadcast no qual o endereço de origem é alterado para a emissão de
várias respostas para a vítima. Trata-se do ataque conhecido como
(A) TCP Flood.
(B) DDoS IP.
(C) SMURF.
(D) Ping Flood.
(E) SYN ACK Reflection Flood.
Comentário:
A questão nada mais fez do que descrever o ataque SMURF, conforme imagem abaixo:

André Castro
Aula 01
Gabarito: C
3. FCC – TRE-SP/Analista Judiciário – Programação de Sistemas/2017) Em uma

situação hipotética, um tipo de código malicioso foi detectado no TRE-SP e tinha a
característica de ser controlado pelo invasor via processo de infecção e propagação
automática. Ele explorava diversas vulnerabilidades existentes em programas instalados.
Foi verificado, ainda, que a comunicação entre os infectados e o invasor ocorria de várias
formas, via servidores Web, canais IRC, redes tipo P2P, entre outros meios e eram
recebidos, automaticamente, pela rede. Um Programador de Sistemas analisou estas
características e observou que os computadores atingidos ficavam semelhantes a zumbis
(zombie computer) pelo fato de serem controlados remotamente, sem o conhecimento de
seu usuário. Trata-se de um código malicioso conhecido como
(A) Bot.
(B) Trojan DoS.
(C) Screenlogger.
(D) Rootkit.
(E) Keylogger.
Comentário:
Sempre em questões de ataques de redes e malwares, devemos buscar as palavras chaves que
caracterizam cada um deles. No caso em tela, temos o trecho "característica de ser controlado
pelo invasor via processo de infecção e propagação automática". Quando falamos de controle da
vítima, inevitavelmente falamos de Bot, ou zumbis. Lembrando que o agregado de vários bots
forma uma rede de vítimas conhecida como Botnet.
Gabarito: A

André Castro
Aula 01
4. (FCC – TCM-GO/Auditor de Controle Externo – Informática/2015) E-mail spoofing é

uma técnica que pode ser utilizada para propagação de códigos maliciosos, envio de spam
e golpes de phishing. Esta técnica consiste em
a) alterar as configurações de um servidor de e-mail para que dispare uma infinidade de e-mails
falsos até encher a caixa de correio de um ou muitos usuários.
b) falsificar o protocolo SMTP para inspecionar os dados trafegados na caixa de e-mail do

usuário, por meio do uso de programas específicos.
c) alterar os campos do cabeçalho de um e-mail, de forma a aparentar que ele foi enviado de
uma determinada origem quando, na verdade, foi enviado de outra.
d) efetuar buscas minuciosas no computador do usuário, com o objetivo de identificar

informações sigilosas.
e) alterar os campos do protocolo SMTP, de forma que os e-mails do usuário sejam direcionados
para outra conta sem que ele saiba.
Comentário:
Sempre lembrando pessoal que o termo “spoofing” está relacionado à falsificação ou adulteração
da informação. No caso do email spoofing, busca-se forjar a origem de um remetente, conforme
descrição no item C. Assim, posso enviar um email para uma vítima me passando pela instituição
Banco do Brasil, por exemplo.
Gabarito: C
5. (FCC – TJ-AP/Analista Judiciário – TI/2014) Vários computadores de uma rede

estão gerando spam, disseminando vírus, atacando computadores e servidores de forma
não prevista pelos administradores. Foi identificado um malware que é capaz de se
propagar automaticamente, explorando vulnerabilidades existentes em programas
instalados nos computadores infectados, tornando-os zumbis. Tal comportamento é
tipicamente ocasionado por uma ação de
a) adware.
b) botnet.
c) keylogger.
d) spyware.
e) phishing.
Comentário:

André Castro
Aula 01
Se temos uma rede com dispositivos controlados por um terceiro com comportamento de
disseminação de malwares ou sendo utilizados para fins ilegítimos, temos claramente uma rede
de zumbis, também conhecida como botnet.
Gabarito: B
6. (FCC – TCE-GO/Analista de Controle Externo – TI/2014) A melhor maneira de evitar

ataques de Cross-Site Scripting (XSS) em aplicações web é
a) validar adequadamente as entradas de dados dos usuários.
b) criar sessões nos processos de autenticação de usuários.
c) utilizar linguagens de programação orientadas a objeto para garantir o encapsulamento dos

dados.
d) criptografar dados nas transações entre cliente e servidor.
e) utilizar, nos formulários, nomes de variáveis diferentes dos nomes dos campos da tabela do
banco de dados.
Comentário:
Pessoal, vimos que o recurso de sanitização é extremamente importante na prevenção contra

ataques do tipo XSS.
Gabarito: A
7. (FCC – TRF – 1ªRegião/Técnico Judiciário – Informática/2014) Quando um site

importante usa um único servidor web para hospedá-lo, esse servidor se torna vulnerável a
ataques. Um destes ataques tenta sobrecarregar o servidor com um número muito grande
de requisições HTTP coordenadas e distribuídas - utilizando um conjunto de computadores
a) broadcast flood.
b) DDoS.
c) XSS.
d) ACK flood.
e) DoS.
Comentário:

André Castro
Aula 01
Pessoal, se falamos de indisponibilidade via sobrecarga no servidor, falamos de negação de serviço.

Entretanto, devemos buscar entender se falamos de um simples DoS, ou um ataque mais elaborado de DDoS.
Assim, quando encontramos o trecho “número muito grande de requisições HTTP coordenadas e
distribuídas” temo uma característica clássica de ataque DDoS.
Gabarito: B
8. (FCC – TRT-9ª Região (PR) – Analista Judiciário – TI/2013) É um tipo específico de

phishing que envolve o redirecionamento da navegação do usuário para sites falsos, por
meio de alterações no serviço de DNS (Domain Name System). Neste caso, quando você
tenta acessar um site legítimo, o seu navegador Web é redirecionado, de forma
transparente, para uma página falsa. Este redirecionamento pode ocorrer:
- por meio do comprometimento do servidor de DNS do provedor que você utiliza;
- pela ação de códigos maliciosos projetados para alterar o comportamento do serviço de

DNS do seu computador;
- pela ação direta de um invasor, que venha a ter acesso às configurações do serviço de
DNS do seu computador ou modem de banda larga.
Este tipo de fraude é chamado de
a) Pharming.
b) Hoax.
c) Advanced Phishing.
d) Furto de Identidade.
e) Fraude de antecipação de recursos.
Comentário:
Temos então a descrição da forma de funcionamento dos ataques do tipo PHARMING.
Gabarito: A
9. (FCC – TST/Analista Judiciário – TI/2012) Vírus de computador e outros programas

maliciosos (Malwares) agem de diferentes formas para infectar e provocar danos em
computadores. O Malware que age no computador capturando as ações e as informações
do usuário é denominado
a) Cavalo de Troia.

