05 - Informática PDF

Noes de Informtica em Teoria e Exerccios Comentados
p/ MP/RJ Foco: FGV e Similares Turma: 10

Aula 05 Arquivos Digitais e Navegao Segura - Profa. Patrcia Quinto
Sumrio
Arquivos Digitais ................................................................................... 5
Navegao Segura ................................................................................. 6
O que Significa Segurana?.................................................................... 6
Princpios da Segurana da Informao ................................................. 8
Vulnerabilidades de Segurana ............................................................ 13
Ameaas Segurana .......................................................................... 14
Risco .................................................................................................... 14
Ciclo da Segurana .............................................................................. 15
Noes de Vrus, Worms e outras Pragas virtuais AMEAAS
Segurana da Informao!!.................................................................. 16
Golpes na Internet ............................................................................... 33
Ataques na Internet............................................................................. 35
Spams .................................................................................................. 39
Cookies ................................................................................................ 40
Cdigos Mveis .................................................................................... 40
Janelas de Pop-up................................................................................ 41
Plug-ins, Complementos e Extenses .................................................. 41
Links Patrocinados............................................................................... 41
Banners de Propaganda ....................................................................... 42
Programas de Distribuio de Arquivos (P2P) ..................................... 42
Compartilhamento de Recursos ........................................................... 42
Procedimentos de Segurana ............................................................... 43
Procedimentos de Backup (Cpia de segurana) ................................. 48
Noes sobre Criptografia.................................................................... 54
Hashes Criptogrficos .......................................................................... 58
Assinatura Digital ................................................................................ 60
Entendendo os Componentes da Infraestrutura de Chaves Pblicas
(ICP) ................................................................................................... 61
Certificado Digital ................................................................................ 62
Certificao Digital .............................................................................. 65
www.pontodosconcursos.com.br | Profa. Patrcia Lima Quinto

Aplicativos para Segurana .................................................................. 67

Autenticao ........................................................................................ 75
Memorex .............................................................................................. 79
Questes de Provas Comentadas ......................................................... 83
Referncias Bibliogrficas.................................................................. 113
Lista de Questes Apresentadas nesta Aula ....................................... 114
Gabarito ............................................................................................. 124
Acompanhe a Evoluo do seu Aproveitamento ................................. 125

Arquivos Digitais
Os arquivos possuem extenses. Extenses so cdigos, normalmente de trs
caracteres, indicativos do formato do arquivo. So separadas do nome do
arquivo por um ponto (.). A extenso de um arquivo informa a famlia, ou seja,
o tipo de arquivo. Todos os arquivos de um determinado tipo possuem a mesma
extenso. Como exemplo, em LivroPatrcia.doc, temos o nome de arquivo
LivroPatrcia e a extenso .doc.
A seguir, destacamos as extenses dos principais tipos de arquivos digitais em
uso no nosso cotidiano. So elas:
.pdf
Portable document file.
Arquivo do adobe acrobat. Para criar um arquivo .pdf,
precisamos de programas especficos como o Adobe Acrobat
(desenvolvido e vendido pela empresa Adobe), ou poderemos
fazer uso do BROffice, LibreOffice, etc.
.doc
Documento do Microsoft Word.
.docx
Documento do Microsoft Word 2007.
.dot
Arquivo de Modelo do programa Word (usado para criar DOCs a
partir dele).
.xls
Pasta de trabalho do Microsoft Excel.
.xlsx
Pasta de trabalho do Microsoft Excel 2007/2010 e 2013.
.xlt
Arquivo de Modelo do programa Excel (usado para criar XLSs a
partir dele).
.ppt
Arquivo de apresentao de slides do Microsoft Powerpoint.
Podem ser alterados por completo.
A apresentao aberta no modo Normal
.pptx
Apresentao de slides do Microsoft Powerpoint 2007/2010 e
2013.
Podem ser alterados por completo.
A apresentao aberta no modo Normal.
.pps
Apresentao de slides do Microsoft Powerpoint. A apresentao
aberta no modo de Apresentao de slides.
.ppsx
Apresentao de slides do Microsoft Powerpoint 2007/2010 e
2013. A apresentao aberta no modo de Apresentao de
slides.
.txt
Arquivo de texto puro.
.mdb
Arquivo de banco de dados feito pelo programa Microsoft Access.
.exe
Arquivo executvel.
.zip
Arquivo ZIPADO. Seu contedo , na realidade, um ou mais
.rar
arquivos prensados para ocupar um nmero menor de bytes.
.rtf
Rich text file.
Documentos de texto que admitem formatao (negrito, itlico,
sublinhado, alterao de fonte, etc.). Alm disso, podem
receber tabelas, figuras, marcadores, dentre outros.
quase um documento do Word.

uma organizao e, consequentemente, necessita ser adequadamente

protegida.
A informao pode existir em diversas formas: pode ser impressa ou escrita em
papel, armazenada eletronicamente, transmitida pelo correio ou por meios
eletrnicos, apresentada em filmes ou falada em conversas. Dessa definio,
podemos depreender que a informao um bem, um patrimnio a ser
preservado para uma empresa e que tem importncia aos negcios. Devido a
essa importncia, deve ser oferecida proteo adequada, ou seja, a proteo
deve ser proporcional importncia que determinada informao tem
para uma empresa.
Solues pontuais isoladas no resolvem toda a problemtica associada
segurana da informao. Segurana se faz em pedaos, porm todos eles
integrados, como se fossem uma corrente.
Segurana se faz protegendo todos os elos da corrente, ou seja, todos

os ativos (fsicos, tecnolgicos e humanos) que compem seu negcio.
Afinal, o poder de proteo da corrente est diretamente associado ao
elo mais fraco!
Princpios da Segurana da Informao
A segurana da informao busca proteger os ativos de uma empresa ou
indivduo com base na preservao de alguns princpios. Vamos ao estudo de
cada um deles.
Os trs princpios considerados centrais ou principais, mais comumente
cobrados em provas, so: a Confidencialidade, a Integridade e a
Disponibilidade. Eles formam aquilo que chamamos de pirmide ou trade da
Segurana da Informao ( possvel encontrar a sigla CID, para fazer
meno a esses princpios!).
Confidencialidade
Integridade
Disponibilidade
Figura. Mnemnico CID

Confidencialidade (ou sigilo): a garantia de que a informao no

ser conhecida por quem no deve. O acesso s informaes deve ser
limitado, ou seja, somente as pessoas explicitamente autorizadas
podem acess-las. Perda de confidencialidade significa perda de segredo. Se
uma informao for confidencial, ela ser secreta e dever ser guardada com
segurana, e no divulgada para pessoas sem a devida autorizao para
acess-la.
A CONFIDENCIALIDADE busca
proteo contra exposio no autorizada.
Acesso somente por pessoas autorizadas.
Exemplo: o nmero do seu carto de crdito s poder ser conhecido por voc
e pela loja em que usado. Se esse nmero for descoberto por algum mal
intencionado, o prejuzo causado pela perda de confidencialidade poder ser
elevado, j que podero se fazer passar por voc para realizar compras pela
Internet, proporcionando-lhe prejuzos financeiros e uma grande dor de
cabea.
Integridade: destaca que a informao deve ser mantida na condio em que

foi liberada pelo seu proprietrio, garantindo a sua proteo contra mudanas
intencionais, indevidas ou acidentais. Em outras palavras, a garantia de
que a informao que foi armazenada a que ser recuperada!
A INTEGRIDADE busca
proteo contra codificao no autorizada.
Modificao somente pelas partes devidamente autorizadas.
A quebra de integridade pode ser considerada sob dois aspectos:

1. alteraes nos elementos que suportam a informao - so feitas
alteraes na estrutura fsica e lgica em que uma informao
est armazenada. Por exemplo, quando so alteradas as configuraes
de um sistema para ter acesso a informaes restritas;
2. alteraes do contedo dos documentos.

Ex1.: Imagine que algum invada o notebook que est sendo

utilizado para realizar a sua declarao do Imposto de Renda deste
ano, e, momentos antes de voc envi-la para a Receita Federal a
mesma alterada sem o seu consentimento! Neste caso, a
informao no ser transmitida da maneira adequada, o que quebra
o princpio da integridade;
Ex2: Alterao de sites por hackers (vide a figura seguinte, retirada

de
http://www.fayerwayer.com.br/2013/06/site-do-governobrasileiro-e-hackeado/). Acesso em jul. 2013.
Figura. Website UNICEF, que teve seu contedo alterado indevidamente

em jun. 2013.
Disponibilidade: a garantia de que a informao deve estar disponvel,

sempre que seus usurios (pessoas e empresas autorizadas)
necessitarem, no importando o motivo. Em outras palavras, a garantia
que a informao sempre poder ser acessada!
A DISPONIBILIDADE busca
acesso disponvel s entidades autorizadas
sempre que necessrio.
10

Vulnerabilidades de Segurana
Vulnerabilidade uma fragilidade que poderia ser explorada por uma ameaa
para concretizar um ataque.
Outro conceito bastante comum para o termo:

Vulnerabilidade uma evidncia ou fragilidade que eleva o grau de exposio
dos ativos que sustentam o negcio, aumentando a probabilidade de sucesso pela
investida de uma ameaa.
Ainda, trata-se de falha no projeto, implementao ou configurao de
software ou sistema operacional que, quando explorada por um
atacante, resulta na violao da segurana de um computador.
O conhecimento do maior nmero de vulnerabilidades possveis permite equipe
de segurana tomar medidas para proteo, evitando assim ataques e
consequentemente perda de dados.
No h uma receita ou lista padro de vulnerabilidades. Esta deve ser levantada
junto a cada organizao ou ambiente. Sempre se deve ter em mente o que
precisa ser protegido e de quem precisa ser protegido de acordo com as ameaas
existentes. Podemos citar, como exemplo inicial, uma anlise de ambiente em
uma sala de servidores de conectividade e Internet com a seguinte descrio: a
sala dos servidores no possui controle de acesso fsico. Eis a
vulnerabilidade detectada nesse ambiente.
Outros exemplos de vulnerabilidades:
ambientes com informaes sigilosas com acesso no controlado;
falta de mecanismos de monitoramento e controle (auditoria);
inexistncia de polticas de segurana;
ausncia de recursos para combate a incndios;
hardware sem o devido acondicionamento e proteo;
falta de atualizao de software e hardware;
ausncia de pessoal capacitado para a segurana;
instalaes prediais fora do padro; etc.
13

Certbr (2012) destaca algumas das diversas maneiras como os cdigos

maliciosos (malwares) podem infectar ou comprometer um computador.
So elas:
por meio da explorao de vulnerabilidades (falhas de segurana), existentes

nos programas instalados;
por
meio
da
como pen-drives;
pelo acesso a pginas da Web maliciosas, com a utilizao de navegadores

vulnerveis;
por meio da ao direta de atacantes que, aps invadirem o computador,

incluem arquivos contendo cdigos maliciosos;
pela execuo de arquivos previamente infectados, obtidos em anexos de

mensagens eletrnicas, via mdias removveis, em pginas Web ou
diretamente de outros computadores (atravs do compartilhamento de
recursos).
auto-execuo
de
mdias
removveis
infectadas,
Uma vez instalados, os cdigos maliciosos passam a ter acesso aos dados
armazenados no computador e podem executar aes em nome dos usurios, de
acordo com as permisses de cada usurio.
So espcies de malware:
-vrus,
-worms,
-bots,
-cavalos de troia (trojans),
-spyware,
-keylogger,
-screenlogger,
-ransomwares,
-backdoors,
-rootkits,
-bolware, etc.
17

Bots (Robs)
De modo similar ao worm, um
programa
capaz
de
se
propagar
automaticamente,
explorando
vulnerabilidades existentes ou falhas na
configurao de software instalado em
um computador.
Adicionalmente ao worm, dispe de
mecanismos de comunicao com o invasor, permitindo que o bot seja
controlado remotamente. Os bots esperam por comandos de um hacker,
podendo manipular os sistemas infectados, sem o conhecimento do usurio.
Segundo CertBr (2012), a comunicao entre o invasor e o computador pelo
bot pode ocorrer via canais de IRC, servidores Web e redes do tipo P2P, entre
outros meios. Ao se comunicar, o invasor pode enviar instrues para que
aes maliciosas sejam executadas, como desferir ataques, furtar dados do
computador infectado e enviar spam.
Nesse ponto, cabe destacar um termo que j foi cobrado vrias vezes
em prova pela banca! Trata-se do significado de botnet, juno da
contrao das palavras robot (bot) e network (net).
Uma rede infectada por bots denominada de botnet (tambm
conhecida como rede zumbi), sendo composta geralmente por milhares
desses elementos maliciosos, que ficam residentes nas mquinas,
aguardando o comando de um invasor.
Figura. Botnet (Symantec,2014)
23

Quanto mais zumbis (Zombie Computers) participarem da botnet, mais

potente ela ser. Um invasor que tenha controle sobre uma botnet pode
utiliz-la para:
coletar informaes de um grande nmero de computadores;
clicar em anncios e gerar receitas fraudulentas;
enviar spam em grande escala;
hospedar sites de phishing;
iniciar ataques de negao de servio que impedem o uso de servios
online etc.
Botnets fornecem aos criminosos cibernticos capacidade de processamento e
conectividade de Internet em escala gigantesca. desse modo que eles so
capazes de enviar milhes de e-mails de spam ou infectar milhes de PCs por
hora (Symantec, 2014).
O esquema simplificado apresentado a seguir destaca o funcionamento bsico
de uma botnet (CERT.br, 2012):
o atacante propaga um tipo especfico de bot, com a inteno de infectar
e conseguir a maior quantidade possvel de mquinas zumbis;
essas mquinas zumbis ficam ento disposio do atacante, agora seu
controlador, espera dos comandos a serem executados;
quando o controlador deseja que uma ao seja realizada, ele envia s
mquinas zumbis os comandos a serem executados, usando, por
exemplo, redes do tipo P2P ou servidores centralizados;
as mquinas zumbis executam ento os comandos recebidos, durante o
perodo predeterminado pelo controlador;
quando a ao encerrada, as mquinas zumbis voltam a ficar espera
dos prximos comandos a serem executados.
24

Figura. Um spam contendo um cdigo malicioso conhecido como Cavalo

de Troia. Ao passar o mouse sobre o link, veja que o site mostrado no
da Vivo. O usurio ser infectado se clicar no link e executar o anexo.
Uma das caractersticas do Cavalo de Troia (trojan horse) que ele
facilita ao de outros ataques!
O cavalo de troia no um vrus, pois no se duplica e no se dissemina
como os vrus. Na maioria das vezes, ele ir instalar programas para
possibilitar que um invasor tenha controle total sobre um computador.
Estes programas podem permitir que o invasor:
veja e copie ou destrua todos os arquivos armazenados no computador;
faa a instalao de keyloggers ou screenloggers (descubra todas as senhas

digitadas pelo usurio);
realize o furto de senhas e outras informaes sensveis, como nmeros de

cartes de crdito;
faa a incluso de backdoors, para permitir que um atacante tenha total

controle sobre o computador; formate o disco rgido do computador, etc.
Exemplos comuns de Cavalos de Troia so programas que voc recebe ou
obtm de algum site e que parecem ser apenas cartes virtuais animados,
lbuns de fotos de alguma celebridade, jogos, protetores de tela, entre outros.
Enquanto esto sendo executados, estes programas podem ao mesmo tempo
26

enviar dados confidenciais para outro computador, instalar backdoors, alterar

informaes, apagar arquivos ou formatar o disco rgido.
H diferentes tipos de trojans, classificados de acordo com as aes
maliciosas que costumam executar ao infectar um computador. Alguns
desses tipos apontados por Certbr (2012) so:
Trojan Downloader: instala outros cdigos maliciosos, obtidos de sites na
Internet.
Trojan Dropper: instala outros cdigos maliciosos, embutidos no prprio

cdigo do trojan.
Trojan Backdoor: inclui backdoors, possibilitando o acesso remoto do

atacante ao computador.
Trojan DoS: instala ferramentas de negao de servio e as utiliza para

desferir ataques.
Trojan Destrutivo: altera/apaga arquivos e diretrios, formata o disco

rgido e pode deixar o computador fora de operao.
Trojan Clicker: redireciona a navegao do usurio para sites especficos,

com o objetivo de aumentar a quantidade de acessos a estes sites ou
apresentar propagandas.
Trojan Proxy: instala um servidor de proxy, possibilitando que o

computador seja utilizado para navegao annima e para envio de spam.
Trojan Spy: instala programas spyware e os utiliza para coletar

informaes sensveis, como senhas e nmeros de carto de crdito, e
envi-las ao atacante.
Trojan Banker: coleta dados bancrios do usurio, atravs da instalao

de programas spyware que so ativados nos acessos aos sites de Internet
Banking. similar ao Trojan Spy, porm com objetivos mais especficos.
Spyware
Trata-se de um programa espio (spy em
ingls = espio), que tem por finalidade
monitorar as atividades de um sistema e
enviar as informaes coletadas para
terceiros.
27

Screenloggers (Copia as telas acessadas!)

