Professional Documents
Culture Documents
Aula 01
Ol, querido (a) amigo (a)! Obrigada pela confiana e seja bem-vindo (a) ao nosso curso.
Mas, faa! pra frente que se anda. pra cima que se olha. lutando que se conquista. #Ficaadica
Vai ser MUITO bacana essa experincia e espero que voc possa aproveitar bastante todo o
curso!
Que Deus o(a) abenoe e sucesso nos estudos!
Profa Patrcia Lima Quinto
Instagram: @patriciaquintao
Facebook: http://www.facebook.com/professorapatriciaquintao (Todo dia com novas dicas,
desafios e muito mais, espero vocs por l para CURTIR a pgina!)
Periscope: patriciaquintao
Twitter: http://www.twitter.com/pquintao
Livro FCC (Impresso ou digital =>
http://www.grupogen.com.br/catalogsearch/result/?q=inform%C3%A1tica+fcc).
QUINTO, PATRCIA LIMA. 1001 Questes Comentadas de Informtica -Cespe, 1. Edio. Ed.
Gen/Mtodo, 2015. http://www.grupogen.com.br/1001-questoes-comentadas-de-informaticacespe.html
Tpicos da Aula
O que Significa Segurana? ............................................................................. 4
Princpios da Segurana da Informao........................................................... 5
Vulnerabilidades de Segurana...................................................................... 10
Ameaas Segurana .................................................................................... 11
Risco.............................................................................................................. 12
Ciclo da Segurana ........................................................................................ 13
Noes de Vrus, Worms e outras Pragas virtuais AMEAAS Segurana da
Informao!! ................................................................................................. 14
Golpes na Internet......................................................................................... 31
Ataques na Internet ...................................................................................... 33
Spams............................................................................................................ 38
Hoaxes (Boatos) ............................................................................................ 38
Cookies .......................................................................................................... 39
Cdigos Mveis .............................................................................................. 40
Janelas de Pop-up ......................................................................................... 40
Plug-ins, Complementos e Extenses ............................................................ 41
Links Patrocinados ........................................................................................ 41
Banners de Propaganda ................................................................................. 42
Programas de Distribuio de Arquivos (P2P) ............................................... 42
Compartilhamento de Recursos ..................................................................... 42
Procedimentos de Segurana ........................................................................ 43
Procedimentos de Backup (Cpia de segurana) ........................................... 48
Noes sobre Criptografia ............................................................................. 55
Hashes Criptogrficos .................................................................................... 59
Assinatura Digital .......................................................................................... 61
Entendendo os Componentes da Infraestrutura de Chaves Pblicas (ICP) .... 62
Certificado Digital .......................................................................................... 63
Certificao Digital ........................................................................................ 66
Esteganografia .............................................................................................. 68
Aplicativos para Segurana ........................................................................... 69
Virtual Private Network (VPN)....................................................................... 78
Autenticao.................................................................................................. 79
Memorex ....................................................................................................... 84
Lista de Questes Comentadas ...................................................................... 89
Consideraes Finais ................................................................................... 148
Bibliografia .................................................................................................. 148
Lista de Questes Apresentadas na Aula ..................................................... 150
Gabarito ...................................................................................................... 167
Acompanhe a Evoluo do seu Aproveitamento ........................................... 168
AUTENTICAO
a capacidade de garantir que um usurio, sistema ou informao
mesmo quem alega ser. A autenticao essencial para a segurana
dos sistemas, ao validar a identificao dos usurios,
concedendo-lhes a autorizao para o acesso aos recursos.
Vulnerabilidades de Segurana
Vulnerabilidade uma fragilidade que poderia ser explorada por uma ameaa
para concretizar um ataque.
10
Ameaas Segurana
Ameaa algo que possa provocar danos segurana da informao, prejudicar
as aes da empresa e sua sustentao no negcio, mediante a explorao de
uma determinada vulnerabilidade.
Em outras palavras, uma AMEAA tudo aquilo que pode comprometer a
segurana de um sistema, podendo ser acidental (falha de hardware, erros
de programao, desastres naturais, erros do usurio, bugs de software, uma
ameaa secreta enviada a um endereo incorreto, etc.) ou deliberada (roubo,
espionagem, fraude, sabotagem, invaso de hackers, entre outros).
Ameaa pode ser uma pessoa, uma coisa, um evento ou uma ideia capaz de
causar dano a um recurso, em termos de confidencialidade, integridade,
disponibilidade etc.
Como exemplos de ameaa podemos destacar: concorrente, cracker, erro
humano (deleo de arquivos digitais acidentalmente etc.), acidentes naturais
11
Risco
RISCO a medida da exposio qual o sistema computacional est sujeito.
Depende da probabilidade de uma ameaa atacar o sistema e do impacto
resultante desse ataque.
Smola (2003, p. 50), diz que risco a probabilidade de ameaas
explorarem
vulnerabilidades,
provocando
perdas
de
confidencialidade,
integridade
e
disponibilidade,
causando,
possivelmente, impactos nos negcios.
Como exemplo de um risco pode-se imaginar um funcionrio insatisfeito e um
martelo ao seu alcance; nesse caso o funcionrio poderia danificar algum ativo
da informao.
12
protege
Medidas de
Segurana
diminui
limitados
Impactos no
negcio
Ativos
sujeitos
aumenta
aumenta
aumenta
permitem
Confidencialidade
Integridade
Disponibilidade
causam
Vulnerabilidades
aumenta
Riscos
Ciclo da
segurana
Ameaas
perdas
13
por
meio
da
como pen-drives;
auto-execuo
de
mdias
removveis
infectadas,
14
Uma vez instalados, os cdigos maliciosos passam a ter acesso aos dados
armazenados no computador e podem executar aes em nome dos usurios, de
acordo com as permisses de cada usurio.
So espcies de malware:
-vrus,
-worms,
-bots,
-cavalos de troia (trojans),
-spyware,
-keylogger,
-screenlogger,
-ransomwares,
-backdoors,
-rootkits, etc.
Vrus
So pequenos cdigos de programao maliciosos que se agregam
a arquivos e so transmitidos com eles.
Em outras palavras,
tecnicamente, um vrus um programa (ou parte de um programa) que se
anexa a um arquivo de programa qualquer (como se o estivesse
parasitando) e depois disso procura fazer cpias de si mesmo em outros
arquivos semelhantes.
15
Vrus
Oligomrfico
16
Vrus de Boot
Vrus de
Macro
17
(de
inmeras
Vrus Stealth
Vrus de
Script
Vrus de
Telefone
Celular
18
destruir/sobrescrever arquivos;
remover contatos da agenda;
efetuar ligaes telefnicas;
o aparelho fica desconfigurado e tentando se
conectar via Bluetooth com outros celulares;
a bateria do celular dura menos
do
que
o
previsto
pelo
fabricante, mesmo quando voc
no fica horas pendurado nele;
emitir
algumas
mensagens
multimdia esquisitas;
tentar se propagar para outros
telefones.
Vrus
Nesse caso, o arquivo de vrus contido em um arquivo
Companheiros separado, que (geralmente) renomeado de modo que ele
ou
seja executado em vez do programa que a vtima pensou
Replicadores que estava carregando.
(Spawning)
Possui o mesmo nome do arquivo executvel, porm
com outra extenso. Ex.: sptrec.com (vrus) <
sptrec.exe (executvel).
19
Worms (Vermes)
Programas parecidos com vrus, mas que na verdade so
capazes de se propagarem automaticamente atravs
de redes, enviando cpias de si mesmo de computador
para computador (observe que os worms APENAS se
copiam, no infectam outros arquivos, eles mesmos
so os arquivos!). Alm disso, geralmente utilizam as
redes
de
comunicao
para
infectar
outros
computadores (via e-mails, Web, FTP, redes das empresas etc.).
Diferentemente do vrus, o worm NO embute cpias de si mesmo em
outros programas ou arquivos e NO necessita ser explicitamente
executado para se propagar. Sua propagao se d atravs da
explorao de vulnerabilidades existentes ou falhas na configurao
de softwares instalados em computadores.
20
Bots (Robs)
De modo similar ao worm, um
programa
capaz
de
se
propagar
automaticamente,
explorando
vulnerabilidades existentes ou falhas na
configurao de software instalado em
um computador.
Adicionalmente ao worm, dispe de
mecanismos de comunicao com o invasor, permitindo que o bot seja
controlado remotamente. Os bots esperam por comandos de um hacker,
podendo manipular os sistemas infectados, sem o conhecimento do usurio.
Segundo CertBr (2012), a comunicao entre o invasor e o computador pelo
bot pode ocorrer via canais de IRC, servidores Web e redes do tipo P2P, entre
outros meios. Ao se comunicar, o invasor pode enviar instrues para que
aes maliciosas sejam executadas, como desferir ataques, furtar dados do
computador infectado e enviar spam.
Nesse ponto, cabe destacar um termo que j foi cobrado vrias vezes
em prova pela banca! Trata-se do significado de botnet, juno da
contrao das palavras robot (bot) e network (net).
Uma rede infectada por bots denominada de botnet (tambm
conhecida como rede zumbi), sendo composta geralmente por milhares
desses elementos maliciosos, que ficam residentes nas mquinas,
aguardando o comando de um invasor.
21
22
23
24
Spyware
Trata-se de um programa espio (spy em
ingls = espio), que tem por finalidade
monitorar as atividades de um sistema e
enviar as informaes coletadas para
terceiros.
www.pontodosconcursos.com.br | Profa. Patrcia Lima Quinto
25
26
27
28
Rootkit
Tipo de malware cuja principal inteno se camuflar, para assegurar
a sua presena no computador comprometido, impedindo que seu
cdigo seja encontrado por qualquer antivrus. Isto possvel por que
esta aplicao tem a capacidade de interceptar as solicitaes feitas ao
sistema operacional, podendo alterar o seu resultado.
O invasor, aps instalar o rootkit, ter acesso privilegiado ao computador
previamente comprometido, sem precisar recorrer novamente aos mtodos
utilizados na realizao da invaso, e suas atividades sero escondidas do
responsvel e/ou dos usurios do computador.
29
Trackware
Trackwares so programas que rastreiam a atividade do sistema,
renem informaes do sistema ou rastreiam os hbitos do usurio,
retransmitindo essas informaes a organizaes de terceiros.
As informaes reunidas por esses programas no so confidenciais nem
identificveis. Os programas de trackware so instalados com o consentimento
do usurio e tambm podem estar contidos em pacotes de outro software
instalado pelo usurio.
30
Golpes na Internet
A seguir, apresentamos alguns dos principais golpes aplicados na Internet,
que podem ser cobrados em provas, fazendo meno utilizao de cdigos
maliciosos (malwares):
31
32
Pharming
O Pharming uma tcnica que utiliza o sequestro ou a "contaminao"
do servidor DNS (Domain Name Server) para levar os usurios a um
site falso, alterando o DNS do site de destino. O sistema tambm pode
redirecionar os usurios para sites autnticos atravs de proxies controlados,
que podem ser usados para monitorar e interceptar a digitao.
Os sites falsificados coletam nmeros de cartes de crdito, nomes de contas,
senhas e nmeros de documentos. Isso feito atravs da exibio de um popup para roubar a informao antes de levar o usurio ao site real. O programa
mal-intencionado usa um certificado auto-assinado para fingir a autenticao
e induzir o usurio a acreditar nele o bastante para inserir seus dados pessoais
no site falsificado. Outra forma de enganar o usurio sobrepor a barra de
endereo
e
status
de
navegador
para
induzi-lo a pensar que est no site legtimo e inserir suas informaes.
Nesse contexto, programas criminosos podem ser instalados nos PCs
dos consumidores para roubar diretamente as suas informaes. Na
maioria dos casos, o usurio no sabe que est infectado, percebendo apenas
uma ligeira reduo na velocidade do computador ou falhas de funcionamento
atribudas a vulnerabilidades normais de software.
Ataques na Internet
Ataque, segundo a norma ISO/IEC 27000 (2009) a tentativa de destruir,
expor, alterar, inutilizar, roubar ou obter acesso no autorizado, ou fazer
uso no autorizado de um ativo.
Os ataques costumam ocorrer na Internet com diversas motivaes (financeiras,
ideolgicas, comerciais, etc.), tendo-se em vista diferentes alvos e usando
variadas tcnicas. Qualquer servio, computador ou rede que seja acessvel via
Internet pode ser alvo de um ataque, assim como qualquer computador com
acesso Internet pode participar de um ataque (CertBr,2012).
