Escolar Documentos
Profissional Documentos
Cultura Documentos
Cibernética Ofensiva_
Rivanildo Santos
2023
SUMÁRIO
Siglas Importantes................................................................................................................... 33
2
Certificações de Segurança Cibernética ........................................................................ 43
1
Permissões de Arquivos ......................................................................................................... 93
Firewall .........................................................................................................................................121
3
1
Capítulo 1. Introdução a Segurança da Informação e
Cibernética
Conceitos de Segurança da Informação
5
Pilares de Segurança da Informação
Os pilares da segurança da informação se aplicam a todas as suas
dimensões: da informação, cibernética, defensiva, ofensiva, dentre outras:
Fonte: https://treinaweb.com.br.
Confidencialidade.
Integridade.
Disponibilidade.
Autenticidade.
6
Não-repúdio.
Privacidade.
Exemplos:
Travamento de servidor.
Tempestade.
Funcionário irritado.
7
Figura 2 – Agente de Ameaça (hacker do mal).
Fonte: https://braziljournal.com/.
Vulnerabilidade
Fraqueza de um ativo ou controle que pode ser explorada por uma
ou mais ameaças.
Exemplos:
Antivírus desatualizado.
8
Figura 3 – Vulnerabilidades.
Fonte: https://braziljournal.com/.
Riscos
É a probabilidade de um agente de ameaça tirar proveito de uma
vulnerabilidade e do impacto no negócio correspondente.
Exemplos:
9
Figura 4 – Riscos.
Medidas de Segurança
As medidas de segurança são garantias técnicas ou administrativas,
ou ações para evitar, combater ou minimizar a perda ou indisponibilidade de
ativos de informação, devido às ameaças que atuam sobre as suas
correspondentes vulnerabilidades.
10
– Conformidade com legislações e regulamentos nacionais e
internacionais.
– Objetivos organizacionais.
– Requisitos operacionais.
11
Tipos de Medidas de Segurança
As medidas de segurança podem ser classificadas em três tipos:
12
Figura 7 – Segurança Cibernética.
Ransomware
Esse tipo de ataque ocorre quando uma pessoa acessa um site sem
segurança, dentro da rede da empresa. Além disso, anexos de e-mails não
confiáveis também podem causar esse problema.
13
Phishing
A atenção às páginas visitadas e aos links clicados é importante
também para evitar o phishing. Nesse caso, são criados gatilhos para que o
usuário se direcione a um site, que, por sua vez, apresenta baixa segurança.
A03:2021 – Injection.
14
A04:2021 – Insecure Design.
Fonte: https://owasp.org/.
15
Red Team
Simula ataques.
Blue Team
Purple Team
16
2
Capítulo 2. Governança e Política de Segurança da Informação
Sistema de Gestão de Segurança da Informação (SGSI)
O que é um SGSI?
É um sistema de gestão corporativa voltado para a Segurança da
Informação, que inclui toda a abordagem organizacional usada para
proteger a informação empresarial e seus critérios de Confidencialidade,
Integridade e Disponibilidade.
Figura 8 – SGSI.
Fonte: https://www.tjsc.jus.br.
18
O sistema de gestão de segurança da informação – SGSI, é um
sistema fundamentado nas normas da família NBR ISO/IEC 27000, que
inclui toda a abordagem institucional usada para proteger a informação de
acordo com seus princípios e atributos de confidencialidade,
disponibilidade, integridade, responsabilidade, autenticidade e criticidade. E
estabelece os seguintes processos organizacionais:
19
O Sistema de Gestão de Segurança da Informação é nada mais do
que vários processos de segurança interligados – quão melhor esses
processos são definidos e inter-relacionados, menos incidentes de
segurança haverá na organização.
20
Figura 9 – PDCA.
Fonte: https://www.portalgdti.com.br.
Estabelecer o SGSI
É a etapa que dá vida ao SGSI. Suas atividades devem estabelecer
políticas, objetivos, processos e procedimentos para a gestão de segurança
da informação. São os instrumentos estratégicos fundamentais para que a
organização possa integrar a segurança da informação às políticas e
objetivos globais da organização.
21
Objetivos de controle e controles selecionados (a empresa deve
declarar quais medidas foram selecionadas para tratar a segurança
da informação).
Implementar o SGSI
Consiste em implementar e operar a política de segurança, os
controles / medidas de segurança, processos e procedimentos.
22
Implementar procedimentos e outros controles capazes de permitir
a pronta detecção de eventos de segurança da informação e
resposta a incidentes de segurança da informação.
23
Atualizar os planos de segurança da informação para levar em
consideração os resultados das atividades de monitoramento e
análise crítica.
24
Cada seção definindo os controles de SI, contém um ou mais
objetivos de controle.
Fonte: ISACA.
25
Os controles são detalhados na ISO:
26
Uso de pendrive de forma não autorizada.
Vazamento de dados:
Má utilização de um sistema.
Desfiguração de sites.
27
Desrespeito à política de segurança ou à política de uso aceitável de
uma empresa ou provedor de acesso.
Fonte: LinkedIn.
28
Política de Segurança da Informação (PSI)
O que é uma PSI?