As instituies financeiras desenvolveram os
teclados virtuais para evitar que os keyloggers
pudessem capturar informaes sensveis de
usurios. Ento, foram desenvolvidas formas mais
avanadas de keyloggers, tambm conhecidas
como screenloggers capazes de: armazenar a
posio do cursor e a tela apresentada no monitor,
nos momentos em que o mouse clicado, ou
armazenar a regio que circunda a posio onde o
mouse clicado. Normalmente, o keylogger vem como parte de um programa
spyware ou cavalo de troia. Desta forma, necessrio que este programa seja
executado para que o keylogger se instale em um computador. Geralmente,
tais programas vm anexados a e-mails ou esto disponveis em sites na
Internet. Existem ainda programas leitores de e-mails que podem estar
configurados para executar automaticamente arquivos anexados s
mensagens. Neste caso, o simples fato de ler uma mensagem suficiente para
que qualquer arquivo anexado seja executado.
Adware (Advertising software) (Exibe propagandas!)

Projetado especificamente para apresentar
propagandas.
Este
tipo
de
programa
geralmente no prejudica o computador. Cert.Br
(2103) destaca que ele pode ser usado para fins
legtimos, quando incorporado a programas e
servios, como forma de patrocnio ou retorno
financeiro para quem desenvolve programas
livres ou presta servios gratuitos. Quando o seu
uso feito de forma maliciosa, pode abrir uma
janela do navegador apontando para pginas de
cassinos, vendas de remdios, pginas pornogrficas, etc. Tambm as
propagandas apresentadas podem ser direcionadas, de acordo com a
navegao do usurio e sem que este saiba que tal monitoramento est sendo
realizado.
29

Backdoors (Abre portas!)

Normalmente, um atacante procura
garantir uma forma de retornar a um
computador comprometido, sem precisar
recorrer aos mtodos utilizados na
realizao da invaso. Na maioria dos
casos, tambm inteno do atacante
poder
retornar
ao
computador
comprometido sem ser notado. A esses
programas que permitem o retorno de um invasor a um computador
comprometido, utilizando servios criados ou modificados para este
fim, d-se o nome de backdoor.
A forma usual de incluso de um backdoor consiste na disponibilizao de um
novo servio ou substituio de um determinado servio por uma verso
alterada, normalmente possuindo recursos que permitam acesso remoto
(atravs da Internet). Pode ser includo por um invasor ou atravs de um
cavalo de troia. Programas de administrao remota, como BackOrifice,
NetBus, Sub-Seven, VNC e Radmin, se mal configurados ou utilizados sem o
consentimento do usurio, tambm podem ser classificados como backdoors.
Rootkit
Tipo de malware cuja principal inteno se camuflar, para assegurar a sua
presena no computador comprometido, impedindo que seu cdigo seja
encontrado por qualquer antivrus. Isto possvel por que esta aplicao tem
a capacidade de interceptar as solicitaes feitas ao sistema operacional,
podendo alterar o seu resultado.
O invasor, aps instalar o rootkit, ter acesso privilegiado ao computador
previamente comprometido, sem precisar recorrer novamente aos mtodos
utilizados na realizao da invaso, e suas atividades sero escondidas do
responsvel e/ou dos usurios do computador.
Um rootkit pode fornecer programas com as mais diversas funcionalidades.
Dentre eles, merecem destaque:
programas para esconder atividades e informaes deixadas pelo invasor,

tais como arquivos, diretrios, processos etc.;
backdoors, para assegurar o acesso futuro do invasor ao computador

comprometido;
programas para remoo de evidncias em arquivos de logs;
31

sniffers, para capturar informaes na rede onde o computador est

localizado, como por exemplo senhas que estejam
trafegando em claro, ou seja, sem qualquer mtodo
de criptografia; scanners, para mapear potenciais
vulnerabilidades em outros computadores.
Bomba Lgica (Logic Bomb)

Programa em que o cdigo malicioso executado quando ocorre um
evento predefinido (como uma data que est se aproximando ou quando
uma determinada palavra ou sequncia de caracteres digitada no teclado
pelo usurio). Uma ao de uma bomba lgica seria, por exemplo, fazer com
que determinadas informaes de um banco de dados sejam removidas numa
determinada data.
As bombas lgicas so difceis de detectar porque so frequentemente
instaladas por quem tem autorizao no sistema, seja pelo usurio
devidamente autorizado ou por um administrador. Alguns tipos de vrus so
considerados bombas lgicas, uma vez que tm um circuito de disparo
planejado por hora e data.
Trackware
So programas que rastreiam a
atividade
do
sistema,
renem
informaes do sistema ou rastreiam
os hbitos do usurio, retransmitindo
organizaes de terceiros.
essas
informaes
As informaes reunidas por esses programas no so confidenciais nem

identificveis. Os programas de trackware so instalados com o consentimento
do usurio e tambm podem estar contidos em pacotes de outro software
instalado pelo usurio.
Bolware
um malware que infecta computadores e realiza a falsificao de dados de
boletos bancrios, realizando determinadas mudanas no documento,
alterando muitas vezes a conta em que o valor ser depositado, criando
problemas para o usurio que - sem saber - perde o valor do pagamento
realizado, como tambm para as empresas que iriam receber o pagamento.
32

Golpes na Internet
Geralmente, no uma tarefa simples atacar e fraudar dados em um servidor de
uma instituio bancria ou comercial. Ento, atacantes tm concentrado seus
esforos na explorao de fragilidades dos usurios, para realizar fraudes
comerciais e bancrias atravs da Internet.
A seguir, apresentamos alguns dos principais golpes aplicados na Internet,
que podem ser cobrados em provas, portanto, ateno!
Furto de identidade (Identity theft)

o ato pelo qual uma pessoa tenta se passar por outra, atribuindo-se uma
falsa identidade, com o objetivo de obter vantagens indevidas.
Alguns casos de furto de identidade podem ser considerados como crime
contra a f pblica, tipificados como falsa identidade.
Phishing (tambm conhecido como Phishing scam, ou apenas scam)

um tipo de fraude eletrnica projetada para roubar informaes
particulares que sejam valiosas para cometer um roubo ou fraude
posteriormente. O golpe de phishing realizado por uma pessoa malintencionada atravs da criao de um website falso e/ou do envio de uma
mensagem eletrnica falsa, geralmente um e-mail ou recado atravs
de scrapbooks como no stio Orkut, entre outros exemplos.
Utilizando de pretextos falsos, tenta enganar o receptor da mensagem e
induzi-lo a fornecer informaes sensveis (nmeros de cartes de crdito,
senhas, dados de contas bancrias, etc.).
As duas figuras seguintes apresentam iscas (e-mails) utilizadas em golpes
de phishing, uma envolvendo o Banco de Brasil e a outra o Serasa.
Figura. Isca de Phishing Relacionada ao Banco do Brasil
33

Figura. Isca de Phishing Relacionada ao SERASA

A palavra phishing (de fishing) vem de uma analogia criada pelos
fraudadores, em que iscas (e-mails) so usadas para pescar
informaes sensveis (senhas e dados financeiros, por exemplo) de
usurios da Internet.
Atualmente, este termo vem sendo utilizado tambm para se referir aos seguintes
casos:
mensagem que procura induzir o usurio instalao de cdigos

maliciosos, projetados para furtar dados pessoais e financeiros;
mensagem que, no prprio contedo, apresenta formulrios para o

preenchimento e envio de dados pessoais e financeiros de usurios.
Pharming
O Pharming uma tcnica que utiliza o sequestro ou a "contaminao"
do servidor DNS (Domain Name Server) para levar os usurios a um
site falso, alterando o DNS do site de destino. O sistema tambm pode
redirecionar os usurios para sites autnticos atravs de proxies controlados,
que podem ser usados para monitorar e interceptar a digitao.
Os sites falsificados coletam nmeros de cartes de crdito, nomes de contas,
senhas e nmeros de documentos. Isso feito atravs da exibio de um popup para roubar a informao antes de levar o usurio ao site real. O programa
mal-intencionado usa um certificado auto-assinado para fingir a autenticao
e induzir o usurio a acreditar nele o bastante para inserir seus dados pessoais
no site falsificado. Outra forma de enganar o usurio sobrepor a barra de
endereo
e
status
de
navegador
para
induzi-lo a pensar que est no site legtimo e inserir suas informaes.
Nesse contexto, programas criminosos podem ser instalados nos PCs
dos consumidores para roubar diretamente as suas informaes. Na
maioria dos casos, o usurio no sabe que est infectado, percebendo apenas
34

uma ligeira reduo na velocidade do computador ou falhas de funcionamento

atribudas a vulnerabilidades normais de software.
Ataques na Internet
Ataque, segundo a norma ISO/IEC 27000 (2009) a tentativa de destruir,
expor, alterar, inutilizar, roubar ou obter acesso no autorizado, ou fazer
uso no autorizado de um ativo.
Os ataques costumam ocorrer na Internet com diversas motivaes (financeiras,
ideolgicas, comerciais, etc.), tendo-se em vista diferentes alvos e usando
variadas tcnicas. Qualquer servio, computador ou rede que seja acessvel via
Internet pode ser alvo de um ataque, assim como qualquer computador com
acesso Internet pode participar de um ataque (CertBr,2012).
A seguir, destacamos algumas das tcnicas utilizadas nos ataques, que podem
ser cobradas na sua prova.
Interceptao de Trfego (Sniffing)

Processo de captura das informaes da rede por meio de um software
de escuta de rede (conhecido como sniffer, farejador ou ainda
capturador de pacote), capaz de interpretar as informaes
transmitidas no meio fsico.
Segundo o CertBr (2012), essa tcnica pode ser utilizada de forma:
o Legtima: por administradores de redes, para detectar problemas,
analisar desempenho e monitorar atividades maliciosas relativas aos
computadores ou redes por eles administrados.
o Maliciosa: por atacantes, para capturar informaes sensveis, como
senhas, nmeros de carto de crdito e o contedo de arquivos
confidenciais que estejam trafegando por meio de conexes inseguras,
ou seja, sem criptografia.
Note que as informaes capturadas por esta tcnica so armazenadas na
forma como trafegam, ou seja, informaes que trafegam criptografadas
apenas
sero
teis
ao
atacante
se
ele
conseguir
decodific-las (CertBr,2012).
35

Ataque de Fora bruta (Brute force)

Fora bruta consiste em adivinhar, por tentativa e erro, um nome de usurio
e senha e, assim, executar processos e acessar sites, computadores e servios
em nome e com os mesmos privilgios deste usurio (Certbr,2012). Este um
mtodo muito poderoso para descoberta de senhas, no entanto
extremamente lento porque cada combinao consecutiva de caracteres
comparada. Ex: aaa, aab, aac ..... aaA, aaB, aaC... aa0, aa1, aa2, aa3... aba,
aca, ada...
Qualquer computador, equipamento de rede ou servio que seja acessvel via
Internet, com um nome de usurio e uma senha, pode ser alvo de um ataque
de fora bruta. Dispositivos mveis, que estejam protegidos por senha, alm
de poderem ser atacados pela rede, tambm podem ser alvo deste tipo de
ataque caso o atacante tenha acesso fsico a eles (Certbr,2012).
Se um atacante tiver conhecimento do seu nome de usurio e da sua senha
ele pode efetuar aes maliciosas em seu nome como, por exemplo
(Certbr,2012):
trocar a sua senha, dificultando que voc acesse novamente o site ou

computador invadido;
invadir o servio de e-mail que voc utiliza e ter acesso ao contedo das
suas mensagens e sua lista de contatos, alm de poder enviar mensagens
em seu nome;
acessar a sua rede social e enviar mensagens aos seus seguidores contendo
cdigos maliciosos ou alterar as suas opes de privacidade;
invadir o seu computador e, de acordo com as permisses do seu usurio,
executar aes, como apagar arquivos, obter informaes confidenciais e
instalar cdigos maliciosos.
Mesmo que o atacante no consiga descobrir a sua senha, voc pode ter
problemas ao acessar a sua conta caso ela tenha sofrido um ataque de fora
bruta, pois muitos sistemas bloqueiam as contas quando vrias tentativas de
acesso sem sucesso so realizadas (Certbr,2012).
Apesar dos ataques de fora bruta poderem ser realizados manualmente, na
grande maioria dos casos, eles so realizados com o uso de ferramentas
automatizadas facilmente obtidas na Internet e que permitem tornar o ataque
bem mais efetivo (Certbr,2012).
As tentativas de adivinhao costumam ser baseadas em (Certbr,2012):
dicionrios de diferentes idiomas e que podem ser facilmente obtidos na

Internet;
listas de palavras comumente usadas, como personagens de filmes e
nomes de times de futebol;
38

substituies bvias de caracteres, como trocar "a" por "@" e "o" por "0"';
sequncias numricas e de teclado, como "123456", "qwert" e "1qaz2wsx";
informaes pessoais, de conhecimento prvio do atacante ou coletadas na
Internet em redes sociais e blogs, como nome, sobrenome, datas e
nmeros de documentos.
Um ataque de fora bruta, dependendo de como realizado, pode resultar em

um ataque de negao de servio, devido sobrecarga produzida pela grande
quantidade de tentativas realizadas em um pequeno perodo de tempo
(Certbr,2012).
Pichao ou Desfigurao de pgina (Defacement)

uma tcnica que consiste em alterar o contedo da pgina Web de
um site. Dentre as vulnerabilidades (falhas de segurana) que podem ser
exploradas nesse tipo de ataque, podemos citar: erros da aplicao Web ou
no servidor de aplicao Web, etc.
Finalizando, cabe destacar a importncia da proteo de seus dados, fazendo uso

dos mecanismos de proteo disponveis e mantendo o seu computador
atualizado e livre de cdigos maliciosos. Todo o cuidado pouco, para que
voc no seja a prxima vtima!
Spams
So mensagens de correio eletrnico no autorizadas ou no solicitadas,
sendo um dos grandes responsveis pela propagao de cdigos
maliciosos, disseminao de golpes e venda ilegal de produtos.
O spam no propriamente uma ameaa segurana, mas um portador
comum delas. So spams, por exemplo, os e-mails falsos que recebemos como
sendo de rgos como Receita Federal ou Tribunal Superior Eleitoral. Nesse caso,
os spams costumam induzir o usurio a instalar um dos malwares que vimos
anteriormente.
Os spammers (indivduos que enviam spams) utilizam diversas tcnicas para
coletar os endereos de e-mail, desde a compra de bancos de dados at a
produo de suas prprias listas, geradas a partir de (CERTBR, 2013):
ataques de dicionrio: consistem em formar endereos de e-mail a partir

de listas de nomes de pessoas, de palavras presentes em dicionrios e/ou
da combinao de caracteres alfanumricos;
cdigos maliciosos: muitos cdigos maliciosos so projetados para varrer

o computador infectado em busca de endereos de e-mail que,
posteriormente, so repassados para os spammer;
harvesting: consiste em coletar endereos de e-mail por meio de

varreduras em pginas Web e arquivos de listas de discusso, entre outros.
39

componentes (ou controles) ActiveX: Certbr (2013) destaca que o

navegador Web, pelo esquema de certificados digitais, verifica a
procedncia de um componente ActiveX antes de receb-lo. Ao aceitar o
certificado, o componente executado e pode efetuar qualquer tipo de
ao, desde enviar um arquivo pela Internet at instalar programas (que
podem ter fins maliciosos) em seu computador.
Janelas de Pop-up
Aparecem automaticamente e sem permisso do usurio, sobrepondo a janela do
navegador Web, aps o acesso a um determinado site.
Certbr (2013) destaca alguns riscos que podem ser ocasionados nesse
contexto:
apresentar mensagens indesejadas, contendo propagandas ou contedo

imprprio;
apresentar links, que podem redirecionar a navegao para uma pgina falsa
ou induzi-lo a instalar cdigos maliciosos.
Plug-ins, Complementos e Extenses

So programas geralmente desenvolvidos por terceiros e que voc pode
instalar em seu navegador Web ou leitor de e-mails para prover
funcionalidades extras.
Apesar de grande parte desses programas serem confiveis, h a chance de
existir programas especificamente criados para executar atividades maliciosas ou
que, devido a erros de implementao, possam executar aes danosas em seu
computador (Certbr,2013).
Links Patrocinados
O link patrocinado um formato de anncio publicitrio pago, oferecido
por diversas ferramentas de busca como: Google, Yahoo, Bing. Um
anunciante que queira fazer propaganda de um produto ou site paga para
o site de busca apresentar o link em destaque (vide figura seguinte) quando
palavras
especficas
so
pesquisadas.
Quando
se
clica
em
um link patrocinado, o site de busca recebe do anunciante um valor
previamente combinado.
Segundo Certbr (2013), o anunciante geralmente possui uma pgina Web - com
acesso via conta de usurio e senha - para poder interagir com o site de busca,
alterar configuraes, verificar acessos e fazer pagamentos. Este tipo de conta
bastante visado por atacantes, com o intuito de criar redirecionamentos para
pginas de phishing ou contendo cdigos maliciosos e representa o principal
risco relacionado a links patrocinados.
41