A seguir, destacamos algumas das tcnicas utilizadas nos ataques, que podem
ser cobradas na sua prova.
33
34
Como exemplo deste tipo de ataque tem-se o seguinte contexto: gerar uma
sobrecarga no processamento de um computador, de modo que o usurio no
consiga utiliz-lo; gerar um grande trfego de dados para uma rede,
ocasionando a indisponibilidade dela; indisponibilizar servios importantes de
um provedor, impossibilitando o acesso de seus usurios.
Cabe ressaltar que se uma rede ou computador sofrer um DoS, isto no
significa que houve uma invaso, pois o objetivo de tais ataques
indisponibilizar o uso de um ou mais computadores, e no invadi-los.
35
36
Mesmo que o atacante no consiga descobrir a sua senha, voc pode ter
problemas ao acessar a sua conta caso ela tenha sofrido um ataque de fora
bruta, pois muitos sistemas bloqueiam as contas quando vrias tentativas de
acesso sem sucesso so realizadas (Certbr,2012).
Apesar dos ataques de fora bruta poderem ser realizados manualmente, na
grande maioria dos casos, eles so realizados com o uso de ferramentas
automatizadas facilmente obtidas na Internet e que permitem tornar o ataque
bem mais efetivo (Certbr,2012).
As tentativas de adivinhao costumam ser baseadas em (Certbr,2012):
37
Spams
So mensagens de correio eletrnico no autorizadas ou no solicitadas,
sendo um dos grandes responsveis pela propagao de cdigos
maliciosos, disseminao de golpes e venda ilegal de produtos.
O spam no propriamente uma ameaa segurana, mas um portador
comum delas. So spams, por exemplo, os e-mails falsos que recebemos como
sendo de rgos como Receita Federal ou Tribunal Superior Eleitoral. Nesse caso,
os spams costumam induzir o usurio a instalar um dos malwares que vimos
anteriormente.
Os spammers (indivduos que enviam spams) utilizam diversas tcnicas para
coletar os endereos de e-mail, desde a compra de bancos de dados at a
produo de suas prprias listas, geradas a partir de (CERTBR, 2013):
Hoaxes (Boatos)
So as histrias falsas recebidas por e-mail, sites de relacionamentos e
na Internet em geral, cujo contedo, alm das conhecidas correntes, consiste
em apelos dramticos de cunho sentimental ou religioso, supostas campanhas
filantrpicas, humanitrias ou de socorro pessoal ou, ainda, falsos vrus que
ameaam destruir, contaminar ou formatar o disco rgido do computador. A figura
seguinte destaca um exemplo de hoax recebido em minha caixa de e-mails. O
remetente e destinatrios foram embaados de propsito por questo de sigilo.
38
Cookies
So
pequenos
arquivos
que
so
instalados em seu computador durante a navegao, permitindo que os
sites (servidores) obtenham determinadas informaes. isto que permite
que alguns sites o cumprimentem pelo nome, saibam quantas vezes voc o
visitou, etc.
A seguir, destacamos alguns dos riscos relacionados ao uso de cookies
(CERTBR, 2013):
39
indevidamente
Cdigos Mveis
Utilizados por desenvolvedores para incorporar maior funcionalidade e melhorar
a aparncia das pginas Web. Podem representar riscos quando mal
implementados ou usados por pessoas mal-intencionadas. Exemplos:
Janelas de Pop-up
Aparecem automaticamente e sem permisso do usurio, sobrepondo a
janela do navegador Web, aps o acesso a um determinado site.
40
Certbr (2013) destaca alguns riscos que podem ser ocasionados nesse
contexto:
apresentar links, que podem redirecionar a navegao para uma pgina falsa
ou induzi-lo a instalar cdigos maliciosos.
41
Banners de Propaganda
Caso voc tenha uma pgina Web, possvel disponibilizar um espao nela para
que o servio de publicidade apresente banners de seus clientes. Quanto mais a
sua pgina acessada e quanto mais cliques so feitos nos banners por
intermdio dela, mais voc pode vir a ser remunerado.
Um golpe decorrente desse ambiente o malvertising (juno de "malicious"
(malicioso) e "advertsing" (propaganda)). Nesse tipo de golpe so criados
anncios maliciosos e, por meio de servios de publicidade, eles so
apresentados em diversas pginas Web. Geralmente, o servio de
publicidade induzido a acreditar que se trata de um anncio legtimo e, ao
aceit-lo, intermedia a apresentao e faz com que ele seja mostrado em diversas
pginas.
Programas de Distribuio de Arquivos (P2P)
Permitem que os usurios compartilhem arquivos entre si. Exemplos: Kazaa,
Gnutella e BitTorrent. O uso desses programas pode ocasionar: acessos
indevidos a diretrios e arquivos se mal configurado, obteno de arquivos
maliciosos por meio dos arquivos distribudos nesses ambientes, violao
de direitos autorais (com distribuio no autorizada de arquivos de msica,
filmes, textos ou programas protegidos pela lei de direitos autorais).
Compartilhamento de Recursos
Ao fazer um compartilhamento de recursos do seu computador, como diretrios,
discos, e impressoras, com outros usurios, pode estar permitindo:
42
Procedimentos de Segurana
Diante desse grande risco, uma srie de procedimentos, considerados como
boas prticas de segurana podem ser implementados para salvaguardar os
ativos (que o que a segurana da informao busca proteger) da organizao
(CertBR, 2006).
No
ser
um
"caa-brindes",
"papa-liquidaes"
ou
"destruidor-de-promoes", rs! Ao receber e-mails sobre brindes, promoes
ou descontos, reserve um tempo para analisar o e-mail, sua procedncia e
verificar no site da empresa as informaes sobre a promoo em questo.
Vale lembrar que os sites das empresas e instituies financeiras tm mantido
alertas em destaque sobre os golpes envolvendo seus servios. Assim, a visita
43
Alguns elementos que voc deve usar na elaborao de suas senhas so:
nmeros aleatrios; grande quantidade de caracteres; diferentes tipos
de caracteres (CERT.BR,2013).
Mais dicas:
o
crie uma senha que contenha pelo menos oito caracteres, compostos de
letras, nmeros e smbolos.
utilize uma senha diferente para cada servio (por exemplo, uma senha
para o banco, outra para acesso rede corporativa da sua empresa,
outra para acesso a seu provedor de Internet etc.);
44
(ou
root)
somente
quando
for
*Vrus
45
instale um firewall pessoal, que em alguns casos pode evitar que uma
vulnerabilidade existente seja explorada (observe que o firewall no
corrige as vulnerabilidades!!) ou que um worm ou bot se propague.
46
uso adequado de equipamentos de proteo e segurana tais como: UPS (nobreak), filtro de linha, estabilizador de tenso;
47
48
Seja ele qual for a sua escolha, todos tm a mesma finalidade. A diferena est
na capacidade, vida til e segurana de cada um. No aconselhvel o uso de
outra partio do HD principal ou HD Interno, pois se acontecer algum problema
com a mquina, todos os dados (originais e backup) sero perdidos.
Assim, copiar nossas fotos digitais, armazenadas no HD (disco rgido), para um
DVD fazer backup. Se houver algum problema com o HD ou se acidentalmente
apagarmos as fotos, podemos ento restaurar os arquivos a partir do DVD. Nesse
exemplo, chamamos as cpias das fotos no DVD de cpias de segurana ou
backup.
Veja um link interessante sobre esse tema em:
http://olhardigital.uol.com.br/video/cd,-dvd,-pen-drive,-hd-externo-ou-nuvem-qual-omelhor-para-backup-de-arquivos/24351.
Imagem
49
Mtodos de Backup
Existem, basicamente, dois mtodos de Backup.
Atributos de Arquivos
50
51
Assim temos:
Quando um arquivo/pasta est com o atributo marcado, significa que
ele dever ser copiado no prximo backup.
Se estiver desmarcado, significa que, provavelmente, j foi feito um backup
deste arquivo.
Tcnicas (Tipos) de Backup
As principais tcnicas (tipos) de Backup, que podem ser combinadas com
os mecanismos de backup on-line e off-line, esto listadas a seguir:
52
**INCREMENTAL
**DIFERENCIAL
**DIRIO
53
Recuperao do backup
Quanto RECUPERAO do backup:
Para recuperar um backup normal, ser necessria a cpia mais recente do
arquivo ou da fita de backup para restaurar todos os arquivos. Geralmente, o
backup normal executado quando voc cria um conjunto de backup pela
primeira vez.
Se voc estiver executando uma combinao dos backups normal e
diferencial, a restaurao de arquivos e pastas exigir o ltimo backup
normal e o ltimo backup diferencial, j que este contm tudo que diferente
do primeiro.
Se voc utilizar uma combinao dos backups normal e incremental,
precisar do ltimo conjunto de backup normal e de todos os conjuntos de
backups incrementais para restaurar os dados.
O backup dos dados que utiliza uma combinao de backups normal e
incremental exige menos espao de armazenamento e o mtodo mais
rpido. No entanto, a recuperao de arquivos pode ser difcil e lenta porque o
conjunto de backup pode estar armazenado em vrios discos ou fitas.
O backup dos dados que utiliza uma combinao dos backups normal e
diferencial mais longo, principalmente se os dados forem alterados com
frequncia, mas facilita a restaurao de dados, porque o conjunto de backup
geralmente armazenado apenas em alguns discos ou fitas.
Fonte: http://technet.microsoft.com/pt-br/library/cc784306(v=ws.10).aspx
54
como,
55
56
DES (Data Encryption Standard): criado pela IBM em 1977, faz uso de
chaves de 56 bits. Isso corresponde a 72 quadrilhes de combinaes (256
= 72.057.594.037.927.936). um valor absurdamente alto, mas no para
um computador potente. Em 1997, ele foi quebrado por tcnicas de "fora
bruta" (tentativa e erro) em um desafio promovido na internet;
57
Para entender melhor, imagine o seguinte: o USURIO-A criou uma chave pblica
e a enviou a vrios outros sites. Quando qualquer desses sites quiser enviar uma
informao criptografada ao USURIO-A dever utilizar a chave pblica deste.
Quando o USURIO-A receber a informao, apenas ser possvel extra-la com
o uso da chave privada, que s o USURIO-A tem. Caso o USURIO-A queira
enviar uma informao criptografada a outro site, dever conhecer sua chave
pblica.
Entre os algoritmos que usam chaves assimtricas tm-se o RSA (o mais
conhecido), o DSA (Digital Signature Algorithm), o Schnorr (praticamente usado
apenas em assinaturas digitais) e Diffie-Hellman.
58
Hashes Criptogrficos
Hash uma funo matemtica que recebe uma mensagem de entrada e
gera como resultado um nmero finito de caracteres (dgitos verificadores).
uma funo unidirecional. A figura seguinte ilustra alguns exemplos de uso
da funo hash:
59
60
Assinatura Digital
O glossrio criado pela ICP Brasil destaca que a Assinatura Digital um cdigo
anexado ou logicamente associado a uma mensagem eletrnica que
permite de forma nica e exclusiva a comprovao da autoria de um
determinado conjunto de dados (um arquivo, um e-mail ou uma
transao).
A assinatura digital comprova que a pessoa criou ou concorda com um documento
assinado digitalmente, como a assinatura de prprio punho comprova a autoria
de um documento escrito.
Stallings (2008) destaca que a assinatura digital um mecanismo de
AUTENTICAO que permite ao criador de uma mensagem anexar um cdigo
que atue como uma assinatura.
Em outras palavras, a assinatura digital consiste na criao de um
cdigo, atravs da utilizao de uma chave privada, de modo que a
pessoa ou entidade que receber uma mensagem contendo este cdigo
possa verificar se o remetente mesmo quem diz ser e identificar
qualquer mensagem que possa ter sido modificada.
A verificao da assinatura feita com o uso da chave pblica, pois se o texto
foi codificado com a chave privada, somente a chave pblica
correspondente pode decodific-lo (CERT.BR,2013).
CERT.BR (2013) destaca que para contornar a baixa eficincia caracterstica da
criptografia de chaves assimtricas, a codificao feita sobre o hash e no
sobre o contedo em si, pois mais rpido codificar o hash (que possui tamanho
fixo e reduzido) do que a informao toda.
A assinatura formada tomando o hash (Message Digest Resumo de
Mensagem) da mensagem e criptografando-o com a chave privada do
criador.
