Aula 08 Segurança Info

Noes de Informtica TJ/PR
Teoria e Questes comentadas

Prof. Alexandre Lnin Aula 8
AULA 8: Segurana da Informao.

SUMRIO
PGINA
1. Segurana da Informao
03
2. Criptografia e Certificao Digital.
33
3. Backup
43
4. Questes comentadas
48
5. Lista das questes comentadas na aula
76
6. Gabaritos
87
Prezados amigos,
O tempo passa muito rpido, no ? Parece que foi ontem que
comeamos este curso. Hoje, estamos chegando ao final do curso. No foi
fcil, mas foi gratificante. Tantos bons comentrios, sugestes, perguntas
e elogios fazem a diferena.
Minha principal dica a tranquilidade. muito mais fcil fazer
uma boa prova quando estamos serenos. , fcil falar, sabemos. Mas
possvel obter a calma por meio da segurana no que se fez (cada um fez
o melhor que pde) e utilizando-se de treinamento. Treine, faa provas
simuladas em casa, na biblioteca, em outros concursos. Mas faa toda a
simulao. Prepare-se para o dia, cuide da alimentao, faa uso do
mesmo mecanismo de transporte. Antes da prova, v ao local onde far a
prova, no horrio marcado para verificar o trajeto, o local e o trnsito.
Deixe uma margem de tempo no horrio de chegada! Isso certamente
ajuda, pois a agonia de ter de chegar no horrio com algum imprevisto
ocorrendo pode atrapalhar e muito a concentrao.
Aprenda a fazer escolhas na hora da prova. Primeiro, escolha a
disciplina que acredita ter domnio. No gaste tempo lamentando ou
tentando resolver questes que no sabe ou que est com dvidas.
Marque a questo para depois e siga em frente. O bom de comear pelo
Prof. Alexandre Lnin
www.estrategiaconcursos.com.br
1/87

que se sabe mais ganhar confiana acertando muitas questes logo no
incio. Certamente a ansiedade diminui.
Pausas! importante fazer pausas. No gaste todo o tempo
fazendo a prova. importante dar um tempo, ir ao banheiro, comer
alguma coisa. Sem viajar demais, claro. Uma pequena pausa para
recompor. Como professores, sabemos que a ateno em uma aula
presencial dura at 50 minutos. Depois, h uma tendncia natural de
disperso. O crebro cansa e procura distrao. Por que no assumimos
isto e fazemos uma pausa a cada hora? Uma balinha, doce ou chocolate
(podem ser alimentos saudveis tambm, claro) j ajuda a descansar a
mente! O tempo gasto ser pequeno e os benefcios podem ser grandes.
No se preocupe demais nem exagere com alguns minutos gastos com
descanso. Podem ser valiosos para acertar mais algumas questes.
No perca muito tempo nas questes que so difceis ou que
tenha dvidas. Concentre-se em marcar aquelas que sabe primeiro.
melhor garantir logo o que sabe e depois voltar para aumentar a
pontuao. Ficar preso em uma parte da prova pode obrig-lo a deixar
questes que acertaria facilmente.
No mais, o de sempre: boa alimentao, cuidar do sono, cuidar
da famlia e da sade. Preparar para uma prova requer mais do que
estudo, requer uma organizao de vida.
O principal vem agora: CONFIANA e DEDICAO. No
desista, voc conseguir.
Valeu, pessoal!
Prof. Lnin
(facebook.com/alexandre.lenin.carneiro)
2/87

1. Conceitos de Proteo e Segurana da Informao.
O que significa SEGURANA?
colocar tranca nas portas de sua casa? ter as suas informaes
guardadas de forma suficientemente segura para que pessoas sem
autorizao no tenham acesso a elas? Vamos nos preparar para que a
prxima vtima no seja voc !!!
A segurana uma palavra que est presente em nosso cotidiano e
refere-se a um estado de proteo, em que estamos livres de perigos e
incertezas.
A Tecnologia da informao s se torna uma ferramenta capaz de
alavancar verdadeiramente os negcios, quando seu uso est vinculado s
medidas de proteo dos dados corporativos, para assegurar a
sobrevivncia da empresa e a continuidade dos negcios da organizao.
Segurana da informao o processo de proteger a informao
de diversos tipos de ameaas externas e internas para garantir a
continuidade dos negcios, minimizar os danos aos negcios e
maximizar o retorno dos investimentos e as oportunidades de
negcio.
Solues pontuais isoladas no resolvem toda a problemtica associada
segurana da informao. Segurana se faz em pedaos, porm todos eles
integrados, como se fossem uma corrente.
Isso reafirma o ditado popular, muito citado pelos especialistas em

segurana, que diz que nenhuma corrente mais forte do que o seu elo
mais fraco. De nada adianta uma corrente ser a mais resistente de todas
se existe um elo que fraco. claro que a resistncia da corrente ser a
resistncia do elo mais fraco e no dos demais. Se a corrente passar por
um teste de esforo, certamente o elo que partir ser o mais fraco.
Essa mesma ideia aplica-se ao contexto da informao. Quando
precisamos garantir a segurana da informao, precisamos eliminar os
3/87