Banners de Propaganda
Caso voc tenha uma pgina Web, possvel disponibilizar um espao nela para
que o servio de publicidade apresente banners de seus clientes. Quanto mais a
sua pgina acessada e quanto mais cliques so feitos nos banners por
intermdio dela, mais voc pode vir a ser remunerado.
Um golpe decorrente desse ambiente o malvertising (juno de "malicious"
(malicioso) e "advertsing" (propaganda)). Nesse tipo de golpe so criados
anncios maliciosos e, por meio de servios de publicidade, eles so
apresentados em diversas pginas Web. Geralmente, o servio de
publicidade induzido a acreditar que se trata de um anncio legtimo e, ao
aceit-lo, intermedia a apresentao e faz com que ele seja mostrado em diversas
pginas.
Programas de Distribuio de Arquivos (P2P)
Permitem que os usurios compartilhem arquivos entre si. Exemplos: Kazaa,
Gnutella e BitTorrent. O uso desses programas pode ocasionar: acessos
indevidos a diretrios e arquivos se mal configurado, obteno de arquivos
maliciosos por meio dos arquivos distribudos nesses ambientes, violao
de direitos autorais (com distribuio no autorizada de arquivos de msica,
filmes, textos ou programas protegidos pela lei de direitos autorais).
Compartilhamento de Recursos
Ao fazer um compartilhamento de recursos do seu computador, como diretrios,
discos, e impressoras, com outros usurios, pode estar permitindo:
o acesso no autorizado a recursos ou informaes sensveis;
que seus recursos sejam usados por atacantes, caso no sejam

definidas senhas para controle de acesso ou sejam usadas senhas
facilmente descobertas.
42

Procedimentos de Segurana
Diante desse grande risco, uma srie de procedimentos, considerados como
boas prticas de segurana podem ser implementados para salvaguardar os
ativos (que o que a segurana da informao busca proteger) da organizao
(CertBR, 2006).
Como podemos reduzir o volume de spam que chega at nossas caixas
postais?
A resposta bem simples! Basta navegar de forma consciente na rede. Este
conselho o mesmo que recebemos para zelar pela nossa segurana no trnsito
ou ao entrar e sair de nossas casas.
A seguir destacamos as principais dicas que foram reportadas pelo CertBr (2012)
para que os usurios da Internet desfrutem dos recursos e benefcios da rede,
com segurana:
Preservar as informaes pessoais, tais como: endereos de e-mail, dados

pessoais e, principalmente, cadastrais de bancos, cartes de crdito e senhas.
Um bom exerccio pensar que ningum forneceria seus dados
pessoais a um estranho na rua, ok? Ento, por que liber-la na
Internet?
Ter, sempre que possvel, e-mails separados para assuntos pessoais,

profissionais, para as compras e cadastros on-line. Certos usurios mantm
um e-mail somente para assinatura de listas de discusso.
No caso das promoes da Internet, geralmente, ser necessrio preencher
formulrios. Ter um e-mail para cadastros on-line uma boa prtica
para os usurios com o perfil descrito. Ao preencher o cadastro, procure
desabilitar as opes de recebimento de material de divulgao do site e de
seus parceiros, pois justamente nesse item que muitos usurios atraem
spam, inadvertidamente!
No ser um "clicador compulsivo", ou seja, o usurio deve procurar controlar

a curiosidade de verificar sempre a indicao de um site em um
e-mail suspeito de spam. Pensar, analisar as caractersticas do e-mail e
verificar se no mesmo um golpe ou cdigo malicioso.
No
ser
um
"caa-brindes",
"papa-liquidaes"
ou
"destruidor-de-promoes", rs! Ao receber e-mails sobre brindes, promoes
ou descontos, reserve um tempo para analisar o e-mail, sua procedncia e
verificar no site da empresa as informaes sobre a promoo em questo.
Vale lembrar que os sites das empresas e instituies financeiras tm mantido
alertas em destaque sobre os golpes envolvendo seus servios. Assim, a visita
ao site da empresa pode confirmar a promoo ou alert-lo sobre o golpe que
acabou de receber por e-mail!
43

Ferramentas de combate ao spam (anti-spams) so geralmente

disponibilizadas do lado dos servidores de e-mail, filtrando as mensagens que
so direcionadas nossa caixa postal. Importante que se tenha um filtro antispam instalado, ou ainda, usar os recursos anti-spam oferecidos por seu
provedor de acesso.
Alm do anti-spam, existem outras ferramentas bastante importantes para o

usurio da rede: anti-spyware, firewall pessoal e antivrus, estudadas nesta
aula.
Cuidados com Contas e Senhas
Uma senha pode ser descoberta ao ser usada em computadores

infectados; ao ser usada em sites falsos; por meio de tentativas de
adivinhao; ao ser capturada enquanto trafega na rede, sem estar
criptografada; por meio do acesso ao arquivo onde a senha foi armazenada
caso ela no tenha sido gravada de forma criptografada; com o uso de tcnicas
de engenharia social, como forma a persuadi-lo a entreg-la voluntariamente;
pela observao da movimentao dos seus dedos no teclado ou dos cliques
do mouse em teclados virtuais (CERT.BR,2012).
Uma senha boa, bem elaborada, aquela que difcil de ser

descoberta (forte) e fcil de ser lembrada. No convm que voc crie
uma senha forte se, quando for us-la, no conseguir
record-la. Tambm no convm que voc crie uma senha fcil de ser
lembrada se ela puder ser facilmente descoberta por um atacante.
Alguns elementos que voc no deve usar na elaborao de suas senhas

so: qualquer tipo de dado pessoal (jamais utilizar como senha seu nome,
sobrenomes, nmeros de documentos, placas de carros, nmeros de
telefones, datas que possam ser relacionadas com voc, etc.); sequncias
de teclado; palavras que faam parte de listas.
Alguns elementos que voc deve usar na elaborao de suas senhas so:
nmeros aleatrios; grande quantidade de caracteres; diferentes tipos
de caracteres (CERT.BR,2013).
Mais dicas:
o
crie uma senha que contenha pelo menos oito caracteres, compostos de
letras, nmeros e smbolos.
utilize uma senha diferente para cada servio (por exemplo, uma senha
para o banco, outra para acesso rede corporativa da sua empresa,
outra para acesso a seu provedor de Internet etc.);
altere a senha com frequncia;
crie tantos usurios com privilgios normais, quantas forem as pessoas

que utilizam seu computador;
44

o
utilize o usurio Administrator

estritamente necessrio.
(ou
root)
somente
quando
for
Cuidados com Malware

O combate a cdigos maliciosos poder envolver uma srie de aes, como:
instalao de ferramentas antivrus e antispyware no computador,

lembrando de mant-las atualizadas frequentemente. A banca pode citar
ferramentas antimalware nesse contexto tambm;
no realizar abertura de arquivos suspeitos recebidos por e-mail;
fazer a instalao de patches de segurana e atualizaes corretivas de

softwares e do sistema operacional quando forem disponibilizadas
(proteo contra worms e bots), etc.
*Vrus
Instale e mantenha atualizado um bom programa antivrus;
atualize as assinaturas do antivrus, de preferncia diariamente;
configure o antivrus para verificar os arquivos obtidos pela Internet, discos

rgidos (HDs), flexveis (disquetes) e unidades removveis, como CDs, DVDs
e pen drives;
desabilite no seu programa leitor de e-mails a auto-execuo de arquivos

anexados s mensagens;
no execute ou abra arquivos recebidos por e-mail ou por outras fontes,

mesmo que venham de pessoas conhecidas. Caso seja necessrio abrir o
arquivo, certifique-se que ele foi verificado pelo programa antivrus;
utilize na elaborao de documentos formatos menos suscetveis

propagao de vrus, tais como RTF, PDF ou PostScript etc.
* Worms, bots e botnets
Siga todas as recomendaes para preveno contra vrus listadas no item

anterior;
mantenha o sistema operacional e demais softwares sempre atualizados;
aplique todas as correes de segurana (patches) disponibilizadas pelos

fabricantes, para corrigir eventuais vulnerabilidades existentes nos
softwares utilizados;
instale um firewall pessoal, que em alguns casos pode evitar que uma
vulnerabilidade existente seja explorada (observe que o firewall no
corrige as vulnerabilidades!!) ou que um worm ou bot se propague.
45

*Cavalos de troia, backdoors, keyloggers e spywares
Siga todas as recomendaes para preveno contra vrus, worms e bots;
instale um firewall pessoal, que em alguns casos pode evitar o acesso a

um backdoor j instalado em seu computador etc.;
utilize pelo menos uma ferramenta anti-spyware e mant-la sempre

atualizada.
Cuidados com o seu dispositivo mvel
Ao usar seu dispositivo mvel (CERT.BR,2012):
se disponvel, instale um programa antimalware antes de instalar qualquer

tipo de aplicao, principalmente aquelas desenvolvidas por terceiros;
mantenha o sistema operacional e as aplicaes instaladas sempre com a

verso mais recente e com todas as atualizaes aplicadas;
fique atento s notcias veiculadas no site do fabricante, principalmente as

relacionadas segurana;
seja cuidadoso ao instalar aplicaes desenvolvidas por terceiros, como

complementos, extenses e plug-ins;
seja cuidadoso ao usar aplicativos de redes sociais, principalmente os

baseados em geolocalizao, pois isto pode comprometer a sua privacidade
Ao acessar redes (CERT.BR,2013):
seja cuidadoso ao usar redes Wi-Fi pblicas;
mantenha interfaces de comunicao, como bluetooth, infravermelho e

Wi-Fi, desabilitadas e somente as habilite quando for necessrio;
configure a conexo bluetooth para que seu dispositivo no seja identificado

(ou "descoberto") por outros dispositivos (em muitos aparelhos esta opo
aparece como "Oculto" ou "Invisvel").
Proteja seu dispositivo mvel e os dados nele armazenados (CERT.BR,2013):

o mantenha as informaes sensveis sempre em formato criptografado;
o faa backups peridicos dos dados nele gravados;
o mantenha controle fsico sobre ele, principalmente em locais de risco
(procure no deix-lo sobre a mesa e cuidado com bolsos e bolsas
quando estiver em ambientes pblicos);
o use conexo segura sempre que a comunicao envolver dados
confidenciais;
o no siga links recebidos por meio de mensagens eletrnicas;
46

o cadastre uma senha de acesso que seja bem elaborada e, se possvel,

configure-o para aceitar senhas complexas (alfanumricas);
o configure-o para que seja localizado e bloqueado remotamente, por
meio de servios de geolocalizao (isso pode ser bastante til em casos
de perda ou furto);
o configure-o, quando possvel, para que os dados sejam apagados aps
um determinado nmero de tentativas de desbloqueio sem sucesso (use
esta opo com bastante cautela, principalmente se voc tiver filhos e
eles gostarem de "brincar" com o seu dispositivo).
Elaborao de uma Poltica de Segurana com o objetivo de solucionar
ou minimizar as vulnerabilidades encontradas na organizao.
Nesse contexto, destacamos os principais itens necessrios para uma boa poltica
de segurana:
possuir instalaes fsicas adequadas que ofeream o mnimo necessrio para

garantia da integridade dos dados;
controle de umidade, temperatura e presso;
sistema de aterramento projetado para suportar as descargas eltricas,

extintores de incndio adequados para equipamentos eltricos/eletrnicos;
uso adequado de equipamentos de proteo e segurana tais como: UPS (nobreak), filtro de linha, estabilizador de tenso;
manuteno do computador, limpeza e poltica da boa utilizao;
utilizao de sistemas operacionais que controlem o acesso de usurios e que

possuem um nvel de segurana bem elaborado, juntamente com o controle
de senhas;
utilizao de sistemas de proteo de uma rede de computadores, tais como

Firewall (sistema que filtra e monitora as aes na rede);
software antivrus atualizado constantemente;
sistema de criptografia (ferramenta que garante a segurana em todo

ambiente computacional que precise de sigilo em relao s informaes que
manipula). No envio de mensagens uma mensagem criptografada e se for
interceptada dificilmente poder ser lida, somente o destinatrio possuir o
cdigo necessrio;
treinamento e conscientizao de funcionrios para diminuir as falhas

humanas;
realizao de backups (cpia de segurana para salvaguardar os dados,

geralmente mantida em CDs, DVDs, fitas magnticas, pendrives, etc.,
para que possam ser restaurados em caso de perda dos dados
originais).
47

individuais, grupos de arquivos ou todos os arquivos

includos no backup.
Imagem
Cpia de todos os dados de

armazenamento (CD, DVD, HD).
um
dispositivo
de
Arquivamento Mover dados que no so mais usados (dados histricos)

para outro lugar, mas que ainda podem ser acessados em
caso de necessidade.
Backup Off
Site
Abrange a replicao de dados de backup em um local

geograficamente separado do local dos sistemas de
produo, alm de fazer backup pela rede remota
(WAN). Motivaes para o backup off-site incluem
recuperao de desastres, consolidao de operaes de
backup e economia.
Mtodos de Backup
Existem, basicamente, dois mtodos de Backup.
Atributos de Arquivos
So informaes associadas a arquivos e pastas.
Definem o comportamento do sistema de arquivos.
Podem ser acessados atravs das propriedades (Alt+Enter ou clique com

boto direito do mouse no cone do arquivo ou pasta pelo Windows).
Ao clicar com o boto direito do mouse no cone de um arquivo do Windows, e

selecionar a opo Propriedades; em seguida, guia Geral -> Avanados, ser
exibida uma caixa o arquivo est pronto para ser arquivado, marcada como
padro (No Windows XP, leia-se arquivo morto).
49

Em uma pasta ir aparecer a caixa Pasta pronta para arquivamento,

conforme ilustrado nas figuras seguintes.
Figura. Atributos de arquivos, no Windows 7.
Figura. Windows XP.
Figura. Atributos de uma pasta no Windows 7

A tela seguinte destaca opo de arquivo morto obtida ao clicar com o boto
direito do mouse no arquivo intitulado lattes.pdf, do meu computador que possui
o sistema operacional Windows Vista.
50

Assim temos:
Quando um arquivo/pasta est com o atributo marcado, significa que
ele dever ser copiado no prximo backup.
Se estiver desmarcado, significa que, provavelmente, j foi feito um backup
deste arquivo.
Tcnicas (Tipos) de Backup
As principais tcnicas (tipos) de Backup, que podem ser combinadas com
os mecanismos de backup on-line e off-line, esto listadas a seguir:
**NORMAL (TOTAL ou GLOBAL)
COPIA TODOS os arquivos e pastas selecionados.
DESMARCA o atributo de arquivamento (arquivo morto): limpa os

marcadores.
Caso necessite restaurar o backup normal, voc s precisa da cpia mais

recente.
Normalmente, este backup executado quando voc cria um conjunto de

backup pela 1 vez.
Agiliza o processo de restaurao, pois somente um backup ser restaurado.
**INCREMENTAL
Copia somente os arquivos CRIADOS ou ALTERADOS desde o ltimo

backup normal ou incremental.
O atributo de arquivamento (arquivo morto) DESMARCADO: limpa os

marcadores.
51

**DIFERENCIAL
Copia somente os arquivos CRIADOS ou ALTERADOS desde o ltimo

backup normal ou incremental.
O atributo de arquivamento (arquivo morto) NO ALTERADO: no limpa

os marcadores.
**CPIA (AUXILIAR ou SECUNDRIA)
Faz o backup de arquivos e pastas selecionados.

os marcadores!
**DIRIO
Copia todos os arquivos e pastas selecionados que foram ALTERADOS

DURANTE O DIA da execuo do backup.

os marcadores!
52

Plano de segurana para a poltica de backup

importante estabelecer uma poltica de backup que obedea a critrios bem
definidos sobre a segurana da informao envolvida, levando-se em
considerao os servios que estaro disponveis; quem pode acessar (perfis de
usurios) as informaes; como realizar o acesso (acesso remoto, local, senhas,
etc.); o que fazer em caso de falha; quais os mecanismos de segurana
(antivrus), dentre outros.
Em suma, o objetivo principal dos backups garantir a disponibilidade
da informao. Por isso a poltica de backup um processo relevante no
contexto de segurana dos dados.
Noes sobre Criptografia
A palavra criptografia composta dos termos gregos KRIPTOS (secreto, oculto,
ininteligvel) e GRAPHO (escrita, escrever). Trata-se de um conjunto de conceitos
e tcnicas que visa codificar uma informao de forma que somente o
emissor e o receptor possam acess-la.
Terminologia bsica sobre Criptografia:
Mensagem ou texto: informao que se deseja proteger. Esse texto

quando em sua forma original, ou seja, a ser transmitido, chamado de
texto puro ou texto claro.
Remetente ou emissor: pessoa ou servio que envia a mensagem.
Destinatrio ou receptor: pessoa ou servio que receber a mensagem.
Encriptao: processo em que um texto puro passa, transformando-se em

texto cifrado.
Desencriptao: processo de recuperao de um texto puro a partir de

um texto cifrado.
Canal de comunicao: o meio utilizado para a troca de informaes.
Criptografar: ato de encriptar um texto puro, assim

descriptografar o ato de desencriptar um texto cifrado.
Chave: informao que o remetente e o destinatrio possuem e que ser

usada para criptografar e descriptografar um texto ou mensagem.
como,
Criptografia = arte e cincia de manter mensagens seguras.