É um documento que registra os princípios e as diretrizes de
segurança adotados pela organização, a serem observados por todos os seus
integrantes e colaboradores e aplicados a todos os sistemas de informação
e processos corporativos.
29
Consequências de violações de normas estabelecidas na política de
segurança.
Controle de acesso.
– Transferência de informações.
– Backup.
– Transferência da informação.
Controles criptográficos.
30
Relacionamento na cadeia de suprimentos.
– Em forma de folheto.
31
3
Capítulo 3. Normas ISO 27000
Conceitos básicos
Normas: têm como propósito definir regras e instrumentos de
controle para assegurar a conformidade de um processo, produto ou serviço.
Diretrizes
Siglas Importantes
O que significa a palavra ISO?
A sigla ISO denomina a International Organization for
Standardization, ou seja, Organização Internacional de Padronização.
33
Portanto, é um meio de promover a padronização de produtos e serviços,
utilizando normas internacionais para melhoria contínua.
34
Figura 14 – Normas da Família ISO/IEC 27000.
Fonte: http://www.iso.org.
35
4
Capítulo 4. Carreira Profissional e Certificações
Tendências de Mercado e Regulamentações
A segurança e privacidade na internet sempre foi uma grande
preocupação da sociedade. Contudo, com o aumento exponencial do
mercado digital nos últimos anos, esses cuidados precisam agora ser
redobrados.
Fonte: https://acaditi.com.br.
Regulamentações
E seguindo a tendência mundial, em agosto de 2018 o governo
brasileiro sancionou uma lei que regula a captação e tratamento de dados
pessoais. Conhecida como LGPD, a Lei Geral de Proteção de Dados foi
inspirada na regulamentação semelhante aprovada pela União Europeia, a
37
GPDR (General Data Protection Regulation). Com isso, o Brasil faz parte dos
mais de 120 países que têm uma legislação específica para o tratamento de
dados.
Figura 16 – LGPD.
38
Áreas de atuação de um Profissional de Cibersegurança
Cibersegurança
A cibersegurança é um conjunto de ações e técnicas para proteger
sistemas, programas, redes e equipamentos de invasões.
A internet está cada vez mais complexa e isso abre mais pontos de
vulnerabilidade aos sistemas. Por esse motivo, a cibersegurança pode ser
dividida em diversos setores, cada um com uma responsabilidade diferente.
Segurança da Rede
O profissional desse setor é responsável por garantir que todos os
componentes de rede da empresa estejam protegidos contra ameaças e
possíveis vazamentos de informações, ou seja, costuma ser a primeira linha
de defesa da organização.
39
Figura 17 – Segurança da Rede.
Fonte: Fibracem.
Fonte: Databel.
40
Segurança da Nuvem
Com tantos arquivos e dados sendo compartilhados na nuvem, não
é à toa que existe uma área da cibersegurança totalmente dedicada para a
situação.
Fonte: Kaspersky.
Segurança de Aplicação
Nesse departamento, o especialista fica responsável por encontrar e
ajustar vulnerabilidades no código-fonte dos computadores, web e
dispositivos móveis. É interessante que esse profissional seja familiarizado
com, pelo menos, uma linguagem de programação.
41
Figura 19 – Segurança de Aplicação.
Fonte: Convisoappsec.
Segurança de Endpoints
Esse setor permite aos servidores se comunicarem de forma segura
com os terminais, o que pode incluir dispositivos pessoais. Os profissionais
dessa área da cibersegurança estão diretamente envolvidos em desenvolver
e configurar plataformas de proteção, garantindo a continuidade do negócio.
Fonte: Canaltech.
42
Certificações de Segurança Cibernética
Certificações Profissionais
Certificações de segurança cibernética podem ser uma ótima
maneira de fast-tracking para sua carreira. O curso certo pode ajudar você a
obter aquela promoção tão desejada.
Fonte: Tecjump.
43
Certificações Profissionais
Certificações de segurança cibernética podem ser uma ótima
maneira de fast-tracking para sua carreira. O curso certo pode ajudar você a
obter aquela promoção tão desejada.
44
segurança da informação nas organizações e que têm experiência nas
seguintes áreas:
Gerenciamento de Riscos.
45
CompTIA Security +
CompTIA Security + é a primeira certificação de segurança que um
candidato deve obter. Ele estabelece o conhecimento básico necessário para
qualquer função de segurança cibernética e fornece um trampolim para
trabalhos de segurança cibernética de nível intermediário. Security +
incorpora as melhores práticas na solução de problemas práticos,
garantindo que os candidatos tenham habilidades práticas de resolução de
problemas de segurança necessárias para:
46
procedimentos estabelecidos pelos especialistas em segurança cibernética
do (ISC)².
47
Figura 22 – EXIN Information Security Officer.
Fonte: EXIN.
48
5
Capítulo 5. Engenharia Social
O que é Engenharia Social?
Muito se fala sobre as ameaças cibernéticas, que aproveitam de
vulnerabilidades dos sistemas para invadir as redes e roubar dados de
usuários. Porém, não são só falhas virtuais que podem causar problemas
para a população. Erros humanos podem acontecer e comprometer
informações, e é isso que a engenharia social tenta causar.
