Segurança Informação

NOES DE INFORMTICA P/CAIXA ECONMICA FEDERAL (TEORIA/EXERCCIOS) PROFESSORA PATRCIA LIMA QUINTO
Aula 6 Segurana da Informao. Certificao e Assinatura Digital. Ol pessoal, Bom rev-los aqui para mais um encontro. Nesta aula vamos abordar o assunto segurana da informao. Todos prontos? Ento vamos nessa! Profa Patrcia Lima Quinto patricia@pontodosconcursos.com.br Twitter: http://www.twitter.com/pquintao Facebook: http://www.facebook.com/patricia.quintao (Aguardo vocs!!) Roteiro da Aula Segurana da informao e tpicos relacionados. Reviso em tpicos e palavras-chave. Lista de questes comentadas. Lista de questes apresentadas na aula. Gabarito. O que significa segurana? colocar tranca nas portas de sua casa? ter as informaes guardadas de forma suficientemente segura para que pessoas sem autorizao no tenham acesso a elas? Vamos nos preparar para que a prxima vtima no seja voc !!! A segurana uma palavra que est presente em nosso cotidiano e refere-se a um estado de proteo, em que estamos livres de perigos e incertezas! Segurana da informao o processo de proteger a informao de diversos tipos de ameaas externas e internas para garantir a continuidade dos negcios, minimizar os danos aos negcios e maximizar o retorno dos investimentos e as oportunidades de negcio. Solues pontuais isoladas no resolvem toda a problemtica associada segurana da informao. Segurana se faz em pedaos, porm todos eles integrados, como se fossem uma corrente. Segurana se faz protegendo todos os elos da corrente, ou seja, todos os ativos (fsicos, tecnolgicos e humanos) que compem seu negcio. Afinal, o poder de proteo da corrente est diretamente associado ao elo mais fraco! a Prof Patrcia Lima Quinto www.pontodosconcursos.com.br 1
Em uma corporao, a segurana est ligada a tudo o que manipula direta ou indiretamente a informao (inclui-se a tambm a prpria informao e os usurios !!!), e que merece proteo. Esses elementos so chamados de ATIVOS, e podem ser divididos em: tangveis: informaes impressas, mveis, hardware (Ex.:impressoras, scanners); intangveis: marca de um produto, nome da empresa, confiabilidade de um rgo federal etc.; lgicos: informaes armazenadas em uma rede, sistema ERP (sistema de gesto integrada) etc.; fsicos: galpo, sistema de eletricidade, estao de trabalho etc; humanos: funcionrios.
Os ATIVOS so os elementos que sustentam a operao do negcio e estes sempre traro consigo VULNERABILIDADES que, por sua vez, submetem os ativos a AMEAAS. Quanto maior for a organizao maior ser sua dependncia com relao informao, que pode estar armazenada de vrias formas: impressa em papel, em meios digitais (discos, fitas, DVDs, disquetes, pendrives, etc.), na mente das pessoas, em imagens armazenadas em fotografias/filmes... Princpios da segurana da informao A segurana da informao busca proteger os ativos de uma empresa ou indivduo com base na preservao de alguns princpios. Vamos ao estudo de cada um deles!! Os quatro princpios considerados centrais ou principais, mais comumente cobrados em provas, so a Confidencialidade, a Integridade, a Disponibilidade e a Autenticidade ( possvel encontrar a sigla CIDA, ou DICA, para fazer meno a estes princpios!). Importante D I C A isponibilidade ntegridade onfidencialidade utenticidade
Figura. Mnemnico DICA Confidencialidade (sigilo): a garantia de que a informao no ser conhecida por quem no deve. O acesso s informaes deve ser limitado, ou seja, somente as pessoas explicitamente autorizadas podem acess-las.
www.pontodosconcursos.com.br
Profa Patrcia Lima Quinto
Perda de confidencialidade significa perda de segredo. Se uma informao for confidencial, ela ser secreta e dever ser guardada com segurana, e no divulgada para pessoas sem a devida autorizao para acess-la. Exemplo: o nmero do seu carto de crdito s poder ser conhecido por voc e pela loja em que usado. Se esse nmero for descoberto por algum mal intencionado, o prejuzo causado pela perda de confidencialidade poder ser elevado, j que podero se fazer passar por voc para realizar compras pela Internet, proporcionando-lhe prejuzos financeiros e uma grande dor de cabea! Integridade: esse princpio destaca que a informao deve ser mantida na condio em que foi liberada pelo seu proprietrio, garantindo a sua proteo contra mudanas intencionais, indevidas ou acidentais. Em outras palavras, a garantia de que a informao que foi armazenada a que ser recuperada!!! A quebra de integridade pode ser considerada sob 2 aspectos: 1. alteraes nos elementos que suportam a informao - so feitas alteraes na estrutura fsica e lgica em que uma informao est armazenada. Por exemplo quando so alteradas as configuraes de um sistema para ter acesso a informaes restritas; 2. alteraes do contedo dos documentos: ex1.: imagine que algum invada o notebook que est sendo utilizado para realizar a sua declarao do Imposto de Renda deste ano, e, momentos antes de voc envi-la para a Receita Federal a mesma alterada sem o seu consentimento! Neste caso, a informao no ser transmitida da maneira adequada, o que quebra o princpio da integridade; ex2: alterao de sites por hackers (vide a figura seguinte, retirada de http://www.g1.globo.com). Acesso em jun. 2011.
Figura 1 Site da Cia - agncia de inteligncia do governo Americano que teve seu contedo alterado indevidamente em jun. 2011. Disponibilidade: a garantia de que a informao deve estar disponvel, sempre que seus usurios (pessoas e empresas autorizadas) necessitarem,
no importando o motivo. Em outras palavras, a garantia que a informao sempre poder ser acessada!!! Como exemplo, h quebra do princpio da disponibilidade quando voc decidir enviar a sua declarao do Imposto de Renda pela Internet, no ltimo dia possvel, e o site da Receita Federal estiver indisponvel. Autenticidade: a capacidade de garantir a identidade de uma pessoa (fsica ou jurdica) que acessa as informaes do sistema ou de um servidor (computador) com quem se estabelece uma transao (de comunicao, como um e-mail, ou comercial, como uma venda on-line). por meio da autenticao que se confirma a identidade da pessoa ou entidade que presta ou acessa as informaes.
Assim, desejamos entregar a informao CORRETA, para a pessoa CERTA, no momento CORRETO, confirmando a IDENTIDADE da pessoa ou entidade que presta ou acessa as informaes!!! Entenderam?? Eis a essncia da aplicao dos quatro princpios acima destacados. Ainda, cabe destacar que a perda de pelo menos um desses princpios j ir ocasionar impactos ao negcio (a surgem os incidentes de segurana!!) Quando falamos em segurana da informao, estamos nos referindo a salvaguardas para manter a confidencialidade, integridade, disponibilidade e demais aspectos da segurana das informaes dentro das necessidades do cliente! Vulnerabilidades de segurana Vulnerabilidade uma evidncia ou fragilidade que eleva o grau de exposio dos ativos que sustentam o negcio, aumentando a probabilidade de sucesso pela investida de uma ameaa. Outro conceito bastante comum para o termo: vulnerabilidade: trata-se de falha no projeto, implementao ou configurao de software ou sistema operacional que, quando explorada por um atacante, resulta na violao da segurana de um computador. Em outras palavras, vulnerabilidade uma fragilidade que poderia ser explorada por uma ameaa para concretizar um ataque. O conhecimento do maior nmero de vulnerabilidades possveis permite equipe de segurana tomar medidas para proteo, evitando assim ataques e consequentemente perda de dados. No h uma receita ou lista padro de vulnerabilidades. Esta deve ser levantada junto a cada organizao ou ambiente. Sempre se deve ter em mente o que precisa ser protegido e de quem precisa ser protegido de acordo Profa Patrcia Lima Quinto www.pontodosconcursos.com.br 4
com as ameaas existentes. Podemos citar, como exemplo inicial, uma anlise de ambiente em uma sala de servidores de conectividade e Internet com a seguinte descrio: a sala dos servidores no possui controle de acesso fsico!! Eis a vulnerabilidade detectada nesse ambiente. Outros exemplos de vulnerabilidades: ambientes com informaes sigilosas com acesso no controlado; software mal desenvolvido; hardware sem o devido acondicionamento e proteo; falta de atualizao de software e hardware; falta de mecanismos de monitoramento e controle (auditoria); ausncia de pessoal capacitado para a segurana; inexistncia de polticas de segurana; instalaes prediais fora do padro; ausncia de recursos para combate a incndios, etc.
Ameaas Segurana Ameaa algo que possa provocar danos segurana da informao, prejudicar as aes da empresa e sua sustentao no negcio, mediante a explorao de uma determinada vulnerabilidade.
Em outras palavras, uma ameaa tudo aquilo que pode comprometer a segurana de um sistema, podendo ser acidental (falha de hardware, erros de programao, desastres naturais, erros do usurio, bugs de software, uma ameaa secreta enviada a um endereo incorreto etc.) ou deliberada (roubo, espionagem, fraude, sabotagem, invaso de hackers, entre outros).
Profa Patrcia Lima Quinto www.pontodosconcursos.com.br
Ameaa pode ser uma pessoa, uma coisa, um evento ou uma ideia capaz de causar dano a um recurso, em termos de confidencialidade, integridade, disponibilidade etc. Como exemplos de ameaa podemos destacar: concorrente, cracker, erro humano (deleo de arquivos digitais acidentalmente etc.), acidentes naturais (inundao etc.), funcionrio insatisfeito, tcnicas (engenharia social, etc.), ferramentas de software (sniffer, cavalo de troia etc.). Basicamente existem dois tipos de ameaas: internas e externas. Ameaas externas: so aqui representadas por todas as tentativas de ataque e desvio de informaes vindas de fora da empresa. Normalmente essas tentativas so realizadas por pessoas com a inteno de prejudicar a empresa ou para utilizar seus recursos para invadir outras empresas. Ameaas internas: esto presentes, independentemente das empresas estarem ou no conectadas Internet. Podem causar desde incidentes leves at os mais graves, como a inatividade das operaes da empresa.
Os ativos so os elementos que sustentam a operao do negcio e estes sempre traro consigo vulnerabilidades que, por sua vez, submetem os ativos a ameaas. Voc Sabia!!! Qual a diferena entre Crackers e Hackers? Um do bem e o outro do mal?? O termo hacker ganhou, junto opinio pblica influenciada pelos meios de comunicao, uma conotao negativa, que nem sempre corresponde realidade!! Os hackers, por sua definio geral, so aqueles que utilizam seus conhecimentos para invadir sistemas, no com o intuito de causar danos s vtimas, mas sim como um desafio s suas habilidades. Eles invadem os sistemas, capturam ou modificam arquivos para provar sua capacidade e depois compartilham suas proezas com os colegas. No tm a inteno de prejudicar, mas sim de apenas demonstrar que conhecimento poder. Exmios programadores e conhecedores dos segredos que envolvem as redes e os computadores, eles geralmente no gostam de ser confundidos com crackers. Os crackers so elementos que invadem sistemas para roubar informaes e causar danos s vtimas. O termo crackers tambm uma denominao utilizada para aqueles que decifram cdigos e destroem protees de software. Atualmente, a imprensa mundial atribui qualquer incidente de segurana a hackers, em seu sentido genrico. A palavra cracker no vista nas reportagens, a no ser como cracker de senhas, que um software utilizado para descobrir senhas ou decifrar mensagens cifradas.
Noes de vrus, worms e outras pragas virtuais

Voc sabe o significado de malware? Malware (combinao de malicious software programa malicioso) uma expresso usada para todo e quaisquer softwares maliciosos, ou seja, programados com o intuito de prejudicar os sistemas de informao, alterar o funcionamento de programas, roubar informaes, causar lentides de redes computacionais, dentre outros. Resumindo, malwares so programas que executam deliberadamente aes mal-intencionadas em um computador!! Os tipos mais comuns de malware esto detalhados a seguir: -vrus, -bots, -spyware, -screenlogger, -Backdoors, etc. Vrus So pequenos cdigos de programao maliciosos que se agregam a arquivos e so transmitidos com eles. Quando o arquivo aberto na memria RAM, o vrus tambm , e, a partir da se propaga infectando, isto , inserindo cpias de si mesmo e se tornando parte de outros programas e arquivos de um computador. O vrus depende da execuo do programa ou arquivo hospedeiro para que possa se tornar ativo e dar continuidade ao processo de infeco. Alguns vrus so inofensivos, outros, porm, podem danificar um sistema operacional e os programas de um computador. A seguir destacamos alguns arquivos que podem ser portadores de vrus de computador: arquivos executveis: com extenso .exe ou .com; arquivos de scripts (outra forma de executvel): extenso .vbs; atalhos: extenso .lnk ou .pif; proteo de tela (animaes que aparecem automaticamente quando o computador est ocioso): extenso .scr; documentos do MS-Office: como os arquivos do Word (extenso .doc ou .dot), arquivos do Excel (.xls e .xlt), apresentaes do Powerpoint (.ppt e .pps), bancos de dados do Access (.mdb). arquivos multimdia do Windows Media Player: msicas com extenso .WMA, vdeos com extenso .WMV, dentre outros.
-worms, -cavalos de troia, -keylogger, -ransomwares,
Dentre os tipos de vrus conhecidos, podemos citar: Vrus polimrficos: alteram seu formato (mudam de forma) constantemente. A cada nova infeco, esses vrus geram uma nova sequncia de bytes em seu cdigo, para que o antivrus se confunda na hora de executar a varredura e no reconhea o invasor. Vrus de boot: infectam o setor de boot dos discos rgidos. Vrus de macro: vrus de arquivos que infectam documentos que contm macros. Macro: conjunto de comandos que so armazenados em alguns aplicativos e utilizados para automatizar tarefas repetitivas. Um exemplo seria, em um editor de textos, definir uma macro que contenha a sequncia de passos necessrios para imprimir um documento com a orientao de retrato e utilizando a escala de cores em tons de cinza. Um vrus de macro escrito de forma a explorar esta facilidade de automatizao e parte de um arquivo que normalmente manipulado por algum aplicativo que utiliza macros. Para que o vrus possa ser executado, o arquivo que o contm precisa ser aberto e, a partir da, o vrus pode executar uma srie de comandos automaticamente e infectar outros arquivos no computador. Existem alguns aplicativos que possuem arquivos base (modelos) que so abertos sempre que o aplicativo executado. Caso este arquivo base seja infectado pelo vrus de macro, toda vez que o aplicativo for executado, o vrus tambm ser. Arquivos nos formatos gerados por programas da Microsoft, como o Word, Excel, Powerpoint e Access so os mais suscetveis a este tipo de vrus. Arquivos nos formatos RTF, PDF e PostScript so menos suscetveis, mas isso no significa que no possam conter vrus.
Figura 2 Normal.dot Principal alvo dos vrus de macro para Word Vrus de programa: infectam arquivos de programa (de inmeras extenses, como .exe, .com,.vbs, .pif. Vrus stealth: programado para se esconder e enganar o antivrus durante uma varredura deste programa. Tem a capacidade de se remover da memria temporariamente para evitar que antivrus o detecte. Vrus de script: propagam-se por meio de scripts, nome que designa uma sequncia de comandos previamente estabelecidos e que so executados automaticamente em um sistema, sem necessidade de interveno do
usurio. Dois tipos de scripts muito usados so os projetados com as linguagens Javascript (JS) e Visual Basic Script (VBS). Tanto um quanto o outro podem ser inseridos em pginas Web e interpretados por navegadores como Internet Explorer e outros. Os arquivos Javascript tornaram-se to comuns na Internet que difcil encontrar algum site atual que no os utilize. Assim como as macros, os scripts no so necessariamente malficos. Na maioria das vezes executam tarefas teis, que facilitam a vida dos usurios prova disso que se a execuo dos scripts for desativada nos navegadores, a maioria dos sites passar a ser apresentada de forma incompleta ou incorreta. Vrus de celular: propaga de telefone para telefone atravs da tecnologia bluetooth ou da tecnologia MMS (Multimedia Message Service). O servio MMS usado para enviar mensagens multimdia, isto , que contm no s texto, mas tambm sons e imagens, como vdeos, fotos e animaes. A infeco ocorre da seguinte forma: o usurio recebe uma mensagem que diz que seu telefone est prestes a receber um arquivo e permite que o arquivo infectado seja recebido, instalado e executado em seu aparelho; o vrus, ento, continua o processo de propagao para outros telefones, atravs de uma das tecnologias mencionadas anteriormente. Os vrus de celular diferem-se dos vrus tradicionais, pois normalmente no inserem cpias de si mesmos em outros arquivos armazenados no telefone celular, mas podem ser especificamente projetados para sobrescrever arquivos de aplicativos ou do sistema operacional instalado no aparelho. Depois de infectar um telefone celular, o vrus pode realizar diversas atividades, tais como: destruir/sobrescrever arquivos; remover contatos da agenda; efetuar ligaes telefnicas; o aparelho fica desconfigurado e tentando conectar via Bluetooth com outros celulares; se
a bateria do celular dura menos do que o previsto pelo fabricante, mesmo quando voc no fica horas pendurado nele; emitir algumas mensagens multimdia esquisitas; tentar se propagar para outros telefones.
Worms (vermes) Programas parecidos com vrus, mas que na verdade so capazes de se propagarem automaticamente atravs de redes, enviando cpias de si mesmo de computador para computador (observe que os worms apenas se copiam, no infectam outros arquivos, eles mesmos so os arquivos !!). Alm disso, geralmente utilizam as redes de comunicao para infectar outros computadores (via e-mails, Web, FTP, redes das empresas etc.). Diferentemente do vrus, o worm no embute cpias de si mesmo em outros programas ou arquivos e no necessita ser explicitamente executado para se propagar. Sua propagao se d atravs da explorao de vulnerabilidades existentes ou falhas na configurao de softwares instalados em computadores. Worms so notadamente responsveis por consumir muitos recursos. Degradam sensivelmente o desempenho de redes e podem lotar o disco rgido de computadores, devido grande quantidade de cpias de si mesmo que costumam propagar. Alm disso, podem gerar grandes transtornos para aqueles que esto recebendo tais cpias. Difceis de serem detectados, muitas vezes os worms realizam uma srie de atividades, incluindo sua propagao, sem que o usurio tenha conhecimento. Embora alguns programas antivrus permitam detectar a presena de worms e at mesmo evitar que eles se propaguem, isto nem sempre possvel.
Bots (robs) De modo similar ao worm, um programa capaz de se propagar automaticamente, explorando vulnerabilidades existentes ou falhas na configurao de software instalado em um computador. Adicionalmente ao worm, dispe de mecanismos de comunicao com o invasor, permitindo que o bot seja controlado remotamente. Os bots esperam por comandos de um hacker, podendo manipular os sistemas infectados, sem o conhecimento do usurio. Nesse ponto, cabe destacar um termo que j foi cobrado vrias vezes em prova!! Trata-se do significado do termo botnet, juno da contrao das palavras robot (bot) e network (net). Uma rede infectada por bots denominada de botnet (tambm conhecida como rede zumbi), sendo composta geralmente por milhares desses elementos maliciosos que ficam residentes nas mquinas, aguardando o comando de um invasor. Um invasor que tenha controle sobre uma botnet pode utiliz-la para aumentar a potncia de seus ataques, por exemplo, para enviar centenas de milhares de e-mails de phishing ou spam, desferir ataques de negao de servio etc. (CERT.br, 2006).
10
Trojan horse (Cavalo de Troia) um programa aparentemente inofensivo que entra em seu computador na forma de carto virtual, lbum de fotos, protetor de tela, jogo etc., e que, quando executado (com a sua autorizao!), parece lhe divertir, mas, por trs abre portas de comunicao do seu computador para que ele possa ser invadido. Por definio, o cavalo de troia distingue-se de um vrus ou de um worm por no infectar outros arquivos, nem propagar cpias de si mesmo automaticamente. O trojans ficaram famosos na Internet pela facilidade de uso, e por permitirem a qualquer pessoa possuir o controle de um outro computador apenas com o envio de um arquivo. Os trojans atuais so divididos em duas partes, que so: o servidor e o cliente. Normalmente, o servidor encontra-se oculto em algum outro arquivo e, no momento em que o arquivo executado, o servidor se instala e se oculta no computador da vtima. Nesse momento, o computador j pode ser acessado pelo cliente, que enviar informaes para o servidor executar certas operaes no computador da vtima. O Cavalo de Troia no um vrus, pois no se duplica e no se dissemina como os vrus. Na maioria das vezes, ele ir instalar programas para possibilitar que um invasor tenha controle total sobre um computador. Estes programas podem permitir que o invasor: veja e copie computador; ou destrua todos os arquivos armazenados no
instalao de keyloggers ou screenloggers (descubra todas as senhas digitadas pelo usurio); furto de senhas e outras informaes sensveis, como nmeros de cartes de crdito; incluso de backdoors, para permitir que um atacante tenha total controle sobre o computador; formate o disco rgido do computador, etc.
Exemplos comuns de cavalos de troia so programas que voc recebe ou obtm de algum site e que parecem ser apenas cartes virtuais animados, lbuns de fotos de alguma celebridade, jogos, protetores de tela, entre outros. Enquanto esto sendo executados, estes programas podem ao mesmo tempo enviar dados confidenciais para outro computador, instalar backdoors, alterar informaes, apagar arquivos ou formatar o disco rgido. Existem tambm cavalos de troia, utilizados normalmente em esquemas fraudulentos, que, ao serem instalados com sucesso, apenas exibem uma mensagem de erro.
11
Figura 3 Um spam contendo um Cavalo de Troia. O usurio ser infectado se clicar no link e executar o anexo. Adware (Advertising software) Este tipo de programa geralmente no prejudica o computador. O adware apresenta anncios, cria cones ou modifica itens do sistema operacional com o intuito de exibir alguma propaganda. Um adware malicioso pode abrir uma janela do navegador apontando para pginas de cassinos, vendas de remdios, pginas pornogrficas, etc. Um exemplo do uso legtimo de adwares pode ser observado no programa de troca instantnea de mensagens MSN Messenger. Spyware Trata-se de um programa espio (spy em ingls = espio). um programa que tem por finalidade monitorar as atividades de um sistema e enviar as informaes coletadas para terceiros. Keylogger (Copia as teclas digitadas!) Um tipo de malware que capaz de capturar e armazenar as teclas digitadas pelo usurio no teclado de um computador. Dentre as informaes capturadas podem estar o texto de um e-mail, dados digitados na declarao de Imposto de Renda e outras informaes sensveis, como senhas bancrias e nmeros de cartes de crdito. Em muitos casos, a ativao do keylogger condicionada a uma ao prvia do usurio, como por exemplo, aps o acesso a um site especfico de comrcio eletrnico ou Internet Banking. Normalmente, o keylogger contm mecanismos que permitem o envio automtico das informaes capturadas para terceiros (por exemplo, atravs de e-mails).
12
Screenloggers (Copia as telas acessadas!) As instituies financeiras desenvolveram os teclados virtuais para evitar que os keyloggers pudessem capturar informaes sensveis de usurios. Ento, foram desenvolvidas formas mais avanadas de keyloggers, tambm conhecidas como screenloggers capazes de: armazenar a posio do cursor e a tela apresentada no monitor, nos momentos em que o mouse clicado, ou armazenar a regio que circunda a posio onde o mouse clicado.
Normalmente, o keylogger vem como parte de um programa spyware ou cavalo de troia. Desta forma, necessrio que este programa seja executado para que o keylogger se instale em um computador. Geralmente, tais programas vm anexados a e-mails ou esto disponveis em sites na Internet. Existem ainda programas leitores de e-mails que podem estar configurados para executar automaticamente arquivos anexados s mensagens. Neste caso, o simples fato de ler uma mensagem suficiente para que qualquer arquivo anexado seja executado. Ransomwares (Pede resgate) So softwares maliciosos que, ao infectarem um computador, criptografam todo ou parte do contedo do disco rgido. Os responsveis pelo software exigem da vtima, um pagamento pelo "resgate" dos dados. Backdoors (Abre portas) Normalmente um atacante procura garantir uma forma de retornar a um computador comprometido, sem precisar recorrer aos mtodos utilizados na realizao da invaso. Na maioria dos casos, tambm inteno do atacante poder retornar ao computador comprometido sem ser notado. A esses programas que permitem o retorno de um invasor a um computador comprometido, utilizando servios criados ou modificados para este fim, dse o nome de backdoor. A forma usual de incluso de um backdoor consiste na disponibilizao de um novo servio ou substituio de um determinado servio por uma verso alterada, normalmente possuindo recursos que permitam acesso remoto (atravs da Internet). Pode ser includo por um invasor ou atravs de um cavalo de troia. Rootkits Um invasor, ao realizar uma invaso, pode utilizar mecanismos para esconder e assegurar a sua presena no computador comprometido. O
13
conjunto de programas que fornece estes mecanismos conhecido como rootkit. O invasor, aps instalar o rootkit, ter acesso privilegiado ao computador previamente comprometido, sem precisar recorrer novamente aos mtodos utilizados na realizao da invaso, e suas atividades sero escondidas do responsvel e/ou dos usurios do computador. Um rootkit pode fornecer programas com as mais diversas funcionalidades. Dentre eles, merecem destaque: programas para esconder atividades e informaes deixadas pelo invasor, tais como arquivos, diretrios, processos etc.; backdoors, para assegurar o acesso futuro do invasor ao computador comprometido; programas para remoo de evidncias em arquivos de logs; sniffers, para capturar informaes na rede onde o computador est localizado, como por exemplo senhas que estejam trafegando em claro, ou seja, sem qualquer mtodo de criptografia; scanners, para computadores. mapear potenciais vulnerabilidades em outros
Algumas tendncias para 2012! McAfee (2012) destacou as principais ameaas da internet em 2012: deve haver um aumento dos ataques destinados a servios pblicos, sistemas operacionais, dispositivos mveis, spams e ameaas envolvendo questes polticas (hacktivismo) e ciberguerra. Os ataques neste ano tambm podem comprometer carros, aparelhos de GPS e outros dispositivos conectados, atravs da infiltrao no dispositivo enquanto ele ainda fabricado ou levando os usurios a baixarem malwares que penetrem na raiz dos sistemas desses aparelhos. A empresa tambm alertou para o aumento de malwares em celulares, principalmente atravs de aplicativos mal-intencionados que, aps o download, podem enviar diversos anncios ou mesmo mensagens de texto a partir do celular infectado. O aumento no nmero de spams tambm esperado. Fonte: http://tecnologia.terra.com.br/noticias/0,,OI5545065-EI12884,00Ataque+a+celulares+esta+entre+as+principais+ameacas+de.html Risco Risco a medida da exposio qual o sistema computacional est sujeito. Depende da probabilidade de uma ameaa atacar o sistema e do impacto resultante desse ataque.
14
Smola (2003, p. 50) diz que risco a probabilidade de ameaas explorarem vulnerabilidades, provocando perdas de confidencialidade, integridade e disponibilidade, causando, possivelmente, impactos nos negcios. Como exemplo martelo ao seu da informao. s informaes de um risco pode-se imaginar um funcionrio insatisfeito e um alcance; nesse caso o funcionrio poderia danificar algum ativo Assim pode-se entender como risco tudo aquilo que traz danos e com isso promove perdas para a organizao.
Existem algumas maneiras de se classificar o grau de risco no mercado de segurana, mas de uma forma simples, poderamos tratar como alto, mdio e baixo risco. No caso do nosso exemplo da sala dos servidores, poderamos dizer que, baseado na vulnerabilidade encontrada, a ameaa associada de alto risco. Ciclo da Segurana Como mostrado na figura seguinte os ativos de uma organizao precisam ser protegidos, pois esto sujeitos a vulnerabilidades. Se as vulnerabilidades aumentam, aumentam-se os riscos permitindo a explorao por uma ameaa e a concretizao de um ataque. Se estas ameaas crescem, aumentam-se ainda mais os riscos de perda da integridade, disponibilidade e confidencialidade da informao podendo causar impacto nos negcios. Nesse contexto, medidas de segurana devem ser tomadas, os riscos devem ser analisados e diminudos para que se estabelea a segurana dos ativos da informao.
Ativos sujeitos Ciclo da segurana
protege
Medidas de Segurana
diminui
Riscos
aumenta
Vulnerabilidades
limitados Impactos no negcio