elos fracos do ambiente em que a informao est armazenada. J que
eliminar, neste contexto sempre difcil, ento buscamos sempre reduzir
ao mximo os riscos de que a segurana da informao seja violada.
A segurana da informao no deve ser tratada como um fator isolado e
tecnolgico apenas, mas sim como a gesto inteligente da informao
em todos os ambientes, desde o ambiente tecnolgico passando
pelas aplicaes, infraestrutura e as pessoas.
Segurana se faz protegendo todos os elos da corrente, ou seja,
todos os ativos (fsicos, tecnolgicos e humanos) que compem
seu negcio. Afinal, o poder de proteo da corrente est
diretamente associado ao elo mais fraco!
Em uma corporao, a segurana est ligada a tudo o que manipula direta
ou indiretamente a informao (inclui-se a tambm a prpria informao
e os usurios!!!), e que merece proteo. Esses elementos so chamados
de ativos, e podem ser divididos em:
tangveis:
informaes
impressas,
mveis,
hardware
(Ex.:impressoras, scanners);
intangveis: marca de um produto, nome da empresa, confiabilidade
de um rgo federal etc.;
lgicos: informaes armazenadas em uma rede, sistema ERP
(sistema de gesto integrada) etc.;
fsicos: galpo, sistema de eletricidade, estao de trabalho etc.;
humanos: funcionrios.
Os ativos so os elementos que sustentam a operao do negcio
e estes sempre traro consigo VULNERABILIDADES que, por sua
vez, submetem os ativos a AMEAAS.
Quanto maior for a organizao maior ser sua dependncia com relao
informao, que pode estar armazenada de vrias formas: impressa em
papel, em meios digitais (discos, fitas, DVDs, disquetes, etc.), na mente
das pessoas, em imagens armazenadas em fotografias/filmes...
Nesse sentido, propsito da segurana proteger os elementos que fazem
parte da comunicao, so eles:
as informaes;
os equipamentos e sistemas que oferecem suporte a elas;
as pessoas que as utilizam.
4/87

Elementos que a Segurana da Informao Busca Proteger

Princpios de segurana da informao
Ao estudarmos o tema, deparamo-nos com alguns princpios norteadores,
segundo os padres internacionais. Dentre estes princpios, podemos
destacar a trade CID Confidencialidade, Integridade e
Disponibilidade. Estes trs atributos orientam a anlise, o planejamento
e a implementao da segurana da informao nas organizaes.
Segundo a norma ABNT-ISO-IEC 27001, adicionalmente outras
propriedades, tais como autenticidade, responsabilidade, no
repdio e confiabilidade, podem tambm estar envolvidas. Estudemos,
primeiramente, as trs propriedades que fazem parte do conceito de
segurana da informao.
Confidencialidade: preocupa-se com quem acessa as informaes.
Dizemos que existe confidencialidade quando somente as pessoas
autorizadas possuem acesso informao. Quando contamos um segredo
a algum - fazemos uma confidncia - estamos dando acesso
informao. Mas no queremos que outras pessoas tenham acesso ao
segredo, exceto pessoa a quem estamos contando. Em outras palavras,
a confidencialidade protege as informaes de uma eventual revelao a
algum no autorizado. Observe que esta proteo no se aplica apenas
informao em sua forma digital; aplica-se a quaisquer mdias onde a
informao esteja armazenada: CD, DVD, mdia impressa, entre outros.
Alm disso, nem mesmo uma pequena parte da informao poder ser
violada. A informao deve ser completamente protegida contra acessos
indevidos. Se pensarmos, como exemplo, na Internet, onde os dados
trafegam por vrios caminhos e passam por diversas redes de
computadores at chegarem ao destino, a confidencialidade deve garantir
que os dados no sero vistos nem copiados por agentes no autorizados
durante todo o percurso que realizarem na grande rede mundial.
5/87

Integridade: a informao deve manter todas as caractersticas originais
durante sua existncia. Estas caractersticas originais so as estabelecidas
pelo proprietrio da informao quando da criao ou manuteno da
informao (se a informao for alterada por quem possui tal direito, isso
no invalida a integridade). Existem vrios exemplos de ataques feitos
integridade da informao: alterao em mensagens que trafegam na
rede; modificao de sites da Internet; substituio de textos impressos
ou em mdia digital etc.
Em resumo, a Integridade o princpio da proteo da informao contra
a criao ou modificao no autorizada. A violao da integridade pode
estar relacionada com erro humano, por atos dolosos ou no. Esta
violao pode tornar a informao sem valor ou, at, perigosa,
especialmente se a violao for uma alterao da informao, o que pode
levar a decises equivocadas e causadoras de prejuzos.
Disponibilidade: garante que a informao esteja sempre disponvel
quando um usurio autorizado quiser acessar. A informao est l
quando for necessrio recuper-la. Claro que no consiste em uma
violao da disponibilidade as interrupes dos servios de acesso de
forma autorizada ou programada, como nos casos de manuteno
preventiva do sistema. A disponibilidade aplica-se informao e aos
canais de acesso a ela.
Veja o quadro abaixo. Resumimos os trs princpios bsicos em segurana
da informao.
Segurana da Informao
Princpio bsico
Conceito
Objetivo
Confidencialidade
Propriedade de que a
informao no esteja
disponvel ou revelada a
indivduos, entidades ou
processos no
autorizados
Proteger contra o acesso no

autorizado, mesmo para
dados em trnsito.
Integridade
Propriedade de
salvaguarda da exatido
e completeza de ativos
Disponibilidade
Propriedade de estar
acessvel e utilizvel sob
demanda por uma
entidade autorizada
Proteger informao contra

modificao sem permisso;
garantir a fidedignidade das
informaes.
Proteger contra
indisponibilidade dos servios
(ou degradao);
garantir aos usurios com
autorizao, o acesso aos
dados.
6/87