Fonte: atlasgov.com.
50
Como atua o Engenheiro Social?
Troia, século XIII a.C. Os gregos haviam desistido da luta contra os
troianos. Como prova de amizade, deram-lhes um presente: um enorme
cavalo de madeira, tomado pelo povo troiano como símbolo da vitória. Dentro
da estátua, contudo, havia diversos guerreiros gregos, esperando pelo
momento certo para atacar os troianos desprevenidos. Em uma única noite
os gregos venceram uma guerra que durou por quase dez anos.
51
Figura 24 – Engenharia Social: Linha do Tempo.
Fonte: atlasgov.com.
Fonte: atlasgov.com.
52
Phishing
Nos últimos anos a pescaria se tornou um dos esportes mais
praticados nos meios digitais – mas não de peixes, de pessoas. Isso porque
o Phishing, uma estratégia de ciberataque utilizada com frequência por
criminosos cibernéticos, tem feito diversas vítimas no mundo.
Smishing
“Parabéns! Você foi premiado! Nunca mais precisará se preocupar
com custos por ligações e internet móvel, pois você acaba de receber
R$10.000,00 em créditos! Para obtê-los, basta clicar no link abaixo...”
Vishing
É a versão verbal do phishing, usada em ligações telefônicas.
Usualmente, o golpista utiliza disfarces e cria pretextos para obter os dados
53
da vítima no outro lado da linha (como no exemplo do tópico sobre
pretextings).
Baiting
Eis que, inesperadamente, um sujeito tem a sorte grande de receber
um incrível prêmio pelo e-mail: um material exclusivo – que ele não solicitou
- sobre uma pesquisa de mercado com dados muito interessantes – de um
remetente que ele não conhece. Basta fazer download do arquivo, sem
estresse e sem burocracia.
54
Normalmente, essa técnica explora a curiosidade da vítima,
presenteando-lhe com arquivos que, no fim das contas, nada mais eram que
uma farsa, uma porta de entrada para malwares se instalarem no
equipamento da pessoa.
Pretexting
Duas pessoas conversam ao telefone. De um lado da linha, o
atendente explica que o cartão de crédito da pessoa com quem está falando
foi clonado e utilizado para uma compra de R$ 3.000,00. O proprietário do
cartão fica em choque. Rapidamente, o atendente oferece uma solução
imediata: “passe seus dados bancários e cancelaremos em apenas alguns
minutos a compra realizada no seu nome”.
Sextorsão
A Sextorsão, de acordo com o portal SaferNet, “é a ameaça de se
divulgar imagens íntimas para forçar alguém a fazer algo – ou por vingança,
ou humilhação ou para extorsão financeira. É uma forma de violência grave,
que pode levar a consequências extremas”.
Dumpster diving
Também conhecido como Trashing, o Dumpster diving ocorre
quando criminosos vasculham o lixo da empresa em busca de informações
sigilosas que possam lhe dar alguma oportunidade de obter dinheiro por
55
meio de extorsão, roubo ou golpe. Em função disso, muitas organizações
picam todos os documentos antes de os descartar.
Shoulder surfing
Traduzido do inglês como “surfar no ombro”, essa prática é muito
usada por golpistas que, por trás das vítimas, vigiam dados utilizados para
acessar contas bancárias, e-mails, ou usar cartões de crédito. Como
precaução contra isso, sempre verifique se há algum desconhecido atrás de
você ao utilizar senhas e logins, principalmente em espaços públicos. Se
você costuma trabalhar em shoppings, cafés ou coworkings, é algo para se
atentar.
Tailgating
Há um motivo lógico para que alguns ambientes de uma organização
tenham controle de acesso: é uma prevenção contra o contato de pessoas
não-autorizadas com informações confidenciais. Contudo, já aconteceram
casos em que criminosos se passaram por colaboradores com autorização,
passando pelo complexo de segurança sem ser detectado e tendo acesso a
diversos dados sigilosos. Essa atividade é conhecida como Tailgating.
56
Figura 25 – Engenharia Social.
Fonte: Valuehost.
Confira a fonte
Recebeu um e-mail de uma empresa? Cheque o remetente. Achou
uma unidade USB do nada em sua mesa? Tente traçar a origem do
dispositivo antes de o conectar em seu computador. Checar a fonte é um
processo que não demanda muito esforço e que pode poupar muito estresse
no futuro.
57
Veja o que eles sabem sobre você
Você recebeu um telefonema do banco e ele não começou com o
atendente fazendo perguntas de segurança, mas sim perguntando seu
nome ou algum outro dado pessoal? É bem possível que era um golpe. Até
comunicações por e-mail contam com pequenos detalhes para identificar
que são reais, como no caso da Nota Fiscal Gaúcha, que sempre tem uma
frase de segurança escolhida pelo usuário no cabeçalho do e-mail. A falta
dessas informações deve ser observada sempre.
Mantenha a calma
A engenharia social muitas vezes depende de um senso de urgência.