aumenta aumenta aumenta
permitem
Ameaas
Confidencialidade Integridade Disponibilidade causam perdas
Figura 4 Ciclo da Segurana da Informao (MOREIRA, 2001)

15
Incidente de segurana da informao: indicado por um simples ou por uma srie de eventos de segurana da informao indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operaes do negcio e ameaar a segurana. Exemplos: invaso digital; violao de padres de segurana de informao. Spams Spams: so mensagens de correio eletrnico no autorizadas ou no solicitadas. O spam no propriamente uma ameaa segurana, mas um portador comum delas. So spams, por exemplo, os e-mails falsos que recebemos como sendo de rgos como Receita Federal ou Tribunal Superior Eleitoral. Nesse caso, os spams costumam induzir o usurio a instalar um dos malwares que vimos anteriormente. Spammer: aquele que usa endereos de destinatrios desconhecidos para o envio de mensagens no solicitadas em grande nmero. Alguns termos relacionados: SPIT SPAM Over IP Telephony (VoIP); SPIM SPAM over Instant Messenger; SPORK SPAM over Orkut. Correntes: geralmente pedem para que o usurio (destinatrio) repasse a mensagem um determinado nmero de vezes ou, ainda, "para todos os amigos" ou "para todos que ama". Utilizada para coletar e-mail vlidos para ataques de SPAM posteriores. Hoaxes (boatos): so as histrias falsas recebidas por e-mail, sites de relacionamentos e na Internet em geral, cujo contedo, alm das conhecidas correntes, consiste em apelos dramticos de cunho sentimental ou religioso, supostas campanhas filantrpicas, humanitrias ou de socorro pessoal ou, ainda, falsos vrus que ameaam destruir, contaminar ou formatar o disco rgido do computador. A figura seguinte destaca um exemplo de hoax recebido em minha caixa de e-mails. O remetente e destinatrios foram embaados de propsito por questo de sigilo.
16
Figura 5 Exemplo de um hoax (boato) bastante comum na Internet Outros casos podem ser visualizados na Internet, vide por exemplo o endereo: http://www.quatrocantos.com/LENDAS/. Como podemos reduzir o volume de spam que chega at nossas caixas postais? A resposta bem simples! Basta navegar de forma consciente na rede. Este conselho o mesmo que recebemos para zelar pela nossa segurana no trnsito ou ao entrar e sair de nossas casas. A seguir destacamos as principais dicas que foram destacadas pelo CertBr (2006) para que os usurios da Internet desfrutem dos recursos e benefcios da rede, com segurana:
Preservar as informaes pessoais, tais como: endereos de e-mail, dados pessoais e, principalmente, cadastrais de bancos, cartes de crdito e senhas. Um bom exerccio pensar que ningum forneceria seus dados pessoais a um estranho na rua, ok? Ento, por que liber-la na Internet? Ter, sempre que possvel, e-mails separados para assuntos pessoais, profissionais, para as compras e cadastros on-line. Certos usurios mantm um e-mail somente para assinatura de listas de discusso.
17
No caso das promoes da Internet, geralmente, ser necessrio preencher formulrios. Ter um e-mail para cadastros on-line uma boa prtica para os usurios com o perfil descrito. Ao preencher o cadastro, procure desabilitar as opes de recebimento de material de divulgao do site e de seus parceiros, pois justamente nesse item que muitos usurios atraem spam, inadvertidamente!
No ser um "clicador compulsivo", ou seja, o usurio deve procurar controlar a curiosidade de verificar sempre a indicao de um site em um email suspeito de spam. Pensar, analisar as caractersticas do e-mail e verificar se no mesmo um golpe ou cdigo malicioso. No ser um "caa-brindes", "papa-liquidaes" ou "destruidor-de-promoes", rs! Ao receber e-mails sobre brindes, promoes ou descontos, reserve um tempo para analisar o e-mail, sua procedncia e verificar no site da empresa as informaes sobre a promoo em questo. Vale lembrar que os sites das empresas e instituies financeiras tm mantido alertas em destaque sobre os golpes envolvendo seus servios. Assim, a visita ao site da empresa pode confirmar a promoo ou alert-lo sobre o golpe que acabou de receber por e-mail! Ferramentas de combate ao spam (anti-spams) so geralmente disponibilizadas do lado dos servidores de e-mail, filtrando as mensagens que so direcionadas nossa caixa postal. Importante que se tenha um filtro anti-spam instalado, ou ainda, usar os recursos anti-spam oferecidos por seu provedor de acesso. Alm do anti-spam, existem outras ferramentas bastante importantes para o usurio da rede: anti-spyware, firewall pessoal e antivrus, estudadas nesta aula. Cookies
So pequenos arquivos que so instalados em seu computador durante a navegao, permitindo que os sites (servidores) obtenham determinadas informaes. isto que permite que alguns sites o cumprimentem pelo nome, saibam quantas vezes voc o visitou, etc. Wardriving O termo wardriving foi escolhido por Peter Shipley para batizar a atividade de dirigir um automvel procura de redes sem fio abertas, passveis de invaso. Warchalcking
18
Prtica de escrever em caladas e paredes a giz (da o nome, Guerra do Giz) o endereo de redes sem fio desprotegidas, abertas para o uso de terceiros.
Bullying O assunto abordado aqui est em ampla discusso no Brasil e no mundo. Trata-se do bullying (do ingls bully, "tiranete" ou "valento"). Bullying so todas as formas de atitudes agressivas intencionais e repetitivas que ridicularizam o outro. Atitudes como comentrios maldosos, apelidos ou gracinhas que caracterizam algum, e outras formas que causam dor e angstia, e executados dentro de uma relao desigual de poder que so caractersticas essenciais que tornam possvel a intimidao da vtima. Captcha Mecanismo usado em filtros do tipo Challenge/response. Um captcha normalmente uma sequncia aleatria de letras e nmeros distorcidos, apresentados na forma de uma imagem. O remetente de uma mensagem deve digitar a combinao do captcha e confirmar, para que a, a mensagem seja encaminhada. Tambm utilizado em cadastros na web. Challenge/response: um tipo de filtro que emite um desafio para o remetente do e-mail ou usurio de um site. O usurio precisa fornecer uma resposta (response) ao desafio para que uma mensagem seja entregue ou para que acesse uma pgina ou site.
Fonte: http://www.tecmundo.com.br/2861-o-que-e-captcha-.htm
19
Fonte: http://www.tecmundo.com.br/2861-o-que-e-captcha-.htm Ataques Ataque uma alterao no fluxo normal de uma informao que afeta um dos servios oferecidos pela segurana da informao. Ele decorrente de uma vulnerabilidade que explorada por um atacante em potencial. Principais tipos de ataque que so cobrados em provas pela banca deste certame: Engenharia Social o mtodo de se obter dados importantes de pessoas atravs da velha lbia. No popular o tipo de vigarice mesmo pois assim que muitos habitantes do underground da internet operam para conseguir senhas de acesso, nmeros de telefones, nomes e outros dados que deveriam ser sigilosos. A engenharia social a tcnica que explora as fraquezas humanas e sociais, em vez de explorar a tecnologia. Guarde isso!!! A tecnologia avana e passos largos mas a condio humana continua na mesma em relao a critrios ticos e morais. Enganar os outros deve ter sua origem na pr-histria portanto o que mudou foram apenas os meios para isso. Em redes corporativas que so alvos mais apetitosos para invasores, o perigo ainda maior e pode estar at sentado ao seu lado. Um colega poderia tentar obter sua senha de acesso mesmo tendo uma prpria, pois uma sabotagem feita com sua senha parece bem mais interessante do que com a senha do prprio autor.
20
Phishing (tambm conhecido como Phishing scam, ou apenas scam) Phishing um tipo de fraude eletrnica projetada para roubar informaes particulares que sejam valiosas para cometer um roubo ou fraude posteriormente. O golpe de phishing realizado por uma pessoa mal-intencionada atravs da criao de um website falso e/ou do envio de uma mensagem eletrnica falsa, geralmente um e-mail ou recado atravs de scrapbooks como no stio Orkut, entre outros exemplos. Utilizando de pretextos falsos, tenta enganar o receptor da mensagem e induzi-lo a fornecer informaes sensveis (nmeros de cartes de crdito, senhas, dados de contas bancrias, entre outras). As duas figuras seguintes apresentam iscas (e-mails) utilizadas em golpes de phishing, uma envolvendo o Banco de Brasil e a outra o Serasa.
Figura 6 Iscas de Phishing A palavra phishing (de fishing) vem de uma analogia criada pelos fraudadores, em que iscas (e-mails) so usadas para pescar informaes sensveis (senhas e dados financeiros, por exemplo) de usurios da Internet. Atualmente, este termo vem sendo utilizado tambm para se referir aos seguintes casos: mensagem que procura induzir o usurio instalao de cdigos maliciosos, projetados para furtar dados pessoais e financeiros; mensagem que, no prprio contedo, apresenta formulrios para o preenchimento e envio de dados pessoais e financeiros de usurios. Pharming
O Pharming uma tcnica que utiliza o sequestro ou a "contaminao" do DNS (Domain Name Server) para levar os usurios a um site falso, alterando o DNS do site de destino. O sistema tambm pode redirecionar os usurios para sites autnticos atravs de proxies controlados pelos phishers, que podem ser usados para monitorar e interceptar a digitao. Profa Patrcia Lima Quinto www.pontodosconcursos.com.br 21
Os sites falsificados coletam nmeros de cartes de crdito, nomes de contas, senhas e nmeros de documentos. Isso feito atravs da exibio de um pop-up para roubar a informao antes de levar o usurio ao site real. O programa mal-intencionado usa um certificado auto-assinado para fingir a autenticao e induzir o usurio a acreditar nele o bastante para inserir seus dados pessoais no site falsificado. Outra forma de enganar o usurio sobrepor a barra de endereo e status de navegador para induzilo a pensar que est no site legtimo e inserir suas informaes. Os phishers utilizam truques para instalar programas criminosos nos PCs dos consumidores e roubar diretamente as informaes. Na maioria dos casos, o usurio no sabe que est infectado, percebendo apenas uma ligeira reduo na velocidade do computador ou falhas de funcionamento atribudas a vulnerabilidades normais de software. Ataques de senhas A utilizao de senhas seguras um dos pontos fundamentais para uma estratgia efetiva de segurana, pois as senhas garantem que somente as pessoas autorizadas tero acesso a um sistema ou rede. Infelizmente isso nem sempre realidade. As senhas geralmente so criadas e implementadas pelos prprios usurios que utilizam os sistemas ou a rede. Palavras, smbolos ou datas fazem com que as senhas tenham algum significado para os usurios, permitindo que eles possam facilmente lembr-las. Neste ponto que existe o problema, pois muitos usurios priorizam a convenincia ao invs da segurana. Como resultado, eles escolhem senhas que so relativamente simples. Enquanto isso permite que possam lembrar facilmente das senhas, tambm facilita o trabalho de quebra dessas senhas por hackers. Em virtude disso, invasores em potencial esto sempre testando as redes e sistemas em busca de falhas para entrar. O modo mais notrio e fcil a ser explorado a utilizao de senhas inseguras. A primeira linha de defesa, a utilizao de senhas, pode se tornar um dos pontos mais falhos. As duas principais tcnicas de ataque a senhas so: Ataque de Dicionrio: Nesse tipo de ataque so utilizadas combinaes de palavras, frases, letras, nmeros, smbolos, ou qualquer outro tipo de combinao geralmente que possa ser utilizada na criao das senhas pelos usurios. Os programas responsveis por realizar essa tarefa trabalham com diversas permutaes e combinaes sobre essas palavras. Quando alguma dessas combinaes se referir senha, ela considerada como quebrada (Cracked).
Geralmente as senhas esto armazenadas criptografadas utilizando um sistema de criptografia HASH. Dessa maneira os programas utilizam o mesmo algoritmo de criptografia para comparar as combinaes com as senhas armazenadas. Em outras palavras, eles a Prof Patrcia Lima Quinto www.pontodosconcursos.com.br 22
adotam a mesma configurao de criptografia das senhas, e ento criptografam as palavras do dicionrio e comparam com senha. Fora-Bruta: Enquanto as listas de palavras, ou dicionrios, do nfase velocidade, o segundo mtodo de quebra de senhas se baseia simplesmente na repetio. Fora-Bruta uma forma de se descobrir senhas que compara cada combinao e permutao possvel de caracteres at achar a senha. Este um mtodo muito poderoso para descoberta de senhas, no entanto extremamente lento porque cada combinao consecutiva de caracteres comparada. Ex: aaa, aab, aac ..... aaA, aaB, aaC... aa0, aa1, aa2, aa3... aba, aca, ada...
Sniffing o processo de captura das informaes da rede por meio de um software de escuta de rede (sniffer), que capaz de interpretar as informaes transmitidas no meio fsico. Esse um ataque confidencialidade dos dados, e costuma ser bastante nocivo, uma vez que boa parte dos protocolos mais utilizados em uma rede (FTP, POP3, SMTP, IMAP, Telnet) transmitem o login e a senha em aberto (sem criptografia) pela rede. Sniffers (farejadores ou ainda capturadores de pacotes): por padro, os computadores (pertencentes mesma rede) escutam e respondem somente pacotes endereados a eles. Entretanto, possvel utilizar um software que coloca a interface num estado chamado de modo promscuo. Nessa condio o computador pode monitorar e capturar os dados trafegados atravs da rede, no importando o seu destino legtimo. Os programas responsveis por capturar os pacotes de rede so chamados Sniffers, Farejadores ou ainda Capturadores de Pacote. Eles exploram o fato do trfego dos pacotes das aplicaes TCP/IP no utilizar nenhum tipo de cifragem nos dados. Dessa maneira um sniffer atua na rede farejando pacotes na tentativa de encontrar certas informaes, como nomes de usurios, senhas ou qualquer outra informao transmitida que no esteja criptografada. A dificuldade no uso de um sniffer que o atacante precisa instalar o programa em algum ponto estratgico da rede, como entre duas mquinas, (com o trfego entre elas passando pela mquina com o farejador) ou em uma rede local com a interface de rede em modo promscuo.
Denial of Service (DoS) Os ataques de negao de servio (denial of service - DoS) consistem em impedir o funcionamento de uma mquina ou de um servio especfico. No caso de ataques a redes, geralmente ocorre que os usurios legtimos de uma rede no consigam mais acessar seus recursos.
O DoS acontece quando um atacante envia vrios pacotes ou requisies de servio de uma vez, com objetivo de sobrecarregar um servidor e, como Profa Patrcia Lima Quinto www.pontodosconcursos.com.br 23
consequncia, impedir o fornecimento de um servio para os demais usurios, causando prejuzos. No DoS o atacante utiliza um computador para tirar de operao um servio ou computador(es) conectado(s) Internet!! Como exemplo deste tipo de ataque tem-se o seguinte contexto: gerar uma sobrecarga no processamento de um computador, de modo que o usurio no consiga utiliz-lo; gerar um grande trfego de dados para uma rede, ocasionando a indisponibilidade dela; indisponibilizar servios importantes de um provedor, impossibilitando o acesso de seus usurios. Cabe ressaltar que se uma rede ou computador sofrer um DoS, isto no significa que houve uma invaso, pois o objetivo de tais ataques indisponibilizar o uso de um ou mais computadores, e no invadi-los. Distributed Denial of Service (DDoS) -> So os ataques coordenados! Em dispositivos com grande capacidade de processamento, normalmente, necessria uma enorme quantidade de requisies para que o ataque seja eficaz. Para isso, o atacante faz o uso de uma botnet (rede de computadores zumbis sob comando do atacante) para bombardear o servidor com requisies, fazendo com que o ataque seja feito de forma distribuda (Distributed Denial of Service DDoS). No DDoS - ataque de negao de servio distribudo-, um conjunto de computadores utilizado para tirar de operao um ou mais servios ou computadores conectados Internet. Veja a notcia seguinte que destaca esse tipo de ataque. Conforme destaca http://www.torresonline.com.br/entenda-como-aconteceua-queda-dos-servidores-dos-sites-do-governo-brasileiro/ , no caso do ataque realizado pelo grupo Lulz Security Brazil, o que aconteceu foi um ataque distribudo por negao de servio. Esse tipo de ataque no visa roubar dados (em um primeiro momento), porm tem como objetivo retirar determinado site do ar temporariamente sem causar grandes danos. Os objetivos por trs do ataque como o que aconteceu podem ser muitos, desde uma reinvindicao poltica at atividades criminosas. O ataque distribudo por negao de servio (DDoS, do ingls Distributed Denial-of-Service attack) atinge sua meta excedendo os limites do servidor. Para tal faanha, os responsveis pelo ataque criam programas maliciosos que so instalados em diversas mquinas, as quais realizaro mltiplos acessos simultneos ao site em questo. E como os servidores possuem limitaes com relao ao nmero de acessos em um mesmo instante, acaba ocorrendo que o servidor no aguenta atender s requisies e retirado do ar. Um ataque distribudo por negao de servio
24
pode simplesmente reiniciar os servidores ou pode causar o travamento total do sistema que opera por trs do site. Os zumbis tambm tm culpa Para aumentar a eficcia do ataque, um DDoS muitas vezes conta com a ajuda de mquinas zumbis, que integram uma rede zumbi. Computadores desse tipo foram infectados por pragas que tornam o acesso internet extremamente lento, isso porque eles esto sob o comando de outra mquina, tambm conhecido como computador-mestre. Importante E justamente por contar com uma legio de mquinas atacando que os DDoS tm grande eficincia. Por se tratar de milhares computadores realizando o ataque, fica muito mais difcil combat-lo, porque os responsveis pela segurana do servidor no conseguem estabelecer regras para impedir todos os acessos que esto causando danos. Dumpster diving ou trashing a atividade na qual o lixo verificado em busca de informaes sobre a organizao ou a rede da vtima, como nomes de contas e senhas, informaes pessoais e confidenciais. Muitos dados sigilosos podem ser obtidos dessa maneira. Esteganografia: a tcnica de esconder um arquivo dentro arquivo, podendo ser uma imagem, documento de texto, planilha etc, s que utilizando criptografia. Ao esconder um arquivo imagem, por exemplo, ao envi-la para o destinatrio desejado, que se assegurar que quem receber a imagem dever conhecer de exibio e a senha utilizada na proteo deste arquivo. de outro eletrnica em uma voc tem o mtodo
Figura 7 Esteganografia Procedimentos de Segurana Nesse contexto, uma srie de procedimentos de segurana, considerados como boas prticas de segurana podem ser implementadas para salvaguardar os ativos da organizao (CertBR, 2006), como os destacadas a seguir: Cuidados com Contas e Senhas (j caiu em prova!) Criar uma senha que contenha pelo menos oito caracteres, compostos de letras, nmeros e smbolos; a Prof Patrcia Lima Quinto www.pontodosconcursos.com.br 25
jamais utilizar como senha seu nome, sobrenomes, nmeros de documentos, placas de carros, nmeros de telefones, datas que possam ser relacionadas com voc ou palavras que faam parte de dicionrios; utilizar uma senha diferente para cada servio (por exemplo, uma senha para o banco, outra para acesso rede corporativa da sua empresa, outra para acesso a seu provedor de Internet etc.); alterar a senha com freqncia; criar tantos usurios com privilgios normais, quantas forem as pessoas que utilizam seu computador; utilizar o usurio Administrator estritamente necessrio. (ou root) somente quando for
Cuidados com Malwares (j caiu em prova!) *Vrus