Assim, a assinatura digital fornece uma prova inegvel de que uma mensagem
veio do emissor. Para verificar esse requisito, uma assinatura deve ter as
seguintes propriedades:
61
62
identificar os titulares
equipamentos;
de
certificados:
indivduos,
organizaes
ou
Certificado Digital
Um certificado digital um documento eletrnico que identifica pessoas,
fsicas ou jurdicas, URLs, contas de usurio, servidores (computadores),
dentre outras entidades. Este documento na verdade uma estrutura de
dados que contm a chave pblica do seu titular e outras informaes de
interesse.
63
Token
64
Indica
qual
formato
de
certificado
est sendo seguido.
Identifica unicamente um certificado dentro do
escopo do seu emissor.
Nome da pessoa, URL ou demais informaes que
esto sendo certificadas.
Informaes da chave pblica do titular.
Data de emisso e expirao.
Entidade que emitiu o certificado.
Valor da assinatura digital feita pelo emissor.
Identificador dos algoritmos de hash + assinatura
utilizados pelo emissor para assinar o certificado.
Campo opcional para estender o certificado.
65
Certificao Digital
Atividade de reconhecimento em meio eletrnico que se caracteriza pelo
estabelecimento de uma relao nica, exclusiva e intransfervel entre
uma chave de criptografia e uma pessoa fsica, jurdica, mquina ou
aplicao. Esse reconhecimento inserido em um Certificado Digital, por
uma Autoridade Certificadora.
66
67
68
Figura. Esteganografia
69
70
AVAST
Exemplos de edies:
Avira
Exemplos de edies:
71
72
Bitdefender
Exemplo: Bitdefender Antivrus, etc.
73
Kaspersky Anti-Virus,
Kaspersky Security for Android, etc.
**AntiSpyware
74
Figura. Firewall
Deve-se observar que isso o torna um potencial gargalo para o trfego de dados
e, caso no seja dimensionado corretamente, poder causar atrasos e diminuir a
performance da rede.
Os firewalls so implementados, em regra, em dispositivos que fazem a
separao da rede interna e externa, chamados de estaes guardis (bastion
75
hosts). Quando o bastion host cai, a conexo entre a rede interna e externa
deixa de funcionar.
As principais funcionalidades oferecidas pelos firewalls so:
regular o trfego de dados entre uma rede local e a rede externa no confivel,
por meio da introduo de filtros para pacotes ou aplicaes;
impedir a transmisso e/ou recepo de acessos nocivos ou no autorizados
dentro de uma rede local;
mecanismo de defesa que restringe o fluxo de dados entre redes, podendo
criar um log do trfego de entrada e sada da rede;
proteo de sistemas vulnerveis ou crticos, ocultando informaes de rede
como nome de sistemas, topologia da rede, identificaes dos usurios, etc.
Vrus de
E-mail
Tentativas
de Phishing
76
**Proxy
um servidor que atua como um intermedirio entre a estao de trabalho e a
Internet realizando filtros nos acessos da Internet. Tambm guarda
informaes sobre as pginas visitadas anteriormente em cache.
Normalmente, a comunicao com um proxy utiliza o protocolo HTTP. Tambm
deve ser definida uma porta de comunicao, j que um proxy recebe e envia
dados por uma porta especfica.
77
Figura.DMZ
Virtual Private Network (VPN)
Uma Virtual Private Network (VPN) ou Rede Virtual Privada uma rede
privada (rede com acesso restrito) construda sobre a estrutura de uma rede
pblica (recurso pblico, sem controle sobre o acesso aos dados), normalmente
a Internet. Ou seja, ao invs de se utilizar links dedicados ou redes de pacotes
para conectar redes remotas, utiliza-se a infraestrutura da Internet, uma vez que
para os usurios a forma como as redes esto conectadas transparente.
Princpios bsicos:
Uma VPN deve prover um conjunto de funes que garantam alguns princpios
bsicos para o trfego das informaes:
1. Confidencialidade tendo-se em vista que estaro sendo usados meios
pblicos de comunicao, imprescindvel que a privacidade da informao seja
garantida, de forma que, mesmo que os dados sejam capturados, no possam
ser entendidos.
2. Integridade na eventualidade da informao ser capturada, necessrio
garantir que no seja alterada e reencaminhada, permitindo que somente
informaes vlidas sejam recebidas.
78
79
One-time passwords:
One-time passwords so senhas de uso nico. A senha a ser utilizada pode
ser definida de acordo com o horrio ou a quantidade
de acessos, de forma que no seja possvel a
reutilizao de uma senha. Esse sistema garante
maior segurana, e usado em sistemas de alta
criticidade, como transaes bancrias. Entretanto, o
problema desse sistema a dificuldade de administrao, uma vez que preciso
o uso de ferramentas adicionais para guardar as senhas, como, por exemplo,
tokens de segurana usados por bancos (Token OTP).
80
Smart Cards:
Smart Cards so cartes que possuem um microchip embutido para o
armazenamento e processamento de informaes. O acesso s
informaes, geralmente, feito por meio de uma senha (Cdigo PIN) e h um
nmero limitado de tentavas de acesso sem sucesso. Caso estoure esse limite, o
carto bloqueado, e s reativado por meio
de um outro cdigo (Cdigo PUK), que
tambm tem um nmero limitado de
tentativas de acesso. Caso estoure esse outro
limite, o carto inutilizado.
Fonte:
http://br.bing.com/images/search?q=%e2%80%a2%09Smart+Cards&FORM=HDRSC2#view=d
etail&id=6178033F6B024D4A8F5A90FE6E3FC86F696D9BFD&selectedIndex=4
Token USB:
O token USB um dispositivo alternativo ao uso do
Smart Card, para armazenamento de um par de
chaves pblicas. Eles armazenam as chaves privadas e os
certificados digitais de um usurio de uma ICP, e possuem
suporte para vrios algoritmos de criptografia como o RSA,
DES e 3DES. Esses tokens implementam funes bsicas de
criptografia com objetivo de impedir o acesso direto chave privada de um
usurio.
Modos de Autenticao
A autenticao, em regra, depende de um ou mais modos ou fatores de
autenticao, listados a seguir:
Algo que o usurio
81
ONDE o usurio
EST
Autenticao Forte
Autenticao forte consiste na autenticao por mais de um modo, ou seja, da
combinao de mais de uma maneira de autenticao.
82
Protocolos de Autenticao
Para a autenticao de usurios por meio de conexes via Internet, foram
desenvolvidos diversos protocolos que permitem a sua realizao de maneira
segura, de forma a:
83
Memorex
84
VPN (Virtual Private Network Rede Privada Virtual): Rede privada que
usa a estrutura de uma rede pblica (como a Internet) para transferir seus
dados (os dados devem estar criptografados para passarem despercebidos e
inacessveis pela Internet).
85
Texto Cifrado: Dado que foi criptografado. O texto cifrado a sada do processo de
criptografia e pode ser transformado novamente em informao legvel em forma de
texto claro a partir da chave de decifrao.
Criptografia Simtrica
Criptografia ASSimtrica
Rpida.
Lenta.
Fonte: http://www.slideshare.net/edmoreno/livro-criptografia-em-hw-e-sw-isbn-8575220691
Na
criptografia
aSSimtrica
ou
simplesmente
criptografia de chaves pblicas, as entidades
envolvidas possuem duas chaves, uma privada e uma
pblica.
Quando
a
inteno
fazer
uso
da
confidencialidade, o emissor/remetente precisa
conhecer a chave pblica do destinatrio/receptor,
sendo assim, o emissor/remetente criptografa a
mensagem
utilizando
a
chave
pblica
do
destinatrio/receptor,
para
descriptografar
a
mensagem o destinatrio utiliza sua prpria chave
privada.
86
Confidencialidade
Integridade
Disponibilidade
Objetivo
Propriedade de que a
informao no esteja
disponvel ou revelada a
indivduos, entidades ou
processos no
autorizados.
Propriedade de
salvaguarda da exatido e
completeza de ativos.
Proteger informao
contra modificao sem
permisso; garantir a
fidedignidade das
informaes.
Propriedade de estar
acessvel e utilizvel sob
demanda por uma
entidade autorizada.
Proteger contra
indisponibilidade dos
servios (ou degradao);
garantir aos usurios com
autorizao, o acesso aos
dados.
87
88
Comentrios
O Nimda (que Admin, de trs para frente) um cdigo malicioso do tipo Worm,
apesar de ser chamado de vrus por alguns autores, que se espalhou rapidamente
pela Web em 2001. Ele buscava falhas de segurana nos sistemas operacionais
para contaminar computadores vulnerveis, em seguida, iniciava o processo de
autopropagao para outras mquinas.
Embora pudesse infectar um PC, o seu real propsito era tornar o trfego da web
mais lento. Ele podia navegar pela Internet usando vrios mtodos, como emails, compartilhamentos de rede abertos, sites comprometidos, dentre outros.
A difuso dessa ameaa fez com que alguns sistemas de rede travassem na
medida em que seus recursos eram disponibilizados ao worm.
Gabarito: item correto.
89
Comentrios
90
Comentrios
De modo similar ao worm, bot (rob) um
programa
capaz
de
se
propagar
automaticamente,
explorando
vulnerabilidades existentes ou falhas na
configurao de software instalado em um
computador. Adicionalmente ao worm, dispe de mecanismos de
comunicao com o invasor, permitindo que o bot seja controlado
remotamente. Os bots esperam por comandos de um hacker, podendo
manipular os sistemas infectados, sem o conhecimento do usurio.
Botnet (tambm conhecida como rede zumbi) uma rede infectada por bots,
sendo composta geralmente por milhares desses elementos maliciosos,
que ficam residentes nas mquinas, aguardando o comando de um
invasor. Quanto mais zumbis (Zombie Computers) participarem da botnet, mais
91
potente ela ser. Um invasor que tenha controle sobre uma botnet pode
utiliz-la para:
coletar informaes de um grande nmero de computadores;
clicar em anncios e gerar receitas fraudulentas;
enviar spam em grande escala;
hospedar sites de phishing;
iniciar ataques de negao de servio que impedem o uso de servios
online etc.
Gabarito: item correto.
92
Comentrios
Conforme destaca SBSEG (2011) um dos mecanismos de defesa contra malware
mais populares ainda o antivrus - um programa que varre arquivos ou
monitora aes pr-definidas em busca de indcios de atividades
maliciosas.
Em geral, os antivrus operam de duas formas para identificar cdigo
malicioso: correspondncia de padres em bancos de dados de
assinaturas ou heursticas comportamentais.
93
worms, visto que esse tipo de ameaa no se propaga por meio de programas
de chat.
Comentrios
O malware (cdigo malicioso) do tipo Worm pode infectar mquinas
desprotegidas, a partir da utilizao de programas de chat. A contaminao pode
acontecer, por exemplo, atravs de textos e fotografias enviados atravs do
programa de chat, com o auxlio de encurtadores de URL. Caso uma pessoa clique
em um dos endereos falsos, a mquina contaminada automaticamente pelo
malware, que em seguida pode se espalhar pela rede de contatos do usurio.
Figura. Bate-Papo
Para preveno contra Worms, mantenha o sistema operacional e demais
softwares do equipamento sempre atualizados; aplique todas as correes de
segurana (patches) disponibilizadas pelos fabricantes, para corrigir eventuais
vulnerabilidades existentes nos softwares utilizados; instale um firewall pessoal,
que em alguns casos pode evitar que uma vulnerabilidade existente seja
explorada (observe que o firewall no corrige as vulnerabilidades!) ou que
um worm se propague.
Gabarito preliminar: item errado.
Comentrios
O antivrus no suficiente, e o responsvel pela mquina dever adotar
proteo em camadas, com outras medidas complementares, envolvendo por
exemplo cuidado com senhas, utilizao de firewall, implantao de correes de
94
Comentrios
O firewall pode bloquear as comunicaes por diversos critrios, previamente
estabelecidos, no entanto, no faz anlise de vrus de anexos de e-mail, pois os
vrus so pacotes de dados como outros quaisquer. Para identificar um vrus
necessria uma anlise mais criteriosa, que onde o antivrus atua.
Figura. Firewall
Gabarito: item errado.
10. (CESPE/DPF/Departamento
de
Polcia
Federal/
Administrador/2014) Phishing um tipo de malware que, por meio de uma
mensagem de email, solicita informaes confidenciais ao usurio, fazendo-se
passar por uma entidade confivel conhecida do destinatrio.