André Castro
Aula 01
b) Keyloggers.
c) Backdoors.
d) Spyware.
e) Worm.
Comentário:
Pessoal, lembremos sempre que o spyware possui a característica de obter informações do

usuário. Lembremos do termo em inglês “spy”, de espião. O Keylogger é uma especificidade de
um tipo de malware capaz de obter informações na captura de dígitos de um teclado. Se
considerarmos a digitação como uma ação e uma senha de usuário, também poderíamos
entender que o keylogger possui as características do enunciado.
Entretanto pessoal, não vamos caçar coisas onde não existe. Vamos nos ater às palavras chaves.
Em nenhum momento no enunciado foi explicitado o fato específico da captura na digitação.
Gabarito: D
10. (FCC – MPE-AP/Analista Ministerial – TI/2012) Sobre o tratamento de incidentes,

analise:
I. Propagação de vírus ou outros códigos maliciosos.
II. Ataques de engenharia social.
III. Modificações em um sistema, sem o conhecimento ou consentimento prévio de seu

proprietário.
IV. Ocorrência de monitoramento indevido de troca de mensagens.
Constitui exemplos de incidente de segurança que deve ser reportado o que consta em:
a) I, II, III e IV.
b) I e III, apenas.
c) II e IV, apenas.
d) I e II, apenas.
e) III e IV, apenas.
Comentário:

André Castro
Aula 01
Pessoal, todos os itens apresentados são exemplos de ações caracterizadas como maliciosas,
sendo necessário o seu devido registro e identificação, para posterior tratamento por equipes
especializadas.
Gabarito: A
11. (FCC – MPE-AP/Analista Ministerial – TI/2012) Sobre spyware é correto afirmar:
a) Trojans são programas spyware que parecem ser apenas cartões virtuais animados, álbuns
de fotos, jogos ou protetores de tela e que são instalados automaticamente no computador do
usuário com o objetivo de obter informações digitadas por meio do teclado físico ou virtual.
b) Adware é um programa spyware projetado especificamente para apresentar propagandas. É

usado apenas para fins legítimos, incorporado a programas e serviços, como forma de patrocínio
ou retorno financeiro para quem desenvolve programas livres ou presta serviços gratuitos.
c) São softwares exclusivamente de uso malicioso projetados para monitorar as atividades de

um sistema e enviar as informações coletadas para terceiros. Executam ações que podem
comprometer a privacidade do usuário e a segurança do computador.
d) Keylogger é um programa spyware capaz de capturar e armazenar as teclas digitadas pelo

usuário. Sua ativação não pode ser condicionada a uma ação prévia do usuário, como o acesso a
um site de Internet Banking.
e) Screenlogger é um tipo de spyware capaz de armazenar a posição do cursor e a tela

apresentada no monitor nos momentos em que o mouse é clicado, ou a região que circunda a
posição onde o mouse é clicado. É bastante utilizado por atacantes para capturar as teclas
digitadas pelos usuários em teclados virtuais.
Comentário:
Vamos comentar os itens:
a) Trojans não são spywares. São programas específicos criados para invasão de um sistema
e distribuição de outros códigos maliciosos no ambiente da vítima. INCORRETO
b) O uso de Adware não se restringe ao modo legítimo, tendo seu uso de forma maliciosa
bastante explorado. INCORRETO
c) Os spywares podem ter seu uso de forma maliciosa e legítima também, conforme vimos
em teoria. INCORRETO
d) A ativação do keylogger pode sim ser disparada a partir de eventos específicos. Assim, não
há necessidade de se monitorar toda e qualquer inserção de dados por parte do usuário, mas tão
somente aqueles dados que possam conter dados sigilosos, como no momento de acesso a uma
página de banco ou email. INCORRETO
Nos resta então a alternativa E que descreve a característica do screenlogger de forma correta.
Gabarito: E

André Castro
Aula 01
12. (FCC – MPE-AP/Técnico Ministerial – Informática/2012) Ataques desse tipo buscam

explorar a falta de tratamento dos dados de uma entrada do sistema. Desta maneira tenta-
se injetar strings maiores que as permitidas com o objetivo de invadir certas áreas da
memória. Este ataque permite inclusive injetar aplicações na máquina invadida, como
backdoors, trojans e sistemas de controle remoto, como o VNC.
O texto fala do ataque de
a) SYN Flood.
b) Escala de Privilégios.
c) Buffer Overflow.
d) ARP Cache Poising.
e) RIP Spoofing.
Comentário:
Vimos que o tipo de ataque Buffer Overflow pode ser utilizado para duas finalidades. A primeira é
para gerar indisponibilidade e a segunda, para acessar áreas indevidas da memória dos sistemas.
Gabarito: C
13. (FCC – TCE-CE/Analista de Controle Externo – Auditoria de TI/2015) Após o exame

no computador do funcionário de uma instituição foi detectada sua participação em um
ataque de DDoS sem seu conhecimento, em que seu computador atuava como um
"zumbi", controlado remotamente por um atacante. Isso ocorreu porque o computador
estava infectado por
A) adware.
B) rootkit.
C) bot.
D) spyware.
E) trojan.
Comentário:
Pessoal, questão bem tranquila, certo? Vimos que os computadores zumbis estão sujeitos ao
malware do tipo BOT. Assim, podem ser controlados remotamente para disparar ataques de
forma descentralizada.

André Castro
Aula 01
Gabarito: C
14. (TRT – 14ª Região (RO e AC)/Analista Judiciário – TI/2011) Analise as seguintes
características de software:
I. Especificamente projetado para apresentar propagandas, quer por intermédio de um

browser quer por meio de algum outro programa instalado.
II. Monitorar atividades de um sistema e enviar as informações coletadas para terceiros.
De acordo com cgi.br, I e II são tipos de software categorizados, respectivamente, como
A) trojan e worm.
B) adware e worm.
C) adware e spyware.
D) spyware e trojan.
E) phishing e spam.
Comentário:
Temos algumas palavras chaves aí, certo pessoal? Falou em propaganda, estamos falando de
ADWARE.
E, conforme vimos, o malware responsável por monitorar as ações dos usuários, podendo atuar
de forma lícita e ilícita é o spyware, ok?
Gabarito: C
15. (FCC – TRT – 5ª Região (BA)/Analista Judiciário – TI/2013) Um site de segurança

publicou uma notícia informando sobre um tipo de e-mail falso que vem atacando as redes
sociais. Trata-se de um falso aviso de segurança informando que a conta será bloqueada
caso não seja atualizada. Com aparência semelhante à do Facebook, este tipo de e-mail
oferece um link para que a pessoa acesse uma página da rede social para iniciar o
processo de atualização dos dados. Na verdade, o que ocorre ao clicar no link é a
instalação de um spyware, capaz de capturar e armazenar as teclas digitadas pelo usuário
no teclado do computador.
O spyware capaz de realizar o que está sublinhado no texto, de acordo com a cartilha de
segurança para internet do CERT.BR, é denominado:
A) Adware.

André Castro
Aula 01
B) Keylogger.
C) Rootkit.
D) Bot.
E) Trojan.
Comentário:
Vimos em nossa aula que o spyware pode utilizar diversas ferramentas e malwares
complementares com vistas a obter mais informações dos usuários infectados.
Como dois exemplos básicos, podemos citar o Keylogger, que vai monitorar e capturar todas as
teclas pressionadas pelo usuário; e o Screenlogger, que é capaz de capturar a tela do usuário.
Gabarito: B
16. (FCC – TCE-GO/Analista de Controle Externo – TI/2014) Ao tentar entrar em alguns

sites de comércio eletrônico para comprar produtos de seu interesse, Maria percebeu que
estava sendo redirecionada para sites muito semelhantes aos verdadeiros, mas que não
ofereciam conexão segura, nem certificado digital. Pela característica do problema, é mais
provável que Maria esteja sendo vítima de
A) vírus.
B) worm.
C) trojan.
D) backdoor.
E) pharming.
Comentário:
Vimos que o Pharming exerce exatamente a função descrita no enunciado. Há de se mencionar

que sites falsos não possuirão as informações de certificação digital dos sites originais. Assim,
para validarmos os acessos em caso de dúvidas, é altamente recomendável que se verifique as
informações contidas no certificado utilizado para validação do site.
O cenário apresentado pode acontecer pelo simplesmente comprometimento do servidor DNS da

rede que faz um redirecionamento local, a configuração local do DNS em sua máquina ou de um
servidor DNS na rede responsável por divulgar o endereço IP responsável pelo nome de domínio
em questão.
Gabarito: E

André Castro
Aula 01
17. (FCC – TCE-SP/Agente da Fiscalização Financeira – Conhecimento Básicos/2010)