Instalar e manter atualizado um bom programa antivrus; atualizar as assinaturas do antivrus, de preferncia diariamente; configurar o antivrus para verificar os arquivos obtidos pela Internet, discos rgidos (HDs), flexveis (disquetes) e unidades removveis, como CDs, DVDs e pen drives; desabilitar no seu programa leitor de e-mails a auto-execuo de arquivos anexados s mensagens; no executar ou abrir arquivos recebidos por e-mail ou por outras fontes, mesmo que venham de pessoas conhecidas. Caso seja necessrio abrir o arquivo, certifique-se que ele foi verificado pelo programa antivrus; utilizar na elaborao de documentos formatos menos suscetveis propagao de vrus, tais como RTF, PDF ou PostScript etc.
* Worms, bots e botnets

Seguir todas as recomendaes para preveno contra vrus listadas no item anterior; manter o sistema operacional e demais softwares sempre atualizados; aplicar todas as correes de segurana (patches) disponibilizadas pelos fabricantes, para corrigir eventuais vulnerabilidades existentes nos softwares utilizados; instalar um firewall pessoal, que em alguns casos pode evitar que uma vulnerabilidade existente seja explorada (observe que o firewall no corrige as vulnerabilidades!!) ou que um worm ou bot se propague.
26
*Cavalos de troia, backdoors, keyloggers e spywares

Seguir todas as recomendaes para preveno contra vrus, worms e bots; instalar um firewall pessoal, que em alguns casos pode evitar o acesso a um backdoor j instalado em seu computador etc.; utilizar pelo menos uma ferramenta anti-spyware e mant-la sempre atualizada.
*Realizao de backups: cpias de segurana para salvaguardar os dados, geralmente mantida em CDs, DVDs, fitas magnticas, pendrives, etc., para que possam ser restaurados em caso de perda dos dados originais. Backup (Cpia de segurana) O procedimento de backup (cpia de segurana) pode ser descrito de forma simplificada como copiar dados de um dispositivo para o outro com o objetivo de posteriormente recuperar as informaes, caso haja algum problema. Um backup envolve cpia de dados em um meio fisicamente separado do original, regularmente, de forma a proteg-los de qualquer eventualidade. Ou seja, copiar nossas fotos digitais, armazenadas no HD (disco rgido), para um DVD fazer backup. Se houver algum problema com o HD ou se acidentalmente apagarmos as fotos, podemos ento restaurar os arquivos a partir do DVD. Nesse exemplo, chamamos as cpias das fotos no DVD de cpias de segurana ou backup. Chamamos de restaurao o processo de copiar de volta ao local original as cpias de segurana. importante estabelecer uma poltica de backup que obedece a critrios bem definidos sobre a segurana da informao envolvida. Em suma, o objetivo principal dos backups garantir a disponibilidade da informao. Por isso a poltica de backup um processo relevante no contexto de segurana dos dados.
27
Existem, basicamente, dois mtodos de Backup.
No Windows XP, por exemplo, tem-se o software Microsoft Backup, que ir ajud-lo nesta tarefa. Ao clicar com o boto direito do mouse no cone de um arquivo do Windows XP, e selecionar a opo Propriedades; em seguida, guia geral ->Avanado, ser exibida uma caixa o arquivo est pronto para ser arquivado, marcada como padro (No Windows XP, leia-se arquivo morto).
A tela seguinte desta a opo de arquivo morto obtida ao clicar com o boto direito do mouse no arquivo intitulado lattes.pdf, do meu computador que possui o sistema operacional Windows Vista.
Quando um arquivo est com esse atributo marcado, significa que ele dever ser copiado no prximo backup. Se estiver desmarcado, significa que, provavelmente, j foi feito um backup deste arquivo.
28
As principais tcnicas (tipos) de Backup, que podem ser combinadas com os mecanismos de backup on-line e off-line, esto listadas a seguir: **NORMAL (TOTAL ou GLOBAL) COPIA TODOS os arquivos e pastas selecionados. DESMARCA o atributo de arquivo morto (arquivamento): limpa os marcadores!! Caso necessite restaurar o backup normal, voc s precisa da cpia mais recente. Normalmente, este backup executado quando voc cria um conjunto de backup pela 1 vez. Agiliza o processo restaurado. de restaurao, pois somente um backup ser
**INCREMENTAL Copia somente os arquivos CRIADOS ou ALTERADOS desde o ltimo backup normal ou incremental. O atributo de arquivamento (arquivo morto) DESMARCADO: limpa os marcadores!! Copia somente os arquivos CRIADOS ou ALTERADOS desde o ltimo backup normal ou incremental. O atributo de arquivamento (arquivo morto) NO ALTERADO: no limpa os marcadores!! Faz o backup de arquivos e pastas selecionados. O atributo de arquivamento (arquivo morto) NO ALTERADO: no limpa os marcadores! Copia todos os arquivos e pastas selecionados que foram ALTERADOS DURANTE O DIA da execuo do backup. O atributo de arquivamento (arquivo morto) NO ALTERADO: no limpa os marcadores!
**DIFERENCIAL
**CPIA (AUXILIAR ou SECUNDRIA)
**DIRIO
Quanto RECUPERAO do backup: Para recuperar um disco a partir de um conjunto de backups (normal + incremental) ser necessrio o primeiro (normal) e todos os incrementais.
29
Para recuperar um disco a partir de um conjunto de backups (normal + diferencial) basta o primeiro (normal) e o ltimo diferencial, j que este contm tudo que diferente do primeiro. Aplicativos para aprimoramento da segurana **Sistemas Antivrus Ferramentas preventivas e corretivas, que detectam (e, em muitos casos, removem) vrus de computador e outros programas maliciosos (como spywares e cavalos-de-troia). No impedem que um atacante explore alguma vulnerabilidade existente no computador. Tambm no evita o acesso no autorizado a um backdoor instalado no computador. interessante manter, em seu computador: Um antivrus funcionando constantemente (preventivamente). Esse programa (preventivo). antivrus verificando os e-mails constantemente
O recurso de atualizaes automticas das definies de vrus habilitado. As definies de vrus atualizadas constantemente (nem que para isso seja necessrio, todos os dias, executar a atualizao manualmente).
Figura. Telas do antivrus AVG e Panda **Anti-Spyware O malware do tipo spyware pode se instalar no computador sem o seu conhecimento e a qualquer momento que voc se conectar Internet, e pode infectar o computador quando voc instala alguns programas usando um CD, DVD ou outra mdia removvel. Um spyware tambm pode ser programado para ser executado em horrios inesperados, no apenas quando instalado. A ferramenta anti-spyware uma forte aliada do antivrus, permitindo a localizao e bloqueio de spywares conhecidos e desconhecidos. Exemplo de ferramentas anti-spyware: Windows Defender, Spybot etc.
30
Combate a cdigos maliciosos O combate a cdigos maliciosos poder envolver uma srie de aes, como: instalao de ferramentas antivrus e antispyware no computador, lembrando de mant-las atualizadas frequentemente; no realizar abertura de arquivos suspeitos recebidos por e-mail; fazer a instalao de patches de segurana e atualizaes corretivas de softwares e do sistema operacional quando forem disponibilizadas (proteo contra worms e bots), etc. **IPS/IDS, Firewalls O IDS (Intrusion Detection Systems) procura por ataques j catalogados e registrados, podendo, em alguns casos, fazer anlise comportamental do sistema. O IPS (Sistema de Preveno de Intruso) que faz a deteco de ataques e intruses, e no o firewall!! Um IPS um sistema que detecta e obstrui automaticamente ataques computacionais a recursos protegidos. Diferente dos IDS tradicionais, que localizam e notificam os administradores sobre anomalias, um IPS defende o alvo sem uma participao direta humana. O firewall no tem a funo de procurar por ataques. Ele realiza a filtragem dos pacotes e, ento, bloqueia as transmisses no permitidas. Dessa forma, atua entre a rede externa e interna, controlando o trfego de informaes que existem entre elas, procurando certificar-se de que este trfego confivel, em conformidade com a poltica de segurana do site acessado. Tambm pode ser utilizado para atuar entre redes com necessidades de segurana distintas. A RFC 2828 (Request for Coments n 2828) define o termo firewall como sendo uma ligao entre redes de computadores que restringe o trfego de comunicao de dados entre a parte da rede que est dentro ou antes do firewall, protegendo-a assim das ameaas da rede de computadores que est fora ou depois do firewall. Esse mecanismo de proteo geralmente utilizado para proteger uma rede menor (como os computadores de uma empresa) de uma rede maior (como a Internet). Um firewall deve ser instalado no ponto de conexo entre as redes, onde, atravs de regras de segurana, controla o trfego que flui para dentro e para fora da rede protegida. Pode ser desde um nico computador, um software sendo executado no ponto de conexo entre as redes de Profa Patrcia Lima Quinto www.pontodosconcursos.com.br 31
computadores softwares.
ou
um
conjunto
complexo
de
equipamentos
Figura 8 Firewall Deve-se observar que isso o torna um potencial gargalo para o trfego de dados e, caso no seja dimensionado corretamente, poder causar atrasos e diminuir a performance da rede. Os firewalls so implementados, em regra, em dispositivos que fazem a separao da rede interna e externa, chamados de estaes guardis (bastion hosts). Quando o bastion host cai, a conexo entre a rede interna e externa pra de funcionar. As principais funcionalidades oferecidas pelos firewalls so: regular o trfego de dados entre uma rede local e a rede externa no confivel, por meio da introduo de filtros para pacotes ou aplicaes; impedir a transmisso e/ou recepo de acessos nocivos ou no autorizados dentro de uma rede local; mecanismo de defesa que restringe o fluxo de dados entre redes, podendo criar um log do trfego de entrada e sada da rede; proteo de sistemas vulnerveis ou crticos, ocultando informaes de rede como nome de sistemas, topologia da rede, identificaes dos usurios etc. DMZ - Zona Desmilitarizada Tambm chamada de Rede de Permetro. Trata-se de uma pequena rede situada entre uma rede confivel e uma no confivel, geralmente entre a rede local e a Internet. A funo de uma DMZ manter todos os servios que possuem acesso externo (navegador, servidor de e-mails) separados da rede local limitando o dano em caso de comprometimento de algum servio nela presente por algum invasor. Para atingir este objetivo os computadores presentes em uma DMZ no devem conter nenhuma rota de acesso rede local. O termo possui uma origem militar, significando a rea existente entre dois inimigos em uma guerra.
32
Figura 9 DMZ RAID - Redundant Array of Independent Disks (Matriz redundante de discos independentes) Tecnologia utilizada para combinar diversos discos rgidos (IDE, SATA ou SCSI) para que sejam reconhecidos, pelo sistema operacional, como apenas UMA nica unidade de disco. Existem vrios tipos (chamados modos) de RAID, e os mais comuns so: RAID 0 (Stripping - Enfileiramento) Cada modo desses combina os discos rgidos de formas diferentes para obterem resultados diferentes. Combina dois (ou mais) HDs para que os dados gravados sejam divididos entre eles. No caso de um RAID 0 entre dois discos, os arquivos salvos nesse conjunto sero gravados METADE em um disco, METADE no outro. Ganha-se muito em velocidade o a gravao do arquivo feita em metade do tempo, porque se grava metade dos dados em um disco e metade no outro simultaneamente (o barramento RAID outro, separado, do IDE). o A leitura dos dados dos discos tambm acelerada! o Nesse RAID no h tolerncia a falhas (segurana) porque de um dos discos pifar, os dados estaro perdidos completamente. o No se preocupa com segurana e sim com a velocidade! RAID 1 (Mirroring - Espelhamento) Cria uma matriz (array) de discos espelhados (discos idnticos). O que se copia em um, copia-se igualmente no outro disco. O RAID 1 aumenta a segurana do sistema. RAID 1 aumenta a velocidade de leitura dos dados no disco (no a de escrita).
33
RAID 5 Sistema tolerante a falhas, cujos dados e paridades so distribudos ao longo de trs ou mais discos fsicos. A paridade um valor calculado que usado para reconstruir dados depois de uma falha. Se um disco falhar, possvel recriar os dados que estavam na parte com problema a partir da paridade e dados restantes. Biometria Um sistema biomtrico, em mecanismos de autenticao, analisa uma amostra de corpo do usurio, envolvendo por exemplo: Impresso Digital (+usado); ris; Voz; Veias das Mos; Reconhecimento Facial (+usado).
Figura 10 Veias da palma da mo, impresso digital, reconhecimento da face, identificao pela ris ou retina, geometria da mo, etc. Virtual Private Network (VPN) Uma Virtual Private Network (VPN) ou Rede Virtual Privada uma rede privada (rede com acesso restrito) construda sobre a estrutura de uma rede pblica (recurso pblico, sem controle sobre o acesso aos dados), normalmente a Internet. Ou seja, ao invs de se utilizar links dedicados ou redes de pacotes para conectar redes remotas, utiliza-se a infraestrutura da Internet, uma vez que para os usurios a forma como as redes esto conectadas transparente. Normalmente as VPNs so utilizadas para interligar empresas em que os custos de linhas de comunicao direta de dados so elevados. Elas criam tneis virtuais de transmisso de dados utilizando criptografia para garantir a privacidade e integridade dos dados, e a autenticao para garantir que os dados esto sendo transmitidos por entidades ou dispositivos autorizados e no por outros quaisquer. Uma VPN pode ser criada tanto por dispositivos especficos, softwares ou at pelo prprio sistema operacional.
34
Princpios bsicos (Caiu em prova!) Uma VPN deve prover um conjunto de funes que garantam alguns princpios bsicos para o trfego das informaes: 1. Confidencialidade tendo-se em vista que estaro sendo usados meios pblicos de comunicao, imprescindvel que a privacidade da informao seja garantida, de forma que, mesmo que os dados sejam capturados, no possam ser entendidos. 2. Integridade na eventualidade da informao ser capturada, necessrio garantir que no seja alterada e reencaminhada, permitindo que somente informaes vlidas sejam recebidas. 3. Autenticidade somente os participantes devidamente autorizados podem trocar informaes entre si, ou seja, um elemento da VPN somente reconhecer informaes originadas por um segundo elemento que tenha autorizao para fazer parte dela. Criptografia A palavra criptografia composta dos termos gregos KRIPTOS (secreto, oculto, ininteligvel) e GRAPHO (escrita, escrever). Trata-se de um conjunto de conceitos e tcnicas que visa codificar uma informao de forma que somente o emissor e o receptor possam acess-la. Terminologia bsica sobre Criptografia: Mensagem ou texto: Informao que se deseja proteger. Esse texto quando em sua forma original, ou seja, a ser transmitido, chamado de texto puro ou texto claro. Remetente ou emissor: Pessoa que envia a mensagem. Destinatrio ou receptor: Pessoa que receber a mensagem. Encriptao: Processo em que um texto puro passa, transformando-se em texto cifrado. Desencriptao: Processo de recuperao de um texto puro a partir de um texto cifrado. Criptografar: Ato de encriptar um texto puro, assim descriptografar o ato de desencriptar um texto cifrado. como,
Chave: Informao que o remetente e o destinatrio possuem e que ser usada para criptografar e descriptografar um texto ou mensagem.
Algoritmos: Simtricos (ou convencional, chave privada, chave nica) Assimtricos (ou chave pblica).
35
A criptografia de chave simtrica (tambm chamada de criptografia de chave nica, ou criptografia privada, ou criptografia convencional) utiliza APENAS UMA chave para encriptar e decriptar as mensagens. Assim, como s utiliza UMA chave, obviamente ela deve ser compartilhada entre o remetente e o destinatrio da mensagem. Para ilustrar os sistemas simtricos, podemos usar a imagem de um cofre, que s pode ser fechado e aberto com uso de uma chave. Esta pode ser, por exemplo, uma combinao de nmeros. A mesma combinao abre e fecha o cofre. Para criptografar uma mensagem, usamos a chave (fechamos o cofre) e para decifr-la utilizamos a mesma chave (abrimos o cofre). Na criptografia simtrica (ou de chave nica) tanto o emissor quanto o receptor da mensagem devem conhecer a chave utilizada!! Ambos fazem uso da MESMA chave, isto , uma NICA chave usada na codificao e na decodificao da informao.
Nas figuras acima, podemos observar o funcionamento da criptografia simtrica. Uma informao encriptada atravs de um polinmio utilizando-se de uma chave (Chave A) que tambm serve para decriptar a informao. As principais vantagens dos algoritmos simtricos so: rapidez: um polinmio simtrico encripta um texto longo em milsimos de segundos chaves pequenas: uma chave de criptografia de 128 bits torna um algoritmo simtrico praticamente impossvel de ser quebrado. A maior desvantagem da criptografia simtrica que a chave utilizada para encriptar IGUAL chave que decripta. Quando um grande nmero de pessoas tem conhecimento da chave, a informao deixa de ser um segredo. O uso de chaves simtricas tambm faz com que sua utilizao no seja adequada em situaes em que a informao muito valiosa. Para comear, necessrio usar uma grande quantidade de chaves caso muitas pessoas estejam envolvidas. Ainda, h o fato de que tanto o emissor quanto o receptor precisam conhecer a chave usada.
36
A transmisso dessa chave de um para o outro pode no ser to segura e cair em "mos erradas", fazendo com que a chave possa ser interceptada e/ou alterada em trnsito por um inimigo. Existem vrios algoritmos que usam chaves simtricas, como o DES (Data Encryption Standard), o IDEA (International Data Encryption Algorithm), e o RC (Ron's Code ou Rivest Cipher). Os algoritmos de criptografia assimtrica (criptografia de chave pblica) utilizam DUAS chaves DIFERENTES, uma PBLICA (que pode ser distribuda) e uma PRIVADA (pessoal e intransfervel). Assim, nesse mtodo cada pessoa ou entidade mantm duas chaves: uma pblica, que pode ser divulgada livremente, e outra privada, que deve ser mantida em segredo pelo seu dono. As mensagens codificadas com a chave pblica s podem ser decodificadas com a chave privada correspondente. Do ponto de vista do custo computacional, os sistemas simtricos apresentam melhor desempenho que os sistemas assimtricos, e isso j foi cobrado em provas vrias vezes! Nota: Chave assimtrica
Tambm conhecida como "chave pblica", a tcnica de criptografia por chave assimtrica trabalha com DUAS chaves: uma denominada privada e outra denominada pblica. Nesse mtodo, uma pessoa deve criar uma chave de codificao e envi-la a quem for mandar informaes a ela. Essa a chave pblica. Outra chave deve ser criada para a decodificao. Esta a chave privada secreta. Para entender melhor, imagine o seguinte: O USURIO-A criou uma chave pblica e a enviou a vrios outros sites. Quando qualquer desses sites quiser enviar uma informao criptografada ao USURIO-A dever utilizar a chave pblica deste. Quando o USURIO-A receber a informao, apenas ser possvel extra-la com o uso da chave privada, que s o USURIO-A tem. Caso o USURIO-A queira enviar uma informao criptografada a outro site, dever conhecer sua chave pblica.
37
Entre os algoritmos que usam chaves assimtricas tm-se o RSA (o mais conhecido), o Diffie-Hellman, o DSA (Digital Signature Algorithm), o Schnorr (praticamente usado apenas em assinaturas digitais) e Diffie-Hellman.
Figura 11 Mapa mental relacionado Criptografia ASSimtrica PKI (Public Key Infrastrusture) a infraestrutura de chaves pblicas (ICP). A ICP-Brasil um exemplo de PKI. Componentes de uma PKI Uma infraestrutura de chaves pblicas envolve um processo colaborativo entre vrias entidades: autoridade certificadora (AC), autoridade de registro (AR), repositrio de certificados e o usurio final. Autoridade Certificadora (AC) Vamos ao exemplo da carteira de motorista. Se pensarmos em um
38
certificado como uma carteira de motorista, a Autoridade Certificadora opera como um tipo de rgo de licenciamento. Em uma ICP, a AC emite, gerencia e revoga os certificados para uma comunidade de usurios finais. A AC assume a tarefa de autenticao de seus usurios finais e ento assina digitalmente as informaes sobre o certificado antes de dissemin-lo. A AC, no final, responsvel pela autenticidade dos certificados emitidos por ela. Autoridade de Registro (AR) Embora a AR possa ser considerada um componente estendido de uma ICP, os administradores esto descobrindo que isso uma necessidade. medida que aumenta o nmero de usurios finais dentro de uma ICP, tambm aumenta a carga de trabalho de uma AC. A AR serve como uma entidade intermediria entre a AC e seus usurios finais, ajudando a AC em suas funes rotineiras para o processamento de certificados. Uma AR necessariamente uma entidade operacionalmente vinculada a uma AC, a quem compete:

