Aula 01

Informtica em Teoria e Exerccios Comentados
p/ PRF Turma: 15 Foco: Cespe/UnB

Aula 01 Segurana da Informao - Profa. Patrcia Quinto
Aula 01
Informtica p/PRF (Turma: 15)

Segurana da Informao
Professora: Patrcia Lima Quinto
www.pontodosconcursos.com.br | Profa. Patrcia Lima Quinto

Aula 01 Segurana da Informao
Ol, querido (a) amigo (a)! Obrigada pela confiana e seja bem-vindo (a) ao nosso curso.
Mas, faa! pra frente que se anda. pra cima que se olha. lutando que se conquista. #Ficaadica
Vai ser MUITO bacana essa experincia e espero que voc possa aproveitar bastante todo o
curso!
Que Deus o(a) abenoe e sucesso nos estudos!
Profa Patrcia Lima Quinto
Instagram: @patriciaquintao
Facebook: http://www.facebook.com/professorapatriciaquintao (Todo dia com novas dicas,
desafios e muito mais, espero vocs por l para CURTIR a pgina!)
Periscope: patriciaquintao
Twitter: http://www.twitter.com/pquintao
Livro FCC (Impresso ou digital =>
http://www.grupogen.com.br/catalogsearch/result/?q=inform%C3%A1tica+fcc).
QUINTO, PATRCIA LIMA. 1001 Questes Comentadas de Informtica -Cespe, 1. Edio. Ed.
Gen/Mtodo, 2015. http://www.grupogen.com.br/1001-questoes-comentadas-de-informaticacespe.html

Tpicos da Aula
O que Significa Segurana? ............................................................................. 4
Princpios da Segurana da Informao........................................................... 5
Vulnerabilidades de Segurana...................................................................... 10
Ameaas Segurana .................................................................................... 11
Risco.............................................................................................................. 12
Ciclo da Segurana ........................................................................................ 13
Noes de Vrus, Worms e outras Pragas virtuais AMEAAS Segurana da
Informao!! ................................................................................................. 14
Golpes na Internet......................................................................................... 31
Ataques na Internet ...................................................................................... 33
Spams............................................................................................................ 38
Hoaxes (Boatos) ............................................................................................ 38
Cookies .......................................................................................................... 39
Cdigos Mveis .............................................................................................. 40
Janelas de Pop-up ......................................................................................... 40
Plug-ins, Complementos e Extenses ............................................................ 41
Links Patrocinados ........................................................................................ 41
Banners de Propaganda ................................................................................. 42
Programas de Distribuio de Arquivos (P2P) ............................................... 42
Compartilhamento de Recursos ..................................................................... 42
Procedimentos de Segurana ........................................................................ 43
Procedimentos de Backup (Cpia de segurana) ........................................... 48
Noes sobre Criptografia ............................................................................. 55
Hashes Criptogrficos .................................................................................... 59
Assinatura Digital .......................................................................................... 61
Entendendo os Componentes da Infraestrutura de Chaves Pblicas (ICP) .... 62
Certificado Digital .......................................................................................... 63
Certificao Digital ........................................................................................ 66
Esteganografia .............................................................................................. 68
Aplicativos para Segurana ........................................................................... 69
Virtual Private Network (VPN)....................................................................... 78
Autenticao.................................................................................................. 79
Memorex ....................................................................................................... 84
Lista de Questes Comentadas ...................................................................... 89
Consideraes Finais ................................................................................... 148
Bibliografia .................................................................................................. 148
Lista de Questes Apresentadas na Aula ..................................................... 150
Gabarito ...................................................................................................... 167
Acompanhe a Evoluo do seu Aproveitamento ........................................... 168

O que Significa Segurana?

colocar tranca nas portas de sua casa? ter as informaes
guardadas de forma suficientemente segura para que pessoas sem
autorizao no tenham acesso a elas? Vamos nos preparar
para que a prxima vtima no seja voc !!!
A segurana uma palavra que est presente em nosso cotidiano
e refere-se a um estado de proteo, em que estamos
livres de perigos e incertezas!
Segurana da informao o processo de proteger a
informao de diversos tipos de ameaas externas e
internas para garantir a continuidade dos negcios,
minimizar os danos aos negcios e maximizar o retorno
dos investimentos e as oportunidades de negcio.
Em uma corporao, a segurana est ligada a tudo o que manipula direta ou
indiretamente a informao (inclui-se a tambm a prpria informao e os
usurios), e que merece proteo. Esses elementos so chamados de ATIVOS,
e podem ser divididos em:
tangveis: informaes impressas, mveis, hardware (Ex.:impressoras,

scanners);
intangveis: marca de um produto, nome da empresa, confiabilidade de um
rgo federal etc.;
lgicos: informaes armazenadas em uma rede, sistema ERP (sistema de
gesto integrada), etc.;
fsicos: galpo, sistema de eletricidade, estao de trabalho, etc.;
humanos: funcionrios.
Para Beal (2005), ativo de informao qualquer dado ou informao a que

esteja associado um valor para o negcio. Representam ativos de informao as
informaes relevantes mantidas na mente dos tomadores de deciso, em base
de dados, arquivos de computador, documentos e planos registrados em papel
etc.
Segundo Technet (2006) um ativo todo elemento que compe o processo da
comunicao, partindo da informao, seu emissor, o meio pelo qual
transmitida, at chegar ao seu receptor.

Moreira (2001, p.20) afirma que:

[...] ativo tudo que manipula direta ou indiretamente uma informao,
inclusive a prpria informao, dentro de uma Organizao e, isso que deve ser
protegido contra ameaas para que o negcio funcione corretamente. Uma
alterao, destruio, erro ou indisponibilidade de algum dos ativos pode
comprometer os sistemas e, por conseguinte, o bom funcionamento das
atividades de uma empresa.
De acordo com a NBR ISO/IEC 27002:2005, a informao um ativo que,
como qualquer outro ativo importante, essencial para os negcios de
uma organizao e, consequentemente, necessita ser adequadamente
protegida.
A informao pode existir em diversas formas: pode ser impressa ou escrita em
papel, armazenada eletronicamente, transmitida pelo correio ou por meios
eletrnicos, apresentada em filmes ou falada em conversas. Dessa definio,
podemos depreender que a informao um bem, um patrimnio a ser
preservado para uma empresa e que tem importncia aos negcios. Devido a
essa importncia, deve ser oferecida proteo adequada, ou seja, a proteo
deve ser proporcional importncia que determinada informao tem
para uma empresa.
Solues pontuais isoladas no resolvem toda a problemtica associada
segurana da informao. Segurana se faz em pedaos, porm todos eles
integrados, como se fossem uma corrente.
Segurana se faz protegendo todos os elos da corrente, ou seja, todos

os ativos (fsicos, tecnolgicos e humanos) que compem seu negcio.
Afinal, o poder de proteo da corrente est diretamente associado ao
elo mais fraco!
Princpios da Segurana da Informao
A segurana da informao busca proteger os ativos de uma empresa ou
indivduo com base na preservao de alguns princpios. Vamos ao estudo de
cada um deles.

Os trs princpios considerados centrais ou principais, mais comumente

cobrados em provas, so: a Confidencialidade, a Integridade e a
Disponibilidade. Eles formam aquilo que chamamos de pirmide ou trade da
Segurana da Informao ( possvel encontrar a sigla CID, para fazer
meno a esses princpios!).
Confidencialidade
Integridade
Disponibilidade
Figura. Mnemnico CID
Confidencialidade (ou sigilo): a garantia de que a informao no

ser conhecida por quem no deve. O acesso s informaes deve ser
limitado, ou seja, somente as pessoas explicitamente autorizadas
podem acess-las. Perda de confidencialidade significa perda de segredo. Se
uma informao for confidencial, ela ser secreta e dever ser guardada com
segurana, e no divulgada para pessoas sem a devida autorizao para
acess-la.
A confidencialidade busca
proteo contra exposio no autorizada.
Acesso somente por pessoas autorizadas.
Exemplo: o nmero do seu carto de crdito s poder ser conhecido por voc
e pela loja em que usado. Se esse nmero for descoberto por algum mal
intencionado, o prejuzo causado pela perda de confidencialidade poder ser
elevado, j que podero se fazer passar por voc para realizar compras pela
Internet, proporcionando-lhe prejuzos financeiros e uma grande dor de
cabea.
Integridade: destaca que a informao deve ser mantida na condio em que

foi liberada pelo seu proprietrio, garantindo a sua proteo contra mudanas
intencionais, indevidas ou acidentais. Em outras palavras, a garantia de
que a informao que foi armazenada a que ser recuperada!
A INTEGRIDADE busca
proteo contra codificao no autorizada.
Modificao somente pelas partes devidamente autorizadas.

A quebra de integridade pode ser considerada sob dois aspectos:

1. alteraes nos elementos que suportam a informao - so feitas
alteraes na estrutura fsica e lgica em que uma informao
est armazenada. Por exemplo, quando so alteradas as configuraes
de um sistema para ter acesso a informaes restritas;
2. alteraes do contedo dos documentos.
Ex1.: Imagine que algum invada o notebook que est sendo

utilizado para realizar a sua declarao do Imposto de Renda deste
ano, e, momentos antes de voc envi-la para a Receita Federal a
mesma alterada sem o seu consentimento! Neste caso, a
informao no ser transmitida da maneira adequada, o que quebra
o princpio da integridade;
Ex2: Alterao de sites por hackers (vide a figura seguinte, retirada

de
http://www.fayerwayer.com.br/2013/06/site-do-governobrasileiro-e-hackeado/). Acesso em jul. 2013.
Figura. Website UNICEF, que teve seu contedo alterado indevidamente

em jun. 2013.

Disponibilidade: a garantia de que a informao deve estar disponvel,

sempre que seus usurios (pessoas e empresas autorizadas)
necessitarem, no importando o motivo. Em outras palavras, a garantia
que a informao sempre poder ser acessada!
A DISPONIBILIDADE busca
acesso disponvel s entidades autorizadas
sempre que necessrio.
Como exemplo, h quebra do princpio da disponibilidade quando voc decidir
enviar a sua declarao do Imposto de Renda pela Internet, no ltimo dia
possvel, e o site da Receita Federal estiver indisponvel.
O que queremos sob a tica de segurana?
Desejamos entregar a informao CORRETA, para a pessoa CERTA, no

MOMENTO EM QUE ELA FOR NECESSRIA! Entenderam? Eis a essncia da
aplicao dos trs princpios aqui j destacados. Ainda, cabe destacar que a
perda de pelo menos um desses princpios j ir ocasionar impactos ao
negcio (a surgem os INCIDENTES de segurana).
Incidente de segurana da informao: indicado por um
simples ou por uma srie de eventos de segurana da
informao indesejados ou inesperados, que tenham
uma grande probabilidade de comprometer as
operaes do negcio e ameaar a segurana. Exemplos:
invaso digital; violao de padres de segurana de
informao.
Quando falamos em segurana da informao, estamos nos referindo a

salvaguardas
para
manter
a
confidencialidade,
integridade,
disponibilidade e demais aspectos da segurana das informaes dentro
das necessidades do cliente!

Outros princpios (ou aspectos) podem ainda ser tambm levados em

considerao, como por exemplo:
Autenticao: conforme destaca Stallings (2008), o servio de

autenticao refere-se garantia de que uma comunicao
autntica.
No caso de uma nica mensagem, como uma advertncia ou um sinal de
alarme, a funo do servio de autenticao garantir ao destinatrio que
a mensagem proveniente de onde ela afirma ter vindo.
No caso de uma interao de sada, como a conexo de um terminal com um
hospedeiro, dois aspectos esto envolvidos. Primeiro, no momento do
incio da conexo, o servio garante que as duas entidades so
autnticas, ou seja, que cada uma a entidade que afirma ser. Segundo, o
servio precisa garantir que a conexo no sofra interferncia de
modo que um terceiro possa fingir ser uma das duas partes legtimas,
para fins de transmisso ou recepo no autorizada.
AUTENTICAO
a capacidade de garantir que um usurio, sistema ou informao
mesmo quem alega ser. A autenticao essencial para a segurana
dos sistemas, ao validar a identificao dos usurios,
concedendo-lhes a autorizao para o acesso aos recursos.
Confiabilidade: pode ser caracterizada como a condio em que um

sistema de informao presta seus servios de forma eficaz e
eficiente, ou melhor, um sistema de informao ir desempenhar o papel
que foi proposto para si.
CONFIABILIDADE
visa garantir que um sistema vai se comportar (vai realizar seu
servio) segundo o esperado e projetado (ser confivel, fazer bem
seu papel).

No repdio (ou irretratabilidade): a garantia de que um agente no

consiga negar (dizer que no foi feito) uma operao ou servio que
modificou ou criou uma informao. Tal garantia condio necessria
para a validade jurdica de documentos e transaes digitais. S se pode
garantir o no-repdio quando houver autenticidade e integridade (ou seja,
quando for possvel determinar quem mandou a mensagem e garantir que a
mesma no foi alterada).
NO REPDIO
Proteo contra negao de envio (ou recepo) de determinada
informao.
Vulnerabilidades de Segurana
Vulnerabilidade uma fragilidade que poderia ser explorada por uma ameaa
para concretizar um ataque.
Outro conceito bastante comum para o termo:

Vulnerabilidade uma evidncia ou fragilidade que eleva o grau de exposio
dos ativos que sustentam o negcio, aumentando a probabilidade de sucesso pela
investida de uma ameaa.
Ainda, trata-se de falha no projeto, implementao ou configurao de
software ou sistema operacional que, quando explorada por um atacante,
resulta na violao da segurana de um computador.
O conhecimento do maior nmero de vulnerabilidades possveis permite equipe

de segurana tomar medidas para proteo, evitando assim ataques e
consequentemente perda de dados.
No h uma receita ou lista padro de vulnerabilidades. Esta deve ser levantada
junto a cada organizao ou ambiente. Sempre se deve ter em mente o que
precisa ser protegido e de quem precisa ser protegido de acordo com as ameaas
10

existentes. Podemos citar, como exemplo inicial, uma anlise de ambiente em

uma sala de servidores de conectividade e Internet com a seguinte descrio: a
sala dos servidores no possui controle de acesso fsico. Eis a
vulnerabilidade detectada nesse ambiente.
Outros exemplos de vulnerabilidades:
ambientes com informaes sigilosas com acesso no controlado;
falta de mecanismos de monitoramento e controle (auditoria);
inexistncia de polticas de segurana;
ausncia de recursos para combate a incndios;
hardware sem o devido acondicionamento e proteo;
falta de atualizao de software e hardware;
ausncia de pessoal capacitado para a segurana;
instalaes prediais fora do padro; etc.
Ameaas Segurana
Ameaa algo que possa provocar danos segurana da informao, prejudicar
as aes da empresa e sua sustentao no negcio, mediante a explorao de
uma determinada vulnerabilidade.
Em outras palavras, uma AMEAA tudo aquilo que pode comprometer a
segurana de um sistema, podendo ser acidental (falha de hardware, erros
de programao, desastres naturais, erros do usurio, bugs de software, uma
ameaa secreta enviada a um endereo incorreto, etc.) ou deliberada (roubo,
espionagem, fraude, sabotagem, invaso de hackers, entre outros).
Ameaa pode ser uma pessoa, uma coisa, um evento ou uma ideia capaz de
causar dano a um recurso, em termos de confidencialidade, integridade,
disponibilidade etc.
Como exemplos de ameaa podemos destacar: concorrente, cracker, erro
humano (deleo de arquivos digitais acidentalmente etc.), acidentes naturais
11

(inundao etc.), funcionrio insatisfeito, tcnicas (engenharia social, etc.),

ferramentas de software (sniffer, cavalo de troia, etc.).
Basicamente existem dois tipos de ameaas: internas e externas.
Ameaas externas: representadas por todas as tentativas de ataque e

desvio de informaes vindas de fora da empresa. Normalmente, essas
tentativas so realizadas por pessoas com a inteno de prejudicar a empresa
ou para utilizar seus recursos para invadir outras empresas.
Ameaas internas: esto presentes, independentemente das empresas

estarem ou no conectadas Internet. Podem causar desde incidentes leves
at os mais graves, como a inatividade das operaes da empresa.
Resumindo, temos que...
Os ATIVOS so os elementos que sustentam a operao
do
negcio
e
estes
sempre
traro
consigo
VULNERABILIDADES que, por sua vez, submetem os
ativos a AMEAAS.
Risco
RISCO a medida da exposio qual o sistema computacional est sujeito.
Depende da probabilidade de uma ameaa atacar o sistema e do impacto
resultante desse ataque.
Smola (2003, p. 50), diz que risco a probabilidade de ameaas
explorarem
vulnerabilidades,
provocando
perdas
de
confidencialidade,
integridade
e
disponibilidade,
causando,
possivelmente, impactos nos negcios.
Como exemplo de um risco pode-se imaginar um funcionrio insatisfeito e um
martelo ao seu alcance; nesse caso o funcionrio poderia danificar algum ativo
da informao.
12

Existem algumas maneiras de se classificar o grau de risco no mercado de

segurana, mas de uma forma simples, poderamos trata-lo como alto, mdio e
baixo risco.
No caso do nosso exemplo da sala dos servidores, poderamos dizer que, baseado
na vulnerabilidade encontrada, a ameaa associada de alto risco.
Ciclo da Segurana
Como mostrado na figura seguinte, os ATIVOS de uma organizao precisam
ser protegidos, pois esto sujeitos a VULNERABILIDADES.
protege
Medidas de
Segurana
diminui
limitados
Impactos no
negcio
Ativos
sujeitos
aumenta
aumenta
aumenta
permitem
Confidencialidade
Integridade
Disponibilidade
causam
Vulnerabilidades
aumenta
Riscos
Ciclo da
segurana
Ameaas
perdas
Figura. Ciclo da Segurana da Informao (MOREIRA, 2001)

Se as vulnerabilidades aumentam, aumentam-se os riscos permitindo a
explorao por uma ameaa e a concretizao de um ataque. Se estas ameaas
crescem, aumentam-se ainda mais os riscos de perda da integridade,
disponibilidade e confidencialidade da informao, podendo causar impacto nos
negcios.
Nesse contexto, MEDIDAS DE SEGURANA devem ser tomadas, os riscos
devem ser analisados e diminudos para que se estabelea a segurana
dos ativos da informao.
13

As ameaas so causas em potencial de um incidente indesejado (por exemplo,

um ataque de um hacker uma ameaa). As ameaas e as vulnerabilidades
aumentam os riscos relativos segurana por parte de uma organizao.
Dessa forma, podemos dizer que os riscos so medidos pela combinao entre:
nmero de vulnerabilidades dos ativos;
a probabilidade de vulnerabilidades serem exploradas por uma ameaa;

e
o impacto decorrente dos incidentes de segurana na organizao.
Noes de Vrus, Worms e outras Pragas virtuais AMEAAS

Segurana da Informao!!
Voc sabe o significado de malware?
Malware um termo genrico, usado para todo e quaisquer softwares
maliciosos, programados com o intuito de prejudicar os sistemas de
informao, alterar o funcionamento de programas, roubar informaes,
causar lentides de redes computacionais, dentre outros.
Resumindo, malwares so programas que executam

deliberadamente aes mal-intencionadas em um
computador.
Certbr (2012) destaca algumas das diversas maneiras como os cdigos

maliciosos (malwares) podem infectar ou comprometer um computador.
So elas:
por meio da explorao de vulnerabilidades (falhas de segurana), existentes

nos programas instalados;
por
meio
da
como pen-drives;
auto-execuo
de
mdias
removveis
infectadas,
14

pelo acesso a pginas da Web maliciosas, com a utilizao de navegadores

vulnerveis;
por meio da ao direta de atacantes que, aps invadirem o computador,

incluem arquivos contendo cdigos maliciosos;
pela execuo de arquivos previamente infectados, obtidos em anexos de

mensagens eletrnicas, via mdias removveis, em pginas Web ou
diretamente de outros computadores (atravs do compartilhamento de
recursos).
Uma vez instalados, os cdigos maliciosos passam a ter acesso aos dados
armazenados no computador e podem executar aes em nome dos usurios, de
acordo com as permisses de cada usurio.
So espcies de malware:
-vrus,
-worms,
-bots,
-cavalos de troia (trojans),
-spyware,
-keylogger,
-screenlogger,
-ransomwares,
-backdoors,
-rootkits, etc.
Vrus
So pequenos cdigos de programao maliciosos que se agregam
a arquivos e so transmitidos com eles.
Em outras palavras,
tecnicamente, um vrus um programa (ou parte de um programa) que se
anexa a um arquivo de programa qualquer (como se o estivesse
parasitando) e depois disso procura fazer cpias de si mesmo em outros
arquivos semelhantes.
15

Quando o arquivo aberto na memria RAM, o vrus tambm , e, a partir da

se propaga infectando, isto , inserindo cpias de si mesmo e se tornando
parte de outros programas e arquivos de um computador.
O vrus depende da execuo do programa ou arquivo hospedeiro para
que possa se tornar ativo e dar continuidade ao processo de infeco. Alguns
vrus so inofensivos, outros, porm, podem danificar um sistema operacional
e os programas de um computador.
A seguir destacamos alguns arquivos que podem ser portadores de vrus de
computador:
arquivos executveis: com extenso .exe ou .com; arquivos de scripts

(outra forma de executvel): extenso .vbs;
atalhos: extenso .lnk ou .pif; proteo de tela (animaes que

aparecem automaticamente quando o computador est ocioso): extenso
.scr;
documentos do MS-Office: como os arquivos do Word (extenso .doc ou

.dot), arquivos do Excel (.xls e .xlt), apresentaes do Powerpoint (.ppt e
.pps), bancos de dados do Access (.mdb). Arquivos multimdia do Windows
Media Player: msicas com extenso .WMA, vdeos com extenso .WMV,
dentre outros.
Dentre os principais tipos de vrus conhecidos merecem destaque:

Vrus
Polimrficos
Alteram seu formato (mudam de forma)

constantemente. A cada nova infeco, esses vrus
geram uma nova sequncia de bytes em seu cdigo, para
que o antivrus se confunda na hora de executar a
varredura e no reconhea o invasor.
Vrus
Oligomrfico
Usa a criptografia para se defender sendo capaz de

alterar tambm a rotina de criptografia em um nmero de
vezes pequeno. Um vrus que possui duas rotinas de
criptografia ento classificado como oligomrfico (Luppi,
2006).
16

Vrus de Boot
Infectam o setor de boot (ou MBR Master Boot Record

Registro Mestre de Inicializao) dos discos rgidos.
Obs.: o Setor de Boot do disco rgido a primeira parte do
disco rgido que lida quando o computador ligado. Essa
rea lida pelo BIOS (programa responsvel por acordar
o computador) a fim de que seja encontrado o Sistema
Operacional (o programa que vai controlar o computador
durante seu uso).
Vrus de
Macro
Vrus que infectam documentos que contm macros.

Macro: conjunto de comandos que so armazenados
em alguns aplicativos e utilizados para automatizar
tarefas repetitivas.
Um exemplo seria, em um editor de textos, definir uma

macro que contenha a sequncia de passos necessrios
para imprimir um documento, com a orientao de retrato,
e utilizando a escala de cores em tons de cinza.
Um vrus de macro escrito de forma a explorar esta
facilidade de automatizao e parte de um arquivo
que normalmente manipulado por algum aplicativo
que utiliza macros. Para que o vrus possa ser
executado, o arquivo que o contm precisa ser aberto e, a
partir da, o vrus pode executar uma srie de comandos
automaticamente e infectar outros arquivos no
computador.
Existem alguns aplicativos que possuem arquivos base
(modelos) que so abertos sempre que o aplicativo
executado. Caso este arquivo base seja infectado pelo
vrus de macro, toda vez que o aplicativo for executado, o
vrus tambm ser. Arquivos nos formatos gerados
por programas da Microsoft, como o Word, Excel,
Powerpoint e Access so os mais suscetveis a este
tipo de vrus. Arquivos nos formatos RTF, PDF e
PostScript so menos suscetveis, mas isso no significa
que no possam conter vrus.
17

Normal.dotPrincipal alvo de vrus de macro

p/Word
Vrus de
Programa
Infectam arquivos de programa

extenses, como .exe, .com,.vbs, .pif.
(de
inmeras
Vrus Stealth
Programado para se esconder e enganar o antivrus

durante uma varredura deste programa. Tem a
capacidade de se remover da memria temporariamente
para evitar que antivrus o detecte.
Vrus de
Script
Propagam-se por meio de scripts, nome que designa

uma
sequncia
de
comandos
previamente
estabelecidos
e
que
so
executados
automaticamente em um sistema, sem necessidade
de interveno do usurio.
Dois tipos de scripts muito usados so os projetados com
as linguagens Javascript (JS) e Visual Basic Script (VBS).
Tanto um quanto o outro podem ser inseridos em pginas
Web e interpretados por navegadores como Internet
Explorer e outros. Os arquivos Javascript tornaram-se to
comuns na Internet que difcil encontrar algum site atual
que no os utilize. Assim como as macros, os scripts no
so necessariamente malficos. Na maioria das vezes
executam tarefas teis, que facilitam a vida dos usurios
prova disso que se a execuo dos scripts for
desativada nos navegadores, a maioria dos sites passar
a ser apresentada de forma incompleta ou incorreta.
Vrus de
Telefone
Celular
Propaga de telefone para telefone atravs da

tecnologia bluetooth ou da tecnologia MMS
(Multimedia Message Service).
O servio MMS usado para enviar mensagens multimdia,
isto , que contm no s texto, mas tambm sons e
imagens, como vdeos, fotos e animaes. A infeco
ocorre da seguinte forma: o usurio recebe uma
18

mensagem que diz que seu telefone est prestes a receber

um arquivo e permite que o arquivo infectado seja
recebido, instalado e executado em seu aparelho; o vrus,
ento, continua o processo de propagao para outros
telefones, atravs de uma das tecnologias mencionadas
anteriormente.
Os vrus de celular diferem-se dos vrus tradicionais,
pois normalmente no inserem cpias de si mesmos
em outros arquivos armazenados no telefone
celular, mas podem ser especificamente projetados
para sobrescrever arquivos de aplicativos ou do
sistema operacional instalado no aparelho.
Depois de infectar um telefone celular, o vrus pode
realizar diversas atividades, tais como:
destruir/sobrescrever arquivos;
remover contatos da agenda;
efetuar ligaes telefnicas;
o aparelho fica desconfigurado e tentando se
conectar via Bluetooth com outros celulares;
a bateria do celular dura menos
do
que
o
previsto
pelo
fabricante, mesmo quando voc
no fica horas pendurado nele;
emitir
algumas
mensagens
multimdia esquisitas;
tentar se propagar para outros
telefones.
Vrus
Nesse caso, o arquivo de vrus contido em um arquivo
Companheiros separado, que (geralmente) renomeado de modo que ele
ou
seja executado em vez do programa que a vtima pensou
Replicadores que estava carregando.
(Spawning)
Possui o mesmo nome do arquivo executvel, porm
com outra extenso. Ex.: sptrec.com (vrus) <
sptrec.exe (executvel).
19

Worms (Vermes)
Programas parecidos com vrus, mas que na verdade so
capazes de se propagarem automaticamente atravs
de redes, enviando cpias de si mesmo de computador
para computador (observe que os worms APENAS se
copiam, no infectam outros arquivos, eles mesmos
so os arquivos!). Alm disso, geralmente utilizam as
redes
de
comunicao
para
infectar
outros
computadores (via e-mails, Web, FTP, redes das empresas etc.).
Diferentemente do vrus, o worm NO embute cpias de si mesmo em
outros programas ou arquivos e NO necessita ser explicitamente
executado para se propagar. Sua propagao se d atravs da
explorao de vulnerabilidades existentes ou falhas na configurao
de softwares instalados em computadores.
Os Worms podem se espalhar de diversas maneiras, mas a propagao

via rede a mais comum. Sua caracterstica marcante a replicao
(cpia funcional de si mesmo) e infeco de outros computadores SEM
interveno humana e SEM necessidade de um programa
hospedeiro. (Ateno)
Worms so notadamente responsveis por consumir muitos recursos.

Degradam sensivelmente o desempenho de redes e podem lotar o
disco rgido de computadores, devido grande quantidade de cpias
de si mesmo que costumam propagar. Alm disso, podem gerar grandes
transtornos para aqueles que esto recebendo tais cpias.
Difceis de serem detectados, muitas vezes os worms realizam uma srie de
atividades, incluindo sua propagao, sem que o usurio tenha conhecimento.
Embora alguns programas antivrus permitam detectar a presena de Worms
e at mesmo evitar que eles se propaguem, isto nem sempre possvel.
20

Bots (Robs)
De modo similar ao worm, um
programa
capaz
de
se
propagar
automaticamente,
explorando
vulnerabilidades existentes ou falhas na
configurao de software instalado em
um computador.
Adicionalmente ao worm, dispe de
mecanismos de comunicao com o invasor, permitindo que o bot seja
controlado remotamente. Os bots esperam por comandos de um hacker,
podendo manipular os sistemas infectados, sem o conhecimento do usurio.
Segundo CertBr (2012), a comunicao entre o invasor e o computador pelo
bot pode ocorrer via canais de IRC, servidores Web e redes do tipo P2P, entre
outros meios. Ao se comunicar, o invasor pode enviar instrues para que
aes maliciosas sejam executadas, como desferir ataques, furtar dados do
computador infectado e enviar spam.
Nesse ponto, cabe destacar um termo que j foi cobrado vrias vezes
em prova pela banca! Trata-se do significado de botnet, juno da
contrao das palavras robot (bot) e network (net).
Uma rede infectada por bots denominada de botnet (tambm
conhecida como rede zumbi), sendo composta geralmente por milhares
desses elementos maliciosos, que ficam residentes nas mquinas,
aguardando o comando de um invasor.
Figura. Botnet (Symantec,2014)
21

Quanto mais zumbis (Zombie Computers) participarem da botnet, mais

potente ela ser. Um invasor que tenha controle sobre uma botnet pode
utiliz-la para:
coletar informaes de um grande nmero de computadores;
clicar em anncios e gerar receitas fraudulentas;
enviar spam em grande escala;
hospedar sites de phishing;
iniciar ataques de negao de servio que impedem o uso de servios
online etc.
Botnets fornecem aos criminosos cibernticos capacidade de processamento e
conectividade de Internet em escala gigantesca. desse modo que eles so
capazes de enviar milhes de e-mails de spam ou infectar milhes de PCs por
hora (Symantec, 2014).
O esquema simplificado apresentado a seguir destaca o funcionamento bsico
de uma botnet (CERT.br, 2012):
o atacante propaga um tipo especfico de bot, com a inteno de infectar
e conseguir a maior quantidade possvel de mquinas zumbis;
essas mquinas zumbis ficam ento disposio do atacante, agora seu
controlador, espera dos comandos a serem executados;
quando o controlador deseja que uma ao seja realizada, ele envia s
mquinas zumbis os comandos a serem executados, usando, por
exemplo, redes do tipo P2P ou servidores centralizados;
as mquinas zumbis executam ento os comandos recebidos, durante o
perodo predeterminado pelo controlador;
quando a ao encerrada, as mquinas zumbis voltam a ficar espera
dos prximos comandos a serem executados.
22

Trojan Horse (Cavalo de Troia)

um programa aparentemente inofensivo que
entra em seu computador na forma de carto virtual,
lbum de fotos, protetor de tela, jogo etc., e que,
quando executado (com a sua autorizao),
parece lhe divertir, mas, por trs abre portas de
comunicao do seu computador para que ele
possa ser invadido.
Por definio, o Cavalo de Troia distingue-se de um vrus ou
de um worm por NO infectar outros arquivos, NEM
propagar cpias de si mesmo automaticamente.
Os trojans ficaram famosos na Internet pela facilidade de uso, e por

permitirem a qualquer pessoa possuir o controle de um outro computador,
apenas com o envio de um arquivo.
Os trojans atuais so divididos em duas partes, que so: o servidor e
o cliente. Normalmente, o servidor encontra-se oculto em algum outro
arquivo e, no momento em que o arquivo executado, o servidor se instala e
se oculta no computador da vtima. Nesse momento, o computador j pode
ser acessado pelo cliente, que enviar informaes para o servidor executar
certas operaes no computador da vtima.
23

Figura. Um spam contendo um cdigo malicioso conhecido como Cavalo

de Troia. Ao passar o mouse sobre o link, veja que o site mostrado no
da Vivo. O usurio ser infectado se clicar no link e executar o anexo.
Uma das caractersticas do Cavalo de Troia (trojan horse) que
ele facilita ao de outros ataques!
O cavalo de troia no um vrus, pois no se duplica e no se dissemina

como os vrus. Na maioria das vezes, ele ir instalar programas para
possibilitar que um invasor tenha controle total sobre um computador.
Estes programas podem permitir que o invasor:
veja e copie ou destrua todos os arquivos armazenados no computador;
faa a instalao de keyloggers ou screenloggers (descubra todas as senhas

digitadas pelo usurio);
realize o furto de senhas e outras informaes sensveis, como nmeros de

cartes de crdito;
faa a incluso de backdoors, para permitir que um atacante tenha total

controle sobre o computador; formate o disco rgido do computador, etc.
Exemplos comuns de Cavalos de Troia so programas que voc recebe ou
obtm de algum site e que parecem ser apenas cartes virtuais animados,
lbuns de fotos de alguma celebridade, jogos, protetores de tela, entre outros.
24

Enquanto esto sendo executados, estes programas podem ao mesmo tempo

enviar dados confidenciais para outro computador, instalar backdoors, alterar
informaes, apagar arquivos ou formatar o disco rgido.
H diferentes tipos de trojans, classificados de acordo com as aes
maliciosas que costumam executar ao infectar um computador. Alguns
desses tipos apontados por Certbr (2012) so:
Trojan Downloader: instala outros cdigos maliciosos, obtidos de sites na

Internet.
Trojan Dropper: instala outros cdigos maliciosos, embutidos no prprio

cdigo do trojan.
Trojan Backdoor: inclui backdoors, possibilitando o acesso remoto do

atacante ao computador.
Trojan DoS: instala ferramentas de negao de servio e as utiliza para

desferir ataques.
Trojan Destrutivo: altera/apaga arquivos e diretrios, formata o disco

rgido e pode deixar o computador fora de operao.
Trojan Clicker: redireciona a navegao do usurio para sites especficos,

com o objetivo de aumentar a quantidade de acessos a estes sites ou
apresentar propagandas.
Trojan Proxy: instala um servidor de proxy, possibilitando que o

computador seja utilizado para navegao annima e para envio de spam.
Trojan Spy: instala programas spyware e os utiliza para coletar

informaes sensveis, como senhas e nmeros de carto de crdito, e
envi-las ao atacante.
Trojan Banker: coleta dados bancrios do usurio, atravs da instalao

de programas spyware que so ativados nos acessos aos sites de Internet
Banking. similar ao Trojan Spy, porm com objetivos mais especficos.
Spyware
Trata-se de um programa espio (spy em
ingls = espio), que tem por finalidade
monitorar as atividades de um sistema e
enviar as informaes coletadas para
terceiros.
25

Segundo a ISO/IEC 27000, Spyware um software

enganador que coleta informaes particulares ou
confidenciais de um usurio de computador.
NOTA Informaes podem incluir assuntos como websites
mais visitados ou informaes mais sensveis, como senhas.
Pode ser usado tanto de forma legtima quanto maliciosa, dependendo de

como instalado, das aes realizadas, do tipo de informao monitorada e
do uso que feito por quem recebe as informaes coletadas.
Vamos diferena entre seu uso (Cert.BR,2012):

Legtimo: quando instalado em um computador pessoal, pelo prprio
dono ou com consentimento deste, com o objetivo de verificar se outras
pessoas o esto utilizando de modo abusivo ou no autorizado.
Malicioso: quando executa aes que podem comprometer a
privacidade do usurio e a segurana do computador, como monitorar e
capturar informaes referentes navegao do usurio ou inseridas em
outros programas (por exemplo, conta de usurio e senha).
Alguns tipos especficos de programas spyware so:
Keylogger (Copia as teclas digitadas!)

capaz de capturar e armazenar as
teclas digitadas pelo usurio no teclado
de um computador.
Dentre as informaes capturadas podem
estar o texto de um e-mail, dados digitados
na declarao de Imposto de Renda e outras
informaes sensveis, como senhas bancrias e nmeros de cartes de
crdito. Em muitos casos, a ativao do ke ylogger condicionada a uma ao
prvia do usurio, como por exemplo, aps o acesso a um site especfico de
comrcio eletrnico ou Internet Banking. Normalmente, o keylogger contm
mecanismos que permitem o envio automtico das informaes capturadas
para terceiros (por exemplo, atravs de e-mails).
26

Screenloggers (Copia as telas acessadas!)