Mensagem não solicitada e mascarada sob comunicação de alguma instituição conhecida
e que pode induzir o internauta ao acesso a páginas fraudulentas, projetadas para o furto
de dados pessoais ou financeiros do usuário. Trata-se especificamente de:
A) keylogger.
B) scanning.
C) botnet.
D) phishing.
E) rootkit.
Comentário:
E agora sim temos a descrição padrão da ação de um phishing comum.
Gabarito: D
18. (FCC – TRE-RR/Analista Judiciário – Análise de Sistemas/2015) Rootkits exploram

vulnerabilidades do sistema operacional de um computador e são usados para
A) transformar um computador em zumbi.
B) criar uma conta anônima de e-mail para enviar spam.
C) substituir a página inicial de navegação por uma página de propaganda forçada.
D) esconder e assegurar a presença de invasor ou de malware em um computador

comprometido.
E) capturar imagens da tela e de caracteres digitados no teclado do computador
Comentário:
Vimos que os ROOTKITS são um conjunto de programas e técnicas que buscam esconder e
garantir a presença do invasor ou de outro código malicioso. Assim, a detecção de malwares em
uma vítima de ROOTKIT pode ser mais complicado.
Gabarito: D

André Castro
Aula 01
19. (FCC – TRF 3ª Região (SP MS)/Analista Judiciário – Informática/2014) Qualquer

ataque planejado para fazer uma máquina ou software ficar indisponível e incapaz de
executar sua funcionalidade básica é conhecido como ataque de negação de serviço
(Denial of Service − DOS). Há diversos tipos de ataque DOS sendo que, um deles, tira
vantagem de redes mal configuradas que possuem um endereço de difusão (broadcast)
pelo qual o usuário pode enviar um pacote que é recebido por todos os endereços IP da
rede. Este tipo de ataque explora esta propriedade enviando pacotes ICMP com um
endereço fonte configurado para o alvo e com um endereço destino configurado para o
endereço de difusão da rede.
O tipo de ataque descrito acima é conhecido como
A) sniffing.
B) inundação por SYN.
C) ACK TCP.
D) smurf.
E) falsificação de IP.
Comentário:
Vimos que ataques DDoS que utilizam o redirecionamento de tráfego ICMP a partir de redes que
permitem o tráfego de broadcast são chamados de SMURFS. Para lembrarmos o modelo, vamos
verificar a figura abaixo:
Gabarito: D
20. FCC – TRT – 15ª Região (Campinas-SP)/Técnico Judiciário – TI/2015

André Castro
Aula 01
O usuário de um computador conectado à internet está se queixando que, repentinamente,

começaram a aparecer janelas com anúncios na tela do computador. Considerando a
possibilidade de que um malware está atacando o computador do usuário, o sintoma
relatado aparenta ser a ação de um malware do tipo
A) Rootkit.
B) Backdoor.
C) Adware.
D) Botnet.
E) Spyware.
Comentário:
Mais uma vez pessoal, temos aí o termo de anúncios ou propaganda. Isso nos leva então ao
malware do tipo Adware, certo?
Gabarito: C
21. FCC – TRT – 15ª Região (Campinas-SP)/Técnico Judiciário – TI/2015
Sobre um programa de código malicioso − malware, considere:
I. É notadamente responsável por consumir muitos recursos devido à grande quantidade

de cópias de si mesmo que costuma propagar e, como consequência, pode afetar o
desempenho de redes e a utilização de computadores.
II. Programa capaz de se propagar automaticamente pelas redes, enviando cópias de si

mesmo de computador para computador.
III. Diferente do vírus, não se propaga por meio da inclusão de cópias de si mesmo em
outros programas ou arquivos, mas sim pela execução direta de suas cópias ou pela
exploração automática de vulnerabilidades existentes em programas instalados em
computadores.
Os itens I, II e III tratam de características de um
A) Trojan Proxy.
B) Keylogger.
C) Scan.
D) Worm.

André Castro
Aula 01
E) Spoofing.
Comentário:
Pessoal, vimos essas características para o WORM certo? Inclusive, a questão nos traz essa
revisão das principais diferenças em relação ao vírus.
Gabarito: D
22. (FCC – TRT – 15ª Região (Campinas-SP)/Técnico Judiciário – TI/2015) Considere,

abaixo, as células assinaladas por um tique, como características de códigos maliciosos.
Imagem da Questão
Neste caso, I e II correspondem, correta e respectivamente a
A) Rootkit e Backdoor.
B) Rootkit e Trojan.
C) Trojan e Rootkit.
D) Backdoor e Rootkit.
E) Trojan e Backdoor.
Comentário:
Tabela retirada da cartilha do cert.bt. O perigo aqui está em considerar o Trojan nas alternativas.
O trojan pessoal não busca explorar vulnerabilidades e ser executado a partir de outro código. Ele
é o responsável por realizar tais funções para outros códigos, como o backdoor e o Rootkit.

André Castro
Aula 01
Uma outra observação seria na diferença então do Rootkit e do backdoor. Vale lembrar que o
backdoor tem como objetivo tão somente permitir a volta do atacante à máquina da vítima,
enquanto o Rootkit, implementa outros recursos com vistas a esconder os malwares ali inseridos,
tomar ações a nível de administrador, entre outros.
Gabarito: D
23. (FCC – TRT – 13ª Região (PB)/Analista Judiciário – TI/2014) Atualmente existem
inúmeras formas pelas quais os malwares (software malicioso) se disseminam e atuam.
Por exemplo, o tipo de malware conhecido como Worms é caracterizado
A) pela exibição de anúncios na tela do computador sem autorização.
B) por monitorar as atividades de um sistema e enviar os dados coletados, por meio da rede, para
utilização fraudulenta.
C) pela capacidade de se propagar, automaticamente, por meio de redes, enviando cópias de si

para outros computadores.
D) pela utilização das falhas no sistema operacional para obter o controle do equipamento infectado.
E) por monitorar as ações de digitação realizada pelos usuários do computador infectado.
Comentário:
Mais uma questão bem simples e objetiva a respeito das características do WORM, certo pessoal?
Gabarito: C
24. (FCC – MPE-CE/Analista Ministerial – Ciências da Computação/2013) Há diferentes

tipos de vírus. Alguns procuram permanecer ocultos, infectando arquivos do disco e
executando uma série de atividades sem o conhecimento do usuário. Há outros que
permanecem inativos durante certos períodos, entrando em atividade apenas em datas
específicas. Alguns dos tipos de vírus mais comuns são apresentados nas afirmativas
abaixo. Assinale o que NÃO se trata de um vírus.
A) Propaga-se de celular para celular por meio de bluetooth ou de mensagens MMS. A infecção ocorre
quando um usuário permite o recebimento de um arquivo infectado e o executa. Após infectar o celular,
pode destruir ou sobrescrever arquivos, remover ou transmitir contatos da agenda, efetuar ligações
telefônicas e drenar a carga da bateria.
B) Recebido como um arquivo anexo a um e-mail, que tenta induzir o usuário a clicar sobre este arquivo
para que seja executado. Quando entra em ação, infecta arquivos e programas e envia cópias de si mesmo
para os e-mails encontrados nas listas de contatos gravadas no computador.