Em um exemplo fora do mundo digital, se você recebe um telefonema
falando que sua mãe foi sequestrada, sua primeira reação é ficar
desesperado. Porém, se você se acalma e entra em contato com ela, o
bandido perde toda a vantagem que tinha no golpe.
Peça identificação
Recebeu um telefonema que de cara já está pedindo várias
informações pessoais? Pergunte com quem o telefonista trabalha e qual o
nome dele, ou desligue e vá entrar em contato com os números oficiais da
instituição. Não aceite de cara os questionamentos, trate com cuidado os
seus dados e sempre investigue o que realmente está acontecendo.
58
podem ser maliciosas. Eles também contam com um banco de dados que
permite identificar links suspeitos ou anexos perigosos, além de possuírem
uma lista de IP de remetentes suspeitos, que são automaticamente
bloqueados caso cheguem na sua caixa de entrada.
59
6
Capítulo 6. Introdução a Cloud Computing
Definição de Cloud Computing
Cloud Computing (Computação em nuvem) é um termo coloquial
para a disponibilidade sob demanda de recursos do sistema de computador,
especialmente armazenamento de dados e capacidade de computação, sem
o gerenciamento ativo direto do utilizador. O termo geralmente é usado para
descrever centros de dados disponíveis para muitos utilizadores pela
Internet.
61
A nuvem (cloud) é o nome genérico dado à computação em
servidores disponíveis na Internet a partir de diferentes provedores.
Fonte: Wikipédia.
62
Características de Cloud Computing
De acordo com o NIST, o modelo de cloud computing tem 5
características essenciais, 3 modelos básicos de serviço e 4 modelos de
implantação:
63
Autoatendimento sob demanda – Um consumidor pode utilizar
unilateralmente recursos de computação, como tempo de servidor e
armazenamento de rede, conforme necessário, automaticamente,
sem exigir interação humana com cada provedor de serviços.
64
Modelos de Serviços de Cloud
Existem três principais modelos de serviço de acordo com o NIST:
Fonte: Heymel.
65
PaaS – “Platform as a Service” ou Plataforma como Serviço (em
português): dá aos desenvolvedores as ferramentas necessárias para criar e
hospedar aplicativos Web. A PaaS foi desenvolvida para proporcionar aos
utilizadores o acesso aos componentes necessários para desenvolver e
operar rapidamente aplicativos Web ou móveis na Internet, sem se
preocupar com a configuração ou gerenciamento da infraestrutura
subjacente dos servidores, armazenamento, redes e bancos de dados (ex.:
IBM Bluemix, Windows Azure e Jelastic).
Fonte: Movidesk.
66
IaaS – “Infrastructure as a Service” ou Infraestrutura como Serviço
(em português). Este modelo algumas vezes é conhecido como Hardware
como um serviço ( HaaS ). É uma forma de entregar infraestrutura de
computação (servidores, storage, tecnologia de redes, balanceadores de
carga etc.) como um serviço sob demanda.
RackSpace Cloud.
GoGrid.
Windows Azure.
IBM Cloud.
67
Requer mais envolvimento do pessoal de TI interno para contratação
e configuração.
Fonte: Senasnerd.
68
Figura 31 – Modelos de Implantação de Cloud.
Fonte: researchgate.
69
como as aplicações são implementadas na nuvem. Uma nuvem privada é, em
geral, construída sobre um data center privado.
Fonte: tiexames.
70
O custo total de propriedade (TCO) é alto e geralmente proibitivo
para empresas de pequeno porte.
Fonte: CentralServer.
Redução do TCO.
71
Implantação mais rápida.
Segurança:
Privacidade:
72
Figura 34 – Cloud Híbrida.
Fonte: CentralServer.
73
Figura 35 – Cloud Comunitária.
Fonte: tiexames.
74
pode ter algumas limitações, como falhas de conexão com a Internet e
podem indisponibilizar os serviços.
75
7
Capítulo 7. Introdução a Comandos básicos de Linux
Introdução ao Linux
Sistema Operacional
O Sistema Operacional é a interface entre o usuário e seus
programas e o computador. Ele é responsável pelo gerenciamento de
recursos e periféricos (como memória, discos, arquivos, impressoras, CPU
etc.) e a execução de programas.
O que é o Linux?
O Linux é um sistema operacional criado em 1991 por Linus Torvalds
na universidade de Helsinky, na Finlândia. É um sistema Operacional de
código aberto distribuído gratuitamente pela Internet. Seu código-fonte é
liberado como Free Software (software gratuito), o aviso de copyright do
kernel, feito por Linus, descreve detalhadamente isso, sendo proibido fazer
a comercialização do sistema. Isso quer dizer que você não precisa pagar
nada para usar o Linux e não é crime fazer cópias para instalar em outros
computadores, nós inclusive incentivamos isso.
77
Figura 36 – Linux.
Fonte: YouTube.
Multitarefa real.
Multiusuário.
78
devido à grande segurança oferecida pelas permissões de acesso do
sistema que funcionam, inclusive, durante a execução de programas.
Usuário.
Grupo.
Superusuário.
79
Usuário
Como o Linux foi concebido para que várias pessoas pudessem
utilizar os mesmos recursos presentes em uma única máquina, surgiu o
conceito de usuário para diferenciar o que cada pessoa está fazendo e quais
recursos ela está ocupando. O usuário é a identificação da pessoa que irá
utilizar o sistema.
