Câmara dos Deputados – TI

Principais Tópicos
Prof. Esp. Sergio Sierro
• Segurança Cibernética e da Informação

• 1 Sistemas de criptografia simétrica e assimétrica.

• 1.1 Protocolos de autenticação Windows NT LAN Manager (NTLM) e Kerberos. Soluções para Segurança da
Informação: Firewall, Intrusion Detection System (IDS), Intrusion Prevention System (IPS), Security
Information and Event Management (SIEM), Proxy, Identity Access Management (IAM), Privileged Access
Management (PAM), Antivírus, Antispam.
• 1.2 Protocolos da criptografia Secure Sockets Layer (SSL) e Transport Layer Security (TLS).
• 1.3. Infraestrutura de chaves públicas UIT-T X.509. ICP-Brasil. Certificação e assinatura digital.
• 1.3 Protocolos da camada de aplicação, como Simple Mail Transfer Protocol (SMTP), Hypertext Transfer
Protocol (HTTP), Hypertext Transfer Protocol (HTTPS), SSL/TLS, Lightweight Directory Access Protocol
(LDAP), Network File System (NFS), Server Message Block (SMB).
• 2 Estruturas de gestão de riscos, como NIST (National Institute of Standards and Technology) RMF (Risk
Management Framework).
• 3 Sistema de gestão de segurança da informação, nos termos da ISO/IEC 27001. Controles de segurança
como os do CIS (Center for Internet Security), da ISO/IEC 27002 e do NIST SP (Special Publication) 800-53.
3
• Segurança Cibernética e da Informação

• 4 Gerenciamento de Riscos em Tecnologia da Informação e Comunicação (TIC) de acordo com a norma

ISO/IEC 27005.
• 5 Avaliação de segurança em produtos de Tecnologia da Informação e Comunicação (TIC) de acordo com a
norma ISO/IEC 15408.
• 6 Frameworks de segurança da informação e segurança cibernética, como MITRE ATT&CK, Cyber Security
Body Of Knowledge (CyBOK) e NIST Cybersecurity Framework.
• 7 Gestão de incidentes de segurança, nos termos do NIST SP 800-61 e do SANS Incident Handler’s
Handbook. Principais tipos de ataques e vulnerabilidades. Boas práticas da Open Worldwide Application
Security Project (OWASP). Técnicas de desenvolvimento seguro.
• 8 Gestão de identidades e acesso; autenticação e autorização, Single Sign-On (SSO); Security Assertion
Markup Language (SAML), OAuth2 e OpenId Connect.
• 9 Múltiplos Fatores de Autenticação (MFA). Conceitos e ferramentas de Blue Team e Red Team.
• 10 Gestão de continuidade de negócio.
• 11 Privacidade e segurança por padrão.
4
 Segurança da Informação
• A segurança da informação se concentra na confiabilidade das informações e no
gerenciamento da continuidade das operações.

• Integridade: Garantir a exatidão da informação.

• Confidencialidade: Garantir somente acesso autorizado às informações.
• Disponibilidade: Garantir que a informação esteja sempre disponível.
• Autenticidade: Garantir que a informação é autentica.
• Não-repúdio ou Irretratabilidade: Garantir que o usuário não negue autoria ou
alterações nas informações.

5
Segurança da Informação

Fonte: LinkedIn.
6
 Direto do Concurso
Questão 01 (FGV - 2023 - DPE-RS - Analista - Área de Apoio Especializado - Tecnologia da
Informação - Infraestrutura e Redes)
Tânia trabalha em uma prestadora de serviços de Internet. Equivocadamente, ela enviou ao servidor
um comando UPDATE, o qual alterou indevidamente a base de dados, não permitindo mais seu
acesso. De forma a ocultar seu erro, Tânia descobriu um post-it sob o teclado com a senha de um
dos técnicos que trabalhava com ela. Então, utilizando a senha, entrou no sistema e efetuou novas
modificações, de forma que a culpa recaísse sobre o técnico. No incidente relatado, houve a quebra
do(a):
a) confidencialidade e autenticidade.
b) integridade e autenticidade.
c) irretratabilidade e disponibilidade.
d) não repúdio e confidencialidade.
e) confidencialidade e integridade.
7
 Direto do Concurso
Questão 02 (FGV - 2023 - TJ-RN - Analista Judiciário - Tecnologia de Informação – Análise de
Suporte)
A empresa Progseg foi contratada via processo licitatório para a modernização das aplicações
utilizadas no Tribunal de Justiça do Rio Grande do Norte. Aurélio, chefe do Departamento de
Tecnologia, conduzirá junto à empresa o retrofit, que terá como foco a melhoria na segurança dos
sistemas.
Os requisitos mandatórios dessa modernização são:
- Assegurar que informações privadas e confidenciais não estejam disponíveis nem sejam reveladas
para indivíduos não autorizados; e
- Verificar que os usuários são quem dizem ser.
O requisito desejável dessa modernização é:
- Ser capaz de associar uma violação de segurança a uma parte responsável.