André Castro
Aula 01
C) Escrito em linguagem de script, recebido ao acessar uma página web ou por e-mail, como um arquivo
anexo ou parte do próprio e-mail escrito em HTML. Pode ser automaticamente executado, dependendo da
configuração do browser e do leitor de e-mails do usuário.
D) Escrito em linguagem de macro e tenta infectar arquivos manipulados por aplicativos que utilizam esta
linguagem como, por exemplo, os que compõem o Microsoft Office.
E) Após infectar um computador, tenta se propagar e continuar o processo de infecção. Para isso, necessita
identificar os computadores alvos para os quais tentará se copiar, o que pode ser feito efetuando uma
varredura na rede e identificando os computadores ativos.
Comentário:
Questão retirada mais uma vez dos exemplos apresentados de tipos de Virus na cartilha do Cert.br.
Assim, temos para cada item:
a) Virus de Celular;
b) Virus de e-mail;
c) Virus de Script;
d) Virus de Macro
O último item nos traz a propagação via rede, que é uma característica de WORM e não vírus.
Gabarito: E
25. (FCC – TRT -14ª Região (RO e AC)/Analista Judiciário – TI/2016) Um atacante
introduziu um dispositivo em uma rede para induzir usuários a se conectarem a este dispositivo, ao
invés do dispositivo legítimo, e conseguiu capturar senhas de acesso e diversas informações que por ele
trafegaram. A rede sofreu um ataque de
(A) varredura.
(D) força bruta.
Comentário:
Trecho extraído diretamente da cartilha do cert.br, no link a seguir.
http://cartilha.cert.br/redes/

André Castro
Aula 01
Ataque de personificação: um atacante pode introduzir ou substituir um dispositivo de rede para induzir
outros a se conectarem a este, ao invés do dispositivo legítimo, permitindo a captura de senhas de acesso e
informações que por ele passem a trafegar.
Gabarito: E
26. (FCC - 2017 - DPE-RS - Analista - Segurança da Informação) Um Pentester está

atuando no processo de auditoria de segurança da informação de uma organização e iniciou os testes
de intrusão sem qualquer tipo de informação sobre a infraestrutura de sistemas e de rede da empresa
que será auditada. Ele está realizando um teste
A) White-Box.
B) Black-Box.
C) Grey-Box.
D) Blind-Eagle.
E) Blind-Goat.
Comentários:
Vimos que o Black-Box é o teste mais complexo, uma vez que não se tem qualquer tipo de informação do
ambiente a ser analisado, sendo necessária uma construção de estratégia inclusive para identificar e mapear
esses recursos, para posteriormente avaliar suas vulnerabilidades.
Gabarito: B

André Castro
Aula 01
LISTA DE QUESTÕES
1. (CESPE – STJ/Analista Judiciário – Suporte em TI/2015) Uma vez que a varredura
simples de portas é facilmente detectada por firewalls, outros tipos de mensagens
passaram a ser utilizadas para mapeamento de serviços de redes, como por exemplo, as
de RESET e as de SYN-ACK, que sinalizariam tentativa legítima de conexão, e, ainda,
pacotes de resposta DNS (domain name system), que são respostas a mensagens geradas
internamente.
2. (CESPE – ANTAQ/Analista administrativo – Infra de TI/2014) Em um ataque de

DDoS, que objetiva deixar inacessível o recurso computacional para os usuários legítimos,
um computador mestre controla milhares de computadores zumbis que acessam um
sistema ao mesmo tempo (um servidor web, por exemplo), com o objetivo de esgotar seus
recursos.
3. (CESPE – ANTAQ/Analista administrativo – Infra de TI/2014) O ataque de spear

phishing, que é uma tentativa de fraude por falsificação de email, tem como alvo uma
organização específica e objetiva, normalmente, conseguir acesso não autorizado a dados
sigilosos.
4. (CESPE – TC-DF/Analista de Administração Pública – Sistemas de TI/2014)

Utilizado para a captura ilegal de informações de uma máquina em rede, o spoofing analisa
o tráfego da rede e coleta dados sigilosos como senhas e endereços
5. (CESPE – MPU/Analista – Suporte e Infraestrutura/2013) O combate à

contaminação por um worm pode ser realizada por meio da utilização de antivírus no
computador que se deseja proteger
6. (CESPE – MPOG/Técnico de Nível Superior/2013) Ataques de negação de serviço

volumétricos, distribuídos ou não, envolvem flooding para esgotamento de recursos e
spoofing para dificultar o rastreamento da origem.
7. (CESPE – SERPRO/Analista de Desenvolvimento/2013) Um ataque à infraestrutura

de conectividade de um banco à Internet, interrompendo o acesso a seus serviços de home
banking, afeta a disponibilidade.

André Castro
Aula 01
8. (CESPE – INPI/Analista de Planejamento – Infraestrutura de TI/2013) Worm é um

programa que possui código malicioso, capaz de se disseminar, por meio de uma rede,
para vários computadores.
9. (CESPE – INPI/Analista de Planejamento – Infraestrutura de TI/2013) A principal

atividade de programas com códigos maliciosos e que funcionam na função de keylogger é
apresentar propagandas não solicitadas pelo usuário, direcionando-o a sítios maliciosos.
10. (CESPE – INPI/Analista de Planejamento – Infraestrutura de TI/2013)

Um spyware pode ser utilizado de forma legítima ou maliciosa, pois sua função é monitorar
atividades de um sistema, além de coletar e enviar informações a terceiros.
11. (CESPE – INPI/Analista de Planejamento – Infraestrutura de TI/2013) DDOS

(distributed denial of service) é um tipo de ataque que tem a finalidade de inviabilizar o
funcionamento de um computador. Para isso, a partir de vários computadores, é enviada
grande quantidade de requisições a determinado serviço, a fim de consumir os recursos
do computador alvo do ataque.
12. (CESPE – TJ-AC/Técnico Judiciário – Informática/2012) O funcionamento de um

computador que tenha sofrido um ataque conhecido como phishing pode ser
comprometido, sendo os dados gravados nesse computador armazenados em um disco
corrompido.
13. (CESPE – TJ-AC/Técnico Judiciário – Informática/2012) Os bots e os worms são

tipos de programas maliciosos que se propagam enviando cópias de si mesmos pela rede
de computadores.
14. (CESPE – TJ-AC/Técnico Judiciário – Informática/2012) Computadores conectados

à Internet e infectados por bots são vulneráveis, estando sujeitos ao controle de
criminosos que podem comandar um ataque de negação de serviço.
15. (CESPE – TJ-AC/Técnico Judiciário – Informática/2012) Para que seja instalado em

um computador, é necessário que o spyware seja explicitamente executado pelo usuário.

André Castro
Aula 01
16. (CESPE – TJ-AC/Técnico Judiciário – Informática/2012) Um cavalo de troia é um

tipo de programa malicioso que, uma vez instalado no computador, possibilita o seu
controle remotamente.
17. (CESPE – TJ-AC/Técnico Judiciário – Informática/2012) A atualização

automática on-line do sistema operacional é uma prática que garante que o computador
não sofrerá infecção por bots.
18. (CESPE – TJ-AC/Técnico Judiciário – Informática/2012) Por serem de difícil

detecção, os worms só podem ser combatidos por ferramentas específicas para esse fim,
que se denominam antiworms.
19. (CESPE – TJ-AC/Técnico Judiciário – Informática/2012) O uso de programas

antivírus continuamente atualizados é uma prática suficiente para se evitar que
um worm contamine um computador.
20. (CESPE – TRE/RS / Analista Judiciário/2015) Acerca de sistemas de segurança,

ataques e malwares, assinale a opção correta.
A) A fase de disparo de um verme ou worm é caracterizada pela busca de outros sistemas para
infectar, por meio de exame das tabelas de hosts ou repositórios semelhantes de endereços de
sistemas remotos.
B) Em um ataque DDoS refletor, o atacante é capaz de implantar software zumbi em diversas

máquinas distribuídas pela Internet, divididas em zumbis mestres e zumbis escravos. No ataque,
o atacante coordena e dispara os zumbis mestres, que coordenam e disparam os zumbis
escravos, e esses efetivamente enviam pacotes maliciosos para os alvos.
C) No caso da identificação indevida de tráfego como intrusão por um sistema IDS, ou

identificação de falsos positivos, a adoção de contramedidas rígidas, como o bloqueio do tráfego,
poderá contribuir para a quebra da disponibilidade da informação que deveria fluir pela rede.
D) A técnica avançada dos sistemas antivírus conhecida como sistema digital imune permite que
um programa antivírus detecte vírus polimórficos complexos e mantenha altas velocidades de
varredura.
E) Os tipos mais agressivos de adware incluem os sequestradores de navegadores, que exploram

fragilidades nos sistemas navegadores para baixar e instalar automaticamente códigos maliciosos
de clientes para redes zumbis ou botnets.