Criptoanlise = arte e cincia de quebrar textos cifrados.
Criptologia = combinao da criptografia + criptoanlise.
54

Criptografia de Chave Simtrica (tambm chamada de Criptografia de

Chave nica, ou Criptografia Privada, ou Criptografia Convencional ou
Criptografia de Chave Secreta)
Utiliza APENAS UMA chave para encriptar e decriptar as mensagens.
Assim, como s utiliza UMA chave, obviamente ela deve ser compartilhada entre
o remetente e o destinatrio da mensagem.
Para ilustrar os sistemas simtricos, podemos usar a
imagem de um cofre, que s pode ser fechado e aberto com
uso de UMA chave. Esta pode ser, por exemplo, uma
combinao de nmeros. A mesma combinao abre e
fecha o cofre.
Para criptografar uma mensagem, usamos a chave
(fechamos o cofre) e para decifr-la utilizamos a mesma
chave (abrimos o cofre).
Na criptografia simtrica (ou de chave nica) tanto o emissor quanto o
receptor da mensagem devem conhecer a chave utilizada. Ambos fazem
uso da MESMA chave, isto , uma NICA chave usada na codificao e
na decodificao da informao.
A figura seguinte ilustra o processo de criptografia baseada em uma nica chave,
ou seja, a chave que cifra uma mensagem utilizada para posteriormente
decifr-la.
As principais vantagens dos algoritmos simtricos so:
55

rapidez: um polinmio simtrico encripta um texto longo em milsimos de

segundos;
chaves pequenas: uma chave de criptografia de 128 bits torna um algoritmo

simtrico praticamente impossvel de ser quebrado.
A maior desvantagem da criptografia simtrica que a chave utilizada para

encriptar IGUAL chave que decripta. Quando um grande nmero de pessoas
tem conhecimento da chave, a informao deixa de ser um segredo.
O uso de chaves simtricas tambm faz com que sua utilizao no seja adequada
em situaes em que a informao muito valiosa. Para comear, necessrio
usar uma grande quantidade de chaves caso muitas pessoas estejam envolvidas.
Ainda, h o fato de que tanto o emissor quanto o receptor precisam conhecer a
chave usada.
A transmisso dessa chave de um para o outro pode no ser to segura e cair
em "mos erradas", fazendo com que a chave possa ser interceptada e/ou
alterada em trnsito por um inimigo.
Existem vrios algoritmos que usam chaves simtricas, como: o DES (Data
Encryption Standard), o IDEA (International Data Encryption Algorithm), e o RC
(Ron's Code ou Rivest Cipher):
DES (Data Encryption Standard): criado pela IBM em 1977, faz uso de
chaves de 56 bits. Isso corresponde a 72 quadrilhes de combinaes (256
= 72.057.594.037.927.936). um valor absurdamente alto, mas no para
um computador potente. Em 1997, ele foi quebrado por tcnicas de "fora
bruta" (tentativa e erro) em um desafio promovido na internet;
IDEA (International Data Encryption Algorithm): criado em 1991 por

James Massey e Xuejia Lai, o IDEA um algoritmo que faz uso de chaves
de 128 bits e que tem uma estrutura semelhante ao DES;
RC (Ron's Code ou Rivest Cipher): criado por Ron Rivest na empresa

RSA Data Security, esse algoritmo muito utilizado em e-mails e faz uso
de chaves que vo de 8 a 1024 bits. Possui vrias verses: RC2, RC4, RC5
e RC6. Essencialmente, cada verso difere da outra por trabalhar com
chaves maiores.
H ainda outros algoritmos conhecidos, como o AES (Advanced Encryption

Standard) - que baseado no DES, o 3DES, o Twofish e sua variante Blowfish,
por exemplo.
Criptografia de Chave ASSimtrica (tambm chamada de Criptografia
de Chave Pblica)
Os algoritmos de criptografia assimtrica (criptografia de chave pblica)
utilizam DUAS chaves DIFERENTES, uma PBLICA (que pode ser distribuda)
56

e uma PRIVADA (pessoal e intransfervel). Assim, nesse mtodo cada pessoa

ou entidade mantm duas chaves: uma pblica, que pode ser divulgada
livremente, e outra privada, que deve ser mantida em segredo pelo seu dono.
As mensagens codificadas com a chave pblica s podem ser decodificadas com
a chave privada correspondente.
Do ponto de vista do custo computacional, os sistemas simtricos
apresentam melhor desempenho que os sistemas assimtricos, e isso j
foi cobrado em provas vrias vezes!
A figura seguinte ilustra o princpio da criptografia utilizando chave assimtrica.
Tambm conhecida como "Criptografia de Chave Pblica", a tcnica de
criptografia por Chave Assimtrica trabalha com DUAS chaves: uma
denominada privada e outra denominada pblica. Nesse mtodo, uma
pessoa deve criar uma chave de codificao e envi-la a quem for mandar
informaes a ela. Essa a chave pblica. Outra chave deve ser criada para a
decodificao. Esta a chave privada secreta.
Para entender melhor, imagine o seguinte: o USURIO-A criou uma chave pblica
e a enviou a vrios outros sites. Quando qualquer desses sites quiser enviar uma
informao criptografada ao USURIO-A dever utilizar a chave pblica deste.
Quando o USURIO-A receber a informao, apenas ser possvel extra-la com
57

o uso da chave privada, que s o USURIO-A tem. Caso o USURIO-A queira

enviar uma informao criptografada a outro site, dever conhecer sua chave
pblica.
Entre os algoritmos que usam chaves assimtricas tm-se o RSA (o mais
conhecido), o DSA (Digital Signature Algorithm), o Schnorr (praticamente usado
apenas em assinaturas digitais) e Diffie-Hellman.
Figura. Mapa mental relacionado Criptografia ASSimtrica
Hashes Criptogrficos
Hash uma funo matemtica que recebe uma mensagem de entrada e
gera como resultado um nmero finito de caracteres (dgitos verificadores).
uma funo unidirecional. A figura seguinte ilustra alguns exemplos de uso
da funo hash:
58

Figura. Exemplos de Sadas da Funo
No possvel reconstituir a mensagem a partir do hash.

Pode ser feita em um sentido e no no outro como a relao entre as
chaves em um sistema de criptografia assimtrica.
Alguns algoritmos de hash: MD4, MD5, SHA-1, SHA-256, TIGER, etc.
CERT.BR (2013) destaca que uma funo de resumo (hash) um mtodo

criptogrfico que, quando aplicado sobre uma informao, independentemente
do tamanho que ela tenha, gera um resultado nico e de tamanho fixo, chamado
hash.
Usamos o hash (resumo da mensagem ou message digest em ingls) quando
precisamos garantir a integridade de determinada informao; realizar
armazenamento seguro de senhas; garantir a integridade de arquivos, etc.
CERT.BR (2013) destaca o uso do hash para vrios propsitos, como por
exemplo:
verificar a integridade de um arquivo armazenado no computador ou em
backups;
verificar a integridade de um arquivo obtido da Internet (nesse caso, alguns

sites, alm do arquivo em si, disponibilizam o hash correspondente, para
que o usurio verifique se o arquivo foi corretamente transmitido e
gravado). Voc pode utilizar uma ferramenta como a listada na tela
seguinte para calcular o hash do arquivo e, quando julgar necessrio, gerar
novamente este valor. Se os dois hashes forem iguais podemos concluir
que o arquivo no foi alterado. Caso contrrio, temos a um forte indcio de
que o arquivo esteja corrompido ou que foi modificado durante a
transmisso;
59

Figura. Gerao do hash do arquivo hash.exe.
gerar assinaturas digitais.
HASH (Message Digest Resumo de Mensagem): Mtodo matemtico

UNIDIRECIONAL, ou seja, s pode ser executado em um nico sentido (ex.:
voc envia uma mensagem com o hash, e este no poder ser alterado, mas
apenas conferido pelo destinatrio). Utilizado para garantir a integridade (no
alterao) de dados durante uma transferncia.
Assinatura Digital
O glossrio criado pela ICP Brasil destaca que a Assinatura Digital um cdigo
anexado ou logicamente associado a uma mensagem eletrnica que
permite de forma nica e exclusiva a comprovao da autoria de um
determinado conjunto de dados (um arquivo, um e-mail ou uma
transao).
A assinatura digital comprova que a pessoa criou ou concorda com um documento
assinado digitalmente, como a assinatura de prprio punho comprova a autoria
de um documento escrito.
Stallings (2008) destaca que a assinatura digital um mecanismo de
AUTENTICAO que permite ao criador de uma mensagem anexar um cdigo
que atue como uma assinatura.
Em outras palavras, a assinatura digital consiste na criao de um
cdigo, atravs da utilizao de uma chave privada, de modo que a
pessoa ou entidade que receber uma mensagem contendo este cdigo
possa verificar se o remetente mesmo quem diz ser e identificar
qualquer mensagem que possa ter sido modificada.
60

A verificao da assinatura feita com o uso da chave pblica, pois se o texto

foi codificado com a chave privada, somente a chave pblica
correspondente pode decodific-lo (CERT.BR,2013).
CERT.BR (2013) destaca que para contornar a baixa eficincia caracterstica da
criptografia de chaves assimtricas, a codificao feita sobre o hash e no
sobre o contedo em si, pois mais rpido codificar o hash (que possui tamanho
fixo e reduzido) do que a informao toda.
A assinatura formada tomando o hash (Message Digest Resumo de
Mensagem) da mensagem e criptografando-o com a chave privada do
criador.
Assim, a assinatura digital fornece uma prova inegvel de que uma mensagem
veio do emissor. Para verificar esse requisito, uma assinatura deve ter as
seguintes propriedades:
autenticidade: o receptor (destinatrio de uma mensagem) pode
confirmar que a assinatura foi feita pelo emissor;
integridade: qualquer alterao da mensagem faz com que a assinatura
seja invalidada;
no repdio (irretratabilidade): o emissor (aquele que assinou
digitalmente a mensagem) no pode negar que foi o autor da mensagem,
ou seja, no pode dizer mais tarde que a sua assinatura foi falsificada.
importante ressaltar que a segurana do mtodo baseia-se no fato de que a
chave privada conhecida apenas pelo seu dono. Tambm importante
ressaltar que o fato de assinar uma mensagem no significa gerar uma
mensagem sigilosa. Para o exemplo anterior, se Jos quisesse assinar a
mensagem e ter certeza de que apenas Maria teria acesso a seu contedo, seria
preciso codific-la com a chave pblica de Maria, depois de assin-la.
Entendendo os Componentes da Infraestrutura de Chaves Pblicas
(ICP)
PKI (Public Key Infrastrusture) a infraestrutura de chaves pblicas
(ICP). A ICP-Brasil um exemplo de PKI.
Uma Infraestrutura de Chaves Pblicas (ICP) envolve um processo colaborativo
entre vrias entidades: autoridade certificadora (AC), autoridade de registro
(AR), repositrio de certificados e o usurio final.
Autoridade Certificadora (AC)
Vamos ao exemplo da carteira de motorista. Se pensarmos em um certificado
como uma carteira de motorista, a Autoridade Certificadora opera como um tipo
de rgo de licenciamento. Em uma ICP, a AC emite, gerencia e revoga os
certificados para uma comunidade de usurios finais. A AC assume a tarefa
de autenticao de seus usurios finais e ento assina digitalmente as
61

Quanto maior o nmero do certificado, maior o nvel de segurana de seu

par de chaves.
Certificao Digital
Atividade de reconhecimento em meio eletrnico que se caracteriza pelo
estabelecimento de uma relao nica, exclusiva e intransfervel entre
uma chave de criptografia e uma pessoa fsica, jurdica, mquina ou
aplicao. Esse reconhecimento inserido em um Certificado Digital, por
uma Autoridade Certificadora.
Para se fazer a certificao de uma assinatura digital, necessria uma
infraestrutura que valide o certificado para as demais entidades. Para
isso, existem dois modelos de certificao que podem ser utilizados. So eles:
Modelo de malha de confiana: baseado na criao de uma rede em que

as entidades pertencentes devem confiar umas nas outras. Cada vez que um
usurio obtm a chave pblica de outro usurio, ele pode verificar a assinatura
digital da chave obtida por meio das demais entidades, garantindo a certeza
de que a chave a verdadeira. Nesse modelo, a confiana controlada
pelo prprio usurio. Alm disso, a confiana no transitiva, ou seja, se
uma entidade A confia em B e B confia em C, isso no significa
necessariamente que A confia em C. Esse modelo utilizado no software PGP,
que faz a certificao de mensagens eletrnicas.
Modelo hierrquico: baseado na montagem de uma hierarquia de

Autoridades Certificadoras (ACs). As ACs certificam os usurios e existe uma
autoridade certificadora raiz (AC-Raiz) que faz a certificao de todas as ACs
de sua jurisdio. Nesse modelo, os certificados digitais precisam da
assinatura digital de uma AC para ser vlido. Caso alguma entidade duvide de
sua validade, basta consultar na AC para verificar se o certificado no foi
revogado. Caso haja dvida da validade do certificado da AC, basta conferir
na AC-Raiz, que, em regra, possui um certificado assinado por si mesmo e
mantida por uma entidade governamental. Esse o modelo utilizado para a
montagem de Infraestruturas de Chaves Pblicas (ICPs).
A seguir, destacamos alguns cuidados extrados de Cert.Br (2013) a

serem tomados para proteger os seus dados, e utilizar de forma
adequada a certificao digital.
Proteja seus dados (CERT.BR, 2013):
utilize criptografia sempre que, ao enviar uma mensagem, quiser assegurarse que somente o destinatrio possa l-la;
utilize assinaturas digitais sempre que, ao enviar uma mensagem, quiser
assegurar ao destinatrio que foi voc quem a enviou e que o contedo no
foi alterado;
65

s envie dados sensveis aps certificar-se de que est usando uma conexo
segura;
utilize criptografia para conexo entre seu leitor de e-mails e os servidores de
e-mail do seu provedor;
cifre o disco do seu computador e dispositivos removveis, como disco externo
e pen-drive. Assim, em caso de perda ou furto do equipamento, seus dados
no podero ser indevidamente acessados;
verifique o hash, quando possvel, dos arquivos obtidos pela Internet.
Seja cuidadoso com as suas chaves e certificados (CERT.BR, 2013):
utilize chaves de tamanho adequado. Quanto maior a chave, mais resistente

ela ser a ataques de fora bruta;
no utilize chaves secretas bvias;
certifique-se de no estar sendo observado ao digitar suas chaves e senhas
de proteo;
utilize canais de comunicao seguros quando compartilhar chaves secretas;
armazene suas chaves privadas com algum mecanismo de proteo, como por
exemplo senha, para evitar que outra pessoa faa uso indevido delas;
preserve suas chaves. Procure fazer backups e mantenha-os em local seguro
(se voc perder uma chave secreta ou privada, no poder decifrar as
mensagens que dependiam de tais chaves);
tenha muito cuidado ao armazenar e utilizar suas chaves em computadores
potencialmente infectados ou comprometidos, como em LAN houses,
cybercafs, stands de eventos, etc.;
se suspeitar que outra pessoa teve acesso sua chave privada (por exemplo,
porque perdeu o dispositivo em que ela estava armazenada ou porque algum
acessou indevidamente o computador onde ela estava guardada), solicite
imediatamente a revogao do certificado junto AC que o emitiu.
Seja cuidadoso ao aceitar um certificado digital (CERT.BR, 2013):
mantenha seu sistema operacional e navegadores Web atualizados (alm disto

contribuir para a segurana geral do seu computador, tambm serve para
manter as cadeias de certificados sempre atualizadas);
mantenha seu computador com a data correta. Alm de outros benefcios, isto
impede que certificados vlidos sejam considerados no confiveis e, de forma
contrria, que certificados no confiveis sejam considerados vlidos;
ao acessar um site Web, observe os smbolos indicativos de conexo segura e
leia com ateno eventuais alertas exibidos pelo navegador;
caso o navegador no reconhea o certificado como confivel, apenas prossiga
com a navegao se tiver certeza da idoneidade da instituio e da integridade
do certificado, pois, do contrrio, poder estar aceitando um certificado falso,
criado especificamente para cometer fraudes.
66

Figura. Interface do Avast! Free Antivrus
Figura. Interface do Avast para Android

Veja mais http://www.techtudo.com.br/noticias/noticia/2015/03/avast-ou-avgveja-qual-e-o-antivirus-mais-completo-para-android.html
Avira
Exemplos de edies:
Avira Free Antivrus,
Avira Antivrus Security, etc.
68

Figura. Tela do Avira Free Antivirus
Figura. Avira para celular Android

Veja mais: http://www.techtudo.com.br/dicas-e-tutoriais/noticia/2015/03/veja5-dicas-para-usar-e-configurar-o-antivirus-avira-no-seu-computador.html
Panda
Exemplos de edies:
Panda Cloud Antivrus,
Panda Free Antivrus, etc.
69

Figura. Tela do antivrus Panda
Figura. Panda Cloud Antivrus => Usa a "nuvem de Internet" como

recurso para proteger o computador do usurio.
Bitdefender
Exemplo: Bitdefender Antivrus, etc.
70

Figura. Interface do Bitdefender Antivrus.

Kaspersky
Exemplo de edies:
Kaspersky Anti-Virus,
Kaspersky Security for Android, etc.
Figura. Interface do Kaspersky Antivrus.