As instituies financeiras desenvolveram os teclados
virtuais para evitar que os keyloggers pudessem
capturar informaes sensveis de usurios. Ento,
foram desenvolvidas formas mais avanadas de
keyloggers, tambm conhecidas como screenloggers
capazes de: armazenar a posio do cursor e a tela
apresentada no monitor, nos momentos em que o
mouse clicado, ou armazenar a regio que circunda
a posio onde o mouse clicado. Normalmente, o
keylogger vem como parte de um programa spyware ou cavalo de troia. Desta
forma, necessrio que este programa seja executado para que o keylogger se
instale em um computador. Geralmente, tais programas vm anexados a e-mails
ou esto disponveis em sites na Internet. Existem ainda programas leitores de
e-mails que podem estar configurados para executar automaticamente arquivos
anexados s mensagens. Neste caso, o simples fato de ler uma mensagem
suficiente para que qualquer arquivo anexado seja executado.
Adware (Advertising software) (Exibe propagandas!)

Projetado
especificamente
para
apresentar
propagandas. Este tipo de programa geralmente
no prejudica o computador. Cert.Br (2103)
destaca que ele pode ser usado para fins legtimos,
quando incorporado a programas e servios, como
forma de patrocnio ou retorno financeiro para
quem desenvolve programas livres ou presta
servios gratuitos. Quando o seu uso feito de
forma maliciosa, pode abrir uma janela do
navegador apontando para pginas de cassinos,
vendas de remdios, pginas pornogrficas, etc. Tambm as propagandas
apresentadas podem ser direcionadas, de acordo com a navegao do usurio e
sem que este saiba que tal monitoramento est sendo realizado.
27

Segundo a ISO/IEC 27000, adware um aplicativo que joga

publicidade para os usurios e/ou rene informaes
sobre o comportamento on line do usurio. O aplicativo pode
ou no ser instalado com o conhecimento ou consentimento do
usurio, ou ser forado para o usurio atravs de termos de
licenciamento para outro software.
Ransomwares (Pede resgate!)

So softwares maliciosos que, ao infectarem um computador, criptografam
todo ou parte do contedo do disco rgido. Os responsveis pelo software
exigem da vtima, um pagamento pelo "resgate" dos dados, conforme
ilustrado a seguir.
McAfee (2014) destacou que o ransonware (chamado por ela de

vrus sequestrador) evoluir em seus mtodos de
propagao, na criptografia e nos alvos visados. Mais
dispositivos mveis sofrero ataques. A empresa prev variantes
de ransonware que consigam contornar programas de software
de segurana instalados em sistemas e que visem
especificamente endpoints (qualquer dispositivo que se conecta
rede corporativa e executa aplicativos baseados em rede, como
laptops, computadores e servidores) com acesso a solues de
armazenamento na nuvem (como Dropbox, Google Drive e
OneDrive). Uma vez infectados esses endpoints, o ransomware
tentar explorar as credenciais de acesso nuvem dos usurios
por eles conectados para tambm infectar os dados armazenados
28

na nuvem. Assim, como os atacantes sequestram a capacidade

de o usurio acessar seus dados, as vtimas tero as opes de
perder suas informaes ou pagar resgate para recuperar o
acesso.
Backdoors (Abre portas!)

Normalmente, um atacante procura
garantir uma forma de retornar a um
computador comprometido, sem precisar
recorrer aos mtodos utilizados na
realizao da invaso. Na maioria dos
casos, tambm inteno do atacante
poder
retornar
ao
computador
comprometido sem ser notado. A esses
programas que permitem o retorno de um invasor a um computador
comprometido, utilizando servios criados ou modificados para este
fim, d-se o nome de backdoor.
A forma usual de incluso de um backdoor consiste na disponibilizao de um
novo servio ou substituio de um determinado servio por uma verso
alterada, normalmente possuindo recursos que permitam acesso remoto
(atravs da Internet). Pode ser includo por um invasor ou atravs de um
cavalo de troia.
Programas de administrao remota, como BackOrifice, NetBus, Sub-Seven,
VNC e Radmin, se mal configurados ou utilizados sem o consentimento do
usurio, tambm podem ser classificados como backdoors.
Rootkit
Tipo de malware cuja principal inteno se camuflar, para assegurar
a sua presena no computador comprometido, impedindo que seu
cdigo seja encontrado por qualquer antivrus. Isto possvel por que
esta aplicao tem a capacidade de interceptar as solicitaes feitas ao
sistema operacional, podendo alterar o seu resultado.
O invasor, aps instalar o rootkit, ter acesso privilegiado ao computador
previamente comprometido, sem precisar recorrer novamente aos mtodos
utilizados na realizao da invaso, e suas atividades sero escondidas do
responsvel e/ou dos usurios do computador.
29

Um rootkit pode fornecer programas com as mais diversas funcionalidades.

Dentre eles, merecem destaque:
programas para esconder atividades e informaes deixadas pelo invasor,

tais como arquivos, diretrios, processos etc.;
backdoors, para assegurar o acesso futuro do invasor ao computador

comprometido;
programas para remoo de evidncias em arquivos de logs;
sniffers, para capturar informaes na rede onde o computador est

localizado, como por exemplo senhas que estejam
trafegando em claro, ou seja, sem qualquer mtodo
de criptografia; scanners, para mapear potenciais
vulnerabilidades em outros computadores.
Bomba Lgica (Logic Bomb)

Programa em que o cdigo malicioso executado quando ocorre um
evento predefinido (como uma data que est se aproximando ou quando
uma determinada palavra ou sequncia de caracteres digitada no teclado
pelo usurio). Uma ao de uma bomba lgica seria, por exemplo, fazer com
que determinadas informaes de um
banco de dados sejam removidas numa
determinada data.
As bombas lgicas so difceis de detectar
porque so frequentemente instaladas por quem tem autorizao no sistema,
seja pelo usurio devidamente autorizado ou por um administrador. Alguns
tipos de vrus so considerados bombas lgicas, uma vez que tm um
circuito de disparo planejado por hora e data.
Trackware
Trackwares so programas que rastreiam a atividade do sistema,
renem informaes do sistema ou rastreiam os hbitos do usurio,
retransmitindo essas informaes a organizaes de terceiros.
As informaes reunidas por esses programas no so confidenciais nem
identificveis. Os programas de trackware so instalados com o consentimento
do usurio e tambm podem estar contidos em pacotes de outro software
instalado pelo usurio.
30

Bolware: um malware que infecta computadores e realiza a falsificao de

dados de boletos bancrios, realizando determinadas mudanas no
documento, alterando muitas vezes a conta em que o valor ser depositado,
criando problemas para o usurio que - sem saber - perde o valor do
pagamento realizado, como tambm para as empresas que iriam receber o
pagamento.
Golpes na Internet
A seguir, apresentamos alguns dos principais golpes aplicados na Internet,
que podem ser cobrados em provas, fazendo meno utilizao de cdigos
maliciosos (malwares):
Phishing (tambm conhecido como Phishing scam, ou apenas scam)

um tipo de fraude eletrnica projetada para roubar informaes
particulares que sejam valiosas para cometer um roubo ou fraude
posteriormente. O golpe de phishing realizado por uma pessoa malintencionada atravs da criao de um website falso e/ou do envio de uma
mensagem eletrnica falsa, geralmente um e-mail ou recado atravs
de scrapbooks como no stio Orkut, entre outros exemplos.
Utilizando de pretextos falsos, tenta enganar o receptor da mensagem e
induzi-lo a fornecer informaes sensveis (nmeros de cartes de crdito,
senhas, dados de contas bancrias, etc.).
As duas figuras seguintes apresentam iscas (e-mails) utilizadas em golpes
de phishing, uma envolvendo o Banco de Brasil e a outra o Serasa.
31

Figura. Isca de Phishing Relacionada ao Banco do Brasil
Figura. Isca de Phishing Relacionada ao SERASA

A palavra phishing (de fishing) vem de uma analogia criada pelos
fraudadores, em que iscas (e-mails) so usadas para pescar
informaes sensveis (senhas e dados financeiros, por exemplo) de
usurios da Internet.
Atualmente, este termo vem sendo utilizado tambm para se referir aos seguintes
casos:
mensagem que procura induzir o usurio instalao de cdigos

maliciosos, projetados para furtar dados pessoais e financeiros;
mensagem que, no prprio contedo, apresenta formulrios para o

preenchimento e envio de dados pessoais e financeiros de usurios.
32

Pharming
O Pharming uma tcnica que utiliza o sequestro ou a "contaminao"
do servidor DNS (Domain Name Server) para levar os usurios a um
site falso, alterando o DNS do site de destino. O sistema tambm pode
redirecionar os usurios para sites autnticos atravs de proxies controlados,
que podem ser usados para monitorar e interceptar a digitao.
Os sites falsificados coletam nmeros de cartes de crdito, nomes de contas,
senhas e nmeros de documentos. Isso feito atravs da exibio de um popup para roubar a informao antes de levar o usurio ao site real. O programa
mal-intencionado usa um certificado auto-assinado para fingir a autenticao
e induzir o usurio a acreditar nele o bastante para inserir seus dados pessoais
no site falsificado. Outra forma de enganar o usurio sobrepor a barra de
endereo
e
status
de
navegador
para
induzi-lo a pensar que est no site legtimo e inserir suas informaes.
Nesse contexto, programas criminosos podem ser instalados nos PCs
dos consumidores para roubar diretamente as suas informaes. Na
maioria dos casos, o usurio no sabe que est infectado, percebendo apenas
uma ligeira reduo na velocidade do computador ou falhas de funcionamento
atribudas a vulnerabilidades normais de software.
Ataques na Internet
Ataque, segundo a norma ISO/IEC 27000 (2009) a tentativa de destruir,
expor, alterar, inutilizar, roubar ou obter acesso no autorizado, ou fazer
uso no autorizado de um ativo.
Os ataques costumam ocorrer na Internet com diversas motivaes (financeiras,
ideolgicas, comerciais, etc.), tendo-se em vista diferentes alvos e usando
variadas tcnicas. Qualquer servio, computador ou rede que seja acessvel via
Internet pode ser alvo de um ataque, assim como qualquer computador com
acesso Internet pode participar de um ataque (CertBr,2012).
A seguir, destacamos algumas das tcnicas utilizadas nos ataques, que podem
ser cobradas na sua prova.
Interceptao de Trfego (Sniffing)

Processo de captura das informaes da rede por meio de um software
de escuta de rede (conhecido como sniffer, farejador ou ainda
capturador de pacote), capaz de interpretar as informaes
transmitidas no meio fsico.
33

Segundo o CertBr (2012), essa tcnica pode ser utilizada de forma:

o Legtima: por administradores de redes, para detectar problemas,
analisar desempenho e monitorar atividades maliciosas relativas aos
computadores ou redes por eles administrados.
o Maliciosa: por atacantes, para capturar informaes sensveis, como
senhas, nmeros de carto de crdito e o contedo de arquivos
confidenciais que estejam trafegando por meio de conexes inseguras,
ou seja, sem criptografia.
Note que as informaes capturadas por esta tcnica so armazenadas na
forma como trafegam, ou seja, informaes que trafegam criptografadas
apenas
sero
teis
ao
atacante
se
ele
conseguir
decodific-las (CertBr,2012).
Sniffers (farejadores ou ainda capturadores de pacotes)

Por padro, os computadores (pertencentes mesma rede) escutam e
respondem somente pacotes endereados a eles. Entretanto, possvel utilizar
um software que coloca a interface num estado chamado de modo promscuo.
Nessa condio o computador pode monitorar e capturar os dados
trafegados atravs da rede, no importando o seu destino legtimo.
Os programas responsveis por capturar os pacotes de rede so
chamados Sniffers, Farejadores ou ainda Capturadores de Pacote. Eles
exploram o fato do trfego dos pacotes das aplicaes TCP/IP no utilizar nenhum
tipo de cifragem nos dados.
Dessa maneira um sniffer atua na rede farejando pacotes na tentativa de
encontrar certas informaes, como nomes de usurios, senhas ou qualquer
outra informao transmitida que no esteja criptografada.
A dificuldade no uso de um sniffer que o atacante precisa instalar o programa
em algum ponto estratgico da rede, como entre duas mquinas, (com o trfego
entre elas passando pela mquina com o farejador) ou em uma rede local com a
interface de rede em modo promscuo.
34

Denial of Service (DoS)

Os ataques de negao de servio (denial of service - DoS) consistem
em impedir o funcionamento de uma mquina ou de um servio especfico. No
caso de ataques a redes, geralmente ocorre que os usurios legtimos de uma
rede no consigam mais acessar seus recursos.
O DoS acontece quando um atacante envia vrios pacotes ou requisies de
servio de uma vez, com objetivo de sobrecarregar um servidor e, como
consequncia, impedir o fornecimento de um servio para os demais usurios,
causando prejuzos.
No DoS o atacante utiliza um computador para tirar de
operao um servio ou computador(es) conectado(s)
Internet!!.
Como exemplo deste tipo de ataque tem-se o seguinte contexto: gerar uma
sobrecarga no processamento de um computador, de modo que o usurio no
consiga utiliz-lo; gerar um grande trfego de dados para uma rede,
ocasionando a indisponibilidade dela; indisponibilizar servios importantes de
um provedor, impossibilitando o acesso de seus usurios.
Cabe ressaltar que se uma rede ou computador sofrer um DoS, isto no
significa que houve uma invaso, pois o objetivo de tais ataques
indisponibilizar o uso de um ou mais computadores, e no invadi-los.
35

CAIU EM PROVA (Polcia Federal)

Um dos mais conhecidos ataques a um computador conectado a uma
rede o de negao de servio (DoS Denial Of Service), que ocorre
quando um determinado recurso torna-se indisponvel devido ao
de um agente que tem por finalidade, em muitos casos, diminuir a
capacidade de processamento ou de armazenagem de dados.
Distributed Denial of Service (DDoS) -> So os ataques coordenados!

Em dispositivos com grande capacidade de processamento, normalmente,
necessria uma enorme quantidade de requisies para que o ataque seja
eficaz. Para isso, o atacante faz o uso de uma botnet (rede de
computadores zumbis sob comando do atacante) para bombardear o
servidor com requisies, fazendo com que o ataque seja feito de forma
distribuda (Distributed Denial of Service DDoS).
No DDoS - ataque de negao de servio distribudo-,
um conjunto de computadores utilizado para tirar de
operao um ou mais servios ou computadores
conectados Internet.
Ataque de Fora bruta (Brute force)

Fora bruta consiste em adivinhar, por tentativa e erro, um nome de usurio
e senha e, assim, executar processos e acessar sites, computadores e servios
em nome e com os mesmos privilgios deste usurio (Certbr,2012). Este um
mtodo muito poderoso para descoberta de senhas, no entanto
extremamente lento porque cada combinao consecutiva de caracteres
comparada. Ex: aaa, aab, aac ..... aaA, aaB, aaC... aa0, aa1, aa2, aa3... aba,
aca, ada...
Qualquer computador, equipamento de rede ou servio que seja acessvel via
Internet, com um nome de usurio e uma senha, pode ser alvo de um ataque
de fora bruta. Dispositivos mveis, que estejam protegidos por senha, alm
de poderem ser atacados pela rede, tambm podem ser alvo deste tipo de
ataque caso o atacante tenha acesso fsico a eles (Certbr,2012).
Se um atacante tiver conhecimento do seu nome de usurio e da sua senha
ele pode efetuar aes maliciosas em seu nome como, por exemplo
(Certbr,2012):
36

trocar a sua senha, dificultando que voc acesse novamente o site ou

computador invadido;
invadir o servio de e-mail que voc utiliza e ter acesso ao contedo das
suas mensagens e sua lista de contatos, alm de poder enviar mensagens
em seu nome;
acessar a sua rede social e enviar mensagens aos seus seguidores contendo
cdigos maliciosos ou alterar as suas opes de privacidade;
invadir o seu computador e, de acordo com as permisses do seu usurio,
executar aes, como apagar arquivos, obter informaes confidenciais e
instalar cdigos maliciosos.
Mesmo que o atacante no consiga descobrir a sua senha, voc pode ter
problemas ao acessar a sua conta caso ela tenha sofrido um ataque de fora
bruta, pois muitos sistemas bloqueiam as contas quando vrias tentativas de
acesso sem sucesso so realizadas (Certbr,2012).
Apesar dos ataques de fora bruta poderem ser realizados manualmente, na
grande maioria dos casos, eles so realizados com o uso de ferramentas
automatizadas facilmente obtidas na Internet e que permitem tornar o ataque
bem mais efetivo (Certbr,2012).
As tentativas de adivinhao costumam ser baseadas em (Certbr,2012):
dicionrios de diferentes idiomas e que podem ser facilmente obtidos na

Internet;
listas de palavras comumente usadas, como personagens de filmes e
nomes de times de futebol;
substituies bvias de caracteres, como trocar "a" por "@" e "o" por "0"';
sequncias numricas e de teclado, como "123456", "qwert" e "1qaz2wsx";
informaes pessoais, de conhecimento prvio do atacante ou coletadas na
Internet em redes sociais e blogs, como nome, sobrenome, datas e
nmeros de documentos.
Um ataque de fora bruta, dependendo de como realizado, pode resultar em

um ataque de negao de servio, devido sobrecarga produzida pela grande
quantidade de tentativas realizadas em um pequeno perodo de tempo
(Certbr,2012).
Pichao ou Desfigurao de pgina (Defacement)

uma tcnica que consiste em alterar o contedo da pgina Web de
um site. Dentre as vulnerabilidades (falhas de segurana) que podem ser
37

exploradas nesse tipo de ataque, podemos citar: erros da aplicao Web ou

no servidor de aplicao Web, etc.
Finalizando, cabe destacar a importncia da proteo de seus dados, fazendo uso

dos mecanismos de proteo disponveis e mantendo o seu computador
atualizado e livre de cdigos maliciosos. Todo o cuidado pouco, para que
voc no seja a prxima vtima!
Spams
So mensagens de correio eletrnico no autorizadas ou no solicitadas,
sendo um dos grandes responsveis pela propagao de cdigos
maliciosos, disseminao de golpes e venda ilegal de produtos.
O spam no propriamente uma ameaa segurana, mas um portador
comum delas. So spams, por exemplo, os e-mails falsos que recebemos como
sendo de rgos como Receita Federal ou Tribunal Superior Eleitoral. Nesse caso,
os spams costumam induzir o usurio a instalar um dos malwares que vimos
anteriormente.
Os spammers (indivduos que enviam spams) utilizam diversas tcnicas para
coletar os endereos de e-mail, desde a compra de bancos de dados at a
produo de suas prprias listas, geradas a partir de (CERTBR, 2013):
ataques de dicionrio: consistem em formar endereos de e-mail a partir

de listas de nomes de pessoas, de palavras presentes em dicionrios e/ou
da combinao de caracteres alfanumricos;
cdigos maliciosos: muitos cdigos maliciosos so projetados para varrer

o computador infectado em busca de endereos de e-mail que,
posteriormente, so repassados para os spammer;
harvesting: consiste em coletar endereos de e-mail por meio de

varreduras em pginas Web e arquivos de listas de discusso, entre outros.
Hoaxes (Boatos)
So as histrias falsas recebidas por e-mail, sites de relacionamentos e
na Internet em geral, cujo contedo, alm das conhecidas correntes, consiste
em apelos dramticos de cunho sentimental ou religioso, supostas campanhas
filantrpicas, humanitrias ou de socorro pessoal ou, ainda, falsos vrus que
ameaam destruir, contaminar ou formatar o disco rgido do computador. A figura
seguinte destaca um exemplo de hoax recebido em minha caixa de e-mails. O
remetente e destinatrios foram embaados de propsito por questo de sigilo.
38

Figura. Exemplo de um hoax (boato) bastante comum na Internet

Outros casos podem ser visualizados na Internet, vide por exemplo o endereo:
http://www.quatrocantos.com/LENDAS/.
Cookies
So
pequenos
arquivos
que
so
instalados em seu computador durante a navegao, permitindo que os
sites (servidores) obtenham determinadas informaes. isto que permite
que alguns sites o cumprimentem pelo nome, saibam quantas vezes voc o
visitou, etc.
A seguir, destacamos alguns dos riscos relacionados ao uso de cookies
(CERTBR, 2013):
39

informaes coletadas pelos cookies podem ser

compartilhadas com outros sites e afetar a sua privacidade;
indevidamente
explorao de vulnerabilidades existentes no computador. Ao acessar

uma pgina da Web o seu navegador disponibiliza uma srie de informaes
sobre a mquina como hardware, sistema operacional e programas instalados.
Os cookies podem ser utilizados para manter referncias contendo estas
informaes e us-las para explorar possveis vulnerabilidades existentes em
seu computador;
autenticao automtica: quando utilizamos

as opes como
Lembre-se de mim e Continuar conectado nos sites visitados, os cookies
guardam essas informaes para autenticaes futuras. Em caso de uma
mquina contaminada, essa prtica pode permitir que outras pessoas se
autentiquem como voc;
coleta de informaes pessoais: dados preenchidos em formulrios Web

tambm podem ser gravados em cookies, coletados por atacantes ou cdigos
maliciosos e indevidamente acessados, caso no estejam criptografados;
coleta de hbitos de navegao: quando voc acessa diferentes sites onde

so usados cookies de terceiros, pertencentes a uma mesma empresa de
publicidade, possvel a esta empresa determinar seus hbitos de navegao
e, assim, comprometer a sua privacidade.
Cdigos Mveis
Utilizados por desenvolvedores para incorporar maior funcionalidade e melhorar
a aparncia das pginas Web. Podem representar riscos quando mal
implementados ou usados por pessoas mal-intencionadas. Exemplos:
programas e applets Java: podem conter falhas de implementao e

permitir que um programa Java hostil viole a segurana do computador;
javaScripts: podem ser usados para causar violaes de segurana em

computadores;
componentes (ou controles) ActiveX: Certbr (2013) destaca que o

navegador Web, pelo esquema de certificados digitais, verifica a
procedncia de um componente ActiveX antes de receb-lo. Ao aceitar o
certificado, o componente executado e pode efetuar qualquer tipo de
ao, desde enviar um arquivo pela Internet at instalar programas (que
podem ter fins maliciosos) em seu computador.
Janelas de Pop-up
Aparecem automaticamente e sem permisso do usurio, sobrepondo a
janela do navegador Web, aps o acesso a um determinado site.
40

Certbr (2013) destaca alguns riscos que podem ser ocasionados nesse
contexto:
apresentar mensagens indesejadas, contendo propagandas ou contedo

imprprio;
apresentar links, que podem redirecionar a navegao para uma pgina falsa
ou induzi-lo a instalar cdigos maliciosos.
Plug-ins, Complementos e Extenses

So programas geralmente desenvolvidos por terceiros e que voc pode
instalar em seu navegador Web ou leitor de e-mails para prover
funcionalidades extras.
Apesar de grande parte desses programas serem confiveis, h a chance de
existir programas especificamente criados para executar atividades maliciosas ou
que, devido a erros de implementao, possam executar aes danosas em seu
computador (Certbr,2013).
Links Patrocinados
O link patrocinado um formato de anncio publicitrio pago, oferecido
por diversas ferramentas de busca como: Google, Yahoo, Bing. Um
anunciante que queira fazer propaganda de um produto ou site paga para
o site de busca apresentar o link em destaque (vide figura seguinte) quando
palavras
especficas
so
pesquisadas.
Quando
se
clica
em
um link patrocinado, o site de busca recebe do anunciante um valor
previamente combinado.
Segundo Certbr (2013), o anunciante geralmente possui uma pgina Web - com
acesso via conta de usurio e senha - para poder interagir com o site de busca,
alterar configuraes, verificar acessos e fazer pagamentos. Este tipo de conta
bastante visado por atacantes, com o intuito de criar redirecionamentos para
pginas de phishing ou contendo cdigos maliciosos e representa o principal
risco relacionado a links patrocinados.
41

Banners de Propaganda
Caso voc tenha uma pgina Web, possvel disponibilizar um espao nela para
que o servio de publicidade apresente banners de seus clientes. Quanto mais a
sua pgina acessada e quanto mais cliques so feitos nos banners por
intermdio dela, mais voc pode vir a ser remunerado.
Um golpe decorrente desse ambiente o malvertising (juno de "malicious"
(malicioso) e "advertsing" (propaganda)). Nesse tipo de golpe so criados
anncios maliciosos e, por meio de servios de publicidade, eles so
apresentados em diversas pginas Web. Geralmente, o servio de
publicidade induzido a acreditar que se trata de um anncio legtimo e, ao
aceit-lo, intermedia a apresentao e faz com que ele seja mostrado em diversas
pginas.
Programas de Distribuio de Arquivos (P2P)
Permitem que os usurios compartilhem arquivos entre si. Exemplos: Kazaa,
Gnutella e BitTorrent. O uso desses programas pode ocasionar: acessos
indevidos a diretrios e arquivos se mal configurado, obteno de arquivos
maliciosos por meio dos arquivos distribudos nesses ambientes, violao
de direitos autorais (com distribuio no autorizada de arquivos de msica,
filmes, textos ou programas protegidos pela lei de direitos autorais).
Compartilhamento de Recursos
Ao fazer um compartilhamento de recursos do seu computador, como diretrios,
discos, e impressoras, com outros usurios, pode estar permitindo:
o acesso no autorizado a recursos ou informaes sensveis;
que seus recursos sejam usados por atacantes, caso no sejam

definidas senhas para controle de acesso ou sejam usadas senhas
facilmente descobertas.
42