identificar os titulares de certificados: indivduos, organizaes ou equipamentos; encaminhar solicitaes de emisso e revogao de certificados AC; guardar os documentos apresentados para identificao dos titulares.
A AC deve manter uma lista de suas ARs credenciadas e estas ARs so consideradas confiveis, pelo ponto de vista dessa AC. Lista de Certificados Revogados (LCR) A LCR ou CRL (Certificate Revocation List) uma estrutura de dados que contm a lista de certificados revogados por uma determinada AC. Declarao de Prticas Certificado (PC) de Certificao (DPC) e Poltica de
As ACs atuam como terceiros confiveis, confirmando o contedo dos certificados que elas emitem. Mas o que exatamente uma AC certifica? O que faz uma AC ser mais confivel do que outra? Dois mecanismos so utilizados pelas ACs para estabelecer a confiana entre usurios finais e partes verificadoras: a Declarao de Prticas de Certificao (DPC) e a Poltica de Certificado (PC). A Declarao de Prticas de Certificao um documento, periodicamente revisado e republicado, que contm as prticas e procedimentos implementados por uma Autoridade Certificadora para
39
emitir certificados. a declarao da entidade certificadora a respeito dos detalhes do seu sistema de credenciamento, das prticas e polticas que fundamentam a emisso de certificados e de outros servios relacionados. J a Poltica de Certificado definida como um conjunto de regras que indica a aplicabilidade de um certificado para uma determinada comunidade e/ou uma classe de aplicativos com requisitos comuns de segurana. A PC pode ser usada para ajudar a decidir se um certificado confivel o suficiente para uma dada aplicao. Nas PC encontramos informaes sobre os tipos de certificado, definies sobre quem poder ser titular de um certificado, os documentos obrigatrios para emisso do certificado e como identificar os solicitantes. Hierarquias de Certificado medida que uma populao de uma ICP comea a aumentar, torna-se difcil para uma AC monitorar de maneira eficaz a identidade de todas as partes que ela certificou. medida que o nmero de certificados cresce, uma nica AC pode estrangular o processo de certificao. Uma soluo utilizar uma hierarquia de certificados em que uma AC delega sua autoridade para uma ou mais Autoridades Certificadoras subsequentes ou intermedirias. Essas AC, por sua vez, designam a emisso de certificados a outras AC vinculadas e subsequentes. Um recurso poderoso das hierarquias de certificado que uma nica Autoridade Certificadora estabelece a confiana das demais AC subsequentes a Autoridade Certificadora superior (cujo certificado autoassinado) e que por esta posio recebe o nome de Autoridade Certificadora Raiz. A AC Raiz a autoridade mxima na cadeia de certificao de uma ICP. a nica entidade na cadeia que auto-confivel, ou seja, a nica AC que confia em si mesma e que assina a si mesma. Todos os certificados emitidos na cadeia de certificao abaixo dela recebem a sua assinatura. A AC Raiz NO emite certificados para usurios finais, apenas para outras autoridades certificadoras. Processo de verificao da cadeia de confiana Para verificar a cadeia de confiana de um certificado e decidir se o mesmo confivel, a parte confiante (verificadora) deve analisar trs itens relacionados a cada certificado que faz parte da hierarquia de certificados, at chegar ao certificado da AC Raiz. Primeiro a parte confiante deve verificar se cada certificado da cadeia est assinado pelo certificado anterior a ele na hierarquia. Segundo, deve assegurar que nenhum dos certificados da cadeia esteja expirado e terceiro, Profa Patrcia Lima Quinto www.pontodosconcursos.com.br 40
deve verificar se existe algum certificado da cadeia que est revogado. Se a parte confiante confiar no certificado da AC Raiz da hierarquia, automaticamente toda a cadeia ser considerada confivel, inclusive o certificado do usurio final.
Figura. Modelo de Hierarquia de uma ICP Assinatura Digital Conforme destaca Stallings (2008) uma assinatura digital um mecanismo de AUTENTICAO que permite ao criador de uma mensagem anexar um cdigo que atue como uma assinatura. A assinatura formada tomando o hash da mensagem e criptografando-a com a chave privada do criador. A assinatura garante a ORIGEM e a INTEGRIDADE da mensagem. Em outras palavras, a assinatura digital consiste na criao de um cdigo, atravs da utilizao de uma chave privada, de modo que a pessoa ou entidade que receber uma mensagem contendo este cdigo possa verificar se o remetente mesmo quem diz ser e identificar qualquer mensagem que possa ter sido modificada. Se Jos quiser enviar uma mensagem assinada para Maria, ele codificar a mensagem com sua chave privada. Neste processo ser gerada uma assinatura digital, que ser adicionada mensagem enviada para Maria. Ao receber a mensagem, Maria utilizar a chave pblica de Jos para decodificar a mensagem. Neste processo ser gerada uma segunda assinatura digital, que ser comparada primeira. Se as assinaturas forem idnticas, Maria ter certeza que o remetente da mensagem foi o Jos e que a mensagem no foi modificada. importante ressaltar que a segurana do mtodo baseia-se no fato de que a chave privada conhecida apenas pelo seu dono. Tambm importante ressaltar que o fato de assinar uma mensagem no significa gerar uma mensagem sigilosa. Para o exemplo anterior, se Jos quisesse assinar a mensagem e ter certeza de que apenas Maria teria acesso a seu contedo, seria preciso codific-la com a chave pblica de Maria, depois de assin-la.
41
Certificado Digital Um certificado digital um documento eletrnico que identifica pessoas, fsicas ou jurdicas, URLs, contas de usurio, servidores (computadores) dentre outras entidades. Este documento na verdade uma estrutura de dados que contm a chave pblica do seu titular e outras informaes de interesse. Contm informaes relevantes para a identificao real da entidade a que visam certificar (CPF, CNPJ, endereo, nome, etc.) e informaes relevantes para a aplicao a que se destinam. O certificado digital precisa ser emitido por uma autoridade reconhecida pelas partes interessadas na transao. Chamamos essa autoridade de Autoridade Certificadora, ou AC. O certificado fica armazenado em dispositivos de segurana, como por ex.: Token ou Smart Card, ilustrados na figura a seguir.
Token
Smart Card ou carto inteligente Figura. Ilustrao de dispositivos de segurana Quanto aos objetivos do certificado digital podemos destacar: Transferir a credibilidade que hoje baseada em papel e conhecimento para o ambiente eletrnico. Vincular uma chave pblica a um titular (eis o objetivo principal). O certificado digital precisa ser emitido por uma autoridade reconhecida pelas partes interessadas na transao, conforme visto na prxima figura. Chamamos essa autoridade de Autoridade Certificadora, ou AC.
Figura. Vnculo da Chave Pblica ao Titular