Veja mais:
http://brazil.kaspersky.com/
http://www.baixaki.com.br/download/kaspersky-anti-virus.htm
Outros
A lista de aplicativos comerciais no se esgota aqui. Outras opes: TrendMicro
Antivrus, F-Secure Antivrus, McAfee Antivrus, etc.
71

Figura.DMZ
Autenticao
Em segurana da informao, a autenticao um
processo que busca verificar a identidade digital do
usurio de um sistema no momento em que ele
requisita um log in (acesso) em um programa ou
computador.
Consideraes sobre as ferramentas de autenticao
Senhas:
Senhas so utilizadas no processo de verificao da identidade do usurio
(log in), assegurando que este realmente quem diz ser. Geralmente,
quando o usurio cadastrado, a senha criptografada antes de ser armazenada
(no recomendado pois permite acesso senha, caso haja quebra do sistema
utilizado) ou se armazena o hash da senha (opo recomendada, pois impede o
acesso a senha que gerou o hash).
Para garantir uma boa segurana s senhas utilizadas, so definidas
algumas regras bsicas:
jamais utilizar palavras que faam parte de dicionrios, nem utilizar
informaes pessoais sobre o usurio (data de nascimento, parte do nome,
etc.);
uma boa senha deve ter pelo menos oito caracteres, de preferncia com
letras, nmeros e smbolos;
a senha deve ser simples de digitar e fcil de lembrar;
usar uma senha diferente para cada sistema utilizado;
tentar misturar letras maisculas, minsculas, nmeros e sinais de
pontuao;
trocar as senhas a cada dois ou trs meses, e sempre que houver
desconfiana de que algum descobriu a senha.
No trabalho, deve haver outros cuidados para a proteo do sigilo da
senha, como:
se certificar de no estar sendo observado ao digitar a sua senha;
75

no fornecer sua senha para qualquer pessoa, em hiptese alguma;

no utilize computadores de terceiros (por exemplo, em LAN houses,
cybercafs, etc.) em operaes que necessitem utilizar suas senhas;
certificar-se de que seu provedor disponibiliza servios criptografados,
principalmente para aqueles que envolvam o fornecimento de uma senha.
No caso do usurio Administrador (ou root), devem ser tomados alguns

cuidados especiais, uma vez que ele detm todos os privilgios em um
computador:
utilizar o usurio Administrador apenas quando for necessrio, ou seja para
realizar comandos que os usurios comuns no sejam capazes de fazer;
elaborar uma senha para o usurio Administrator, com uma segurana
maior que a exigida pelo usurio comum;
criar tantos usurios com privilgios normais, quantas forem as pessoas
que utilizam seu computador, para substituir o uso do usurio Administrator
em tarefas rotineiras.
One-time passwords:
One-time passwords so senhas de uso nico. A senha a ser utilizada pode
ser definida de acordo com o horrio ou a quantidade
de acessos, de forma que no seja possvel a
reutilizao de uma senha. Esse sistema garante
maior segurana, e usado em sistemas de alta
criticidade, como transaes bancrias. Entretanto, o
problema desse sistema a dificuldade de
administrao, uma vez que preciso o uso de ferramentas adicionais para
guardar as senhas, como, por exemplo, tokens de segurana usados por bancos
(Token OTP).
Smart Cards:
Smart Cards so cartes que possuem um microchip embutido para o
armazenamento e processamento de informaes. O acesso s
informaes, geralmente, feito por meio de uma senha (Cdigo PIN) e h um
nmero limitado de tentavas de acesso sem sucesso. Caso estoure esse limite, o
carto bloqueado, e s reativado por meio de um outro cdigo (Cdigo PUK),
que tambm tem um nmero limitado de
tentativas de acesso. Caso estoure esse outro
limite, o carto inutilizado.
Fonte:
http://br.bing.com/images/search?q=%e2%80%a2%09Smart+Cards&FORM=H
76

DRSC2#view=detail&id=6178033F6B024D4A8F5A90FE6E3FC86F696D9BFD&sel
ectedIndex=4
Token USB:
O token USB um dispositivo alternativo ao uso do
Smart Card, para armazenamento de um par de
chaves pblicas. Eles armazenam as chaves privadas e os
certificados digitais de um usurio de uma ICP, e possuem
suporte para vrios algoritmos de criptografia como o RSA,
DES e 3DES. Esses tokens implementam funes bsicas de
criptografia com objetivo de impedir o acesso direto chave
privada de um usurio.
Modos de Autenticao
A autenticao, em regra, depende de um ou mais modos ou fatores de
autenticao, listados a seguir:
Algo que o usurio Geralmente so usados meios biomtricos, como
impresso digital, padro retinal, padro de voz,

reconhecimento de assinatura, reconhecimento facial.
Algo que o usurio So utilizados objetos especficos como cartes de
TEM
identificao, smart cards, tokens USB.
Algo que o usurio So utilizadas senhas fixas, one-time passwords,
CONHECE
sistemas de desafio-resposta.
ONDE o usurio
Quando o acesso a sistemas s pode ser realizado em
EST
uma mquina especfica, cujo acesso restrito.
Autenticao Forte
Autenticao forte consiste na autenticao por mais de um modo, ou seja, da
combinao de mais de uma maneira de autenticao. Um exemplo disso
so as transaes de saque num caixa rpido. Em regra, se utiliza:
algo que voc tem: um carto da conta bancria; e
algo que voc sabe: a senha do carto.
Processos do Controle de Acesso
Na segurana da informao, os processos ou servios que compem o controle
do acesso dos usurios so:
Identificao e Autenticao: A identificao e autenticao fazem parte

de um processo de dois passos que determina quem pode acessar
77

determinado sistema. Na identificao, o usurio diz ao sistema quem ele

(normalmente por meio do login). Na autenticao, a identidade
verificada atravs de uma credencial (uma senha) fornecida pelo usurio.
Autorizao: Aps o usurio ser autenticado, o processo de autorizao

determina o que ele pode fazer no sistema.
Auditoria (Accounting): faz a coleta da informao relacionada

utilizao, pelos usurios, dos recursos de um sistema. Esta informao
pode ser utilizada para gerenciamento, planejamento, cobrana,
responsabilizao do usurio, etc.
Protocolos de Autenticao
Para a autenticao de usurios por meio de conexes via Internet, foram
desenvolvidos diversos protocolos que permitem a sua realizao de maneira
segura, de forma a:
impedir a captura da chave secreta por meio de uma escuta de rede
(eavesdropping);
evitar ataques de reproduo (replay attack), ou seja, aqueles em que
um atacante repete uma mensagem anterior de um usurio, fazendo se
passar por ele. Os protocolos de autenticao mais comuns so o Kerberos
e o RADIUS.
78

Mapa Mental sobre Malware. Fonte: Quinto (2015).

Assim, terminamos a parte terica da nossa aula. Vamos praticar agora!
Aproveitem!
82

Item A. Item Errado. (.doc) uma extenso utilizada para documentos do editor
de texto Microsoft Word. A partir da verso do Word 2007, o padro de extenso
(.docx).
Item B. Item errado. (.xml), do ingls eXtensible Markup Language, uma
extenso de arquivo criado com linguagem XML, que pode ser utilizada para
compartilhar informaes entre diferentes computadores e aplicaes.
Item C. Item errado. (.mso) um arquivo do programa Microsoft FrontPage.
Item D. Item errado. (.ppt) indica arquivo de apresentao de slides do
PowerPoint. A partir da verso do Powerpoint 2007, o padro de extenso
(.pptx).
Item E. Item correto. (.xlsx) indica planilha do Microsoft Excel 2007 e superiores.
Gabarito: letra E.
3- (FGV/2015/TCE-SE/Mdico) Considere as seguintes escolhas que Maria

fez para sua senha pessoal:
+ + TeleFoNe + +
10121978
Segredo # $ & %
Telefone = Mudo
= SeGREdo !
Dessas senhas, a mais fraca a:
a) primeira;
b) segunda;
c) terceira;
d) quarta;
e) quinta.
Comentrios

84



so: qualquer tipo de dado pessoal (jamais utilizar como senha seu nome
de usurio, nome verdadeiro, nome de sua empresa, sobrenomes, nmeros
de documentos, placas de carros, nmeros de telefones, datas que possam
ser relacionadas com voc como a sua data de nascimento, etc.); sequncias
de teclado; palavras que faam parte de listas, caracteres repetidos.
Mais dicas:
crie uma senha que contenha pelo menos oito caracteres,

compostos de letras, nmeros e smbolos.
utilize uma senha diferente para cada servio (por exemplo, uma
senha para o banco, outra para acesso rede corporativa da sua
empresa, outra para acesso a seu provedor de Internet etc.);


(ou
root)
somente
quando
for
A combinao de letras maisculas e minsculas, nmeros e smbolos como,

por exemplo, !, #, * bem-vinda!
Das senhas listadas a mais fraca a segunda, pois indica uma data de
aniversrio, fcil de ser obtida!
Gabarito: letra B.
4- (FGV/2015/Cmara Municipal de Caruaru - PE/Tcnico Legislativo)

No que diz respeito segurana da informao, o firewall
a) um aplicativo que tem por objetivo melhorar o desempenho da CPU de um
microcomputador.
b) um recurso que busca impedir o acesso indesejado de hackers s redes de
computadores.
85

c) um programa antivrus que visa a proteger os microcomputadores de pragas

virtuais.
d) uma tcnica de autenticao empregada no acesso dos usurios s redes de
computadores.
e) um vrus ciberntico que atua na coleta de senhas de internautas que acessam
sites de bancos.
Comentrios
De acordo com o glossrio do ICP-Brasil, firewall um conjunto formado por
hardware, software e uma poltica de acesso instalado entre redes,
com o propsito de segurana. Trata-se de um recurso que tem como
funo controlar o trfego entre duas ou mais redes, com necessidades
de segurana distintas, prevenir ou reduzir ataques ou invases s bases
de dados corporativas, a uma (ou algumas) das redes, que normalmente
tm informaes e recursos que no devem estar disponveis
aos usurios da(s) outra(s) rede(s).
Por fim, cabe destacar que o firewall ajuda a impedir o acesso indesejado de
hackers ou programas mal-intencionados ao seu computador pela Internet ou por
uma rede e a letra B a resposta da questo!
Voc Sabia! Qual a diferena entre Crackers e Hackers?
Um do bem e o outro do mal?
O termo hacker ganhou, junto opinio pblica influenciada pelos meios de

comunicao, uma conotao negativa, que nem sempre corresponde
realidade!
Os hackers, por sua definio geral, so aqueles que utilizam seus

conhecimentos para invadir sistemas, no com o intuito de causar danos s
vtimas, mas sim como um desafio s suas habilidades. Eles invadem os
sistemas, capturam ou modificam arquivos para provar sua capacidade e
depois compartilham suas proezas com os colegas. No tm a inteno de
prejudicar, mas sim de apenas demonstrar que conhecimento poder.
Exmios programadores e conhecedores dos segredos que envolvem as redes
e os computadores, eles geralmente no gostam de ser confundidos com
crackers.
86

Os crackers so elementos que invadem sistemas para roubar informaes e

causar danos s vtimas. O termo crackers tambm uma denominao
utilizada para aqueles que decifram cdigos e destroem protees de software.
Atualmente, a imprensa mundial atribui qualquer incidente de segurana a

hackers, em seu sentido genrico. A banca, nessa questo, tambm
considerou o termo dessa forma. A palavra cracker no vista nas
reportagens, a no ser como cracker de senhas, que um software utilizado
para descobrir senhas ou decifrar mensagens cifradas.
Gabarito: letra B.
5- (FGV/2015/Cmara Municipal de Caruaru - PE/Tcnico Legislativo) O

termo backup refere-se gerao de cpias de segurana, com a finalidade
de garantir a integridade dos dados armazenados em discos rgidos. Em caso
de pane, um disco rgido pode ser substitudo por outro e mediante o uso dos
dispositivos utilizados no backup, os dados podem ser recuperados para a
situao original.
Por suas caractersticas, alm do HD, dois outros dispositivos de entrada e
sada de dados podem ser utilizados nessa tarefa. Assinale a opo que os
indica.
a) DVD-RW e pendrive.
b) Pendrive e scanner.
c) Scanner e BLU-RAY.
d) BLU-RAY e plotter.
e) Plotter e DVD-RW.
Comentrios
Utilizaremos as memrias secundrias (uma memria do tipo permanente que
no se apaga quando o computador est desligado, ou seja, no-voltil), que
tem uma alta capacidade de armazenamento, e um custo muito mais baixo que
o da memria principal. Incluem-se, nesta categoria, por exemplo, os
discos rgidos, DVDs, Pendrives, Blu-Rays etc.
Vamos aos demais itens dessa questo:
87

Plotter ou
Lutter
Scanner
uma impressora especializada

para desenho vectorial.
Destina-se a imprimir desenhos

em grandes dimenses, com
elevada qualidade, como, por
exemplo, plantas
arquitetnicas, etc.
Equipamento responsvel por digitalizar imagens,

fotos e textos impressos para o computador.
Assim, conforme visto a seguir, a letra A a resposta da questo!

Gabarito: letra A.
6- (FGV/2013/MPE-MS/ANALISTA (INFORMTICA))
Segurana na Internet, assinale a afirmativa correta.
Em
relao
(A) Envio de SPAM no considerado incidente de segurana pelo Cert.br

(B) Para preservar a privacidade dos atacados, CSIRTs no disponibilizam
estatsticas dos incidentes tratados.
(C) Ataques de phishing no podem ser detectados via honeypots.
(D) Se as senhas forem mudadas frequentemente pelo usurio, o tamanho
delas passa a ser irrelevante em termos de segurana.
(E) Os incidentes de segurana nas redes brasileiras devem ser reportados
ao Cert.br, que mantido pelo NIC.br.
88

Comentrios
Item A. Item errado. Cert.br (Centro de Estudos, Resposta e Tratamento de
Incidentes de Segurana no Brasil) destaca um incidente de segurana como
qualquer evento adverso, confirmado ou sob suspeita, relacionado a
segurana de sistemas de computao ou de redes de computadores.
Exemplos de incidentes: tentativa de uso ou acesso no autorizado a sistemas
ou dados, tentativa de tornar servios indisponveis, desrespeito poltica de
segurana (envio de spam, etc.).
Item B. Item errado, j que o Cert.br mantm estatsticas sobre notificaes de
incidentes a ele reportados. Cabe destacar que essas notificaes so voluntrias
e refletem os incidentes ocorridos em redes que espontaneamente os notificaram
ao Cert.br. Vide exemplo de uma dessas estatsticas a seguir:
Fonte: http://www.cert.br/stats/incidentes/
Item C. Item errado. Um honeypot um recurso computacional de
segurana, devidamente monitorado, que dedicado a ser sondado,
atacado ou comprometido e pode ser usado para o estudo de spam,
ataque de phishing, dentre outros.
Item D. Item errado. O tamanho da senha sempre muito importante!! Quanto
mais longa for a senha mais difcil ser para a sua descoberta.
Item E. Item correto. Os incidentes de segurana nas redes brasileiras devem ser
reportados ao Centro de Estudos, Resposta e Tratamento de Incidentes de
Segurana no Brasil (Cert.br), mantido pelo Ncleo de Informao e Coordenao
do Ponto BR (NIC.br).
Gabarito: letra E.
89

7- (FUNCAB/2012/MPE-RO/Tcnico - Oficial de Diligncias) Para criar

uma senha forte no seu aplicativo de correio eletrnico, algumas
recomendaes devem ser adotadas na composio da senha, EXCETO:
a) utilizar pelo menos oito caracteres.
b) no usar seu nome de usurio, nome verdadeiro ou o nome da sua
empresa.
c) no usar palavras completas.
d) usar uma senha muito diferente das senhas anteriores e no usar a
mesma senha para todas as suas contas.
e) evitar combinao de letras maisculas e minsculas, nmeros e smbolos
como, por exemplo, !, #, *.
Comentrios


so: qualquer tipo de dado pessoal (jamais utilizar como senha seu nome
de usurio, nome verdadeiro, nome de sua empresa, sobrenomes, nmeros
de documentos, placas de carros, nmeros de telefones, datas que possam
ser relacionadas com voc, etc.); sequncias de teclado; palavras que
faam parte de listas.
Mais dicas:
o
crie uma senha que contenha pelo menos oito caracteres,

compostos de letras, nmeros e smbolos.
utilize uma senha diferente para cada servio (por exemplo, uma
senha para o banco, outra para acesso rede corporativa da sua
empresa, outra para acesso a seu provedor de Internet etc.);

90

o

(ou
root)
somente
quando
for
A combinao de letras maisculas e minsculas, nmeros e smbolos como,

por exemplo, !, #, * bem-vinda!
Gabarito: letra E.
8- (ACAFE/2009/MPE-SC/Analista do Ministrio Pblico) Com relao ao
acesso a Redes de Computadores e Conceitos de Proteo e Segurana,
todas as alternativas esto corretas, exceto a:
a) Para acessar um site na World Wide Web o usurio deve preencher o campo
Endereo de seu navegador com a URL (Uniform Resource Locator) desejada,
por exemplo, http://www.google.com.br
b) O acesso a sites que exigem que os dados trafeguem de modo seguro faz
uso do protocolo FTP (File Transfer Protocol), que possui recursos nativos de
criptografia.
c) Os navegadores possuem recursos para aumentar ou diminuir a segurana
no acesso a sites. Um exemplo o bloqueio de cookies, que so pequenos
arquivos utilizados pelos sites para armazenar informaes sobre o usurio e
sua navegao.
d) A Internet, rede de alcance mundial, pode ser considerada um ambiente
hostil, no qual pessoas mal intencionadas em vrios lugares do mundo podem
virtualmente realizar tentativas de invaso para obteno de informaes ou
parada de servios especficos.
e) Para ajudar a proteger sua conta de acesso rede importante que o
usurio faa a troca de sua senha periodicamente.
Comentrios
Item a. Item correto. URL (Uniform Resource Locator) o endereo da pgina
(como http://www.google.com.br), que permite aos computadores encontrarem
o que o usurio busca, de maneira uniforme. Para acessar um site na World Wide
Web o usurio deve preencher o campo Endereo de seu navegador com a URL
desejada. Em alguns casos, um hacker pode enviar uma mensagem com meno
a uma URL, que aponta para algum link inadequado. Ao clicar nesse link, o
usurio ser encaminhado para uma pgina diferente da que ele realmente
esperava, e nem sempre o usurio ir observar essa modificao no endereo da
URL. Portanto, toda ateno primordial para que voc no seja a prxima vtima
dos golpes da Internet.
91