Comentrios
Phishing um tipo de golpe eletrnico cujo objetivo o furto de dados
pessoais, tais como nmero de CPF e dados bancrios. Cespe/UnB destaca que
o phishing lidera hoje o roubo de identidade de usurios, engenharia social e
usa mensagens de email para solicitar informaes confidenciais dos clientes.
95
11. (CESPE/DPF/Departamento
de
Polcia
Federal/Agente
Administrativo/2014) Um dos objetivos da segurana da informao
manter a integridade dos dados, evitando-se que eles sejam apagados ou
alterados sem autorizao de seu proprietrio.
Comentrios
A integridade destaca que a informao deve ser mantida na condio em que
foi liberada pelo seu proprietrio, garantindo a sua proteo contra mudanas
intencionais, indevidas ou acidentais. Em outras palavras, a garantia de que
a informao que foi armazenada a que ser recuperada.
A INTEGRIDADE busca
proteo contra codificao no autorizada.
Modificao somente pelas partes devidamente autorizadas.
Em outras palavras, a integridade de dados refere-se consistncia dos dados.
A segurana da informao visa proteg-la, garantindo que esses dados no
sejam apagados ou alterados por terceiros (Cespe/UnB).
Gabarito: item correto.
Comentrios
Worm (verme) um malware (software malicioso) capaz de se propagar
automaticamente atravs de vrias estruturas de redes (como e-mail, web,
bate-papo, compartilhamento de arquivos em redes locais etc.), enviando cpias
de si mesmo de computador para computador. O objetivo principal dos Worms
no prejudicar ou danificar computadores e/ou arquivos em um sistema, mas,
96
15. (CESPE/CPRM/Analista
em
Geocincias/Conhecimentos
Bsicos/2013) Com relao a vrus de computadores e malwares em geral,
97
julgue o item seguinte. Malwares propagam-se por meio de rede local, discos
removveis, correio eletrnico e Internet.
Comentrios
O termo Malware abrange todos os tipos de programa especificamente
desenvolvidos para executar aes maliciosas em um sistema.
A seguir
destacamos algumas das diversas formas como os cdigos maliciosos podem
infectar ou comprometer um computador:
Uma vez instalados, os cdigos maliciosos (malware) passam a ter acesso aos
dados armazenados no computador e podem executar aes em nome dos
usurios, de acordo com as permisses de cada usurio.
Gabarito: item correto.
16.
(CESPE/CPRM/Tcnico
de
Geocincias/Conhecimentos
Bsicos/2013) No que diz respeito segurana da informao, julgue os
itens que se seguem. A compactao de arquivos evita a contaminao desses
arquivos por vrus, worms e pragas virtuais.
Comentrios
A compactao tenta reduzir o tamanho dos arquivos (isso nem sempre ir
acontecer) no disco rgido no seu computador. No entanto, se o arquivo estiver
infectado por alguma praga virtual, ao ser compactado a situao permanecer
sem alteraes e tal fato no ir evitar a contaminao por malwares.
Gabarito: item errado.
98
17. (CESPE/CPRM/Tcnico
de
Geocincias/Conhecimentos
Bsicos/2013) No que diz respeito segurana da informao, julgue os
itens que se seguem. Ao suspeitar da presena de vrus no computador, o
usurio no deve encaminhar arquivos anexos em emails nem compartilhar
pastas via rede de computadores, devendo, primeiramente, executar o
antivrus, que ir rastrear e eliminar o vrus.
Comentrios
Em caso de suspeita de vrus, o usurio deve executar ferramentas antimalware,
como o antivrus, devidamente atualizadas, para tentar eliminar o cdigo
malicioso da mquina. Enquanto essa ao no realizada, deve-se evitar a
realizao de atividades que iro contribuir para propagar a infeco para outros
computadores, como compartilhar pastas via rede, enviar e-mails com anexos,
etc.
Gabarito: item correto.
Conceito
Objetivo
Confidencialidade
Trata-se da preveno
do vazamento da
informao para
usurios ou sistemas
que no esto
autorizados a ter
acesso a tal
informao.
Integridade
Propriedade de
salvaguarda da
99
Disponibilidade
exatido e completeza
de ativos.
Trata-se da
manuteno da
disponibilizao da
informao, ou seja, a
informao precisa
estar disponvel
quando se necessita.
Proteger contra
indisponibilidade dos servios
(ou degradao); garantir aos
usurios com autorizao, o
acesso aos dados.
19. (CESPE/TJ-DFT/Tcnico
Judicirio/rea
Administrativa/2013)
Backdoor uma forma de configurao do computador para que ele engane
os invasores, que, ao acessarem uma porta falsa, sero automaticamente
bloqueados.
Comentrios
O backdoor uma falha de segurana de um dado programa ou sistema
operacional que permite a invaso de um dado sistema por um hacker de modo
que ele obtm total controle do computador.
Gabarito: item errado.
20.
(CESPE/PCDF/ESCRIVO/2013) Rootkit um tipo de praga virtual de
difcil deteco, visto que ativado antes que o sistema operacional tenha sido
completamente inicializado.
Comentrios
Certbr (2012) define rootkit como: um conjunto de programas e tcnicas
que permite esconder e assegurar a presena de um invasor ou de outro
cdigo malicioso em um computador comprometido". Avast (2010) destaca
100
101
102
Comentrios
Os quatro princpios considerados centrais ou principais, mais comumente
cobrados em provas, esto listados na questo, a saber: a confidencialidade, a
integridade, a disponibilidade e a autenticidade ( possvel encontrar a sigla
CIDA, ou DICA, para fazer meno a estes princpios!).
D
isponibilidade
ntegridade
onfidencialidade
utenticidade
103
104
31. (CESPE/TJ-DFT/2013/Tcnico
Judicirio/rea
Administrativa)
Autenticidade um critrio de segurana para a garantia do reconhecimento
da identidade do usurio que envia e recebe uma informao por meio de
recursos computacionais.
Comentrios
Autenticidade um critrio de segurana para a garantia do reconhecimento
da identidade somente do usurio que envia uma informao por meio de
recursos computacionais.
Gabarito: item errado.
105
106
Comentrios
O becape increMental Marca o arquivo como "backupeado", isso implica
desmarcar o flag archive.
Gabarito preliminar: item correto.
107
37.
(CESPE/Agente Tcnico de Inteligncia rea de Tecnologia da
Informao ABIN/2010) A chave assimtrica composta por duas
chaves criptogrficas: uma privada e outra pblica.
Comentrios
A criptografia de chave pblica (aSSimtrica) utiliza duas chaves: uma
denominada privada e outra denominada pblica. Nesse mtodo, uma pessoa
deve criar uma chave de codificao e envi-la a quem for mandar informaes
a ela. Essa a chave pblica. Outra chave deve ser criada para a decodificao.
Esta a chave privada secreta.
Gabarito: item correto.
38. (CESPE/Oficial Tcnico de Inteligncia-rea de Arquivologia ABIN/2010) A respeito de mecanismos de segurana da informao, e
considerando que uma mensagem tenha sido criptografada com a chave
pblica de determinado destino e enviada por meio de um canal de
comunicao, pode-se afirmar que a mensagem criptografada com a chave
pblica do destinatrio garante que somente quem gerou a informao
criptografada e o destinatrio sejam capazes de abri-la.
108
Comentrios
Quando se criptografa a mensagem com a chave pblica do destinatrio ela
poder ser aberta (descriptografada) apenas pelo destinatrio, j que s ele
tem acesso sua chave privada. O remetente (quem gerou a mensagem) j
tem acesso mensagem em claro, no criptografada.
Gabarito: item errado.
39.
(CESPE/2010/Caixa/Tcnico Bancrio) O destinatrio de uma
mensagem assinada utiliza a chave pblica do remetente para garantir que
essa mensagem tenha sido enviada pelo prprio remetente.
Comentrios
Esta uma das utilidades do uso de criptografia assimtrica. O emissor utiliza
sua chave privada para encriptar a mensagem, sendo possvel a decriptao
apenas com sua chave pblica. Assim, pode-se confirmar que o emissor quem
diz ser, pois somente a chave dele permite decriptar a mensagem.
Complementando, a questo refere-se ao princpio da autenticidade e
exatamente isso, a mensagem criptografada com a chave privada do
remetente, e descriptografada pelo destinatrio/receptor utilizando a chave
pblica do remetente/emissor.
Gabarito: item correto.
40. (CESPE/2010/Caixa/Tcnico Bancrio) A assinatura digital facilita a
identificao de uma comunicao, pois baseia-se em criptografia simtrica de
uma nica chave.
Comentrios
A assinatura digital facilita a identificao de uma comunicao, mas baseia-se
em criptografia assimtrica com par de chaves: uma pblica e outra privada.
Gabarito: item errado.
41.
(CESPE/TCU/Tcnico Federal de Controle Externo/2012) Por meio
de certificados digitais, possvel assinar digitalmente documentos a fim de
garantir o sigilo das informaes contidas em tais documentos.
109
Comentrios
A assinatura digital, por si s, no garante a confidencialidade (sigilo) dos dados,
pois, teoricamente, todos possuem a chave pblica do remetente. Essa
confidencialidade obtida por meio de tcnicas de criptografia, que so utilizadas
em conjunto com as assinaturas digitais!
A assinatura digital fornece uma prova inegvel de que uma mensagem veio do
emissor. Para verificar esse requisito, uma assinatura deve ter as seguintes
propriedades:
110
44. (CESPE/Tcnico
Bancrio/Carreira
administrativaCaixa
Econmica Federal-NM1/2010) Para assinar uma mensagem digital, o
remetente usa uma chave privada.
Comentrios
O remetente usa sua chave privada para realizar um processo matemtico com
a mensagem, gerando caracteres de assinatura (chamamos aqui de assinar a
mensagem).
Gabarito: item correto.
45.
(CESPE/AL-ES/Cargos de Nvel Mdio/2011)
Existem diversos
dispositivos que protegem tanto o acesso a um computador quanto a toda
uma rede. Caso um usurio pretenda impedir que o trfego com origem na
Internet faa conexo com seu computador pessoal, a tecnologia adequada a
ser utilizada nessa situao ser o IpV6.
Comentrios
IpV6 a verso mais atual do protocolo IP. O dispositivo a ser utilizado para
impedir que o trfego com origem na Internet faa conexo com o computador
pessoal do usurio o Firewall, que tem por objetivo aplicar uma poltica de
segurana a um determinado ponto da rede.
Gabarito: item errado.
111
47. (CESPE/CBM-DF/Oficial
Bombeiro
Militar
Complementar/Informtica/2011) Em uma VPN (virtual private network)
que utilize a tcnica de tunelamento, os contedos dos pacotes que trafegam
pela Internet so criptografados, ao passo que, para permitir o roteamento
eficiente dos pacotes, os seus endereos de origem e de destino permanecem
no criptografados.
Comentrios
Na tcnica de tunelamento, os dados e endereos esto em um nico pacote de
dados, que est criptografado. Assim, todo o contedo do pacote
criptografado, inclusive os endereos de origem e de destino.
Gabarito: item errado.
112
50.
(CESPE/TJ-ES/CBNS1_01/Superior/2011) Tecnologias como a
biometria por meio do reconhecimento de digitais de dedos das mos ou o
reconhecimento da ris ocular so exemplos de aplicaes que permitem
exclusivamente garantir a integridade de informaes.
Comentrios
A biometria est sendo cada vez mais utilizada na segurana da informao,
permitindo a utilizao de caractersticas corporais, tais como: impresses
digitais, timbre de voz, mapa da ris, anlise geomtrica da mo, etc., em
mecanismos de autenticao. O princpio da integridade destaca que a
informao deve ser mantida na condio em que foi liberada pelo seu
proprietrio, e teremos outros mecanismos na organizao para mant-la. A
biometria, no entanto, garante-nos a autenticidade, relacionada capacidade de
garantir a identidade de uma pessoa (fsica ou jurdica) que acessa as
informaes
do
sistema
ou
de
um
servidor
(computador).
Gabarito: item errado.
113
52. (CESPE/TJ-ES/CBNS1_01/Superior/2011)
O
conceito
de
confidencialidade refere-se a disponibilizar informaes em ambientes digitais
apenas a pessoas para as quais elas foram destinadas, garantindo-se, assim,
o sigilo da comunicao ou a exclusividade de sua divulgao apenas aos
usurios autorizados.
Comentrios
A confidencialidade a garantia de que a informao no ser conhecida por
quem no deve, ou seja, somente pessoas explicitamente autorizadas podero
acess-las.
Gabarito: item correto.