André Castro
Aula 01
21. (CESPE – FUNPRESP/ Área 8/2016) Um ataque de XSS (cross site script) não
permite a injeção de código em formulários HTTP.
22. (CESPE – FUNPRESP/ Área 8/2016) O SQL Injection caracteriza-se por permitir
que, ao se fazer um POST via formulário HTTP, a codificação base64 retorne todos os
comandos que um banco SQL suporte.

André Castro
Aula 01
LISTA DE QUESTÕES COMPLEMENTARES

1. (FCC – TRE-SP/Analista Judiciário – Análise de Sistemas/2017) Hipoteticamente,
para orientar os usuários de computadores do TRE-SP a se prevenirem contra ataques de
códigos maliciosos (Malwares), um Analista de Sistemas, além de especificar a instalação
de mecanismos de proteção e manter a atualização de programas e do sistema operacional
dos computadores, orientou os usuários para não executarem arquivos de pendrives de
desconhecidos, pois podem ocorrer ataques, principalmente, do tipo
(A) Worm.
(B) Trojan.
(C) Bot.
(D) Vírus.
(E) Spyware.
2. (FCC – TRE-SP/Analista Judiciário – Análise de Sistemas/2017) Sistemas de

detecção de intrusão − IDS e sistemas de prevenção de intrusão − IPS devem ser utilizados
para identificar e, se possível, prevenir ataques realizados em redes de computadores.
Entretanto, é necessário configurar o sistema com a identificação de comportamentos dos
vários tipos de ataques para o seu bom funcionamento. Um desses tipos de ataque tem
como objetivo saturar a capacidade de comunicação de rede do servidor por meio de
pacotes ICMP em Broadcast no qual o endereço de origem é alterado para a emissão de
várias respostas para a vítima. Trata-se do ataque conhecido como
(A) TCP Flood.
(B) DDoS IP.
(C) SMURF.
(D) Ping Flood.
(E) SYN ACK Reflection Flood.
3. (FCC – TRE-SP/Analista Judiciário – Programação de Sistemas/2017) Em uma

situação hipotética, um tipo de código malicioso foi detectado no TRE-SP e tinha a

André Castro
Aula 01
característica de ser controlado pelo invasor via processo de infecção e propagação

automática. Ele explorava diversas vulnerabilidades existentes em programas instalados.
Foi verificado, ainda, que a comunicação entre os infectados e o invasor ocorria de várias
formas, via servidores Web, canais IRC, redes tipo P2P, entre outros meios e eram
recebidos, automaticamente, pela rede. Um Programador de Sistemas analisou estas
características e observou que os computadores atingidos ficavam semelhantes a zumbis
(zombie computer) pelo fato de serem controlados remotamente, sem o conhecimento de
seu usuário. Trata-se de um código malicioso conhecido como
(A) Bot.
(B) Trojan DoS.
(C) Screenlogger.
(D) Rootkit.
(E) Keylogger.
4. (FCC – TCM-GO/Auditor de Controle Externo – Informática/2015) E-mail spoofing é

uma técnica que pode ser utilizada para propagação de códigos maliciosos, envio de spam
e golpes de phishing. Esta técnica consiste em
a) alterar as configurações de um servidor de e-mail para que dispare uma infinidade de e-mails
falsos até encher a caixa de correio de um ou muitos usuários.
b) falsificar o protocolo SMTP para inspecionar os dados trafegados na caixa de e-mail do

usuário, por meio do uso de programas específicos.
c) alterar os campos do cabeçalho de um e-mail, de forma a aparentar que ele foi enviado de
uma determinada origem quando, na verdade, foi enviado de outra.
d) efetuar buscas minuciosas no computador do usuário, com o objetivo de identificar

informações sigilosas.
e) alterar os campos do protocolo SMTP, de forma que os e-mails do usuário sejam direcionados
para outra conta sem que ele saiba.
5. (FCC – TJ-AP/Analista Judiciário – TI/2014) Vários computadores de uma rede

estão gerando spam, disseminando vírus, atacando computadores e servidores de forma
não prevista pelos administradores. Foi identificado um malware que é capaz de se
propagar automaticamente, explorando vulnerabilidades existentes em programas
instalados nos computadores infectados, tornando-os zumbis. Tal comportamento é
tipicamente ocasionado por uma ação de
a) adware.
b) botnet.

André Castro
Aula 01
c) keylogger.
d) spyware.
e) phishing.
6. (FCC – TCE-GO/Analista de Controle Externo – TI/2014) A melhor maneira de evitar

ataques de Cross-Site Scripting (XSS) em aplicações web é
a) validar adequadamente as entradas de dados dos usuários.
b) criar sessões nos processos de autenticação de usuários.
c) utilizar linguagens de programação orientadas a objeto para garantir o encapsulamento dos

dados.
d) criptografar dados nas transações entre cliente e servidor.
e) utilizar, nos formulários, nomes de variáveis diferentes dos nomes dos campos da tabela do
banco de dados.
7. (FCC – TRF – 1ªRegião/Técnico Judiciário – Informática/2014) Quando um site

importante usa um único servidor web para hospedá-lo, esse servidor se torna vulnerável a
ataques. Um destes ataques tenta sobrecarregar o servidor com um número muito grande
de requisições HTTP coordenadas e distribuídas - utilizando um conjunto de computadores
a) broadcast flood.
b) DDoS.
c) XSS.
d) ACK flood.
e) DoS.
8. (FCC – TRT-9ª Região (PR) – Analista Judiciário – TI/2013) É um tipo específico de

phishing que envolve o redirecionamento da navegação do usuário para sites falsos, por
meio de alterações no serviço de DNS (Domain Name System). Neste caso, quando você
tenta acessar um site legítimo, o seu navegador Web é redirecionado, de forma
transparente, para uma página falsa. Este redirecionamento pode ocorrer:

André Castro
Aula 01
- por meio do comprometimento do servidor de DNS do provedor que você utiliza;
- pela ação de códigos maliciosos projetados para alterar o comportamento do serviço de

DNS do seu computador;
- pela ação direta de um invasor, que venha a ter acesso às configurações do serviço de
DNS do seu computador ou modem de banda larga.
Este tipo de fraude é chamado de
a) Pharming.
b) Hoax.
c) Advanced Phishing.
d) Furto de Identidade.
e) Fraude de antecipação de recursos.
9. (FCC – TST/Analista Judiciário – TI/2012) Vírus de computador e outros programas

maliciosos (Malwares) agem de diferentes formas para infectar e provocar danos em
computadores. O Malware que age no computador capturando as ações e as informações
do usuário é denominado
a) Cavalo de Troia.
b) Keyloggers.
c) Backdoors.
d) Spyware.
e) Worm.
10. FCC – MPE-AP/Analista Ministerial – TI/2012) Sobre o tratamento de incidentes,

analise:
I. Propagação de vírus ou outros códigos maliciosos.
II. Ataques de engenharia social.
III. Modificações em um sistema, sem o conhecimento ou consentimento prévio de seu

proprietário.
IV. Ocorrência de monitoramento indevido de troca de mensagens.