Procedimentos de Segurana
Diante desse grande risco, uma srie de procedimentos, considerados como
boas prticas de segurana podem ser implementados para salvaguardar os
ativos (que o que a segurana da informao busca proteger) da organizao
(CertBR, 2006).
Como podemos reduzir o volume de spam que chega at nossas caixas

postais?
A resposta bem simples! Basta navegar de forma consciente na rede. Este
conselho o mesmo que recebemos para zelar pela nossa segurana no trnsito
ou ao entrar e sair de nossas casas.
A seguir destacamos as principais dicas que foram reportadas pelo CertBr (2012)
para que os usurios da Internet desfrutem dos recursos e benefcios da rede,
com segurana:
Preservar as informaes pessoais, tais como: endereos de e-mail, dados

pessoais e, principalmente, cadastrais de bancos, cartes de crdito e senhas.
Um bom exerccio pensar que ningum forneceria seus dados
pessoais a um estranho na rua, ok? Ento, por que liber-la na
Internet?
Ter, sempre que possvel, e-mails separados para assuntos pessoais,

profissionais, para as compras e cadastros on-line. Certos usurios mantm
um e-mail somente para assinatura de listas de discusso.
No caso das promoes da Internet, geralmente, ser necessrio preencher
formulrios. Ter um e-mail para cadastros on-line uma boa prtica
para os usurios com o perfil descrito. Ao preencher o cadastro, procure
desabilitar as opes de recebimento de material de divulgao do site e de
seus parceiros, pois justamente nesse item que muitos usurios atraem
spam, inadvertidamente!
No ser um "clicador compulsivo", ou seja, o usurio deve procurar controlar

a curiosidade de verificar sempre a indicao de um site em um
e-mail suspeito de spam. Pensar, analisar as caractersticas do e-mail e
verificar se no mesmo um golpe ou cdigo malicioso.
No
ser
um
"caa-brindes",
"papa-liquidaes"
ou
"destruidor-de-promoes", rs! Ao receber e-mails sobre brindes, promoes
ou descontos, reserve um tempo para analisar o e-mail, sua procedncia e
verificar no site da empresa as informaes sobre a promoo em questo.
Vale lembrar que os sites das empresas e instituies financeiras tm mantido
alertas em destaque sobre os golpes envolvendo seus servios. Assim, a visita
43

ao site da empresa pode confirmar a promoo ou alert-lo sobre o golpe que

acabou de receber por e-mail!
Ferramentas de combate ao spam (anti-spams) so geralmente

disponibilizadas do lado dos servidores de e-mail, filtrando as mensagens que
so direcionadas nossa caixa postal. Importante que se tenha um filtro antispam instalado, ou ainda, usar os recursos anti-spam oferecidos por seu
provedor de acesso.
Alm do anti-spam, existem outras ferramentas bastante importantes para o

usurio da rede: anti-spyware, firewall pessoal e antivrus, estudadas nesta
aula.
Cuidados com Contas e Senhas
Uma senha pode ser descoberta ao ser usada em computadores

infectados; ao ser usada em sites falsos; por meio de tentativas de
adivinhao; ao ser capturada enquanto trafega na rede, sem estar
criptografada; por meio do acesso ao arquivo onde a senha foi armazenada
caso ela no tenha sido gravada de forma criptografada; com o uso de tcnicas
de engenharia social, como forma a persuadi-lo a entreg-la voluntariamente;
pela observao da movimentao dos seus dedos no teclado ou dos cliques
do mouse em teclados virtuais (CERT.BR,2012).
Uma senha boa, bem elaborada, aquela que difcil de ser

descoberta (forte) e fcil de ser lembrada. No convm que voc crie
uma senha forte se, quando for us-la, no conseguir
record-la. Tambm no convm que voc crie uma senha fcil de ser
lembrada se ela puder ser facilmente descoberta por um atacante.
Alguns elementos que voc no deve usar na elaborao de suas senhas

so: qualquer tipo de dado pessoal (jamais utilizar como senha seu nome,
sobrenomes, nmeros de documentos, placas de carros, nmeros de
telefones, datas que possam ser relacionadas com voc, etc.); sequncias
de teclado; palavras que faam parte de listas.
Alguns elementos que voc deve usar na elaborao de suas senhas so:
nmeros aleatrios; grande quantidade de caracteres; diferentes tipos
de caracteres (CERT.BR,2013).
Mais dicas:
o
crie uma senha que contenha pelo menos oito caracteres, compostos de
letras, nmeros e smbolos.
utilize uma senha diferente para cada servio (por exemplo, uma senha
para o banco, outra para acesso rede corporativa da sua empresa,
outra para acesso a seu provedor de Internet etc.);
44

o
altere a senha com frequncia;
crie tantos usurios com privilgios normais, quantas forem as pessoas

que utilizam seu computador;
utilize o usurio Administrator

estritamente necessrio.
(ou
root)
somente
quando
for
Cuidados com Malware

O combate a cdigos maliciosos poder envolver uma srie de aes, como:
instalao de ferramentas antivrus e antispyware no computador,

lembrando de mant-las atualizadas frequentemente. A banca pode citar
ferramentas antimalware nesse contexto tambm;
no realizar abertura de arquivos suspeitos recebidos por e-mail;
fazer a instalao de patches de segurana e atualizaes corretivas de

softwares e do sistema operacional quando forem disponibilizadas
(proteo contra worms e bots), etc.
*Vrus
Instale e mantenha atualizado um bom programa antivrus;
atualize as assinaturas do antivrus, de preferncia diariamente;
configure o antivrus para verificar os arquivos obtidos pela Internet, discos

rgidos (HDs), flexveis (disquetes) e unidades removveis, como CDs, DVDs
e pen drives;
desabilite no seu programa leitor de e-mails a auto-execuo de arquivos

anexados s mensagens;
no execute ou abra arquivos recebidos por e-mail ou por outras fontes,

mesmo que venham de pessoas conhecidas. Caso seja necessrio abrir o
arquivo, certifique-se que ele foi verificado pelo programa antivrus;
utilize na elaborao de documentos formatos menos suscetveis

propagao de vrus, tais como RTF, PDF ou PostScript etc.
45

* Worms, bots e botnets
Siga todas as recomendaes para preveno contra vrus listadas no item

anterior;
mantenha o sistema operacional e demais softwares sempre atualizados;
aplique todas as correes de segurana (patches) disponibilizadas pelos

fabricantes, para corrigir eventuais vulnerabilidades existentes nos
softwares utilizados;
instale um firewall pessoal, que em alguns casos pode evitar que uma
vulnerabilidade existente seja explorada (observe que o firewall no
corrige as vulnerabilidades!!) ou que um worm ou bot se propague.
*Cavalos de troia, backdoors, keyloggers e spywares
Siga todas as recomendaes para preveno contra vrus, worms e bots;
instale um firewall pessoal, que em alguns casos pode evitar o acesso a

um backdoor j instalado em seu computador etc.;
utilize pelo menos uma ferramenta anti-spyware e mant-la sempre

atualizada.
Cuidados com o seu dispositivo mvel

Ao usar seu dispositivo mvel (CERT.BR,2012):
se disponvel, instale um programa antimalware antes de instalar qualquer

tipo de aplicao, principalmente aquelas desenvolvidas por terceiros;
mantenha o sistema operacional e as aplicaes instaladas sempre com a

verso mais recente e com todas as atualizaes aplicadas;
fique atento s notcias veiculadas no site do fabricante, principalmente as

relacionadas segurana;
seja cuidadoso ao instalar aplicaes desenvolvidas por terceiros, como

complementos, extenses e plug-ins;
seja cuidadoso ao usar aplicativos de redes sociais, principalmente os

baseados em geolocalizao, pois isto pode comprometer a sua privacidade
Ao acessar redes (CERT.BR,2013):
seja cuidadoso ao usar redes Wi-Fi pblicas;
mantenha interfaces de comunicao, como bluetooth, infravermelho e

Wi-Fi, desabilitadas e somente as habilite quando for necessrio;
46

configure a conexo bluetooth para que seu dispositivo no seja identificado

(ou "descoberto") por outros dispositivos (em muitos aparelhos esta opo
aparece como "Oculto" ou "Invisvel").
Proteja seu dispositivo mvel e os dados nele armazenados (CERT.BR,2013):

o mantenha as informaes sensveis sempre em formato criptografado;
o faa backups peridicos dos dados nele gravados;
o mantenha controle fsico sobre ele, principalmente em locais de risco
(procure no deix-lo sobre a mesa e cuidado com bolsos e bolsas
quando estiver em ambientes pblicos);
o use conexo segura sempre que a comunicao envolver dados
confidenciais;
o no siga links recebidos por meio de mensagens eletrnicas;
o cadastre uma senha de acesso que seja bem elaborada e, se possvel,
configure-o para aceitar senhas complexas (alfanumricas);
o configure-o para que seja localizado e bloqueado remotamente, por
meio de servios de geolocalizao (isso pode ser bastante til em casos
de perda ou furto);
o configure-o, quando possvel, para que os dados sejam apagados aps
um determinado nmero de tentativas de desbloqueio sem sucesso (use
esta opo com bastante cautela, principalmente se voc tiver filhos e
eles gostarem de "brincar" com o seu dispositivo).
Elaborao de uma Poltica de Segurana com o objetivo de solucionar

ou minimizar as vulnerabilidades encontradas na organizao.
Nesse contexto, destacamos os principais itens necessrios para uma boa poltica
de segurana:
possuir instalaes fsicas adequadas que ofeream o mnimo necessrio para

garantia da integridade dos dados;
controle de umidade, temperatura e presso;
sistema de aterramento projetado para suportar as descargas eltricas,

extintores de incndio adequados para equipamentos eltricos/eletrnicos;
uso adequado de equipamentos de proteo e segurana tais como: UPS (nobreak), filtro de linha, estabilizador de tenso;
manuteno do computador, limpeza e poltica da boa utilizao;
47

utilizao de sistemas operacionais que controlem o acesso de usurios e que

possuem um nvel de segurana bem elaborado, juntamente com o controle
de senhas;
utilizao de sistemas de proteo de uma rede de computadores, tais como

Firewall (sistema que filtra e monitora as aes na rede);
software antivrus atualizado constantemente;
sistema de criptografia (ferramenta que garante a segurana em todo

ambiente computacional que precise de sigilo em relao s informaes que
manipula). No envio de mensagens uma mensagem criptografada e se for
interceptada dificilmente poder ser lida, somente o destinatrio possuir o
cdigo necessrio;
treinamento e conscientizao de funcionrios para diminuir as falhas

humanas;
realizao de backups (cpia de segurana para salvaguardar os dados,

geralmente mantida em CDs, DVDs, fitas magnticas, pendrives, etc.,
para que possam ser restaurados em caso de perda dos dados
originais).
Procedimentos de Backup (Cpia de segurana)

O procedimento de backup (cpia de segurana) pode ser descrito de forma
simplificada como copiar dados de um dispositivo para o outro com o
objetivo de posteriormente recuperar as informaes, caso haja algum
problema.
Backup ou cpia de segurana: uma cpia de
informaes importantes que est guardada em um
local seguro. Objetivo:
recuperao de dados em caso de falha (perda dos

dados originais);
acesso a verses anteriores das informaes.
Um backup envolve cpia de dados em um meio fisicamente separado do

original, regularmente, de forma a proteg-los de qualquer
eventualidade.
Para a realizao de um backup, podemos utilizar: pendrive, CD, DVD, Blu-ray,
HD externo, pastas compartilhadas na rede, armazenamento na nuvem ou
cloud storage (uso do OneDrive - antigo SkyDrive, Dropbox, ou outro
ambiente), fitas-dat, etc.
48

Seja ele qual for a sua escolha, todos tm a mesma finalidade. A diferena est
na capacidade, vida til e segurana de cada um. No aconselhvel o uso de
outra partio do HD principal ou HD Interno, pois se acontecer algum problema
com a mquina, todos os dados (originais e backup) sero perdidos.
Assim, copiar nossas fotos digitais, armazenadas no HD (disco rgido), para um
DVD fazer backup. Se houver algum problema com o HD ou se acidentalmente
apagarmos as fotos, podemos ento restaurar os arquivos a partir do DVD. Nesse
exemplo, chamamos as cpias das fotos no DVD de cpias de segurana ou
backup.
Veja um link interessante sobre esse tema em:
http://olhardigital.uol.com.br/video/cd,-dvd,-pen-drive,-hd-externo-ou-nuvem-qual-omelhor-para-backup-de-arquivos/24351.
Bem, pessoal, importante destacar tambm que a proteo das informaes

fundamental para o funcionamento cotidiano de qualquer empresa. Na era digital,
a informao um dos ativos mais valiosos, e ter uma estratgia de backup
e recuperao eficiente e gerencivel tornou-se vital para o negcio.
Veja na tabela seguinte mais termos relacionados a esse assunto:
Restore
Processo de recuperao dos dados a partir de um

backup. Permite restaurar verses de arquivos de backup
que tenham sido perdidas, danificadas ou alteradas
acidentalmente. Voc tambm pode restaurar arquivos
individuais, grupos de arquivos ou todos os arquivos
includos no backup.
Imagem
Cpia de todos os dados de um dispositivo de

armazenamento (CD, DVD, HD).
Arquivamento Mover dados que no so mais usados (dados

histricos) para outro lugar, mas que ainda podem ser
acessados em caso de necessidade.
Backup Off
Site
Abrange a replicao de dados de backup em um local

geograficamente separado do local dos sistemas de
produo, alm de fazer backup pela rede remota
(WAN). Motivaes para o backup off-site incluem
recuperao de desastres, consolidao de operaes de
backup e economia.
49

Mtodos de Backup
Existem, basicamente, dois mtodos de Backup.
Atributos de Arquivos
So informaes associadas a arquivos e pastas.
Definem o comportamento do sistema de arquivos.
Podem ser acessados atravs das propriedades (Alt+Enter ou clique com

boto direito do mouse no cone do arquivo ou pasta pelo Windows).
Ao clicar com o boto direito do mouse no cone de um arquivo do Windows, e

selecionar a opo Propriedades; em seguida, guia Geral -> Avanados, ser
exibida uma caixa o arquivo est pronto para ser arquivado, marcada como
padro (No Windows XP, leia-se arquivo morto).
Em uma pasta ir aparecer a caixa Pasta pronta para arquivamento,

conforme ilustrado nas figuras seguintes.
50

Figura. Atributos de arquivos, no Windows 7
Figura. Atributos de uma pasta no Windows 7
A tela seguinte destaca a opo de arquivo morto, obtida ao clicar com o

boto direito do mouse no arquivo intitulado lattes.pdf, de um computador que
possui o sistema operacional Windows Vista.
51

Assim temos:
Quando um arquivo/pasta est com o atributo marcado, significa que
ele dever ser copiado no prximo backup.
Se estiver desmarcado, significa que, provavelmente, j foi feito um backup
deste arquivo.
Tcnicas (Tipos) de Backup
As principais tcnicas (tipos) de Backup, que podem ser combinadas com
os mecanismos de backup on-line e off-line, esto listadas a seguir:
**NORMAL (TOTAL ou GLOBAL)
COPIA TODOS os arquivos e pastas selecionados.
DESMARCA o atributo de arquivamento (arquivo morto): limpa os

marcadores.
Caso necessite restaurar o backup normal, voc s precisa da cpia mais

recente.
Normalmente, este backup executado quando voc cria um conjunto de

backup pela 1 vez.
Agiliza o processo de restaurao, pois somente um backup ser restaurado.
52

**INCREMENTAL
Copia somente os arquivos CRIADOS ou ALTERADOS desde o ltimo

backup normal ou incremental.
O atributo de arquivamento (arquivo morto) DESMARCADO: limpa os

marcadores.
**DIFERENCIAL
Copia somente os arquivos CRIADOS ou ALTERADOS desde o ltimo

backup normal ou incremental.
O atributo de arquivamento (arquivo morto) NO ALTERADO: no limpa

os marcadores.
**CPIA (AUXILIAR ou SECUNDRIA)
Faz o backup de arquivos e pastas selecionados.

os marcadores!
**DIRIO
Copia todos os arquivos e pastas selecionados que foram ALTERADOS

DURANTE O DIA da execuo do backup.

os marcadores!
53

Recuperao do backup
Quanto RECUPERAO do backup:
Para recuperar um backup normal, ser necessria a cpia mais recente do
arquivo ou da fita de backup para restaurar todos os arquivos. Geralmente, o
backup normal executado quando voc cria um conjunto de backup pela
primeira vez.
Se voc estiver executando uma combinao dos backups normal e
diferencial, a restaurao de arquivos e pastas exigir o ltimo backup
normal e o ltimo backup diferencial, j que este contm tudo que diferente
do primeiro.
Se voc utilizar uma combinao dos backups normal e incremental,
precisar do ltimo conjunto de backup normal e de todos os conjuntos de
backups incrementais para restaurar os dados.
O backup dos dados que utiliza uma combinao de backups normal e
incremental exige menos espao de armazenamento e o mtodo mais
rpido. No entanto, a recuperao de arquivos pode ser difcil e lenta porque o
conjunto de backup pode estar armazenado em vrios discos ou fitas.
O backup dos dados que utiliza uma combinao dos backups normal e
diferencial mais longo, principalmente se os dados forem alterados com
frequncia, mas facilita a restaurao de dados, porque o conjunto de backup
geralmente armazenado apenas em alguns discos ou fitas.
Fonte: http://technet.microsoft.com/pt-br/library/cc784306(v=ws.10).aspx
Plano de segurana para a poltica de backup

importante estabelecer uma poltica de backup que obedea a critrios bem
definidos sobre a segurana da informao envolvida, levando-se em
considerao os servios que estaro disponveis; quem pode acessar (perfis de
usurios) as informaes; como realizar o acesso (acesso remoto, local, senhas,
etc.); o que fazer em caso de falha; quais os mecanismos de segurana
(antivrus), dentre outros.
Em suma, o objetivo principal dos backups garantir a disponibilidade
da informao. Por isso a poltica de backup um processo relevante no
contexto de segurana dos dados.
54

Noes sobre Criptografia

A palavra criptografia composta dos termos gregos KRIPTOS (secreto, oculto,
ininteligvel) e GRAPHO (escrita, escrever). Trata-se de um conjunto de conceitos
e tcnicas que visa codificar uma informao de forma que somente o
emissor e o receptor possam acess-la.
Terminologia bsica sobre Criptografia:
Mensagem ou texto: informao que se deseja proteger. Esse texto

quando em sua forma original, ou seja, a ser transmitido, chamado de
texto puro ou texto claro.
Remetente ou emissor: pessoa ou servio que envia a mensagem.
Destinatrio ou receptor: pessoa ou servio que receber a mensagem.
Encriptao: processo em que um texto puro passa, transformando-se em

texto cifrado.
Desencriptao: processo de recuperao de um texto puro a partir de

um texto cifrado.
Canal de comunicao: o meio utilizado para a troca de informaes.
Criptografar: ato de encriptar um texto puro, assim

descriptografar o ato de desencriptar um texto cifrado.
Chave: informao que o remetente e o destinatrio possuem e que ser

usada para criptografar e descriptografar um texto ou mensagem.
como,
Criptografia = arte e cincia de manter mensagens seguras.

Criptoanlise = arte e cincia de quebrar textos cifrados.
Criptologia = combinao da criptografia + criptoanlise.
Criptografia de Chave Simtrica (tambm chamada de Criptografia de

Chave nica, ou Criptografia Privada, ou Criptografia Convencional ou
Criptografia de Chave Secreta)
Utiliza APENAS UMA chave para encriptar e decriptar as mensagens.
Assim, como s utiliza UMA chave, obviamente ela deve ser compartilhada entre
o remetente e o destinatrio da mensagem.
55

Para ilustrar os sistemas simtricos, podemos usar a

imagem de um cofre, que s pode ser fechado e aberto com
uso de UMA chave. Esta pode ser, por exemplo, uma
combinao de nmeros. A mesma combinao abre e
fecha o cofre.
Para criptografar uma mensagem, usamos a chave
(fechamos o cofre) e para decifr-la utilizamos a mesma chave (abrimos o cofre).
Na criptografia simtrica (ou de chave nica) tanto o emissor quanto o

receptor da mensagem devem conhecer a chave utilizada. Ambos fazem
uso da MESMA chave, isto , uma NICA chave usada na codificao e
na decodificao da informao.
A figura seguinte ilustra o processo de criptografia baseada em uma nica chave,
ou seja, a chave que cifra uma mensagem utilizada para posteriormente
decifr-la.
As principais vantagens dos algoritmos simtricos so:
rapidez: um polinmio simtrico encripta um texto longo em milsimos de

segundos;
chaves pequenas: uma chave de criptografia de 128 bits torna um algoritmo

simtrico praticamente impossvel de ser quebrado.
56

A maior desvantagem da criptografia simtrica que a chave utilizada para

encriptar IGUAL chave que decripta. Quando um grande nmero de pessoas
tem conhecimento da chave, a informao deixa de ser um segredo.
O uso de chaves simtricas tambm faz com que sua utilizao no seja adequada
em situaes em que a informao muito valiosa. Para comear, necessrio
usar uma grande quantidade de chaves caso muitas pessoas estejam envolvidas.
Ainda, h o fato de que tanto o emissor quanto o receptor precisam conhecer a
chave usada.
A transmisso dessa chave de um para o outro pode no ser to segura e cair
em "mos erradas", fazendo com que a chave possa ser interceptada e/ou
alterada em trnsito por um inimigo.
Existem vrios algoritmos que usam chaves simtricas, como: o DES (Data
Encryption Standard), o IDEA (International Data Encryption Algorithm), e o RC
(Ron's Code ou Rivest Cipher):
DES (Data Encryption Standard): criado pela IBM em 1977, faz uso de
chaves de 56 bits. Isso corresponde a 72 quadrilhes de combinaes (256
= 72.057.594.037.927.936). um valor absurdamente alto, mas no para
um computador potente. Em 1997, ele foi quebrado por tcnicas de "fora
bruta" (tentativa e erro) em um desafio promovido na internet;
IDEA (International Data Encryption Algorithm): criado em 1991 por

James Massey e Xuejia Lai, o IDEA um algoritmo que faz uso de chaves
de 128 bits e que tem uma estrutura semelhante ao DES;
RC (Ron's Code ou Rivest Cipher): criado por Ron Rivest na empresa

RSA Data Security, esse algoritmo muito utilizado em e-mails e faz uso
de chaves que vo de 8 a 1024 bits. Possui vrias verses: RC2, RC4, RC5
e RC6. Essencialmente, cada verso difere da outra por trabalhar com
chaves maiores.
H ainda outros algoritmos conhecidos, como o AES (Advanced Encryption

Standard) - que baseado no DES, o 3DES, o Twofish e sua variante Blowfish,
por exemplo.
Criptografia de Chave ASSimtrica (tambm chamada de Criptografia
de Chave Pblica)
Os algoritmos de criptografia assimtrica (criptografia de chave pblica)
utilizam DUAS chaves DIFERENTES, uma PBLICA (que pode ser distribuda)
e uma PRIVADA (pessoal e intransfervel). Assim, nesse mtodo cada pessoa
ou entidade mantm duas chaves: uma pblica, que pode ser divulgada
livremente, e outra privada, que deve ser mantida em segredo pelo seu dono.
57

As mensagens codificadas com a chave pblica s podem ser decodificadas com

a chave privada correspondente.
Do ponto de vista do custo computacional, os sistemas simtricos
apresentam melhor desempenho que os sistemas assimtricos, e isso j
foi cobrado em provas vrias vezes!
A figura seguinte ilustra o princpio da criptografia utilizando chave assimtrica.

Tambm conhecida como "Criptografia de Chave Pblica", a tcnica de
criptografia por Chave Assimtrica trabalha com DUAS chaves: uma
denominada privada e outra denominada pblica. Nesse mtodo, uma
pessoa deve criar uma chave de codificao e envi-la a quem for mandar
informaes a ela. Essa a chave pblica. Outra chave deve ser criada para a
decodificao. Esta a chave privada secreta.
Para entender melhor, imagine o seguinte: o USURIO-A criou uma chave pblica
e a enviou a vrios outros sites. Quando qualquer desses sites quiser enviar uma
informao criptografada ao USURIO-A dever utilizar a chave pblica deste.
Quando o USURIO-A receber a informao, apenas ser possvel extra-la com
o uso da chave privada, que s o USURIO-A tem. Caso o USURIO-A queira
enviar uma informao criptografada a outro site, dever conhecer sua chave
pblica.
Entre os algoritmos que usam chaves assimtricas tm-se o RSA (o mais
conhecido), o DSA (Digital Signature Algorithm), o Schnorr (praticamente usado
apenas em assinaturas digitais) e Diffie-Hellman.
58

Figura. Mapa mental relacionado Criptografia ASSimtrica
Hashes Criptogrficos
Hash uma funo matemtica que recebe uma mensagem de entrada e
gera como resultado um nmero finito de caracteres (dgitos verificadores).
uma funo unidirecional. A figura seguinte ilustra alguns exemplos de uso
da funo hash:
Figura. Exemplos de Sadas da Funo
No possvel reconstituir a mensagem a partir do hash.

Pode ser feita em um sentido e no no outro como a relao entre as
chaves em um sistema de criptografia assimtrica.
Alguns algoritmos de hash: MD4, MD5, SHA-1, SHA-256, TIGER, etc.
CERT.BR (2013) destaca que uma funo de resumo (hash) um mtodo

criptogrfico que, quando aplicado sobre uma informao, independentemente
do tamanho que ela tenha, gera um resultado nico e de tamanho fixo, chamado
hash.
59

Usamos o hash (resumo da mensagem ou message digest em ingls) quando

precisamos garantir a integridade de determinada informao; realizar
armazenamento seguro de senhas; garantir a integridade de arquivos, etc.
CERT.BR (2013) destaca o uso do hash para vrios propsitos, como por
exemplo:
verificar a integridade de um arquivo armazenado no computador

ou em backups;
verificar a integridade de um arquivo obtido da Internet (nesse caso,

alguns sites, alm do arquivo em si, disponibilizam o hash correspondente,
para que o usurio verifique se o arquivo foi corretamente transmitido e
gravado). Voc pode utilizar uma ferramenta como a listada na tela
seguinte para calcular o hash do arquivo e, quando julgar necessrio, gerar
novamente este valor. Se os dois hashes forem iguais podemos concluir
que o arquivo no foi alterado. Caso contrrio, temos a um forte indcio de
que o arquivo esteja corrompido ou que foi modificado durante a
transmisso;
Figura. Gerao do hash do arquivo hash.exe.
gerar assinaturas digitais.
HASH (Message Digest Resumo de Mensagem): Mtodo matemtico

UNIDIRECIONAL, ou seja, s pode ser executado em um nico sentido (ex.:
voc envia uma mensagem com o hash, e este no poder ser alterado, mas
apenas conferido pelo destinatrio). Utilizado para garantir a integridade (no
alterao) de dados durante uma transferncia.
60

Assinatura Digital
O glossrio criado pela ICP Brasil destaca que a Assinatura Digital um cdigo
anexado ou logicamente associado a uma mensagem eletrnica que
permite de forma nica e exclusiva a comprovao da autoria de um
determinado conjunto de dados (um arquivo, um e-mail ou uma
transao).
A assinatura digital comprova que a pessoa criou ou concorda com um documento
assinado digitalmente, como a assinatura de prprio punho comprova a autoria
de um documento escrito.
Stallings (2008) destaca que a assinatura digital um mecanismo de
AUTENTICAO que permite ao criador de uma mensagem anexar um cdigo
que atue como uma assinatura.
Em outras palavras, a assinatura digital consiste na criao de um
cdigo, atravs da utilizao de uma chave privada, de modo que a
pessoa ou entidade que receber uma mensagem contendo este cdigo
possa verificar se o remetente mesmo quem diz ser e identificar
qualquer mensagem que possa ter sido modificada.
A verificao da assinatura feita com o uso da chave pblica, pois se o texto
foi codificado com a chave privada, somente a chave pblica
correspondente pode decodific-lo (CERT.BR,2013).
CERT.BR (2013) destaca que para contornar a baixa eficincia caracterstica da
criptografia de chaves assimtricas, a codificao feita sobre o hash e no
sobre o contedo em si, pois mais rpido codificar o hash (que possui tamanho
fixo e reduzido) do que a informao toda.
A assinatura formada tomando o hash (Message Digest Resumo de
Mensagem) da mensagem e criptografando-o com a chave privada do
criador.
Assim, a assinatura digital fornece uma prova inegvel de que uma mensagem
veio do emissor. Para verificar esse requisito, uma assinatura deve ter as
seguintes propriedades:
61

autenticidade: o receptor (destinatrio de uma mensagem) pode

confirmar que a assinatura foi feita pelo emissor;
integridade: qualquer alterao da mensagem faz com que a assinatura
seja invalidada;
no repdio (irretratabilidade): o emissor (aquele que assinou
digitalmente a mensagem) no pode negar que foi o autor da mensagem,
ou seja, no pode dizer mais tarde que a sua assinatura foi falsificada.
importante ressaltar que a segurana do mtodo baseia-se no fato de que a

chave privada conhecida apenas pelo seu dono. Tambm importante
ressaltar que o fato de assinar uma mensagem no significa gerar uma
mensagem sigilosa. Para o exemplo anterior, se Jos quisesse assinar a
mensagem e ter certeza de que apenas Maria teria acesso a seu contedo, seria
preciso codific-la com a chave pblica de Maria, depois de assin-la.
Entendendo os Componentes da Infraestrutura de Chaves Pblicas

(ICP)
PKI (Public Key Infrastrusture) a infraestrutura de chaves pblicas
(ICP). A ICP-Brasil um exemplo de PKI.
Uma Infraestrutura de Chaves Pblicas (ICP) envolve um processo colaborativo

entre vrias entidades: autoridade certificadora (AC), autoridade de registro
(AR), repositrio de certificados e o usurio final.
Autoridade Certificadora (AC)

Vamos ao exemplo da carteira de motorista. Se pensarmos em um certificado
como uma carteira de motorista, a Autoridade Certificadora opera como um tipo
de rgo de licenciamento. Em uma ICP, a AC emite, gerencia e revoga os
certificados para uma comunidade de usurios finais. A AC assume a tarefa
de autenticao de seus usurios finais e ento assina digitalmente as
62

informaes sobre o certificado antes de dissemin-lo. A AC, no final,

responsvel pela autenticidade dos certificados emitidos por ela.
Autoridade de Registro (AR)

Embora a AR possa ser considerada um componente estendido de uma ICP, os
administradores esto descobrindo que isso uma necessidade. medida que
aumenta o nmero de usurios finais dentro de uma ICP, tambm aumenta a
carga de trabalho de uma AC.
A AR serve como uma entidade intermediria entre a AC e seus usurios finais,
ajudando a AC em suas funes rotineiras para o processamento de certificados.
Uma AR necessariamente uma entidade operacionalmente vinculada a uma AC,
a quem compete:
identificar os titulares
equipamentos;
de
certificados:
indivduos,
organizaes
encaminhar solicitaes de emisso e revogao de certificados AC;
guardar os documentos apresentados para identificao dos titulares.
ou
A AC deve manter uma lista de suas ARs credenciadas e estas ARs so

consideradas confiveis, pelo ponto de vista dessa AC.
A AC emite, gerencia e revoga os certificados para uma comunidade

de usurios finais. A AR serve como uma entidade intermediria
entre a AC e seus usurios finais, ajudando a AC em suas funes
rotineiras para o processamento de certificados.
Certificado Digital
Um certificado digital um documento eletrnico que identifica pessoas,
fsicas ou jurdicas, URLs, contas de usurio, servidores (computadores),
dentre outras entidades. Este documento na verdade uma estrutura de
dados que contm a chave pblica do seu titular e outras informaes de
interesse.
63

Ele contm informaes relevantes para a identificao real da entidade a que

visa certificar (CPF, CNPJ, endereo, nome, etc.) e informaes relevantes para
a aplicao a que se destina.
O certificado fica armazenado em dispositivos de segurana, como por ex.:
Token ou Smart Card, ilustrados a seguir.
Token
Smart Card ou carto inteligente

Figura. Ilustrao de dispositivos de segurana
Quanto aos objetivos do certificado digital podemos destacar:
Transferir a credibilidade que hoje baseada em papel e conhecimento para

o ambiente eletrnico.
Vincular uma chave pblica a um titular (eis o objetivo principal).
O certificado digital precisa ser emitido por uma autoridade reconhecida

pelas partes interessadas na transao, conforme visto na prxima figura.
Chamamos essa autoridade de Autoridade Certificadora, ou AC.
64

Figura. Vnculo da Chave Pblica ao Titular

Dentre as informaes que compem a estrutura de um certificado temos:
Verso
Nmero de srie
Nome do titular
Chave pblica do
titular
Perodo de validade
Nome do emissor
Assinatura do
emissor
Algoritmo de
assinatura do
emissor
Extenses
Indica
qual
formato
de
certificado
est sendo seguido.
Identifica unicamente um certificado dentro do
escopo do seu emissor.
Nome da pessoa, URL ou demais informaes que
esto sendo certificadas.
Informaes da chave pblica do titular.
Data de emisso e expirao.
Entidade que emitiu o certificado.
Valor da assinatura digital feita pelo emissor.
Identificador dos algoritmos de hash + assinatura
utilizados pelo emissor para assinar o certificado.
Campo opcional para estender o certificado.
Um exemplo destacando informaes do certificado pode ser visto na figura

seguinte:
65

A ICP-Brasil definiu os tipos de certificados vlidos. Foram definidos 8 tipos

diferentes, divididos entre:
Certificados de assinatura (s assina): A1, A2, A3 e A4;
Certificados de sigilo (assina e criptografa): S1, S2, S3 e S4.
Quanto maior o nmero do certificado, maior o nvel de segurana de seu

par de chaves.
Certificao Digital
Atividade de reconhecimento em meio eletrnico que se caracteriza pelo
estabelecimento de uma relao nica, exclusiva e intransfervel entre
uma chave de criptografia e uma pessoa fsica, jurdica, mquina ou
aplicao. Esse reconhecimento inserido em um Certificado Digital, por
uma Autoridade Certificadora.
66

Para se fazer a certificao de uma assinatura digital, necessria uma

infraestrutura que valide o certificado para as demais entidades. Para
isso, existem dois modelos de certificao que podem ser utilizados. So eles:
Modelo de malha de confiana: baseado na criao de uma rede em que

as entidades pertencentes devem confiar umas nas outras. Cada vez que um
usurio obtm a chave pblica de outro usurio, ele pode verificar a assinatura
digital da chave obtida por meio das demais entidades, garantindo a certeza
de que a chave a verdadeira. Nesse modelo, a confiana controlada
pelo prprio usurio. Alm disso, a confiana no transitiva, ou seja, se
uma entidade A confia em B e B confia em C, isso no significa
necessariamente que A confia em C. Esse modelo utilizado no software PGP,
que faz a certificao de mensagens eletrnicas.
Modelo hierrquico: baseado na montagem de uma hierarquia de

Autoridades Certificadoras (ACs). As ACs certificam os usurios e existe uma
autoridade certificadora raiz (AC-Raiz) que faz a certificao de todas as ACs
de sua jurisdio. Nesse modelo, os certificados digitais precisam da
assinatura digital de uma AC para ser vlido. Caso alguma entidade duvide de
sua validade, basta consultar na AC para verificar se o certificado no foi
revogado. Caso haja dvida da validade do certificado da AC, basta conferir
na AC-Raiz, que, em regra, possui um certificado assinado por si mesmo e
mantida por uma entidade governamental. Esse o modelo utilizado para a
montagem de Infraestruturas de Chaves Pblicas (ICPs).
A seguir, destacamos alguns cuidados extrados de Cert.Br (2013) a

serem tomados para proteger os seus dados, e utilizar de forma
adequada a certificao digital.
Proteja seus dados (CERT.BR, 2013):
utilize criptografia sempre que, ao enviar uma mensagem, quiser

assegurar-se que somente o destinatrio possa l-la;
utilize assinaturas digitais sempre que, ao enviar uma mensagem, quiser
assegurar ao destinatrio que foi voc quem a enviou e que o contedo no
foi alterado;
s envie dados sensveis aps certificar-se de que est usando uma conexo
segura;
utilize criptografia para conexo entre seu leitor de e-mails e os servidores de
e-mail do seu provedor;
cifre o disco do seu computador e dispositivos removveis, como disco externo
e pen-drive. Assim, em caso de perda ou furto do equipamento, seus dados
no podero ser indevidamente acessados;
verifique o hash, quando possvel, dos arquivos obtidos pela Internet.
Seja cuidadoso com as suas chaves e certificados (CERT.BR, 2013):
67

utilize chaves de tamanho adequado. Quanto maior a chave, mais resistente

ela ser a ataques de fora bruta;
no utilize chaves secretas bvias;
certifique-se de no estar sendo observado ao digitar suas chaves e senhas
de proteo;
utilize canais de comunicao seguros quando compartilhar chaves secretas;
armazene suas chaves privadas com algum mecanismo de proteo, como por
exemplo senha, para evitar que outra pessoa faa uso indevido delas;
preserve suas chaves. Procure fazer backups e mantenha-os em local seguro
(se voc perder uma chave secreta ou privada, no poder decifrar as
mensagens que dependiam de tais chaves);
tenha muito cuidado ao armazenar e utilizar suas chaves em computadores
potencialmente infectados ou comprometidos, como em LAN houses,
cybercafs, stands de eventos, etc.;
se suspeitar que outra pessoa teve acesso sua chave privada (por exemplo,
porque perdeu o dispositivo em que ela estava armazenada ou porque algum
acessou indevidamente o computador onde ela estava guardada), solicite
imediatamente a revogao do certificado junto AC que o emitiu.
Seja cuidadoso ao aceitar um certificado digital (CERT.BR, 2013):
mantenha seu sistema operacional e navegadores Web atualizados (alm disto

contribuir para a segurana geral do seu computador, tambm serve para
manter as cadeias de certificados sempre atualizadas);
mantenha seu computador com a data correta. Alm de outros benefcios, isto
impede que certificados vlidos sejam considerados no confiveis e, de forma
contrria, que certificados no confiveis sejam considerados vlidos;
ao acessar um site Web, observe os smbolos indicativos de conexo segura e
leia com ateno eventuais alertas exibidos pelo navegador;
caso o navegador no reconhea o certificado como confivel, apenas prossiga
com a navegao se tiver certeza da idoneidade da instituio e da integridade
do certificado, pois, do contrrio, poder estar aceitando um certificado falso,
criado especificamente para cometer fraudes.
Esteganografia
a tcnica de esconder um arquivo dentro de outro arquivo, podendo
ser uma imagem, documento de texto, planilha eletrnica etc., s que
utilizando criptografia. Ao esconder um arquivo em uma imagem, por
exemplo, ao envi-la para o destinatrio desejado, voc tem que se assegurar
que quem receber a imagem dever conhecer o mtodo de exibio e a senha
utilizada na proteo deste arquivo.
68

Figura. Esteganografia
Aplicativos para Segurana

**Antivrus
Ferramentas preventivas e corretivas, que detectam (e, em muitos casos,
removem) vrus de computador e outros programas maliciosos (como spywares
e cavalos de troia).
No impedem que um atacante explore alguma vulnerabilidade existente no
computador. Tambm no evita o acesso no autorizado a um backdoor instalado
no computador.
interessante manter, em seu computador:
Um antivrus funcionando constantemente (preventivamente).
Esse programa antivrus verificando os e-mails constantemente (preventivo).
O recurso de atualizaes automticas das definies de vrus habilitado.
As definies de vrus atualizadas constantemente (nem que para isso seja

necessrio, todos os dias, executar a atualizao manualmente).
Principais aplicativos comerciais para antivrus:

AVG
Exemplos de edies:
AVG Antivrus FREE 2015,
AVG Antivrus 2015,
AVG Antivrus Business Edition,
69

AVG Internet Security, etc.
Figura. Telas do AVG Internet Security
Figura. Tabela comparativa entre diversos tipos do antivrus AVG
Figura. Interface do AVG para Android
70

AVAST
Exemplos de edies:
Avast!Free Antivrus, etc.
Figura. Interface do Avast! Free Antivrus
Figura. Interface do Avast para Android

Veja mais http://www.techtudo.com.br/noticias/noticia/2015/03/avast-ou-avgveja-qual-e-o-antivirus-mais-completo-para-android.html
Avira
Exemplos de edies:
Avira Free Antivrus,
Avira Antivrus Security, etc.
71

Figura. Tela do Avira Free Antivirus
Figura. Avira para celular Android

Veja mais: http://www.techtudo.com.br/dicas-e-tutoriais/noticia/2015/03/veja5-dicas-para-usar-e-configurar-o-antivirus-avira-no-seu-computador.html
Panda
Exemplos de edies:
Panda Cloud Antivrus,
Panda Free Antivrus, etc.
72

Figura. Tela do antivrus Panda
Figura. Panda Cloud Antivrus => Usa a "nuvem de Internet" como

recurso para proteger o computador do usurio.
Bitdefender
Exemplo: Bitdefender Antivrus, etc.
73

Figura. Interface do Bitdefender Antivrus

Kaspersky
Exemplo de edies:
Kaspersky Anti-Virus,
Kaspersky Security for Android, etc.
Figura. Interface do Kaspersky Antivrus.