114
Princpio bsico
Conceito
Objetivo
Confidencialidade
Propriedade de que a
informao no esteja
Proteger contra o acesso no
disponvel ou revelada a
autorizado, mesmo para dados
indivduos, entidades ou
em trnsito.
processos
no
autorizados.
115
Integridade
Disponibilidade
Proteger
contra
Propriedade de estar indisponibilidade dos servios
acessvel e utilizvel sob (ou degradao);
demanda
por
uma Garantir aos usurios com
entidade autorizada.
autorizao, o acesso aos
dados.
116
Comentrios
O Firewall no protege contra infeco de vrus e sim contra o acesso no
autorizado (invases), quem protege contra infeco de vrus o Antivrus.
Gabarito: item errado.
58. (CESPE/Analista Judicirio - Tecnologia da Informao-TREMT/2010) A confidencialidade tem a ver com salvaguardar a exatido e a
inteireza das informaes e mtodos de processamento. Para tanto,
necessrio que os processos de gesto de riscos identifiquem, controlem,
minimizem ou eliminem os riscos de segurana que podem afetar sistemas de
informaes, a um custo aceitvel.
Comentrios
Primeiro, a confidencialidade a garantia de segredo. A afirmao fala da
Integridade. Outra coisa que no se fala em ELIMINAR riscos e sim minimizar.
Gabarito: item errado.
117
61. (CESPE/Tcnico
Administrativo
ANATEL/2009)
Com
o
desenvolvimento da Internet e a migrao de um grande nmero de sistemas
especializados de informao de grandes organizaes para sistemas de
propsito geral acessveis universalmente, surgiu a preocupao com a
segurana das informaes no ambiente da Internet. Acerca da segurana e
da tecnologia da informao, julgue o item a seguir.
-> A disponibilidade e a integridade so itens que caracterizam a segurana
da informao. A primeira representa a garantia de que usurios autorizados
tenham acesso a informaes e ativos associados quando necessrio, e a
segunda corresponde garantia de que sistemas de informaes sejam
acessveis apenas queles autorizados a acess-los.
Comentrios
O conceito de disponibilidade est correto, mas o conceito de integridade no. O
conceito apresentado na questo foi o de confidencialidade: garantia de que
sistemas de informaes sejam acessveis apenas queles autorizados a acesslos.
Gabarito: item errado.
118
119
Comentrios
Cumpre a funo de controlar os acessos. Uma vez estabelecidas suas regras,
passam a gerenciar tudo o que deve entrar e sair da rede corporativa, tendo um
conjunto maior de regras para bloqueio de conexes oriundas de fora do
computador.
Gabarito: item correto.
64. (CESPE/2010/Escrivo de Polcia Federal) A configurao da proteo
contra malwares exposta na figura indica que existe no host uma base de
assinaturas de vrus instalada na mquina.
Comentrios
A figura destaca que no existe antivrus instalado no equipamento, e tambm
mostra que a proteo contra spyware e outro malware encontra-se
desatualizada. No possvel destacar pela figura que existe no host
(equipamento) uma base de assinaturas de vrus.
Gabarito: item errado.
65. (CESPE/2010/Caixa/Tcnico
Bancrio/Administrativo)
Uma
autoridade de registro emite o par de chaves do usurio que podem ser
utilizadas tanto para criptografia como para assinatura de mensagens
eletrnicas.
Comentrios
a autoridade de registro recebe as solicitaes de certificados dos usurios e as
envia autoridade certificadora que os emite.
Gabarito: item errado.
120
121
66. (CESPE/Tcnico Judicirio/Programao de Sistemas - TREMT/2010) Disponibilidade a garantia de que o acesso informao seja
obtido apenas por pessoas autorizadas.
Comentrios
A disponibilidade garante que a informao estar l quando for preciso acessla. Obviamente, o acesso s ser permitido a quem de direito. O texto da questo
afirma que a disponibilidade a garantia de que o acesso informao seja obtido
apenas por pessoas autorizadas, o que a garantia da confidencialidade.
Gabarito: item errado.
67. (CESPE/TRE-MT/Tcnico
Judicirio
Programao
de
Sistemas/2010) Confidencialidade a garantia de que os usurios
autorizados obtenham acesso informao e aos ativos correspondentes
sempre que necessrio.
Comentrios
O texto refere-se disponibilidade. A informao deve estar disponvel a quem
de direito.
Gabarito: item errado.
68. (CESPE/UERN/Agente
Tcnico
Administrativo/2010)
A
disponibilidade da informao a garantia de que a informao no ser
alterada durante o trnsito entre o emissor e o receptor, alm da garantia de
que ela estar disponvel para uso nesse trnsito.
122
Comentrios
Nem uma coisa nem outra. A disponibilidade garante que a informao estar
disponvel aos usurios com direito de acesso quando for preciso, mas no local
apropriado para o armazenamento.
Gabarito: item errado.
69. (CESPE/AGU/Contador/2010) Um arquivo criptografado fica protegido
contra contaminao por vrus.
Comentrios
O arquivo criptografado no elimina a possibilidade de infeco por vrus.
Lembre-se de que a criptografia modifica os smbolos do texto, mas no impede
a incluso de vrus na sequncia.
Gabarito: item errado.
70. (CESPE/UERN/Agente Tcnico Administrativo/2010) Cavalo de troia
um programa que se instala a partir de um arquivo aparentemente
inofensivo, sem conhecimento do usurio que o recebeu, e que pode oferecer
acesso de outros usurios mquina infectada.
Comentrios
O Trojan Horse (Cavalo de Troia) pode utilizar um mecanismo de propagao
bastante eficiente, escondendo-se dentro de um aplicativo til.
Gabarito: item correto.
71.
(CESPE/UERN/Agente Tcnico Administrativo/2010) O uso de um
programa
anti-spam
garante
que
software
invasor
ou
usurio
mal-intencionado no acesse uma mquina conectada a uma rede.
Comentrios
Anti-spam refere-se aos e-mails indesejados apenas. um software que filtra
os e-mails recebidos separando os no desejados.
Gabarito: item errado.
123
124
Comentrios
O termo backup (cpia de segurana) est relacionado s cpias feitas de um
arquivo ou de um documento, de um disco, ou um dado, que devero ser
guardadas sob condies especiais para a preservao de sua integridade no que
diz respeito tanto forma quanto ao contedo, de maneira a permitir o resgate
de programas ou informaes importantes em caso de falha ou perda dos
originais.
Gabarito: item correto.
75. (CESPE/EMBASA/Analista de Saneamento - Analista de TI rea:
Desenvolvimento/2010) O princpio da autenticao em segurana diz que
um usurio ou processo deve ser corretamente identificado. Alm disso, todo
processo ou usurio autntico est automaticamente autorizado para uso dos
sistemas.
Comentrios
por meio da autenticao que se confirma a identidade do usurio ou processo
(programa) que presta ou acessa as informaes. No entanto, afirmar que TODO
processo ou usurio autntico est automaticamente autorizado falsa, j que
essa autorizao depender do nvel de acesso que ele possui. Em linhas gerais,
autenticao o processo de provar que voc quem diz ser. Autorizao
o processo de determinar o que permitido que voc faa depois que voc foi
autenticado!!
Gabarito: item errado.
76. (CESPE/TRE-MT/Analista
Judicirio
Tecnologia
da
Informao/2010) Uma das vantagens da criptografia simtrica em relao
assimtrica a maior velocidade de cifragem ou decifragem das mensagens.
Embora os algoritmos de chave assimtrica sejam mais rpidos que os de
chave simtrica, uma das desvantagens desse tipo de criptografia a
exigncia de uma chave secreta compartilhada.
Comentrios
Inverteu os conceitos. Os algoritmos mais rpidos e que compartilham chaves
so os algoritmos de chave simtrica.
125
126
80. (CESPE/2010/CAIXA-NM1/
TCNICO
BANCRIO/CARREIRA
ADMINISTRATIVA) O ITI (Instituto Nacional de Tecnologia da Informao)
tambm conhecido como Autoridade Certificadora Raiz Brasileira.
Comentrios
A Autoridade Certificadora RAIZ (AC Raiz) primeira autoridade da cadeia
de certificao e compete a ela emitir, expedir, distribuir, revogar e
gerenciar os certificados das AC de nvel imediatamente subsequente,
gerenciar a lista de certificados emitidos, revogados e vencidos, e executar
atividades de fiscalizao e auditoria das ACs e das ARs e dos prestadores
de servio habilitados na ICP. A funo da AC-Raiz foi delegada ao Instituto
Nacional de Tecnologia da Informao ITI, autarquia federal atualmente
ligada Casa Civil da Presidncia da Repblica. Logo, o ITI tambm conhecido
como Autoridade Certificadora Raiz Brasileira. A AC-Raiz s pode emitir
certificados s ACs imediatamente subordinadas, sendo vedada de emitir
certificados a usurios finais.
Gabarito: item correto.
81. (CESPE/2010/CAIXA-NM1/
TCNICO
BANCRIO/CARREIRA
ADMINISTRATIVA) PKI ou ICP o nome dado ao certificado que foi emitido
por uma autoridade certificadora.
Comentrios
PKI (Public Key Infrastrusture) a infraestrutura de chaves pblicas. A ICPBrasil um exemplo de PKI.
Gabarito: item errado.
82. (CESPE/2010/CAIXA-NM1/
TCNICO
BANCRIO/CARREIRA
ADMINISTRATIVA) Um certificado digital pessoal, intransfervel e no
possui data de validade.
Comentrios
Um certificado digital um documento eletrnico que identifica pessoas,
fsicas ou jurdicas, URLs, contas de usurio, servidores (computadores)
dentre outras entidades. Este documento na verdade uma estrutura de
127
128
129
130
Especialidade:
Operao de computadores) Firewalls so equipamentos tpicos do
permetro de segurana de uma rede, sendo responsveis pela deteco e
conteno de ataques e intruses.
Comentrios
Os firewalls so equipamentos tpicos do permetro de segurana de uma rede,
no entanto o IPS (Sistema de Preveno de Intruso) que faz a deteco de
ataques e intruses, e no o firewall!!
O firewall permite restringir o trfego de comunicao de dados entre a parte da
rede que est dentro ou antes do firewall, protegendo-a assim das ameaas
da rede de computadores que est fora ou depois do firewall. Esse mecanismo
de proteo geralmente utilizado para proteger uma rede menor (como os
computadores de uma empresa) de uma rede maior (como a Internet).
Gabarito: item errado.
89.
(CESPE/2008/TRT-1R/Analista
Judicirio-Adaptada)
Uma
caracterstica das redes do tipo VPN (virtual private networks) que elas
nunca devem usar criptografia, devido a requisitos de segurana e
confidencialidade.
Comentrios
Uma VPN (Virtual Private Network Rede Privada Virtual) uma rede
privada (no de acesso pblico!) que usa a estrutura de uma rede pblica
(como por exemplo, a Internet) para transferir seus dados (os dados devem
estar criptografados para passarem despercebidos e inacessveis pela Internet).
As VPNs so muito utilizadas para interligar filiais de uma mesma empresa, ou
fornecedores com seus clientes (em negcios eletrnicos) atravs da estrutura
fsica de uma rede pblica.
131
132
133
134
135
136
Comentrios
Os hoaxes (boatos) so e-mails que possuem contedos alarmantes ou falsos
e que, geralmente, tm como remetente ou apontam como autora da mensagem
alguma instituio, empresa importante ou rgo governamental. Atravs de
uma leitura minuciosa deste tipo de e-mail, normalmente, possvel identificar
em seu contedo mensagens absurdas e muitas vezes sem sentido.
Normalmente, os boatos se propagam pela boa vontade e solidariedade de quem
os recebe. Isto ocorre, muitas vezes, porque aqueles que o recebem: confiam
no remetente da mensagem; no verificam a procedncia da mensagem; no
checam a veracidade do contedo da mensagem.
Spam o envio em massa de mensagens de correio eletrnico (e-mails) NO
autorizadas pelo destinatrio.
Portanto, o hoax pode ser considerado um spam, quando for enviado em massa
para os destinatrios, de forma no-autorizada.
Gabarito: item correto.
99.
(CESPE/2008/TRT-1R/Analista
Judicirio)
Os
arquivos
denominados cookies, tambm conhecidos como cavalos de troia, so vrus de
computador, com inteno maliciosa, que se instalam no computador sem a
autorizao do usurio, e enviam, de forma automtica e imperceptvel,
informaes do computador invadido.