André Castro
Aula 01
Constitui exemplos de incidente de segurança que deve ser reportado o que consta em:
a) I, II, III e IV.
b) I e III, apenas.
c) II e IV, apenas.
d) I e II, apenas.
e) III e IV, apenas.
11. (FCC – MPE-AP/Analista Ministerial – TI/2012) Sobre spyware é correto afirmar:
a) Trojans são programas spyware que parecem ser apenas cartões virtuais animados, álbuns
de fotos, jogos ou protetores de tela e que são instalados automaticamente no computador do
usuário com o objetivo de obter informações digitadas por meio do teclado físico ou virtual.
b) Adware é um programa spyware projetado especificamente para apresentar propagandas. É

usado apenas para fins legítimos, incorporado a programas e serviços, como forma de patrocínio
ou retorno financeiro para quem desenvolve programas livres ou presta serviços gratuitos.
c) São softwares exclusivamente de uso malicioso projetados para monitorar as atividades de

um sistema e enviar as informações coletadas para terceiros. Executam ações que podem
comprometer a privacidade do usuário e a segurança do computador.
d) Keylogger é um programa spyware capaz de capturar e armazenar as teclas digitadas pelo

usuário. Sua ativação não pode ser condicionada a uma ação prévia do usuário, como o acesso a
um site de Internet Banking.
e) Screenlogger é um tipo de spyware capaz de armazenar a posição do cursor e a tela

apresentada no monitor nos momentos em que o mouse é clicado, ou a região que circunda a
posição onde o mouse é clicado. É bastante utilizado por atacantes para capturar as teclas
digitadas pelos usuários em teclados virtuais.
12. (FCC – MPE-AP/Técnico Ministerial – Informática/2012) Ataques desse tipo buscam

explorar a falta de tratamento dos dados de uma entrada do sistema. Desta maneira tenta-
se injetar strings maiores que as permitidas com o objetivo de invadir certas áreas da
memória. Este ataque permite inclusive injetar aplicações na máquina invadida, como
backdoors, trojans e sistemas de controle remoto, como o VNC.
O texto fala do ataque de
a) SYN Flood.
b) Escala de Privilégios.

André Castro
Aula 01
c) Buffer Overflow.
d) ARP Cache Poising.
e) RIP Spoofing.
13. (FCC – TCE-CE/Analista de Controle Externo – Auditoria de TI/2015) Após o exame

no computador do funcionário de uma instituição foi detectada sua participação em um
ataque de DDoS sem seu conhecimento, em que seu computador atuava como um
"zumbi", controlado remotamente por um atacante. Isso ocorreu porque o computador
estava infectado por
A) adware.
B) rootkit.
C) bot.
D) spyware.
E) trojan.
14. (TRT – 14ª Região (RO e AC)/Analista Judiciário – TI/2011) Analise as seguintes
características de software:
I. Especificamente projetado para apresentar propagandas, quer por intermédio de um

browser quer por meio de algum outro programa instalado.
II. Monitorar atividades de um sistema e enviar as informações coletadas para terceiros.
De acordo com cgi.br, I e II são tipos de software categorizados, respectivamente, como
A) trojan e worm.
B) adware e worm.
C) adware e spyware.
D) spyware e trojan.
E) phishing e spam.
15. (FCC – TRT – 5ª Região (BA)/Analista Judiciário – TI/2013) Um site de segurança

publicou uma notícia informando sobre um tipo de e-mail falso que vem atacando as redes

André Castro
Aula 01
sociais. Trata-se de um falso aviso de segurança informando que a conta será bloqueada
caso não seja atualizada. Com aparência semelhante à do Facebook, este tipo de e-mail
oferece um link para que a pessoa acesse uma página da rede social para iniciar o
processo de atualização dos dados. Na verdade, o que ocorre ao clicar no link é a
instalação de um spyware, capaz de capturar e armazenar as teclas digitadas pelo usuário
no teclado do computador.
O spyware capaz de realizar o que está sublinhado no texto, de acordo com a cartilha de
segurança para internet do CERT.BR, é denominado:
A) Adware.
B) Keylogger.
C) Rootkit.
D) Bot.
E) Trojan.
16. (FCC – TCE-GO/Analista de Controle Externo – TI/2014) Ao tentar entrar em alguns

sites de comércio eletrônico para comprar produtos de seu interesse, Maria percebeu que
estava sendo redirecionada para sites muito semelhantes aos verdadeiros, mas que não
ofereciam conexão segura, nem certificado digital. Pela característica do problema, é mais
provável que Maria esteja sendo vítima de
A) vírus.
B) worm.
C) trojan.
D) backdoor.
E) pharming.
17. (FCC – TCE-SP/Agente da Fiscalização Financeira – Conhecimento Básicos/2010)

Mensagem não solicitada e mascarada sob comunicação de alguma instituição conhecida
e que pode induzir o internauta ao acesso a páginas fraudulentas, projetadas para o furto
de dados pessoais ou financeiros do usuário. Trata-se especificamente de
A) keylogger.
B) scanning.
C) botnet.

André Castro
Aula 01
D) phishing.
E) rootkit.
18. (FCC – TRE-RR/Analista Judiciário – Análise de Sistemas/2015) Rootkits exploram

vulnerabilidades do sistema operacional de um computador e são usados para
A) transformar um computador em zumbi.
B) criar uma conta anônima de e-mail para enviar spam.
C) substituir a página inicial de navegação por uma página de propaganda forçada.
D) esconder e assegurar a presença de invasor ou de malware em um computador

comprometido.
E) capturar imagens da tela e de caracteres digitados no teclado do computador.
19. (FCC – TRF 3ª Região (SP MS)/Analista Judiciário – Informática/2014) Qualquer

ataque planejado para fazer uma máquina ou software ficar indisponível e incapaz de
executar sua funcionalidade básica é conhecido como ataque de negação de serviço
(Denial of Service − DOS). Há diversos tipos de ataque DOS sendo que, um deles, tira
vantagem de redes mal configuradas que possuem um endereço de difusão (broadcast)
pelo qual o usuário pode enviar um pacote que é recebido por todos os endereços IP da
rede. Este tipo de ataque explora esta propriedade enviando pacotes ICMP com um
endereço fonte configurado para o alvo e com um endereço destino configurado para o
endereço de difusão da rede.
O tipo de ataque descrito acima é conhecido como
A) sniffing.
B) inundação por SYN.
C) ACK TCP.
D) smurf.
E) falsificação de IP.
20. (FCC – TRT – 15ª Região (Campinas-SP)/Técnico Judiciário – TI/2015) O usuário de

um computador conectado à internet está se queixando que, repentinamente, começaram a
aparecer janelas com anúncios na tela do computador. Considerando a possibilidade de

André Castro
Aula 01
que um malware está atacando o computador do usuário, o sintoma relatado aparenta ser a
ação de um malware do tipo
A) Rootkit.
B) Backdoor.
C) Adware.
D) Botnet.
E) Spyware.
21. (FCC – TRT – 15ª Região (Campinas-SP)/Técnico Judiciário – TI/2015) Sobre um

programa de código malicioso − malware, considere:
I. É notadamente responsável por consumir muitos recursos devido à grande quantidade

de cópias de si mesmo que costuma propagar e, como consequência, pode afetar o
desempenho de redes e a utilização de computadores.
II. Programa capaz de se propagar automaticamente pelas redes, enviando cópias de si

mesmo de computador para computador.
III. Diferente do vírus, não se propaga por meio da inclusão de cópias de si mesmo em
outros programas ou arquivos, mas sim pela execução direta de suas cópias ou pela
exploração automática de vulnerabilidades existentes em programas instalados em
computadores.
Os itens I, II e III tratam de características de um
A) Trojan Proxy.
B) Keylogger.
C) Scan.
D) Worm.
E) Spoofing.
22. (FCC – TRT – 15ª Região (Campinas-SP)/Técnico Judiciário – TI/2015) Considere,

abaixo, as células assinaladas por um tique, como características de códigos maliciosos.