42
Dentre as informaes que compem a estrutura de um certificado temos: Verso Nmero de srie Nome do titular Chave pblica do titular Perodo de validade Nome do emissor Assinatura do emissor Algoritmo de assinatura do emissor Extenses Indica qual formato est sendo seguido. de certificado
Identifica unicamente um certificado dentro do escopo do seu emissor. Nome da pessoa, URL ou demais informaes que esto sendo certificadas. Informaes da chave pblica do titular. Data de emisso e expirao. Entidade que emitiu o certificado. Valor da assinatura digital feita pelo emissor. Identificador dos algoritmos de hash + assinatura utilizados pelo emissor para assinar o certificado. Campo opcional para estender o certificado.
Um exemplo destacando informaes do certificado pode ser visto na figura seguinte:
43
Reviso em Tpicos e Palavras-Chave Risco: Medido pela probabilidade de uma ameaa acontecer e causar algum dano potencial empresa.
Figura. Impacto de incidentes de segurana nos negcios HASH (Message Digest Resumo de Mensagem): Mtodo matemtico unidirecional, ou seja, s pode ser executado em um nico sentido (ex.: voc envia uma mensagem com o hash, e este no poder ser alterado, mas apenas conferido pelo destinatrio). Utilizado para garantir a integridade (no-alterao) de dados durante uma transferncia. Engenharia Social: Tcnica de ataque que explora as fraquezas humanas e sociais, em vez de explorar a tecnologia. Sniffer: Ferramenta capaz de interceptar e registrar o trfego de dados em uma rede de computadores.
Phishing ou scam: Tipo de fraude eletrnica projetada para roubar informaes particulares que sejam valiosas para cometer um roubo ou fraude posteriormente.
Pharming: Ataque que consiste em corromper o DNS em uma rede de computadores, fazendo com que a URL de um site passe a apontar para o IP de um servidor diferente do original. Profa Patrcia Lima Quinto www.pontodosconcursos.com.br 44
No ataque de negao de servio (denial of service - DoS) o atacante utiliza um computador para tirar de operao um servio ou computador(es) conectado(s) Internet!! No ataque de negao de servio distribudo (DDoS), um conjunto de computadores utilizado para tirar de operao um ou mais servios ou computadores conectados Internet. Malwares (combinao de malicious software programa malicioso): programas que executam deliberadamente aes mal-intencionadas em um computador, como vrus, worms, bots, cavalos de troia, spyware, keylogger, screenlogger.
Spams: mensagens de correio eletrnico no autorizadas ou no solicitadas pelo destinatrio, geralmente de conotao publicitria ou obscena. Anti-spam: ferramenta utilizada para filtro de mensagens indesejadas. Botnets: redes formadas por diversos computadores infectados com bots (Redes Zumbis). Podem ser usadas em atividades de negao de servio, esquemas de fraude, envio de spam, etc. Firewall: um sistema para controlar o acesso s redes de computadores, desenvolvido para evitar acessos no autorizados em uma rede local ou rede privada de uma corporao. VPN (Virtual Private Network Rede Privada Virtual): uma rede privada que usa a estrutura de uma rede pblica (como a Internet) para transferir seus dados (os dados devem estar criptografados para passarem despercebidos e inacessveis pela Internet). Vulnerabilidade uma fragilidade que poderia ser explorada por uma ameaa para concretizar um ataque. Ex.: notebook sem as atualizaes de segurana do sistema operacional.
45
Princpios bsicos da segurana da informao: Princpio bsico Conceito Propriedade de que a informao no esteja disponvel ou revelada a indivduos, entidades ou processos no autorizados. Propriedade de salvaguarda da exatido e completeza de ativos Objetivo
Confidencialidade
Proteger contra o acesso no autorizado, mesmo para dados em trnsito.
Integridade
Proteger informao contra modificao sem permisso; garantir a fidedignidade das informaes. Proteger contra indisponibilidade dos servios (ou degradao); garantir aos usurios com autorizao, o acesso aos dados.
Disponibilidade
Propriedade de estar acessvel e utilizvel sob demanda por uma entidade autorizada
Existem vrios tipos de RAID (Redundant Array of Independent Disks), e os mais comuns so: RAID 0, RAID 1, RAID 10 (tambm conhecido como 1+0) e RAID 5. Backup (cpia de segurana): envolve a cpia dos dados de um dispositivo para o outro com o objetivo de posteriormente recuperar as informaes, caso haja algum problema. Procure fazer cpias regulares dos dados do computador, para recuperar-se de eventuais falhas e das consequncias de uma possvel infeco por vrus ou invaso. Principais tipos de backup:
46
RAID no backup! RAID Medida de redundncia. Backup Medida de recuperao de desastre. Muito bem, aps termos visto os conceitos primordiais de segurana para a prova, vamos s questes!!
47
Lista de Questes Comentadas 1. (CESGRANRIO/Petrobrs/Analista de Sistemas - Eng. de Software/ 2008) Os trs princpios fundamentais aplicveis segurana da informao so: a) confidencialidade, integridade e privacidade. b) confidencialidade, no-repdio e legitimidade. c) confidencialidade, integridade e disponibilidade. d) privacidade, disponibilidade e integridade. e) privacidade, integridade e legitimidade. Comentrios Os trs princpios fundamentais da segurana da informao confidencialidade, integridade e disponibilidade, destacados a seguir. so:
Confidencialidade (sigilo): a garantia de que a informao no ser conhecida por quem no deve. O acesso s informaes deve ser limitado, ou seja, somente as pessoas explicitamente autorizadas podem acess-las. Perda de confidencialidade significa perda de segredo. Se uma informao for confidencial, ela ser secreta e dever ser guardada com segurana, e no divulgada para pessoas no-autorizadas. Integridade: esse princpio destaca que a informao deve ser mantida na condio em que foi liberada pelo seu proprietrio, garantindo a sua proteo contra mudanas intencionais, indevidas ou acidentais. Em outras palavras, a garantia de que a informao que foi armazenada a que ser recuperada!!! Disponibilidade: a garantia de que a informao deve estar disponvel, sempre que seus usurios (pessoas e empresas autorizadas) necessitarem, no importando o motivo. Em outras palavras, a garantia que a informao sempre poder ser acessada!!! Como exemplo, h quebra do princpio da disponibilidade quando voc decidir enviar a sua declarao do Imposto de Renda pela Internet, no ltimo dia possvel, e o site da Receita Federal estiver indisponvel.
A figura seguinte destaca a essncia da aplicao dos trs princpios acima. Ou seja, desejamos entregar a informao CORRETA, para a pessoa CERTA, no momento CORRETO!!! Entenderam?? Ainda, cabe destacar que a perda de pelo menos um desses princpios j ir ocasionar impactos ao negcio (a surgem os incidentes de segurana!!)
48
Figura 12 Princpios Bsicos Integridade, Confidencialidade e Disponibilidade (Technet, 2006) Outros princpios podem ser tambm levados em considerao. So eles: Autenticidade: a capacidade de garantir a identidade de uma pessoa (fsica ou jurdica) que acessa as informaes do sistema ou de um servidor (computador) com quem se estabelece uma transao (de comunicao, como um e-mail, ou comercial, como uma venda on-line). Confiabilidade: pode ser caracterizada como a condio em que um sistema de informao presta seus servios de forma eficaz e eficiente. Ou melhor, um sistema de informao ir desempenhar o papel que foi proposto para si (ANTNIO, 2009). No-repdio (irretratabilidade): a garantia de que um agente no consiga negar (dizer que no foi feito) uma operao ou servio que modificou ou criou uma informao. Antnio (2009) destaca que essa garantia condio necessria para a validade jurdica de documentos e transaes digitais. S se pode garantir o no-repdio quando houver autenticidade e integridade (ou seja, quando for possvel determinar quem mandou a mensagem e garantir que a mesma no foi alterada). Legalidade: aderncia do sistema legislao. Auditoria: a possibilidade de rastrear o histrico dos eventos de um sistema para determinar quando e onde ocorreu uma violao de segurana, bem como identificar os envolvidos nesse processo. Privacidade: diz respeito ao direito fundamental de cada indivduo de decidir quem deve ter acesso aos seus dados pessoais. A privacidade a capacidade de um sistema manter incgnito um usurio (capacidade de um usurio realizar operaes em um sistema sem que seja identificado), impossibilitando a ligao direta da identidade do usurio com as aes por este realizadas. Privacidade uma caracterstica de segurana requerida, por exemplo, em eleies secretas.
49
Uma informao privada deve ser vista, lida ou alterada somente pelo seu dono. Esse princpio difere da confidencialidade, pois uma informao pode ser considerada confidencial, mas no privada. Quando falamos em segurana da informao, estamos nos referindo a salvaguardas para manter a confidencialidade, integridade, disponibilidade e demais aspectos da segurana das informaes dentro das necessidades do cliente (ALBUQUERQUE e RIBEIRO, 2002). Gabarito: letra C. 2. (CESGRANRIO/Caixa/Escriturrio/2008) Quais princpios da segurana da informao so obtidos com o uso da assinatura digital? a) Autenticidade, confidencialidade e disponibilidade. b) Autenticidade, confidencialidade e integridade. c) Autenticidade, integridade e no-repdio. d) Autenticidade, confidencialidade, disponibilidade, integridade e norepdio. e) Confidencialidade, disponibilidade, integridade e norepdio. Comentrios Os princpios da segurana da informao obtidos com o uso da assinatura digital so: Autenticidade: o receptor pode confirmar que a assinatura foi feita pelo emissor; integridade: qualquer alterao da mensagem faz com que a assinatura se torne invlida; no repdio ou irretratabilidade: o emissor no pode negar que foi o autor da mensagem. Importante!! A assinatura digital, por si s, no garante a confidencialidade dos dados. Essa confidencialidade obtida por meio das tcnicas de criptografia, que so usadas em conjunto com as assinaturas digitais. Gabarito: letra C. 3. (CESGRANRIO - 2010 - Petrobrs - Analista de Sistemas Jnior Processos de Negcios) De acordo com a NBR/ISO 27002, Segurana da Informao a proteo da informao de vrios tipos de ameaas para a) garantir a continuidade do negcio, minimizar o risco ao negcio, maximizar o retorno sobre os investimentos e as oportunidades de negcio.
50
b) garantir a continuidade do negcio, minimizar as vulnerabilidades dos ativos de segurana, maximizar o retorno sobre os investimentos e as oportunidades de negcio. c) garantir a continuidade do negcio, facilitar o controle de acesso, maximizar o retorno sobre os investimentos e maximizar a disponibilidade dos sistemas de segurana. d) facilitar o controle de acesso, minimizar o risco ao negcio, maximizar a disponibilidade dos sistemas de segurana e as oportunidades de negcio. e) minimizar as vulnerabilidades dos ativos de segurana, minimizar o risco ao negcio, maximizar o retorno sobre os investimentos e a disponibilidade dos sistemas de segurana. Comentrios Segurana da informao o processo de proteger a informao de diversos tipos de ameaas externas e internas para garantir a continuidade dos negcios, minimizar os danos aos negcios e maximizar o retorno dos investimentos e as oportunidades de negcio. A segurana da informao no deve ser tratada como um fator isolado e tecnolgico apenas, mas sim como a gesto inteligente da informao em todos os ambientes, desde o ambiente tecnolgico passando pelas aplicaes, infraestrutura e as pessoas. Solues pontuais isoladas no resolvem toda a problemtica associada segurana da informao. Segurana se faz em pedaos, porm todos eles integrados, como se fossem uma corrente. Segurana se faz protegendo todos os elos da corrente, ou seja, todos os ativos (fsicos, tecnolgicos e humanos) que compem seu negcio. Afinal, o poder de proteo da corrente est diretamente associado ao elo mais fraco!
Gabarito: letra A. 4. (CESGRANRIO/BNDES/Analista de Sistemas-Suporte/2010) Um conjunto de computadores est sendo utilizado para tirar de operao um servio de determinado rgo pblico. Essa situao configura o ataque do tipo a) Replay b) SQL Injection
51
c) XSS. d) Buffer Overflow e) DDoS Comentrios Trata-se do ataque Distributed Denial of Service (DDoS) ataque de negao de servio distribudo -> So os ataques coordenados! No DDoS, um conjunto de computadores utilizado para tirar de operao um ou mais servios ou computadores conectados Internet. Em dispositivos com grande capacidade de processamento, normalmente, necessria uma enorme quantidade de requisies para que o ataque seja eficaz. Para isso, o atacante faz o uso de uma botnet (rede de computadores zumbis sob comando do atacante) para bombardear o servidor com requisies, fazendo com que o ataque seja feito de forma distribuda (Distributed Denial of Service DDoS). Alvos tpicos so servidores web, e o ataque tenta tornar as pginas hospedadas indisponveis na WWW. No se trata de uma invaso do sistema, mas sim da sua invalidao por sobrecarga. Gabarito: letra E. 5. (CESGRANRIO/2010/ Petrobrs - Tcnico de Contabilidade Distribuidora) Os mecanismos implementados por software, usados para restringir o acesso e o uso do sistema operacional, de redes, de programas utilitrios e aplicativos, constituem um processo de segurana a) digital. b) fsica. c) lgica. d) restrita. e) simples. Comentrios A segurana lgica inclui, basicamente: controles de acesso, segurana de software e segurana em rede. Tudo deve ser proibido a menos que expressamente permitido. So os mecanismos implementados por software, usados para restringir o acesso e o uso do Sistema Operacional, redes, programas utilitrios e aplicativos. Como complemento podemos destacar que os controles de acesso lgico visam assegurar: apenas usurios autorizados tenham acesso aos recursos; os usurios tenham acesso aos recursos realmente necessrios para a execuo Profa Patrcia Lima Quinto www.pontodosconcursos.com.br 52
de suas atividades; os usurios sejam impedidos de executar transaes incompatveis com sua funo. Elementos bsicos do controle de acesso lgico: Processo de logon; Identificao do usurio; Autenticao do usurio; proteo aos recursos; Direitos e permisses de acesso; Monitoramento de sistemas; Bloqueio de estaes de trabalho.
A segurana de software inclui, principalmente, segurana contra vrus, worm, cavalo de troia e controle de softwares instalados, de forma a impedir que softwares no autorizados pelo administrador sejam instalados nas mquinas de trabalho ou que seja instalado um software pirata. A segurana em redes inclui segurana lgica das redes, etc. Gabarito: letra C. 6. (CESGRANRIO - 2010 - Petrobrs - Profissional Jnior Direito) Entre os grandes problemas da atualidade relacionados confidencialidade das informaes um refere-se preveno da invaso dos computadores por pessoas mal-intencionadas. A principal forma de evitar danos causados por softwares espies dos quais essas pessoas se utilizam para alcanarem seus objetivos a) utilizar apenas webmail para leitura das correspondncias eletrnicas. b) efetuar rotinas de backup semanais no disco rgido do computador. c) compartilhar os principais documentos com pessoas idneas. d) possuir software antivrus e mant-lo sempre atualizado. e) navegar na internet sempre sob um pseudnimo.
Comentrios Confidencialidade a garantia de que a informao no ser conhecida por quem no deve. O acesso s informaes deve ser limitado, ou seja, somente as pessoas explicitamente autorizadas podem acess-las. A principal forma utilizada para se evitar danos causados por softwares espies envolve a utilizao de um bom antivrus, que esteja sendo constatemente atualizado.
53
Gabarito: letra D. 7. (CESGRANRIO - Petrobrs - Tcnico em Informtica / Segurana da Informao/2010) A VPN (Virtual Private Network) uma rede de comunicao privada que utiliza meios pblicos. Com relao segurana dos dados que trafegam por meio da VPN, afirma-se que a) muitos dados se perdem pela baixa qualidade dos meios pblicos de comunicao, no sendo uma rede adequada para trfego de aplicaes crticas. b) os dados podem ser acessados por pessoas no autorizadas no caso de serem encapsulados sem criptografia. c) uma rede segura de transmisso de dados onde, mesmo utilizando canais pblicos de comunicao, usa-se o protocolo padro da Internet. d) a segurana padro oferecida pelos gestores da Internet torna vivel o trfego de dados crticos a baixos custos. e) a utilizao de solues de VPN comerciais garante a confidencialidade dos dados e a estabilidade das redes privadas. Comentrios Uma VPN (Virtual Private Network Rede Privada Virtual) uma rede privada (no de acesso pblico!) que usa a estrutura de uma rede pblica (como por exemplo, a Internet) para transferir seus dados (os dados devem estar criptografados para passarem despercebidos e inacessveis pela Internet). As VPNs so muito utilizadas para interligar filiais de uma mesma empresa, ou fornecedores com seus clientes (em negcios eletrnicos) atravs da estrutura fsica de uma rede pblica. O trfego de dados levado pela rede pblica utilizando protocolos no necessariamente seguros, e, caso os dados sejam encapsulados em criptografia, podem vir a ser acessados por pessoas no autorizadas. VPNs seguras usam protocolos de criptografia por tunelamento que fornecem a confidencialidade (sigilo), autenticao e integridade necessrias para garantir a privacidade das comunicaes requeridas. Quando adequadamente implementados, estes protocolos podem assegurar comunicaes seguras atravs de redes inseguras. Gabarito: letra B. 8. (CESGRANRIO/FINEP/Analista de Sistemas Suporte/ 2011-07) Os programadores de vrus continuamente desafiam os produtos de antivrus. Com o objetivo de camuflar o cdigo desses programas malignos, seus criadores costumam utilizar tcnicas de criptografia durante o processo de
54
mutao do vrus. Nesse sentido, o vrus do tipo oligomrfico criptografa o seu corpo, formado (A) pelo seu cdigo de ataque e por um cdigo de decriptao, e, durante o processo de mutao, seleciona aleatoriamente uma nova chave de criptografia para criptografar o corpo e no acopla, ao criptograma gerado, o cdigo de decriptao. (B) pelo seu cdigo de ataque e por um cdigo de decriptao, e, durante o processo de mutao, seleciona aleatoriamente uma nova chave de criptografia para criptografar o corpo e acopla, ao criptograma gerado, o cdigo de decriptao modificado por uma tcnica de insero aleatria de instrues lixo. (C) pelo seu cdigo de ataque e por um conjunto pequeno de cdigos de decriptao, e, durante o processo de mutao, seleciona aleatoriamente uma nova chave de criptografia para criptografar o corpo e acopla, ao criptograma gerado, um dos cdigos de decriptao selecionado aleatoriamente. (D) apenas pelo seu cdigo de ataque, e, durante o processo de mutao, seleciona aleatoriamente uma nova chave de criptografia para criptografar o corpo e acopla, ao criptograma gerado, o mesmo cdigo de decriptao. (E) apenas pelo seu cdigo de ataque, e, durante o processo de mutao, seleciona aleatoriamente uma nova chave de criptografia para criptografar o corpo e acopla, ao criptograma gerado, um novo cdigo de decriptao criado unicamente com instrues selecionadas aleatoriamente do conjunto de instrues do processador. Comentrios Em funo de seu comportamento, todos os vrus anteriores podem, por sua vez, ser classificados em subgrupos http://www.barsasaber.com.br/theworld/dossiers/seccions/cards2/printable.as p?pk=1386&art=25&calltype=2): - Vrus uniformes: produzem uma duplicao idntica de si mesmos; - Vrus encriptados: encriptam parte de seu cdigo para tornar mais complicada sua anlise; - Vrus oligomrficos (Cobrado na prova FINEP/2011): possuem um conjunto reduzido de funes de encriptao e escolhem uma delas aleatoriamente. Exigem diferentes padres para sua deteco. Conforme visto, a resposta a letra c. O vrus do tipo oligomrfico criptografa o seu corpo, formado pelo seu cdigo de ataque e por um conjunto pequeno de cdigos de decriptao, e, durante o processo de mutao, seleciona aleatoriamente uma nova chave de criptografia para criptografar o corpo e acopla, ao criptograma gerado, um dos cdigos de decriptao selecionado aleatoriamente.
55
Vrus Oligomrfico - usa a criptografia para se defender sendo capaz de alterar tambm a rotina de criptografia em um nmero de vezes pequeno. Um vrus que possui duas rotinas de decriptografia ento classificado como oligomrfico (Luppi, 2006). - Vrus polimrficos: em sua duplicao, produzem uma rotina de encriptao completamente varivel, tanto na frmula quanto na forma do algoritmo. Com polimorfismos fortes, necessrio emulao, padres mltiplos e outras tcnicas antivrus avanadas; - Vrus metamrficos: reconstroem todo o seu corpo em cada gerao, modificando-se por completo. Dessa maneira, levam as tcnicas avanadas de deteco ao limite; - Sobrescritura: vrus que sobrescreve com seu prprio corpo os programas infectados; - Stealth ou silencioso: vrus que oculta sintomas de infeco. Os vrus so programados para cumprir trs objetivos: se autoduplicar, cumprir a tarefa para a qual foram programados (apagar arquivos, bloquear o computador, mandar mensagens ao usurio...) e, por fim, fazer sua prpria proteo para sobreviver. Demonstrou-se que os mtodos tradicionais usados para proteger a informao so, em geral, pouco eficazes contra os vrus. Portanto a resposta a letra C. Gabarito preliminar: letra C. 9. (CESGRANRIO/Petrobrs/Analista de Sistemas Jnior - InfraEstrutura / Redes de Computadores/2010) Uma vez que as VPNs (Virtual Private Networks) no utilizam linhas dedicadas nem links de rede remota e os dados corporativos precisam atravessar a Internet, as VPNs devem fornecer mecanismos para garantir a segurana dos dados. Os protocolos CHAP e RADIUS so utilizados pelas VPNs para fornecer a) autenticao e autorizao. b) confidencialidade e autenticao. c) confidencialidade e integridade. d) autorizao e confidencialidade. e) integridade e autorizao. Comentrios Em linhas gerais, autenticao o processo de provar que voc quem diz ser (visa confirmar a identidade do usurio ou processo (programa) que presta ou acessa as informaes). Autorizao o processo de determinar o que permitido que voc faa depois que voc foi autenticado!!
56
O Protocolo de Autenticao por Desafios de Identidade CHAP (Challenge Handshake Authentication Protocol) -, descrito na RFC 1994 (Simpson, 1996), um mtodo relativamente seguro de autenticao, em comparao a protocolos mais simples como o PAP. O CHAP bastante utilizado nos ambientes Linux, em que a senha real do usurio no atravessa o canal de comunicao (para ambientes Windows existe o MS-Chap) e verifica periodicamente a identidade do usurio, atravs de um reconhecimento em trs vias (three-way handshake). GTA (2001) destaca que esta autenticao ocorre no estabelecimento da conexo, e tambm pode ocorrer a qualquer momento aps o seu estabelecimento. A verificao da autenticidade dos usurios feita atravs do emprego de um segredo compartilhado (shared secret) entre o usurio e o servidor RADIUS. Aps a etapa de estabelecimento da conexo, o servidor RADIUS (Remote Authentication Dial-In User Service) envia um desafio para o usurio. O usurio ento emite uma resposta que contm o hash do segredo compartilhado. O servidor de Autenticao ento verifica o valor do hash enviado e o compara com o hash gerado por ele mesmo. Caso o valor esteja correto, o servidor envia um reconhecimento positivo (ACK). Caso contrrio, o servidor finaliza a conexo. Em intervalos de tempo aleatrios, o servidor realiza novamente um desafio para o usurio. O RADIUS, segundo Guimares, Lima e Oliveira (2006) possui servios de autenticao e autorizao combinados, possibilitando que o cliente seja autenticado e que receba informaes do servidor. Gabarito: letra A. 10. (CESPE/TJ-ES/CBNS1_01/Superior/2011)Tecnologias como a biometria por meio do reconhecimento de digitais de dedos das mos ou o reconhecimento da ris ocular so exemplos de aplicaes que permitem exclusivamente garantir a integridade de informaes. Comentrios A biometria est sendo cada vez mais utilizada na segurana da informao, permitindo a utilizao de caractersticas corporais, tais como: impresses digitais, timbre de voz, mapa da ris, anlise geomtrica da mo, etc., em mecanismos de autenticao. O princpio da integridade destaca que a informao deve ser mantida na condio em que foi liberada pelo seu proprietrio, e teremos outros mecanismos na organizao para mant-la. A biometria, no entanto, garante-nos a autenticidade, relacionada capacidade de garantir a identidade de uma pessoa (fsica ou jurdica) que acessa as informaes do sistema ou de um servidor (computador). Gabarito: item errado.
57
11. (CESPE/TJ-ES/CBNS1_01/Superior/2011) Um filtro de phishing uma ferramenta que permite criptografar uma mensagem de email cujo teor, supostamente, s poder ser lido pelo destinatrio dessa mensagem. Comentrios O filtro de phishing ajuda a proteg-lo contra fraudes e riscos de furto de dados pessoais, mas a ferramenta no permite criptografar mensagens! Gabarito: item errado. 12. (CESPE/TJ-ES/CBNS1_01/Superior/2011) O conceito de confidencialidade refere-se a disponibilizar informaes em ambientes digitais apenas a pessoas para as quais elas foram destinadas, garantindose, assim, o sigilo da comunicao ou a exclusividade de sua divulgao apenas aos usurios autorizados. Comentrios A confidencialidade a garantia de que a informao no ser conhecida por quem no deve, ou seja, somente pessoas explicitamente autorizadas podero acess-las. Gabarito: item correto. 13. (CESPE/TJ-ES/CBNM1_01/Nvel Mdio/2011) necessrio sempre que o software de antivrus instalado no computador esteja atualizado e ativo, de forma a se evitar que, ao se instalar um cookie no computador do usurio, essa mquina fique, automaticamente, acessvel a um usurio intruso (hacker), que poder invadi-la. Comentrios Recomenda-se que o antivrus esteja sempre atualizado e ativo no computador do usurio. No entanto, um cookie no permite que a mquina seja acessvel por um intruso, pois trata-se de um arquivo texto que o servidor Web salva na mquina do usurio para armazenar as suas preferncias de navegao, dentre outros. Gabarito: item errado. 14. (CESPE/TJ-ES/CBNM1_01/Nvel Mdio/2011) Os pop-ups so vrus que podem ser eliminados pelo chamado bloqueador de pop-ups, se este estiver instalado na mquina. O bloqueador busca impedir, por exemplo,
58
que esse tipo de vrus entre na mquina do usurio no momento em que ele consultar um stio da Internet. Comentrios Pop-Up no vrus, trata-se de uma janela aberta sobre a janela principal de um site, mostrando uma propaganda ou aviso sobre um determinado tema. O bloqueador de pop-ups pode ser habilitado no menu Ferramentas -> Bloqueador de Pop-ups do Internet Explorer.
Gabarito: item errado. 15. (CESPE/Tcnico Administrativo - MPU/2010) De acordo com o princpio da disponibilidade, a informao s pode estar disponvel para os usurios aos quais ela destinada, ou seja, no pode haver acesso ou alterao dos dados por parte de outros usurios que no sejam os destinatrios da informao. Comentrios Nesta questo houve uma confuso de conceitos. A segurana da informao est envolta por trs princpios bsicos: Confidencialidade, Integridade e Disponibilidade. A disponibilidade, como o nome sugere, refere-se garantia de que a informao estar disponvel quando dela se quiser fazer uso. Naturalmente a informao deve estar disponvel a quem de direito, como manda o princpio da confidencialidade. Quem garante o sigilo da informao este ltimo princpio, enquanto o princpio que garante que a informao est intacta (que no possui modificaes no autorizadas) o princpio da integridade. Esta a trade CID Confidencialidade, Integridade e Disponibilidade. Observe o quadro a seguir: Princpio bsico Conceito Objetivo Propriedade de que a informao no esteja Proteger contra o acesso no disponvel ou revelada a autorizado, mesmo para dados indivduos, entidades ou em trnsito. processos no autorizados.
Confidencialidade
Propriedade de Proteger informao contra salvaguarda da exatido modificao sem permisso; Profa Patrcia Lima Quinto www.pontodosconcursos.com.br 59 Integridade
e completeza de ativos.
garantir a fidedignidade das informaes.
Disponibilidade
Proteger contra Propriedade de estar indisponibilidade dos servios acessvel e utilizvel sob (ou degradao); demanda por uma Garantir aos usurios com entidade autorizada. autorizao, o acesso aos dados.
Gabarito: item errado. 16. (CESPE/TJ-ES/CBNM1_01/Nvel Mdio/2011) Confidencialidade, disponibilidade e integridade da informao, que so conceitos importantes de segurana da informao em ambiente digital, devem estar presentes na gesto e no uso de sistemas de informao, em benefcio dos cidados e dos fornecedores de solues. Comentrios Os princpios da segurana da informao listados na questo so: Confidencialidade: a garantia de que a informao no ser conhecida por quem no deve, ou seja, somente pessoas explicitamente autorizadas podero acess-las; Integridade: destaca que a informao deve ser mantida na condio em que foi liberada pelo seu proprietrio, garantindo a sua proteo contra mudanas intencionais ou acidentais. Disponibilidade: a garantia de que a informao deve estar disponvel, sempre que seus usurios (pessoas e empresas autorizadas) necessitarem, no importando o motivo;
Cabe ressaltar que a perda de pelo menos um desses princpios j ir comprometer o ambiente da empresa, portanto devem estar presentes na gesto e no uso de sistemas de informao, em benefcio dos cidados e dos fornecedores de solues. Gabarito: item correto. 17. (CESPE/Nvel Superior - STM/2011) Um firewall pessoal instalado no computador do usurio impede que sua mquina seja infectada por qualquer tipo de vrus de computador. Comentrios
60
O Firewall no protege contra infeco de vrus e sim contra o acesso no autorizado (invases), quem protege contra infeco de vrus o Antivrus. Gabarito: item errado. 18. (CESPE/Analista Judicirio - Tecnologia da Informao-TREMT/2010) A confidencialidade tem a ver com salvaguardar a exatido e a inteireza das informaes e mtodos de processamento. Para tanto, necessrio que os processos de gesto de riscos identifiquem, controlem, minimizem ou eliminem os riscos de segurana que podem afetar sistemas de informaes, a um custo aceitvel. Comentrios Primeiro, a confidencialidade a garantia de segredo. A afirmao fala da Integridade. Outra coisa que no se fala em ELIMINAR riscos e sim minimizar. Gabarito: item errado. 19. (CESPE/ANALISTA- TRE.BA/2010) Confidencialidade, disponibilidade e integridade da informao so princpios bsicos que orientam a definio de polticas de uso dos ambientes computacionais. Esses princpios so aplicados exclusivamente s tecnologias de informao, pois no podem ser seguidos por seres humanos. Comentrios Os seres humanos tambm so considerados como ativos em segurana da informao e merecem tambm uma ateno especial por parte das organizaes. Alis, os usurios de uma organizao so considerados at como o elo mais fraco da segurana, e so os mais vulnerveis. Portanto, eles tm que seguir as regras predefinidas pela poltica de segurana da organizao, e esto sujeitos a punies para os casos de descumprimento das mesmas! No adianta investir recursos financeiros somente em tecnologias e esquecer de treinar os usurios da organizao, pois erros comuns (como o uso de um pen drive contaminado por vrus na rede) poderiam vir a comprometer o ambiente que se quer proteger! Gabarito: item errado. 20. (CESPE/Analista de Saneamento/Analista de Tecnologia da Informao Desenvolvimento - EMBASA/2010) O princpio da autenticao em segurana diz que um usurio ou processo deve ser
61
corretamente identificado. Alm disso, todo processo ou usurio autntico est automaticamente autorizado para uso dos sistemas. Comentrios Cuidado aqui! A segunda parte da afirmao est incorreta. Um usurio ou processo (programa) autenticado no est automaticamente apto para uso dos sistemas. Isto depender do nvel de acesso que ele possuir. possvel, por exemplo, que um usurio tenha permisso apenas para visualizar a caixa de mensagens dele ou, ainda, para ler os arquivos de sua pasta particular. Gabarito: item errado. 21. (CESPE/Tcnico Administrativo ANATEL/2009) Com o desenvolvimento da Internet e a migrao de um grande nmero de sistemas especializados de informao de grandes organizaes para sistemas de propsito geral acessveis universalmente, surgiu a preocupao com a segurana das informaes no ambiente da Internet. Acerca da segurana e da tecnologia da informao, julgue o item a seguir. -> A disponibilidade e a integridade so itens que caracterizam a segurana da informao. A primeira representa a garantia de que usurios autorizados tenham acesso a informaes e ativos associados quando necessrio, e a segunda corresponde garantia de que sistemas de informaes sejam acessveis apenas queles autorizados a acess-los. Comentrios O conceito de disponibilidade est correto, mas o conceito de integridade no. O conceito apresentado na questo foi o de confidencialidade: garantia de que sistemas de informaes sejam acessveis apenas queles autorizados a acess-los. Gabarito: item errado. (CESPE/Escrivo de Polcia Federal/2010)
62
Considerando a figura acima, que apresenta uma janela com algumas informaes da central de segurana do Windows de um sistema computacional (host) de uso pessoal ou corporativo, julgue os trs prximos itens, a respeito de segurana da informao. 22. (CESPE/2010/Escrivo de Polcia Federal) A atualizao automtica disponibilizada na janela exibida acima uma funo que est mais relacionada distribuio de novas funes de segurana para o sistema operacional do que distribuio de novos patches (remendos) que corrijam as vulnerabilidades de cdigo presentes no sistema operacional. Comentrios A atualizao automtica disponibilizada na janela est relacionada distribuio de novos patches (remendos/correes de segurana) que corrijam as vulnerabilidades (fragilidades) de cdigo presentes no sistema operacional. Gabarito: item errado. 23. (CESPE/2010/Escrivo de Polcia Federal) Na figura acima, o firewall assinalado como ativado, em sua configurao padro, possui um conjunto maior de regras para bloqueio de conexes originadas de fora do computador do que para as conexes originadas de dentro do computador.
63