Veja mais:
http://brazil.kaspersky.com/
http://www.baixaki.com.br/download/kaspersky-anti-virus.htm
Outros
A lista de aplicativos comerciais no se esgota aqui. Outras opes: TrendMicro
Antivrus, F-Secure Antivrus, McAfee Antivrus, etc.
**AntiSpyware
74

O malware do tipo spyware pode se instalar no computador sem o seu

conhecimento e a qualquer momento que voc se conectar Internet, e pode
infectar o computador quando voc instala alguns programas usando um CD,
DVD ou outra mdia removvel. Um spyware tambm pode ser programado para
ser executado em horrios inesperados, no apenas quando instalado.
A ferramenta antispyware uma forte aliada do antivrus, permitindo a
localizao e bloqueio de spywares conhecidos e desconhecidos. Exemplo
de ferramentas antispyware: Windows Defender, Spybot etc.
**Firewall
A RFC 2828 (Request for Coments n 2828) define o termo firewall como sendo
uma ligao entre redes de computadores que restringe o trfego de
comunicao de dados entre a parte da rede que est dentro ou antes
do firewall, protegendo-a assim das ameaas da rede de computadores
que est fora ou depois do firewall. Esse mecanismo de proteo
geralmente utilizado para proteger uma rede menor (como os computadores
de uma empresa) de uma rede maior (como a Internet).
Um firewall deve ser instalado no ponto de conexo entre as redes, onde, atravs
de regras de segurana, controla o trfego que flui para dentro e para fora da
rede protegida. Pode ser desde um nico computador, um software sendo
executado no ponto de conexo entre as redes de computadores ou um
conjunto complexo de equipamentos e softwares.
Figura. Firewall
Deve-se observar que isso o torna um potencial gargalo para o trfego de dados
e, caso no seja dimensionado corretamente, poder causar atrasos e diminuir a
performance da rede.
Os firewalls so implementados, em regra, em dispositivos que fazem a
separao da rede interna e externa, chamados de estaes guardis (bastion
75

hosts). Quando o bastion host cai, a conexo entre a rede interna e externa
deixa de funcionar.
As principais funcionalidades oferecidas pelos firewalls so:
regular o trfego de dados entre uma rede local e a rede externa no confivel,
por meio da introduo de filtros para pacotes ou aplicaes;
impedir a transmisso e/ou recepo de acessos nocivos ou no autorizados
dentro de uma rede local;
mecanismo de defesa que restringe o fluxo de dados entre redes, podendo
criar um log do trfego de entrada e sada da rede;
proteo de sistemas vulnerveis ou crticos, ocultando informaes de rede
como nome de sistemas, topologia da rede, identificaes dos usurios, etc.
A seguir, alguns exemplos de situaes que um firewall NO poder impedir:
Vrus de
E-mail
Tentativas
de Phishing
Os vrus de e-mail so anexos s mensagens de e-mail.

Segundo Microsoft (2013), o firewall NO pode determinar
o contedo das mensagens e, portanto, no pode
proteg-lo contra esses tipos de vrus. Voc deve usar um
programa antivrus para examinar e excluir anexos suspeitos
de uma mensagem de e-mail antes de abri-la. Mesmo tendo
um programa antivrus, voc no deve abrir um anexo de
e-mail se no estiver completamente certo de que ele seguro.
Phishing uma tcnica usada para induzir usurios de
computador a revelar informaes pessoais ou financeiras,
como uma senha de conta bancria. Uma tentativa de phishing
online comum comea com um e-mail recebido de uma fonte
aparentemente confivel, mas que, na verdade, orienta os
destinatrios a fornecerem informaes para um site
fraudulento. O firewall NO pode determinar o contedo
das mensagens de e-mail e, portanto, NO pode proteglo contra esse tipo de ataque (Microsoft, 2013).
O firewall NO tem a funo de procurar por ataques. Ele

realiza a filtragem dos pacotes e, ento, bloqueia as
transmisses no permitidas. Dessa forma, atua entre a rede
externa e interna, controlando o trfego de informaes que existem
entre elas, procurando certificar-se de que este trfego confivel,
em conformidade com a poltica de segurana do site acessado.
Tambm pode ser utilizado para atuar entre redes com
necessidades de segurana distintas.
76

**Proxy
um servidor que atua como um intermedirio entre a estao de trabalho e a
Internet realizando filtros nos acessos da Internet. Tambm guarda
informaes sobre as pginas visitadas anteriormente em cache.
Normalmente, a comunicao com um proxy utiliza o protocolo HTTP. Tambm
deve ser definida uma porta de comunicao, j que um proxy recebe e envia
dados por uma porta especfica.
Honeypot = Pote de Mel
um sistema que possui falhas de segurana reais ou virtuais, colocadas de

maneira proposital, a fim de que seja invadido e que o fruto desta invaso
possa ser estudado.
Um honeypot um recurso de rede cuja funo de ser atacado e
compremetido (invadido). Significa dizer que um Honeypot poder ser
testado, atacado e invadido. Os honeypots no fazem nenhum tipo de
preveno, os mesmos fornecem informaes adicionais de valor inestimvel
(Lance Spitzner/2003)
No possui dados ou aplicaes importantes para a organizao.

Objetivo: passar-se por equipamento legtimo. No existem falsos positivos
pois o trfego real.
DMZ - Zona Desmilitarizada
Tambm chamada de Rede de Permetro. Trata-se de uma pequena rede

situada entre uma rede confivel e uma no confivel, geralmente entre
a rede local e a Internet.
A funo de uma DMZ manter todos os servios que possuem acesso
externo (navegador, servidor de e-mails) separados da rede local
limitando o dano em caso de comprometimento de algum servio nela presente
por algum invasor. Para atingir este objetivo os computadores presentes em uma
DMZ no devem conter nenhuma rota de acesso rede local. O termo possui
uma origem militar, significando a rea existente entre dois inimigos em uma
guerra.
77

Figura.DMZ
Virtual Private Network (VPN)
Uma Virtual Private Network (VPN) ou Rede Virtual Privada uma rede
privada (rede com acesso restrito) construda sobre a estrutura de uma rede
pblica (recurso pblico, sem controle sobre o acesso aos dados), normalmente
a Internet. Ou seja, ao invs de se utilizar links dedicados ou redes de pacotes
para conectar redes remotas, utiliza-se a infraestrutura da Internet, uma vez que
para os usurios a forma como as redes esto conectadas transparente.
Normalmente as VPNs so utilizadas para interligar empresas em que os custos

de linhas de comunicao direta de dados so elevados. Elas criam tneis
virtuais de transmisso de dados utilizando criptografia para garantir a
privacidade e integridade dos dados, e a autenticao para garantir que os
dados esto sendo transmitidos por entidades ou dispositivos autorizados e no
por outros quaisquer. Uma VPN pode ser criada tanto por dispositivos especficos,
softwares ou at pelo prprio sistema operacional.
Princpios bsicos:
Uma VPN deve prover um conjunto de funes que garantam alguns princpios
bsicos para o trfego das informaes:
1. Confidencialidade tendo-se em vista que estaro sendo usados meios
pblicos de comunicao, imprescindvel que a privacidade da informao seja
garantida, de forma que, mesmo que os dados sejam capturados, no possam
ser entendidos.
2. Integridade na eventualidade da informao ser capturada, necessrio
garantir que no seja alterada e reencaminhada, permitindo que somente
informaes vlidas sejam recebidas.
78

3. Autenticidade somente os participantes devidamente autorizados podem

trocar informaes entre si, ou seja, um elemento da VPN somente reconhecer
informaes originadas por um segundo elemento que tenha autorizao para
fazer parte dela.
Autenticao
Em segurana da informao, a autenticao um
processo que busca verificar a identidade digital do
usurio de um sistema no momento em que ele
requisita um log in (acesso) em um programa ou
computador.
Consideraes sobre as ferramentas de autenticao
Senhas:
Senhas so utilizadas no processo de verificao da identidade do usurio
(log in), assegurando que este realmente quem diz ser. Geralmente,
quando o usurio cadastrado, a senha criptografada antes de ser armazenada
(no recomendado pois permite acesso senha, caso haja quebra do sistema
utilizado) ou se armazena o hash da senha (opo recomendada, pois impede o
acesso a senha que gerou o hash).
Para garantir uma boa segurana s senhas utilizadas, so definidas

algumas regras bsicas:
jamais utilizar palavras que faam parte de dicionrios, nem utilizar

informaes pessoais sobre o usurio (data de nascimento, parte do nome,
etc.);
uma boa senha deve ter pelo menos oito caracteres, de preferncia com
letras, nmeros e smbolos;
a senha deve ser simples de digitar e fcil de lembrar;
usar uma senha diferente para cada sistema utilizado;
tentar misturar letras maisculas, minsculas, nmeros e sinais de
pontuao;
trocar as senhas a cada dois ou trs meses, e sempre que houver
desconfiana de que algum descobriu a senha.
79

No trabalho, deve haver outros cuidados para a proteo do sigilo da

senha, como:
se certificar de no estar sendo observado ao digitar a sua senha;

no fornecer sua senha para qualquer pessoa, em hiptese alguma;
no utilize computadores de terceiros (por exemplo, em LAN houses,
cybercafs, etc.) em operaes que necessitem utilizar suas senhas;
certificar-se de que seu provedor disponibiliza servios criptografados,
principalmente para aqueles que envolvam o fornecimento de uma senha.
No caso do usurio Administrador (ou root), devem ser tomados alguns

cuidados especiais, uma vez que ele detm todos os privilgios em um
computador:
utilizar o usurio Administrador apenas quando for necessrio, ou seja para

realizar comandos que os usurios comuns no sejam capazes de fazer;
elaborar uma senha para o usurio Administrator, com uma segurana
maior que a exigida pelo usurio comum;
criar tantos usurios com privilgios normais, quantas forem as pessoas
que utilizam seu computador, para substituir o uso do usurio Administrator
em tarefas rotineiras.
One-time passwords:
One-time passwords so senhas de uso nico. A senha a ser utilizada pode
ser definida de acordo com o horrio ou a quantidade
de acessos, de forma que no seja possvel a
reutilizao de uma senha. Esse sistema garante
maior segurana, e usado em sistemas de alta
criticidade, como transaes bancrias. Entretanto, o
problema desse sistema a dificuldade de administrao, uma vez que preciso
o uso de ferramentas adicionais para guardar as senhas, como, por exemplo,
tokens de segurana usados por bancos (Token OTP).
80

Smart Cards:
Smart Cards so cartes que possuem um microchip embutido para o
armazenamento e processamento de informaes. O acesso s
informaes, geralmente, feito por meio de uma senha (Cdigo PIN) e h um
nmero limitado de tentavas de acesso sem sucesso. Caso estoure esse limite, o
carto bloqueado, e s reativado por meio
de um outro cdigo (Cdigo PUK), que
tambm tem um nmero limitado de
tentativas de acesso. Caso estoure esse outro
limite, o carto inutilizado.
Fonte:
http://br.bing.com/images/search?q=%e2%80%a2%09Smart+Cards&FORM=HDRSC2#view=d
etail&id=6178033F6B024D4A8F5A90FE6E3FC86F696D9BFD&selectedIndex=4
Token USB:
O token USB um dispositivo alternativo ao uso do
Smart Card, para armazenamento de um par de
chaves pblicas. Eles armazenam as chaves privadas e os
certificados digitais de um usurio de uma ICP, e possuem
suporte para vrios algoritmos de criptografia como o RSA,
DES e 3DES. Esses tokens implementam funes bsicas de
criptografia com objetivo de impedir o acesso direto chave privada de um
usurio.
Modos de Autenticao
A autenticao, em regra, depende de um ou mais modos ou fatores de
autenticao, listados a seguir:
Algo que o usurio
Geralmente so usados meios biomtricos, como

impresso digital, padro retinal, padro de voz,
reconhecimento de assinatura, reconhecimento facial.
Algo que o usurio

TEM
So utilizados objetos especficos como cartes de

identificao, smart cards, tokens USB.
81

Algo que o usurio

CONHECE
So utilizadas senhas fixas, one-time passwords,

sistemas de desafio-resposta.
ONDE o usurio
EST
Quando o acesso a sistemas s pode ser realizado em

uma mquina especfica, cujo acesso restrito.
Autenticao Forte
Autenticao forte consiste na autenticao por mais de um modo, ou seja, da
combinao de mais de uma maneira de autenticao.
Um exemplo disso so as transaes de saque num caixa rpido. Em regra, se

utiliza: algo que voc tem: um carto da conta bancria; e algo que voc sabe:
a senha do carto.
Processos do Controle de Acesso

Na segurana da informao, os processos ou servios que compem o controle
do acesso dos usurios so:
Identificao e Autenticao: fazem parte de um processo de dois

passos que determina quem pode acessar determinado sistema. Na
identificao, o usurio diz ao sistema quem ele (normalmente por meio
do login). Na autenticao, a identidade verificada atravs de uma
credencial (uma senha) fornecida pelo usurio.
Autorizao: aps o usurio ser autenticado, o processo de autorizao
determina o que ele pode fazer no sistema.
Auditoria (Accounting): faz a coleta da informao relacionada
utilizao, pelos usurios, dos recursos de um sistema. Esta informao
pode ser utilizada para gerenciamento, planejamento, cobrana,
responsabilizao do usurio, etc.
82

Protocolos de Autenticao
Para a autenticao de usurios por meio de conexes via Internet, foram
desenvolvidos diversos protocolos que permitem a sua realizao de maneira
segura, de forma a:
impedir a captura da chave secreta por meio de uma escuta de rede

(eavesdropping);
evitar ataques de reproduo (replay attack), ou seja, aqueles em que
um atacante repete uma mensagem anterior de um usurio, fazendo se
passar por ele. Os protocolos de autenticao mais comuns so o Kerberos
e o RADIUS.
83

Memorex
Backdoor: Programa que permite o retorno de um invasor a um computador

comprometido por meio da incluso de servios criados ou modificados para
esse fim. Esses programas so desenvolvidos para abrir uma "porta dos fundos"
no sistema que permite que o criador dessa porta tenha acesso ao sistema e
utilize-o da forma que desejar.
Biometria: Cincia que trata do estudo e reconhecimento automtico de um

indivduo com base em seus traos fsicos (digitais, retina, ris, face, etc.) ou
comportamentais (assinatura, forma de andar, de digitar, etc.) e que utiliza
tcnicas que possibilitam identificar um indivduo. Para tanto, necessrio que
as caractersticas ou traos analisados sejam de carter universal,
suficientemente diferentes dos de outras pessoas, constantes e invariveis com
relao a determinado indivduo, alm de passveis de medio.
Bolware: um malware que infecta computadores e realiza a falsificao de

dados de boletos bancrios, realizando determinadas mudanas no documento,
alterando muitas vezes a conta em que o valor ser depositado, criando
problemas para o usurio que - sem saber - perde o valor do pagamento
realizado, como tambm para as empresas que iriam receber o pagamento.
Botnets: Redes formadas por diversos computadores infectados com bots

(Redes Zumbis). Podem ser usadas em atividades de negao de servio,
esquemas de fraude, envio de spam, etc.
Bugs: Erros de programao ou falhas de segurana em um programa de

software ou pgina da web, correio eletrnico, etc., que geram
vulnerabilidades que podem ser aproveitadas por possveis hackers.
Apesar de no serem um tipo de malware, j que podem ocorrer por vrios
motivos, podem ser utilizados por certos indivduos para fins diversos.
Engenharia Social: Tcnica de ataque que explora as fraquezas humanas e

sociais, em vez de explorar a tecnologia.
Firewall: Um sistema para controlar o acesso s redes de computadores,

desenvolvido para evitar acessos no autorizados em uma rede local ou rede
privada de uma corporao.
Malwares (combinao de malicious software programa malicioso):

programas que executam deliberadamente aes mal-intencionadas
em um computador, como vrus, worms, bots, cavalos de troia,
spyware, keylogger, screenlogger.
Phishing ou scam: Tipo de fraude eletrnica projetada para roubar

informaes particulares que sejam valiosas para cometer um roubo ou fraude
posteriormente.
84

Pharming: Ataque que consiste em corromper o DNS em uma rede de

computadores, fazendo com que a URL de um site passe a apontar para o IP de
um servidor diferente do original.
No ataque de negao de servio (denial of service - DoS) o atacante

utiliza um computador para tirar de operao um servio ou computador(es)
conectado(s) Internet!
No ataque de negao de servio distribudo (DDoS) um conjunto de

computadores utilizado para tirar de operao um ou mais servios ou
computadores conectados Internet.
Spams: Mensagens de correio eletrnico no autorizadas ou no solicitadas

pelo destinatrio, geralmente de conotao publicitria ou obscena.
Sniffer: Ferramenta capaz de interceptar e registrar o trfego de dados em

uma rede de computadores.
VPN (Virtual Private Network Rede Privada Virtual): Rede privada que
usa a estrutura de uma rede pblica (como a Internet) para transferir seus
dados (os dados devem estar criptografados para passarem despercebidos e
inacessveis pela Internet).
Backup (cpia de segurana): envolve a cpia dos dados de um dispositivo

para o outro com o objetivo de posteriormente recuperar as informaes, caso
haja algum problema. Procure fazer cpias regulares dos dados do computador,
para recuperar-se de eventuais falhas e das consequncias de uma possvel
infeco por vrus ou invaso.
85

Texto Cifrado: Dado que foi criptografado. O texto cifrado a sada do processo de
criptografia e pode ser transformado novamente em informao legvel em forma de
texto claro a partir da chave de decifrao.
Texto Claro: Dado que est no estado no cifrado ou decifrado.
A assinatura digital, por si s, NO garante a confidencialidade (sigilo) dos

dados, pois, teoricamente, todos possuem a chave pblica do remetente. Essa
confidencialidade obtida por meio de tcnicas de criptografia, que so utilizadas em
conjunto com as assinaturas digitais!
Os algoritmos de criptografia se dividem em dois grupos bsicos: simtricos e
assimtricos.
Simtricos (ou convencional, chave privada,

chave nica, chave secreta);
Assimtricos (ou chave pblica).
Criptografia Simtrica
Criptografia ASSimtrica
Rpida.
Lenta.
Gerncia e distribuio das chaves

complexa.
Gerncia e distribuio simples.
No oferece assinatura digital.
Oferece assinatura digital.
Fonte: http://www.slideshare.net/edmoreno/livro-criptografia-em-hw-e-sw-isbn-8575220691
Na
criptografia
aSSimtrica
ou
simplesmente
criptografia de chaves pblicas, as entidades
envolvidas possuem duas chaves, uma privada e uma
pblica.
Quando
a
inteno
fazer
uso
da
confidencialidade, o emissor/remetente precisa
conhecer a chave pblica do destinatrio/receptor,
sendo assim, o emissor/remetente criptografa a
mensagem
utilizando
a
chave
pblica
do
destinatrio/receptor,
para
descriptografar
a
mensagem o destinatrio utiliza sua prpria chave
privada.
Quando se quer atestar a autenticidade, o

emissor/remetente precisa assinar o documento a ser
transmitido, exemplo assinatura digital, correio
eletrnico, aplicaes por meio do SSL, entre outros. O
remetente/emissor criptografa o documento utilizando
sua chave privada, e disponibiliza sua chave pblica ao
destinatrio/receptor.
86

Outra aplicao para o uso de criptografias de chaves

pblicas so os certificados digitais. O certificado
digital um documento eletrnico assinado
digitalmente e cumpre a funo de associar uma
pessoa ou entidade a uma chave pblica.
Princpios bsicos da segurana da informao:

Princpio
Conceito
Confidencialidade
Integridade
Disponibilidade
Objetivo
Propriedade de que a
informao no esteja
disponvel ou revelada a
indivduos, entidades ou
processos no
autorizados.
Proteger contra o acesso

no autorizado, mesmo
para dados em trnsito.
Propriedade de
salvaguarda da exatido e
completeza de ativos.
Proteger informao
contra modificao sem
permisso; garantir a
fidedignidade das
informaes.
Propriedade de estar
acessvel e utilizvel sob
demanda por uma
entidade autorizada.
Proteger contra
indisponibilidade dos
servios (ou degradao);
garantir aos usurios com
autorizao, o acesso aos
dados.
87

Mapa Mental sobre Malware. Fonte: Quinto (2015)
Muito bem, aps termos visto os conceitos primordiais de segurana,

dessa primeira aula, importantes para a prova, vamos s questes
88

Lista de Questes Comentadas

1. (Q93491/CESPE/TCE-RN/2015) Julgue o item subsequente, a respeito de
organizao e gerenciamento de arquivos, pastas e programas, bem como de
segurana da informao.
O objetivo do vrus Nimda identificar as falhas de segurana existentes nos
sistemas operacionais para contaminar computadores de empresas e
propagar-se.
Comentrios
O Nimda (que Admin, de trs para frente) um cdigo malicioso do tipo Worm,
apesar de ser chamado de vrus por alguns autores, que se espalhou rapidamente
pela Web em 2001. Ele buscava falhas de segurana nos sistemas operacionais
para contaminar computadores vulnerveis, em seguida, iniciava o processo de
autopropagao para outras mquinas.
Embora pudesse infectar um PC, o seu real propsito era tornar o trfego da web
mais lento. Ele podia navegar pela Internet usando vrios mtodos, como emails, compartilhamentos de rede abertos, sites comprometidos, dentre outros.
A difuso dessa ameaa fez com que alguns sistemas de rede travassem na
medida em que seus recursos eram disponibilizados ao worm.
Gabarito: item correto.
2. (Q63557/CESPE/CEBRASPE/2015/STJ/CONHECIMENTOS BSICOS PARA

TODOS OS CARGOS (EXCETO OS CARGOS 1, 3, 6 E 14) Julgue os itens seguintes,
relativos a computao em nuvem, organizao e gerenciamento de arquivos e
noes de vrus, worms e pragas virtuais.
Os hoaxes so conhecidos como histrias falsas recebidas por email, muitas delas
de cunho dramtico ou religioso, com o objetivo de atrair a ateno da pessoa e
ento direcion-la para algum stio, oferecendo-lhe algo ou solicitando-lhe que
realize alguma ao que possa colocar em risco a segurana de seus dados.
89

Comentrios
Hoaxes (boatos) so as histrias falsas recebidas por e-mail, sites de

relacionamentos e na Internet em geral, cujo contedo, alm das
conhecidas correntes, consiste em apelos dramticos de cunho
sentimental
ou
religioso,
supostas
campanhas
filantrpicas,
humanitrias ou de socorro pessoal ou, ainda, falsos vrus que ameaam
destruir, contaminar ou formatar o disco rgido do computador.
O objetivo dos hoaxes atrair a ateno da pessoa e ento direcion-la para
algum stio, oferecendo-lhe algo ou solicitando-lhe que realize alguma ao que
possa colocar em risco a segurana de seus dados.
A figura seguinte destaca um exemplo de hoax recebido em minha caixa de
e-mails. O remetente e destinatrios foram embaados de propsito por questo
de sigilo.
Figura. Exemplo de um hoax (boato) bastante comum na Internet

Outros casos podem ser visualizados na Internet, vide por exemplo o endereo:
http://www.quatrocantos.com/LENDAS/.
90

3. (CESPE-CEBRASP/2015/MPENAP) Trackwares so programas que

rastreiam a atividade do sistema, renem informaes do sistema ou
rastreiam os hbitos do usurio, retransmitindo essas informaes a
organizaes de terceiros.
Comentrios
A questo est correta. Conforme destaca Norton Security (2014), trackwares
so programas que rastreiam a atividade do sistema, renem
informaes do sistema ou rastreiam os hbitos do usurio,
retransmitindo essas informaes a organizaes de terceiros.
As informaes reunidas por esses programas no so confidenciais nem
identificveis. Os programas de trackware so instalados com o consentimento
do usurio e tambm podem estar contidos em pacotes de outro software
instalado pelo usurio.
4. (CESPE/2015/TRE-GO/Analista Judicirio) Acerca de procedimentos de
segurana e de ensino a distncia, julgue o item subsecutivo.
[Botnet uma rede formada por inmeros computadores zumbis e que
permite potencializar as aes danosas executadas pelos bots, os quais so
programas similares ao worm e que possuem mecanismos de controle
remoto].
Comentrios
De modo similar ao worm, bot (rob) um
programa
capaz
de
se
propagar
automaticamente,
explorando
vulnerabilidades existentes ou falhas na
configurao de software instalado em um
computador. Adicionalmente ao worm, dispe de mecanismos de
comunicao com o invasor, permitindo que o bot seja controlado
remotamente. Os bots esperam por comandos de um hacker, podendo
manipular os sistemas infectados, sem o conhecimento do usurio.
Botnet (tambm conhecida como rede zumbi) uma rede infectada por bots,
sendo composta geralmente por milhares desses elementos maliciosos,
que ficam residentes nas mquinas, aguardando o comando de um
invasor. Quanto mais zumbis (Zombie Computers) participarem da botnet, mais
91

potente ela ser. Um invasor que tenha controle sobre uma botnet pode
utiliz-la para:
coletar informaes de um grande nmero de computadores;
clicar em anncios e gerar receitas fraudulentas;
enviar spam em grande escala;
hospedar sites de phishing;
iniciar ataques de negao de servio que impedem o uso de servios
online etc.
5. (CESPE/2015/TRE-GO/Analista Judicirio) Quanto segurana da

informao, sugere-se que se crie um disco de recuperao do sistema,
assim como se desabilite a autoexecuo de mdias removveis e de
arquivos anexados.
Comentrios
Todas as atividades mencionadas na questo so boas prticas de segurana.
Um disco de recuperao de sistema pode ser usado para reiniciar o
computador. Ele tambm contm ferramentas que podem ajud-lo a recuperar
o sistema operacional do computador de erros srios ou restaurar o
computador usando uma imagem do sistema.
A desativao da autoexecuo de mdias removveis e de arquivos anexados
um dos itens para que se evite a contaminao por malwares (cdigos
maliciosos).
6. (CESPE/2014/TJ-SE/Conhecimentos Bsicos para os Cargos 3,8 a

18) Diversos vrus de computadores so criados diariamente e muitos no so
detectados por ferramentas de antivrus. A respeito desse assunto, julgue os
itens a seguir.
Para tentar prevenir uma infeco por vrus ou malware, algumas ferramentas
de antivrus procedem deteco por heurstica, tcnica de deteco de vrus
baseada no comportamento anmalo ou malicioso de um software.
92

Comentrios
Conforme destaca SBSEG (2011) um dos mecanismos de defesa contra malware
mais populares ainda o antivrus - um programa que varre arquivos ou
monitora aes pr-definidas em busca de indcios de atividades
maliciosas.
Em geral, os antivrus operam de duas formas para identificar cdigo
malicioso: correspondncia de padres em bancos de dados de
assinaturas ou heursticas comportamentais.
Na deteco por assinatura, um arquivo executvel dividido em

pequenas pores (chunks) de cdigo, as quais so comparadas com a base
de assinaturas do antivrus. Assim, se um ou mais chunks do arquivo
analisado esto presentes na base de assinaturas, a identificao
relacionada atribuda ao referido arquivo.
J na deteco por heurstica, um arquivo sob anlise executado

virtualmente em um emulador minimalista e os indcios de comportamento
suspeito so avaliados a fim de se verificar se a atividade realizada pelo
programa pode ser considerada normal ou se um alerta deve ser emitido.
A deteco heurstica permite ao antivrus identificar vrus que no
constem do seu banco de dados, atravs da anlise do
comportamento (anmalo ou malicioso) de um arquivo ou
programa.
O banco de dados de proteo do seu antivrus atualizado com novas

assinaturas ou cdigo de vrus toda vez que voc se conecta a Internet. Porm,
quando o antivrus no conhece o vrus (no possui sua assinatura) ele parte
para a anlise do comportamento do arquivo ou programa suspeito (verificao
heurstica) o que aumenta a gerao de Falsos Positivos.
7. (CESPE/CADE/Nvel Intermedirio/2014) O computador utilizado pelo

usurio que acessa salas de bate-papo no est vulnervel infeco por
93

worms, visto que esse tipo de ameaa no se propaga por meio de programas
de chat.
Comentrios
O malware (cdigo malicioso) do tipo Worm pode infectar mquinas
desprotegidas, a partir da utilizao de programas de chat. A contaminao pode
acontecer, por exemplo, atravs de textos e fotografias enviados atravs do
programa de chat, com o auxlio de encurtadores de URL. Caso uma pessoa clique
em um dos endereos falsos, a mquina contaminada automaticamente pelo
malware, que em seguida pode se espalhar pela rede de contatos do usurio.
Figura. Bate-Papo
Para preveno contra Worms, mantenha o sistema operacional e demais
softwares do equipamento sempre atualizados; aplique todas as correes de
segurana (patches) disponibilizadas pelos fabricantes, para corrigir eventuais
vulnerabilidades existentes nos softwares utilizados; instale um firewall pessoal,
que em alguns casos pode evitar que uma vulnerabilidade existente seja
explorada (observe que o firewall no corrige as vulnerabilidades!) ou que
um worm se propague.
Gabarito preliminar: item errado.
8. (CESPE/CBMCE/2014) A instalao de antivrus no computador de um

usurio que utiliza a mquina em ambiente organizacional suficiente para
impedir o acesso, por terceiros, a informaes privativas do usurio.
Comentrios
O antivrus no suficiente, e o responsvel pela mquina dever adotar
proteo em camadas, com outras medidas complementares, envolvendo por
exemplo cuidado com senhas, utilizao de firewall, implantao de correes de
94

segurana na mquina, etc. Todo cuidado pouco, quando se fala de segurana,

ento fique atento para que a prxima vtima no seja voc!!
Gabarito: item errado.
9. (CESPE/DPF-Departamento de Polcia Federal/Administrador/2014)