Grupos
O Linux também possui o conceito de “grupo”. Um grupo é, como o
próprio nome diz, um agrupamento de vários usuários que devem
compartilhar algumas características em comum como, por exemplo,
permissões de acessos a arquivos e dispositivos.
Superusuário
O superusuário é aquele que tem plenos poderes dentro do Linux. É
o superusuário quem pode criar novos usuários, alterar direitos, configurar
e fazer a atualização do sistema. Somente ele tem direito de executar essas
atividades.
80
Entrando e Saindo do Sistema
Ao iniciar o Linux, um prompt semelhante ao ilustrado a seguir será
mostrado:
Linux (tty1)
XPE login:
[aluno@XPE aluno]$
Obs.: o Linux tem terminais virtuais. Você pode alterar entre eles
utilizando as teclas Alt-Fn, onde n pode variar de 1 até 6 na configuração
padrão.
Desligando o Sistema
A fim de evitar danos ao sistema de arquivos, é necessário que o
superusuário pare o sistema antes de desligar o computador. Um dos
comandos que podem ser utilizados é o comando shutdown. Este comando
permite tanto desligar quanto reiniciar o computador.
81
O comando shutdown -h -t 30 finaliza todos os processos e desliga
o computador dentro de 30 segundos, enviando a mensagem de aviso a
todos os usuários logados no sistema:
82
Figura 36 – Linux.
Listando Arquivos
O comando ls mostra o conteúdo de um diretório. O formato do
comando é o seguinte:
ls [ - l ] [ - a ] [ - F ] [dir]
83
[aluno@XPE X11]$ ls
[aluno@XPE X11]$
Metacaracteres
Existem sinais, chamados metacaracteres, usados para facilitar a
utilização de comandos no Linux.
84
*, ?, [], {} – são úteis para se referenciar arquivos que possuam
características em comum.
[aluno@XPE aluno]$ ls
O asterisco “*”:
O asterisco é usado para representar “qualquer quantidade de
qualquer caractere”. Por exemplo, arquivo* retornaria todos os arquivos em
que o nome iniciasse com “arquivo”.
arquivo3
12arquivo
85
Os colchetes “[]”:
Os colchetes são utilizados para indicar uma lista de caracteres. Para
entender melhor, verifique os exemplos.
arquivo3
1arquivo 2arquivo
As chaves “{}”:
As chaves têm sua utilização muito assemelhada a dos colchetes. A
diferença está na possibilidade de referenciar sequências de caracteres
separadas por vírgulas, conforme o exemplo a seguir:
arquivo34
arquivo3 arquivo34
Estrutura de Diretórios
O sistema Linux possui a seguinte estrutura básica de diretórios:
/bin
/boot
/dev
86
Contém arquivos usados para acessar dispositivos (periféricos)
existentes no computador.
/etc
/home
/lib
/mnt
/usr
/var
Contém maior parte dos arquivos que são gravados com frequência
pelos programas do sistema, e-mails, spool de impressora, cache etc.
/sbin
87
Criando Diretórios
O comando mkdir é usado para criar diretórios. A sintaxe do
comando é a mostrada a seguir:
Removendo Diretórios
O comando rmdir é usado para remover diretórios. Por exemplo: para
remover o diretório meu_dir, basta digitar o seguinte comando:
88
[aluno@XPE aluno]$ rmdir -p temp/sub_dir/sub_dir_2
Copiando Arquivos
O comando cp é utilizado para efetuar a cópia de arquivos no Linux,
sua sintaxe é mostrada a seguir:
Copiar um arquivo para outro diretório que, por sua vez, possui um
diretório com mesmo nome do arquivo a ser copiado: não é
permitido, pois no Linux um diretório também é um arquivo.
89
[aluno@XPE aluno]$ cp doc.txt documento.txt
doc.txt doc.txt~
90
Mover ou Renomear
As habilidades para mover e renomear arquivos no Linux são básicas
para organizar informações no sistema. A seguir será apresentado como
fazê-lo utilizando o comando mv. O formato básico do comando é mostrado
a seguir:
mv arquivo destino.
documento.txt documento.txt~
91
[aluno@XPE aluno]$ mv dir_1 dir_2
Removendo Arquivos
O comando rm (remove) é usado para remover arquivos e diretórios.
É possível remover vários arquivos simultaneamente, bastando para tal
colocar o nome dos arquivos a remover logo depois do comando. O formato
básico do comando é mostrado a seguir:
rm [parametros] arquivo
92
[aluno@XPE aluno]$ rm -rf /tmp
Permissões de Arquivos
Conceitos
Este capítulo trata do sistema de direitos de acesso aos arquivos do
Linux, incluindo também informações de como alterar estes direitos.