Comentrios
Cookies no so vrus, e sim arquivos lcitos que permitem a identificao do
computador cliente no acesso a uma pgina. Podem ser utilizados para guardar
preferncias do usurio, bem como informaes tcnicas como o nome e a verso
do browser do usurio.
Gabarito: item errado.
100. (CESPE/2008/TRT-1R/Analista
Judicirio)
Os
programas
denominados worm so, atualmente, os programas de proteo contra vrus
de computador mais eficazes, protegendo o computador contra vrus, cavalos
de troia e uma ampla gama de softwares classificados como malware.
137
Comentrios
O antivrus seria a resposta correta nesse item. O worm um tipo especfico de
malware.
Gabarito: item errado.
101. (CESPE/2004/Polcia Rodoviria Federal)
138
Comentrios
Ao clicar com o boto direito do mouse aberto um menu de contexto, mas no
exibida a opo de exportar a figura para qualquer aplicativo do Office. Tambm
aparece outro erro na questo ao afirmar que o Paint faz parte do pacote Office,
o que no est correto.
Gabarito: item errado.
102. (CESPE/2004/Polcia Rodoviria Federal) II. Para evitar que as
informaes obtidas em sua pesquisa, ao trafegarem na rede mundial de
computadores, do servidor ao cliente, possam ser visualizadas por quem
estiver monitorando as operaes realizadas na Internet, o usurio tem
disposio diversas ferramentas cuja eficincia varia de implementao para
implementao. Atualmente, as ferramentas que apresentam melhor
desempenho para a funcionalidade mencionada so as denominadas sniffers
e backdoors e os sistemas ditos firewall, sendo que, para garantir tal eficincia,
todas essas ferramentas fazem uso de tcnicas de criptografia tanto no
servidor quanto no cliente da aplicao Internet.
Comentrios
Os sniffers (capturadores de quadros) so dispositivos ou programas de
computador que capturam quadros nas comunicaes realizadas em uma rede
de computadores, armazenando tais quadros para que possam ser analisados
posteriormente por quem instalou o sniffer. Pode ser usado por um invasor para
capturar informaes sensveis (como senhas de usurios), em casos onde
estejam sendo utilizadas conexes inseguras, ou seja, sem criptografia.
O backdoor (porta dos fundos) um programa que, colocado no micro
da vtima, cria uma ou mais falhas de segurana, para permitir que o
invasor que o colocou possa facilmente voltar quele computador em
um momento seguinte. (Caiu em prova do Cespe/2014).
Portanto, ao contrrio do que o item II afirma, os sniffers e backdoors no sero
utilizados para evitar que informaes sejam visualizadas na mquina.
Gabarito: item errado.
103. (CESPE/2004/Polcia Rodoviria Federal) III. Por meio da guia
Privacidade, acessvel quando Opes da Internet clicada no menu
, o usurio tem acesso a recursos de configurao do Internet
Explorer 6 que permitem definir procedimento especfico que o aplicativo
139
140
upload
das
assinaturas
dos
vrus
Comentrios
Existem dois modos de transferncia de arquivo: upload e download.
O upload o termo utilizado para designar a transferncia de um dado de um
computador local para um equipamento remoto.
O download o contrrio, termo utilizado para designar a transferncia de um
dado de um equipamento remoto para o seu computador.
Exemplo:
-se queremos enviar uma informao para o servidor de FTP -> estamos
realizando um upload;
-se queremos baixar um arquivo mp3 de um servidor -> estamos fazendo
download.
No ser feito upload de assinaturas de vrus para a mquina do usurio. Um
programa antivrus capaz de detectar a presena de malware (vrus, vermes,
cavalos de troia etc.) em e-mails ou arquivos do computador. Esse utilitrio
conta, muitas vezes, com a vacina capaz de matar o malware e deixar o arquivo
infectado sem a ameaa.
Gabarito: item errado.
108. (CESPE/2009/TRE-MG) Os antivrus atuais permitem a atualizao de
assinaturas de vrus de forma automtica, sempre que o computador for
conectado Internet.
141
Comentrios
Alguns fornecedores de programas antivrus distribuem atualizaes regulares do
seu produto. Muitos programas antivrus tm um recurso de atualizao
automtica. Quando o programa antivrus atualizado, informaes sobre novos
vrus so adicionadas a uma lista de vrus a serem verificados. Quando no possui
a vacina, ele, pelo menos, tem como detectar o vrus, informando ao usurio
acerca do perigo que est iminente.
Gabarito: item correto.
109. (CESPE/2009/ANATEL/TCNICO
ADMINISTRATIVO)
Com
o
desenvolvimento da Internet e a migrao de um grande nmero de sistemas
especializados de informao de grandes organizaes para sistemas de
propsito geral acessveis universalmente, surgiu a preocupao com a
segurana das informaes no ambiente da Internet. Acerca da segurana e
da tecnologia da informao, julgue o item seguinte.
A disponibilidade e a integridade so itens que caracterizam a segurana da
informao. A primeira representa a garantia de que usurios autorizados
tenham acesso a informaes e ativos associados quando necessrio, e a
segunda corresponde garantia de que sistemas de informaes sejam
acessveis apenas queles autorizados a acess-los.
Comentrios
O trecho que define a disponibilidade como "a garantia de que usurios
autorizados tenham acesso a informaes e ativos associados quando necessrio"
est correto, no entanto, a afirmativa de que a integridade "a garantia de que
sistemas de informaes sejam acessveis apenas queles autorizados a acesslos" falsa (nesse caso o termo correto seria confidencialidade!).
A disponibilidade garante que a informao e todos os canais de acesso ela
estejam sempre disponveis quando um usurio autorizado quiser acess-la.
Como dica para memorizao, temos que a confidencialidade o segredo e a
disponibilidade poder acessar o segredo quando se desejar!!
J a integridade garante que a informao deve ser mantida na condio em
que foi liberada pelo seu proprietrio, garantindo a sua proteo contra mudanas
intencionais, indevidas ou acidentais a informao. Em outras palavras, a
informao deve manter todas as caractersticas originais durante sua existncia.
Estas caractersticas originais so as estabelecidas pelo proprietrio da
142
Comentrios
Backup refere-se cpia de dados de um dispositivo para o outro com o objetivo
de posteriormente os recuperar (os dados), caso haja algum problema. Essa
cpia pode ser realizada em vrios tipos de mdias, como CDs, DVSs, fitas DAT
etc. de forma a proteg-los de qualquer eventualidade. O boto
para salvar um documento!!
utilizado
143
144
Comentrios
Cookies so pequenos arquivos de texto que so instalados em seu
computador durante a navegao, permitindo que os sites (servidores)
obtenham determinadas informaes. isto que permite que alguns sites o
cumprimentem pelo nome, saibam quantas vezes voc o visitou, etc.
A seguir destacamos alguns dos riscos relacionados ao uso de cookies (CERTBR,
2013):
indevidamente
Gabarito: letra C.
145
146
116. (Elaborao Prpria) correto afirmar que por padro, o trfego de sada
do firewall do Windows 7 bloqueado, a menos que seja uma resposta a uma
solicitao do host (trfego solicitado) ou seja especificamente permitido
(tenha sido criada uma regra de firewall para permitir o trfego).
Comentrios
possvel configurar o Firewall do Windows para permitir explicitamente o trfego
especificando um nmero de porta, nome do aplicativo, nome do servio ou
outros critrios, por meio de regras definidas pelo administrador.
Por padro, o trfego de entrada bloqueado, a menos que seja uma
resposta a uma solicitao do host (trfego solicitado), ou tenha sido
especificamente permitido (isto , tenha sido criada uma regra de
firewall para permitir o trfego). As conexes de sada so permitidas,
por padro, a menos que correspondam a uma regra que as bloqueie
(Microsoft,2013).
Gabarito: item errado.
b) diferencial.
c) dirio.
d) parcial. e) incremental.
Comentrios
Nesse caso o mais indicado a criao de backups increMentais, aps a criao
do backup normal. O backup incremental copia somente os arquivos
CRIADOS ou ALTERADOS desde o ltimo backup normal ou incremental.
E nesse tipo de backup, o atributo de arquivamento (arquivo morto)
DESMARCADO: limpa os marcadores!!
147
Gabarito: letra E.
Consideraes Finais
Por hoje ficamos por aqui. Espero que esse material, feito com todo o carinho,
ajude-o a entender melhor o funcionamento das ameaas virtuais e principais
medidas de segurana que devem ser adotadas para se proteger dessas
ameaas, e o ajude a acertar as questes de segurana da sua prova!
Um grande abrao,
Profa Patrcia Lima Quinto
Bibliografia
QUINTO, PATRCIA LIMA. Notas de aula da disciplina Segurana da
Informao. 2016.
QUINTO, PATRCIA LIMA. Informtica-FCC-Questes Comentadas
Organizadas por Assunto, 3. Edio. Ed. Gen/Mtodo, 2014 .
QUINTO, PATRCIA LIMA. 1001 Questes Comentadas de Informtica Cespe, 1. Edio. Ed. Gen/Mtodo, 2015.
ABNT NBR ISO/IEC 27002:2005 Tecnologia da Informao Tcnicas de
Segurana Cdigo de Prtica para a Gesto de Segurana da Informao (antiga
17799:2005).
CERTBR. Cartilha de Segurana para Internet. Verso 4.0. Disponvel em:
<http://cartilha.cert.br/livro/cartilha-seguranca-internet.pdf>. 2012.
ALBUQUERQUE, R.; RIBEIRO, B. Segurana no Desenvolvimento de
Software. Rio de Janeiro: Campus, 2002.
Mapas e Questes. Disponvel em: <http://www.mapasequestoes.com.br>.
2013.
148
149
3. (CESPECEBRASP/2015/MPENAP)
Trackwares so programas que
rastreiam a atividade do sistema,
renem informaes do sistema
ou rastreiam os hbitos do
usurio,
retransmitindo
essas
informaes a organizaes de
terceiros.
4. (CESPE/2015/TREGO/Analista Judicirio) Acerca
de procedimentos de segurana e
de ensino a distncia, julgue o
item
subsecutivo.
[Botnet uma rede formada por
inmeros computadores zumbis e
que permite potencializar as
aes danosas executadas pelos
bots, os quais so programas
similares
ao
worm
e
que
possuem
mecanismos
de
controle remoto].
5. (CESPE/2015/TREGO/Analista
Judicirio)
Quanto
segurana
da
informao, sugere-se que se
crie um disco de recuperao do
sistema,
assim
como
se
desabilite a autoexecuo de
mdias removveis e de arquivos
anexados.
6. (CESPE/2014/TJSE/Conhecimentos
Bsicos
para os Cargos 3,8 a 18)
Diversos vrus de computadores
so criados diariamente e muitos
no
so
detectados
por
ferramentas
de
antivrus.
A
respeito desse assunto, julgue os
itens a seguir.
Para tentar prevenir uma infeco
por vrus ou malware, algumas
ferramentas
de
antivrus
procedem
deteco
por
heurstica, tcnica de deteco de
vrus baseada no comportamento
150
anmalo ou
software.
malicioso
de
um
7. (CESPE/CADE/Nvel
Intermedirio/2014)
O
computador utilizado pelo usurio
que acessa salas de bate-papo no
est vulnervel infeco por
worms, visto que esse tipo de
ameaa no se propaga por meio
de programas de chat.
8. (CESPE/CBMCE/2014)
A
instalao
de
antivrus
no
computador de um usurio que
utiliza a mquina em ambiente
organizacional suficiente para
impedir o acesso, por terceiros, a
informaes privativas do usurio.
9. (CESPE/DPF-Departamento de
Polcia
Federal/
Administrador/2014)
A
ativao do firewall do Windows
impede que emails com arquivos
anexos infectados com vrus sejam
abertos na mquina do usurio.
10. (CESPE/DPF/Departamento
de
Polcia
Federal/
Administrador/2014) Phishing
um tipo de malware que, por
meio de uma mensagem de email,
solicita informaes confidenciais
ao usurio, fazendo-se passar por
uma entidade confivel conhecida
do destinatrio.
11. (CESPE/DPF/Departamento
de
Polcia
Federal/Agente
Administrativo/2014) Um dos
objetivos
da
segurana
da
informao manter a integridade
dos dados, evitando-se que eles
sejam apagados ou alterados sem
autorizao de seu proprietrio.
12.
(CESPE/MDIC/Nvel
Intermedirio/2014)
O
comprometimento
do
desempenho de uma rede local de
computadores
pode
ser
consequncia da infeco por um
worm.