O que a segurana da informao pretende diminuir o risco de sofrer

qualquer perda do valor da informao. A ideia evitar a
ocorrncia de incidentes de segurana da informao que, segundo
a ABNT, um simples ou uma srie de eventos de segurana da
informao indesejados ou inesperados, que tenham uma grande
probabilidade de comprometer as operaes do negcio e ameaar a
segurana da informao.
J um evento uma ocorrncia identificada de um estado de sistema,
servio ou rede, indicando uma possvel violao da poltica de segurana
da informao ou falha de controles, ou uma situao previamente
desconhecida, que possa ser relevante para a segurana da informao.
Para a norma ISO 27001, um risco para a segurana da informao uma
combinao de fatores. De um modo geral, a combinao de uma
ameaa (temos aqui um agente) e uma vulnerabilidade (temos aqui uma
fraqueza). Da, combinando um agente com uma fraqueza, temos o risco.
um conceito mais geral para a idia de risco.
Cuidado para no pensar que as vulnerabilidades so apenas ligadas aos
sistemas de informao em si. Lembre-se que existem os aspectos fsicos
e os aspectos lgicos. Existem os acontecimentos naturais que podem
resultar em incidentes de segurana: incndio, terremotos, inundaes
etc. Sem esquecermos dos incidentes com causa humana: negligncia,
impercia, imprudncia, vingana, terrorismo etc.; e, claro de fatos
puramente tcnicos: equipamentos com defeito, rudos etc.
Nesse sentido, uma ameaa qualquer coisa que possa afetar a operao,
a disponibilidade, a integridade da informao. Uma ameaa busca
explorar uma vulnerabilidade fraqueza por meio de um ataque
(tcnica para explorar a vulnerabilidade).
Do outro lado esto as contramedidas ou os mecanismos de defesa, que
so as tcnicas para defesa contra os ataques ou para reduzir as
vulnerabilidades.
As principais origens das vulnerabilidades residem em falhas de projeto de
hardware ou software, falhas na implantao (configurao errada, falta
de treinamento), falhas de gerenciamento (problemas de monitoramento,
procedimentos inadequados ou incorretos).
Observe a figura a seguir. Ela mostra alguns tipos de ataques em
ambientes computacionais.
7/87

Em outras palavras, uma ameaa tudo aquilo que pode
comprometer a segurana de um sistema, podendo ser acidental
(falha de hardware, erros de programao, desastres naturais, erros do
usurio, bugs de software, uma ameaa secreta enviada a um endereo
incorreto etc) ou deliberada (roubo, espionagem, fraude, sabotagem,
invaso de hackers, entre outros).
Ameaa pode ser uma pessoa, uma coisa, um evento ou uma ideia capaz
de causar dano a um recurso, em termos de confidencialidade,
integridade, disponibilidade etc.
Basicamente existem dois tipos de ameaas: internas e externas.
Ameaas externas: so aqui representadas por todas as tentativas
de ataque e desvio de informaes vindas de fora da empresa.
Normalmente essas tentativas so realizadas por pessoas com a
inteno de prejudicar a empresa ou para utilizar seus recursos para
invadir outras empresas.
Ameaas internas: esto presentes, independentemente das
empresas estarem ou no conectadas Internet. Podem causar desde
incidentes leves at os mais graves, como a inatividade das operaes
da empresa.
Malware - Um tipo de ameaa que deve ser considerado!!
Malware (combinao de malicious software programa malicioso) uma
expresso usada para todo e quaisquer softwares maliciosos, ou seja,
programados com o intuito de prejudicar os sistemas de informao,
alterar o funcionamento de programas, roubar informaes, causar
lentides de redes computacionais, dentre outros.
Resumindo,
malwares
so
programas
que
executam
deliberadamente aes mal-intencionadas em um computador!!
Os tipos mais comuns de malware: vrus, worms, bots, cavalos de
troia, spyware, keylogger, screenlogger, esto descritos a seguir.
Vrus: so pequenos cdigos de programao maliciosos que se

agregam a arquivos e so transmitidos com eles. Quando o arquivo
aberto na memria RAM, o vrus tambm , e, a partir da se propaga
infectando, isto , inserindo cpias de si mesmo e se tornando parte de
outros programas e arquivos de um computador.
O vrus depende da execuo do programa ou arquivo hospedeiro para
que possa se tornar ativo e dar continuidade ao processo de infeco.
9/87

Alguns vrus so inofensivos, outros, porm, podem danificar um
sistema operacional e os programas de um computador.
Dentre os tipos de vrus conhecidos, podemos citar:
Vrus de boot: infectam o setor de boot dos discos rgidos.
Vrus de macro: vrus de arquivos que infectam documentos que
contm macros. Uma macro um conjunto de comandos que so
armazenados em alguns aplicativos e utilizados para automatizar
algumas tarefas repetitivas. Um exemplo seria, em um editor de
textos, definir uma macro que contenha a sequncia de passos
necessrios para imprimir um documento com a orientao de
retrato e utilizando a escala de cores em tons de cinza. Um vrus de
macro escrito de forma a explorar esta facilidade de
automatizao e parte de um arquivo que normalmente
manipulado por algum aplicativo que utiliza macros. Para que o
vrus possa ser executado, o arquivo que o contm precisa ser
aberto e, a partir da, o vrus pode executar uma srie de comandos
automaticamente e infectar outros arquivos no computador. Existem
alguns aplicativos que possuem arquivos base (modelos) que so
abertos sempre que o aplicativo executado. Caso este arquivo
base seja infectado pelo vrus de macro, toda vez que o aplicativo
for executado, o vrus tambm ser. Arquivos nos formatos gerados
por programas da Microsoft, como o Word, Excel, Powerpoint e
Access, so os mais suscetveis a este tipo de vrus. Arquivos nos
formatos RTF, PDF e PostScript so menos suscetveis, mas isso no
significa que no possam conter vrus.
Auto Spam: vrus de macro que enviam e-mails com arquivo
infectado para endereos captados no programa de e-mail. Um vrus
propagado por e-mail (e-mail borne virus) normalmente recebido
como um arquivo anexado a uma mensagem de correio eletrnico.
O contedo dessa mensagem procura induzir o usurio a clicar
sobre o arquivo anexado, fazendo com que o vrus seja executado.
Quando este tipo de vrus entra em ao, ele infecta arquivos e
programas e envia cpias de si mesmo para os contatos
encontrados nas listas de endereos de e-mail armazenadas no
computador do usurio. importante ressaltar que este tipo
especfico de vrus no capaz de se propagar automaticamente. O
usurio precisa executar o arquivo anexado que contm o vrus, ou
o programa leitor de e-mails precisa estar configurado para autoexecutar arquivos anexados.
10/87