Comentrios Cumpre a funo de controlar os acessos. Uma vez estabelecidas suas regras, passam a gerenciar tudo o que deve entrar e sair da rede corporativa, tendo um conjunto maior de regras para bloqueio de conexes oriundas de fora do computador. Gabarito: item correto. 24. (CESPE/2010/Escrivo de Polcia Federal) A configurao da proteo contra malwares exposta na figura indica que existe no host uma base de assinaturas de vrus instalada na mquina. Comentrios A figura destaca que no existe antivrus instalado no equipamento, e tambm mostra que a proteo contra spyware e outro malware encontra-se desatualizada. No possvel destacar pela figura que existe no host (equipamento) uma base de assinaturas de vrus. Gabarito: item errado. 25. (CESPE/2010/Caixa/Tcnico Bancrio) A assinatura digital facilita a identificao de uma comunicao, pois baseia-se em criptografia simtrica de uma nica chave. Comentrios A assinatura digital facilita a identificao de uma comunicao, mas baseia-se em criptografia assimtrica com par de chaves: uma pblica e outra privada. Gabarito: item errado. 26. (CESPE/2010/Caixa/Tcnico Bancrio) O destinatrio de uma mensagem assinada utiliza a chave pblica do remetente para garantir que essa mensagem tenha sido enviada pelo prprio remetente. Comentrios Esta uma das utilidades do uso de criptografia assimtrica. O emissor utiliza sua chave privada para encriptar a mensagem, sendo possvel a decriptao apenas com sua chave pblica. Assim, pode-se confirmar que o emissor quem diz ser, pois somente a chave dele permite decriptar a mensagem. Gabarito: item correto.
64
27. (CESPE/2010/Caixa/Tcnico Bancrio/Administrativo) Uma autoridade de registro emite o par de chaves do usurio que podem ser utilizadas tanto para criptografia como para assinatura de mensagens eletrnicas. Comentrios a autoridade de registro recebe as solicitaes de certificados dos usurios e as envia autoridade certificadora que os emite. Gabarito: item errado. 28. (CESPE/Tcnico Judicirio/Programao de Sistemas - TREMT/2010) Disponibilidade a garantia de que o acesso informao seja obtido apenas por pessoas autorizadas. Comentrios A disponibilidade garante que a informao estar l quando for preciso acess-la. Obviamente, o acesso s ser permitido a quem de direito. O texto da questo afirma que a disponibilidade a garantia de que o acesso informao seja obtido apenas por pessoas autorizadas, o que a garantia da confidencialidade. Gabarito: item errado. 29. (CESPE/TRE-MT/Tcnico Judicirio Programao de Sistemas/2010) Confidencialidade a garantia de que os usurios autorizados obtenham acesso informao e aos ativos correspondentes sempre que necessrio. Comentrios O texto refere-se disponibilidade. A informao deve estar disponvel a quem de direito. Gabarito: item errado. 30. (CESPE/UERN/Agente Tcnico Administrativo/2010) A disponibilidade da informao a garantia de que a informao no ser alterada durante o trnsito entre o emissor e o receptor, alm da garantia de que ela estar disponvel para uso nesse trnsito. Comentrios
65
Nem uma coisa nem outra. A disponibilidade garante que a informao estar disponvel aos usurios com direito de acesso quando for preciso, mas no local apropriado para o armazenamento. Gabarito: item errado. 31. (CESPE/AGU/Contador/2010) Um protegido contra contaminao por vrus. Comentrios O arquivo criptografado no elimina a possibilidade de infeco por vrus. Lembre-se de que a criptografia modifica os smbolos do texto, mas no impede a incluso de vrus na sequncia. Gabarito: item errado. 32. (CESPE/UERN/Agente Tcnico Administrativo/2010) Cavalo de troia um programa que se instala a partir de um arquivo aparentemente inofensivo, sem conhecimento do usurio que o recebeu, e que pode oferecer acesso de outros usurios mquina infectada. Comentrios O trojan horse (cavalo-de-troia) pode utilizar um mecanismo de propagao bastante eficiente, escondendo-se dentro de um aplicativo til. Gabarito: item correto. 33. (CESPE/UERN/Agente Tcnico Administrativo/2010) O uso de um programa anti-spam garante que software invasor ou usurio mal-intencionado no acesse uma mquina conectada a uma rede. Comentrios Anti-spam refere-se aos e-mails indesejados apenas. um software que filtra os e-mails recebidos separando os no desejados. Gabarito: item errado. 34. (CESPE/SEDU-ES/Agente de Suporte Educacional/2010) Vrus um programa que pode se reproduzir anexando seu cdigo a um outro programa, da mesma forma que os vrus biolgicos se reproduzem. arquivo criptografado fica
66
Comentrios Os vrus so pequenos cdigos de programao maliciosos que se agregam a arquivos e so transmitidos com eles. Quando o arquivo aberto na memria RAM, o vrus tambm , e, a partir da se propaga infectando, isto , inserindo cpias de si mesmo e se tornando parte de outros programas e arquivos de um computador. Assim, do mesmo modo como um vrus biolgico precisa de material reprodutivo das clulas hospedeiras para se copiar, o vrus de computador necessita de um ambiente propcio para sua existncia... Esse ambiente o arquivo a quem ele (o vrus) se anexa. Gabarito: item correto. 35. (CESPE/SEDU-ES/Agente de Suporte Educacional/2010) Cavalosde-troia, adwares e vermes so exemplos de pragas virtuais. Comentrios Todos os trs programas mencionados so exemplos de pragas virtuais, conforme visto a seguir: O cavalo de troia um programa no qual um cdigo malicioso ou prejudicial est contido dentro de uma programao ou dados aparentemente inofensivos de modo a poder obter o controle e causar danos. Adware (Advertising software) um software projetado para exibir anncios de propaganda em seu computador. Esses softwares podem ser maliciosos! Worms: so programas parecidos com vrus, mas que na verdade so capazes de se propagarem automaticamente atravs de redes, enviando cpias de si mesmo de computador para computador (observe que os worms apenas se copiam, no infectam outros arquivos, eles mesmos so os arquivos!!).
Gabarito: item correto. 36. (CESPE/SEDU-ES/AGENTE DE SUPORTE EDUCACIONAL/2010) Backup o termo utilizado para definir uma cpia duplicada de um arquivo, um disco, ou um dado, feita com o objetivo de evitar a perda definitiva de arquivos importantes. Comentrios O termo backup (cpia de segurana) est relacionado s cpias feitas de um arquivo ou de um documento, de um disco, ou um dado, que devero ser guardadas sob condies especiais para a preservao de sua integridade no que diz respeito tanto forma quanto ao contedo, de maneira a permitir o
67
resgate de programas ou informaes importantes em caso de falha ou perda dos originais. Gabarito: item correto. 37. (CESPE/EMBASA/Analista de Saneamento - Analista de TI rea: Desenvolvimento/2010) O princpio da autenticao em segurana diz que um usurio ou processo deve ser corretamente identificado. Alm disso, todo processo ou usurio autntico est automaticamente autorizado para uso dos sistemas. Comentrios por meio da autenticao que se confirma a identidade do usurio ou processo (programa) que presta ou acessa as informaes. No entanto, afirmar que TODO processo ou usurio autntico est automaticamente autorizado falsa, j que essa autorizao depender do nvel de acesso que ele possui. Em linhas gerais, autenticao o processo de provar que voc quem diz ser. Autorizao o processo de determinar o que permitido que voc faa depois que voc foi autenticado!! Gabarito: item errado. 38. (CESPE/TRE-MT/Analista Judicirio Tecnologia da Informao/2010) Uma das vantagens da criptografia simtrica em relao assimtrica a maior velocidade de cifragem ou decifragem das mensagens. Embora os algoritmos de chave assimtrica sejam mais rpidos que os de chave simtrica, uma das desvantagens desse tipo de criptografia a exigncia de uma chave secreta compartilhada. Comentrios Inverteu os conceitos. Os algoritmos mais rpidos e que compartilham chaves so os algoritmos de chave simtrica. Gabarito: item errado. 39. (CESPE/TRE-MT/Analista Judicirio/Tecnologia da Informao/2010) Na criptografia assimtrica, cada parte da comunicao possui um par de chaves. Uma chave utilizada para encriptar e a outra para decriptar uma mensagem. A chave utilizada para encriptar a mensagem privada e divulgada para o transmissor, enquanto a chave usada para decriptar a mensagem pblica. Comentrios
68
O erro est na localizao das palavras pblica e privada. Devem ser trocadas de lugar. A chave utilizada para encriptar a mensagem pblica e divulgada para o transmissor, enquanto a chave usada para decriptar a mensagem privada. Gabarito: item errado. 40. (CESPE/CAIXA-NM1/ Tcnico Bancrio/Carreira administrativa/2010) Autoridade certificadora a denominao de usurio que tem poderes de acesso s informaes contidas em uma mensagem assinada, privada e certificada. Comentrios Autoridade certificadora (AC) o termo utilizado para designar a entidade que emite, renova ou revoga certificados digitais de outras ACs ou de titulares finais. Alm disso, emite e publica a LCR (Lista de Certificados Revogados). Gabarito: item errado. 41. (CESPE/CAIXA-NM1/ TCNICO BANCRIO/CARREIRA ADMINISTRATIVA/2010) A autoridade reguladora tem a funo de emitir certificados digitais, funcionando como um cartrio da Internet. Comentrios A Autoridade Certificadora certificados digitais. Gabarito: item errado. 42. (CESPE/2010/CAIXA-NM1/ TCNICO BANCRIO/CARREIRA ADMINISTRATIVA) O ITI (Instituto Nacional de Tecnologia da Informao) tambm conhecido como Autoridade Certificadora Raiz Brasileira. Comentrios A Autoridade Certificadora RAIZ (AC Raiz) primeira autoridade da cadeia de certificao e compete a ela emitir, expedir, distribuir, revogar e gerenciar os certificados das AC de nvel imediatamente subsequente, gerenciar a lista de certificados emitidos, revogados e vencidos, e executar atividades de fiscalizao e auditoria das ACs e das ARs e dos prestadores de servio habilitados na ICP. A funo da AC-Raiz foi delegada ao Instituto Nacional de Tecnologia da Informao ITI,
(AC)
entidade
responsvel
por
emitir
69
autarquia federal atualmente ligada Casa Civil da Presidncia da Repblica. Logo, o ITI tambm conhecido como Autoridade Certificadora Raiz Brasileira. A AC-Raiz s pode emitir certificados s ACs imediatamente subordinadas, sendo vedada de emitir certificados a usurios finais. Gabarito: item correto. 43. (CESPE/2010/CAIXA-NM1/ TCNICO BANCRIO/CARREIRA ADMINISTRATIVA) PKI ou ICP o nome dado ao certificado que foi emitido por uma autoridade certificadora. Comentrios PKI (Public Key Infrastrusture) a infraestrutura de chaves pblicas. A ICP-Brasil um exemplo de PKI. Gabarito: item errado. 44. (CESPE/2010/CAIXA-NM1/ TCNICO BANCRIO/CARREIRA ADMINISTRATIVA) Um certificado digital pessoal, intransfervel e no possui data de validade. Comentrios Um certificado digital um documento eletrnico que identifica pessoas, fsicas ou jurdicas, URLs, contas de usurio, servidores (computadores) dentre outras entidades. Este documento na verdade uma estrutura de dados que contm a chave pblica do seu titular e outras informaes de interesse. Contm informaes relevantes para a identificao real da entidade a que visam certificar (CPF, CNPJ, endereo, nome, etc) e informaes relevantes para a aplicao a que se destinam. O certificado digital precisa ser emitido por uma autoridade reconhecida pelas partes interessadas na transao. Chamamos essa autoridade de Autoridade Certificadora, ou AC. Dentre as informaes que compem um certificado temos: Verso: indica qual formato de certificado est sendo seguido Nmero de srie: identifica unicamente um certificado dentro do escopo do seu emissor. Algoritmo: identificador dos algoritmos de hash+assinatura utilizados pelo emissor para assinar o certificado. Emissor: entidade que emitiu o certificado. Validade: data de emisso e expirao.
70
Titular: nome da pessoa, URL ou demais informaes que esto sendo certificadas. Chave pblica: informaes da chave pblica do titular. Extenses: campo opcional para estender o certificado. Assinatura: valor da assinatura digital feita pelo emissor.
Gabarito: item errado. 45. (CESPE/2010/UERN/TCNICO DE NVEL SUPERIOR-Adaptada) Vrus, worms e cavalos-de-troia so exemplos de software mal-intencionados que tm o objetivo de, deliberadamente, prejudicar o funcionamento do computador. O firewall um tipo de malware que ajuda a proteger o computador contra cavalos-de-troia. Comentrios Os vrus, worms e cavalos-de-troia so exemplos de software mal-intencionados que tm o objetivo de, deliberadamente, prejudicar o funcionamento do computador, e, consequentemente, o usurio!! O cavalo de troia por exemplo "parece" ser inofensivo, quando na verdade no !! um presente de grego (rs)!! Fica instalado no seu computador abrindo portas para que a mquina seja acessada remotamente, pode funcionar como um keylogger ao capturar as informaes digitadas no computador, etc, portanto, a primeira parte da assertiva est correta. A assertiva tornou-se falsa ao afirmar que o firewall um tipo de malware, um absurdo! O malware (malicious software) um software destinado a se infiltrar em um sistema de computador de forma ilcita, com o intuito de causar algum dano ou roubo de informaes (confidenciais ou no), e no esse o objetivo do firewall. Gabarito: item errado. 46. (CESPE/2010/UERN/Agente Tcnico Administrativo) Uma das formas de se garantir a segurana das informaes de um website no coloc-lo em rede, o que elimina a possibilidade de acesso por pessoas intrusas. Comentrios Colocar um site fora da rede significa que ningum ter acesso via rede ao site, nem mesmo as pessoas autorizadas. Alm disso, no se esquea dos acessos feitos localmente, direto na mquina onde o site est hospedado! Gabarito: item errado.
71
47. (CESPE/2010/TRE-MT/Analista Judicirio Tecnologia da Informao) A segurana fsica objetiva impedir acesso no autorizado, danos ou interferncia s instalaes fsicas e s informaes da organizao. A proteo fornecida deve ser compatvel com os riscos identificados, assegurando a preservao da confidencialidade da informao. Comentrios No esquecer que alm da proteo lgica, deve existir a proteo fsica. De nada adianta um sistema protegido dos acessos no autorizados via rede se permitido o acesso fsico mquina. Um atacante pode incendiar, quebrar, estragar, roubar e at invadir um sistema quando o mesmo no possui controles fsicos. Gabarito: item correto. 48. (CESPE/2010/TRE-MT/Analista Judicirio Tecnologia da Informao) Servios de no repudiao so tcnicas utilizadas para detectar alteraes no autorizadas ou corrompimento dos contedos de uma mensagem transmitida eletronicamente. Essas tcnicas, que tm como base o uso de criptografia e assinatura digital, podem ajudar a estabelecer provas para substanciar se determinado evento ou ao ocorreu. Comentrios No repdio ocorre quando no possvel ao emissor da mensagem negar a autoria da mesma. Gabarito: item errado. 49. (CESPE/2010/EMBASA/ANALISTA DE SANEAMENTO) Um firewall em uma rede considerado uma defesa de permetro e consegue coibir todo tipo de invaso em redes de computadores.
Comentrios O firewall, como o nome sugere (traduzindo = parede de fogo) uma barreira tecnolgica entre dois pontos de uma rede, em que normalmente o nico ponto de acesso entre a rede interna e a Internet. O firewall dever permitir somente a passagem de trfego autorizado. Alm disso, tem a funo de filtrar todo o trfego de rede que passa por ele, dizendo o que permitido e o que bloqueado ou rejeitado.
72
Pode ser comparado com uma sequncia de perguntas e respostas. Por exemplo, o firewall faz uma pergunta ao pacote de rede, se a resposta for correta ele deixa passar o trfego ou encaminha a requisio a outro equipamento, se a resposta for errada ele no permite a passagem ou ento rejeita o pacote. O firewall no consegue coibir todos os tipos de invaso. Um firewall qualquer nunca vai proteger uma rede de seus usurios internos, independente da arquitetura, tipo, sistema operacional ou desenvolvedor, pois os usurios podem manipular os dados dentro das corporaes das formas mais variadas possveis, como exemplo, se utilizando de um pen drive, para roubar ou passar alguma informao para um terceiro ou at mesmo para uso prprio. Um firewall nunca ir proteger contra servios ou ameaas totalmente novas, ou seja, se hoje surgir um novo tipo de ataque spoofing, no necessariamente esse firewall vai proteger desse tipo de ataque, pois uma nova tcnica existente no mercado e at o final de sua implementao, no se tinha conhecimento sobre a mesma, o que acarreta na espera de uma nova verso que supra essa necessidade. Um firewall tambm no ir proteger contra vrus, pois os vrus so pacotes de dados como outros quaisquer. Para identificar um vrus necessria uma anlise mais criteriosa, que onde o antivrus atua. Gabarito: item errado. 50. (CESPE/2009/TRE/PR/Tcnico Judicirio Especialidade: Operao de computadores) Firewalls so equipamentos tpicos do permetro de segurana de uma rede, sendo responsveis pela deteco e conteno de ataques e intruses. Comentrios Os firewalls so equipamentos tpicos do permetro de segurana de uma rede, no entanto o IPS (Sistema de Preveno de Intruso) que faz a deteco de ataques e intruses, e no o firewall!! O firewall permite restringir o trfego de comunicao de dados entre a parte da rede que est dentro ou antes do firewall, protegendo-a assim das ameaas da rede de computadores que est fora ou depois do firewall. Esse mecanismo de proteo geralmente utilizado para proteger uma rede menor (como os computadores de uma empresa) de uma rede maior (como a Internet). Gabarito: item errado. 51. (CESPE/2008/TRT-1R/Analista Judicirio-Adaptada) Uma caracterstica das redes do tipo VPN (virtual private networks) que elas
73
nunca devem usar criptografia, devido a requisitos de segurana e confidencialidade. Comentrios Uma VPN (Virtual Private Network Rede Privada Virtual) uma rede privada (no de acesso pblico!) que usa a estrutura de uma rede pblica (como por exemplo, a Internet) para transferir seus dados (os dados devem estar criptografados para passarem despercebidos e inacessveis pela Internet). As VPNs so muito utilizadas para interligar filiais de uma mesma empresa, ou fornecedores com seus clientes (em negcios eletrnicos) atravs da estrutura fsica de uma rede pblica. O trfego de dados levado pela rede pblica utilizando protocolos no necessariamente seguros. VPNs seguras usam protocolos de criptografia por tunelamento que fornecem a confidencialidade (sigilo), autenticao e integridade necessrias para garantir a privacidade das comunicaes requeridas. Quando adequadamente implementados, estes protocolos podem assegurar comunicaes seguras atravs de redes inseguras. Gabarito: item errado. 52. (CESPE/2010/MINISTRIO DA SADE /ANALISTA TCNICOADMINISTRATIVO) Firewall o mecanismo usado em redes de computadores para controlar e autorizar o trfego de informaes, por meio do uso de filtros que so configurados de acordo com as polticas de segurana estabelecidas. Comentrios A banca especificou corretamente o conceito para o termo firewall. Em outras palavras, basicamente, o firewall um sistema para controlar o acesso s redes de computadores, e foi desenvolvido para evitar acessos no autorizados em uma rede local ou rede privada de uma corporao. Um firewall deve ser instalado no ponto de conexo entre as redes, onde, atravs de regras de segurana, controla o trfego que flui para dentro e para fora da rede protegida. Deve-se observar que isso o torna um potencial gargalo para o trfego de dados e, caso no seja dimensionado corretamente, poder causar atrasos e diminuir a performance da rede. Gabarito: item correto. 53. (CESPE/2010/TRE.BA/ANALISTA/Q.27) Firewall um recurso utilizado para a segurana tanto de estaes de trabalho como de servidores ou de toda uma rede de comunicao de dados. Esse recurso
74
possibilita o bloqueio preestabelecidas.
de
acessos
indevidos
partir
de
regras
Comentrios Outra questo bem parecida com a anterior, que destaca claramente o conceito de firewall! Vrios objetivos para a segurana de uma rede de computadores podem ser atingidos com a utilizao de firewalls. Dentre eles destacam-se: segurana: evitar que usurios externos, vindos da Internet, tenham acesso a recursos disponveis apenas aos funcionrios da empresa autorizados. Com o uso de firewalls de aplicao, pode-se definir que tipo de informao os usurios da Internet podero acessar (somente servidor de pginas e correio eletrnico, quando hospedados internamente na empresa); confidencialidade: pode ocorrer que empresas tenham informaes sigilosas veiculadas publicamente ou vendidas a concorrentes, como planos de ao, metas organizacionais, entre outros. A utilizao de sistemas de firewall de aplicao permite que esses riscos sejam minimizados; produtividade: comum os usurios de redes de uma corporao acessarem sites na Internet que sejam improdutivos como sites de pornografia, piadas, chat etc. O uso combinado de um firewall de aplicao e um firewall de rede pode evitar essa perda de produtividade; performance: o acesso Internet pode tornar-se lento em funo do uso inadequado dos recursos. Pode-se obter melhoria de velocidade de acesso a Internet mediante controle de quais sites podem ser visitados, quem pode visit-los e em que horrios sero permitidos. A opo de gerao de relatrios de acesso pode servir como recurso para anlise dos acessos.
Gabarito: item correto. 54. (CESPE/2010/UERN/TCNICO DE NVEL SUPERIOR-Adaptada) Firewall um sistema constitudo de software e hardware que verifica informaes oriundas da Internet ou de uma rede de computadores e que permite ou bloqueia a entrada dessas informaes, estabelecendo, dessa forma, um meio de proteger o computador de acesso indevido ou indesejado. Comentrios O firewall pode ser formado por um conjunto complexo de equipamentos e softwares, ou somente baseado em software, o que j tornaria incorreta a questo, no entanto, a banca optou pela anulao da questo. A funo do firewall controlar o trfego entre duas ou mais redes, com o objetivo de fornecer segurana, prevenir ou reduzir ataques ou invases s bases de dados corporativas, a uma (ou algumas) das redes, que normalmente Profa Patrcia Lima Quinto www.pontodosconcursos.com.br 75
tm informaes e recursos que no devem estar disponveis aos usurios da(s) outra(s) rede(s). Complementando, no so todas as informaes oriundas da Internet ou de uma rede de computadores que sero bloqueadas, ele realiza a filtragem dos pacotes e, ento, bloqueia SOMENTE as transmisses NO PERMITIDAS! Gabarito: item anulado. 55. (CESPE/2010/TRE-BA/Tcnico Judicirio - rea Administrativa) Uma das formas de bloquear o acesso a locais no autorizados e restringir acessos a uma rede de computadores por meio da instalao de firewall, o qual pode ser instalado na rede como um todo, ou apenas em servidores ou nas estaes de trabalho. Comentrios O firewall uma das ferramentas da segurana da informao, que interage com os usurios de forma transparente, permitindo ou no o trfego da rede interna para a Internet, como da Internet para o acesso a qualquer servio que se encontre na rede interna da corporao e/ou instituio. Desta forma todo o trfego, tanto de entrada como de sada em uma rede, deve passar por este controlador que aplica de forma implcita algumas das polticas de segurana adotadas pela corporao. Gabarito: item correto. 56. (CESPE/2004/POLCIA FEDERAL/REGIONAL/PERITO/REA 3/Q. 105) Um dos mais conhecidos ataques a um computador conectado a uma rede o de negao de servio (DoS denial of service), que ocorre quando um determinado recurso torna-se indisponvel devido ao de um agente que tem por finalidade, em muitos casos, diminuir a capacidade de processamento ou de armazenagem de dados. Comentrios No ataque de Negao de Servio (Denial of Service - DoS) o atacante utiliza um computador, a partir do qual ele envia vrios pacotes ou requisies de servio de uma vez, para tirar de operao um servio ou computador(es) conectado(s) Internet, causando prejuzos. Para isso, so usadas tcnicas que podem: gerar uma sobrecarga no processamento de um computador, de modo que o verdadeiro usurio do equipamento no consiga utiliz-lo; gerar um grande trfego de dados para uma rede, ocasionando a indisponibilidade dela;
76
indisponibilizar servios importantes de um provedor, impossibilitando o acesso de seus usurios etc.
Gabarito: item correto. 57. (CESPE/2008/PRF/Policial Rodovirio Federal) O uso de firewall e de software antivrus a nica forma eficiente atualmente de se implementar os denominados filtros anti-spam. Comentrios Para se proteger dos spams temos que instalar um anti-spam, uma nova medida de segurana que pode ser implementada independentemente do antivrus e do firewall. O uso de um firewall (filtro que controla as comunicaes que passam de uma rede para outra e, em funo do resultado permite ou bloqueia seu passo), software antivrus e filtros anti-spam so mecanismos de segurana importantes. Gabarito: item errado. 58. (CESPE/2008/PRF-POLICIAL RODOVIRIO FEDERAL-ADAPTADA) Phishing e pharming so pragas virtuais variantes dos denominados cavalos-de-tria, se diferenciando destes por precisarem de arquivos especficos para se replicar e contaminar um computador e se diferenciando, entre eles, pelo fato de que um atua em mensagens de email trocadas por servios de webmail e o outro, no. Comentrios O Phishing (ou Phishing scam) e o Pharming (ou DNS Poisoining) no so pragas virtuais. Phishing e Pharming so dois tipos de golpes na Internet, e,
77
portanto, no so variaes de um cavalo de troia (trojan horse) que se trata de um programa aparentemente inofensivo que entra em seu computador na forma de carto virtual, lbum de fotos, protetor de tela, jogo etc, e que, quando executado (com a sua autorizao!), parece lhe divertir, mas, por trs abre portas de comunicao do seu computador para que ele possa ser invadido. Normalmente consiste em um nico arquivo que necessita ser explicitamente executado. Para evitar a invaso, fechando as portas que o cavalo de troia abre, necessrio ter, em seu sistema, um programa chamado firewall. Gabarito: item errado. 59. (CESPE/2008/PRF/Policial Rodovirio Federal) Se o sistema de nomes de domnio (DNS) de uma rede de computadores for corrompido por meio de tcnica denominada DNS cache poisoning, fazendo que esse sistema interprete incorretamente a URL (uniform resource locator) de determinado stio, esse sistema pode estar sendo vtima de pharming. Comentrios O DNS (Domain Name System Sistema de Nome de Domnio) utilizado para traduzir endereos de domnios da Internet, como www.pontodosconcursos.com.br, em endereos IP, como 200.234.196.65. Imagine se tivssemos que decorar todos os IPs dos endereos da Internet que normalmente visitamos!! O Pharming envolve algum tipo de redirecionamento da vtima para sites fraudulentos, atravs de alteraes nos servios de resoluo de nomes (DNS). Complementando, a tcnica de infectar o DNS para que ele lhe direcione para um site fantasma que idntico ao original. Gabarito: item correto. 60. (CESPE/2008/PRF/Policial Rodovirio Federal) Quando enviado na forma de correio eletrnico para uma quantidade considervel de destinatrios, um hoax pode ser considerado um tipo de spam, em que o spammer cria e distribui histrias falsas, algumas delas denominadas lendas urbanas. Comentrios Os hoaxes (boatos) so e-mails que possuem contedos alarmantes ou falsos e que, geralmente, tm como remetente ou apontam como autora da mensagem alguma instituio, empresa importante ou rgo governamental. Atravs de uma leitura minuciosa deste tipo de e-mail, normalmente,
78
possvel identificar em seu contedo mensagens absurdas e muitas vezes sem sentido. Normalmente, os boatos se propagam pela boa vontade e solidariedade de quem os recebe. Isto ocorre, muitas vezes, porque aqueles que o recebem: confiam no remetente da mensagem; no verificam a procedncia da mensagem; no checam a veracidade do contedo da mensagem. Spam o envio em massa de mensagens de correio eletrnico (e-mails) NO autorizadas pelo destinatrio. Portanto, o hoax pode ser considerado um spam, quando for enviado em massa para os destinatrios, de forma no-autorizada. Gabarito: item correto. 61. (CESPE/2008/TRT-1R/Analista Judicirio) Os arquivos denominados cookies, tambm conhecidos como cavalos de troia, so vrus de computador, com inteno maliciosa, que se instalam no computador sem a autorizao do usurio, e enviam, de forma automtica e imperceptvel, informaes do computador invadido. Comentrios Cookies no so vrus, e sim arquivos lcitos que permitem a identificao do computador cliente no acesso a uma pgina. Podem ser utilizados para guardar preferncias do usurio, bem como informaes tcnicas como o nome e a verso do browser do usurio. Gabarito: item errado. 62. (CESPE/2008/TRT-1R/Analista Judicirio) Os programas denominados worm so, atualmente, os programas de proteo contra vrus de computador mais eficazes, protegendo o computador contra vrus, cavalos de troia e uma ampla gama de softwares classificados como malware. Comentrios O antivrus seria a resposta correta nesse item. O worm um tipo especfico de malware. Gabarito: item errado.
79
63.
(CESPE/2004/Polcia Rodoviria Federal)
Um usurio da Internet, desejando realizar uma pesquisa acerca das condies das rodovias no estado do Rio Grande do Sul, acessou o stio do Departamento de Polcia Rodoviria Federal http://www.dprf.gov.br , por meio do Internet Explorer 6, executado em um computador cujo sistema operacional o Windows XP e que dispe do conjunto de aplicativos Office XP. Aps algumas operaes nesse stio, o usurio obteve a pgina Web mostrada na figura acima, que ilustra uma janela do Internet Explorer 6. Considerando essa figura, julgue os itens seguintes, relativos Internet, ao Windows XP, ao Office XP e a conceitos de segurana e proteo na Internet. I. Sabendo que o mapa mostrado na pgina Web consiste em uma figura no formato jpg inserida na pgina por meio de recursos da linguagem HTML, ao se clicar com o boto direito do mouse sobre esse objeto da pgina, ser exibido um menu que disponibiliza ao usurio um menu secundrio contendo uma lista de opes que permite exportar de forma automtica tal objeto, como figura, para determinados aplicativos do Office XP que estejam em execuo concomitantemente ao Internet Explorer 6. A lista de aplicativos do Office XP disponibilizada no menu secundrio contm o Word 2002, o Excel 2002, o Paint e o PowerPoint 2002. Comentrios Ao clicar com o boto direito do mouse aberto um menu de contexto, mas no exibida a opo de exportar a figura para qualquer aplicativo do Office. Tambm aparece outro erro na questo ao afirmar que o Paint faz parte do pacote Office, o que no est correto. Gabarito: item errado.
80
64. (CESPE/2004/Polcia Rodoviria Federal) II. Para evitar que as informaes obtidas em sua pesquisa, ao trafegarem na rede mundial de computadores, do servidor ao cliente, possam ser visualizadas por quem estiver monitorando as operaes realizadas na Internet, o usurio tem disposio diversas ferramentas cuja eficincia varia de implementao para implementao. Atualmente, as ferramentas que apresentam melhor desempenho para a funcionalidade mencionada so as denominadas sniffers e backdoors e os sistemas ditos firewall, sendo que, para garantir tal eficincia, todas essas ferramentas fazem uso de tcnicas de criptografia tanto no servidor quanto no cliente da aplicao Internet. Comentrios Os sniffers (capturadores de quadros) so dispositivos ou programas de computador que capturam quadros nas comunicaes realizadas em uma rede de computadores, armazenando tais quadros para que possam ser analisados posteriormente por quem instalou o sniffer. Pode ser usado por um invasor para capturar informaes sensveis (como senhas de usurios), em casos onde estejam sendo utilizadas conexes inseguras, ou seja, sem criptografia. O backdoor (porta dos fundos) um programa que, colocado no micro da vtima, cria uma ou mais falhas de segurana, para permitir que o invasor que o colocou possa facilmente voltar quele computador em um momento seguinte. Portanto, ao contrrio do que o item II afirma, os sniffers e backdoors no sero utilizados para evitar que informaes sejam visualizadas na mquina. Gabarito: item errado. 65. (CESPE/2004/Polcia Rodoviria Federal) III. Por meio da guia Privacidade, acessvel quando Opes da Internet clicada no menu , o usurio tem acesso a recursos de configurao do Internet Explorer 6 que permitem definir procedimento especfico que o aplicativo dever realizar quando uma pgina Web tentar copiar no computador do usurio arquivos denominados cookies. Um cookie pode ser definido como um arquivo criado por solicitao de uma pgina Web para armazenar informaes no computador cliente, tais como determinadas preferncias do usurio quando ele visita a mencionada pgina Web. Entre as opes de configurao possveis, est aquela que impede que os cookies sejam armazenados pela pgina Web. Essa opo, apesar de permitir aumentar, de certa forma, a privacidade do usurio, poder impedir a correta visualizao de determinadas pginas Web que necessitam da utilizao de cookies.
81
Comentrios Ao acessar o menu Ferramentas -> Opes da Internet, e, em seguida, clicar na aba (guia) Privacidade, pode-se definir o nvel de privacidade do Internet Explorer, possibilitando ou no a abertura de determinadas pginas da Web. O texto correspondente aos cookies est correto. Gabarito: item correto. 66. (CESPE/2009-03/TRE-MG) A instalao qualidade da segurana no computador. Comentrios O antivrus uma das medidas que podem ser teis para melhorar a segurana do seu equipamento, desde que esteja atualizado. Gabarito: item errado. 67. (CESPE/2009-03/TRE-MG) Toda intranet consiste em um ambiente totalmente seguro porque esse tipo de rede restrito ao ambiente interno da empresa que implantou a rede. Comentrios No podemos afirmar que a intranet de uma empresa totalmente segura, depende de como foi implementada. Gabarito: item errado. 68. (CESPE/2009-03/TRE-MG) O upload dos arquivos de atualizao suficiente para a atualizao do antivrus pela Internet. Comentrios O upload implica na transferncia de arquivo do seu computador para um computador remoto na rede, o que no o caso da questo. Gabarito: item errado. 69. (CESPE/2009-03/TRE-MG) detectados elimina-os. O upload das assinaturas dos vrus de antivrus garante a
82
Comentrios Existem dois modos de transferncia de arquivo: upload e download. O upload o termo utilizado para designar a transferncia de um dado de um computador local para um equipamento remoto. O download o contrrio, termo utilizado para designar a transferncia de um dado de um equipamento remoto para o seu computador. Exemplo: -se queremos enviar uma informao para o servidor de FTP -> estamos realizando um upload; -se queremos baixar um arquivo mp3 de um servidor -> estamos fazendo download. No ser feito upload de assinaturas de vrus para a mquina do usurio. Um programa antivrus capaz de detectar a presena de malware (vrus, vermes, cavalos de troia etc.) em e-mails ou arquivos do computador. Esse utilitrio conta, muitas vezes, com a vacina capaz de matar o malware e deixar o arquivo infectado sem a ameaa. Gabarito: item errado. 70. (CESPE/2009/TRE-MG) Os antivrus atuais permitem a atualizao de assinaturas de vrus de forma automtica, sempre que o computador for conectado Internet. Comentrios Alguns fornecedores de programas antivrus distribuem atualizaes regulares do seu produto. Muitos programas antivrus tm um recurso de atualizao automtica. Quando o programa antivrus atualizado, informaes sobre novos vrus so adicionadas a uma lista de vrus a serem verificados. Quando no possui a vacina, ele, pelo menos, tem como detectar o vrus, informando ao usurio acerca do perigo que est iminente. Gabarito: item correto. 71. (CESPE/2009/ANATEL/TCNICO ADMINISTRATIVO) Com o desenvolvimento da Internet e a migrao de um grande nmero de sistemas especializados de informao de grandes organizaes para sistemas de propsito geral acessveis universalmente, surgiu a preocupao com a segurana das informaes no ambiente da Internet. Acerca da segurana e da tecnologia da informao, julgue o item seguinte. A disponibilidade e a integridade so itens que caracterizam a segurana da informao. A primeira representa a garantia de que usurios autorizados