13. (CESPE/MDIC/Nvel
Intermedirio/2014)
Os
antivrus, alm da sua finalidade
de detectar e exterminar vrus de
computadores, algumas vezes
podem ser usados no combate a
spywares.
14. (CESPE/PRF/Policial
Rodovirio Federal/2013) Ao
contrrio
de
um
vrus
de
computador, que capaz de se
autorreplicar e no necessita de
um programa hospedeiro para se
propagar, um worm no pode se
replicar
automaticamente
e
necessita
de
um
programa
hospedeiro. Certo ou errado?
15. (CESPE/CPRM/Analista em
Geocincias/Conhecimentos
151
16. (CESPE/CPRM/Tcnico
de
Geocincias/Conhecimentos
Bsicos/2013) No que diz
respeito
segurana
da
informao, julgue os itens que se
seguem.
A
compactao
de
arquivos evita a contaminao
desses arquivos por vrus, worms
e pragas virtuais.
17. (CESPE/CPRM/Tcnico
de
Geocincias/Conhecimentos
Bsicos/2013) No que diz
respeito
segurana
da
informao, julgue os itens que se
seguem. Ao suspeitar da presena
de vrus no computador, o usurio
no deve encaminhar arquivos
anexos
em
emails
nem
compartilhar pastas via rede de
computadores,
devendo,
primeiramente,
executar
o
antivrus, que ir rastrear e
eliminar o vrus.
18. (CESPE/TRT10RJ/Analista/2013)
As
caractersticas
bsicas
da
segurana da informao
confidencialidade, integridade e
disponibilidade
no
so
atributos exclusivos dos sistemas
computacionais.
19. (CESPE/TJ-DFT/Tcnico
Judicirio/rea
Administrativa/2013) Backdoor
uma forma de configurao do
computador para que ele engane
os invasores, que, ao acessarem
uma
porta
falsa,
sero
automaticamente bloqueados.
20. (CESPE/PCDF/ESCRIVO/
2013) Rootkit um tipo de praga
virtual de difcil deteco, visto
que ativado antes que o sistema
operacional
tenha
sido
completamente inicializado.
21. (CESPE/ANS/Cargo3/2013)
A
contaminao
por
pragas
virtuais ocorre exclusivamente
quando
o
computador
est
conectado Internet.
22. (CESPE/ANS/Cargo3/2013)
Para conectar um computador a
uma
rede
wireless,
imprescindvel a existncia de
firewall, haja vista que esse
componente, alm de trabalhar
como modem de conexo, age
tambm
como
sistema
de
eliminao de vrus.
23. (CESPE/TJ-DFT/Nvel
Superior/2013) Worm um
software
que,
de
forma
semelhante a um vrus, infecta um
programa,
usando-o
como
hospedeiro para se multiplicar e
152
24. (CESPE/Cmara
dos
Deputados/
Arquiteto
e
Engenheiros/2012) Os worms,
assim como os vrus, infectam
computadores,
mas,
diferentemente dos vrus, eles no
precisam
de
um
programa
hospedeiro para se propagar.
25.
(CESPE/PREVIC/Tcnico
Administrativo
Nvel
Mdio/2011) Entre os atributos
de segurana da informao,
incluem-se a confidencialidade, a
integridade, a disponibilidade e a
autenticidade.
A
integridade
consiste na propriedade que limita
o acesso informao somente s
pessoas ou entidades autorizadas
pelo proprietrio da informao.
26. (CESPE/TRT10RJ/Analista/2013)
A
transferncia de arquivos para
pendrives constitui uma forma
segura de se realizar becape, uma
vez que esses equipamentos no
so suscetveis a malwares.
27. (CESPE/MPE-PI/Tcnico
Ministerial/rea:
Administrativa/2012) Worms
so programas maliciosos que se
autorreplicam
em
redes
de
computadores anexados a algum
outro
programa
existente
e
instalado em computadores da
rede.
28. (Cespe/Cmara
dos
Deputados/
Arquiteto
e
Engenheiros/2012)
Para
garantir que os computadores de
uma rede local no sofram ataques
vindos da Internet, necessria a
instalao de firewalls em todos os
computadores dessa rede.
29. (Cespe/Cmara
dos
Deputados/
Arquiteto
e
Engenheiros/2012)
Ao
se
realizar um procedimento de
backup de um conjunto de
arquivos e pastas selecionados,
possvel que o conjunto de
arquivos e pastas gerado por esse
procedimento
ocupe
menos
espao de memria que aquele
ocupado pelo conjunto de arquivos
e pastas de que se fez o backup.
30. (Cespe/ANS/Cargo3/2013)
Manter
arquivos
importantes
armazenados
em
diretrios
fisicamente distintos um hbito
que garante a recuperao dos
dados em caso de sinistro.
31. (CESPE/TJDFT/2013/Tcnico
Judicirio/rea
Administrativa) Autenticidade
um critrio de segurana para a
garantia do reconhecimento da
identidade do usurio que envia e
recebe uma informao por meio
de recursos computacionais.
153
32. (CESPE/TJ-DFT/2013/Nvel
Superior)
A
autoridade
certificadora, que atua como um
tipo
de
cartrio
digital,
um
equipamento para redes que
armazena e gerencia o software de
antivrus, para garantir que toda a
rede estar isenta de ataques
maliciosos
realizados
por
programas de computador.
34. (CESPE/TJDFT/2013/Tcnico
Judicirio/rea
Administrativa) A criptografia,
mecanismo de segurana auxiliar
na
preservao
da
confidencialidade
de
um
documento, transforma, por meio
de uma chave de codificao, o
texto que se pretende proteger.
rea
de
Tecnologia da Informao
ABIN/2010) A chave assimtrica
composta por duas chaves
criptogrficas: uma privada e
outra pblica.
35. (CESPE/2013/ESCRIVO
DE
POLCIA
FEDERAL)
Imediatamente aps a realizao
de
um
becape
incremental
utilizando-se um software prprio
de becape, h expectativa de que
esteja ajustado o flag archive de
todos os arquivos originais que
foram copiados para uma mdia de
becape.
36. (CESPE/2002/POLCIA
FEDERAL/PERITO: REA 3 .
COMPUTAO)
Sistemas
criptogrficos so ditos simtricos
39. (CESPE/2010/Caixa/Tcnic
o Bancrio) O destinatrio de
uma mensagem assinada utiliza
a chave pblica do remetente para
154
155
um
mecanismo
adequado
para
preservar
a
segurana da informao da
empresa.
49. (CESPE/Nvel Superior
PREVIC/2011) Por meio do uso
de certificados digitais, possvel
garantir a integridade dos dados
que transitam pela Internet, pois
esses certificados so uma forma
confivel de se conhecer a origem
dos dados.
50. (CESPE/TJES/CBNS1_01/Superior/2011
) Tecnologias como a biometria
por meio do reconhecimento de
digitais de dedos das mos ou o
reconhecimento da ris ocular so
exemplos de aplicaes que
permitem exclusivamente garantir
a integridade de informaes.
51. (CESPE/TJES/CBNS1_01/Superior/2011
) Um filtro de phishing uma
ferramenta
que
permite
criptografar uma mensagem de
email cujo teor, supostamente, s
poder ser lido pelo destinatrio
dessa mensagem.
52. (CESPE/TJES/CBNS1_01/Superior/2011
) O conceito de confidencialidade
refere-se
a
disponibilizar
informaes em ambientes digitais
apenas a pessoas para as quais
elas
foram
destinadas,
garantindo-se, assim, o sigilo da
comunicao ou a exclusividade de
sua
divulgao
apenas
aos
usurios autorizados.
53. (CESPE/TJES/CBNM1_01/Nvel
Mdio/2011)
necessrio
sempre que o software de
antivrus instalado no computador
esteja atualizado e ativo, de forma
a se evitar que, ao se instalar um
cookie no computador do usurio,
essa
mquina
fique,
automaticamente, acessvel a um
usurio intruso (hacker), que
poder invadi-la.
54. (CESPE/TJES/CBNM1_01/Nvel
Mdio/2011) Os pop-ups so
vrus que podem ser eliminados
pelo chamado bloqueador de popups, se este estiver instalado na
mquina. O bloqueador busca
impedir, por exemplo, que esse
tipo de vrus entre na mquina do
usurio no momento em que ele
consultar um stio da Internet.
55. (CESPE/Tcnico
Administrativo - MPU/2010)
De acordo com o princpio da
disponibilidade, a informao s
pode estar disponvel para os
usurios aos quais ela destinada,
156
e integridade da informao so
princpios bsicos que orientam a
definio de polticas de uso dos
ambientes computacionais. Esses
princpios
so
aplicados
exclusivamente s tecnologias de
informao, pois no podem ser
seguidos por seres humanos.
60. (CESPE/Analista
de
Saneamento/Analista
de
Tecnologia da Informao
Desenvolvimento
EMBASA/2010) O princpio da
autenticao em segurana diz
que um usurio ou processo deve
ser corretamente identificado.
Alm disso, todo processo ou
usurio
autntico
est
automaticamente autorizado para
uso dos sistemas.
61. (CESPE/Tcnico
Administrativo
ANATEL/2009)
Com
o
desenvolvimento da Internet e a
migrao de um grande nmero
de sistemas especializados de
informao
de
grandes
organizaes para sistemas de
propsito
geral
acessveis
universalmente,
surgiu
a
preocupao com a segurana das
informaes no ambiente da
Internet. Acerca da segurana e da
tecnologia da informao, julgue o
item a seguir.
->
A
disponibilidade
e
a
integridade
so
itens
que
caracterizam a segurana da
informao. A primeira representa
a garantia de que usurios
157
(CESPE/Escrivo
Federal/2010)
de
automtica
disponibilizada
na
janela exibida acima uma funo
que est mais relacionada
distribuio de novas funes de
segurana
para
o
sistema
operacional do que distribuio
de novos patches (remendos) que
corrijam as vulnerabilidades de
cdigo presentes no sistema
operacional.
Polcia
63. (CESPE/2010/Escrivo
de
Polcia
Federal)
Na
figura
anterior, o firewall assinalado
como
ativado,
em
sua
configurao padro, possui um
conjunto maior de regras para
bloqueio de conexes originadas
de fora do computador do que
para as conexes originadas de
dentro do computador.
64. (CESPE/2010/Escrivo
de
Polcia Federal) A configurao
da proteo contra malwares
exposta na figura indica que existe
no host uma base de assinaturas
de vrus instalada na mquina.
62. (CESPE/2010/Escrivo
de
Polcia Federal) A atualizao
65. (CESPE/2010/Caixa/Tcnic
o
Bancrio/Administrativo)
Uma autoridade de registro emite
o par de chaves do usurio que
podem ser utilizadas tanto para
criptografia como para assinatura
de mensagens eletrnicas.
66. (CESPE/Tcnico
Judicirio/Programao
de
Sistemas
TRE-MT/2010)
Disponibilidade a garantia de que
158
67. (CESPE/TRE-MT/Tcnico
Judicirio - Programao de
Sistemas/2010)
Confidencialidade a garantia de
que os usurios autorizados
obtenham acesso informao e
aos
ativos
correspondentes
sempre que necessrio.
72. (CESPE/SEDU-ES/Agente
de Suporte Educacional/2010)
Vrus um programa que pode se
reproduzir anexando seu cdigo a
um outro programa, da mesma
forma que os vrus biolgicos se
reproduzem.
68. (CESPE/UERN/Agente
Tcnico Administrativo/2010)
A disponibilidade da informao
a garantia de que a informao
no ser alterada durante o
trnsito entre o emissor e o
receptor, alm da garantia de que
ela estar disponvel para uso
nesse trnsito.
69. (CESPE/AGU/Contador/201
0) Um arquivo criptografado fica
protegido contra contaminao
por vrus.
70. (CESPE/UERN/Agente
Tcnico Administrativo/2010)
Cavalo de troia um programa
que se instala a partir de um
arquivo
aparentemente
inofensivo, sem conhecimento do
usurio que o recebeu, e que pode
oferecer acesso de outros usurios
mquina infectada.
71. (CESPE/UERN/Agente
Tcnico Administrativo/2010)
O uso de um programa anti-spam
garante que software invasor ou
usurio
mal-intencionado
no
73. (CESPE/SEDU-ES/Agente
de Suporte Educacional/2010)
Cavalos-de-troia,
adwares
e
vermes so exemplos de pragas
virtuais.