8
 Direto do Concurso
Questão 02 (FGV - 2023 - TJ-RN - Analista Judiciário - Tecnologia de Informação – Análise de
Suporte)
Com base nos requisitos citados, a Progseg deverá implementar, respectivamente:
a) confidencialidade, autenticidade, responsabilização.
b) disponibilidade, autenticidade, privacidade.
c) não repúdio, integridade de sistemas, confidencialidade.
d) integridade, disponibilidade, responsabilização.
e) autenticidade, integridade de dados, integridade de sistemas.

9
 Direto do Concurso
Questão 03 (FGV - 2023 - CGE-SC - Auditor do Estado - Ciências da Computação)
Para o caso hipotético descrito a seguir, somente informações corretas são consideradas
disponíveis.
Um determinado funcionário atende um pedido por telefone de alguém que se identifica como o
cliente A. Essa pessoa explica que seus dados cadastrais estão errados e pede que seja feito um novo
cadastro com as informações que ela está passando. O funcionário atende ao pedido e atualiza o
sistema da empresa removendo o cadastro antigo e criando um novo.
Dias depois, ao tentar emitir uma fatura, a empresa nota que os dados do cliente A não estão
completos e resolve abrir uma investigação. Durante a investigação descobre-se que os dados
passados pela pessoa ao telefone eram falsos e que é portanto necessário refazer o cadastro.
Neste caso, avalie se, durante o processo de atendimento mencionado, ocorreu um incidente com
quebra da
I. Confidencialidade dos dados do cliente A.
II. Disponibilidade dos dados do cliente A.
III. Integridade dos dados do cliente A. 10
 Direto do Concurso
Questão 03 (FGV - 2023 - CGE-SC - Auditor do Estado - Ciências da Computação)
Está correto o que se afirma em
a) I, apenas.
b) II, apenas.
c) III, apenas.
d) I e II, apenas.
e) II e III, apenas.

11
 Controle de Acesso
• O controle de acesso é o processo de implementação e execução das políticas de
autorização.

• DAC (Controle de Acesso Discricionário): Onde os usuários têm uma quantidade

significativa de controle sobre os recursos que possuem.

• MAC (Controle de Acesso Obrigatório): Onde as políticas de acesso são centralizadas e

administradas de forma mais rígida, muitas vezes em ambientes altamente seguros.

• RBAC (Controle de Acesso Baseado em Função): Onde as permissões são atribuídas com
base nas funções dos usuários dentro da organização.

12
 Controle de Acesso Físico
• Medidas implementadas para prevenir o acesso não autorizado a recursos físicos.

• Barreiras físicas.
• Sistemas de Identificação.
• Monitores e Câmeras de Segurança.
• Guardas de Segurança.
• Sistemas de Alarme.

13
 Controle de Acesso Lógico
• Medidas implementadas para prevenir o acesso não autorizado a recursos
informacionais e sistemas informatizados.

• Autenticação.
• Autorização.
• Criptografia.
• Firewalls, Sistemas de Detecção de Intrusões (IDS) e Sistemas de Prevenção de Intrusões
(IPS).
• Registros e Monitoramento.

14
 Autenticação
• Ato de estabelecer ou confirmar algo (ou alguém) como autêntico, isto é, que reivindica a
autoria ou a veracidade de alguma coisa.

• Confirmação da procedência de um objeto ou pessoa, neste caso, frequentemente

relacionada com a verificação da sua identidade.

• Autenticar é identificar-se para um sistema.