A ativao do firewall do Windows impede que emails com arquivos anexos
infectados com vrus sejam abertos na mquina do usurio.
Comentrios
O firewall pode bloquear as comunicaes por diversos critrios, previamente
estabelecidos, no entanto, no faz anlise de vrus de anexos de e-mail, pois os
vrus so pacotes de dados como outros quaisquer. Para identificar um vrus
necessria uma anlise mais criteriosa, que onde o antivrus atua.
Figura. Firewall
10. (CESPE/DPF/Departamento
de
Polcia
Federal/
Administrador/2014) Phishing um tipo de malware que, por meio de uma
mensagem de email, solicita informaes confidenciais ao usurio, fazendo-se
passar por uma entidade confivel conhecida do destinatrio.
Comentrios
Phishing um tipo de golpe eletrnico cujo objetivo o furto de dados
pessoais, tais como nmero de CPF e dados bancrios. Cespe/UnB destaca que
o phishing lidera hoje o roubo de identidade de usurios, engenharia social e
usa mensagens de email para solicitar informaes confidenciais dos clientes.
95

Nota: Trata-se de um tipo de golpe e no um tipo de malware, como afirmado

pela banca, ento acredito que caberia recurso nessa questo.
Gabarito: item correto, mas tenho ressalvas!
de
Polcia
Federal/Agente
Administrativo/2014) Um dos objetivos da segurana da informao
manter a integridade dos dados, evitando-se que eles sejam apagados ou
alterados sem autorizao de seu proprietrio.
Comentrios
A integridade destaca que a informao deve ser mantida na condio em que
intencionais, indevidas ou acidentais. Em outras palavras, a garantia de que
a informao que foi armazenada a que ser recuperada.
A INTEGRIDADE busca
proteo contra codificao no autorizada.
Modificao somente pelas partes devidamente autorizadas.
Em outras palavras, a integridade de dados refere-se consistncia dos dados.
A segurana da informao visa proteg-la, garantindo que esses dados no
sejam apagados ou alterados por terceiros (Cespe/UnB).
12. (CESPE/MDIC/Nvel Intermedirio/2014) O comprometimento do

desempenho de uma rede local de computadores pode ser consequncia da
infeco por um worm.
Comentrios
Worm (verme) um malware (software malicioso) capaz de se propagar
automaticamente atravs de vrias estruturas de redes (como e-mail, web,
bate-papo, compartilhamento de arquivos em redes locais etc.), enviando cpias
de si mesmo de computador para computador. O objetivo principal dos Worms
no prejudicar ou danificar computadores e/ou arquivos em um sistema, mas,
96

simplesmente, propagar-se, o que gera uma sobrecarga excessiva no trfego da

rede, tornando-a mais lenta.
13. (CESPE/MDIC/Nvel Intermedirio/2014) Os antivrus, alm da sua

finalidade de detectar e exterminar vrus de computadores, algumas vezes
podem ser usados no combate a spywares.
Comentrios
Isso possvel em alguns casos, mas para ter uma segurana maior, instale
um anti-spyware.
14. (CESPE/PRF/Policial Rodovirio Federal/2013) Ao contrrio de um

vrus de computador, que capaz de se autorreplicar e no necessita de um
programa hospedeiro para se propagar, um worm no pode se replicar
automaticamente e necessita de um programa hospedeiro.
Comentrios
O Worm capaz de se autorreplicar (faz cpias de si mesmo) e no
necessita de um programa hospedeiro para se propagar. J o vrus um
programa (ou parte de um programa) que se anexa a um arquivo de programa
qualquer (como se o estivesse parasitando) e depois disso procura fazer cpias
de si mesmo em outros arquivos semelhantes. Quando o arquivo aberto na
memria RAM, o vrus tambm , e, a partir da se propaga infectando, isto ,
inserindo cpias de si mesmo e se tornando parte de outros programas e arquivos
de um computador. O vrus depende da execuo do programa ou arquivo
hospedeiro para que possa se tornar ativo e dar continuidade ao processo de
infeco, e, portanto, NO se replica automaticamente como os worms.
15. (CESPE/CPRM/Analista
em
Geocincias/Conhecimentos
Bsicos/2013) Com relao a vrus de computadores e malwares em geral,
97

julgue o item seguinte. Malwares propagam-se por meio de rede local, discos
removveis, correio eletrnico e Internet.
Comentrios
O termo Malware abrange todos os tipos de programa especificamente
desenvolvidos para executar aes maliciosas em um sistema.
A seguir
destacamos algumas das diversas formas como os cdigos maliciosos podem
infectar ou comprometer um computador:
pela explorao de vulnerabilidades existentes nos programas instalados;
pela auto-execuo de mdias removveis infectadas, como pendrives;
pelo acesso a pginas Web maliciosas, utilizando navegadores vulnerveis;
pela ao direta de atacantes que, aps invadirem o computador, incluem

arquivos contendo cdigos maliciosos;
pela execuo de arquivos previamente infectados, obtidos em anexos de

mensagens eletrnicas, via mdias removveis, em pginas Web ou
diretamente de outros computadores (atravs do compartilhamento de
recursos em rede local/ Internet).
Uma vez instalados, os cdigos maliciosos (malware) passam a ter acesso aos
dados armazenados no computador e podem executar aes em nome dos
usurios, de acordo com as permisses de cada usurio.
16.
(CESPE/CPRM/Tcnico
de
Bsicos/2013) No que diz respeito segurana da informao, julgue os
itens que se seguem. A compactao de arquivos evita a contaminao desses
arquivos por vrus, worms e pragas virtuais.
Comentrios
A compactao tenta reduzir o tamanho dos arquivos (isso nem sempre ir
acontecer) no disco rgido no seu computador. No entanto, se o arquivo estiver
infectado por alguma praga virtual, ao ser compactado a situao permanecer
sem alteraes e tal fato no ir evitar a contaminao por malwares.
98

17. (CESPE/CPRM/Tcnico
de
Bsicos/2013) No que diz respeito segurana da informao, julgue os
itens que se seguem. Ao suspeitar da presena de vrus no computador, o
usurio no deve encaminhar arquivos anexos em emails nem compartilhar
pastas via rede de computadores, devendo, primeiramente, executar o
antivrus, que ir rastrear e eliminar o vrus.
Comentrios
Em caso de suspeita de vrus, o usurio deve executar ferramentas antimalware,
como o antivrus, devidamente atualizadas, para tentar eliminar o cdigo
malicioso da mquina. Enquanto essa ao no realizada, deve-se evitar a
realizao de atividades que iro contribuir para propagar a infeco para outros
computadores, como compartilhar pastas via rede, enviar e-mails com anexos,
etc.
18. (CESPE/TRT-10RJ/Analista/2013) As caractersticas bsicas da

segurana da informao confidencialidade, integridade e disponibilidade
no so atributos exclusivos dos sistemas computacionais.
Comentrios
Inicialmente, vamos relembrar as trs caractersticas bsicas da segurana da
informao.
Caracterstica
Conceito
Objetivo
Confidencialidade
Trata-se da preveno
do vazamento da
informao para
usurios ou sistemas
que no esto
autorizados a ter
acesso a tal
informao.
Proteger contra o acesso no

autorizado, mesmo para
dados em trnsito.
Integridade
Propriedade de
salvaguarda da
Proteger informao contra

modificao sem permisso;
99

Disponibilidade
exatido e completeza
de ativos.
garantir a fidedignidade das

informaes.
Trata-se da
manuteno da
disponibilizao da
informao, ou seja, a
informao precisa
estar disponvel
quando se necessita.
Proteger contra
indisponibilidade dos servios
(ou degradao); garantir aos
usurios com autorizao, o
acesso aos dados.
Essas caractersticas (tambm conhecidas como atributos ou princpios)

atuam sobre quaisquer ativos de segurana da informao, que o que a
segurana da informao quer proteger, como servidores, estaes de trabalho,
sistemas computacionais, etc.
19. (CESPE/TJ-DFT/Tcnico
Judicirio/rea
Administrativa/2013)
Backdoor uma forma de configurao do computador para que ele engane
os invasores, que, ao acessarem uma porta falsa, sero automaticamente
bloqueados.
Comentrios
O backdoor uma falha de segurana de um dado programa ou sistema
operacional que permite a invaso de um dado sistema por um hacker de modo
que ele obtm total controle do computador.
20.
(CESPE/PCDF/ESCRIVO/2013) Rootkit um tipo de praga virtual de
difcil deteco, visto que ativado antes que o sistema operacional tenha sido
completamente inicializado.
Comentrios
Certbr (2012) define rootkit como: um conjunto de programas e tcnicas
que permite esconder e assegurar a presena de um invasor ou de outro
cdigo malicioso em um computador comprometido". Avast (2010) destaca
100

que os rootkits so ativados antes que o sistema operacional do

computador esteja totalmente iniciado, renomeando arquivos de sistema, o
que torna difcil sua remoo. Eles so normalmente utilizados para instalar
arquivos ocultos, que servem para interceptar e redirecionar dados
privados para o computador de quem criou o malware."
ESET (2013), no entanto, ressalta que os boot rootkits atacam o setor de
inicializao e modificam a sequncia de inicializao para se carregar na
memria antes de carregar o sistema operacional original, o que est em
conformidade com a assertiva. Mas, tambm cita outros rootkits que atacam
diretamente os aplicativos, ao invs do sistema operacional, utilizando-se de
patches ou injeo de cdigo para isso. Assim, conforme visto, tem-se rootkits
que no so ativados antes que o sistema operacional tenha sido completamente
inicializado, o que tornaria a assertiva errada. Apesar disso, a banca considerou
a viso citada por Avast (2010), que torna a assertiva vlida.
21. (CESPE/ANS/Cargo3/2013) A contaminao por pragas virtuais ocorre

exclusivamente quando o computador est conectado Internet.
Comentrios
Em uma rede local sem acesso Internet, por exemplo, a contaminao de
computadores tambm poder ocorrer, o que j invalida a assertiva.
22. (CESPE/ANS/Cargo3/2013) Para conectar um computador a uma rede

wireless, imprescindvel a existncia de firewall, haja vista que esse
componente, alm de trabalhar como modem de conexo, age tambm como
sistema de eliminao de vrus.
Comentrios
O firewall no atua como antivrus e nem como modem de conexo.
A RFC 2828 (Request for Coments n 2828) define o termo firewall como sendo
uma ligao entre redes de computadores que restringe o trfego de
comunicao de dados entre a parte da rede que est dentro ou antes
do firewall, protegendo-a assim das ameaas da rede de computadores
101

que est fora ou depois do firewall. Esse mecanismo de proteo

geralmente utilizado para proteger uma rede menor (como os computadores
de uma empresa) de uma rede maior (como a Internet).
23. (CESPE/TJ-DFT/Nvel Superior/2013) Worm um software que, de

forma semelhante a um vrus, infecta um programa, usando-o como
hospedeiro para se multiplicar e infectar outros computadores.
Comentrios
Um worm um software semelhante a um vrus de computador, no entanto ele
no infecta um programa e o usa como hospedeiro, ele auto-replicante. Quando
digo auto-replicante, quero dizer que ele cria cpias funcionais de si mesmo e
infecta outros computadores.
24. (CESPE/Cmara dos Deputados/ Arquiteto e Engenheiros/2012) Os

worms, assim como os vrus, infectam computadores, mas, diferentemente
dos vrus, eles no precisam de um programa hospedeiro para se propagar.
Comentrios
Tantos os Worms como os vrus so considerados como malwares (softwares
maliciosos que infectam computadores), no entanto, diferentemente do vrus, o
Worm no embute cpias de si mesmo em outros programas ou arquivos e no
necessita ser explicitamente executado para se propagar.
25. (CESPE/PREVIC/Tcnico Administrativo Nvel Mdio/2011) Entre

os atributos de segurana da informao, incluem-se a confidencialidade, a
integridade, a disponibilidade e a autenticidade. A integridade consiste na
propriedade que limita o acesso informao somente s pessoas ou
entidades autorizadas pelo proprietrio da informao.
102

Comentrios
Os quatro princpios considerados centrais ou principais, mais comumente
cobrados em provas, esto listados na questo, a saber: a confidencialidade, a
integridade, a disponibilidade e a autenticidade ( possvel encontrar a sigla
CIDA, ou DICA, para fazer meno a estes princpios!).
D
isponibilidade
ntegridade
onfidencialidade
utenticidade
Figura. Mnemnico DICA

a confidencialidade (sigilo) que evitar o acesso no autorizado s
informaes, permitindo somente que pessoas explicitamente autorizadas
possam acess-las. A integridade evita alteraes nos dados, garantindo que a
informao que foi armazenada a que ser recuperada.
26. (CESPE/TRT-10RJ/Analista/2013) A transferncia de arquivos para

pendrives constitui uma forma segura de se realizar becape, uma vez que
esses equipamentos no so suscetveis a malwares.
Comentrios
Antes de responder a afirmao importante saber que os softwares maliciosos,
ou malwares, so todos os tipos de software cujo objetivo provocar danos ao
sistema. Dentro desse grupo o exemplo mais conhecido o dos vrus, que so
programas que atuam sobre outros programas, como uma aplicao ou mesmo
um registro do sistema, modificam seu comportamento e consequentemente
provocam danos dos mais diversos.
Com a popularizao dos pendrives desenvolvedores de softwares comearam a
produzir verses portteis das aplicaes (programas), incluindo os programas
maliciosos (malwares). Logo, a afirmao est incorreta, pois dispositivos como
pendrives, apesar de prticos e teis em backups (cpias de segurana) no so
imunes aos malwares.
103

27. (CESPE/MPE-PI/Tcnico Ministerial/rea: Administrativa/2012)

Worms so programas maliciosos que se autorreplicam em redes de
computadores anexados a algum outro programa existente e instalado em
computadores da rede.
Comentrios
Os Worms (vermes) tm a capacidade de se propagarem automaticamente
atravs de redes, enviando cpias de si mesmo de computador para
computador. Sua propagao se d atravs da explorao de vulnerabilidades
existentes ou falhas na configurao de softwares instalados em computadores.
Nesse caso, diferentemente do vrus, o Worm no embute cpias de si mesmo
em outros programas ou arquivos e no necessita ser explicitamente executado
para se propagar.
28. (Cespe/Cmara dos Deputados/ Arquiteto e Engenheiros/2012)

Para garantir que os computadores de uma rede local no sofram ataques
vindos da Internet, necessria a instalao de firewalls em todos os
computadores dessa rede.
Comentrios
O firewall um mecanismo que atua como defesa de um computador ou de
uma rede, permitindo controlar o acesso ao sistema por meio de regras e a
filtragem de dados. A vantagem do uso de firewalls em redes que somente um
computador pode atuar como firewall, no sendo necessrio instal-lo em cada
mquina conectada.
29. (Cespe/Cmara dos Deputados/ Arquiteto e Engenheiros/2012) Ao

se realizar um procedimento de backup de um conjunto de arquivos e pastas
selecionados, possvel que o conjunto de arquivos e pastas gerado por esse
procedimento ocupe menos espao de memria que aquele ocupado pelo
conjunto de arquivos e pastas de que se fez o backup.
Comentrios
104

Alguns programas que realizam o backup de um determinado conjunto de

arquivos e pastas podem oferecer a possibilidade de se realizar a compactao
dos dados originais com a finalidade de se reduzir o espao ocupado na mdia
de destino.
30. (Cespe/ANS/Cargo3/2013) Manter arquivos importantes armazenados

em diretrios fisicamente distintos um hbito que garante a recuperao dos
dados em caso de sinistro.
Comentrios
Essa questo tima! A pegadinha est no termo "fisicamente
distintos". Neste caso, a origem dos dados um local diferente do destino, e
isso j garante que um becape ser feito e poder ser utilizado na recuperao
dos dados caso ocorra um sinistro.
31. (CESPE/TJ-DFT/2013/Tcnico
Judicirio/rea
Administrativa)
Autenticidade um critrio de segurana para a garantia do reconhecimento
da identidade do usurio que envia e recebe uma informao por meio de
recursos computacionais.
Comentrios
Autenticidade um critrio de segurana para a garantia do reconhecimento
da identidade somente do usurio que envia uma informao por meio de
recursos computacionais.
32. (CESPE/TJ-DFT/2013/Nvel Superior) A autoridade certificadora, que

atua como um tipo de cartrio digital, responsvel por emitir certificados
digitais.
Comentrios
105

Uma Autoridade Certificadora (AC) responsvel por emitir, distribuir, renovar,

revogar e gerenciar certificados digitais. Alm disso, ela verifica se o titular do
certificado possui a chave privada que corresponde chave pblica que faz parte
do certificado.
33. (CESPE/TJ-DFT/2013/Nvel Superior) Firewall um equipamento para

redes que armazena e gerencia o software de antivrus, para garantir que toda
a rede estar isenta de ataques maliciosos realizados por programas de
computador.
Comentrios
Firewalls so aplicativos ou equipamentos de rede que ficam entre links e
computadores, de modo a filtrar e checar todo o fluxo de dados que transita entre
ambos, auxiliando na proteo e aumento de confidencialidade e integridade da
rede.
34. (CESPE/TJ-DFT/2013/Tcnico Judicirio/rea Administrativa) A

criptografia, mecanismo de segurana auxiliar na preservao da
confidencialidade de um documento, transforma, por meio de uma chave de
codificao, o texto que se pretende proteger.
Comentrios
A Criptografia uma cincia de escrever mensagens cifrados ou em cdigo, sendo
muito utilizada como mecanismo de segurana de informao, de modo a auxiliar
na minimizao dos riscos associados ao uso da Internet para troca de
informao.
35. (CESPE/2013/ESCRIVO DE POLCIA FEDERAL) Imediatamente aps

a realizao de um becape incremental utilizando-se um software prprio de
becape, h expectativa de que esteja ajustado o flag archive de todos os
arquivos originais que foram copiados para uma mdia de becape.
106

Comentrios
O becape increMental Marca o arquivo como "backupeado", isso implica
desmarcar o flag archive.
Gabarito preliminar: item correto.
36. (CESPE/2002/POLCIA FEDERAL/PERITO: REA 3 . COMPUTAO)

Sistemas criptogrficos so ditos simtricos ou de chave secreta quando a
chave utilizada para cifrar a mesma utilizada para decifrar. Sistemas
assimtricos ou de chave pblica utilizam chaves distintas para cifrar e
decifrar.
Algoritmos
simtricos
so
geralmente
mais
eficientes
computacionalmente que os assimtricos e por isso so preferidos para cifrar
grandes massas de dados ou para operaes online.
Comentrios
A criptografia de chave simtrica (tambm chamada de criptografia de
chave nica, ou criptografia privada, ou criptografia convencional) utiliza
APENAS UMA chave para encriptar e decriptar as mensagens. Assim, como s
utiliza UMA chave, obviamente ela deve ser compartilhada entre o remetente e o
destinatrio da mensagem.
Para ilustrar os sistemas simtricos, podemos usar a imagem de um cofre, que
s pode ser fechado e aberto com uso de uma chave. Esta pode ser, por exemplo,
uma combinao de nmeros. A mesma combinao abre e fecha o cofre. Para
criptografar uma mensagem, usamos a chave (fechamos o cofre) e para decifrla utilizamos a mesma chave (abrimos o cofre).
Os sistemas simtricos tm o problema em relao distribuio de chaves, que

devem ser combinadas entre as partes antes que a comunicao segura se inicie.
Esta distribuio se torna um problema em situaes em que as partes no
podem se encontrar facilmente. Mas h outros problemas: a chave pode ser
interceptada e/ou alterada em trnsito por um inimigo.
107

Na criptografia simtrica (ou de chave nica) tanto o emissor quanto

o receptor da mensagem devem conhecer a chave utilizada!!
Nos algoritmos de criptografia assimtrica (criptografia de chave pblica)

utilizam DUAS chaves DIFERENTES, uma PBLICA (que pode ser distribuda)
e uma PRIVADA (pessoal e intransfervel). Assim, nesse mtodo cada pessoa
ou entidade mantm duas chaves: uma pblica, que pode ser divulgada
livremente, e outra privada, que deve ser mantida em segredo pelo seu dono. As
mensagens codificadas com a chave pblica s podem ser decodificadas com a
chave privada correspondente.
Do ponto de vista do custo computacional, os sistemas simtricos
apresentam melhor desempenho que os sistemas assimtricos, e isso j
foi cobrado em provas vrias vezes!
37.
(CESPE/Agente Tcnico de Inteligncia rea de Tecnologia da
Informao ABIN/2010) A chave assimtrica composta por duas
chaves criptogrficas: uma privada e outra pblica.
Comentrios
A criptografia de chave pblica (aSSimtrica) utiliza duas chaves: uma
denominada privada e outra denominada pblica. Nesse mtodo, uma pessoa
deve criar uma chave de codificao e envi-la a quem for mandar informaes
a ela. Essa a chave pblica. Outra chave deve ser criada para a decodificao.
Esta a chave privada secreta.
38. (CESPE/Oficial Tcnico de Inteligncia-rea de Arquivologia ABIN/2010) A respeito de mecanismos de segurana da informao, e
considerando que uma mensagem tenha sido criptografada com a chave
pblica de determinado destino e enviada por meio de um canal de
comunicao, pode-se afirmar que a mensagem criptografada com a chave
pblica do destinatrio garante que somente quem gerou a informao
criptografada e o destinatrio sejam capazes de abri-la.
108

Comentrios
Quando se criptografa a mensagem com a chave pblica do destinatrio ela
poder ser aberta (descriptografada) apenas pelo destinatrio, j que s ele
tem acesso sua chave privada. O remetente (quem gerou a mensagem) j
tem acesso mensagem em claro, no criptografada.
39.
(CESPE/2010/Caixa/Tcnico Bancrio) O destinatrio de uma
mensagem assinada utiliza a chave pblica do remetente para garantir que
essa mensagem tenha sido enviada pelo prprio remetente.
Comentrios
Esta uma das utilidades do uso de criptografia assimtrica. O emissor utiliza
sua chave privada para encriptar a mensagem, sendo possvel a decriptao
apenas com sua chave pblica. Assim, pode-se confirmar que o emissor quem
diz ser, pois somente a chave dele permite decriptar a mensagem.
Complementando, a questo refere-se ao princpio da autenticidade e
exatamente isso, a mensagem criptografada com a chave privada do
remetente, e descriptografada pelo destinatrio/receptor utilizando a chave
pblica do remetente/emissor.
40. (CESPE/2010/Caixa/Tcnico Bancrio) A assinatura digital facilita a
identificao de uma comunicao, pois baseia-se em criptografia simtrica de
uma nica chave.
Comentrios
A assinatura digital facilita a identificao de uma comunicao, mas baseia-se
em criptografia assimtrica com par de chaves: uma pblica e outra privada.
41.
(CESPE/TCU/Tcnico Federal de Controle Externo/2012) Por meio
de certificados digitais, possvel assinar digitalmente documentos a fim de
garantir o sigilo das informaes contidas em tais documentos.
109

Comentrios
A assinatura digital, por si s, no garante a confidencialidade (sigilo) dos dados,
pois, teoricamente, todos possuem a chave pblica do remetente. Essa
confidencialidade obtida por meio de tcnicas de criptografia, que so utilizadas
em conjunto com as assinaturas digitais!
A assinatura digital fornece uma prova inegvel de que uma mensagem veio do
emissor. Para verificar esse requisito, uma assinatura deve ter as seguintes
propriedades:
autenticidade: o receptor (destinatrio de uma mensagem) pode

confirmar que a assinatura foi feita pelo emissor;
integridade: qualquer alterao da mensagem faz com que a assinatura
seja invalidada;
no repdio (irretratabilidade): o emissor (aquele que assinou
digitalmente a mensagem) no pode negar que foi o autor da mensagem,
ou seja, no pode dizer mais tarde que a sua assinatura foi falsificada.
42. (CESPE/AL-ES/Procurador/2011) Caso o usurio acesse uma pgina

na Internet e lhe seja apresentado um certificado digital vlido, correto
inferir que a conexo utilizada por esse usurio estar cifrada com o uso de
pendrive.
Comentrios
A conexo utilizada estar cifrada com o uso do protocolo HTTPS (HyperText
Transfer Protocol Secure - Protocolo de Transferncia de Hipertexto Seguro). O
HTTPS trata-se de uma variao do protocolo HTTP que utiliza mecanismos de
segurana. Ele permite que os dados sejam transmitidos atravs de uma
conexo criptografada e que se verifique a autenticidade do servidor e do cliente.
Diferentemente do HTTP (porta 80), a porta padro usada pelo protocolo HTTPS
a porta 443. Geralmente o HTTPS utilizado para evitar que a informao
transmitida entre o cliente e o servidor seja visualizada por terceiros. O endereo
dos recursos na Internet que esto sob o protocolo HTTPS inicia-se por 'https://'.
Um bom exemplo o uso do HTTPS em sites de compras online.
110

43. (CESPE/Oficial Tcnico de Inteligncia/rea de Desenvolvimento e

Manuteno de Sistemas ABIN/2010) As assinaturas digitais atuam sob
o princpio bsico da confidencialidade da informao, uma vez que conferem
a autenticao da identidade do remetente de uma mensagem. No entanto,
tal soluo no garante a integridade da informao, que deve ser conferida
por meio de tecnologias adicionais de criptografia.
Comentrios
Com as assinaturas digitais temos garantida a autenticidade, a integridade e o
no repdio.
44. (CESPE/Tcnico
Bancrio/Carreira
administrativaCaixa
Econmica Federal-NM1/2010) Para assinar uma mensagem digital, o
remetente usa uma chave privada.
Comentrios
O remetente usa sua chave privada para realizar um processo matemtico com
a mensagem, gerando caracteres de assinatura (chamamos aqui de assinar a
mensagem).
45.
(CESPE/AL-ES/Cargos de Nvel Mdio/2011)
Existem diversos
dispositivos que protegem tanto o acesso a um computador quanto a toda
uma rede. Caso um usurio pretenda impedir que o trfego com origem na
Internet faa conexo com seu computador pessoal, a tecnologia adequada a
ser utilizada nessa situao ser o IpV6.
Comentrios
IpV6 a verso mais atual do protocolo IP. O dispositivo a ser utilizado para
impedir que o trfego com origem na Internet faa conexo com o computador
pessoal do usurio o Firewall, que tem por objetivo aplicar uma poltica de
segurana a um determinado ponto da rede.
111

46. (CESPE/Tcnico Administrativo Nvel Mdio PREVIC/2011)

Firewall o elemento de defesa mais externo na intranet de uma empresa e
sua principal funo impedir que usurios da intranet acessem qualquer rede
externa ligada Web.
Comentrios
O firewall tem como principal funo impedir a entrada de usurios no
autorizados e no impedir a sada (os usurios da intranet podem acessar sites
na Internet, sem problemas), apesar de poder ser configurado dessa forma
tambm!!
47. (CESPE/CBM-DF/Oficial
Bombeiro
Militar
Complementar/Informtica/2011) Em uma VPN (virtual private network)
que utilize a tcnica de tunelamento, os contedos dos pacotes que trafegam
pela Internet so criptografados, ao passo que, para permitir o roteamento
eficiente dos pacotes, os seus endereos de origem e de destino permanecem
no criptografados.
Comentrios
Na tcnica de tunelamento, os dados e endereos esto em um nico pacote de
dados, que est criptografado. Assim, todo o contedo do pacote
criptografado, inclusive os endereos de origem e de destino.
48. (CESPE/MPE-PI/2012) A adoo de crachs para identificar as pessoas

e controlar seus acessos s dependncias de uma empresa um mecanismo
adequado para preservar a segurana da informao da empresa.
Comentrios
Essa uma das medidas necessrias para resguardar a segurana na empresa.
49. (CESPE/Nvel Superior - PREVIC/2011) Por meio do uso de certificados

digitais, possvel garantir a integridade dos dados que transitam pela
112

Internet, pois esses certificados so uma forma confivel de se conhecer a

origem dos dados.
Comentrios
Integridade no tem relao com a origem dos dados. Integridade diz respeito
no alterao dos dados. Conhecer a origem est ligado ao princpio da
autenticidade.
50.
(CESPE/TJ-ES/CBNS1_01/Superior/2011) Tecnologias como a
biometria por meio do reconhecimento de digitais de dedos das mos ou o
reconhecimento da ris ocular so exemplos de aplicaes que permitem
exclusivamente garantir a integridade de informaes.
Comentrios
A biometria est sendo cada vez mais utilizada na segurana da informao,
permitindo a utilizao de caractersticas corporais, tais como: impresses
digitais, timbre de voz, mapa da ris, anlise geomtrica da mo, etc., em
mecanismos de autenticao. O princpio da integridade destaca que a
informao deve ser mantida na condio em que foi liberada pelo seu
proprietrio, e teremos outros mecanismos na organizao para mant-la. A
biometria, no entanto, garante-nos a autenticidade, relacionada capacidade de
garantir a identidade de uma pessoa (fsica ou jurdica) que acessa as
informaes
do
sistema
ou
de
um
servidor
(computador).
51. (CESPE/TJ-ES/CBNS1_01/Superior/2011) Um filtro de phishing

uma ferramenta que permite criptografar uma mensagem de email cujo teor,
supostamente, s poder ser lido pelo destinatrio dessa mensagem.
Comentrios
O filtro de phishing ajuda a proteg-lo contra fraudes e riscos de furto de dados
pessoais, mas a ferramenta no permite criptografar mensagens!
113

52. (CESPE/TJ-ES/CBNS1_01/Superior/2011)
O
conceito
de
confidencialidade refere-se a disponibilizar informaes em ambientes digitais
apenas a pessoas para as quais elas foram destinadas, garantindo-se, assim,
o sigilo da comunicao ou a exclusividade de sua divulgao apenas aos
usurios autorizados.
Comentrios
A confidencialidade a garantia de que a informao no ser conhecida por
quem no deve, ou seja, somente pessoas explicitamente autorizadas podero
acess-las.
53. (CESPE/TJ-ES/CBNM1_01/Nvel Mdio/2011) necessrio sempre

que o software de antivrus instalado no computador esteja atualizado e ativo,
de forma a se evitar que, ao se instalar um cookie no computador do usurio,
essa mquina fique, automaticamente, acessvel a um usurio intruso
(hacker), que poder invadi-la.
Comentrios
Recomenda-se que o antivrus esteja sempre atualizado e ativo no computador
do usurio. No entanto, um cookie no permite que a mquina seja acessvel por
um intruso, pois se trata de um arquivo texto que o servidor Web salva na
mquina do usurio para armazenar as suas preferncias de navegao, dentre
outros.
54. (CESPE/TJ-ES/CBNM1_01/Nvel Mdio/2011) Os pop-ups so vrus

que podem ser eliminados pelo chamado bloqueador de pop-ups, se este
estiver instalado na mquina. O bloqueador busca impedir, por exemplo, que
esse tipo de vrus entre na mquina do usurio no momento em que ele
consultar um stio da Internet.
Comentrios
Pop-Up no vrus, trata-se de uma janela aberta sobre a janela principal de um
site, mostrando uma propaganda ou aviso sobre um determinado tema.
114