Vrus de programa: infectam arquivos de programa (de inmeras

extenses, como .exe, .com,.vbs, .pif.
Vrus stealth: programado para se esconder e enganar o antivrus
durante uma varredura deste programa. Tem a capacidade de se
remover da memria temporariamente para evitar que antivrus o
detecte.
Vrus polimrficos: alteram seu formato (mudam de forma)
constantemente. A cada nova infeco, esses vrus geram uma nova
seqncia de bytes em seu cdigo, para que o antivrus se confunda
na hora de executar a varredura e no reconhea o invasor.
Vrus de script: propagam-se por meio de scripts, nome que designa
uma sequncia de comandos previamente estabelecidos e que so
executados automaticamente em um sistema, sem necessidade de
interveno do usurio. Dois tipos de scripts muito usados so os
projetados com as linguagens Javascript (JS) e Visual Basic Script
(VBS). Segundo Oliveira (2008) tanto um quanto o outro podem ser
inseridos em pginas Web e interpretados por navegadores como
Internet Explorer e outros. Os arquivos Javascript tornaram-se to
comuns na Internet que difcil encontrar algum site atual que no
os utilize. Assim como as macros, os scripts no so
necessariamente malficos. Na maioria das vezes executam tarefas
teis, que facilitam a vida dos usurios prova disso que se a
execuo dos scripts for desativada nos navegadores, a maioria dos
sites passar a ser apresentada de forma incompleta ou incorreta.
Vrus de celular: propaga de telefone para telefone atravs da
tecnologia bluetooth ou da tecnologia MMS (Multimedia Message
Service). O servio MMS usado para enviar mensagens multimdia,
isto , que contm no s texto, mas tambm sons e imagens,
como vdeos, fotos e animaes.
A infeco ocorre da seguinte forma: o usurio recebe uma
mensagem que diz que seu telefone est prestes a receber um
arquivo e permite que o arquivo infectado seja recebido, instalado e
executado em seu aparelho; o vrus, ento, continua o processo de
propagao para outros telefones, atravs de uma das tecnologias
mencionadas anteriormente.
11/87

Os vrus de celular diferem-se dos vrus tradicionais, pois
normalmente no inserem cpias de si mesmos em outros arquivos
armazenados no telefone celular, mas podem ser especificamente
projetados para sobrescrever arquivos de aplicativos ou do sistema
operacional instalado no aparelho.
Worms (vermes): so programas parecidos com vrus, mas que na

verdade so capazes de se propagarem automaticamente atravs de
redes, enviando cpias de si mesmo de computador para computador
(observe que os worms apenas se copiam, no infectam outros
arquivos, eles mesmos so os arquivos!!). Alm disso, geralmente
utilizam as redes de comunicao para infectar outros computadores
(via e-mails, Web, FTP, redes das empresas etc).
Diferentemente do vrus, o worm no embute cpias de si mesmo em
outros programas ou arquivos e no necessita ser explicitamente
executado para se propagar. Sua propagao se d atravs da
explorao de vulnerabilidades existentes ou falhas na configurao de
softwares instalados em computadores.
Worms so notadamente responsveis por consumir muitos recursos.
Degradam sensivelmente o desempenho de redes e podem lotar o
disco rgido de computadores, devido grande quantidade de cpias de
si mesmo que costumam propagar. Alm disso, podem gerar grandes
transtornos para aqueles que esto recebendo tais cpias.
Difceis de serem detectados, muitas vezes os worms realizam uma
srie de atividades, incluindo sua propagao, sem que o usurio tenha
conhecimento. Embora alguns programas antivrus permitam detectar
a presena de worms e at mesmo evitar que eles se propaguem, isto
nem sempre possvel.
Bots: de modo similar ao worm, um programa capaz de se propagar

automaticamente, explorando vulnerabilidades existentes ou falhas na
configurao de software instalado em um computador. Adicionalmente
ao worm, dispe de mecanismos de comunicao com o invasor,
permitindo que o bot seja controlado remotamente. Os bots esperam
por comandos de um hacker, podendo manipular os sistemas
infectados, sem o conhecimento do usurio.
Nesse ponto, cabe destacar um termo que j foi cobrado vrias vezes
em prova!! Trata-se do significado do termo botnet, juno da
contrao das palavras robot (bot) e network (net). Uma rede infectada
por bots denominada de botnet (tambm conhecida como rede
zumbi), sendo composta geralmente por milhares desses elementos
12/87

maliciosos que ficam residentes nas mquinas, aguardando o comando
de um invasor. Um invasor que tenha controle sobre uma botnet pode
utiliz-la para aumentar a potncia de seus ataques, por exemplo, para
enviar centenas de milhares de e-mails de phishing ou spam, desferir
ataques de negao de servio etc (CERT.br, 2006).
Trojan horse (Cavalo de troia): um programa aparentemente