Item b. Item errado. O acesso a sites que exigem que os dados trafeguem de
modo seguro faz uso do protocolo HTTPS (HTTP seguro), que possui recursos
nativos de criptografia. O HTTPS usado para realizar o acesso a sites (como de
bancos on-line e de compras) com transferncia criptografada de dados.
Item c. Item correto. Os navegadores possuem recursos que permitem aumentar
ou diminuir a segurana no acesso a sites. Um deles o bloqueio de cookies, que
so pequenos arquivos que so instalados em seu computador durante a
navegao,
permitindo
que
os
sites
(servidores)
obtenham
determinadas informaes. isto que permite que alguns sites o
cumprimentem pelo nome, saibam quantas vezes voc o visitou, etc.
Item d. Item correto. Todo cuidado pouco, quando se utiliza a Internet, que
pode ser considerada um ambiente hostil, no qual pessoas mal intencionadas de
qualquer parte do mundo podem virtualmente realizar tentativas de invaso para
obteno de informaes ou paralizao de servios especficos das organizaes.
Item e. Item correto. Para ajudar a proteger sua conta de acesso rede
importante que o usurio faa a troca de sua senha periodicamente. Uma senha
boa, bem elaborada, aquela que difcil de ser descoberta (forte) e
fcil de ser lembrada. No convm que voc crie uma senha forte se,
quando
for
us-la,
no
conseguir
Gabarito: letra B.
9- (FGV/2008/SEFAZ-RJ/Fiscal de Rendas) Analise os casos descritos a
seguir, referentes a fraudes envolvendo o comrcio eletrnico e Internet
Banking.
I. O usurio recebe um e-mail de um suposto funcionrio da instituio que
mantm o site de comrcio eletrnico ou de um banco, que persuade o usurio
a fornecer informaes sensveis, como senhas de acesso ou nmero de
cartes de crdito.
II. Um hacker compromete o DNS do provedor do usurio, de modo que todos
os acessos a um site de comrcio eletrnico ou Internet Banking so
redirecionados para uma pgina Web falsificada, semelhante ao site
verdadeiro, com o objetivo de o atacante monitorar todas as aes do usurio,
como a digitao de sua senha bancria. Nesta situao, normalmente o
usurio deve aceitar um novo certificado (que no corresponde ao site
verdadeiro), e o endereo mostrado no browser do usurio diferente do
endereo
correspondente
ao
site
verdadeiro.
III. O usurio recebe um e-mail, cujo remetente o gerente do seu banco e
que contm uma mensagem que solicita a execuo pelo usurio de um
programa anexo ao e-mail recebido, a ttulo de obter acesso mais rpido s
informaes mais detalhadas em sua conta bancria.
92

IV. O usurio utiliza computadores de terceiros para acessar sites de comrcio

eletrnico ou de Internet Banking, possibilitando o monitoramento de suas
aes, incluindo a digitao de senhas ou nmero de cartes de crdito, por
meio de programas especificamente projetados para esse fim.
Constituem exemplos de fraudes resultantes de Engenharia Social os casos
identificados em:
(A) I e II.
(B) I e III.
(C) II e III.
(D) II e IV.
(E) III e IV.
Comentrios
Engenharia Social uma tcnica em que o atacante (se fazendo passar por
outra pessoa) utiliza-se de meios, como uma ligao telefnica ou e-mail, para
PERSUADIR o usurio a fornecer informaes ou realizar determinadas aes.
Exemplo: algum desconhecido liga para a sua casa e diz ser do suporte tcnico
do seu provedor de acesso. Nesta ligao ele informa que sua conexo com a
Internet est apresentando algum problema e, ento, solicita sua senha para
corrigi-lo. Caso a senha seja fornecida por voc, este suposto tcnico poder
realizar uma infinidade de atividades maliciosas com a sua conta de acesso
Internet e, portanto, relacionando tais atividades ao seu nome.
Vamos resoluo da questo:
Item I. A descrio envolve o uso da engenharia social, j que algum (via
e-mail neste caso, poderia ser por telefone!) faz uso da persuaso, da
ingenuidade ou confiana do usurio, para obter informaes como nmero do
carto de crdito e senha do usurio. O item I VERDADEIRO.
Item II. Nesse caso, como no houve contato entre o hacker e a vtima, o golpe
no pode ser configurado como engenharia social. O golpe em destaque
intitulado Pharming (tambm conhecido como DNS Poisoining envenamento de DNS). O item II FALSO.
isso mesmo pessoal!! Muita ateno neste tipo de golpe! O enunciado do item
II o descreve claramente, e gostaria de complementar ....
93

O Pharming um tipo de golpe bem mais elaborado que o Phishing, pois envolve
algum tipo de redirecionamento da vtima para sites fraudulentos, atravs de
alteraes nos servios de resoluo de nomes (DNS).
Lembre-se de que no Pharming o servidor DNS do provedor do usurio
comprometido, de modo que todos os acessos a um site de comrcio
eletrnico ou Internet Banking so redirecionados para uma pgina Web
falsificada, semelhante ao site verdadeiro, com o objetivo de o atacante
monitorar todas as aes do usurio, como a digitao de sua senha bancria.
Exemplo: pode envolver alterao, no servidor DNS, do endereo IP associado ao
endereo www.bradesco.com.br para que aponte para um site rplica do banco
Bradesco.
Item III. Novamente, o usurio recebe uma mensagem do suposto gerente do
banco, induzindo-o a executar um programa qualquer. O item III
VERDADEIRO.
Item IV. No h engenharia social neste caso. O item IV FALSO.
Gabarito: letra B.
10- (FCC/TRT - 16 REGIO (MA/Tcnico Judicirio Tecnologia da
Informao/2014) Os certificados usados para confirmao da identidade
na web, correio eletrnico, transaes online, redes privadas virtuais,
transaes eletrnicas, informaes eletrnicas, cifrao de chaves de sesso
e assinatura de documentos com verificao da integridade de suas
informaes, so os Certificados de Assinatura Digital
a) A1, A2, A3 e A4.
b) SHA-0, SHA-1, SHA-256 e SHA-512.
c) B1, B2, B3, B4 e B5.
d) S1, S2, S3 e S4.
e) SHA-32, SHA-64, SHA-128 e SHA-256.
Comentrios
A ICP-Brasil definiu os tipos de certificados vlidos. Foram definidos 8 tipos
diferentes, divididos entre:
Certificados de assinatura (s assina): A1, A2, A3 e A4;
Certificados de sigilo (assina e criptografa): S1, S2, S3 e S4.
Quanto maior o nmero do certificado, maior o nvel de segurana de seu

par de chaves.
94

Vejas as caractersticas que tornam as verses de ambas as categorias diferentes

entre si (Infowester, em http://www.infowester.com/assincertdigital.php):
A1 e S1: gerao das chaves feita por software; chaves de tamanho

mnimo de 1024 bits; armazenamento em dispositivo de armazenamento
(como um HD); validade mxima de um ano;
A2 e S2: gerao das chaves feita por software; chaves de tamanho

mnimo de 1024 bits; armazenamento em carto inteligente (com chip) ou
token (dispositivo semelhante a um pendrive); validade mxima de dois
anos;
A3 e S3: gerao das chaves feita por hardware; chaves de tamanho

mnimo de 1024 bits; armazenamento em carto inteligente ou token;
validade mxima de trs anos;
A4 e S4: gerao das chaves feita por hardware; chaves de tamanho

mnimo de 2048 bits; armazenamento em carto inteligente ou token;
validade mxima de trs anos.
Os certificados A1 e A3 so os mais utilizados, sendo que o primeiro

geralmente armazenado no computador do solicitante, enquanto que o segundo
guardado em cartes inteligentes (smartcards) ou tokens protegidos por senha.
Gabarito: letra A.
11- (FGV/2007/Fiscal de Rendas/ICMS-RJ) As afirmativas a seguir
apresentam vulnerabilidades relacionadas ao uso de sistemas de informao,
exceo de uma. Assinale-a.
(A) acesso no-autorizado a banco de dados
(B) instalao no-autorizada de softwares
(C) falhas de firewall que protegem as redes
(D) destruio autorizada de hardware e dados
(E) ataques vindos do ambiente externo
Comentrios
Uma vulnerabilidade uma fragilidade (falha) que, ao ser explorada
permite uma ao indesejada no ambiente computacional, quer seja um
sistema operacional, um aplicativo ou uma rede de uma empresa.
Dentre as alternativas da questo, somente a letra D no considerada uma
vulnerabilidade, j que a destruio do hardware e dos dados foi autorizada pelos
gestores responsveis pelo equipamento. Isso ocorre por exemplo quando se
permite destruir um equipamento obsoleto.
95

O acesso no autorizado a banco de dados consiste numa vulnerabilidade, pois

abre possibilidade para pessoas no autorizadas danificarem o banco ou
utilizarem os dados que ali esto para fins indevidos.
A vulnerabilidade de uma falha no firewall consiste na abertura de possibilidade
de prejuzos diversos rede e recursos de informao, como, por exemplo, a falta
de proteo da rede para entrada de vrus.
A instalao no autorizada de softwares pode comprometer a configurao de
sistemas, a execuo de outros softwares e pode possibilitar a instalao de
softwares sem licenas.
Por fim, ataques vindos do ambiente externo so uma forma de vulnerabilidade
que qualquer sistema possui, pois qualquer sistema, por mais seguro que seja,
no 100% seguro. Ataques maliciosos de pessoas de fora podem sempre
acontecer e constituem uma vulnerabilidade para os sistemas.
Gabarito: letra D.
12- (FGV/2009/MEC/Gerente de Segurana) Com relao Gesto da
Segurana da Informao, dois itens podem ser visualizados na janela do
browser, o que significa que as informaes transmitidas entre o browser e o
site visitado esto sendo criptografadas e so visualizados por uma sigla no
endereo do site e pela existncia de um cadeado, que apresenta uma
determinada caracterstica.
A sigla e a caracterstica so:
(A) https://, e cadeado aberto na barra de status, na parte inferior da janela
do browser
(B) https://, e cadeado fechado na barra de status, na parte inferior da
janela do browser.
(C) wwws://, e cadeado fechado na barra de status, na parte superior da
janela do browser.
(D) http://, e cadeado fechado na barra de segurana, na parte superior da
janela do browser.
(E) wwws//, e cadeado aberto na barra de segurana, na parte superior da
janela do browser.
Comentrios
Existem pelo menos dois itens que podem ser visualizados na janela do seu
browser, e que significam que as informaes transmitidas entre o browser e o
site visitado esto sendo criptografadas:
1. O primeiro pode ser visualizado no local em que o endereo do site
digitado. O endereo deve comear com https:// (diferente do http:// nas
96

conexes normais), onde o s antes do sinal de dois-pontos indica que o

endereo em questo de um site com conexo segura e, portanto, os
dados sero criptografados antes de serem enviados. A Figura 1 apresenta
o primeiro item, indicando uma conexo segura, observado nos browsers
Firefox e Internet Explorer, respectivamente.
Figura 1. https - identificando site com conexo segura (CERTBR, 2006)

Alguns browsers podem incluir outros sinais na barra de digitao do
endereo do site, que indicam que a conexo segura. No Firefox, por
exemplo, o local em que o endereo do site digitado muda de cor, ficando
amarelo, e apresenta um cadeado fechado do lado direito.
2. O segundo item a ser visualizado corresponde a algum desenho ou sinal,
indicando que a conexo segura. Normalmente, o desenho mais adotado
nos browsers recentes de um "cadeado fechado", apresentado na barra
de status, na parte inferior da janela do browser (se o cadeado estiver
aberto, a conexo no segura).
A Figura 2 apresenta desenhos dos cadeados fechados, indicando conexes
seguras, que podem ser observados nas barras de status nos browsers
Firefox e Internet Explorer, respectivamente.
Figura 2. Cadeado identificando site com conexo segura (CERTBR,

2006).
Ao clicar sobre o cadeado, ser exibida uma tela que permite verificar as
informaes referentes ao certificado emitido para a instituio que mantm o
site, bem como informaes sobre o tamanho da chave utilizada para criptografar
os dados.
muito importante que voc verifique se a chave utilizada para criptografar as
informaes a serem transmitidas entre seu browser e o site de no mnimo 128
bits. Chaves menores podem comprometer a segurana dos dados a serem
transmitidos.
Outro fator muito importante que a verificao das informaes do certificado
deve ser feita clicando nica e exclusivamente no cadeado exibido na barra status
do browser. Atacantes podem tentar forjar certificados, incluindo o desenho de
um cadeado fechado no contedo da pgina. A figura 3 ilustra esta situao no
browser Firefox.
97

Figura 3. Cadeado forjado (CERTBR, 2006).

Compare as barras de status do browser Firefox nas Figuras 2 e 3. Observe que
na Figura 3 no apresentado um cadeado fechado dentro da barra de status,
indicando que a conexo no segura.
extremamente importante que o usurio verifique algumas
informaes contidas no certificado. Um exemplo de um certificado, emitido
para um site de uma instituio mostrado a seguir.
O usurio deve, ento, verificar se o certificado foi emitido para o site da

instituio que ele deseja acessar. As seguintes informaes devem ser
checadas:
o endereo do site;
o nome da instituio (dona do certificado);
o prazo de validade do certificado.
Alguns exemplos tpicos do uso de certificados digitais so:
quando voc acessa um site com conexo segura, como por exemplo o
acesso a sua conta bancria pela Internet, possvel checar se o site
apresentado realmente da instituio que diz ser, atravs da verificao
de seu certificado digital;
quando voc consulta seu banco pela Internet, este tem que se assegurar
de sua identidade antes de fornecer informaes sobre a conta;
quando voc envia um e-mail importante, seu aplicativo de e-mail pode

utilizar seu certificado para assinar "digitalmente" a mensagem, de modo a
assegurar ao destinatrio que o e-mail seu e que no foi adulterado entre
o envio e o recebimento.
Gabarito: letra B.
98

13- (FGV/2010/SEFAZ-RJ/Fiscal de Rendas) A assinatura digital visa dar

garantia de integridade e autenticidade a arquivos eletrnicos, comprova que
a mensagem ou arquivo no foi alterado e que foi assinado pela entidade ou
pessoa que possui a chave privada e o certificado digital correspondente,
utilizados na assinatura.
A assinatura digital emprega chaves criptogrficas definidas como um
conjunto de bits baseado em um determinado algoritmo capaz de cifrar e
decifrar informaes que, para isso, utiliza chaves simtricas ou chaves
assimtricas. A esse respeito, analise as afirmativas a seguir.
I. Chaves simtricas so simples e nelas o emissor e o receptor utilizam a
mesma chave para cifrar e decifrar uma informao, acarretando riscos
menores, diminuindo consideravelmente as possibilidades de extravio ou
fraudes. por esta razo que chaves pblicas so utilizadas em assinaturas
digitais.
II. Chaves assimtricas funcionam com duas chaves: a chave privada e a
chave pblica. Nesse esquema, uma pessoa ou uma organizao deve utilizar
uma chave de codificao e disponibiliz-la a quem for mandar informaes a
ela. Essa a chave pblica. Uma outra chave deve ser usada pelo receptor da
informao para o processo de decodificao: a chave privada, que sigilosa
e individual. As chaves so geradas de forma conjunta, portanto, uma est
associada outra.
III. A assinatura digital funciona da seguinte forma: necessrio que o
emissor tenha um documento eletrnico e a chave pblica do destinatrio. Por
meio de algoritmos apropriados, o documento ento cifrado de acordo com
esta chave pblica. O receptor usar ento sua chave privada correspondente
para decifrar o documento. Se qualquer bit deste for alterado, a assinatura
ser deformada, invalidando o arquivo.
Assinale:
a) se somente a afirmativa I estiver correta.
b) se somente as afirmativas I e II estiverem corretas.
c) se somente as afirmativas I e III estiverem corretas.
d) se somente as afirmativas II e III estiverem corretas.
e) se todas as afirmativas estiverem corretas.
Comentrios
O item I est errado porque afirma que os riscos so menores ao se utilizar
chaves simtricas, o que no verdade. Como existe apenas uma chave, ela
dever ser conhecida por todos os destinatrios, aumentando o risco de extravio
ou fraudes.
Gabarito: letra D.
99

14- (FGV/SEFAZ-MS/Analista de Tecnologia da Informao/2006) No

que diz respeito segurana, um programa permite a monitorao e registra
a passagem de dados entre as interfaces de rede instaladas no computador.
Os dados coletados so usados para obteno de detalhes teis para soluo
de problemas em rede, quando usado com boas intenes pelo administrador
do sistema, ou para ataques ao sistema, quando usado pelo cracker para obter
nomes/senhas e outros detalhes teis para espionagem. Para sistemas Linux,
os softwares mais conhecidos desse programa so tcpdump e ethereal. Esse
programa conhecido por:
(A) Hoax.
(B) Strobe.
(C) Sniffer.
(D) NetBus.
(E) Backdoor.
Comentrios
Por padro, os computadores (pertencentes mesma rede) escutam e
respondem somente pacotes endereados a eles. Entretanto, possvel utilizar
um software que coloca a interface num estado chamado de modo promscuo.
Nessa condio o computador pode monitorar e capturar os dados trafegados
atravs da rede, no importando o seu destino legtimo.
Os programas responsveis por capturar os pacotes de rede so
chamados de Sniffers, Farejadores ou ainda Capturadores de Pacote. Eles
exploram o fato do trfego dos pacotes das aplicaes TCP/IP no utilizar nenhum
tipo de cifragem nos dados. Dessa maneira um sniffer atua na rede farejando
pacotes na tentativa de encontrar certas informaes, como nomes de usurios,
senhas ou qualquer outra informao transmitida que no esteja criptografada.
A dificuldade no uso de um sniffer que o atacante precisa instalar o programa
em algum ponto estratgico da rede, como entre duas mquinas, (com o trfego
entre elas passando pela mquina com o farejador) ou em uma rede local com a
interface de rede em modo promscuo.
Sniffing :
o processo de captura das informaes da rede por meio de um
software de escuta de rede (conhecido como sniffer, farejador ou
ainda capturador de pacote), capaz de interpretar as informaes
transmitidas no meio fsico.
Gabarito: letra C.
100

Figura. Isca de Phishing Relacionada ao SERASA

A palavra phishing (de fishing) vem de uma analogia criada pelos
fraudadores, em que iscas (e-mails) so usadas para pescar
informaes sensveis (senhas e dados financeiros, por exemplo) de
usurios da Internet.
Atualmente, este termo vem sendo utilizado tambm para se referir aos seguintes
casos:
mensagem que procura induzir o usurio instalao de cdigos

maliciosos, projetados para furtar dados pessoais e financeiros;
mensagem que, no prprio contedo, apresenta formulrios para o

preenchimento e envio de dados pessoais e financeiros de usurios.
Gabarito: item errado.