O bloqueador de pop-ups pode ser habilitado no menu Ferramentas ->

Bloqueador de Pop-ups do Internet Explorer.
55. (CESPE/Tcnico Administrativo - MPU/2010) De acordo com o

princpio da disponibilidade, a informao s pode estar disponvel para os
usurios aos quais ela destinada, ou seja, no pode haver acesso ou
alterao dos dados por parte de outros usurios que no sejam os
destinatrios da informao.
Comentrios
Nesta questo houve uma confuso de conceitos. A segurana da informao est
envolta por trs princpios bsicos: Confidencialidade, Integridade e
Disponibilidade. A disponibilidade, como o nome sugere, refere-se garantia de
que a informao estar disponvel quando dela se quiser fazer uso. Naturalmente
a informao deve estar disponvel a quem de direito, como manda o princpio da
confidencialidade. Quem garante o sigilo da informao este ltimo princpio,
enquanto o princpio que garante que a informao est intacta (que no possui
modificaes no autorizadas) o princpio da integridade. Esta a trade CID
Confidencialidade, Integridade e Disponibilidade. Observe o quadro a seguir:
Princpio bsico
Conceito
Objetivo
Confidencialidade
Propriedade de que a
informao no esteja
Proteger contra o acesso no
disponvel ou revelada a
autorizado, mesmo para dados
indivduos, entidades ou
em trnsito.
processos
no
autorizados.
115

Proteger informao contra

Propriedade
de modificao sem permisso;
salvaguarda da exatido
e completeza de ativos. garantir a fidedignidade das
informaes.
Integridade
Disponibilidade
Proteger
contra
Propriedade de estar indisponibilidade dos servios
acessvel e utilizvel sob (ou degradao);
demanda
por
uma Garantir aos usurios com
entidade autorizada.
autorizao, o acesso aos
dados.
56. (CESPE/TJ-ES/CBNM1_01/Nvel Mdio/2011) Confidencialidade,

disponibilidade e integridade da informao, que so conceitos importantes de
segurana da informao em ambiente digital, devem estar presentes na
gesto e no uso de sistemas de informao, em benefcio dos cidados e dos
fornecedores de solues.
Comentrios
Os princpios da segurana da informao listados na questo so:
Confidencialidade: a garantia de que a informao no ser conhecida por

quem no deve, ou seja, somente pessoas explicitamente autorizadas podero
acess-las;
Integridade: destaca que a informao deve ser mantida na condio em que

intencionais ou acidentais.
Disponibilidade: a garantia de que a informao deve estar disponvel,

sempre que seus usurios (pessoas e empresas autorizadas) necessitarem,
no importando o motivo;
Cabe ressaltar que a perda de pelo menos um desses princpios j ir

comprometer o ambiente da empresa, portanto devem estar presentes na gesto
e no uso de sistemas de informao, em benefcio dos cidados e dos
fornecedores de solues.
116

57. (CESPE/Nvel Superior - STM/2011) Um firewall pessoal instalado no

computador do usurio impede que sua mquina seja infectada por qualquer
tipo de vrus de computador.
Comentrios
O Firewall no protege contra infeco de vrus e sim contra o acesso no
autorizado (invases), quem protege contra infeco de vrus o Antivrus.
58. (CESPE/Analista Judicirio - Tecnologia da Informao-TREMT/2010) A confidencialidade tem a ver com salvaguardar a exatido e a
inteireza das informaes e mtodos de processamento. Para tanto,
necessrio que os processos de gesto de riscos identifiquem, controlem,
minimizem ou eliminem os riscos de segurana que podem afetar sistemas de
informaes, a um custo aceitvel.
Comentrios
Primeiro, a confidencialidade a garantia de segredo. A afirmao fala da
Integridade. Outra coisa que no se fala em ELIMINAR riscos e sim minimizar.
59. (CESPE/ANALISTA- TRE.BA/2010) Confidencialidade, disponibilidade e

integridade da informao so princpios bsicos que orientam a definio de
polticas de uso dos ambientes computacionais. Esses princpios so aplicados
exclusivamente s tecnologias de informao, pois no podem ser seguidos
por seres humanos.
Comentrios
Os seres humanos tambm so considerados como ativos em segurana da
informao e merecem tambm uma ateno especial por parte das
organizaes. Alis, os usurios de uma organizao so considerados at como
o elo mais fraco da segurana, e so os mais vulnerveis. Portanto, eles tm
que seguir as regras predefinidas pela poltica de segurana da organizao, e
esto sujeitos a punies para os casos de descumprimento das mesmas! No
adianta investir recursos financeiros somente em tecnologias e esquecer de
treinar os usurios da organizao, pois erros comuns (como o uso de um pen
117

drive contaminado por vrus na rede) poderiam vir a comprometer o ambiente

que se quer proteger!
60. (CESPE/Analista de Saneamento/Analista de Tecnologia da

Informao Desenvolvimento - EMBASA/2010) O princpio da
autenticao em segurana diz que um usurio ou processo deve ser
corretamente identificado. Alm disso, todo processo ou usurio autntico est
automaticamente autorizado para uso dos sistemas.
Comentrios
Cuidado aqui! A segunda parte da afirmao est incorreta. Um usurio ou
processo (programa) autenticado no est automaticamente apto para uso dos
sistemas. Isto depender do nvel de acesso que ele possuir. possvel, por
exemplo, que um usurio tenha permisso apenas para visualizar a caixa de
mensagens dele ou, ainda, para ler os arquivos de sua pasta particular.
61. (CESPE/Tcnico
Administrativo
ANATEL/2009)
Com
o
desenvolvimento da Internet e a migrao de um grande nmero de sistemas
especializados de informao de grandes organizaes para sistemas de
propsito geral acessveis universalmente, surgiu a preocupao com a
segurana das informaes no ambiente da Internet. Acerca da segurana e
da tecnologia da informao, julgue o item a seguir.
-> A disponibilidade e a integridade so itens que caracterizam a segurana
da informao. A primeira representa a garantia de que usurios autorizados
tenham acesso a informaes e ativos associados quando necessrio, e a
segunda corresponde garantia de que sistemas de informaes sejam
acessveis apenas queles autorizados a acess-los.
Comentrios
O conceito de disponibilidade est correto, mas o conceito de integridade no. O
conceito apresentado na questo foi o de confidencialidade: garantia de que
sistemas de informaes sejam acessveis apenas queles autorizados a acesslos.
118

(CESPE/Escrivo de Polcia Federal/2010)
Considerando a figura anterior, que apresenta uma janela com algumas

informaes da central de segurana do Windows de um sistema computacional
(host) de uso pessoal ou corporativo, julgue os trs prximos itens, a respeito de
62. (CESPE/2010/Escrivo de Polcia Federal) A atualizao automtica

disponibilizada na janela exibida acima uma funo que est mais
relacionada distribuio de novas funes de segurana para o sistema
operacional do que distribuio de novos patches (remendos) que corrijam
as vulnerabilidades de cdigo presentes no sistema operacional.
Comentrios
A atualizao automtica disponibilizada na janela est relacionada distribuio
de novos patches (remendos/correes de segurana) que corrijam as
vulnerabilidades (fragilidades) de cdigo presentes no sistema operacional.
63. (CESPE/2010/Escrivo de Polcia Federal) Na figura anterior, o firewall
assinalado como ativado, em sua configurao padro, possui um conjunto
maior de regras para bloqueio de conexes originadas de fora do computador
do que para as conexes originadas de dentro do computador.
119

Comentrios
Cumpre a funo de controlar os acessos. Uma vez estabelecidas suas regras,
passam a gerenciar tudo o que deve entrar e sair da rede corporativa, tendo um
conjunto maior de regras para bloqueio de conexes oriundas de fora do
computador.
64. (CESPE/2010/Escrivo de Polcia Federal) A configurao da proteo
contra malwares exposta na figura indica que existe no host uma base de
assinaturas de vrus instalada na mquina.
Comentrios
A figura destaca que no existe antivrus instalado no equipamento, e tambm
mostra que a proteo contra spyware e outro malware encontra-se
desatualizada. No possvel destacar pela figura que existe no host
(equipamento) uma base de assinaturas de vrus.
65. (CESPE/2010/Caixa/Tcnico
Bancrio/Administrativo)
Uma
autoridade de registro emite o par de chaves do usurio que podem ser
utilizadas tanto para criptografia como para assinatura de mensagens
eletrnicas.
Comentrios
a autoridade de registro recebe as solicitaes de certificados dos usurios e as
envia autoridade certificadora que os emite.
120

Componentes de uma ICP

Uma Infraestrutura de Chaves Pblicas (ICP) envolve um processo
colaborativo entre vrias entidades: autoridade certificadora (AC),
autoridade de registro (AR), repositrio de certificados e o usurio
final.
Autoridade Certificadora (AC)

Em uma ICP, a AC emite, gerencia e revoga os certificados para uma
comunidade de usurios finais. A AC assume a tarefa de autenticao de seus
usurios finais e ento assina digitalmente as informaes sobre o certificado
antes de dissemin-lo. A AC, no final, responsvel pela autenticidade dos
certificados emitidos por ela.
Autoridade de Registro (AR)
Embora a AR possa ser considerada um componente estendido de uma ICP,
os administradores esto descobrindo que isso uma necessidade. medida
que aumenta o nmero de usurios finais dentro de uma ICP, tambm
aumenta a carga de trabalho de uma AC.
A AR serve como uma entidade intermediria entre a AC e seus
usurios finais, ajudando a AC em suas funes rotineiras para o
processamento de certificados.
Uma AR necessariamente uma entidade operacionalmente vinculada a uma
AC, a quem compete:
identificar os titulares de certificados: indivduos, organizaes ou

equipamentos;
encaminhar solicitaes de emisso e revogao de certificados AC;
guardar os documentos apresentados para identificao dos titulares.
121

A AC deve manter uma lista de suas ARs credenciadas e estas ARs so

consideradas confiveis, pelo ponto de vista dessa AC.
Resumindo...
a AC emite, gerencia e revoga os certificados para uma comunidade
de usurios finais. A AR serve como uma entidade intermediria
entre a AC e seus usurios finais, ajudando a AC em suas funes
rotineiras para o processamento de certificados.
66. (CESPE/Tcnico Judicirio/Programao de Sistemas - TREMT/2010) Disponibilidade a garantia de que o acesso informao seja
obtido apenas por pessoas autorizadas.
Comentrios
A disponibilidade garante que a informao estar l quando for preciso acessla. Obviamente, o acesso s ser permitido a quem de direito. O texto da questo
afirma que a disponibilidade a garantia de que o acesso informao seja obtido
apenas por pessoas autorizadas, o que a garantia da confidencialidade.
67. (CESPE/TRE-MT/Tcnico
Judicirio
Programao
de
Sistemas/2010) Confidencialidade a garantia de que os usurios
autorizados obtenham acesso informao e aos ativos correspondentes
Comentrios
O texto refere-se disponibilidade. A informao deve estar disponvel a quem
de direito.
68. (CESPE/UERN/Agente
Tcnico
Administrativo/2010)
A
disponibilidade da informao a garantia de que a informao no ser
alterada durante o trnsito entre o emissor e o receptor, alm da garantia de
que ela estar disponvel para uso nesse trnsito.
122

Comentrios
Nem uma coisa nem outra. A disponibilidade garante que a informao estar
disponvel aos usurios com direito de acesso quando for preciso, mas no local
apropriado para o armazenamento.
69. (CESPE/AGU/Contador/2010) Um arquivo criptografado fica protegido
contra contaminao por vrus.
Comentrios
O arquivo criptografado no elimina a possibilidade de infeco por vrus.
Lembre-se de que a criptografia modifica os smbolos do texto, mas no impede
a incluso de vrus na sequncia.
70. (CESPE/UERN/Agente Tcnico Administrativo/2010) Cavalo de troia
um programa que se instala a partir de um arquivo aparentemente
inofensivo, sem conhecimento do usurio que o recebeu, e que pode oferecer
acesso de outros usurios mquina infectada.
Comentrios
O Trojan Horse (Cavalo de Troia) pode utilizar um mecanismo de propagao
bastante eficiente, escondendo-se dentro de um aplicativo til.
71.
(CESPE/UERN/Agente Tcnico Administrativo/2010) O uso de um
programa
anti-spam
garante
que
software
invasor
ou
usurio
mal-intencionado no acesse uma mquina conectada a uma rede.
Comentrios
Anti-spam refere-se aos e-mails indesejados apenas. um software que filtra
os e-mails recebidos separando os no desejados.
123

72. (CESPE/SEDU-ES/Agente de Suporte Educacional/2010) Vrus um

programa que pode se reproduzir anexando seu cdigo a um outro programa,
da mesma forma que os vrus biolgicos se reproduzem.
Comentrios
Os vrus so pequenos cdigos de programao maliciosos que se agregam a
arquivos e so transmitidos com eles. Quando o arquivo aberto na memria
RAM, o vrus tambm , e, a partir da se propaga infectando, isto , inserindo
cpias de si mesmo e se tornando parte de outros programas e arquivos de um
computador. Assim, do mesmo modo como um vrus biolgico precisa de material
reprodutivo das clulas hospedeiras para se copiar, o vrus de computador
necessita de um ambiente propcio para sua existncia... Esse ambiente o
arquivo a quem ele (o vrus) se anexa.
73. (CESPE/SEDU-ES/Agente de Suporte Educacional/2010) Cavalosde-troia, adwares e vermes so exemplos de pragas virtuais.
Comentrios
Todos os trs programas mencionados so exemplos de pragas virtuais, conforme
visto a seguir:
O Cavalo de Troia um programa no qual um cdigo malicioso ou prejudicial

est contido dentro de uma programao ou dados aparentemente inofensivos
de modo a poder obter o controle e causar danos.
Adware (Advertising software) um software projetado para exibir

anncios de propaganda em seu computador. Esses softwares podem ser
maliciosos!
Worms: so programas parecidos com vrus, mas que na verdade so capazes

de se propagarem automaticamente atravs de redes, enviando cpias de si
mesmo de computador para computador (observe que os worms apenas se
copiam, no infectam outros arquivos, eles mesmos so os arquivos!!).

74. (CESPE/SEDU-ES/AGENTE DE SUPORTE EDUCACIONAL/2010)
Backup o termo utilizado para definir uma cpia duplicada de um arquivo,
um disco, ou um dado, feita com o objetivo de evitar a perda definitiva de
arquivos importantes.
124

Comentrios
O termo backup (cpia de segurana) est relacionado s cpias feitas de um
arquivo ou de um documento, de um disco, ou um dado, que devero ser
guardadas sob condies especiais para a preservao de sua integridade no que
diz respeito tanto forma quanto ao contedo, de maneira a permitir o resgate
de programas ou informaes importantes em caso de falha ou perda dos
originais.
75. (CESPE/EMBASA/Analista de Saneamento - Analista de TI rea:
Desenvolvimento/2010) O princpio da autenticao em segurana diz que
um usurio ou processo deve ser corretamente identificado. Alm disso, todo
processo ou usurio autntico est automaticamente autorizado para uso dos
sistemas.
Comentrios
por meio da autenticao que se confirma a identidade do usurio ou processo
(programa) que presta ou acessa as informaes. No entanto, afirmar que TODO
processo ou usurio autntico est automaticamente autorizado falsa, j que
essa autorizao depender do nvel de acesso que ele possui. Em linhas gerais,
autenticao o processo de provar que voc quem diz ser. Autorizao
o processo de determinar o que permitido que voc faa depois que voc foi
autenticado!!
76. (CESPE/TRE-MT/Analista
Judicirio
Tecnologia
da
Informao/2010) Uma das vantagens da criptografia simtrica em relao
assimtrica a maior velocidade de cifragem ou decifragem das mensagens.
Embora os algoritmos de chave assimtrica sejam mais rpidos que os de
chave simtrica, uma das desvantagens desse tipo de criptografia a
exigncia de uma chave secreta compartilhada.
Comentrios
Inverteu os conceitos. Os algoritmos mais rpidos e que compartilham chaves
so os algoritmos de chave simtrica.
125


Judicirio/Tecnologia
da
Informao/2010) Na criptografia assimtrica, cada parte da comunicao
possui um par de chaves. Uma chave utilizada para encriptar e a outra para
decriptar uma mensagem. A chave utilizada para encriptar a mensagem
privada e divulgada para o transmissor, enquanto a chave usada para
decriptar a mensagem pblica.
Comentrios
O erro est na localizao das palavras pblica e privada. Devem ser trocadas de
lugar. A chave utilizada para encriptar a mensagem pblica e divulgada para
o transmissor, enquanto a chave usada para decriptar a mensagem privada.
78. (CESPE/CAIXA-NM1/
Tcnico
Bancrio/Carreira
administrativa/2010) Autoridade certificadora a denominao de usurio
que tem poderes de acesso s informaes contidas em uma mensagem
assinada, privada e certificada.
Comentrios
Autoridade certificadora (AC) o termo utilizado para designar a entidade que
emite, renova ou revoga certificados digitais de outras ACs ou de titulares finais.
Alm disso, emite e publica a LCR (Lista de Certificados Revogados).
TCNICO
BANCRIO/CARREIRA
ADMINISTRATIVA/2010) A autoridade reguladora tem a funo de emitir
certificados digitais, funcionando como um cartrio da Internet.
Comentrios
A Autoridade Certificadora (AC) a entidade responsvel por emitir certificados
digitais.
126

80. (CESPE/2010/CAIXA-NM1/
TCNICO
BANCRIO/CARREIRA
ADMINISTRATIVA) O ITI (Instituto Nacional de Tecnologia da Informao)
tambm conhecido como Autoridade Certificadora Raiz Brasileira.
Comentrios
A Autoridade Certificadora RAIZ (AC Raiz) primeira autoridade da cadeia
de certificao e compete a ela emitir, expedir, distribuir, revogar e
gerenciar os certificados das AC de nvel imediatamente subsequente,
gerenciar a lista de certificados emitidos, revogados e vencidos, e executar
atividades de fiscalizao e auditoria das ACs e das ARs e dos prestadores
de servio habilitados na ICP. A funo da AC-Raiz foi delegada ao Instituto
Nacional de Tecnologia da Informao ITI, autarquia federal atualmente
ligada Casa Civil da Presidncia da Repblica. Logo, o ITI tambm conhecido
como Autoridade Certificadora Raiz Brasileira. A AC-Raiz s pode emitir
certificados s ACs imediatamente subordinadas, sendo vedada de emitir
certificados a usurios finais.
TCNICO
BANCRIO/CARREIRA
ADMINISTRATIVA) PKI ou ICP o nome dado ao certificado que foi emitido
por uma autoridade certificadora.
Comentrios
PKI (Public Key Infrastrusture) a infraestrutura de chaves pblicas. A ICPBrasil um exemplo de PKI.
TCNICO
BANCRIO/CARREIRA
ADMINISTRATIVA) Um certificado digital pessoal, intransfervel e no
possui data de validade.
Comentrios
Um certificado digital um documento eletrnico que identifica pessoas,
fsicas ou jurdicas, URLs, contas de usurio, servidores (computadores)
dentre outras entidades. Este documento na verdade uma estrutura de
127

dados que contm a chave pblica do seu titular e outras informaes de

interesse. Contm informaes relevantes para a identificao real da entidade
a que visam certificar (CPF, CNPJ, endereo, nome, etc) e informaes relevantes
para a aplicao a que se destinam. O certificado digital precisa ser emitido por
uma autoridade reconhecida pelas partes interessadas na transao. Chamamos
essa autoridade de Autoridade Certificadora, ou AC. Dentre as informaes que
compem um certificado temos:
Verso: indica qual formato de certificado est sendo seguido
Nmero de srie: identifica unicamente um certificado dentro do escopo

do seu emissor.
Algoritmo: identificador dos algoritmos de hash+assinatura utilizados pelo

emissor para assinar o certificado.
Emissor: entidade que emitiu o certificado.
Validade: data de emisso e expirao.
Titular: nome da pessoa, URL ou demais informaes que esto sendo

certificadas.
Chave pblica: informaes da chave pblica do titular.
Extenses: campo opcional para estender o certificado.
Assinatura: valor da assinatura digital feita pelo emissor.

83. (CESPE/2010/UERN/TCNICO DE NVEL SUPERIOR-Adaptada)
Vrus, worms e cavalos-de-troia so exemplos de software mal-intencionados
que tm o objetivo de, deliberadamente, prejudicar o funcionamento do
computador. O firewall um tipo de malware que ajuda a proteger o
computador contra cavalos-de-troia.
Comentrios
Os vrus, worms e cavalos-de-troia so exemplos de software mal-intencionados
que tm o objetivo de, deliberadamente, prejudicar o funcionamento do
computador,
e,
consequentemente,
o
usurio!!
O cavalo de troia por exemplo "parece" ser inofensivo, quando na verdade no
!! um presente de grego (rs)!! Fica instalado no seu computador abrindo
portas para que a mquina seja acessada remotamente, pode funcionar como um
keylogger ao capturar as informaes digitadas no computador, etc, portanto, a
primeira parte da assertiva est correta.
128

A assertiva tornou-se falsa ao afirmar que o firewall um tipo de malware, um

absurdo! O malware (malicious software) um software destinado a se infiltrar
em um sistema de computador de forma ilcita, com o intuito de causar algum
dano ou roubo de informaes (confidenciais ou no), e no esse o objetivo do
firewall.
84. (CESPE/2010/UERN/Agente Tcnico Administrativo) Uma das
formas de se garantir a segurana das informaes de um website no
coloc-lo em rede, o que elimina a possibilidade de acesso por pessoas
intrusas.
Comentrios
Colocar um site fora da rede significa que ningum ter acesso via rede ao site,
nem mesmo as pessoas autorizadas. Alm disso, no se esquea dos acessos
feitos localmente, direto na mquina onde o site est hospedado!
85. (CESPE/2010/TRE-MT/Analista
Judicirio
Tecnologia
da
Informao) A segurana fsica objetiva impedir acesso no autorizado,
danos ou interferncia s instalaes fsicas e s informaes da organizao.
A proteo fornecida deve ser compatvel com os riscos identificados,
assegurando a preservao da confidencialidade da informao.
Comentrios
No esquecer que alm da proteo lgica, deve existir a proteo fsica. De nada
adianta um sistema protegido dos acessos no autorizados via rede se
permitido o acesso fsico mquina. Um atacante pode incendiar, quebrar,
estragar, roubar e at invadir um sistema quando o mesmo no possui controles
fsicos.
86. (CESPE/2010/TRE-MT/Analista
Judicirio
Tecnologia
da
Informao) Servios de no repudiao so tcnicas utilizadas para
detectar alteraes no autorizadas ou corrompimento dos contedos de uma
mensagem transmitida eletronicamente. Essas tcnicas, que tm como base
129

o uso de criptografia e assinatura digital, podem ajudar a estabelecer provas

para substanciar se determinado evento ou ao ocorreu.
Comentrios
No repdio ocorre quando no possvel ao emissor da mensagem negar a
autoria da mesma.
87. (CESPE/2010/EMBASA/ANALISTA DE SANEAMENTO) Um firewall em
uma rede considerado uma defesa de permetro e consegue coibir todo tipo
de invaso em redes de computadores.
Comentrios
O firewall, como o nome sugere (traduzindo = parede de fogo) uma barreira
tecnolgica entre dois pontos de uma rede, em que normalmente o nico ponto
de acesso entre a rede interna e a Internet. O firewall dever permitir somente a
passagem de trfego autorizado. Alm disso, tem a funo de filtrar todo o
trfego de rede que passa por ele, dizendo o que permitido e o que bloqueado
ou rejeitado.
Pode ser comparado com uma sequncia de perguntas e respostas. Por exemplo,
o firewall faz uma pergunta ao pacote de rede, se a resposta for correta ele deixa
passar o trfego ou encaminha a requisio a outro equipamento, se a resposta
for errada ele no permite a passagem ou ento rejeita o pacote. O firewall no
consegue coibir todos os tipos de invaso.
Um firewall qualquer nunca vai proteger uma rede de seus usurios internos,
independente da arquitetura, tipo, sistema operacional ou desenvolvedor, pois os
usurios podem manipular os dados dentro das corporaes das formas mais
variadas possveis, como exemplo, se utilizando de um pen drive, para roubar ou
passar alguma informao para um terceiro ou at mesmo para uso prprio.
Um firewall nunca ir proteger contra servios ou ameaas totalmente novas, ou
seja, se hoje surgir um novo tipo de ataque spoofing, no necessariamente esse
firewall vai proteger desse tipo de ataque, pois uma nova tcnica existente no
mercado e at o final de sua implementao, no se tinha conhecimento sobre a
mesma, o que acarreta na espera de uma nova verso que supra essa
necessidade.
130

Um firewall tambm no ir proteger contra vrus, pois os vrus so pacotes de

dados como outros quaisquer. Para identificar um vrus necessria uma anlise
mais criteriosa, que onde o antivrus atua.
88. (CESPE/2009/TRE/PR/Tcnico
Judicirio
Especialidade:
Operao de computadores) Firewalls so equipamentos tpicos do
permetro de segurana de uma rede, sendo responsveis pela deteco e
conteno de ataques e intruses.
Comentrios
Os firewalls so equipamentos tpicos do permetro de segurana de uma rede,
no entanto o IPS (Sistema de Preveno de Intruso) que faz a deteco de
ataques e intruses, e no o firewall!!
O firewall permite restringir o trfego de comunicao de dados entre a parte da
rede que est dentro ou antes do firewall, protegendo-a assim das ameaas
da rede de computadores que est fora ou depois do firewall. Esse mecanismo
de proteo geralmente utilizado para proteger uma rede menor (como os
computadores de uma empresa) de uma rede maior (como a Internet).
89.
(CESPE/2008/TRT-1R/Analista
Judicirio-Adaptada)
Uma
caracterstica das redes do tipo VPN (virtual private networks) que elas
nunca devem usar criptografia, devido a requisitos de segurana e
confidencialidade.
Comentrios
Uma VPN (Virtual Private Network Rede Privada Virtual) uma rede
privada (no de acesso pblico!) que usa a estrutura de uma rede pblica
(como por exemplo, a Internet) para transferir seus dados (os dados devem
estar criptografados para passarem despercebidos e inacessveis pela Internet).
As VPNs so muito utilizadas para interligar filiais de uma mesma empresa, ou
fornecedores com seus clientes (em negcios eletrnicos) atravs da estrutura
fsica de uma rede pblica.
131

O trfego de dados levado pela rede pblica utilizando protocolos no

necessariamente seguros. VPNs seguras usam protocolos de criptografia
por tunelamento que fornecem a confidencialidade (sigilo), autenticao e
integridade necessrias para garantir a privacidade das comunicaes requeridas.
Quando adequadamente implementados, estes protocolos podem assegurar
comunicaes seguras atravs de redes inseguras.
90.
(CESPE/2010/MINISTRIO DA SADE /ANALISTA TCNICOADMINISTRATIVO) Firewall o mecanismo usado em redes de
computadores para controlar e autorizar o trfego de informaes, por meio
do uso de filtros que so configurados de acordo com as polticas de segurana
estabelecidas.
Comentrios
A banca especificou corretamente o conceito para o termo firewall. Em outras
palavras, basicamente, o firewall um sistema para controlar o acesso s redes
de computadores, e foi desenvolvido para evitar acessos no autorizados em uma
rede local ou rede privada de uma corporao.
Um firewall deve ser instalado no ponto de conexo entre as redes, onde, atravs
de regras de segurana, controla o trfego que flui para dentro e para fora da
rede protegida.
Deve-se observar que isso o torna um potencial gargalo para o trfego de dados
e, caso no seja dimensionado corretamente, poder causar atrasos e diminuir a
performance da rede.
91. (CESPE/2010/TRE.BA/ANALISTA/Q.27) Firewall um recurso
utilizado para a segurana tanto de estaes de trabalho como de servidores
ou de toda uma rede de comunicao de dados. Esse recurso possibilita o
bloqueio de acessos indevidos a partir de regras preestabelecidas.
Comentrios
Outra questo bem parecida com a anterior, que destaca claramente o conceito
de firewall! Vrios objetivos para a segurana de uma rede de computadores
podem ser atingidos com a utilizao de firewalls. Dentre eles destacam-se:
132

segurana: evitar que usurios externos, vindos da Internet, tenham acesso

a recursos disponveis apenas aos funcionrios da empresa autorizados. Com
o uso de firewalls de aplicao, pode-se definir que tipo de informao os
usurios da Internet podero acessar (somente servidor de pginas e correio
eletrnico, quando hospedados internamente na empresa);
confidencialidade: pode ocorrer que empresas tenham informaes sigilosas

veiculadas publicamente ou vendidas a concorrentes, como planos de ao,
metas organizacionais, entre outros. A utilizao de sistemas de firewall de
aplicao permite que esses riscos sejam minimizados;
produtividade: comum os usurios de redes de uma corporao acessarem

sites na Internet que sejam improdutivos como sites de pornografia, piadas,
chat etc. O uso combinado de um firewall de aplicao e um firewall de rede
pode evitar essa perda de produtividade;
performance: o acesso Internet pode tornar-se lento em funo do uso

inadequado dos recursos. Pode-se obter melhoria de velocidade de acesso a
Internet mediante controle de quais sites podem ser visitados, quem pode
visit-los e em que horrios sero permitidos. A opo de gerao de relatrios
de acesso pode servir como recurso para anlise dos acessos.