93
Os demais nove caracteres, divididos em três grupos de três
caracteres cada, definem as permissões do dono do arquivo, dos membros
do grupo a que está relacionado o arquivo e de outros usuários,
respectivamente. As permissões de acesso aos arquivos são representadas
pelas letras r, w e x, conforme detalhado na tabela abaixo:
Utilizando o chmod
O comando chmod permite que se altere as permissões de um ou
mais arquivos. Existem duas notações para se aplicar o comando: o modo
simbólico e o octal. Somente o superusuário ou o dono do arquivo podem
executar esta operação. Veja a sintaxe do comando abaixo:
94
Uma das opções mais usadas no chmod é a opção -R que permite
que se altere recursivamente as permissões de arquivos e diretórios.
95
Nesse caso, são concedidas permissões de leitura e gravação ao
dono, e execução ao grupo para o arquivo documento.txt. Exemplo de
definição octal de permissões:
Utilizando chown
Veja a sintaxe do comando abaixo:
96
[aluno@XPE aluno]$ chown :grupo02 documento.txt
Contas de Usuário
O Linux é um sistema operacional multiusuário, portanto é
necessário que todos os usuários sejam cadastrados e tenham permissões
de acesso diferenciados, é possível também cadastrá-los em grupos para
facilitar o gerenciamento. Neste tópico serão abordados justamente estes
aspectos do Linux e os comandos necessários para a administração do
sistema.
97
/etc/shadow – informações de contas de usuários e senhas
criptografadas
Exemplo:
O Comando passwd
O comando passwd permite que se troque a senha de determinado
usuário. O superusuário pode trocar a senha de qualquer outro. O usuário
comum, porém, pode trocar somente a sua senha. As senhas são
armazenadas no arquivo /etc/shadow, e as demais informações dos usuários
são armazenadas no arquivo /etc/passwd.
Após a criação do usuário será necessário criar uma senha para este,
caso contrário não será permitido que este usuário faça login no sistema.
Para tal, deve-se utilizar o comando passwd.
98
Exemplos:
O Comando userdel
O comando userdel permite que se elimine usuários do sistema.
Somente o superusuário poderá utilizar este comando. Veja abaixo sua
sintaxe:
O Comando gpasswd
O comando gpasswd é utilizado para administrar o arquivo
/etc/group (e o arquivo /etc/gshadow, caso seja compilado com
SHADOWGRP). Todos os grupos podem ter administradores, membros e
uma senha. O administrador do sistema pode usar a opção -A para definir o
administrador do grupo e -M para definir os membros e todos os seus
direitos, assim como os do administrador. Veja a sintaxe abaixo:
99
gpasswd grupo
gpasswd -R grupo
gpasswd -r grupo
id [opções] [nome]
100
[aluno@XPE aluno]$ id
101
Comandos de Controle e Acesso
Comandos de Comunicações
102
find: localizar arquivos, como por exemplo: find . -name *.txt -print,
para pesquisa de arquivos de texto do diretório atual.
103
Web
104
diff: compara o conteúdo de dois arquivos ASCII.
105
sync: faz um flush aos buffers do sistema de arquivos, sincroniza os
dados no disco com a memória, ou seja, escreve todos os dados
presentes nos buffers da memória para o disco.
sort: ordena, une ou compara texto, podendo ser usado para extrair
informações dos arquivos de texto ou mesmo para ordenar dados de
outros comandos como, por exemplo, listar arquivos ordenados pelo
nome.
fold: encurta, ou seja, faz um fold das linhas longas para caberem no
dispositivo de output.
106
head: mostra as primeiras linhas de um arquivo, como por exemplo
com head -10 a.txt, ou usado como filtro para mostrar apenas os
primeiros x resultados de outro comando.
107
rsh: um shell em outros sistemas UNIX.
kill: mata um processo, como por exemplo kill -kill 100 ou kill -9 100
ou kill -9 %1.
top: lista os processos que mais cpu usam, útil para verificar que
processos estão a provocar um uso excessivo de memória e quanta
percentagem de cpu cada um usa em dado momento.
108
Comandos de Informação de Estado
109
spend: lista os custos ACITS UNIX até a data time mede o tempo de
execução de programas.
w: nos mostra quem está no sistema ou que comando cada job está
a executar.
110
latex: formata texto em LaTeX, que é baseado no TeX.
111
8
Capítulo 8. Servidores WEB, Banco de Dados e Firewall
Servidores WEB
Servidor web é um software responsável por aceitar pedidos em
HTTP de clientes, geralmente os navegadores, e servi-los com respostas em
HTTP, incluindo opcionalmente dados, que geralmente são páginas web, tais
como documentos em HTML com objetos embutidos (imagens etc.) ou um
computador que executa um programa que provê a funcionalidade descrita
anteriormente. O mais popular, e mais utilizado no mundo, é o servidor
Apache (software livre). A Microsoft possui a sua própria solução
denominada IIS (Internet Information Services).
Características
Os pedidos http, que se referem habitualmente a páginas em HTML,
são normalmente feitos através de navegadores.
113
Páginas dinâmicas e estáticas
A origem do conteúdo enviado pelo servidor web numa resposta a
um pedido em HTTP pode ser:
Banco de Dados
O que é um Banco de Dados?