inofensivo que entra em seu computador na forma de carto virtual,
lbum de fotos, protetor de tela, jogo etc, e que, quando executado
(com a sua autorizao!), parece lhe divertir, mas, por trs abre portas
de comunicao do seu computador para que ele possa ser invadido.
Por definio, o cavalo de troia distingue-se de um vrus ou de um
worm por no infectar outros arquivos, nem propagar cpias de si
mesmo automaticamente.
O trojans ficaram famosos na Internet pela facilidade de uso, e por
permitirem a qualquer pessoa possuir o controle de um outro
computador apenas com o envio de um arquivo.
Os trojans atuais so divididos em duas partes, que so: o servidor e o
cliente. Normalmente, o servidor encontra-se oculto em algum outro
arquivo e, no momento em que o arquivo executado, o servidor se
instala e se oculta no computador da vtima. Nesse momento, o
computador j pode ser acessado pelo cliente, que enviar informaes
para o servidor executar certas operaes no computador da vtima.
O Cavalo de troia no um vrus, pois no se duplica e no se
dissemina como os vrus. Na maioria das vezes, ele ir instalar
programas para possibilitar que um invasor tenha controle total sobre
um computador. Estes programas podem permitir:
que o invasor veja e copie ou destrua todos os arquivos
armazenados no computador;
a instalao de keyloggers ou screenloggers (descubra todas as
senhas digitadas pelo usurio);
o furto de senhas e outras informaes sensveis, como nmeros
de cartes de crdito;
a incluso de backdoors, para permitir que um atacante tenha
total controle sobre o computador;
a formatao do disco rgido do computador, etc.
Exemplos comuns de cavalos de troia so programas que voc recebe
ou obtm de algum site e que parecem ser apenas cartes virtuais
animados, lbuns de fotos de alguma celebridade, jogos, protetores de
13/87

tela, entre outros. Enquanto esto sendo executados, estes programas
podem ao mesmo tempo enviar dados confidenciais para outro
computador, instalar backdoors, alterar informaes, apagar arquivos
ou formatar o disco rgido. Existem tambm cavalos de troia utilizados
normalmente em esquemas fraudulentos, que, ao serem instalados
com sucesso, apenas exibem uma mensagem de erro.
Adware (advertising software): este tipo de programa geralmente

no prejudica o computador. O adware apresenta anncios, cria cones
ou modifica itens do sistema operacional com o intuito de exibir alguma
propaganda. Nem sempre so maliciosos! Um adware malicioso pode
abrir uma janela do navegador apontando para pginas de cassinos,
vendas de remdios, pginas pornogrficas, etc. Um exemplo do uso
legtimo de adwares pode ser observado no programa de troca
instantnea de mensagens MSN Messenger.
Spyware: trata-se de um programa espio (spy em ingls = espio).

um programa que tem por finalidade monitorar as atividades de um
sistema e enviar as informaes coletadas para terceiros.
Keylogger: um tipo de malware que capaz de capturar e armazenar

as teclas digitadas pelo usurio no teclado de um computador. Dentre
as informaes capturadas podem estar o texto de um e-mail, dados
digitados
na
declarao
de Imposto
de
Renda
e
outras
informaes sensveis, como senhas bancrias e nmeros de cartes de
crdito. Em muitos casos, a ativao do keylogger condicionada a
uma ao prvia do usurio, como por exemplo, aps o acesso a um
site especfico de comrcio eletrnico ou Internet Banking.
Normalmente, o keylogger contm mecanismos que permitem o envio
automtico das informaes capturadas para terceiros (por exemplo,
atravs de e-mails).
As instituies financeiras desenvolveram os teclados virtuais para
evitar que os keyloggers pudessem capturar informaes sensveis de
usurios. Ento, foram desenvolvidas formas mais avanadas de
keyloggers, tambm conhecidas como screenloggers, capazes de:
armazenar a posio do cursor e a tela apresentada no monitor,
nos momentos em que o mouse clicado, ou
armazenar a regio que circunda a posio onde o mouse
clicado.
Normalmente, o keylogger vem como parte de um programa spyware
ou cavalo de troia. Desta forma, necessrio que este programa seja
14/87

executado para que o keylogger se instale em um computador.
Geralmente, tais programas vm anexados a e-mails ou esto
disponveis em sites na Internet.
Existem ainda programas leitores de e-mails que podem estar
configurados para executar automaticamente arquivos anexados s
mensagens. Neste caso, o simples fato de ler uma mensagem
suficiente para que qualquer arquivo anexado seja executado.
Screenlogger: forma avanada de keylogger, capaz de armazenar a

posio do cursor e a tela apresentada no monitor, nos momentos em
que o mouse clicado, ou armazenar a regio que circunda a posio
onde o mouse clicado.
Ransomwares: so softwares maliciosos que, ao infectarem um

computador, criptografam todo ou parte do contedo do disco rgido.
Os responsveis pelo software exigem da vtima, um pagamento pelo
"resgate" dos dados.
Backdoors
Normalmente um atacante procura garantir uma forma de retornar a
um computador comprometido, sem precisar recorrer aos mtodos
utilizados na realizao da invaso. Na maioria dos casos, tambm
inteno do atacante poder retornar ao computador comprometido sem
ser notado. A esses programas que permitem o retorno de um invasor
a um computador comprometido, utilizando servios criados ou
modificados para este fim, d-se o nome de backdoor.
A forma usual de incluso de um backdoor consiste na disponibilizao
de um novo servio ou substituio de um determinado servio por
uma verso alterada, normalmente possuindo recursos que permitam
acesso remoto (atravs da Internet). Pode ser includo por um invasor
ou atravs de um cavalo de troia.
Rootkits
Um invasor, ao realizar uma invaso, pode utilizar mecanismos para
esconder e assegurar a sua presena no computador comprometido. O
conjunto de programas que fornece estes mecanismos conhecido
como rootkit. muito importante ficar claro que o nome rootkit no
indica que as ferramentas que o compem so usadas para obter
acesso privilegiado (root ou Administrator) em um computador, mas
sim para mant-lo. Isto significa que o invasor, aps instalar o rootkit,
ter acesso privilegiado ao computador previamente comprometido,
15/87