André Castro
Aula 01
Imagem da Questão
Neste caso, I e II correspondem, correta e respectivamente a
A) Rootkit e Backdoor.
B) Rootkit e Trojan.
C) Trojan e Rootkit.
D) Backdoor e Rootkit.
E) Trojan e Backdoor.
23. (FCC – TRT – 13ª Região (PB)/Analista Judiciário – TI/2014) Atualmente existem inúmeras
formas pelas quais os malwares (software malicioso) se disseminam e atuam. Por exemplo, o tipo de
malware conhecido como Worms é caracterizado
A) pela exibição de anúncios na tela do computador sem autorização.
B) por monitorar as atividades de um sistema e enviar os dados coletados, por meio da rede, para utilização
fraudulenta.
C) pela capacidade de se propagar, automaticamente, por meio de redes, enviando cópias de si para
outros computadores.
D) pela utilização das falhas no sistema operacional para obter o controle do equipamento infectado.

André Castro
Aula 01
E) por monitorar as ações de digitação realizada pelos usuários do computador infectado.
24. (FCC – MPE-CE/Analista Ministerial – Ciências da Computação/2013) Há diferentes tipos de

vírus. Alguns procuram permanecer ocultos, infectando arquivos do disco e executando uma série de
atividades sem o conhecimento do usuário. Há outros que permanecem inativos durante certos períodos,
entrando em atividade apenas em datas específicas. Alguns dos tipos de vírus mais comuns são
apresentados nas afirmativas abaixo. Assinale o que NÃO se trata de um vírus.
A) Propaga-se de celular para celular por meio de bluetooth ou de mensagens MMS. A infecção ocorre
quando um usuário permite o recebimento de um arquivo infectado e o executa. Após infectar o celular,
pode destruir ou sobrescrever arquivos, remover ou transmitir contatos da agenda, efetuar ligações
telefônicas e drenar a carga da bateria.
B) Recebido como um arquivo anexo a um e-mail, que tenta induzir o usuário a clicar sobre este arquivo
para que seja executado. Quando entra em ação, infecta arquivos e programas e envia cópias de si mesmo
C) Escrito em linguagem de script, recebido ao acessar uma página web ou por e-mail, como um arquivo
anexo ou parte do próprio e-mail escrito em HTML. Pode ser automaticamente executado, dependendo da
configuração do browser e do leitor de e-mails do usuário.
D) Escrito em linguagem de macro e tenta infectar arquivos manipulados por aplicativos que utilizam esta
linguagem como, por exemplo, os que compõem o Microsoft Office.
E) Após infectar um computador, tenta se propagar e continuar o processo de infecção. Para isso, necessita
identificar os computadores alvos para os quais tentará se copiar, o que pode ser feito efetuando uma
varredura na rede e identificando os computadores ativos.
25. (FCC – TRT -14ª Região (RO e AC)/Analista Judiciário – TI/2016) Um atacante introduziu um
dispositivo em uma rede para induzir usuários a se conectarem a este dispositivo, ao invés do
dispositivo legítimo, e conseguiu capturar senhas de acesso e diversas informações que por ele
trafegaram. A rede sofreu um ataque de
(A) varredura.
(D) força bruta.

André Castro
Aula 01
26. (FCC - 2017 - DPE-RS - Analista - Segurança da Informação) Um Pentester está atuando no
processo de auditoria de segurança da informação de uma organização e iniciou os testes de intrusão
sem qualquer tipo de informação sobre a infraestrutura de sistemas e de rede da empresa que será
auditada. Ele está realizando um teste
A) White-Box.
B) Black-Box.
C) Grey-Box.
D) Blind-Eagle.
E) Blind-Goat.
GABARITO
Gabarito – Questões CESPE
1 C 9 E
2 C 10 C
3 C 11 C
4 E 12 E
5 C 13 C
6 C 14 C
7 C 15 C
8 C 16 C

André Castro
Aula 01
17 E
18 E
19 E
20 C
21 E
22 E

André Castro
Aula 01
Gabarito – Questões FCC
1 D 23 C
2 C 24 E
3 A 25 E
4 C 26 B
5 B
6 A
7 B
8 A
9 D
10 A
11 E
12 C
13 C
14 C
15 B
16 E
17 D
18 D
19 D
20 C
21 D
22 D
RESUMO
▪ ATAQUES A REDES DE COMPUTADORES:
o Ataques na Internet:

André Castro
Aula 01
✓ Demonstração de Poder – Expor vulnerabilidade de empresas ou determinados

ambientes com o objetivo de se ter algum tipo de vantagem pessoal no futuro.
✓ Motivações financeiras – Obter informações confidenciais e privilegiadas para
desenvolvimento de golpes que geram algum tipo de “lucro”.
✓ Motivações ideológicas – Invadir sistemas para passar um recado ou divulgar
uma imagem que representa uma ideologia ou determinada linha de
pensamento.
✓ Motivações comerciais – Em um mercado cada vez mais competitivo em que
indisponibilidade de serviços e sistemas geram grandes prejuízos financeiro e de
imagens, pode-se ter agentes específicos que atuam de forma mal intencionada
para este fim.
o Exploração de Vulnerabilidades:
✓ Blackbox – Como o próprio nome diz, é o teste da caixa preta. Nesse tipo de
teste, não se tem nenhum tipo de informação da rede ou do ambiente da
organização. Então o teste de exploração deve cumprir todas as etapas que
apresentamos anteriormente. Começando pela identificação e exploração do
ambiente para fins de adquirir conhecimento. Nesse tipo de teste, as principais
portas de entrada, como veremos adiante, são os ataques de engenharia social e
phishing. Aqui busca-se avaliar, inicialmente, o princípio da segurança de
obscuridade, que é justamente não fornecer ou divulgar informações sobre a
rede para fora.
✓ Whitebox – Nesse tipo de ataque, fornece-se ao pentester todas as informações

básicas necessárias de conhecimento da rede, pulando, portanto, a etapa de
identificação. Esse tipo de ataque busca verificar a robustez de configurações
dos equipamentos e a inexistência de exploits conhecidos para as soluções.
✓ Greybox – É um modelo intermediário. Fornece-se algumas informações básicas

que são facilmente descobertas e não fazem parte do escopo do princípio da
obscuridade.
o Ataque SMURF
✓ A partir do SPOOFING de IP, pode-se gerar ataques mais elaborados e potentes.

Um exemplo deles é o ataque SMURF. Esse tipo de ataque consiste em enviar
ataques de resposta à vítima a partir de mensagens do tipo echo request para
um endereço de broadcast com o “IP SPOOFADO” da vítima.
o Ataques de Engenharia Social
✓ Vishing – Trata-se de uma prática em que o sujeito que inicia um ataque vai
fazer uso de um sistema telefônico (VoiP, por exemplo) para ter acesso a
informações pessoais da vítima.
✓ Phishing ou Spear Phishing – Conforme já vimos.
✓ Hoax – Trata-se de uma mentira que, quando divulgada por veículos de
disseminação em massa, pode parecer verdade. Essa disseminação pode
utilizar os diversos meios de comunicação.