Um banco de dados é uma coleção organizada de informações – ou
dados – estruturadas, normalmente armazenadas eletronicamente em um
sistema de computador. Um banco de dados é geralmente controlado por
um sistema de gerenciamento de banco de dados (DBMS). Os dados e o
DBMS, juntamente com os aplicativos associados a eles, são chamados de
sistema de banco de dados, geralmente abreviados para apenas banco de
dados.
114
controlados e organizados. A maioria dos bancos de dados usa a linguagem
de consulta estruturada (SQL) para escrever e consultar dados.
115
Alguns exemplos de softwares de bancos de dados populares ou
DBMSs incluem MySQL, Microsoft Access, Microsoft SQL Server, FileMaker
Pro, Oracle Database e dBASE.
Data Warehouses
Um repositório central de dados, um Data Warehouse, é um tipo de
banco de dados projetado especificamente para consultas e análises
rápidas.
116
Bancos de dados NoSQL
Um NoSQL, ou banco de dados não relacional, permite que dados
não estruturados e semiestruturados sejam armazenados e manipulados
(em contraste com um banco de dados relacional, que define como todos os
dados inseridos no banco de dados devem ser compostos). Os bancos de
dados NoSQL se tornaram populares à medida que os aplicativos web se
tornaram mais comuns e mais complexos.
Esses são apenas alguns dos vários tipos de bancos de dados em uso
atualmente. Outros bancos de dados menos comuns são adaptados para
funções científicas, financeiras ou outras muito específicas. Além dos
diferentes tipos de banco de dados, as mudanças nas abordagens de
desenvolvimento de tecnologia e os avanços dramáticos, como a nuvem e a
automação, estão impulsionando os bancos de dados em direções
totalmente novas.
117
Alguns dos mais recentes bancos de dados incluem:
118
Quem pode acessar os dados.
119
Dados (DBMS). Um DBMS serve como uma interface entre o banco de dados
e seus usuários finais ou programas, permitindo que os usuários recuperem,
atualizem e gerenciem como as informações são organizadas e otimizadas.
Um DBMS também facilita a supervisão e o controle de banco de dados,
permitindo uma variedade de operações administrativas, como
monitoramento de desempenho, ajuste e backup de recuperação.
120
Figura 37 – Banco de Dados.
Fonte: Volvimm.
Firewall
O que é um Firewall?
Um firewall é um dispositivo de segurança da rede que monitora o
tráfego de rede de entrada e saída e decide permitir ou bloquear tráfegos
específicos de acordo com um conjunto definido de regras de segurança.
121
Em um modo mais restritivo, um firewall pode ser configurado para
bloquear todo e qualquer tráfego no computador ou na rede. O problema é
que esta condição isola este computador ou esta rede, então pode-se criar
uma regra para que, por exemplo, todo aplicativo aguarde autorização do
usuário ou administrador para ter seu acesso liberado. Esta autorização
poderá inclusive ser permanente: uma vez dada, os acessos seguintes serão
automaticamente permitidos.
Tipos de Firewalls
Firewall de proxy:
122
Firewall com inspeção de estado:
123
Firewall de Gerenciamento unificado de ameaças (UTM)
Normalmente, um dispositivo UTM combina, de maneira flexível, as
funções de um firewall com inspeção de estado e prevenção contra intrusões
e antivírus. Ele também pode incluir serviços adicionais e, às vezes,
gerenciamento em nuvem. O UTM concentra-se em simplicidade e facilidade
de uso.
124
Figura 38 – Firewall.
Fonte: Wikipédia.
125
9
Capítulo 9. Introdução aos Comandos Básicos de Linux
Metodologia Ágil para TI
O que são Metodologias Ágeis?
As metodologias ágeis são uma forma de acelerar entregas de um
determinado projeto. Ela consiste no fracionamento de entregas para o
cliente final em ciclos menores. Com isso, eventuais problemas podem ser
corrigidos mais rapidamente e os planejamentos serem revistos. Apesar de
sua aplicação ter iniciado e ser muito comum em equipes de
desenvolvimento, a estratégia pode ser utilizada em qualquer tipo de
projeto.
127
cultura ágil vem se tornando cada vez mais comum, principalmente nas
empresas de TI.
128
la mais assertiva, prática e eficiente. Ou seja, otimizando o tempo e
diminuindo possíveis obstáculos.
Scrum
O Scrum é o framework ágil mais usado pelas organizações. Para
muitas é também a porta de entrada na agilidade.
129
Sprint planning: reunião da equipe com o objetivo de construir o
backlog da sprint, sequenciar, estimar o tempo e distribuir as
demandas.
Daily Scrum: reunião curta diária (15 minutos) para inspeção (o que
fez, o que vai fazer e obstáculos) e ajustes de última hora.
Mas para que o Scrum funcione, não basta ter apenas papéis,
cerimônias e um board. Na base disso, os criadores do Scrum colocaram
cinco valores cruciais para a metodologia produzir resultados:
130
Foco: pelo período da sprint, o backlog é o único trabalho da equipe.
Há um cuidado em se manter fiel às demandas, fazendo os ajustes
tão logo quanto possível.
Figura 39 – Scrum.
Fonte: Wikipédia.