sem precisar recorrer novamente aos mtodos utilizados na realizao
da invaso, e suas atividades sero escondidas do responsvel e/ou
dos usurios do computador.
Um rootkit pode fornecer programas com as mais diversas
funcionalidades. Dentre eles, podem ser citados:
programas para esconder atividades e informaes deixadas pelo
invasor (normalmente presentes em todos os rootkits), tais como
arquivos, diretrios, processos, conexes de rede, etc;
backdoors, para assegurar o acesso futuro do invasor ao
computador comprometido (presentes na maioria dos rootkits);
programas para remoo de evidncias em arquivos de logs;
sniffers, para capturar informaes na rede onde o computador
est localizado, como por exemplo senhas que estejam
trafegando em claro, ou seja, sem qualquer mtodo de
criptografia;
scanners, para mapear potenciais vulnerabilidades em outros
computadores.
Sniffers (farejadores): so programas que agem na rede farejando

pacotes na tentativa de encontrar certas informaes, como senhas de
acesso, nomes de usurios, informaes confidenciais, etc. Foram
desenvolvidos como ferramentas auxiliares de diagnstico em redes e
posteriormente alterados para fins ilcitos.
Vulnerabilidades de Segurana
Nesta aula estaremos dando continuidade ao tema segurana da
informao, j abordado inicialmente na aula demonstrativa. Vamos l?
Um conceito bastante comum para o termo vulnerabilidade:
Trata-se de falha no projeto, implementao ou configurao de
software ou sistema operacional que, quando explorada por um
atacante, resulta na violao da segurana de um computador.
Em outras palavras,
vulnerabilidade uma fragilidade que poderia ser explorada por uma
ameaa para concretizar um ataque.
O conhecimento do maior nmero de vulnerabilidades possveis permite
equipe de segurana tomar medidas para proteo, evitando assim
ataques e conseqentemente perda de dados. No h uma receita ou lista
padro de vulnerabilidades. Esta deve ser levantada junto a cada
16/87

organizao ou ambiente em questo. Sempre se deve ter em mente o
que precisa ser protegido e de quem precisa ser protegido de acordo com
as ameaas existentes.
Podemos citar como exemplo inicial, uma anlise de ambiente em uma
sala de servidores de conectividade e Internet com a seguinte descrio: a
sala dos servidores no possui controle de acesso fsico!! Eis a
vulnerabilidade detectada nesse ambiente.
Outros exemplos de vulnerabilidades:
uso de senhas no encriptadas, mal formuladas e mal utilizadas;
ambientes com informaes sigilosas com acesso no controlado;
software mal desenvolvido;
hardware sem o devido acondicionamento e proteo;
falta de atualizao de software e hardware;
falta de mecanismos de monitoramento e controle (auditoria);
ausncia de pessoal capacitado para a segurana;
inexistncia de polticas de segurana.
A seguir sero citadas as vulnerabilidades existentes em uma organizao,
segundo classificao prpria da rea:
Vulnerabilidades Fsicas
So aquelas presentes em ambientes onde se armazenam as informaes,
como:
instalaes prediais fora do padro;
ausncia de recursos para combate a incndios;
CPDs mal planejados;
disposio desorganizada de fios de energia e cabos de rede;
ausncia de controle de acesso fsico, etc.
Vulnerabilidades de Hardware
Compreendem possveis defeitos de fabricao, erros de configurao ou
falhas nos equipamentos. Como exemplos citam-se erros decorrentes da
instalao, desgaste, obsolescncia ou m utilizao do equipamento etc.
importante observar detalhes como o dimensionamento adequado do
equipamento, ou seja, se sua capacidade de armazenamento,
processamento e velocidade esto compatveis com as necessidades, de
modo a no sub ou super dimension-lo.
Vulnerabilidades de Software
So possveis falhas de programao, erros de instalao e configurao,
que podem, por exemplo, causar acesso indevido, vazamento de
17/87

informaes, perda de dados etc. Sistemas operacionais so altamente
visados para ataque, pois atravs deles possvel ter acesso ao hardware
do computador. Ataques como estes so de alta gravidade, e podem
comprometer todo o sistema.
Um grande nmero de empresas, ao identificarem alguma vulnerabilidade
em seus softwares, lanam boletins informativos a fim de alertar os
usurios, e normalmente disponibilizam pacotes de atualizao,
denominados Service Packs, para correo desta vulnerabilidade.
Vulnerabilidades de Armazenamento
Relacionadas com a forma de utilizao das mdias (disquetes, CD-ROMs,
fitas magnticas, discos rgidos dos servidores, etc.) em que esto
armazenadas as informaes, como armazenamento de disquetes em
local inadequado etc.
Vulnerabilidades de Comunicao
Relacionadas com o trfego de informaes, independente do meio de
transmisso, podendo envolver ondas de rdio, satlite, fibra tica etc.
Podem, por exemplo, permitir acesso no autorizado ou perda de dados
durante a transmisso de uma informao.
A escolha do meio de transmisso e das medidas de segurana de suma
importncia, pois a informao poder ser interceptada antes de chegar
ao destino. Uma opo de segurana nesse contexto envolveria por
exemplo o uso de criptografia1.
Vulnerabilidades Humanas
Relacionadas aos danos que as pessoas podem causar s informaes e
ao ambiente tecnolgico que as suporta, podendo ser intencionais ou no.
Podem ocorrer devido a desconhecimentos das medidas de segurana,
falta de capacitao para execuo da tarefa dentro dos princpios de
segurana, erros e omisses.
Risco
Alguns conceitos necessitam ser expostos para o correto entendimento do
que risco e suas implicaes.
Risco a medida da exposio qual o sistema computacional est
sujeito. Depende da probabilidade de uma ameaa atacar o sistema e do
impacto resultante desse ataque.
1
Criptografia o processo de converter dados em um formato que no possa ser lido por um outro usurio, a no ser o usurio que
criptografou o arquivo.
18/87