92. (CESPE/2010/UERN/TCNICO DE NVEL SUPERIOR-Adaptada)
Firewall um sistema constitudo de software e hardware que verifica
informaes oriundas da Internet ou de uma rede de computadores e que
permite ou bloqueia a entrada dessas informaes, estabelecendo, dessa
forma, um meio de proteger o computador de acesso indevido ou indesejado.
Comentrios
O firewall pode ser formado por um conjunto complexo de equipamentos e
softwares, ou somente baseado em software, o que j tornaria incorreta a
questo, no entanto, a banca optou pela anulao da questo.
A funo do firewall controlar o trfego entre duas ou mais redes, com o
objetivo de fornecer segurana, prevenir ou reduzir ataques ou invases s bases
de dados corporativas, a uma (ou algumas) das redes, que normalmente tm
informaes e recursos que no devem estar disponveis aos usurios da(s)
outra(s) rede(s). Complementando, no so todas as informaes oriundas da
Internet ou de uma rede de computadores que sero bloqueadas, ele realiza a
filtragem dos pacotes e, ento, bloqueia SOMENTE as transmisses NO
PERMITIDAS!
Gabarito: item anulado.
133

93. (CESPE/2010/TRE-BA/Tcnico Judicirio - rea Administrativa)

Uma das formas de bloquear o acesso a locais no autorizados e restringir
acessos a uma rede de computadores por meio da instalao de firewall, o
qual pode ser instalado na rede como um todo, ou apenas em servidores ou
nas estaes de trabalho.
Comentrios
O firewall uma das ferramentas da segurana da informao, que interage com
os usurios de forma transparente, permitindo ou no o trfego da rede interna
para a Internet, como da Internet para o acesso a qualquer servio que se
encontre na rede interna da corporao e/ou instituio. Desta forma todo o
trfego, tanto de entrada como de sada em uma rede, deve passar por este
controlador que aplica de forma implcita algumas das polticas de segurana
adotadas pela corporao.
94. (CESPE/2004/POLCIA FEDERAL/REGIONAL/PERITO/REA 3/Q.
105) Um dos mais conhecidos ataques a um computador conectado a uma
rede o de negao de servio (DoS denial of service), que ocorre quando
um determinado recurso torna-se indisponvel devido ao de um agente
que tem por finalidade, em muitos casos, diminuir a capacidade de
processamento ou de armazenagem de dados.
Comentrios
No ataque de Negao de Servio (Denial of Service - DoS) o atacante utiliza
um computador, a partir do qual ele envia vrios pacotes ou requisies de
servio de uma vez, para tirar de operao um servio ou computador(es)
conectado(s) Internet, causando prejuzos. Para isso, so usadas tcnicas que
podem:
gerar uma sobrecarga no processamento de um computador, de modo que

o verdadeiro usurio do equipamento no consiga utiliz-lo;
gerar um grande trfego de dados para uma rede, ocasionando a

indisponibilidade dela;
indisponibilizar servios importantes de um provedor, impossibilitando o

acesso de seus usurios etc.
134


95. (CESPE/2008/PRF/Policial Rodovirio Federal) O uso de firewall e de
software antivrus a nica forma eficiente atualmente de se implementar os
denominados filtros anti-spam.
Comentrios
Para se proteger dos spams temos que instalar um anti-spam, uma nova medida
de segurana que pode ser implementada independentemente do antivrus e do
firewall.
O uso de um firewall (filtro que controla as comunicaes que passam de uma
rede para outra e, em funo do resultado permite ou bloqueia seu passo),
software antivrus e filtros anti-spam so mecanismos de segurana importantes.
96. (CESPE/2008/PRF-POLICIAL RODOVIRIO FEDERAL-ADAPTADA)
Phishing e pharming so pragas virtuais variantes dos denominados
cavalos-de-tria, se diferenciando destes por precisarem de arquivos
especficos para se replicar e contaminar um computador e se diferenciando,
entre eles, pelo fato de que um atua em mensagens de e-mail trocadas por
servios de webmail e o outro, no.
Comentrios
135

O Phishing (ou Phishing scam) e o Pharming (ou DNS Poisoining) no so

pragas virtuais. Phishing e Pharming so dois tipos de golpes na Internet, e,
portanto, no so variaes de um cavalo de troia (trojan horse) que se trata
de um programa aparentemente inofensivo que entra em seu computador na
forma de carto virtual, lbum de fotos, protetor de tela, jogo etc, e que, quando
executado (com a sua autorizao!), parece lhe divertir, mas, por trs abre portas
de comunicao do seu computador para que ele possa ser invadido.
Normalmente consiste em um nico arquivo que necessita ser explicitamente
executado. Para evitar a invaso, fechando as portas que o cavalo de troia abre,
necessrio ter, em seu sistema, um programa chamado firewall.
97. (CESPE/2008/PRF/Policial Rodovirio Federal) Se o sistema de
nomes de domnio (DNS) de uma rede de computadores for corrompido por
meio de tcnica denominada DNS cache poisoning, fazendo que esse sistema
interprete incorretamente a URL (uniform resource locator) de determinado
stio, esse sistema pode estar sendo vtima de pharming.
Comentrios
O DNS (Domain Name System Sistema de Nome de Domnio) utilizado para
traduzir
endereos
de
domnios
da
Internet,
como
www.pontodosconcursos.com.br, em endereos IP, como 200.234.196.65.
Imagine se tivssemos que decorar todos os IPs dos endereos da Internet que
normalmente visitamos!!
O Pharming envolve algum tipo de redirecionamento da vtima para sites
fraudulentos, atravs de alteraes nos servios de resoluo de nomes (DNS).
Complementando, a tcnica de infectar o DNS para que ele lhe direcione para
um site fantasma que idntico ao original.
98. (CESPE/2008/PRF/Policial Rodovirio Federal) Quando enviado na
forma de correio eletrnico para uma quantidade considervel de
destinatrios, um hoax pode ser considerado um tipo de spam, em que o
spammer cria e distribui histrias falsas, algumas delas denominadas lendas
urbanas.
136

Comentrios
Os hoaxes (boatos) so e-mails que possuem contedos alarmantes ou falsos
e que, geralmente, tm como remetente ou apontam como autora da mensagem
alguma instituio, empresa importante ou rgo governamental. Atravs de
uma leitura minuciosa deste tipo de e-mail, normalmente, possvel identificar
em seu contedo mensagens absurdas e muitas vezes sem sentido.
Normalmente, os boatos se propagam pela boa vontade e solidariedade de quem
os recebe. Isto ocorre, muitas vezes, porque aqueles que o recebem: confiam
no remetente da mensagem; no verificam a procedncia da mensagem; no
checam a veracidade do contedo da mensagem.
Spam o envio em massa de mensagens de correio eletrnico (e-mails) NO
autorizadas pelo destinatrio.
Portanto, o hoax pode ser considerado um spam, quando for enviado em massa
para os destinatrios, de forma no-autorizada.
99.
(CESPE/2008/TRT-1R/Analista
Judicirio)
Os
arquivos
denominados cookies, tambm conhecidos como cavalos de troia, so vrus de
computador, com inteno maliciosa, que se instalam no computador sem a
autorizao do usurio, e enviam, de forma automtica e imperceptvel,
informaes do computador invadido.
Comentrios
Cookies no so vrus, e sim arquivos lcitos que permitem a identificao do
computador cliente no acesso a uma pgina. Podem ser utilizados para guardar
preferncias do usurio, bem como informaes tcnicas como o nome e a verso
do browser do usurio.
100. (CESPE/2008/TRT-1R/Analista
Judicirio)
Os
programas
denominados worm so, atualmente, os programas de proteo contra vrus
de computador mais eficazes, protegendo o computador contra vrus, cavalos
de troia e uma ampla gama de softwares classificados como malware.
137

Comentrios
O antivrus seria a resposta correta nesse item. O worm um tipo especfico de
malware.
101. (CESPE/2004/Polcia Rodoviria Federal)
Um usurio da Internet, desejando realizar uma pesquisa acerca das condies

das rodovias no estado do Rio Grande do Sul, acessou o stio do Departamento
de Polcia Rodoviria Federal http://www.dprf.gov.br , por meio do Internet
Explorer 6, executado em um computador cujo sistema operacional o Windows
XP e que dispe do conjunto de aplicativos Office XP. Aps algumas operaes
nesse stio, o usurio obteve a pgina Web mostrada na figura acima, que ilustra
uma janela do Internet Explorer 6. Considerando essa figura, julgue os itens
seguintes, relativos Internet, ao Windows XP, ao Office XP e a conceitos de
segurana e proteo na Internet. I. Sabendo que o mapa mostrado na pgina
Web consiste em uma figura no formato jpg inserida na pgina por meio de
recursos da linguagem HTML, ao se clicar com o boto direito do mouse sobre
esse objeto da pgina, ser exibido um menu que disponibiliza ao usurio um
menu secundrio contendo uma lista de opes que permite exportar de forma
automtica tal objeto, como figura, para determinados aplicativos do Office XP
que estejam em execuo concomitantemente ao Internet Explorer 6. A lista de
aplicativos do Office XP disponibilizada no menu secundrio contm o Word 2002,
o Excel 2002, o Paint e o PowerPoint 2002.
138

Comentrios
Ao clicar com o boto direito do mouse aberto um menu de contexto, mas no
exibida a opo de exportar a figura para qualquer aplicativo do Office. Tambm
aparece outro erro na questo ao afirmar que o Paint faz parte do pacote Office,
o que no est correto.
102. (CESPE/2004/Polcia Rodoviria Federal) II. Para evitar que as
informaes obtidas em sua pesquisa, ao trafegarem na rede mundial de
computadores, do servidor ao cliente, possam ser visualizadas por quem
estiver monitorando as operaes realizadas na Internet, o usurio tem
disposio diversas ferramentas cuja eficincia varia de implementao para
implementao. Atualmente, as ferramentas que apresentam melhor
desempenho para a funcionalidade mencionada so as denominadas sniffers
e backdoors e os sistemas ditos firewall, sendo que, para garantir tal eficincia,
todas essas ferramentas fazem uso de tcnicas de criptografia tanto no
servidor quanto no cliente da aplicao Internet.
Comentrios
Os sniffers (capturadores de quadros) so dispositivos ou programas de
computador que capturam quadros nas comunicaes realizadas em uma rede
de computadores, armazenando tais quadros para que possam ser analisados
posteriormente por quem instalou o sniffer. Pode ser usado por um invasor para
capturar informaes sensveis (como senhas de usurios), em casos onde
estejam sendo utilizadas conexes inseguras, ou seja, sem criptografia.
O backdoor (porta dos fundos) um programa que, colocado no micro
da vtima, cria uma ou mais falhas de segurana, para permitir que o
invasor que o colocou possa facilmente voltar quele computador em
um momento seguinte. (Caiu em prova do Cespe/2014).
Portanto, ao contrrio do que o item II afirma, os sniffers e backdoors no sero
utilizados para evitar que informaes sejam visualizadas na mquina.
103. (CESPE/2004/Polcia Rodoviria Federal) III. Por meio da guia
Privacidade, acessvel quando Opes da Internet clicada no menu
, o usurio tem acesso a recursos de configurao do Internet
Explorer 6 que permitem definir procedimento especfico que o aplicativo
139

dever realizar quando uma pgina Web tentar copiar no computador do

usurio arquivos denominados cookies. Um cookie pode ser definido como um
arquivo criado por solicitao de uma pgina Web para armazenar informaes
no computador cliente, tais como determinadas preferncias do usurio
quando ele visita a mencionada pgina Web. Entre as opes de configurao
possveis, est aquela que impede que os cookies sejam armazenados pela
pgina Web. Essa opo, apesar de permitir aumentar, de certa forma, a
privacidade do usurio, poder impedir a correta visualizao de determinadas
pginas Web que necessitam da utilizao de cookies.
Comentrios
Ao acessar o menu Ferramentas -> Opes da Internet, e, em seguida, clicar na
aba (guia) Privacidade, pode-se definir o nvel de privacidade do Internet
Explorer, possibilitando ou no a abertura de determinadas pginas da Web. O
texto correspondente aos cookies est correto.
104. (CESPE/2009-03/TRE-MG) A instalao de antivrus garante a qualidade
da segurana no computador.
Comentrios
O antivrus uma das medidas que podem ser teis para melhorar a segurana
do seu equipamento, desde que esteja atualizado.
105. (CESPE/2009-03/TRE-MG) Toda intranet consiste em um ambiente
totalmente seguro porque esse tipo de rede restrito ao ambiente interno da
empresa que implantou a rede.
Comentrios
No podemos afirmar que a intranet de uma empresa totalmente segura,
depende de como foi implementada.
140

106. (CESPE/2009-03/TRE-MG) O upload dos arquivos de atualizao

suficiente para a atualizao do antivrus pela Internet.
Comentrios
O upload implica na transferncia de arquivo do seu computador para um
computador remoto na rede, o que no o caso da questo.
107. (CESPE/2009-03/TRE-MG)
detectados elimina-os.
upload
das
assinaturas
dos
vrus
Comentrios
Existem dois modos de transferncia de arquivo: upload e download.
O upload o termo utilizado para designar a transferncia de um dado de um
computador local para um equipamento remoto.
O download o contrrio, termo utilizado para designar a transferncia de um
dado de um equipamento remoto para o seu computador.
Exemplo:
-se queremos enviar uma informao para o servidor de FTP -> estamos
realizando um upload;
-se queremos baixar um arquivo mp3 de um servidor -> estamos fazendo
download.
No ser feito upload de assinaturas de vrus para a mquina do usurio. Um
programa antivrus capaz de detectar a presena de malware (vrus, vermes,
cavalos de troia etc.) em e-mails ou arquivos do computador. Esse utilitrio
conta, muitas vezes, com a vacina capaz de matar o malware e deixar o arquivo
infectado sem a ameaa.
108. (CESPE/2009/TRE-MG) Os antivrus atuais permitem a atualizao de
assinaturas de vrus de forma automtica, sempre que o computador for
conectado Internet.
141

Comentrios
Alguns fornecedores de programas antivrus distribuem atualizaes regulares do
seu produto. Muitos programas antivrus tm um recurso de atualizao
automtica. Quando o programa antivrus atualizado, informaes sobre novos
vrus so adicionadas a uma lista de vrus a serem verificados. Quando no possui
a vacina, ele, pelo menos, tem como detectar o vrus, informando ao usurio
acerca do perigo que est iminente.
109. (CESPE/2009/ANATEL/TCNICO
ADMINISTRATIVO)
Com
o
desenvolvimento da Internet e a migrao de um grande nmero de sistemas
especializados de informao de grandes organizaes para sistemas de
propsito geral acessveis universalmente, surgiu a preocupao com a
segurana das informaes no ambiente da Internet. Acerca da segurana e
da tecnologia da informao, julgue o item seguinte.
A disponibilidade e a integridade so itens que caracterizam a segurana da
informao. A primeira representa a garantia de que usurios autorizados
tenham acesso a informaes e ativos associados quando necessrio, e a
segunda corresponde garantia de que sistemas de informaes sejam
acessveis apenas queles autorizados a acess-los.
Comentrios
O trecho que define a disponibilidade como "a garantia de que usurios
autorizados tenham acesso a informaes e ativos associados quando necessrio"
est correto, no entanto, a afirmativa de que a integridade "a garantia de que
sistemas de informaes sejam acessveis apenas queles autorizados a acesslos" falsa (nesse caso o termo correto seria confidencialidade!).
A disponibilidade garante que a informao e todos os canais de acesso ela
estejam sempre disponveis quando um usurio autorizado quiser acess-la.
Como dica para memorizao, temos que a confidencialidade o segredo e a
disponibilidade poder acessar o segredo quando se desejar!!
J a integridade garante que a informao deve ser mantida na condio em
que foi liberada pelo seu proprietrio, garantindo a sua proteo contra mudanas
intencionais, indevidas ou acidentais a informao. Em outras palavras, a
informao deve manter todas as caractersticas originais durante sua existncia.
Estas caractersticas originais so as estabelecidas pelo proprietrio da
142

informao quando da criao ou manuteno da informao (se a informao

for alterada por quem possui tal direito, isso no invalida a integridade, ok!!).
110. (CESPE/2009/IBAMA/ANALISTA AMBIENTAL) Para criar uma cpia
de segurana da planilha, tambm conhecida como backup, suficiente clicar
a ferramenta
Comentrios
Backup refere-se cpia de dados de um dispositivo para o outro com o objetivo
de posteriormente os recuperar (os dados), caso haja algum problema. Essa
cpia pode ser realizada em vrios tipos de mdias, como CDs, DVSs, fitas DAT
etc. de forma a proteg-los de qualquer eventualidade. O boto
para salvar um documento!!
utilizado

111. (CESPE/2009/MMA) Antivrus, worms, spywares e crackers so
programas que ajudam a identificar e combater ataques a computadores que
no esto protegidos por firewalls.
Comentrios
Os antivrus so programas de proteo contra vrus de computador bastante
eficazes, protegendo o computador contra vrus, cavalos de troia e uma ampla
gama de softwares classificados como malware. Como exemplos cita-se McAfee
Security Center Antivrus, Panda Antivrus, Norton Antivrus, Avira Antivir
Personal, AVG etc.
J os worms e spywares so programas classificados como malware, tendo-se
em vista que executam aes mal-intencionadas em um computador!!
Worms: so programas parecidos com vrus, mas que na

verdade so capazes de se propagarem automaticamente
atravs de redes, enviando cpias de si mesmo de computador
para computador (observe que os worms apenas se copiam, no
infectam outros arquivos, eles mesmos so os arquivos!!). Alm
disso, geralmente utilizam as redes de comunicao para infectar outros
computadores (via e-mails, Web, FTP, redes das empresas etc).
143

Diferentemente do vrus, o worm no embute cpias de si mesmo em outros

programas ou arquivos e no necessita ser explicitamente executado para se
propagar. Sua propagao se d atravs da explorao de vulnerabilidades
existentes ou falhas na configurao de softwares instalados em
computadores.
Spyware: programa que tem por finalidade monitorar as atividades de um

sistema e enviar as informaes coletadas para terceiros.
Os Crackers so indivduos dotados de sabedoria e habilidade para desenvolver

ou alterar sistemas, realizar ataques a sistemas de computador, programar vrus,
roubar dados bancrios, informaes, entre outras aes maliciosas.
112. (CESPE/2009/MMA) A responsabilidade pela segurana de um ambiente
eletrnico dos usurios. Para impedir a invaso das mquinas por vrus e
demais ameaas segurana, basta que os usurios no divulguem as suas
senhas para terceiros.
Comentrios
Tanto a empresa que cria e hospeda o ambiente eletrnico, quanto os usurios
desse ambiente, devem entender a importncia da segurana, atuando como
guardies da rede!!
113. (Governo
do
Estado
do
MS/Secretaria
de
Estado
de
Administrao/Agncia de Habitao Popular do MS/2013) O que so
cookies?
a) o mecanismo que dispara avisos cada vez que um site onde o usurio se
inscreveu faz atualizaes.
b)Criao de um website falso e/ou do envio de uma mensagem eletrnica
falsa, geralmente um e-mail ou recado atravs de scrapbooks.
c)Um grupo de dados enviado pelo servidor de Web para o navegador,
colocado num arquivo texto criado no computador do utilizador.
d)Permite a navegao sem estar conectado em uma rede. Sero exibidas
somente as pginas em Cache de Internet.
144

e)Um mecanismo para permitir que vocs se subscreva a contedo da web

atualizado, tais como posts de blogs e mensagens de fruns.
Comentrios
Cookies so pequenos arquivos de texto que so instalados em seu
computador durante a navegao, permitindo que os sites (servidores)
obtenham determinadas informaes. isto que permite que alguns sites o
cumprimentem pelo nome, saibam quantas vezes voc o visitou, etc.
A seguir destacamos alguns dos riscos relacionados ao uso de cookies (CERTBR,
2013):
informaes coletadas pelos cookies podem ser

compartilhadas com outros sites e afetar a sua privacidade;
indevidamente
explorao de vulnerabilidades existentes no computador. Ao acessar

uma pgina da Web o seu navegador disponibiliza uma srie de informaes
sobre a mquina como hardware, sistema operacional e programas instalados.
Os cookies podem ser utilizados para manter referncias contendo estas
informaes e us-las para explorar possveis vulnerabilidades existentes em
seu computador;
autenticao automtica: quando utilizamos

as opes como
Lembre-se de mim e Continuar conectado nos sites visitados, os cookies
guardam essas informaes para autenticaes futuras. Em caso de uma
mquina contaminada, essa prtica pode permitir que outras pessoas se
autentiquem como voc;
coleta de informaes pessoais: dados preenchidos em formulrios Web

tambm podem ser gravados em cookies, coletados por atacantes ou cdigos
maliciosos e indevidamente acessados, caso no estejam criptografados;
coleta de hbitos de navegao: quando voc acessa diferentes sites onde

so usados cookies de terceiros, pertencentes a uma mesma empresa de
publicidade, possvel a esta empresa determinar seus hbitos de navegao
e, assim, comprometer a sua privacidade.
Gabarito: letra C.
114. (FUNRIO/2013/MPOG - Analista de Tecnologia da Informao) Na

segurana da informao, o que se caracteriza como incidente de segurana
da informao?
a) Eventos indesejados e/ou inesperados que tenham grande probabilidade
de ameaar a segurana da informao de uma organizao.
145

b) Eventos desejados e/ou inesperados que tenham grande probabilidade de

ameaar a segurana da informao de uma organizao.
c) Ataques desejados que tenham grande probabilidade de ameaar a
segurana da informao de uma organizao.
d) Eventos indesejados e/ou inesperados sem grande probabilidade de
ameaar a segurana da informao de uma organizao.
e) Ataques desejados que no tenham nenhuma probabilidade de ameaar a
segurana da informao de uma organizao.
Comentrios
Um incidente qualquer evento no previsto nos padres de segurana da
informao que podem causar danos materiais, financeiros, humanos, reduo
de qualidade de servios e at mesmo interrupo dos mesmos (CAMPOS, 2007).
Gabarito: letra A.
Julgue os 2 itens listados a seguir, relacionados Segurana da Informao.

115. (Elaborao Prpria) Ransonware uma tcnica que visa efetuar buscas
minuciosas em redes, com o objetivo de identificar computadores ativos e
coletar informaes sobre eles como, por exemplo, servios disponibilizados e
programas instalados.
Comentrios
Varredura em redes, ou scan, a tcnica que nos permite efetuar buscas
minuciosas em redes, com o objetivo de identificar computadores ativos e coletar
informaes sobre eles como, por exemplo, servios disponibilizados e programas
instalados.
Ransomwares so softwares maliciosos que, ao infectarem um computador,
criptografam todo ou parte do contedo do disco rgido. A partir da os
responsveis pelo software exigem da vtima um pagamento pelo "resgate" dos
dados. No ltimo ano de 2012 pudemos observar um aumento do nmero de
ameaas mveis, com a expanso do ransomware. Nesse caso as vtimas tero
as opes de perder suas informaes ou ento pagar resgate para recuperar o
acesso.
146

116. (Elaborao Prpria) correto afirmar que por padro, o trfego de sada
do firewall do Windows 7 bloqueado, a menos que seja uma resposta a uma
solicitao do host (trfego solicitado) ou seja especificamente permitido
(tenha sido criada uma regra de firewall para permitir o trfego).
Comentrios
possvel configurar o Firewall do Windows para permitir explicitamente o trfego
especificando um nmero de porta, nome do aplicativo, nome do servio ou
outros critrios, por meio de regras definidas pelo administrador.
Por padro, o trfego de entrada bloqueado, a menos que seja uma
resposta a uma solicitao do host (trfego solicitado), ou tenha sido
especificamente permitido (isto , tenha sido criada uma regra de
firewall para permitir o trfego). As conexes de sada so permitidas,
por padro, a menos que correspondam a uma regra que as bloqueie
(Microsoft,2013).
117. (FUNRIO/2013/MPOG/Analista de Tecnologia da Informao) Em

uma empresa Z, considera-se que j foi realizado um Backup NORMAL no
incio do dia de DOMINGO. A forma mais RPIDA para realizar o Backup dos
arquivos modificados nos outros dias da semana conhecida como Backup
a) rotineiro.
b) diferencial.
c) dirio.
d) parcial. e) incremental.
Comentrios
Nesse caso o mais indicado a criao de backups increMentais, aps a criao
do backup normal. O backup incremental copia somente os arquivos
CRIADOS ou ALTERADOS desde o ltimo backup normal ou incremental.
E nesse tipo de backup, o atributo de arquivamento (arquivo morto)
DESMARCADO: limpa os marcadores!!
147

Gabarito: letra E.
Consideraes Finais
Por hoje ficamos por aqui. Espero que esse material, feito com todo o carinho,
ajude-o a entender melhor o funcionamento das ameaas virtuais e principais
medidas de segurana que devem ser adotadas para se proteger dessas
ameaas, e o ajude a acertar as questes de segurana da sua prova!
Um grande abrao,
Profa Patrcia Lima Quinto
Bibliografia
QUINTO, PATRCIA LIMA. Notas de aula da disciplina Segurana da
Informao. 2016.
QUINTO, PATRCIA LIMA. Informtica-FCC-Questes Comentadas
Organizadas por Assunto, 3. Edio. Ed. Gen/Mtodo, 2014 .
QUINTO, PATRCIA LIMA. 1001 Questes Comentadas de Informtica Cespe, 1. Edio. Ed. Gen/Mtodo, 2015.
ABNT NBR ISO/IEC 27002:2005 Tecnologia da Informao Tcnicas de
Segurana Cdigo de Prtica para a Gesto de Segurana da Informao (antiga
17799:2005).
CERTBR. Cartilha de Segurana para Internet. Verso 4.0. Disponvel em:
<http://cartilha.cert.br/livro/cartilha-seguranca-internet.pdf>. 2012.
ALBUQUERQUE, R.; RIBEIRO, B. Segurana no Desenvolvimento de
Software. Rio de Janeiro: Campus, 2002.
Mapas e Questes. Disponvel em: <http://www.mapasequestoes.com.br>.
2013.
148

NAKAMURA, E. T., GEUS, P.L. Segurana de Redes em Ambientes

Cooperativos. Ed. Novatec. 2007.
RAMOS, A.; BASTOS, A.; LAYRA, A. Guia Oficial para Formao de Gestores
em Segurana da Informao. 1. ed. Rio Grande do Sul: ZOUK. 2006.
MAUSER, D; Digenes, y. Certificao Security + - 2 edio. 2013.
149

Lista de Questes Apresentadas

na Aula
1. (Q93491/CESPE/TCERN/2015)
Julgue
o
item
subsequente,
a
respeito
de
organizao e gerenciamento de
arquivos, pastas e programas,
bem como de segurana da
informao.
O objetivo do vrus Nimda
identificar
as
falhas
de
segurana existentes nos sistemas
operacionais
para
contaminar
computadores
de
empresas e propagar-se.
2. (Q63557/CESPE/CEBRASPE/
2015/STJ/CONHECIMENTOS
BSICOS
PARA
TODOS
OS
CARGOS (EXCETO OS CARGOS 1,
3, 6 E 14) Julgue os itens seguintes,
relativos a computao em nuvem,
organizao e gerenciamento de
arquivos e noes de vrus, worms e
pragas virtuais.
Os hoaxes so conhecidos como
histrias falsas recebidas por email,
muitas delas de cunho dramtico ou
religioso, com o objetivo de atrair a
ateno da pessoa e ento direcionla para algum stio, oferecendo-lhe
algo ou solicitando-lhe que realize
alguma ao que possa colocar em
risco a segurana de seus dados.
3. (CESPECEBRASP/2015/MPENAP)
Trackwares so programas que
rastreiam a atividade do sistema,
renem informaes do sistema
ou rastreiam os hbitos do
usurio,
retransmitindo
essas
informaes a organizaes de
terceiros.
4. (CESPE/2015/TREGO/Analista Judicirio) Acerca
de procedimentos de segurana e
de ensino a distncia, julgue o
item
subsecutivo.
[Botnet uma rede formada por
inmeros computadores zumbis e
que permite potencializar as
aes danosas executadas pelos
bots, os quais so programas
similares
ao
worm
e
que
possuem
mecanismos
de
controle remoto].
5. (CESPE/2015/TREGO/Analista
Judicirio)
Quanto
segurana
da
informao, sugere-se que se
crie um disco de recuperao do
sistema,
assim
como
se
desabilite a autoexecuo de
mdias removveis e de arquivos
anexados.
6. (CESPE/2014/TJSE/Conhecimentos
Bsicos
para os Cargos 3,8 a 18)
Diversos vrus de computadores
so criados diariamente e muitos
no
so
detectados
por
ferramentas
de
antivrus.
A
respeito desse assunto, julgue os
itens a seguir.
Para tentar prevenir uma infeco
por vrus ou malware, algumas
ferramentas
de
antivrus
procedem
deteco
por
heurstica, tcnica de deteco de
vrus baseada no comportamento
150

anmalo ou
software.
malicioso
de
um
7. (CESPE/CADE/Nvel
Intermedirio/2014)
O
computador utilizado pelo usurio
que acessa salas de bate-papo no
est vulnervel infeco por
worms, visto que esse tipo de
ameaa no se propaga por meio
de programas de chat.
8. (CESPE/CBMCE/2014)
A
instalao
de
antivrus
no
computador de um usurio que
utiliza a mquina em ambiente
organizacional suficiente para
impedir o acesso, por terceiros, a
informaes privativas do usurio.
9. (CESPE/DPF-Departamento de
Polcia
Federal/
Administrador/2014)
A
ativao do firewall do Windows
impede que emails com arquivos
anexos infectados com vrus sejam
abertos na mquina do usurio.
de
Polcia
Federal/
Administrador/2014) Phishing
um tipo de malware que, por
meio de uma mensagem de email,
solicita informaes confidenciais
ao usurio, fazendo-se passar por
uma entidade confivel conhecida
do destinatrio.
de
Polcia
Federal/Agente
Administrativo/2014) Um dos
objetivos
da
segurana
da
informao manter a integridade
dos dados, evitando-se que eles
sejam apagados ou alterados sem
autorizao de seu proprietrio.
12.
(CESPE/MDIC/Nvel
Intermedirio/2014)
O
comprometimento
do
desempenho de uma rede local de
computadores
pode
ser
consequncia da infeco por um
worm.
13. (CESPE/MDIC/Nvel
Intermedirio/2014)
Os
antivrus, alm da sua finalidade
de detectar e exterminar vrus de
computadores, algumas vezes
podem ser usados no combate a
spywares.
14. (CESPE/PRF/Policial
Rodovirio Federal/2013) Ao
contrrio
de
um
vrus
de
computador, que capaz de se
autorreplicar e no necessita de
um programa hospedeiro para se
propagar, um worm no pode se
replicar
automaticamente
e
necessita
de
um
programa
hospedeiro. Certo ou errado?
15. (CESPE/CPRM/Analista em
151

Bsicos/2013) Com relao a

vrus de computadores e malwares
em geral, julgue o item seguinte.
Malwares propagam-se por meio
de rede local, discos removveis,
correio eletrnico e Internet.
de
Bsicos/2013) No que diz
respeito
segurana
da
informao, julgue os itens que se
seguem.
A
compactao
de
arquivos evita a contaminao
desses arquivos por vrus, worms
e pragas virtuais.
de
Bsicos/2013) No que diz
respeito
segurana
da
informao, julgue os itens que se
seguem. Ao suspeitar da presena
de vrus no computador, o usurio
no deve encaminhar arquivos
anexos
em
emails
nem
compartilhar pastas via rede de
computadores,
devendo,
primeiramente,
executar
o
antivrus, que ir rastrear e
eliminar o vrus.
18. (CESPE/TRT10RJ/Analista/2013)
As
caractersticas
bsicas
da
segurana da informao
confidencialidade, integridade e
disponibilidade
no
so
atributos exclusivos dos sistemas
computacionais.
19. (CESPE/TJ-DFT/Tcnico
Judicirio/rea
Administrativa/2013) Backdoor
uma forma de configurao do
computador para que ele engane
os invasores, que, ao acessarem
uma
porta
falsa,
sero
automaticamente bloqueados.
20. (CESPE/PCDF/ESCRIVO/
2013) Rootkit um tipo de praga
virtual de difcil deteco, visto
que ativado antes que o sistema
operacional
tenha
sido
completamente inicializado.
21. (CESPE/ANS/Cargo3/2013)
A
contaminao
por
pragas
virtuais ocorre exclusivamente
quando
o
computador
est
conectado Internet.
22. (CESPE/ANS/Cargo3/2013)
Para conectar um computador a
uma
rede
wireless,
imprescindvel a existncia de
firewall, haja vista que esse
componente, alm de trabalhar
como modem de conexo, age
tambm
como
sistema
de
eliminao de vrus.
23. (CESPE/TJ-DFT/Nvel
Superior/2013) Worm um
software
que,
de
forma
semelhante a um vrus, infecta um
programa,
usando-o
como
hospedeiro para se multiplicar e
152

infectar outros computadores.
24. (CESPE/Cmara
dos
Deputados/
Arquiteto
e
Engenheiros/2012) Os worms,
assim como os vrus, infectam
computadores,
mas,
diferentemente dos vrus, eles no
precisam
de
um
programa
hospedeiro para se propagar.
25.
(CESPE/PREVIC/Tcnico
Administrativo
Nvel
Mdio/2011) Entre os atributos
de segurana da informao,
incluem-se a confidencialidade, a
integridade, a disponibilidade e a
autenticidade.
A
integridade
consiste na propriedade que limita
o acesso informao somente s
pessoas ou entidades autorizadas
pelo proprietrio da informao.
26. (CESPE/TRT10RJ/Analista/2013)
A
transferncia de arquivos para
pendrives constitui uma forma
segura de se realizar becape, uma
vez que esses equipamentos no
so suscetveis a malwares.
27. (CESPE/MPE-PI/Tcnico
Ministerial/rea:
Administrativa/2012) Worms
so programas maliciosos que se
autorreplicam
em
redes
de
computadores anexados a algum
outro
programa
existente
e
instalado em computadores da
rede.
28. (Cespe/Cmara
dos
Deputados/
Arquiteto
e
Engenheiros/2012)
Para
garantir que os computadores de
uma rede local no sofram ataques
vindos da Internet, necessria a
instalao de firewalls em todos os
computadores dessa rede.
29. (Cespe/Cmara
dos
Deputados/
Arquiteto
e
Engenheiros/2012)
Ao
se
realizar um procedimento de
backup de um conjunto de
arquivos e pastas selecionados,
possvel que o conjunto de
arquivos e pastas gerado por esse
procedimento
ocupe
menos
espao de memria que aquele
ocupado pelo conjunto de arquivos
e pastas de que se fez o backup.
30. (Cespe/ANS/Cargo3/2013)
Manter
arquivos
importantes
armazenados
em
diretrios
fisicamente distintos um hbito
que garante a recuperao dos
dados em caso de sinistro.
31. (CESPE/TJDFT/2013/Tcnico
Judicirio/rea
Administrativa) Autenticidade
um critrio de segurana para a
garantia do reconhecimento da
identidade do usurio que envia e
recebe uma informao por meio
de recursos computacionais.
153

32. (CESPE/TJ-DFT/2013/Nvel
Superior)
A
autoridade
certificadora, que atua como um
tipo
de
cartrio
digital,
responsvel por emitir certificados

digitais.
33. (CESPE/TJ-DFT/2013/Nvel
Superior)
Firewall
um
equipamento para redes que
armazena e gerencia o software de
antivrus, para garantir que toda a
rede estar isenta de ataques
maliciosos
realizados
por
programas de computador.
34. (CESPE/TJDFT/2013/Tcnico
Judicirio/rea
Administrativa) A criptografia,
mecanismo de segurana auxiliar
na
preservao
da
confidencialidade
de
um
documento, transforma, por meio
de uma chave de codificao, o
texto que se pretende proteger.
ou de chave secreta quando a

chave utilizada para cifrar a
mesma utilizada para decifrar.
Sistemas assimtricos ou de chave
pblica utilizam chaves distintas
para cifrar e decifrar. Algoritmos
simtricos so geralmente mais
eficientes
computacionalmente
que os assimtricos e por isso so
preferidos para cifrar grandes
massas de dados ou para
operaes online.
37. (CESPE/Agente Tcnico de
Inteligncia
rea
de
Tecnologia da Informao
ABIN/2010) A chave assimtrica
composta por duas chaves
criptogrficas: uma privada e
outra pblica.
35. (CESPE/2013/ESCRIVO
DE
POLCIA
FEDERAL)
Imediatamente aps a realizao
de
um
becape
incremental
utilizando-se um software prprio
de becape, h expectativa de que
esteja ajustado o flag archive de
todos os arquivos originais que
foram copiados para uma mdia de
becape.
38. (CESPE/Oficial Tcnico de