74. (CESPE/SEDU-ES/AGENTE
DE
SUPORTE
EDUCACIONAL/2010) Backup
o termo utilizado para definir uma
cpia duplicada de um arquivo, um
disco, ou um dado, feita com o
objetivo de evitar a perda
definitiva de arquivos importantes.
75. (CESPE/EMBASA/Analista
de Saneamento - Analista de TI
rea:
Desenvolvimento/2010)
O
princpio da autenticao em
segurana diz que um usurio ou
processo deve ser corretamente
identificado. Alm disso, todo
processo ou usurio autntico est
automaticamente autorizado para
uso dos sistemas.
76. (CESPE/TRE-MT/Analista
Judicirio - Tecnologia da
Informao/2010) Uma das
159
vantagens
da
criptografia
simtrica em relao assimtrica
a maior velocidade de cifragem
ou decifragem das mensagens.
Embora os algoritmos de chave
assimtrica sejam mais rpidos
que os de chave simtrica, uma
das desvantagens desse tipo de
criptografia a exigncia de uma
chave secreta compartilhada.
77. (CESPE/TRE-MT/Analista
Judicirio/Tecnologia
da
Informao/2010)
Na
criptografia
assimtrica,
cada
parte da comunicao possui um
par de chaves. Uma chave
utilizada para encriptar e a outra
para decriptar uma mensagem. A
chave utilizada para encriptar a
mensagem privada e divulgada
para o transmissor, enquanto a
chave usada para decriptar a
mensagem pblica.
78. (CESPE/CAIXA-NM1/
Tcnico
Bancrio/Carreira
administrativa/2010)
Autoridade certificadora a
denominao de usurio que tem
poderes de acesso s informaes
contidas em uma mensagem
assinada, privada e certificada.
79. (CESPE/CAIXA-NM1/
TCNICO
BANCRIO/CARREIRA
ADMINISTRATIVA/2010)
A
autoridade reguladora tem a
funo de emitir certificados
digitais, funcionando como um
cartrio da Internet.
80. (CESPE/2010/CAIXA-NM1/
TCNICO
BANCRIO/CARREIRA
ADMINISTRATIVA)
O
ITI
(Instituto Nacional de Tecnologia
da
Informao)
tambm
conhecido
como
Autoridade
Certificadora Raiz Brasileira.
81. (CESPE/2010/CAIXA-NM1/
TCNICO
BANCRIO/CARREIRA
ADMINISTRATIVA) PKI ou ICP
o nome dado ao certificado que foi
emitido por uma autoridade
certificadora.
82. (CESPE/2010/CAIXA-NM1/
TCNICO
BANCRIO/CARREIRA
ADMINISTRATIVA)
Um
certificado digital pessoal,
intransfervel e no possui data de
validade.
83. (CESPE/2010/UERN/TCNI
CO DE NVEL SUPERIORAdaptada)
Vrus,
worms
e
cavalos-de-troia so exemplos de
software mal-intencionados que
tm
o
objetivo
de,
deliberadamente, prejudicar o
funcionamento do computador. O
firewall um tipo de malware que
ajuda a proteger o computador
contra cavalos-de-troia.
84. (CESPE/2010/UERN/Agent
e Tcnico Administrativo) Uma
160
considerado
uma
defesa
de
permetro e consegue coibir todo
tipo de invaso em redes de
computadores.
88. (CESPE/2009/TRE/PR/Tc
nico Judicirio Especialidade:
Operao de computadores)
Firewalls so equipamentos tpicos
do permetro de segurana de uma
rede, sendo responsveis pela
deteco e conteno de ataques e
intruses.
89. (CESPE/2008/TRT1R/Analista
JudicirioAdaptada) Uma caracterstica
das redes do tipo VPN (virtual
private networks) que elas nunca
devem usar criptografia, devido a
requisitos
de
segurana
e
confidencialidade.
90. (CESPE/2010/MINISTRIO
DA
SADE
/ANALISTA
TCNICO-ADMINISTRATIVO)
Firewall o mecanismo usado em
redes de computadores para
controlar e autorizar o trfego de
informaes, por meio do uso de
filtros que so configurados de
acordo com as polticas de
segurana estabelecidas.
91. (CESPE/2010/TRE.BA/ANA
LISTA/Q.27) Firewall um
recurso utilizado para a segurana
tanto de estaes de trabalho
como de servidores ou de toda
uma rede de comunicao de
dados. Esse recurso possibilita o
bloqueio de acessos indevidos a
partir de regras preestabelecidas.
161
92. (CESPE/2010/UERN/TCNI
CO DE NVEL SUPERIORAdaptada) Firewall um sistema
constitudo
de
software
e
hardware que verifica informaes
oriundas da Internet ou de uma
rede de computadores e que
permite ou bloqueia a entrada
dessas
informaes,
estabelecendo, dessa forma, um
meio de proteger o computador de
acesso indevido ou indesejado.
93. (CESPE/2010/TREBA/Tcnico Judicirio - rea
Administrativa) Uma das formas
de bloquear o acesso a locais no
autorizados e restringir acessos a
uma rede de computadores por
meio da instalao de firewall, o
qual pode ser instalado na rede
como um todo, ou apenas em
servidores ou nas estaes de
trabalho.
94. (CESPE/2004/POLCIA
FEDERAL/REGIONAL/PERITO/
REA 3/Q. 105) Um dos mais
conhecidos
ataques
a
um
computador conectado a uma rede
o de negao de servio (DoS
denial of service), que ocorre
quando um determinado recurso
torna-se indisponvel devido
ao de um agente que tem por
finalidade, em muitos casos,
diminuir
a
capacidade
de
processamento
ou
de
armazenagem de dados.
95. (CESPE/2008/PRF/Policial
Rodovirio Federal) O uso de
firewall e de software antivrus a
nica forma eficiente atualmente
de
se
implementar
os
denominados filtros anti-spam.
96. (CESPE/2008/PRFPOLICIAL
RODOVIRIO
FEDERAL-ADAPTADA) Phishing
e pharming so pragas virtuais
variantes
dos
denominados
cavalos-de-tria, se diferenciando
destes por precisarem de arquivos
especficos para se replicar e
contaminar um computador e se
diferenciando, entre eles, pelo fato
de que um atua em mensagens de
e-mail trocadas por servios de
webmail e o outro, no.
97. (CESPE/2008/PRF/Policial
Rodovirio
Federal)
Se
o
sistema de nomes de domnio
(DNS)
de
uma
rede
de
computadores for corrompido por
meio de tcnica denominada DNS
cache poisoning, fazendo que esse
sistema interprete incorretamente
a URL (uniform resource locator)
de determinado stio, esse sistema
pode estar sendo vtima de
pharming.
98. (CESPE/2008/PRF/Policial
Rodovirio Federal) Quando
enviado na forma de correio
eletrnico para uma quantidade
considervel de destinatrios, um
hoax pode ser considerado um tipo
de spam, em que o spammer cria
e
distribui
histrias
falsas,
algumas
delas
denominadas
lendas urbanas.
162
102. (CESPE/2004/Polcia
Rodoviria Federal) II. Para
evitar que as informaes obtidas
163
disposio
diversas
ferramentas cuja eficincia varia
de
implementao
para
implementao. Atualmente, as
ferramentas
que
apresentam
melhor
desempenho
para
a
funcionalidade mencionada so as
denominadas sniffers e backdoors
e os sistemas ditos firewall, sendo
que, para garantir tal eficincia,
todas essas ferramentas fazem
uso de tcnicas de criptografia
tanto no servidor quanto no cliente
da aplicao Internet.
103. (CESPE/2004/Polcia
Rodoviria Federal) III. Por
meio
da
guia
Privacidade,
acessvel quando Opes da
Internet clicada no menu
, o usurio tem
acesso a recursos de configurao
do Internet Explorer 6 que
permitem definir procedimento
especfico que o aplicativo dever
realizar quando uma pgina Web
tentar copiar no computador do
usurio arquivos denominados
cookies. Um cookie pode ser
definido como um arquivo criado
por solicitao de uma pgina Web
para armazenar informaes no
computador cliente, tais como
determinadas
preferncias
do
usurio quando ele visita a
mencionada pgina Web. Entre as
opes de configurao possveis,
est aquela que impede que os
164
o desenvolvimento da Internet e a
migrao de um grande nmero
de sistemas especializados de
informao
de
grandes
organizaes para sistemas de
propsito
geral
acessveis
universalmente,
surgiu
a
preocupao com a segurana das
informaes no ambiente da
Internet. Acerca da segurana e da
tecnologia da informao, julgue o
item seguinte.
A disponibilidade e a integridade
so itens que caracterizam a
segurana da informao. A
primeira representa a garantia de
que usurios autorizados tenham
acesso a informaes e ativos
associados quando necessrio, e a
segunda corresponde garantia
de que sistemas de informaes
sejam acessveis apenas queles
autorizados a acess-los.
110. (CESPE/2009/IBAMA/ANAL
ISTA AMBIENTAL) Para criar
uma cpia de segurana da
planilha, tambm conhecida como
backup, suficiente clicar a
ferramenta
111. (CESPE/2009/MMA)
Antivrus, worms, spywares e
crackers so programas que
ajudam a identificar e combater
ataques a computadores que no
esto protegidos por firewalls.
112. (CESPE/2009/MMA)
A
responsabilidade pela segurana
114. (FUNRIO/2013/MPOG
Analista de Tecnologia da
Informao) Na segurana da
165
redes,
com
o
objetivo
de
identificar computadores ativos e
coletar informaes sobre eles
como, por exemplo, servios
disponibilizados
e
programas
instalados.
116. (Elaborao
Prpria)
Segurana
da
Informao.
115. (Elaborao
Prpria)
Ransonware uma tcnica que
visa efetuar buscas minuciosas em
c) dirio.
d) parcial.
e) incremental.
166
Gabarito
1. Item correto.
2. Item correto.
3. Item correto.
4. Item correto.
5. Item correto.
6. Item correto.
7. Item errado.
8. Item errado.
9. Item errado.
10. Item correto.
11. Item correto.
12. Item correto.
13. Item correto.
14. Item errado.
15. Item correto.
16. Item errado.
17. Item correto.
18. Item correto.
19. Item errado.
20. Item correto.
21. Item errado.
22. Item errado.
23. Item errado.
24. Item correto.
25. Item errado.
26. Item errado.
27. Item errado.
28. Item errado.
29. Item correto.
30. Item correto.
31. Item errado.
32. Item correto.
33. Item errado.
34. Item correto.
35. Item correto.
36. Item correto.
37. Item correto.
38. Item errado.
39. Item correto.
40.
41.
42.
43.
44.
45.
46.
47.
48.
49.
50.
51.
52.
53.
54.
55.
56.
57.
58.
59.
60.
61.
62.
63.
64.
65.
66.
67.
68.
69.
70.
71.
72.
73.
74.
75.
76.
77.
78.
Item
Item
Item
Item
Item
Item
Item
Item
Item
Item
Item
Item
Item
Item
Item
Item
Item
Item
Item
Item
Item
Item
Item
Item
Item
Item
Item
Item
Item
Item
Item
Item
Item
Item
Item
Item
Item
Item
Item
errado.
errado.
errado.
errado.
correto.
errado.
errado.
errado.
correto.
errado.
errado.
errado.
correto.
errado.
errado.
errado.
correto.
errado.
errado.
errado.
errado.
errado.
errado.
correto.
errado.
errado.
errado.
errado.
errado.
errado.
correto.
errado.
correto.
correto.
correto.
errado.
errado.
errado.
errado.
79.
80.
81.
82.
83.
84.
85.
86.
87.
88.
89.
90.
91.
92.
93.
94.
95.
96.
97.
98.
99.
100.
101.
102.
103.
104.
105.
106.
107.
108.
109.
110.
111.
112.
113.
114.
115.
116.
117.
Item errado.
Item correto.
Item errado.
Item errado.
Item errado.
Item errado.
Item correto.
Item errado.
Item errado.
Item errado.
Item errado.
Item correto.
Item correto
Item anulado.
Item correto.
Item correto.
Item errado.
Item errado.
Item correto.
Item correto.
Item errado.
Item errado.
Item errado.
Item errado.
Item correto.
Item errado.
Item errado.
Item errado.
Item errado.
Item correto.
Item errado.
Item errado.
Item errado.
Item errado.
Letra C.
Letra A.
Item errado.
Item errado.
Letra E.
167
N
questes
Acertos
%
acerto
Data
N
questes
117
Data
N
questes
Acertos
%
acerto
Acertos
%
acerto
117
Acertos
%
acerto
Data
N
questes
117
117
168