Smola (2003, p. 50) diz que risco a probabilidade de ameaas
explorarem
vulnerabilidades,
provocando
perdas
de
confidencialidade, integridade e disponibilidade, causando,
possivelmente, impactos nos negcios.
Como exemplo de um risco pode-se imaginar um funcionrio insatisfeito e
um martelo ao seu alcance; nesse caso o funcionrio poderia danificar
algum ativo da informao. Assim pode-se entender como risco tudo
aquilo que traz danos s informaes e com isso promove perdas para a
organizao.
Risco: medido pela probabilidade de uma ameaa acontecer e
causar algum dano potencial empresa.
Existem algumas maneiras de se classificar o grau de risco no mercado de
segurana, mas de uma forma simples, poderamos tratar como alto,
mdio e baixo risco. No caso do nosso exemplo da sala dos servidores,
poderamos dizer que, baseado na vulnerabilidade encontrada, a ameaa
associada de alto risco.
Incidente
Incidente de segurana da informao: indicado por um simples ou
por uma srie de eventos de segurana da informao indesejados
ou inesperados, que tenham uma grande probabilidade de
comprometer as operaes do negcio e ameaar a segurana da
informao. Exemplos de alguns incidentes de segurana da informao:
invaso digital; violao de padres de segurana de informao.
Figura. Impacto de incidentes de segurana nos negcios
19/87

Ataques
Ataque uma alterao no fluxo normal de uma informao que afeta
um dos servios oferecidos pela segurana da informao. Ele
decorrente de uma vulnerabilidade que explorada por um atacante em
potencial.
A figura seguinte representa um fluxo de informaes e quatro ameaas
possveis para a segurana de um sistema de informao:
Interrupo: ataque na transmisso da mensagem, em que o fluxo
de dados interrompido. Um exemplo pode ser a danificao de
componentes de hardware ou a queda do sistema de comunicao por
sabotagem.
Interceptao: este um ataque sobre a confidencialidade. Ocorre
quando uma pessoa no autorizada tem acesso s informaes
confidenciais de outra. Um exemplo seria a captura de dados na rede
ou a cpia ilegal de um arquivo.
Modificao: este um ataque integridade da mensagem. Ocorre
quando uma pessoa no autorizada, alm de interceptar as
mensagens, altera o contedo da mensagem e envia o contedo
alterado para o destinatrio.
Fabricao: este um ataque sobre a autenticidade. Uma pessoa
no autorizada insere mensagens no sistema assumindo o perfil de
um usurio autorizado.
Figura - Exemplos de ataques contra um sistema de informao
20/87

Os principais tipos de ataque so:
Engenharia Social
o mtodo de se obter dados importantes de pessoas atravs da velha
lbia. No popular o tipo de vigarice mesmo pois assim que muitos
habitantes do underground da internet operam para conseguir senhas
de acesso, nmeros de telefones, nomes e outros dados que deveriam
ser sigilosos.
A engenharia social a tcnica que explora as fraquezas
humanas e sociais, em vez de explorar a tecnologia. Guarde
isso!!!
A tecnologia avana e passos largos mas a condio humana continua
na mesma em relao a critrios ticos e morais. Enganar os outros
deve ter sua origem na pr-histria portanto o que mudou foram
apenas os meios para isso.
Em redes corporativas que so alvos mais apetitosos para invasores, o
perigo ainda maior e pode estar at sentado ao seu lado. Um colega
poderia tentar obter sua senha de acesso mesmo tendo uma prpria,
pois uma sabotagem feita com sua senha parece bem mais
interessante do que com a senha do prprio autor.
Phishing (tambm conhecido como Phishing scam, ou apenas scam)

Phishing um tipo de fraude eletrnica projetada para roubar
informaes particulares que sejam valiosas para cometer um roubo ou
fraude posteriormente.
O golpe de phishing realizado por uma pessoa mal-intencionada
atravs da criao de um website falso e/ou do envio de uma
mensagem eletrnica falsa, geralmente um e-mail ou recado atravs
de scrapbooks como no stio Orkut, entre outros exemplos.
Utilizando de pretextos falsos, tenta enganar o receptor da mensagem
e induzi-lo a fornecer informaes sensveis (nmeros de cartes de
crdito, senhas, dados de contas bancrias, entre outras). Uma
variante mais atual o Pharming. Nele, o usurio induzido a baixar
e executar arquivos que permitam o roubo futuro de informaes ou o
acesso no autorizado ao sistema da vtima, podendo at mesmo
redirecionar a pgina da instituio (financeira ou no) para os sites
falsificados.
21/87

As duas figuras seguintes apresentam iscas (e-mails) utilizadas em
golpes de phishing, uma envolvendo o Banco de Brasil e a outra o
Serasa.
Figura. Isca de Phishing Relacionada ao Banco do Brasil
Figura. Isca de Phishing Relacionada ao SERASA