Inteligncia-rea
de
Arquivologia - ABIN/2010) A
respeito
de
mecanismos
de
segurana da informao, e
considerando que uma mensagem
tenha sido criptografada com a
chave pblica de determinado
destino e enviada por meio de um
canal de comunicao, pode-se
afirmar
que
a
mensagem
criptografada com a chave pblica
do destinatrio garante que
somente quem gerou a informao
criptografada e o destinatrio
sejam capazes de abri-la.
36. (CESPE/2002/POLCIA
FEDERAL/PERITO: REA 3 .
COMPUTAO)
Sistemas
criptogrficos so ditos simtricos
39. (CESPE/2010/Caixa/Tcnic
o Bancrio) O destinatrio de
uma mensagem assinada utiliza
a chave pblica do remetente para
154

garantir que essa mensagem

tenha sido enviada pelo prprio
remetente.
o Bancrio) A assinatura digital
facilita a identificao de uma
comunicao, pois baseia-se em
criptografia simtrica de uma
nica chave.
41.
(CESPE/TCU/Tcnico
Federal
de
Controle
Externo/2012) Por meio de
certificados digitais, possvel
assinar digitalmente documentos a
fim de garantir o sigilo das
informaes contidas em tais
documentos.
42. (CESPE/ALES/Procurador/2011) Caso o
usurio acesse uma pgina na
Internet e lhe seja apresentado
um certificado digital vlido,
correto inferir que a conexo
utilizada por esse usurio estar
cifrada com o uso de pendrive.
43. (CESPE/Oficial Tcnico de
Inteligncia/rea
de
Desenvolvimento
e
Manuteno de Sistemas
ABIN/2010)
As
assinaturas
digitais atuam sob o princpio
bsico da confidencialidade da
informao,
uma
vez
que
conferem a autenticao da
identidade do remetente de uma
mensagem.
No
entanto,
tal
soluo no garante a integridade
da informao, que deve ser
conferida por meio de tecnologias

adicionais de criptografia.
44. (CESPE/Tcnico
Bancrio/Carreira
administrativaCaixa
Econmica
FederalNM1/2010) Para assinar uma
mensagem digital, o remetente
usa uma chave privada.
45. (CESPE/AL-ES/Cargos
de
Nvel Mdio/2011)
Existem
diversos
dispositivos
que
protegem tanto o acesso a um
computador quanto a toda uma
rede. Caso um usurio pretenda
impedir que o trfego com origem
na Internet faa conexo com seu
computador pessoal, a tecnologia
adequada a ser utilizada nessa
situao ser o IpV6.
46. (CESPE/Tcnico
Administrativo Nvel Mdio
PREVIC/2011) Firewall o
elemento de defesa mais externo
na intranet de uma empresa e sua
principal funo impedir que
usurios da intranet acessem
qualquer rede externa ligada
Web.
47. (CESPE/CBM-DF/Oficial
Bombeiro
Militar
Complementar/Informtica/2
011) Em uma VPN (virtual private
network) que utilize a tcnica de
tunelamento, os contedos dos
pacotes
que
trafegam
pela
Internet so criptografados, ao
155

passo que, para permitir o

roteamento eficiente dos pacotes,
os seus endereos de origem e de
destino
permanecem
no
criptografados.
48. (CESPE/MPE-PI/2012)
A
adoo de crachs para identificar
as pessoas e controlar seus
acessos s dependncias de uma
empresa
um
mecanismo
adequado
para
preservar
a
segurana da informao da
empresa.
49. (CESPE/Nvel Superior
PREVIC/2011) Por meio do uso
de certificados digitais, possvel
garantir a integridade dos dados
que transitam pela Internet, pois
esses certificados so uma forma
confivel de se conhecer a origem
dos dados.
50. (CESPE/TJES/CBNS1_01/Superior/2011
) Tecnologias como a biometria
por meio do reconhecimento de
digitais de dedos das mos ou o
reconhecimento da ris ocular so
exemplos de aplicaes que
permitem exclusivamente garantir
a integridade de informaes.
) Um filtro de phishing uma
ferramenta
que
permite
criptografar uma mensagem de
email cujo teor, supostamente, s
poder ser lido pelo destinatrio
dessa mensagem.
) O conceito de confidencialidade
refere-se
a
disponibilizar
informaes em ambientes digitais
apenas a pessoas para as quais
elas
foram
destinadas,
garantindo-se, assim, o sigilo da
comunicao ou a exclusividade de
sua
divulgao
apenas
aos
usurios autorizados.
53. (CESPE/TJES/CBNM1_01/Nvel
Mdio/2011)
necessrio
sempre que o software de
antivrus instalado no computador
esteja atualizado e ativo, de forma
a se evitar que, ao se instalar um
cookie no computador do usurio,
essa
mquina
fique,
automaticamente, acessvel a um
usurio intruso (hacker), que
poder invadi-la.
Mdio/2011) Os pop-ups so
vrus que podem ser eliminados
pelo chamado bloqueador de popups, se este estiver instalado na
mquina. O bloqueador busca
impedir, por exemplo, que esse
tipo de vrus entre na mquina do
usurio no momento em que ele
consultar um stio da Internet.
55. (CESPE/Tcnico
Administrativo - MPU/2010)
De acordo com o princpio da
disponibilidade, a informao s
pode estar disponvel para os
usurios aos quais ela destinada,
156

ou seja, no pode haver acesso ou

alterao dos dados por parte de
outros usurios que no sejam os
destinatrios da informao.
Mdio/2011) Confidencialidade,
disponibilidade e integridade da
informao, que so conceitos
importantes de segurana da
informao em ambiente digital,
devem estar presentes na gesto
e no uso de sistemas de
informao, em benefcio dos
cidados e dos fornecedores de
solues.
57. (CESPE/Nvel Superior
STM/2011) Um firewall pessoal
instalado no computador do
usurio impede que sua mquina
seja infectada por qualquer tipo de
vrus de computador.
58. (CESPE/Analista Judicirio Tecnologia da InformaoTRE-MT/2010)
A
confidencialidade tem a ver com
salvaguardar a exatido e a
inteireza
das
informaes
e
mtodos de processamento. Para
tanto, necessrio que os
processos de gesto de riscos
identifiquem,
controlem,
minimizem ou eliminem os riscos
de segurana que podem afetar
sistemas de informaes, a um
custo aceitvel.
59. (CESPE/ANALISTATRE.BA/2010)
Confidencialidade, disponibilidade
e integridade da informao so
princpios bsicos que orientam a
definio de polticas de uso dos
ambientes computacionais. Esses
princpios
so
aplicados
exclusivamente s tecnologias de
informao, pois no podem ser
seguidos por seres humanos.
60. (CESPE/Analista
de
Saneamento/Analista
de
Tecnologia da Informao
Desenvolvimento
EMBASA/2010) O princpio da
autenticao em segurana diz
que um usurio ou processo deve
ser corretamente identificado.
Alm disso, todo processo ou
usurio
autntico
est
automaticamente autorizado para
uso dos sistemas.
61. (CESPE/Tcnico
Administrativo
ANATEL/2009)
Com
o
desenvolvimento da Internet e a
migrao de um grande nmero
de sistemas especializados de
informao
de
grandes
organizaes para sistemas de
propsito
geral
acessveis
universalmente,
surgiu
a
preocupao com a segurana das
informaes no ambiente da
Internet. Acerca da segurana e da
tecnologia da informao, julgue o
item a seguir.
->
A
disponibilidade
e
a
integridade
so
itens
que
caracterizam a segurana da
informao. A primeira representa
a garantia de que usurios
157

autorizados tenham acesso a

informaes e ativos associados
quando necessrio, e a segunda
corresponde garantia de que
sistemas de informaes sejam
acessveis
apenas
queles
autorizados a acess-los.
(CESPE/Escrivo
Federal/2010)
de
automtica
disponibilizada
na
janela exibida acima uma funo
que est mais relacionada
distribuio de novas funes de
segurana
para
o
sistema
operacional do que distribuio
de novos patches (remendos) que
corrijam as vulnerabilidades de
cdigo presentes no sistema
operacional.
Polcia
63. (CESPE/2010/Escrivo
de
Polcia
Federal)
Na
figura
anterior, o firewall assinalado
como
ativado,
em
sua
configurao padro, possui um
conjunto maior de regras para
bloqueio de conexes originadas
de fora do computador do que
para as conexes originadas de
dentro do computador.
de
Polcia Federal) A configurao
da proteo contra malwares
exposta na figura indica que existe
no host uma base de assinaturas
de vrus instalada na mquina.
Considerando a figura acima, que

apresenta uma janela com algumas
informaes da central de segurana
do
Windows
de
um
sistema
computacional (host) de uso pessoal
ou corporativo, julgue os trs
prximos itens, a respeito de
de
Polcia Federal) A atualizao
o
Bancrio/Administrativo)
Uma autoridade de registro emite
o par de chaves do usurio que
podem ser utilizadas tanto para
criptografia como para assinatura
de mensagens eletrnicas.
66. (CESPE/Tcnico
Judicirio/Programao
de
Sistemas
TRE-MT/2010)
Disponibilidade a garantia de que
158

o acesso informao seja obtido

apenas por pessoas autorizadas.
acesse uma mquina conectada a

uma rede.
67. (CESPE/TRE-MT/Tcnico
Judicirio - Programao de
Sistemas/2010)
Confidencialidade a garantia de
que os usurios autorizados
obtenham acesso informao e
aos
ativos
correspondentes
72. (CESPE/SEDU-ES/Agente
de Suporte Educacional/2010)
Vrus um programa que pode se
reproduzir anexando seu cdigo a
um outro programa, da mesma
forma que os vrus biolgicos se
reproduzem.
Tcnico Administrativo/2010)
A disponibilidade da informao
a garantia de que a informao
no ser alterada durante o
trnsito entre o emissor e o
receptor, alm da garantia de que
ela estar disponvel para uso
nesse trnsito.
69. (CESPE/AGU/Contador/201
0) Um arquivo criptografado fica
protegido contra contaminao
por vrus.
Cavalo de troia um programa
que se instala a partir de um
arquivo
aparentemente
inofensivo, sem conhecimento do
usurio que o recebeu, e que pode
oferecer acesso de outros usurios
mquina infectada.
O uso de um programa anti-spam
garante que software invasor ou
usurio
mal-intencionado
no
73. (CESPE/SEDU-ES/Agente
de Suporte Educacional/2010)
Cavalos-de-troia,
adwares
e
vermes so exemplos de pragas
virtuais.
74. (CESPE/SEDU-ES/AGENTE
DE
SUPORTE
EDUCACIONAL/2010) Backup
o termo utilizado para definir uma
cpia duplicada de um arquivo, um
disco, ou um dado, feita com o
objetivo de evitar a perda
definitiva de arquivos importantes.
75. (CESPE/EMBASA/Analista
de Saneamento - Analista de TI
rea:
Desenvolvimento/2010)
O
princpio da autenticao em
segurana diz que um usurio ou
processo deve ser corretamente
identificado. Alm disso, todo
processo ou usurio autntico est
automaticamente autorizado para
uso dos sistemas.
Judicirio - Tecnologia da
Informao/2010) Uma das
159

vantagens
da
criptografia
simtrica em relao assimtrica
a maior velocidade de cifragem
ou decifragem das mensagens.
Embora os algoritmos de chave
assimtrica sejam mais rpidos
que os de chave simtrica, uma
das desvantagens desse tipo de
criptografia a exigncia de uma
chave secreta compartilhada.
Judicirio/Tecnologia
da
Informao/2010)
Na
criptografia
assimtrica,
cada
parte da comunicao possui um
par de chaves. Uma chave
utilizada para encriptar e a outra
para decriptar uma mensagem. A
chave utilizada para encriptar a
mensagem privada e divulgada
para o transmissor, enquanto a
chave usada para decriptar a
mensagem pblica.
Tcnico
Bancrio/Carreira
administrativa/2010)
Autoridade certificadora a
denominao de usurio que tem
poderes de acesso s informaes
contidas em uma mensagem
assinada, privada e certificada.
TCNICO
BANCRIO/CARREIRA
ADMINISTRATIVA/2010)
A
autoridade reguladora tem a
funo de emitir certificados
digitais, funcionando como um
cartrio da Internet.
TCNICO
BANCRIO/CARREIRA
ADMINISTRATIVA)
O
ITI
(Instituto Nacional de Tecnologia
da
Informao)
tambm
conhecido
como
Autoridade
Certificadora Raiz Brasileira.
TCNICO
BANCRIO/CARREIRA
ADMINISTRATIVA) PKI ou ICP
o nome dado ao certificado que foi
emitido por uma autoridade
certificadora.
TCNICO
BANCRIO/CARREIRA
ADMINISTRATIVA)
Um
certificado digital pessoal,
intransfervel e no possui data de
validade.
83. (CESPE/2010/UERN/TCNI
CO DE NVEL SUPERIORAdaptada)
Vrus,
worms
e
cavalos-de-troia so exemplos de
software mal-intencionados que
tm
o
objetivo
de,
deliberadamente, prejudicar o
funcionamento do computador. O
firewall um tipo de malware que
ajuda a proteger o computador
contra cavalos-de-troia.
84. (CESPE/2010/UERN/Agent
e Tcnico Administrativo) Uma
160

das formas de se garantir a

segurana das informaes de um
website no coloc-lo em rede, o
que elimina a possibilidade de
acesso por pessoas intrusas.
85. (CESPE/2010/TREMT/Analista
Judicirio
Tecnologia da Informao) A
segurana fsica objetiva impedir
acesso no autorizado, danos ou
interferncia s instalaes fsicas
e s informaes da organizao.
A proteo fornecida deve ser
compatvel
com
os
riscos
identificados,
assegurando
a
preservao da confidencialidade
da informao.
86. (CESPE/2010/TREMT/Analista
Judicirio
Tecnologia da Informao)
Servios de no repudiao so
tcnicas utilizadas para detectar
alteraes no autorizadas ou
corrompimento dos contedos de
uma
mensagem
transmitida
eletronicamente. Essas tcnicas,
que tm como base o uso de
criptografia e assinatura digital,
podem ajudar a estabelecer
provas
para
substanciar
se
determinado evento ou ao
ocorreu.
87. (CESPE/2010/EMBASA/AN
ALISTA DE SANEAMENTO) Um
firewall
em
uma
rede
considerado
uma
defesa
de
permetro e consegue coibir todo
tipo de invaso em redes de
computadores.
88. (CESPE/2009/TRE/PR/Tc
nico Judicirio Especialidade:
Operao de computadores)
Firewalls so equipamentos tpicos
do permetro de segurana de uma
rede, sendo responsveis pela
deteco e conteno de ataques e
intruses.
89. (CESPE/2008/TRT1R/Analista
JudicirioAdaptada) Uma caracterstica
das redes do tipo VPN (virtual
private networks) que elas nunca
devem usar criptografia, devido a
requisitos
de
segurana
e
confidencialidade.
90. (CESPE/2010/MINISTRIO
DA
SADE
/ANALISTA
TCNICO-ADMINISTRATIVO)
Firewall o mecanismo usado em
redes de computadores para
controlar e autorizar o trfego de
informaes, por meio do uso de
filtros que so configurados de
acordo com as polticas de
segurana estabelecidas.
91. (CESPE/2010/TRE.BA/ANA
LISTA/Q.27) Firewall um
recurso utilizado para a segurana
tanto de estaes de trabalho
como de servidores ou de toda
uma rede de comunicao de
dados. Esse recurso possibilita o
bloqueio de acessos indevidos a
partir de regras preestabelecidas.
161

92. (CESPE/2010/UERN/TCNI
CO DE NVEL SUPERIORAdaptada) Firewall um sistema
constitudo
de
software
e
hardware que verifica informaes
oriundas da Internet ou de uma
rede de computadores e que
permite ou bloqueia a entrada
dessas
informaes,
estabelecendo, dessa forma, um
meio de proteger o computador de
acesso indevido ou indesejado.
93. (CESPE/2010/TREBA/Tcnico Judicirio - rea
Administrativa) Uma das formas
de bloquear o acesso a locais no
autorizados e restringir acessos a
uma rede de computadores por
meio da instalao de firewall, o
qual pode ser instalado na rede
como um todo, ou apenas em
servidores ou nas estaes de
trabalho.
94. (CESPE/2004/POLCIA
FEDERAL/REGIONAL/PERITO/
REA 3/Q. 105) Um dos mais
conhecidos
ataques
a
um
computador conectado a uma rede
o de negao de servio (DoS
denial of service), que ocorre
quando um determinado recurso
torna-se indisponvel devido
ao de um agente que tem por
finalidade, em muitos casos,
diminuir
a
capacidade
de
processamento
ou
de
armazenagem de dados.
95. (CESPE/2008/PRF/Policial
Rodovirio Federal) O uso de
firewall e de software antivrus a
nica forma eficiente atualmente
de
se
implementar
os
denominados filtros anti-spam.
96. (CESPE/2008/PRFPOLICIAL
RODOVIRIO
FEDERAL-ADAPTADA) Phishing
e pharming so pragas virtuais
variantes
dos
denominados
cavalos-de-tria, se diferenciando
destes por precisarem de arquivos
especficos para se replicar e
contaminar um computador e se
diferenciando, entre eles, pelo fato
de que um atua em mensagens de
e-mail trocadas por servios de
webmail e o outro, no.
Rodovirio
Federal)
Se
o
sistema de nomes de domnio
(DNS)
de
uma
rede
de
computadores for corrompido por
meio de tcnica denominada DNS
cache poisoning, fazendo que esse
sistema interprete incorretamente
a URL (uniform resource locator)
de determinado stio, esse sistema
pode estar sendo vtima de
pharming.
Rodovirio Federal) Quando
enviado na forma de correio
eletrnico para uma quantidade
considervel de destinatrios, um
hoax pode ser considerado um tipo
de spam, em que o spammer cria
e
distribui
histrias
falsas,
algumas
delas
denominadas
lendas urbanas.
162

99. (CESPE/2008/TRT1R/Analista Judicirio) Os

arquivos denominados cookies,
tambm conhecidos como cavalos
de troia, so vrus de computador,
com inteno maliciosa, que se
instalam no computador sem a
autorizao do usurio, e enviam,
de
forma
automtica
e
imperceptvel, informaes do
computador invadido.
100. (CESPE/2008/TRT1R/Analista Judicirio) Os
programas denominados worm
so, atualmente, os programas de
proteo
contra
vrus
de
computador
mais
eficazes,
protegendo o computador contra
vrus, cavalos de troia e uma
ampla
gama
de
softwares
classificados como malware.
101. (CESPE/2004/Polcia
Rodoviria Federal)
Um usurio da Internet, desejando

realizar uma pesquisa acerca das
condies das rodovias no estado do
Rio Grande do Sul, acessou o stio do

Departamento de Polcia Rodoviria
Federal http://www.dprf.gov.br ,
por meio do Internet Explorer 6,
executado em um computador cujo
sistema operacional o Windows XP
e que dispe do conjunto de
aplicativos Office XP. Aps algumas
operaes nesse stio, o usurio
obteve a pgina Web mostrada na
figura acima, que ilustra uma janela
do Internet Explorer 6. Considerando
essa figura, julgue os itens seguintes,
relativos Internet, ao Windows XP,
ao Office XP e a conceitos de
segurana e proteo na Internet. I.
Sabendo que o mapa mostrado na
pgina Web consiste em uma figura
no formato jpg inserida na pgina por
meio de recursos da linguagem HTML,
ao se clicar com o boto direito do
mouse sobre esse objeto da pgina,
ser
exibido
um
menu
que
disponibiliza ao usurio um menu
secundrio contendo uma lista de
opes que permite exportar de
forma automtica tal objeto, como
figura, para determinados aplicativos
do Office XP que estejam em
execuo
concomitantemente
ao
Internet Explorer 6. A lista de
aplicativos
do
Office
XP
disponibilizada no menu secundrio
contm o Word 2002, o Excel 2002, o
Paint e o PowerPoint 2002.
Rodoviria Federal) II. Para
evitar que as informaes obtidas
163

em sua pesquisa, ao trafegarem

na rede mundial de computadores,
do servidor ao cliente, possam ser
visualizadas por quem estiver
monitorando
as
operaes
realizadas na Internet, o usurio
tem
disposio
diversas
ferramentas cuja eficincia varia
de
implementao
para
implementao. Atualmente, as
ferramentas
que
apresentam
melhor
desempenho
para
a
funcionalidade mencionada so as
denominadas sniffers e backdoors
e os sistemas ditos firewall, sendo
que, para garantir tal eficincia,
todas essas ferramentas fazem
uso de tcnicas de criptografia
tanto no servidor quanto no cliente
da aplicao Internet.
Rodoviria Federal) III. Por
meio
da
guia
Privacidade,
acessvel quando Opes da
Internet clicada no menu
, o usurio tem
acesso a recursos de configurao
do Internet Explorer 6 que
permitem definir procedimento
especfico que o aplicativo dever
realizar quando uma pgina Web
tentar copiar no computador do
usurio arquivos denominados
cookies. Um cookie pode ser
definido como um arquivo criado
por solicitao de uma pgina Web
para armazenar informaes no
computador cliente, tais como
determinadas
preferncias
do
usurio quando ele visita a
mencionada pgina Web. Entre as
opes de configurao possveis,
est aquela que impede que os
cookies sejam armazenados pela

pgina Web. Essa opo, apesar
de permitir aumentar, de certa
forma, a privacidade do usurio,
poder
impedir
a
correta
visualizao
de
determinadas
pginas Web que necessitam da
utilizao de cookies.
104. (CESPE/2009-03/TRE-MG)
A instalao de antivrus garante a
qualidade
da
segurana
no
computador.
105. (CESPE/2009-03/TRE-MG)
Toda intranet consiste em um
ambiente
totalmente
seguro
porque esse tipo de rede restrito
ao ambiente interno da empresa
que implantou a rede.
106. (CESPE/2009-03/TRE-MG)
O upload dos arquivos de
atualizao suficiente para a
atualizao do antivrus pela
Internet.
107. (CESPE/2009-03/TRE-MG)
O upload das assinaturas dos vrus
detectados elimina-os.
108. (CESPE/2009/TRE-MG) Os
antivrus atuais
permitem
a
atualizao de assinaturas de vrus
de forma automtica, sempre que
o computador for conectado
Internet.
109. (CESPE/2009/ANATEL/TC
NICO ADMINISTRATIVO) Com
164

o desenvolvimento da Internet e a
migrao de um grande nmero
de sistemas especializados de
informao
de
grandes
organizaes para sistemas de
propsito
geral
acessveis
universalmente,
surgiu
a
preocupao com a segurana das
informaes no ambiente da
Internet. Acerca da segurana e da
tecnologia da informao, julgue o
item seguinte.
A disponibilidade e a integridade
so itens que caracterizam a
segurana da informao. A
primeira representa a garantia de
que usurios autorizados tenham
acesso a informaes e ativos
associados quando necessrio, e a
segunda corresponde garantia
de que sistemas de informaes
sejam acessveis apenas queles
autorizados a acess-los.
110. (CESPE/2009/IBAMA/ANAL
ISTA AMBIENTAL) Para criar
uma cpia de segurana da
planilha, tambm conhecida como
backup, suficiente clicar a
ferramenta
111. (CESPE/2009/MMA)
Antivrus, worms, spywares e
crackers so programas que
ajudam a identificar e combater
ataques a computadores que no
esto protegidos por firewalls.
112. (CESPE/2009/MMA)
A
responsabilidade pela segurana
de um ambiente eletrnico dos

usurios. Para impedir a invaso
das mquinas por vrus e demais
ameaas segurana, basta que
os usurios no divulguem as suas
senhas para terceiros.
113. (Governo do Estado do
MS/Secretaria de Estado de
Administrao/Agncia
de
Habitao
Popular
do
MS/2013) O que so cookies?
a) o mecanismo que dispara
avisos cada vez que um site onde
o usurio se inscreveu faz
atualizaes.
b)Criao de um website falso
e/ou do envio de uma mensagem
eletrnica falsa, geralmente um email ou recado atravs de
scrapbooks.
c)Um grupo de dados enviado pelo
servidor de Web para o navegador,
colocado num arquivo texto criado
no computador do utilizador.
d)Permite a navegao sem estar
conectado em uma rede. Sero
exibidas somente as pginas em
Cache de Internet.
e)Um mecanismo para permitir
que vocs se subscreva a
contedo da web atualizado, tais
como posts de blogs e mensagens
de fruns.
114. (FUNRIO/2013/MPOG
Analista de Tecnologia da
Informao) Na segurana da
165

informao, o que se caracteriza

como incidente de segurana da
informao?
a) Eventos indesejados e/ou
inesperados que tenham grande
probabilidade de ameaar a
segurana da informao de uma
organizao.
b)
Eventos
desejados
e/ou
inesperados que tenham grande
organizao.
c) Ataques desejados que tenham
grande probabilidade de ameaar
a segurana da informao de uma
organizao.
d) Eventos indesejados e/ou
inesperados
sem
grande
organizao.
e) Ataques desejados que no
tenham nenhuma probabilidade de
ameaar
a
segurana
da
informao de uma organizao.
redes,
com
o
objetivo
de
identificar computadores ativos e
coletar informaes sobre eles
como, por exemplo, servios
disponibilizados
e
programas
instalados.
116. (Elaborao
Prpria)
correto afirmar que por padro, o

trfego de sada do firewall do
Windows 7 bloqueado, a menos
que seja uma resposta a uma
solicitao
do
host
(trfego
solicitado) ou seja especificamente
permitido (tenha sido criada uma
regra de firewall para permitir o
trfego).
117. (FUNRIO/2013/MPOG/Anal
ista
de
Tecnologia
da
Informao) Em uma empresa
Z, considera-se que j foi realizado
um Backup NORMAL no incio do
dia de DOMINGO. A forma mais
RPIDA para realizar o Backup dos
arquivos modificados nos outros
dias da semana conhecida como
Backup
a) rotineiro.
b) diferencial.
Julgue os 2 itens listados a seguir,

relacionados
Segurana
da
Informao.
115. (Elaborao
Prpria)
Ransonware uma tcnica que
visa efetuar buscas minuciosas em
c) dirio.
d) parcial.
e) incremental.
166

Gabarito
1. Item correto.
2. Item correto.
3. Item correto.
4. Item correto.
5. Item correto.
6. Item correto.
7. Item errado.
8. Item errado.
9. Item errado.
10. Item correto.
11. Item correto.
12. Item correto.
13. Item correto.
14. Item errado.
15. Item correto.
16. Item errado.
17. Item correto.
18. Item correto.
19. Item errado.
20. Item correto.
21. Item errado.
22. Item errado.
23. Item errado.
24. Item correto.
25. Item errado.
26. Item errado.
27. Item errado.
28. Item errado.
29. Item correto.
30. Item correto.
31. Item errado.
32. Item correto.
33. Item errado.
34. Item correto.
35. Item correto.
36. Item correto.
37. Item correto.
38. Item errado.
39. Item correto.
40.
41.
42.
43.
44.
45.
46.
47.
48.
49.
50.
51.
52.
53.
54.
55.
56.
57.
58.
59.
60.
61.
62.
63.
64.
65.
66.
67.
68.
69.
70.
71.
72.
73.
74.
75.
76.
77.
78.
Item
Item
Item
Item
Item
Item
Item
Item
Item
Item
Item
Item
Item
Item
Item
Item
Item
Item
Item
Item
Item
Item
Item
Item
Item
Item
Item
Item
Item
Item
Item
Item
Item
Item
Item
Item
Item
Item
Item
errado.
errado.
errado.
errado.
correto.
errado.
errado.
errado.
correto.
errado.
errado.
errado.
correto.
errado.
errado.
errado.
correto.
errado.
errado.
errado.
errado.
errado.
errado.
correto.
errado.
errado.
errado.
errado.
errado.
errado.
correto.
errado.
correto.
correto.
correto.
errado.
errado.
errado.
errado.
79.
80.
81.
82.
83.
84.
85.
86.
87.
88.
89.
90.
91.
92.
93.
94.
95.
96.
97.
98.
99.
100.
101.
102.
103.
104.
105.
106.
107.
108.
109.
110.
111.
112.
113.
114.
115.
116.
117.
Item errado.
Item correto.
Item errado.
Item errado.
Item errado.
Item errado.
Item correto.
Item errado.
Item errado.
Item errado.
Item errado.
Item correto.
Item correto
Item anulado.
Item correto.
Item correto.
Item errado.
Item errado.
Item correto.
Item correto.
Item errado.
Item errado.
Item errado.
Item errado.
Item correto.
Item errado.
Item errado.
Item errado.
Item errado.
Item correto.
Item errado.
Item errado.
Item errado.
Item errado.
Letra C.
Letra A.
Item errado.
Item errado.
Letra E.
167
Noes de Informtica em Teoria e Exerccios Comentados

p/ Agente de Polcia Federal Turma: 17 Foco: Cespe/UnB
Acompanhe a Evoluo do seu Aproveitamento

Data
N
questes
Acertos
%
acerto
Data
N
questes
117
Data
N
questes
Acertos
%
acerto
Acertos
%
acerto
117
Acertos
%
acerto
Data
N
questes
117
117
168

Aula 01

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Aula 01

Uploaded by

Copyright:

Available Formats

Informtica em Teoria e Exerccios Comentados

p/ PRF Turma: 15 Foco: Cespe/UnB

Informtica p/PRF (Turma: 15)

www.pontodosconcursos.com.br | Profa. Patrcia Lima Quinto

Informtica em Teoria e Exerccios Comentados

Aula 01 Segurana da Informao

www.pontodosconcursos.com.br | Profa. Patrcia Lima Quinto

Informtica em Teoria e Exerccios Comentados

www.pontodosconcursos.com.br | Profa. Patrcia Lima Quinto

Informtica em Teoria e Exerccios Comentados

O que Significa Segurana?

tangveis: informaes impressas, mveis, hardware (Ex.:impressoras,

Para Beal (2005), ativo de informao qualquer dado ou informao a que

www.pontodosconcursos.com.br | Profa. Patrcia Lima Quinto

Informtica em Teoria e Exerccios Comentados

Moreira (2001, p.20) afirma que:

Segurana se faz protegendo todos os elos da corrente, ou seja, todos

www.pontodosconcursos.com.br | Profa. Patrcia Lima Quinto

Informtica em Teoria e Exerccios Comentados

Os trs princpios considerados centrais ou principais, mais comumente

Confidencialidade (ou sigilo): a garantia de que a informao no

Integridade: destaca que a informao deve ser mantida na condio em que

www.pontodosconcursos.com.br | Profa. Patrcia Lima Quinto

Informtica em Teoria e Exerccios Comentados

A quebra de integridade pode ser considerada sob dois aspectos:

Ex1.: Imagine que algum invada o notebook que est sendo

Ex2: Alterao de sites por hackers (vide a figura seguinte, retirada

Figura. Website UNICEF, que teve seu contedo alterado indevidamente

www.pontodosconcursos.com.br | Profa. Patrcia Lima Quinto

Informtica em Teoria e Exerccios Comentados

Disponibilidade: a garantia de que a informao deve estar disponvel,

Desejamos entregar a informao CORRETA, para a pessoa CERTA, no

Quando falamos em segurana da informao, estamos nos referindo a

www.pontodosconcursos.com.br | Profa. Patrcia Lima Quinto

Informtica em Teoria e Exerccios Comentados

Outros princpios (ou aspectos) podem ainda ser tambm levados em

Autenticao: conforme destaca Stallings (2008), o servio de

Confiabilidade: pode ser caracterizada como a condio em que um

www.pontodosconcursos.com.br | Profa. Patrcia Lima Quinto

Informtica em Teoria e Exerccios Comentados

No repdio (ou irretratabilidade): a garantia de que um agente no

Outro conceito bastante comum para o termo:

O conhecimento do maior nmero de vulnerabilidades possveis permite equipe

www.pontodosconcursos.com.br | Profa. Patrcia Lima Quinto

Informtica em Teoria e Exerccios Comentados

existentes. Podemos citar, como exemplo inicial, uma anlise de ambiente em

ambientes com informaes sigilosas com acesso no controlado;

falta de mecanismos de monitoramento e controle (auditoria);

inexistncia de polticas de segurana;

ausncia de recursos para combate a incndios;

hardware sem o devido acondicionamento e proteo;

falta de atualizao de software e hardware;

ausncia de pessoal capacitado para a segurana;

instalaes prediais fora do padro; etc.

www.pontodosconcursos.com.br | Profa. Patrcia Lima Quinto

Informtica em Teoria e Exerccios Comentados

(inundao etc.), funcionrio insatisfeito, tcnicas (engenharia social, etc.),

Ameaas externas: representadas por todas as tentativas de ataque e

Ameaas internas: esto presentes, independentemente das empresas

www.pontodosconcursos.com.br | Profa. Patrcia Lima Quinto

Informtica em Teoria e Exerccios Comentados

Existem algumas maneiras de se classificar o grau de risco no mercado de

Figura. Ciclo da Segurana da Informao (MOREIRA, 2001)

www.pontodosconcursos.com.br | Profa. Patrcia Lima Quinto