• Autenticar é garantir que uma entidade é quem diz ser.

15
 Fatores de Autenticação
• Autenticação baseada em conhecimento ("o que você sabe?").

• Autenticação baseada na propriedade ("o que você tem ou possui?").

• Autenticação baseada na característica ("o que você é?").

Fonte: UWM.
16
 Autenticação Multifator (MFA)
• Os usuários precisarão fornecer uma verificação de identidade adicional ao acessar
contas ou aplicativos.

• Também é referido como autenticação de dois fatores ou 2FA.

Fonte: Blog do Cassemiro. 17

 Autorização
• É o processo de definir e gerenciar as permissões que são atribuídas a um usuário ou a
um grupo de usuários.

• As permissões podem incluir, por exemplo, acesso a determinados arquivos, capacidade

de realizar certas operações ou de utilizar determinados recursos do sistema.

• Esse processo pode ser gerenciado através de políticas de controle de acesso como ACL
(Lista de Controle de Acesso) ou através de modelos como RBAC (Controle de Acesso
Baseado em Função).

18
 Auditoria
• É o processo de monitoramento e registro das atividades de usuários e sistemas.

• Assegurar que as políticas de controle de acesso estão sendo seguidas e para detectar
qualquer atividade suspeita ou não autorizada.

• As informações coletadas podem ser usadas para análises de segurança, investigações

forenses e para ajudar a melhorar as políticas de controle de acesso no futuro.

19
 Direto do Concurso
Questão 04 (FGV/Prefeitura de Niterói-RJ/Fiscal de Posturas/2015)
Observe o seguinte diálogo:
João: Sr. Gerente, sou usuário iniciante de computadores. Estou aprendendo a realizar transações
bancárias pela Internet, mas estou com muito receio em relação à segurança do site do banco. Poderia me
ajudar?
Gerente do Banco: Claro, Sr. João. Para confirmar a realização de uma transação, você deve utilizar uma
senha, definida por você mesmo, e usar um cartão de segurança, com códigos previamente definidos,
emitido pelo banco.
A forma de autenticação que combina uma senha pessoal e um cartão de segurança oferecida pelo
Gerente do Banco de João é:
a) Single sign-on.
b) Senha forte.
c) Certificado digital.
d) Verificação em duas etapas.
e) Token. 20
 Direto do Concurso
Questão 05 (FGV - 2023 - PGM - Niterói - Técnico de Procuradoria)
Julia usa senhas fortes em suas contas digitais mas quer elevar o seu nível de segurança. Para isso,
consultou o técnico de informática Matheus que a orientou a adicionar uma segunda camada de
proteção no acesso às suas contas. Assim, mesmo que o atacante descubra sua senha, ele precisará
de outras informações para invadir sua conta. Matheus completou dizendo: “Escolha o método que
considerar mais prático e seguro, como:
• usar um aplicativo de celular para gerar códigos de verificação; ou
• receber códigos por mensagem de texto ou voz.”

21
 Direto do Concurso
Questão 05 (FGV - 2023 - PGM - Niterói - Técnico de Procuradoria)
A proteção sugerida por Matheus é o(a):
a) Antispam.
b) Firewall pessoal.
c) Certificado digital.
d) Gerenciador de senha.
e) Verificação em duas etapas.

22
 Direto do Concurso
Questão 06 (FGV - 2023 - SEFAZ-MG - Auditor Fiscal da Receita Estadual - Tecnologia da
Informação)
Uma análise de riscos na empresa XPTO detectou que era prática comum credenciais continuarem
ativas por um longo período após a saída dos funcionários. Uma opção que iria reduzir o risco deste
evento ocorrer seria
a) implementar um segundo fator de autenticação.
b) concentrar as credenciais em um diretório único de identidades e implementar um processo de
limpeza e revisão periódica do diretório.
c) determinar um prazo máximo de seis meses para a validade das senhas e implementar um sistema
de autosserviço para a troca das mesmas.
d) utilizar certificados X509 no processo de autenticação.
e) utilizar chaves de segurança no processo de autenticação.