16- (FUNCAB/PRF/Agente Administrativo - 01 / 2014 ) Alguns termos
relacionados com conceitos bsicos de segurana da informao esto
disponibilizados na coluna I. Estabelea a correta correspondncia com os
seus significados, disponibilizados na coluna II.
Coluna I
1. VPN
2. DMZ
3. IDS
4. RoBOT
5. Hijacker
Coluna II
( ) ambiente criado para proteger a rede interna gerando um permetro de
segurana entre a rede interna e a Internet.
( ) programa que pode ser utilizado para controlar computadores e comandar
ataques de negao de servio.
102

Deve-se observar que isso o torna um potencial gargalo para o trfego de dados
e, caso no seja dimensionado corretamente, poder causar atrasos e diminuir a
performance da rede.
Os firewalls so implementados, em regra, em dispositivos que fazem a
separao da rede interna e externa, chamados de estaes guardis (bastion
hosts). Quando o bastion host cai, a conexo entre a rede interna e externa
deixa de funcionar.
As principais funcionalidades oferecidas pelos firewalls so:
regular o trfego de dados entre uma rede local e a rede externa no confivel,
por meio da introduo de filtros para pacotes ou aplicaes;
impedir a transmisso e/ou recepo de acessos nocivos ou no autorizados

dentro de uma rede local;
mecanismo de defesa que restringe o fluxo de dados entre redes, podendo

criar um log do trfego de entrada e sada da rede;
proteo de sistemas vulnerveis ou crticos, ocultando informaes de rede

como nome de sistemas, topologia da rede, identificaes dos usurios etc.
Resumindo, o FIREWALL no faz filtragem de malwares! Ele atua no controle de

acesso, controle do trfego, proteo de portas e filtragem de pacotes.
Gabarito: letra B.
18- (FUNCAB/2014/PM-MT/Soldado da Polcia Militar) Alguns conceitos
relacionados segurana da informao esto disponibilizados na Coluna I.
Faa a correta correspondncia com seus significados dispostos na
Coluna II .
Coluna I
1.
2.
3.
4.
5.
Spyware
Adware
Engenharia Social
Backdoor
Phishing
Coluna II
( ) Tcnica que visa enganar um usurio induzindo-o a clicar em um link que o
levar a uma pgina clonada ou a um arquivo malicioso.
( ) Software que insere propagandas em outros programas.
( ) Brecha inserida pelo prprio programador de um sistema para uma invaso.
( ) Tcnica utilizada para obter informaes preciosas com base em uma relao
106

19- (FCC/MPU/2007/Analista Banco de Dados) No que diz respeito

exclusivamente segurana das conexes em rede local wireless, pode-se
associar o termo
A. Centrino.
B. WLAN.
C. Hotspot.
D. WPA.
E. IEEE 802.11.
Comentrios
Centrino
uma plataforma para computadores

portteis da Intel que cobre uma combinao particular
de CPU, chipset e placa wireless.
WLAN
Wireless LAN, ou LAN sem fio.
Hotspot
Local pblico onde possvel (por meio de pagamento

ou no) acessar a Internet atravs de uma rede Wi-Fi.
H hotspots em hotis, restaurantes, aeroportos,
hospitais, etc.
WPA
Protocolo de segurana, que uma evoluo do

WEP.
Nota:
WEP (Wired Equivalent Privacy) foi a primeira
tentativa de se criar um protocolo eficiente de proteo
de redes Wi-Fi.
WPA (Wi-Fi Protected Access) /WEP2: um WEP
melhorado.
IEEE 802.11
Padro para redes Lan Sem Fio.
WPA a melhor escolha para a resposta da questo.

Gabarito: letra D.
20- (FUNCAB/2012/SEAD-PB/Tcnico Administrativo) Ao mesmo tempo
que a Internet se tornou um canal on-line para realizar negcios, tambm
108

c) Hyperlink.
d) Download.
e) Upload.
Comentrios
Download o processo de transferir arquivos de um computador remoto (que
pode estar prximo ou do outro lado do mundo) para o computador do usurio,
atravs da rede. Voc dever informar o local em que os arquivos sero
armazenados no seu computador.
Gabarito: letra D.
22- (IBFC/Cmara Municipal de Franca/Advogado/2012) Estaremos
navegando num site seguro quando aparece no incio do nome do site
os caracteres:
a) ftp://
b) http://
c) tcp://
d) https://
Comentrios
O HTTPS um protocolo dotado de segurana, sendo muito utilizado em acesso
remoto a sites de bancos e instituies financeiras. Ento, no incio do nome de
um site seguro aparecer https://.
Gabarito: letra D.
23- (FCC/TRE-TO/Analista Judicirio Judiciria/2011-02) Uma das
formas de proteger o sigilo da informao que trafega na Internet :
a) no fazer os downloads em notebooks.
b) no responder e-mails que chegam "com cpia oculta".
c) mandar e-mails somente a pessoas da lista pessoal.
d) no usar a opo "com cpia para" do correio eletrnico.
e) a criptografia
Comentrios
Ao enviar informaes sigilosas via Internet deve-se utilizar de um sistema que
faa a codificao (chave, cifra), de modo que somente as mquinas que
conhecem o cdigo consigam decifr-lo. a criptografia, portanto, a medida de
110

segurana a ser adotada para resguardar o sigilo da informao que trafega pela
Internet.
Gabarito: letra E.
24- (FCC/TRE-RS/Analista Judicirio- rea administrativa/2010) A
WEB permite que cada documento na rede tenha um endereo nico,
indicando os nomes dos arquivos, diretrio e servidor, bem como o mtodo
pelo qual ele deve ser requisitado. Esse endereo chamado de: URL.
Comentrios
URL (Uniform Resource Locator) um endereo de um determinado recurso na
Internet. So utilizados pelos navegadores para localizar recursos. Um recurso
pode ser uma pgina web, uma imagem, um arquivo de udio etc. Um URL
formado pelo protocolo de aplicao seguido do nome do domnio e, se for o caso,
de informaes de localizao do recurso (nome de pastas e arquivos). Como
exemplo de URL, podemos destacar http://www.pontodosconcursos.com.br.
Gabarito: item correto.
25- (FCC/TRT-MS - Tcnico Judicirio-TI/2004) O HTTPS um protocolo
dotado de segurana, sendo muito utilizado em acesso remoto a sites de
bancos e instituies financeiras.
Comentrios
O HTTPS (HyperText Transfer Protocol Secure ou HTTP Seguro) usado para
realizar o acesso a pginas (como de bancos on-line e de compras) com
transferncia criptografada de dados. O HTTPS nada mais do que a juno dos
protocolos HTTP e SSL (HTTP over SSL). Os protocolos SSL/TLS so protocolos
de segurana, baseados em chave pblica, usados pelos servidores e
navegadores da Web para autenticao mtua, integridade das mensagens e
confidencialidade.
Julgue os quatro itens seguintes, a respeito de Internet e intranet.
26- (Elaborao Prpria) SafeSearch ajuda a evitar que provedores de
contedo de sites da web coletem informaes sobre os sites que voc visita,
dando-nos a opo de permitir ou bloquear tal contedo.
Comentrios
111

Os filtros do SafeSearch do Google permitem alterar as configuraes do seu

navegador (browser) a fim de impedir que sites com contedos adultos
apaream em seus resultados de pesquisa.
A Filtragem InPrivate ajuda a evitar que provedores de contedo de sites da
web coletem informaes sobre os sites que voc visita, dando opo de
permitir/bloquear tal contedo. (Evita coleta de perfil do usurio!).
27- (Elaborao Prpria) A navegao InPrivate impede que o Internet
Explorer armazene dados sobre a sesso de navegao do usurio.
Comentrios
A Navegao InPrivate impede que qualquer outra pessoa veja quais pginas
voc visitou e o que voc procurou na Web. Informaes afetadas: Cookies,
Arquivos de Internet Temporrios, Histrico, Dados de formulrio e senhas, etc.
28(CESPE/TJ-PB/Juiz Leigo/2013) No que se refere a ferramentas e
aplicativos de busca e pesquisa, julgue o item seguinte. [As ferramentas de
busca possibilitam que se encontrem pginas indexadas, ou no, em qualquer
stio da Internet, sendo suficiente que a pgina a ser listada em uma busca
por palavra-chave esteja disponvel publicamente].
Comentrios
As ferramentas de busca possibilitam que se encontrem pginas j indexadas,
caso contrrio elas no iro aparecer na pesquisa. Um bom exemplo disso a
Deep Web (Deepnet, Web Invisvel, Undernet ou Web oculta) que no
aparece no Google.
112

Referncias Bibliogrficas
Notas de aula da disciplina Noes de Informtica, profa Patrcia Lima
Quinto. 2016.
QUINTO, PATRCIA LIMA. Informtica-FCC-Questes Comentadas
Organizadas por Assunto, 3. Edio. Ed. Gen/Mtodo, 2014.
QUINTO, PATRCIA LIMA. 1001 Questes Comentadas de Informtica Cespe, 1. Edio. Ed. Gen/Mtodo, 2015.
BARRERE, Eduardo. Notas de Aula, 2011.
Curso Cisco, CCNA Exploration v. 4.0, 2010.
Redes de Computadores, de Andrew S. Tanenbaum, 4. edio, 2003.
Redes de Computadores e a Internet, por James F. Kurose e Keith W. Ross,
2010.
Interligao de Redes com TCP/IP, por Douglas E. Comer.
TCP/IP Illustrated Vol. 1, por W. Richard Stevens.
ALBUQUERQUE, F. TCP/IP Internet: Protocolos & Tecnologias. 3 ed. Rio
de Janeiro: Axcel Books do Brasil Editora Ltda. 2001.
Blog de Redes. Disponvel em: http://www.redesbr.com/
GTA/UFRJ. Disponvel em: http://www.gta.ufrj.br/.
PROJETOS DE REDES. Disponvel em: http://www.projetoderedes.com.br/.
RNP. Disponvel em: http://www.rnp.br/.
TELECO. Disponvel em: http://www.teleco.com.br/.
TECMUNDO. Disponvel em: http://www.tecmundo.com.br/conexao/1955-oque-e-intranet-e-extranet-.htm#ixzz2feq5kTib
113

Lista de Questes Apresentadas nesta Aula

1- (FGV/2015/SSP-AM/Assistente Operacional) Na gravao de novos
documentos/planilhas no Windows, os aplicativos MS Word 2010, MS Excel
2010, LibreOffice Calc 4.2 e LibreOffice Writer 4.2 usam como extenses de
arquivo preferenciais, respectivamente:
a) docx xls odt odf
b) docx xml odf pdf
c) docx xlsx ods odt
d) doc xls pdf odx
e) doc xls doc odt
2- (FUNIVERSA/2013/MinC/Tcnico em Contabilidade) O Microsoft Office
2007 inovou em muitos aspectos se comparado s verses anteriores desse
pacote de aplicativos. Tecnicamente, uma mudana significativa foi o uso de
um novo formato de arquivo, com base no padro XML. Assinale a alternativa
que apresenta um exemplo de nome e extenso de arquivo gerado, por
padro, pelo aplicativo Excel, do Microsoft Office 2007/2010/2013.
a) carta.doc
b) arquivo.xml
d) nome.ppt
e) documento.xlsx
c) exemplo.mso
3- (FGV/2015/TCE-SE/Mdico) Considere as seguintes escolhas que Maria

fez para sua senha pessoal:
+ + TeleFoNe + +
10121978
Segredo # $ & %
Telefone = Mudo
= SeGREdo !
Dessas senhas, a mais fraca a:
a) primeira;
b) segunda;
c) terceira;
d) quarta;
114

e) quinta.
4- (FGV/2015/Cmara Municipal de Caruaru - PE/Tcnico Legislativo)
No que diz respeito segurana da informao, o firewall
a) um aplicativo que tem por objetivo melhorar o desempenho da CPU de um
microcomputador.
b) um recurso que busca impedir o acesso indesejado de hackers s redes de
computadores.
c) um programa antivrus que visa a proteger os microcomputadores de pragas
virtuais.
d) uma tcnica de autenticao empregada no acesso dos usurios s redes de
computadores.
e) um vrus ciberntico que atua na coleta de senhas de internautas que acessam
sites de bancos.
5- (FGV/2015/Cmara Municipal de Caruaru - PE/Tcnico Legislativo) O

termo backup refere-se gerao de cpias de segurana, com a finalidade
de garantir a integridade dos dados armazenados em discos rgidos. Em caso
de pane, um disco rgido pode ser substitudo por outro e mediante o uso dos
dispositivos utilizados no backup, os dados podem ser recuperados para a
situao original.
Por suas caractersticas, alm do HD, dois outros dispositivos de entrada e
sada de dados podem ser utilizados nessa tarefa. Assinale a opo que os
indica.
115

6- (FGV/2013/MPE-MS/ANALISTA (INFORMTICA))
Segurana na Internet, assinale a afirmativa correta.
Em
relao
(A) Envio de SPAM no considerado incidente de segurana pelo Cert.br