André Castro
Aula 01
✓ Whaling – São ataques altamente direcionados com vistas a ludibriar

executivos do alto escalão de uma organização.
▪ MALWARES:
o Exploração de vulnerabilidades intrínsecas em programas:
✓ Aqui temos a importância de manter programas atualizados e sempre utilizar

programas legítimos.
o Pela execução automática de mídias removíveis infectadas, como pen-drive:
✓ Recomenda-se desabilitar a auto execução de mídias para evitar este tipo de

ataque. Caso tenha um arquivo infectado, ele dependerá de execução para
se propagar, ou seja, sem a auto execução, já teremos um fator de
dificuldade para o sucesso do MALWARE;
o Pelo acesso a Páginas Web Maliciosas:
✓ Vários pontos podem ser explorados ao se acessar uma página desse tipo,
seja através da exploração de vulnerabilidade do próprio Browser, ou
downloads de arquivos infectados, entre outros;
o Pela ação direta de atacantes que ao invadir os computadores, inserem

códigos e programas indesejados:
✓ Devemos ter senhas de acesso mais complexas, controlar as portas de

acesso aos dispositivos, entre outras técnicas que dificultam o acesso
indevido às máquinas. A esses procedimentos damos o nome de
HARDENING. Ou seja, busca-se “endurecer” o servidor de tal forma que ele
não fique tão vulnerável;
o Vírus de Boot:
✓ Infecta a área de inicialização dos sistemas operacionais, também conhecido

como MBR (Master Boot Record) do disco rígido. Esse tipo de vírus não
corrompe arquivos específicos, mas sim, todo o disco. Os antivírus comuns
de sistemas operacionais não são capazes de detectar esse tipo vírus, sendo
necessário uma varredura antes da inicialização do sistema para sua
detecção.
o Vírus de Arquivo:
✓ Infecta arquivos de programas executáveis, geralmente, nas extensões .EXE

e .COM. Ao se executar o referido programa, ativa-se o vírus.
o Vírus Residente:
✓ Este é carregado diretamente na memória RAM do SO toda vez que o SO é

iniciado. Este tipo de vírus pode ser extremamente danoso, bloqueando

André Castro
Aula 01
acessos à memória RAM, interromper determinados processos e funções a

serem executadas e inclusive, alterar tais funções para fins maliciosos.
o Vírus propagado por e-mail:
✓ recebido como um arquivo anexo a um e-mail cujo conteúdo tenta induzir o

usuário a clicar sobre este arquivo, fazendo com que seja executado. Quando
entra em ação, infecta arquivos e programas e envia cópias de si mesmo
o Vírus de script:
✓ escrito em linguagem de script, como VBScript e JavaScript, e recebido ao

acessar uma página Web ou também por e-mail, como um arquivo anexo ou
como parte do próprio e-mail escrito em formato HTML. Pode ser
automaticamente executado, dependendo da configuração do
navegador Web e do programa leitor de e-mails do usuário.
o Vírus de macro:
✓ tipo específico de vírus de script, escrito em linguagem de macro (série de

comandos e instruções que podem ser agrupadas em um simples comando),
que tenta infectar arquivos manipulados por aplicativos que utilizam esta
linguagem como, por exemplo, os que compõe o Microsoft Office (Excel,
Word e PowerPoint, entre outros). Geralmente são escritas em linguagens
como Visual Basic para Aplicações (VBA) e ficam armazenadas nos próprios
documentos. Este é o motivo das MACROS serem bloqueadas nativamente
por estes programas devendo o usuário habilitá-la manualmente para macros
legítimas.
o Vírus de telefone celular:
✓ vírus que se propaga de celular para celular por meio da

tecnologia bluetooth ou de mensagens MMS (Multimedia Message Service).
A infecção ocorre quando um usuário permite o recebimento de um arquivo
infectado e o executa. Após infectar o celular, o vírus pode destruir ou
sobrescrever arquivos, remover ou transmitir contatos da agenda, efetuar
ligações telefônicas e drenar a carga da bateria, além de tentar se propagar
para outros celulares.


Ataques A Redes de Computadores

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Ataques A Redes de Computadores

Enviado por

Direitos autorais:

Formatos disponíveis

Aula 01

SERPRO (Analista - Especialização:

SERPRO (Analista - Especialização: Tecnologia) Segurança da Informação - 2023 (Pós-Edital) 2

Ataques a Redes de Computadores ...................................................................................................... 4

Ataques na Internet .......................................................................................................................... 4

Exploração de Vulnerabilidades ....................................................................................................... 5

Varredura em Redes – Scan ........................................................................................................... 10

Falsificação de e-mail (E-mail spoofing) ........................................................................................... 14

Man in the Middle.......................................................................................................................... 15

ARP Spoofing ou ARP Poisoning ....................................................................................................... 16

Ataque SMURF .............................................................................................................................. 18

Interceptação de tráfego (Sniffing) .................................................................................................. 19

Força Bruta ................................................................................................................................... 20

Desfiguração de página (Defacement) ............................................................................................. 22

Negação de Serviço (Denial of Service – DoS).................................................................................. 26

Negação de Serviço Distribuído (Distributed Denial of Service) ........................................................... 28

SPIM (Spam over Instant Message) .................................................................................................. 33

Ataques de Engenharia Social ......................................................................................................... 33

Sequestro de dados - Ransomware .................................................................................................. 34

SERPRO (Analista - Especialização: Tecnologia) Segurança da Informação - 2023 (Pós-Edital) 3

CAVALO DE TRÓIA (TROJAN) ......................................................................................................... 45

BOT e BOTNET .............................................................................................................................. 48

BOMBA LÓGICA ........................................................................................................................... 50

Ataque na Camada de Aplicação ....................................................................................................... 52

LFI – Local Files Insert ou Inclusão de Arquivo local ............................................................................ 52

RFI – Remote File Insert ou Inclusão de Arquivo Remoto ...................................................................... 53

Cross-Site-Scripting (XSS) ............................................................................................................... 53

CSRF (Cross-Site Request Forgery) ou XSRF....................................................................................... 58

Injeção SQL (SQL Injection) ............................................................................................................. 61

Injeção LDAP (LDAP Injection) .......................................................................................................... 63

Injeção XML (XML Injection) ............................................................................................................. 63

Vulnerabilidade Dia Zero (Zero Day Vulnerability) ............................................................................ 64

Buffer Overflow ............................................................................................................................ 64

Complementos Maliciosos (Malicious Add-ons) ................................................................................... 65

Sequestro de Sessão (Session Hijacking) ........................................................................................... 65

Ameaça Persistente Avançada (APT - Advanced Persistent Threat) ...................................................... 65

Ataques a Redes sem Fio ................................................................................................................... 66

Rogue Access Point (Pontos de Acesso Não autorizados) ..................................................................... 68

Ataque de Engenharia Elétrica ........................................................................................................ 68

SERPRO (Analista - Especialização: Tecnologia) Segurança da Informação - 2023 (Pós-Edital) 4

OWASP TOP 10 - Riscos de Segurança de Aplicações WEB .................................................................. 72

A01:2021 - Quebra de Controle de Acesso ..................................................................................... 75

A02:2021 - Falhas criptográficas .................................................................................................... 76

A04:2021 - Design inseguro ........................................................................................................... 81

A05:2021 - Configuração incorreta de segurança ............................................................................ 82

A06:2021 - Componentes Vulneráveis e Desatualizados .................................................................... 83

A07:2021 - Falhas de Identificação e Autenticação........................................................................... 85

A08:2021 - Falhas de integridade de software e dados ................................................................... 86

A09:2021 - Falhas de registro e monitoramento de segurança ........................................................... 87

A10:2021 - Falsificação de solicitação do lado do servidor (SSRF) ..................................................... 88

Questões Comentadas ....................................................................................................................... 91

Questões Comentadas Complementares............................................................................................... 99

Lista De Questões ............................................................................................................................ 117

Lista de Questões Complementares ................................................................................................... 121

GABARITO ..................................................................................................................................... 132

Gabarito – Questões CESPE.......................................................................................................... 132

Gabarito – Questões FCC............................................................................................................. 134

Resumo .......................................................................................................................................... 134

SERPRO (Analista - Especialização: Tecnologia) Segurança da Informação - 2023 (Pós-Edital) 5

ATAQUES A REDES DE COMPUTADORES

Demonstração de Poder – Expor vulnerabilidade de empresas ou determinados

Motivações financeiras – Obter informações confidenciais e privilegiadas para

Motivações ideológicas – Invadir sistemas para passar um recado ou divulgar