Kanban
Um kanban nada mais é do que um cartão. A ideia de traduzir fluxos
por meio de cartões surgiu na Toyota, na década de 1950, da mente do
engenheiro mecânico Taiichi Ohno. O objetivo era eliminar os desperdícios
e aumentar o nível de flexibilidade na indústria.
131
O Kanban, assim como o Scrum, funciona em um quadro. A forma
mais básica dele tem três listas com os kanban (cartões): a de tarefas por
fazer, a de tarefas em andamento e a de tarefas concluídas. Cada cartão é
uma atividade a ser puxada para a lista seguinte sempre que atender aos
requisitos, como uma fila. Simples, mas poderoso. Por quê? Anderson
responde com os seguintes pontos:
132
Começar pelo que a equipe já faz: montar um Kanban força a equipe
a olhar para o que faz e a compreender por que faz.
Lean
Após a Segunda Guerra Mundial, a montadora de veículos Toyota,
com origem no Japão, se viu abalada pela enorme falta de recursos que
consequentemente ocasionava uma baixa produtividade.
133
supõe que reduzindo os desperdícios, a qualidade melhora e o tempo e custo
da produção diminuem.
Figura 40 – Lean.
Fonte: Atech.
134
Figura 41 – Os Sete Desperdícios do Lean.
Fonte: LinkedIn.
135
primeiro conhecer, entender e deixar bem-definido o que o cliente vê como
valor em seu produto ou serviço. Se você entrega algo que não é aquilo que
o seu cliente está disposto a pagar, temos um desperdício, pois basicamente
aquilo que agrega valor ao cliente é aquilo que ele se dispõe a pagar. Isso
exige estudos frequentes para entender o que agrega valor ao seu cliente e
para que você transforme o seu produto ou serviço para melhor adequá-lo.
Fluxo de Valor: este princípio está bem ligado ao anterior. Agora que
você sabe o que é valor para seu cliente, você precisa olhar para seus fluxos
e suas respectivas etapas para identificar o que agrega ou não agrega valor
ao cliente, pois aquelas que não agregam são consideradas desperdícios e,
portanto, devem ser eliminadas.
Perfeição: essa é uma etapa que deve ser eterna para que a
perfeição sempre seja buscada através da melhoria contínua dos processos,
serviços, produtos, pessoas etc., sempre visando a agregação de valor ao
cliente.
136
Figura 42 – Os 5 Princípios do Lean.
Fonte: LinkedIn.
137
Como vimos, existem diversas metodologias (como Scrum e Lean)
que podem fazer parte da sua cultura organizacional. É importante frisar que
não há a “melhor metodologia”, mas a solução mais adequada dentro do
contexto do seu negócio ou projeto. Apesar de existirem diversas opções de
métodos em uma cultura ágil, os impactos na empresa tendem a ser os
mesmos. Contar com métodos ágeis é uma atitude que trará benefícios não
só para sua empresa, como também para seu cliente.
Múltiplas entregas
Outra vantagem importante na adoção de métodos ágeis é quanto
às múltiplas entregas que a organização passa a fazer para o seu cliente
final. Como na metodologia, as entregas são divididas em ciclos menores, a
empresa é capaz de gerar valor para seu cliente antes mesmo de o projeto
chegar ao fim.
Qualidade do produto
Os métodos ágeis são baseados no desenvolvimento frequente e
incremental. Isso significa que o projeto passa por diversas revisões e
correções ao longo de sua elaboração. Esse processo de melhoria constante
garante um produto final de qualidade superior.
138
Maior engajamento dos colaboradores com o projeto
Trabalhar com métodos ágeis requer uma dedicação maior dos
colaboradores. Isso porque, em seu desenvolvimento, as equipes passam a
ser autogerenciáveis, ou seja, os próprios colaboradores fazem a distribuição
de tarefas e a cobrança a respeito dos prazos de entrega. Isso acaba
resultando em um aumento de foco e engajamento dos profissionais com o
projeto.
139
Referências
ABNT NBR ISO/IEC 27001:2013. Tecnologia da Informação – Técnicas de
Segurança – Sistemas de Gestão da Segurança da Informação – Requisitos.
AMAZON WEB SERVICES. Home. In: Amazon Web Services, uma plataforma
de serviços de computação em nuvem, que formam uma plataforma de
computação na nuvem oferecida pela Amazon.com. Amazon Web Services
2022. Disponível em: <https://aws.amazon.com/pt/>. Acesso em 23. nov.
2022.
140
KALI ORG. Home. In: kali.org, uma distribuição Linux para de testes de
penetração. OffSec Services Limited 2022. Disponível em:
<https://www.kali.org/>. Acesso em 23. nov. 2022.
OWASP TOP 10. In: Open Web Application Security Project ® (OWASP), um
relatório atualizado regularmente que descreve questões de segurança para
a segurança de aplicativos web, com foco nos 10 riscos mais críticos.
Creative Commons, 2017.
141
VIRTUAL BOX. Virtualização. In: VirtualBox, um virtualizador completo de
uso geral para hardware x86, voltado para servidor, desktop e uso
incorporado. Oracle Tech Network, 2022. Disponível em:
<https://www.virtualbox.org/>. Acesso em 23. nov. 2022.
142