(B) Para preservar a privacidade dos atacados, CSIRTs no disponibilizam
estatsticas dos incidentes tratados.
(C) Ataques de phishing no podem ser detectados via honeypots.
(D) Se as senhas forem mudadas frequentemente pelo usurio, o tamanho
delas passa a ser irrelevante em termos de segurana.
(E) Os incidentes de segurana nas redes brasileiras devem ser reportados
ao Cert.br, que mantido pelo NIC.br.
7- (FUNCAB/2012/MPE-RO/Tcnico - Oficial de Diligncias) Para criar

uma senha forte no seu aplicativo de correio eletrnico, algumas
recomendaes devem ser adotadas na composio da senha, EXCETO:
a) utilizar pelo menos oito caracteres.
b) no usar seu nome de usurio, nome verdadeiro ou o nome da sua
empresa.
c) no usar palavras completas.
d) usar uma senha muito diferente das senhas anteriores e no usar a
mesma senha para todas as suas contas.
e) evitar combinao de letras maisculas e minsculas, nmeros e smbolos
como, por exemplo, !, #, *.
8- (ACAFE/2009/MPE-SC/Analista do Ministrio Pblico) Com relao ao

acesso a Redes de Computadores e Conceitos de Proteo e Segurana,
todas as alternativas esto corretas, exceto a:
a) Para acessar um site na World Wide Web o usurio deve preencher o campo
Endereo de seu navegador com a URL (Uniform Resource Locator) desejada,
por exemplo, http://www.google.com.br
b) O acesso a sites que exigem que os dados trafeguem de modo seguro faz
uso do protocolo FTP (File Transfer Protocol), que possui recursos nativos de
criptografia.
116

c) Os navegadores possuem recursos para aumentar ou diminuir a segurana

no acesso a sites. Um exemplo o bloqueio de cookies, que so pequenos
arquivos utilizados pelos sites para armazenar informaes sobre o usurio e
sua navegao.
d) A Internet, rede de alcance mundial, pode ser considerada um ambiente
hostil, no qual pessoas mal intencionadas em vrios lugares do mundo podem
virtualmente realizar tentativas de invaso para obteno de informaes ou
parada de servios especficos.
e) Para ajudar a proteger sua conta de acesso rede importante que o
usurio faa a troca de sua senha periodicamente.
9- (FGV/2008/SEFAZ-RJ/Fiscal de Rendas) Analise os casos descritos a

seguir, referentes a fraudes envolvendo o comrcio eletrnico e Internet
Banking.
I. O usurio recebe um e-mail de um suposto funcionrio da instituio que
mantm o site de comrcio eletrnico ou de um banco, que persuade o usurio
a fornecer informaes sensveis, como senhas de acesso ou nmero de
cartes de crdito.
II. Um hacker compromete o DNS do provedor do usurio, de modo que todos
os acessos a um site de comrcio eletrnico ou Internet Banking so
redirecionados para uma pgina Web falsificada, semelhante ao site
verdadeiro, com o objetivo de o atacante monitorar todas as aes do usurio,
como a digitao de sua senha bancria. Nesta situao, normalmente o
usurio deve aceitar um novo certificado (que no corresponde ao site
verdadeiro), e o endereo mostrado no browser do usurio diferente do
endereo
correspondente
ao
site
verdadeiro.
III. O usurio recebe um e-mail, cujo remetente o gerente do seu banco e
que contm uma mensagem que solicita a execuo pelo usurio de um
programa anexo ao e-mail recebido, a ttulo de obter acesso mais rpido s
informaes mais detalhadas em sua conta bancria.
IV. O usurio utiliza computadores de terceiros para acessar sites de comrcio
eletrnico ou de Internet Banking, possibilitando o monitoramento de suas
aes, incluindo a digitao de senhas ou nmero de cartes de crdito, por
meio de programas especificamente projetados para esse fim.
Constituem exemplos de fraudes resultantes de Engenharia Social os casos
identificados em:
(A) I e II.
(B) I e III.
117

(C) II e III.
(D) II e IV.
(E) III e IV.
10- (FCC/TRT - 16 REGIO (MA/Tcnico Judicirio Tecnologia da
Informao/2014) Os certificados usados para confirmao da identidade
na web, correio eletrnico, transaes online, redes privadas virtuais,
transaes eletrnicas, informaes eletrnicas, cifrao de chaves de sesso
e assinatura de documentos com verificao da integridade de suas
informaes, so os Certificados de Assinatura Digital
a) A1, A2, A3 e A4.
b) SHA-0, SHA-1, SHA-256 e SHA-512.
c) B1, B2, B3, B4 e B5.
d) S1, S2, S3 e S4.
e) SHA-32, SHA-64, SHA-128 e SHA-256.
11- (FGV/2007/Fiscal de Rendas/ICMS-RJ) As afirmativas a seguir
apresentam vulnerabilidades relacionadas ao uso de sistemas de informao,
exceo de uma. Assinale-a.
(A) acesso no-autorizado a banco de dados
(B) instalao no-autorizada de softwares
(C) falhas de firewall que protegem as redes
(D) destruio autorizada de hardware e dados
(E) ataques vindos do ambiente externo
12- (FGV/2009/MEC/Gerente de Segurana) Com relao Gesto da
Segurana da Informao, dois itens podem ser visualizados na janela do
browser, o que significa que as informaes transmitidas entre o browser e o
site visitado esto sendo criptografadas e so visualizados por uma sigla no
endereo do site e pela existncia de um cadeado, que apresenta uma
determinada caracterstica.
A sigla e a caracterstica so:
(A) https://, e cadeado aberto na barra de status, na parte inferior da janela
do browser
(B) https://, e cadeado fechado na barra de status, na parte inferior da
janela do browser.
118

(C) wwws://, e cadeado fechado na barra de status, na parte superior da

janela do browser.
(D) http://, e cadeado fechado na barra de segurana, na parte superior da
janela do browser.
(E) wwws//, e cadeado aberto na barra de segurana, na parte superior da
janela do browser.
13- (FGV/2010/SEFAZ-RJ/Fiscal de Rendas) A assinatura digital visa dar
garantia de integridade e autenticidade a arquivos eletrnicos, comprova que
a mensagem ou arquivo no foi alterado e que foi assinado pela entidade ou
pessoa que possui a chave privada e o certificado digital correspondente,
utilizados na assinatura.
A assinatura digital emprega chaves criptogrficas definidas como um
conjunto de bits baseado em um determinado algoritmo capaz de cifrar e
decifrar informaes que, para isso, utiliza chaves simtricas ou chaves
assimtricas. A esse respeito, analise as afirmativas a seguir.
I. Chaves simtricas so simples e nelas o emissor e o receptor utilizam a
mesma chave para cifrar e decifrar uma informao, acarretando riscos
menores, diminuindo consideravelmente as possibilidades de extravio ou
fraudes. por esta razo que chaves pblicas so utilizadas em assinaturas
digitais.
II. Chaves assimtricas funcionam com duas chaves: a chave privada e a
chave pblica. Nesse esquema, uma pessoa ou uma organizao deve utilizar
uma chave de codificao e disponibiliz-la a quem for mandar informaes a
ela. Essa a chave pblica. Uma outra chave deve ser usada pelo receptor da
informao para o processo de decodificao: a chave privada, que sigilosa
e individual. As chaves so geradas de forma conjunta, portanto, uma est
associada outra.
III. A assinatura digital funciona da seguinte forma: necessrio que o
emissor tenha um documento eletrnico e a chave pblica do destinatrio. Por
meio de algoritmos apropriados, o documento ento cifrado de acordo com
esta chave pblica. O receptor usar ento sua chave privada correspondente
para decifrar o documento. Se qualquer bit deste for alterado, a assinatura
ser deformada, invalidando o arquivo.
Assinale:
a) se somente a afirmativa I estiver correta.
b) se somente as afirmativas I e II estiverem corretas.
c) se somente as afirmativas I e III estiverem corretas.
d) se somente as afirmativas II e III estiverem corretas.
119

e) se todas as afirmativas estiverem corretas.

14- (FGV/SEFAZ-MS/Analista de Tecnologia da Informao/2006) No
que diz respeito segurana, um programa permite a monitorao e registra
a passagem de dados entre as interfaces de rede instaladas no computador.
Os dados coletados so usados para obteno de detalhes teis para soluo
de problemas em rede, quando usado com boas intenes pelo administrador
do sistema, ou para ataques ao sistema, quando usado pelo cracker para obter
nomes/senhas e outros detalhes teis para espionagem. Para sistemas Linux,
os softwares mais conhecidos desse programa so tcpdump e ethereal. Esse
programa conhecido por:
(A) Hoax.
(B) Strobe.
(C) Sniffer.
(D) NetBus.
(E) Backdoor.
15- (FUNCAB/PM-RO/Primeiro Tenente/Psiquiatra/ 2014) A Internet

um sistema global de redes interligadas de computadores que utilizam
protocolos de comunicao para conectar usurios no mundo inteiro.
Julgue a afirmao a seguir. [Os crimes mais usuais na rede incluem o
envio de e-mails com falsos pedidos de atualizao de dados bancrios e
senhas, conhecidos como DDoS.]
16- (FUNCAB/PRF/Agente Administrativo - 01 / 2014 ) Alguns termos
relacionados com conceitos bsicos de segurana da informao esto
disponibilizados na coluna I. Estabelea a correta correspondncia com os
seus significados, disponibilizados na coluna II.
Coluna I
1. VPN
2. DMZ
3. IDS
4. RoBOT
5. Hijacker
Coluna II
( ) ambiente criado para proteger a rede interna gerando um permetro de
segurana entre a rede interna e a Internet.
120

( ) programa que pode ser utilizado para controlar computadores e comandar

ataques de negao de servio.
( ) utilizao do mtodo de tunelamento que oferece conectividade de rede
em longa distncia.
( ) sistema de deteco de intrusos.
( ) programa ou script que contamina os registros de navegadores.
A sequncia correta :
a) 1 3,2 4 e 5.
b) 1 5,2 3 e 4.
c) 2 4,1 3 e 5.
d) 3 5,1 2 e 4.
e) 2 5,1 3 e 4.
17- (FUNCAB/PRF/Agente
Administrativo
funcionalidades especficas e intrnsecas ao firewall:
01/2014)
So
a) proteo de portas, eliminao de malwares, controle de trfego e

filtragem de pacotes.
b) controle de acesso, controle do trfego, proteo de portas e filtragem de
pacotes.
c) controle do trfego, proteo de portas, eliminao de malwares e
controle de acesso.
d) eliminao de malwares, controle de acesso, filtragem de pacotes e
controle do trfego.
e) filtragem de pacotes, proteo de portas, controle de acesso e eliminao
de malwares.
121

18- (FUNCAB/2014/PM-MT/Soldado da Polcia Militar) Alguns conceitos

relacionados segurana da informao esto disponibilizados na Coluna I.
Faa a correta correspondncia com seus significados dispostos na
Coluna II .
Coluna I
1.
2.
3.
4.
5.
Spyware
Adware
Engenharia Social
Backdoor
Phishing
Coluna II
( ) Tcnica que visa enganar um usurio induzindo-o a clicar em um link que o
levar a uma pgina clonada ou a um arquivo malicioso.
( ) Software que insere propagandas em outros programas.
( ) Brecha inserida pelo prprio programador de um sistema para uma invaso.
( ) Tcnica utilizada para obter informaes preciosas com base em uma relao
de confiana.
( ) Programa espio.
A sequncia correta :
a) 3, 1, 5, 2, 4.
b) 3, 2, 4, 5, 1.
c) 3, 1, 4, 5, 2.
d) 5,1,4,3,2.
e) 5, 2, 4, 3, 1.
19- (FCC/MPU/2007/Analista Banco de Dados) No que diz respeito

exclusivamente segurana das conexes em rede local wireless, pode-se
associar o termo
A. Centrino.
B. WLAN.
C. Hotspot.
122

D. WPA.
E. IEEE 802.11.
20- (FUNCAB/2012/SEAD-PB/Tcnico Administrativo) Ao mesmo tempo
que a Internet se tornou um canal on-line para realizar negcios, tambm
viabilizou a propagao de cdigos maliciosos, como os listados abaixo,
EXCETO:
a) Vrus.
e) Spyware.
b) Worm.
c) Spam.
d) Trojan.
21- (FUNCAB/2012/SEAD-PB/Tcnico Administrativo) O recurso que

permite transferir um arquivo da Internet para um computador ou para um
dispositivo de armazenamento de dados chamado de:
a) Recuperar fontes.
b) Print.
c) Hyperlink.
d) Download.
e) Upload.
22- (IBFC/Cmara Municipal de Franca/Advogado/2012) Estaremos

navegando num site seguro quando aparece no incio do nome do site
os caracteres:
a) ftp://
b) http://
c) tcp://
d) https://
23- (FCC/TRE-TO/Analista Judicirio Judiciria/2011-02) Uma das
formas de proteger o sigilo da informao que trafega na Internet :
a) no fazer os downloads em notebooks.
b) no responder e-mails que chegam "com cpia oculta".
c) mandar e-mails somente a pessoas da lista pessoal.
d) no usar a opo "com cpia para" do correio eletrnico.
e) a criptografia
123

24- (FCC/TRE-RS/Analista Judicirio- rea administrativa/2010) A

WEB permite que cada documento na rede tenha um endereo nico,
indicando os nomes dos arquivos, diretrio e servidor, bem como o mtodo
pelo qual ele deve ser requisitado. Esse endereo chamado de: URL.
25- (FCC/TRT-MS - Tcnico Judicirio-TI/2004) O HTTPS um protocolo
dotado de segurana, sendo muito utilizado em acesso remoto a sites de
bancos e instituies financeiras.
Julgue os quatro itens seguintes, a respeito de Internet e intranet.
26- (Elaborao Prpria) SafeSearch ajuda a evitar que provedores de
contedo de sites da web coletem informaes sobre os sites que voc visita,
dando-nos a opo de permitir ou bloquear tal contedo.
27- (Elaborao Prpria) A navegao InPrivate impede que o Internet
Explorer armazene dados sobre a sesso de navegao do usurio.
28(CESPE/TJ-PB/Juiz Leigo/2013) No que se refere a ferramentas e
aplicativos de busca e pesquisa, julgue o item seguinte. [As ferramentas de
busca possibilitam que se encontrem pginas indexadas, ou no, em qualquer
stio da Internet, sendo suficiente que a pgina a ser listada em uma busca
por palavra-chave esteja disponvel publicamente].
1. Letra E.
Gabarito
13.
Letra D.
2. Letra E.
14.
Letra C.
3. Letra B.
15.
Item errado.
4. Letra B.
16.
Letra C.
5. Letra A.
17.
Letra B.
6. Letra E.
18.
Letra E.
7. Letra E.
19.
Letra D.
8. Letra B.
20.
Letra C.
9. Letra B.
21.
Letra D.
10.
Letra A.
22.
Letra D.
11.
Letra D.
23.
Letra E.
12.
Letra B.
24.
Item correto.
124

05 - Informática PDF

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

05 - Informática PDF

Загружено:

Авторское право:

Доступные форматы

Noes de Informtica em Teoria e Exerccios Comentados

p/ MP/RJ Foco: FGV e Similares Turma: 10

www.pontodosconcursos.com.br | Profa. Patrcia Lima Quinto

Noes de Informtica em Teoria e Exerccios Comentados

Aplicativos para Segurana .................................................................. 67

www.pontodosconcursos.com.br | Profa. Patrcia Lima Quinto

Noes de Informtica em Teoria e Exerccios Comentados

www.pontodosconcursos.com.br | Profa. Patrcia Lima Quinto

Noes de Informtica em Teoria e Exerccios Comentados

uma organizao e, consequentemente, necessita ser adequadamente

Segurana se faz protegendo todos os elos da corrente, ou seja, todos

www.pontodosconcursos.com.br | Profa. Patrcia Lima Quinto

Noes de Informtica em Teoria e Exerccios Comentados

Confidencialidade (ou sigilo): a garantia de que a informao no

Integridade: destaca que a informao deve ser mantida na condio em que

A quebra de integridade pode ser considerada sob dois aspectos:

www.pontodosconcursos.com.br | Profa. Patrcia Lima Quinto

Noes de Informtica em Teoria e Exerccios Comentados

Ex1.: Imagine que algum invada o notebook que est sendo

Ex2: Alterao de sites por hackers (vide a figura seguinte, retirada

Figura. Website UNICEF, que teve seu contedo alterado indevidamente

Disponibilidade: a garantia de que a informao deve estar disponvel,

www.pontodosconcursos.com.br | Profa. Patrcia Lima Quinto

Noes de Informtica em Teoria e Exerccios Comentados

Outro conceito bastante comum para o termo:

ambientes com informaes sigilosas com acesso no controlado;

falta de mecanismos de monitoramento e controle (auditoria);

inexistncia de polticas de segurana;

ausncia de recursos para combate a incndios;

hardware sem o devido acondicionamento e proteo;

falta de atualizao de software e hardware;

ausncia de pessoal capacitado para a segurana;

instalaes prediais fora do padro; etc.

www.pontodosconcursos.com.br | Profa. Patrcia Lima Quinto

Noes de Informtica em Teoria e Exerccios Comentados

Certbr (2012) destaca algumas das diversas maneiras como os cdigos

por meio da explorao de vulnerabilidades (falhas de segurana), existentes

pelo acesso a pginas da Web maliciosas, com a utilizao de navegadores

por meio da ao direta de atacantes que, aps invadirem o computador,

pela execuo de arquivos previamente infectados, obtidos em anexos de

www.pontodosconcursos.com.br | Profa. Patrcia Lima Quinto

Noes de Informtica em Teoria e Exerccios Comentados

Figura. Botnet (Symantec,2014)

www.pontodosconcursos.com.br | Profa. Patrcia Lima Quinto

Noes de Informtica em Teoria e Exerccios Comentados

Quanto mais zumbis (Zombie Computers) participarem da botnet, mais

www.pontodosconcursos.com.br | Profa. Patrcia Lima Quinto

Noes de Informtica em Teoria e Exerccios Comentados

Figura. Um spam contendo um cdigo malicioso conhecido como Cavalo

veja e copie ou destrua todos os arquivos armazenados no computador;

faa a instalao de keyloggers ou screenloggers (descubra todas as senhas

realize o furto de senhas e outras informaes sensveis, como nmeros de

faa a incluso de backdoors, para permitir que um atacante tenha total

www.pontodosconcursos.com.br | Profa. Patrcia Lima Quinto

Noes de Informtica em Teoria e Exerccios Comentados

enviar dados confidenciais para outro computador, instalar backdoors, alterar

Trojan Dropper: instala outros cdigos maliciosos, embutidos no prprio

Trojan Backdoor: inclui backdoors, possibilitando o acesso remoto do

Trojan DoS: instala ferramentas de negao de servio e as utiliza para

Trojan Destrutivo: altera/apaga arquivos e diretrios, formata o disco

Trojan Clicker: redireciona a navegao do usurio para sites especficos,

Trojan Proxy: instala um servidor de proxy, possibilitando que o

Trojan Spy: instala programas spyware e os utiliza para coletar