83
tenham acesso a informaes e ativos associados quando necessrio, e a segunda corresponde garantia de que sistemas de informaes sejam acessveis apenas queles autorizados a acess-los. Comentrios O trecho que define a disponibilidade como "a garantia de que usurios autorizados tenham acesso a informaes e ativos associados quando necessrio" est correto, no entanto, a afirmativa de que a integridade "a garantia de que sistemas de informaes sejam acessveis apenas queles autorizados a acess-los" falsa (nesse caso o termo correto seria confidencialidade!). A disponibilidade garante que a informao e todos os canais de acesso ela estejam sempre disponveis quando um usurio autorizado quiser acess-la. Como dica para memorizao, temos que a confidencialidade o segredo e a disponibilidade poder acessar o segredo quando se desejar!! J a integridade garante que a informao deve ser mantida na condio em que foi liberada pelo seu proprietrio, garantindo a sua proteo contra mudanas intencionais, indevidas ou acidentais a informao. Em outras palavras, a informao deve manter todas as caractersticas originais durante sua existncia. Estas caractersticas originais so as estabelecidas pelo proprietrio da informao quando da criao ou manuteno da informao (se a informao for alterada por quem possui tal direito, isso no invalida a integridade, ok!!). Gabarito: item errado. 72. (CESPE/2009/IBAMA/ANALISTA AMBIENTAL) Para criar uma cpia de segurana da planilha, tambm conhecida como backup, suficiente clicar a ferramenta Comentrios Backup refere-se cpia de dados de um dispositivo para o outro com o objetivo de posteriormente os recuperar (os dados), caso haja algum problema. Essa cpia pode ser realizada em vrios tipos de mdias, como CDs, DVSs, fitas DAT etc de forma a proteg-los de qualquer eventualidade. O boto utilizado para salvar um documento!! Gabarito: item errado. .
84
73. (CESPE/2009/MMA) Antivrus, worms, spywares e crackers so programas que ajudam a identificar e combater ataques a computadores que no esto protegidos por firewalls. Comentrios Os antivrus so programas de proteo contra vrus de computador bastante eficazes, protegendo o computador contra vrus, cavalos de troia e uma ampla gama de softwares classificados como malware. Como exemplos cita-se McAfee Security Center Antivrus, Panda Antivrus, Norton Antivrus, Avira Antivir Personal, AVG etc. J os worms e spywares so programas classificados como malware, tendo-se em vista que executam aes mal-intencionadas em um computador!! Worms: so programas parecidos com vrus, mas que na verdade so capazes de se propagarem automaticamente atravs de redes, enviando cpias de si mesmo de computador para computador (observe que os worms apenas se copiam, no infectam outros arquivos, eles mesmos so os arquivos!!). Alm disso, geralmente utilizam as redes de comunicao para infectar outros computadores (via e-mails, Web, FTP, redes das empresas etc). Diferentemente do vrus, o worm no embute cpias de si mesmo em outros programas ou arquivos e no necessita ser explicitamente executado para se propagar. Sua propagao se d atravs da explorao de vulnerabilidades existentes ou falhas na configurao de softwares instalados em computadores. Spyware: programa que tem por finalidade monitorar as atividades de um sistema e enviar as informaes coletadas para terceiros.
Os Crackers so indivduos dotados de sabedoria e habilidade para desenvolver ou alterar sistemas, realizar ataques a sistemas de computador, programar vrus, roubar dados bancrios, informaes, entre outras aes maliciosas. Gabarito: item errado. 74. (CESPE/2009/MMA) A responsabilidade pela segurana de um ambiente eletrnico dos usurios. Para impedir a invaso das mquinas por vrus e demais ameaas segurana, basta que os usurios no divulguem as suas senhas para terceiros. Comentrios Tanto a empresa que cria e hospeda o ambiente eletrnico, quanto os usurios desse ambiente, devem entender a importncia da segurana, atuando como guardies da rede!!
85
Aucilene Felix Marinho06317788456
Gabarito: item errado.
86
75. (CESPE/2002/POLCIA FEDERAL/PERITO: REA 3 . COMPUTAO/Q. 48) Sistemas criptogrficos so ditos simtricos ou de chave secreta quando a chave utilizada para cifrar a mesma utilizada para decifrar. Sistemas assimtricos ou de chave pblica utilizam chaves distintas para cifrar e decifrar. Algoritmos simtricos so geralmente mais eficientes computacionalmente que os assimtricos e por isso so preferidos para cifrar grandes massas de dados ou para operaes online. Comentrios A criptografia de chave simtrica (tambm chamada de criptografia de chave nica, ou criptografia privada, ou criptografia convencional) utiliza APENAS UMA chave para encriptar e decriptar as mensagens. Assim, como s utiliza UMA chave, obviamente ela deve ser compartilhada entre o remetente e o destinatrio da mensagem. Para ilustrar os sistemas simtricos, podemos usar a imagem de um cofre, que s pode ser fechado e aberto com uso de uma chave. Esta pode ser, por exemplo, uma combinao de nmeros. A mesma combinao abre e fecha o cofre. Para criptografar uma mensagem, usamos a chave (fechamos o cofre) e para decifr-la utilizamos a mesma chave (abrimos o cofre).
Os sistemas simtricos tm o problema em relao distribuio de chaves, que devem ser combinadas entre as partes antes que a comunicao segura se inicie. Esta distribuio se torna um problema em situaes em que as partes no podem se encontrar facilmente. Mas h outros problemas: a chave pode ser interceptada e/ou alterada em trnsito por um inimigo. Na criptografia simtrica (ou de chave nica) tanto o emissor quanto o receptor da mensagem devem conhecer a chave utilizada!! Nos algoritmos de criptografia assimtrica (criptografia de chave pblica) utilizam DUAS chaves DIFERENTES, uma PBLICA (que pode ser distribuda) e uma PRIVADA (pessoal e intransfervel). Assim, nesse mtodo cada pessoa ou entidade mantm duas chaves: uma pblica, que pode ser
87
divulgada livremente, e outra privada, que deve ser mantida em segredo pelo seu dono. As mensagens codificadas com a chave pblica s podem ser decodificadas com a chave privada correspondente. Do ponto de vista do custo computacional, os sistemas simtricos apresentam melhor desempenho que os sistemas assimtricos, e isso j foi cobrado em provas vrias vezes! Gabarito: item correto. Consideraes Finais Por hoje ficamos por aqui. Espero que esse material, feito com todo o carinho, ajude-o a entender melhor o funcionamento das ameaas virtuais e principais medidas de segurana que devem ser adotadas para se proteger dessas ameaas, e o ajude a acertar as questes de segurana da sua prova! Fiquem com Deus, e at a nossa prxima aula aqui no Ponto!! Um grande abrao, Profa Patrcia Lima Quinto Bibliografia QUINTO, PATRCIA LIMA. Notas de aula, 2011. QUINTO, PATRCIA LIMA. Informtica-FCC-Questes Comentadas e Organizadas por Assunto, 2. Edio. Ed. Gen/Mtodo, 2012.Novo! CERTBR. Disponvel em: <http://cartilha.cert.br/ >.2006. Acesso em: jan. 2012. CHESWICK, W. R., BELLOVIN, S. M. e RUBIN, A. D. Firewalls e Segurana na Internet: repelindo o hacker ardiloso. Ed. Bookman, 2 Ed., 2005. GUIMARES, A. G., LINS, R. D. e OLIVEIRA, R. Segurana com Redes Privadas Virtuais (VPNs). Ed. Brasport, Rio de Janeiro, 2006. IMONIANA, J. o. Auditoria de Sistemas de Informaes. Infowester. Disponvel em: http://www.infowester.com.br. INFOGUERRA. Vrus de celular chega por mensagem multimdia. 2005. Disponvel em: http://informatica.terra.com.br/interna/0,,OI484399EI559,00.html. Acesso em: dez. 2011.
88
Lista de Questes Apresentadas na Aula 1. (CESGRANRIO/Petrobrs/Analista de Sistemas - Eng. de Software/ 2008) Os trs princpios fundamentais aplicveis segurana da informao so: a) confidencialidade, integridade e privacidade. b) confidencialidade, no-repdio e legitimidade. c) confidencialidade, integridade e disponibilidade. d) privacidade, disponibilidade e integridade. e) privacidade, integridade e legitimidade. 2. (CESGRANRIO/Caixa/Escriturrio/2008) Quais princpios da segurana da informao so obtidos com o uso da assinatura digital? a) Autenticidade, confidencialidade e disponibilidade. b) Autenticidade, confidencialidade e integridade. c) Autenticidade, integridade e no-repdio. d) Autenticidade, confidencialidade, disponibilidade, integridade e norepdio. e) Confidencialidade, disponibilidade, integridade e norepdio. 3. (CESGRANRIO - 2010 - Petrobrs - Analista de Sistemas Jnior Processos de Negcios) De acordo com a NBR/ISO 27002, Segurana da Informao a proteo da informao de vrios tipos de ameaas para a) garantir a continuidade do negcio, minimizar o risco ao negcio, maximizar o retorno sobre os investimentos e as oportunidades de negcio. b) garantir a continuidade do negcio, minimizar as vulnerabilidades dos ativos de segurana, maximizar o retorno sobre os investimentos e as oportunidades de negcio. c) garantir a continuidade do negcio, facilitar o controle de acesso, maximizar o retorno sobre os investimentos e maximizar a disponibilidade dos sistemas de segurana. d) facilitar o controle de acesso, minimizar o risco ao negcio, maximizar a disponibilidade dos sistemas de segurana e as oportunidades de negcio. e) minimizar as vulnerabilidades dos ativos de segurana, minimizar o risco ao negcio, maximizar o retorno sobre os investimentos e a disponibilidade dos sistemas de segurana.
89
4. (CESGRANRIO/BNDES/Analista de Sistemas-Suporte/2010) Um conjunto de computadores est sendo utilizado para tirar de operao um servio de determinado rgo pblico. Essa situao configura o ataque do tipo a) Replay b) SQL Injection c) XSS. d) Buffer Overflow e) DDoS 5. (CESGRANRIO/2010/ Petrobrs - Tcnico de Contabilidade Distribuidora) Os mecanismos implementados por software, usados para restringir o acesso e o uso do sistema operacional, de redes, de programas utilitrios e aplicativos, constituem um processo de segurana a) digital. b) fsica. c) lgica. d) restrita. e) simples. 6. (CESGRANRIO - 2010 - Petrobrs - Profissional Jnior Direito) Entre os grandes problemas da atualidade relacionados confidencialidade das informaes um refere-se preveno da invaso dos computadores por pessoas mal-intencionadas. A principal forma de evitar danos causados por softwares espies dos quais essas pessoas se utilizam para alcanarem seus objetivos a) utilizar apenas webmail para leitura das correspondncias eletrnicas. b) efetuar rotinas de backup semanais no disco rgido do computador. c) compartilhar os principais documentos com pessoas idneas. d) possuir software antivrus e mant-lo sempre atualizado. e) navegar na internet sempre sob um pseudnimo.
7. (CESGRANRIO - Petrobrs - Tcnico em Informtica / Segurana da Informao/2010) A VPN (Virtual Private Network) uma rede de
90
comunicao privada que utiliza meios pblicos. Com relao segurana dos dados que trafegam por meio da VPN, afirma-se que a) muitos dados se perdem pela baixa qualidade dos meios pblicos de comunicao, no sendo uma rede adequada para trfego de aplicaes crticas. b) os dados podem ser acessados por pessoas no autorizadas no caso de serem encapsulados sem criptografia. c) uma rede segura de transmisso de dados onde, mesmo utilizando canais pblicos de comunicao, usa-se o protocolo padro da Internet. d) a segurana padro oferecida pelos gestores da Internet torna vivel o trfego de dados crticos a baixos custos. e) a utilizao de solues de VPN comerciais garante a confidencialidade dos dados e a estabilidade das redes privadas. 8. (CESGRANRIO/FINEP/Analista de Sistemas Suporte/ 2011-07) Os programadores de vrus continuamente desafiam os produtos de antivrus. Com o objetivo de camuflar o cdigo desses programas malignos, seus criadores costumam utilizar tcnicas de criptografia durante o processo de mutao do vrus. Nesse sentido, o vrus do tipo oligomrfico criptografa o seu corpo, formado (A) pelo seu cdigo de ataque e por um cdigo de decriptao, e, durante o processo de mutao, seleciona aleatoriamente uma nova chave de criptografia para criptografar o corpo e no acopla, ao criptograma gerado, o cdigo de decriptao. (B) pelo seu cdigo de ataque e por um cdigo de decriptao, e, durante o processo de mutao, seleciona aleatoriamente uma nova chave de criptografia para criptografar o corpo e acopla, ao criptograma gerado, o cdigo de decriptao modificado por uma tcnica de insero aleatria de instrues lixo. (C) pelo seu cdigo de ataque e por um conjunto pequeno de cdigos de decriptao, e, durante o processo de mutao, seleciona aleatoriamente uma nova chave de criptografia para criptografar o corpo e acopla, ao criptograma gerado, um dos cdigos de decriptao selecionado aleatoriamente. (D) apenas pelo seu cdigo de ataque, e, durante o processo de mutao, seleciona aleatoriamente uma nova chave de criptografia para criptografar o corpo e acopla, ao criptograma gerado, o mesmo cdigo de decriptao. (E) apenas pelo seu cdigo de ataque, e, durante o processo de mutao, seleciona aleatoriamente uma nova chave de criptografia para criptografar o corpo e acopla, ao criptograma gerado, um novo cdigo de decriptao criado unicamente com instrues selecionadas aleatoriamente do conjunto de instrues do processador.
91
9. (CESGRANRIO/Petrobrs/Analista de Sistemas Jnior - InfraEstrutura / Redes de Computadores/2010) Uma vez que as VPNs (Virtual Private Networks) no utilizam linhas dedicadas nem links de rede remota e os dados corporativos precisam atravessar a Internet, as VPNs devem fornecer mecanismos para garantir a segurana dos dados. Os protocolos CHAP e RADIUS so utilizados pelas VPNs para fornecer a) autenticao e autorizao. b) confidencialidade e autenticao. c) confidencialidade e integridade. d) autorizao e confidencialidade. e) integridade e autorizao. 10. (CESPE/TJ-ES/CBNS1_01/Superior/2011)Tecnologias como a biometria por meio do reconhecimento de digitais de dedos das mos ou o reconhecimento da ris ocular so exemplos de aplicaes que permitem exclusivamente garantir a integridade de informaes. 11. (CESPE/TJ-ES/CBNS1_01/Superior/2011) Um filtro de phishing uma ferramenta que permite criptografar uma mensagem de email cujo teor, supostamente, s poder ser lido pelo destinatrio dessa mensagem. 12. (CESPE/TJ-ES/CBNS1_01/Superior/2011) O conceito de confidencialidade refere-se a disponibilizar informaes em ambientes digitais apenas a pessoas para as quais elas foram destinadas, garantindose, assim, o sigilo da comunicao ou a exclusividade de sua divulgao apenas aos usurios autorizados. 13. (CESPE/TJ-ES/CBNM1_01/Nvel Mdio/2011) necessrio sempre que o software de antivrus instalado no computador esteja atualizado e ativo, de forma a se evitar que, ao se instalar um cookie no computador do usurio, essa mquina fique, automaticamente, acessvel a um usurio intruso (hacker), que poder invadi-la. 14. (CESPE/TJ-ES/CBNM1_01/Nvel Mdio/2011) Os pop-ups so vrus que podem ser eliminados pelo chamado bloqueador de pop-ups, se este estiver instalado na mquina. O bloqueador busca impedir, por exemplo, que esse tipo de vrus entre na mquina do usurio no momento em que ele consultar um stio da Internet.
92
15. (CESPE/Tcnico Administrativo - MPU/2010) De acordo com o princpio da disponibilidade, a informao s pode estar disponvel para os usurios aos quais ela destinada, ou seja, no pode haver acesso ou alterao dos dados por parte de outros usurios que no sejam os destinatrios da informao. 16. (CESPE/TJ-ES/CBNM1_01/Nvel Mdio/2011) Confidencialidade, disponibilidade e integridade da informao, que so conceitos importantes de segurana da informao em ambiente digital, devem estar presentes na gesto e no uso de sistemas de informao, em benefcio dos cidados e dos fornecedores de solues. 17. (CESPE/Nvel Superior - STM/2011) Um firewall pessoal instalado no computador do usurio impede que sua mquina seja infectada por qualquer tipo de vrus de computador. 18. (CESPE/Analista Judicirio - Tecnologia da Informao-TREMT/2010) A confidencialidade tem a ver com salvaguardar a exatido e a inteireza das informaes e mtodos de processamento. Para tanto, necessrio que os processos de gesto de riscos identifiquem, controlem, minimizem ou eliminem os riscos de segurana que podem afetar sistemas de informaes, a um custo aceitvel. 19. (CESPE/ANALISTA- TRE.BA/2010) Confidencialidade, disponibilidade e integridade da informao so princpios bsicos que orientam a definio de polticas de uso dos ambientes computacionais. Esses princpios so aplicados exclusivamente s tecnologias de informao, pois no podem ser seguidos por seres humanos. 20. (CESPE/Analista de Saneamento/Analista de Tecnologia da Informao Desenvolvimento - EMBASA/2010) O princpio da autenticao em segurana diz que um usurio ou processo deve ser corretamente identificado. Alm disso, todo processo ou usurio autntico est automaticamente autorizado para uso dos sistemas. 21. (CESPE/Tcnico Administrativo ANATEL/2009) Com o desenvolvimento da Internet e a migrao de um grande nmero de sistemas especializados de informao de grandes organizaes para sistemas de propsito geral acessveis universalmente, surgiu a preocupao com a segurana das informaes no ambiente da Internet. Acerca da segurana e da tecnologia da informao, julgue o item a seguir.
93
-> A disponibilidade e a integridade so itens que caracterizam a segurana da informao. A primeira representa a garantia de que usurios autorizados tenham acesso a informaes e ativos associados quando necessrio, e a segunda corresponde garantia de que sistemas de informaes sejam acessveis apenas queles autorizados a acess-los. (CESPE/Escrivo de Polcia Federal/2010)
Considerando a figura acima, que apresenta uma janela com algumas informaes da central de segurana do Windows de um sistema computacional (host) de uso pessoal ou corporativo, julgue os trs prximos itens, a respeito de segurana da informao. 22. (CESPE/2010/Escrivo de Polcia Federal) A atualizao automtica disponibilizada na janela exibida acima uma funo que est mais relacionada distribuio de novas funes de segurana para o sistema operacional do que distribuio de novos patches (remendos) que corrijam as vulnerabilidades de cdigo presentes no sistema operacional. 23. (CESPE/2010/Escrivo de Polcia Federal) Na figura acima, o firewall assinalado como ativado, em sua configurao padro, possui um conjunto maior de regras para bloqueio de conexes originadas de fora do computador do que para as conexes originadas de dentro do computador.
94
24. (CESPE/2010/Escrivo de Polcia Federal) A configurao da proteo contra malwares exposta na figura indica que existe no host uma base de assinaturas de vrus instalada na mquina. 25. (CESPE/2010/Caixa/Tcnico Bancrio) A assinatura digital facilita a identificao de uma comunicao, pois baseia-se em criptografia simtrica de uma nica chave. 26. (CESPE/2010/Caixa/Tcnico Bancrio) O destinatrio de uma mensagem assinada utiliza a chave pblica do remetente para garantir que essa mensagem tenha sido enviada pelo prprio remetente. 27. (CESPE/2010/Caixa/Tcnico Bancrio/Administrativo) Uma autoridade de registro emite o par de chaves do usurio que podem ser utilizadas tanto para criptografia como para assinatura de mensagens eletrnicas. 28. (CESPE/Tcnico Judicirio/Programao de Sistemas - TREMT/2010) Disponibilidade a garantia de que o acesso informao seja obtido apenas por pessoas autorizadas. 29. (CESPE/TRE-MT/Tcnico Judicirio Programao de Sistemas/2010) Confidencialidade a garantia de que os usurios autorizados obtenham acesso informao e aos ativos correspondentes sempre que necessrio. 30. (CESPE/UERN/Agente Tcnico Administrativo/2010) A disponibilidade da informao a garantia de que a informao no ser alterada durante o trnsito entre o emissor e o receptor, alm da garantia de que ela estar disponvel para uso nesse trnsito. 31. (CESPE/AGU/Contador/2010) Um protegido contra contaminao por vrus. arquivo criptografado fica
32. (CESPE/UERN/Agente Tcnico Administrativo/2010) Cavalo de troia um programa que se instala a partir de um arquivo aparentemente inofensivo, sem conhecimento do usurio que o recebeu, e que pode oferecer acesso de outros usurios mquina infectada.
95
33. (CESPE/UERN/Agente Tcnico Administrativo/2010) O uso de um programa anti-spam garante que software invasor ou usurio mal-intencionado no acesse uma mquina conectada a uma rede. 34. (CESPE/SEDU-ES/Agente de Suporte Educacional/2010) Vrus um programa que pode se reproduzir anexando seu cdigo a um outro programa, da mesma forma que os vrus biolgicos se reproduzem. 35. (CESPE/SEDU-ES/Agente de Suporte Educacional/2010) Cavalosde-troia, adwares e vermes so exemplos de pragas virtuais. 36. (CESPE/SEDU-ES/AGENTE DE SUPORTE EDUCACIONAL/2010) Backup o termo utilizado para definir uma cpia duplicada de um arquivo, um disco, ou um dado, feita com o objetivo de evitar a perda definitiva de arquivos importantes. 37. (CESPE/EMBASA/Analista de Saneamento - Analista de TI rea: Desenvolvimento/2010) O princpio da autenticao em segurana diz que um usurio ou processo deve ser corretamente identificado. Alm disso, todo processo ou usurio autntico est automaticamente autorizado para uso dos sistemas. 38. (CESPE/TRE-MT/Analista Judicirio Tecnologia da Informao/2010) Uma das vantagens da criptografia simtrica em relao assimtrica a maior velocidade de cifragem ou decifragem das mensagens. Embora os algoritmos de chave assimtrica sejam mais rpidos que os de chave simtrica, uma das desvantagens desse tipo de criptografia a exigncia de uma chave secreta compartilhada. 39. (CESPE/TRE-MT/Analista Judicirio/Tecnologia da Informao/2010) Na criptografia assimtrica, cada parte da comunicao possui um par de chaves. Uma chave utilizada para encriptar e a outra para decriptar uma mensagem. A chave utilizada para encriptar a mensagem privada e divulgada para o transmissor, enquanto a chave usada para decriptar a mensagem pblica. 40. (CESPE/CAIXA-NM1/ Tcnico Bancrio/Carreira administrativa/2010) Autoridade certificadora a denominao de usurio que tem poderes de acesso s informaes contidas em uma mensagem assinada, privada e certificada.
96
41. (CESPE/CAIXA-NM1/ TCNICO BANCRIO/CARREIRA ADMINISTRATIVA/2010) A autoridade reguladora tem a funo de emitir certificados digitais, funcionando como um cartrio da Internet. 42. (CESPE/2010/CAIXA-NM1/ TCNICO BANCRIO/CARREIRA ADMINISTRATIVA) O ITI (Instituto Nacional de Tecnologia da Informao) tambm conhecido como Autoridade Certificadora Raiz Brasileira. 43. (CESPE/2010/CAIXA-NM1/ TCNICO BANCRIO/CARREIRA ADMINISTRATIVA) PKI ou ICP o nome dado ao certificado que foi emitido por uma autoridade certificadora. 44. (CESPE/2010/CAIXA-NM1/ TCNICO BANCRIO/CARREIRA ADMINISTRATIVA) Um certificado digital pessoal, intransfervel e no possui data de validade. 45. (CESPE/2010/UERN/TCNICO DE NVEL SUPERIOR-Adaptada) Vrus, worms e cavalos-de-troia so exemplos de software mal-intencionados que tm o objetivo de, deliberadamente, prejudicar o funcionamento do computador. O firewall um tipo de malware que ajuda a proteger o computador contra cavalos-de-troia. 46. (CESPE/2010/UERN/Agente Tcnico Administrativo) Uma das formas de se garantir a segurana das informaes de um website no coloc-lo em rede, o que elimina a possibilidade de acesso por pessoas intrusas. 47. (CESPE/2010/TRE-MT/Analista Judicirio Tecnologia da Informao) A segurana fsica objetiva impedir acesso no autorizado, danos ou interferncia s instalaes fsicas e s informaes da organizao. A proteo fornecida deve ser compatvel com os riscos identificados, assegurando a preservao da confidencialidade da informao. 48. (CESPE/2010/TRE-MT/Analista Judicirio Tecnologia da Informao) Servios de no repudiao so tcnicas utilizadas para detectar alteraes no autorizadas ou corrompimento dos contedos de uma mensagem transmitida eletronicamente. Essas tcnicas, que tm como
97
base o uso de criptografia e assinatura digital, podem ajudar a estabelecer provas para substanciar se determinado evento ou ao ocorreu. 49. (CESPE/2010/EMBASA/ANALISTA DE SANEAMENTO) Um firewall em uma rede considerado uma defesa de permetro e consegue coibir todo tipo de invaso em redes de computadores. 50. (CESPE/2009/TRE/PR/Tcnico Judicirio Especialidade: Operao de computadores) Firewalls so equipamentos tpicos do permetro de segurana de uma rede, sendo responsveis pela deteco e conteno de ataques e intruses. 51. (CESPE/2008/TRT-1R/Analista Judicirio-Adaptada) Uma caracterstica das redes do tipo VPN (virtual private networks) que elas nunca devem usar criptografia, devido a requisitos de segurana e confidencialidade. 52. (CESPE/2010/MINISTRIO DA SADE /ANALISTA TCNICOADMINISTRATIVO) Firewall o mecanismo usado em redes de computadores para controlar e autorizar o trfego de informaes, por meio do uso de filtros que so configurados de acordo com as polticas de segurana estabelecidas. 53. (CESPE/2010/TRE.BA/ANALISTA/Q.27) Firewall um recurso utilizado para a segurana tanto de estaes de trabalho como de servidores ou de toda uma rede de comunicao de dados. Esse recurso possibilita o bloqueio de acessos indevidos a partir de regras preestabelecidas. 54. (CESPE/2010/UERN/TCNICO DE NVEL SUPERIOR-Adaptada) Firewall um sistema constitudo de software e hardware que verifica informaes oriundas da Internet ou de uma rede de computadores e que permite ou bloqueia a entrada dessas informaes, estabelecendo, dessa forma, um meio de proteger o computador de acesso indevido ou indesejado. 55. (CESPE/2010/TRE-BA/Tcnico Judicirio - rea Administrativa) Uma das formas de bloquear o acesso a locais no autorizados e restringir acessos a uma rede de computadores por meio da instalao de firewall, o qual pode ser instalado na rede como um todo, ou apenas em servidores ou nas estaes de trabalho.
98
56. (CESPE/2004/POLCIA FEDERAL/REGIONAL/PERITO/REA 3/Q. 105) Um dos mais conhecidos ataques a um computador conectado a uma rede o de negao de servio (DoS denial of service), que ocorre quando um determinado recurso torna-se indisponvel devido ao de um agente que tem por finalidade, em muitos casos, diminuir a capacidade de processamento ou de armazenagem de dados. 57. (CESPE/2008/PRF/Policial Rodovirio Federal) O uso de firewall e de software antivrus a nica forma eficiente atualmente de se implementar os denominados filtros anti-spam. 58. (CESPE/2008/PRF-POLICIAL RODOVIRIO FEDERAL-ADAPTADA) Phishing e pharming so pragas virtuais variantes dos denominados cavalos-de-tria, se diferenciando destes por precisarem de arquivos especficos para se replicar e contaminar um computador e se diferenciando, entre eles, pelo fato de que um atua em mensagens de email trocadas por servios de webmail e o outro, no. 59. (CESPE/2008/PRF/Policial Rodovirio Federal) Se o sistema de nomes de domnio (DNS) de uma rede de computadores for corrompido por meio de tcnica denominada DNS cache poisoning, fazendo que esse sistema interprete incorretamente a URL (uniform resource locator) de determinado stio, esse sistema pode estar sendo vtima de pharming. 60. (CESPE/2008/PRF/Policial Rodovirio Federal) Quando enviado na forma de correio eletrnico para uma quantidade considervel de destinatrios, um hoax pode ser considerado um tipo de spam, em que o spammer cria e distribui histrias falsas, algumas delas denominadas lendas urbanas. 61. (CESPE/2008/TRT-1R/Analista Judicirio) Os arquivos denominados cookies, tambm conhecidos como cavalos de troia, so vrus de computador, com inteno maliciosa, que se instalam no computador sem a autorizao do usurio, e enviam, de forma automtica e imperceptvel, informaes do computador invadido. 62. (CESPE/2008/TRT-1R/Analista Judicirio) Os programas denominados worm so, atualmente, os programas de proteo contra vrus de computador mais eficazes, protegendo o computador contra vrus, cavalos de troia e uma ampla gama de softwares classificados como malware.
99
63.
(CESPE/2004/Polcia Rodoviria Federal)
Um usurio da Internet, desejando realizar uma pesquisa acerca das condies das rodovias no estado do Rio Grande do Sul, acessou o stio do Departamento de Polcia Rodoviria Federal http://www.dprf.gov.br , por meio do Internet Explorer 6, executado em um computador cujo sistema operacional o Windows XP e que dispe do conjunto de aplicativos Office XP. Aps algumas operaes nesse stio, o usurio obteve a pgina Web mostrada na figura acima, que ilustra uma janela do Internet Explorer 6. Considerando essa figura, julgue os itens seguintes, relativos Internet, ao Windows XP, ao Office XP e a conceitos de segurana e proteo na Internet. I. Sabendo que o mapa mostrado na pgina Web consiste em uma figura no formato jpg inserida na pgina por meio de recursos da linguagem HTML, ao se clicar com o boto direito do mouse sobre esse objeto da pgina, ser exibido um menu que disponibiliza ao usurio um menu secundrio contendo uma lista de opes que permite exportar de forma automtica tal objeto, como figura, para determinados aplicativos do Office XP que estejam em execuo concomitantemente ao Internet Explorer 6. A lista de aplicativos do Office XP disponibilizada no menu secundrio contm o Word 2002, o Excel 2002, o Paint e o PowerPoint 2002. 64. (CESPE/2004/Polcia Rodoviria Federal) II. Para evitar que as informaes obtidas em sua pesquisa, ao trafegarem na rede mundial de computadores, do servidor ao cliente, possam ser visualizadas por quem estiver monitorando as operaes realizadas na Internet, o usurio tem disposio diversas ferramentas cuja eficincia varia de implementao para implementao. Atualmente, as ferramentas que apresentam melhor desempenho para a funcionalidade mencionada so as denominadas sniffers e backdoors e os sistemas ditos firewall, sendo que, para garantir tal eficincia, todas essas ferramentas fazem uso de tcnicas de criptografia tanto no servidor quanto no cliente da aplicao Internet.
100
65. (CESPE/2004/Polcia Rodoviria Federal) III. Por meio da guia Privacidade, acessvel quando Opes da Internet clicada no menu , o usurio tem acesso a recursos de configurao do Internet Explorer 6 que permitem definir procedimento especfico que o aplicativo dever realizar quando uma pgina Web tentar copiar no computador do usurio arquivos denominados cookies. Um cookie pode ser definido como um arquivo criado por solicitao de uma pgina Web para armazenar informaes no computador cliente, tais como determinadas preferncias do usurio quando ele visita a mencionada pgina Web. Entre as opes de configurao possveis, est aquela que impede que os cookies sejam armazenados pela pgina Web. Essa opo, apesar de permitir aumentar, de certa forma, a privacidade do usurio, poder impedir a correta visualizao de determinadas pginas Web que necessitam da utilizao de cookies. 66. (CESPE/2009-03/TRE-MG) A instalao qualidade da segurana no computador. de antivrus garante a
67. (CESPE/2009-03/TRE-MG) Toda intranet consiste em um ambiente totalmente seguro porque esse tipo de rede restrito ao ambiente interno da empresa que implantou a rede. 68. (CESPE/2009-03/TRE-MG) O upload dos arquivos de atualizao suficiente para a atualizao do antivrus pela Internet. 69. (CESPE/2009-03/TRE-MG) detectados elimina-os. O upload das assinaturas dos vrus
70. (CESPE/2009/TRE-MG) Os antivrus atuais permitem a atualizao de assinaturas de vrus de forma automtica, sempre que o computador for conectado Internet. 71. (CESPE/2009/ANATEL/TCNICO ADMINISTRATIVO) Com o desenvolvimento da Internet e a migrao de um grande nmero de sistemas especializados de informao de grandes organizaes para sistemas de propsito geral acessveis universalmente, surgiu a preocupao com a segurana das informaes no ambiente da Internet. Acerca da segurana e da tecnologia da informao, julgue o item seguinte. A disponibilidade e a integridade so itens que caracterizam a segurana da informao. A primeira representa a garantia de que usurios autorizados Profa Patrcia Lima Quinto www.pontodosconcursos.com.br 101
tenham acesso a informaes e ativos associados quando necessrio, e a segunda corresponde garantia de que sistemas de informaes sejam acessveis apenas queles autorizados a acess-los. 72. (CESPE/2009/IBAMA/ANALISTA AMBIENTAL) Para criar uma cpia de segurana da planilha, tambm conhecida como backup, suficiente clicar a ferramenta .
73. (CESPE/2009/MMA) Antivrus, worms, spywares e crackers so programas que ajudam a identificar e combater ataques a computadores que no esto protegidos por firewalls. 74. (CESPE/2009/MMA) A responsabilidade pela segurana de um ambiente eletrnico dos usurios. Para impedir a invaso das mquinas por vrus e demais ameaas segurana, basta que os usurios no divulguem as suas senhas para terceiros. 75. (CESPE/2002/POLCIA FEDERAL/PERITO: REA 3 . COMPUTAO/Q. 48) Sistemas criptogrficos so ditos simtricos ou de chave secreta quando a chave utilizada para cifrar a mesma utilizada para decifrar. Sistemas assimtricos ou de chave pblica utilizam chaves distintas para cifrar e decifrar. Algoritmos simtricos so geralmente mais eficientes computacionalmente que os assimtricos e por isso so preferidos para cifrar grandes massas de dados ou para operaes online.
Gabarito 1. Letra C. 2. Letra C. 3. Letra A. 4. Letra E. 5. Letra C. 6. Letra D. 7. Letra B. 8. Letra C. 9. Letra A.
10. 11. 12. 13. 14. 15. 16. 17. 18.
Item Errado. Item Errado. Item Correto. Item Errado. Item Errado. Item Errado. Item Correto. Item Errado. Item Errado. 102
19. 20. 21. 22. 23. 24. 25. 26. 27. 28. 29. 30. 31. 32. 33. 34. 35. 36. 37. 38. 39. 40. 41. 42. 43. 44. 45. 46. 47. 48. 49. 50. 51.
Item Errado. Item Errado. Item Errado. Item Errado. Item Correto. Item Errado. Item Errado. Item Correto. Item Errado. Item Errado. Item Errado. Item Errado. Item Errado. Item Correto. Item Errado. Item Correto. Item Correto. Item Correto. Item Errado. Item Errado. Item Errado. Item Errado. Item Errado. Item Correto. Item Errado. Item Errado. Item Errado. Item Errado. Item Correto. Item Errado. Item Errado. Item Errado. Item Errado.
52. 53. 54. 55. 56. 57. 58. 59. 60. 61. 62. 63. 64. 65. 66. 67. 68. 69. 70. 71. 72. 73. 74. 75.
Item Correto. Item Correto. Item Anulado. Item Correto. Item Correto. Item Errado. Item Errado. Item Correto. Item Correto. Item Errado. Item Errado. Item Errado. Item Errado. Item Correto. Item Errado. Item Errado. Item Errado. Item Errado. Item Correto. Item Errado. Item Errado. Item Errado. Item Errado. Item Correto.
103