23
 Direto do Concurso
Questão 07 (FGV - 2022 - TRT - 16ª REGIÃO (MA) - Analista Judiciário - Tecnologia da Informação)
Os firewalls podem ser um meio eficaz de proteger sistemas e redes contra ameaças de segurança.
Com relação às suas limitações, analise os itens a seguir.
I. Não são capazes de proteger contra os ataques que contornam o firewall.
II. Não protegem contra ameaças internas, como funcionários insatisfeitos ou que cooperam com
um atacante externo.
III. Não protegem contra a transferência de programas ou arquivos infectados com vírus.
Está correto o que se afirma em
a) I, apenas.
b) II, apenas.
c) III, apenas.
d) I, II e III.
e) II e III, apenas.
24
 Criptografia
• Técnica que utiliza algoritmos matemáticos para proteger informações, garantindo
confidencialidade, integridade e autenticidade dos dados.

• Os dados originais (texto claro) são transformados em um formato cifrado (texto

cifrado) através do processo de criptografia, e podem ser revertidos ao seu formato
original através do processo de descriptografia.

• Criptografia simétrica, criptografia assimétrica e função hash criptográfica.

25
Criptografia Simétrica

Fonte: Universidade Java.

26
 Criptografia Simétrica
• DES (Data Encryption Standard): Um dos primeiros algoritmos de criptografia simétrica
amplamente adotados, mas agora é considerado inseguro devido à sua chave
relativamente curta.

• 3DES (Triple DES): Uma extensão do DES que oferece segurança aumentada através do
uso de três chaves em vez de uma.

• AES (Advanced Encryption Standard): Um algoritmo de criptografia simétrica mais

recente e seguro, que é amplamente utilizado hoje em dia.

• Blowfish & Twofish: Algoritmos de criptografia simétrica que são conhecidos por sua
velocidade e eficiência.
27
Criptografia Assimétrica

Fonte: Universidade Java.

28
 Criptografia Assimétrica
• RSA: Um dos primeiros e mais amplamente utilizados algoritmos de criptografia
assimétrica, que é usado para segurança de dados e também para autenticação digital.

• DSA (Digital Signature Algorithm): Um algoritmo padrão para assinaturas digitais,

frequentemente utilizado para autenticar a origem e integridade dos dados.

• ECC (Elliptic Curve Cryptography): Um algoritmo de criptografia que usa curvas elípticas
e é conhecido por fornecer alta segurança com chaves relativamente menores, em
comparação com outros algoritmos de criptografia assimétrica.

29
Função Hash Criptográfica

Fonte: Wikipedia. 30
 Função Hash Criptográfica
• SHA (Secure Hash Algorithm): Uma família de funções hash criptográficas, incluindo
SHA-1 (agora considerado inseguro) e SHA-256 (usado em muitos sistemas de
segurança modernos).

• MD5 (Message Digest Algorithm 5): Um algoritmo de hash amplamente utilizado no

passado, mas agora é considerado inseguro e não é recomendado para uso em novos
sistemas.

31
 Direto do Concurso
Questão 08 (FGV - 2023 - AL-MA - Técnico de Gestão Administrativa - Analista de Sistemas)
Em criptografia, a cifra simétrica que encripta dados em blocos e tem comprimento de chave
variável é a
a) blowfish.
b) cramer.
c) md5.
d) paillier.
e) sha-2.

32
 Direto do Concurso
Questão 09 (FGV - 2023 - DPE-RS - Analista - Área de Apoio Especializado - Tecnologia da
Informação - Infraestrutura e Redes)
Paula está desenvolvendo um sistema de chat que garante a veracidade do conteúdo enviado com a
utilização de um hash criptográfico para cada mensagem. A certificação digital não será utilizada,
sendo adotada uma chave estática para gerar os blocos de hash.
Para implementar a funcionalidade, ela deverá usar o algoritmo:
a) DES.
b) 3DES.
c) SHA-256.
d) AES.
e) Base64.

33
 Direto do Concurso
Questão 10 (FGV - 2022 - TRT - 13ª Região (PB) - Técnico Judiciário - Tecnologia da Informação)
João quer enviar uma mensagem cifrada para Maria e escolheu um algoritmo no qual seja possível
usar a mesma chave criptográfica para encriptação do texto puro e decriptação do texto cifrado.
Para isso, João pode utilizar o algoritmo
a) Blowfish.
b) ECC.
c) MD5.
d) SHA-1.
e) RSA.

34