Segurança Informação

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Segurança Informação

Încărcat de

Drepturi de autor:

Formate disponibile

NOES DE INFORMTICA P/CAIXA ECONMICA FEDERAL (TEORIA/EXERCCIOS) PROFESSORA PATRCIA LIMA QUINTO

Profa Patrcia Lima Quinto

Profa Patrcia Lima Quinto

Noes de vrus, worms e outras pragas virtuais

-worms, -cavalos de troia, -keylogger, -ransomwares,

Profa Patrcia Lima Quinto

Profa Patrcia Lima Quinto

Profa Patrcia Lima Quinto

Profa Patrcia Lima Quinto

Profa Patrcia Lima Quinto

limitados Impactos no negcio

Confidencialidade Integridade Disponibilidade causam perdas

Figura 4 Ciclo da Segurana da Informao (MOREIRA, 2001)

Profa Patrcia Lima Quinto

Profa Patrcia Lima Quinto

Profa Patrcia Lima Quinto

Profa Patrcia Lima Quinto

Cuidados com Malwares (j caiu em prova!) *Vrus

* Worms, bots e botnets

Profa Patrcia Lima Quinto

*Cavalos de troia, backdoors, keyloggers e spywares

Profa Patrcia Lima Quinto

Existem, basicamente, dois mtodos de Backup.

Profa Patrcia Lima Quinto

**CPIA (AUXILIAR ou SECUNDRIA)

Profa Patrcia Lima Quinto

Profa Patrcia Lima Quinto

Profa Patrcia Lima Quinto

Profa Patrcia Lima Quinto

Profa Patrcia Lima Quinto

Figura. Vnculo da Chave Pblica ao Titular

Um exemplo destacando informaes do certificado pode ser visto na figura seguinte:

Profa Patrcia Lima Quinto

Profa Patrcia Lima Quinto

Proteger contra o acesso no autorizado, mesmo para dados em trnsito.

Profa Patrcia Lima Quinto

Profa Patrcia Lima Quinto

Profa Patrcia Lima Quinto

Profa Patrcia Lima Quinto

Profa Patrcia Lima Quinto

Profa Patrcia Lima Quinto

garantir a fidedignidade das informaes.

Profa Patrcia Lima Quinto

Profa Patrcia Lima Quinto

Profa Patrcia Lima Quinto

Profa Patrcia Lima Quinto

Profa Patrcia Lima Quinto

possibilita o bloqueio preestabelecidas.

indisponibilizar servios importantes de um provedor, impossibilitando o acesso de seus usurios etc.

Profa Patrcia Lima Quinto

(CESPE/2004/Polcia Rodoviria Federal)

Profa Patrcia Lima Quinto

Profa Patrcia Lima Quinto

Profa Patrcia Lima Quinto

Profa Patrcia Lima Quinto

Aucilene Felix Marinho06317788456

Gabarito: item errado.

Profa Patrcia Lima Quinto

Profa Patrcia Lima Quinto

Profa Patrcia Lima Quinto

Profa Patrcia Lima Quinto

Profa Patrcia Lima Quinto

(CESPE/2004/Polcia Rodoviria Federal)