A palavra phishing (de fishing) vem de uma analogia criada pelos
fraudadores, em que iscas (e-mails) so usadas para pescar
informaes sensveis (senhas e dados financeiros, por exemplo) de
usurios da Internet.
Atualmente, este termo vem sendo utilizado tambm para se referir aos
seguintes casos:
mensagem que procura induzir o usurio instalao de
cdigos maliciosos, projetados para furtar dados pessoais e
financeiros;
mensagem que, no prprio contedo, apresenta formulrios
para o preenchimento e envio de dados pessoais e financeiros
de usurios.
22/87

Ataques a servidores Web
O crescimento do uso do phishing pode ser uma decorrncia do aumento
do nmero de ataques aos servidores Web, que cresceu 41% em relao
ao trimestre anterior e 77% em relao ao mesmo perodo de 2009.
De acordo com o Cert.br, houve crescimento deste tipo de ataque durante
todo o ano de 2010. Os atacantes exploram vulnerabilidades em
aplicaes Web para, ento, hospedar nesses sites pginas falsas de
instituies financeiras, cavalos de Troia, ferramentas utilizadas em
ataques a outros servidores Web e scripts para envio de spam ou scam.
Pharming
O Pharming uma tcnica que utiliza o sequestro ou a "contaminao"
do DNS (Domain Name Server) para levar os usurios a um site falso,
alterando o DNS do site de destino. O sistema tambm pode
redirecionar os usurios para sites autnticos atravs de proxies
controlados pelos phishers, que podem ser usados para monitorar e
interceptar a digitao.
Os sites falsificados coletam nmeros de cartes de crdito, nomes de
contas, senhas e nmeros de documentos. Isso feito atravs da
exibio de um pop-up para roubar a informao antes de levar o
usurio ao site real. O programa mal-intencionado usa um certificado
auto-assinado para fingir a autenticao e induzir o usurio a acreditar
nele o bastante para inserir seus dados pessoais no site falsificado.
Outra forma de enganar o usurio sobrepor a barra de endereo e
status de navegador para induzi-lo a pensar que est no site legtimo e
inserir suas informaes.
Os phishers utilizam truques para instalar programas criminosos nos
PCs dos consumidores e roubar diretamente as informaes. Na
maioria dos casos, o usurio no sabe que est infectado, percebendo
apenas uma ligeira reduo na velocidade do computador ou falhas de
funcionamento atribudas a vulnerabilidades normais de software. Um
software de segurana uma ferramenta necessria para evitar a
instalao de programas criminosos se o usurio for atingido por um
ataque.
Ataques de senhas
A utilizao de senhas seguras um dos pontos fundamentais para
uma estratgia efetiva de segurana. As senhas garantem que somente
as pessoas autorizadas tero acesso a um
sistema ou rede.
Infelizmente isso nem sempre realidade. As senhas geralmente so
criadas e implementadas pelos prprios usurios que utilizam os
23/87

sistemas ou a rede. Palavras, smbolos ou datas fazem com que as
senhas tenham algum significado para os usurios, permitindo que eles
possam facilmente lembr-las. Neste ponto que existe o problema,
pois muitos usurios priorizam a convenincia ao invs da segurana.
Como resultado, eles escolhem senhas que so relativamente simples.
Enquanto isso permite que possam lembrar facilmente das senhas,
tambm facilita o trabalho de quebra dessas senhas por hackers. Em
virtude disso, invasores em potencial esto sempre testando as redes e
sistemas em busca de falhas para entrar. O modo mais notrio e fcil a
ser explorado a utilizao de senhas inseguras.
A primeira linha de defesa, a utilizao de senhas, pode se tornar um
dos pontos mais falhos. Parte da responsabilidade dos administradores
de sistemas garantir que os usurios estejam cientes da necessidade
de utilizar senhas seguras.
Isto leva a dois objetivos a serem alcanados: primeiro, educar os
usurios sobre a importncia do uso de senhas seguras; e segundo,
implementar medidas que garantam que as senhas escolhidas pelos
usurios so efetivamente adequadas.
Para alcanar o primeiro objetivo, a educao do usurio o ponto
chave. J para alcanar o segundo objetivo, necessrio que o
administrador de sistemas esteja um passo frente, descobrindo
senhas inseguras antes dos atacantes. Para fazer isso necessria a
utilizao das mesmas ferramentas utilizadas pelos atacantes.
As duas principais tcnicas de ataque a senhas so:
Ataque de Dicionrio: nesse tipo de ataque so utilizadas
combinaes de palavras, frases, letras, nmeros, smbolos, ou
qualquer outro tipo de combinao geralmente que possa ser
utilizada na criao das senhas pelos usurios. Os programas
responsveis por realizar essa tarefa trabalham com diversas
permutaes e combinaes sobre essas palavras. Quando
alguma dessas combinaes se referir senha, ela considerada
como quebrada (Cracked).
Geralmente as senhas esto armazenadas criptografadas
utilizando um sistema de criptografia HASH. Dessa maneira os
programas utilizam o mesmo algoritmo de criptografia para
comparar as combinaes com as senhas armazenadas. Em
outras palavras, eles adotam a mesma configurao de
criptografia das senhas, e ento criptografam as palavras do
dicionrio e comparam com senha.
Fora-Bruta: enquanto as listas de palavras, ou dicionrios, do
nfase a velocidade, o segundo mtodo de quebra de senhas se
24/87

baseia simplesmente na repetio. Fora-Bruta uma forma de
se descobrir senhas que compara cada combinao e permutao
possvel de caracteres at achar a senha. Este um mtodo
muito poderoso para descoberta de senhas, no entanto
extremamente lento porque cada combinao consecutiva de
caracteres comparada. Ex: aaa, aab, aac ..... aaA, aaB, aaC...
aa0, aa1, aa2, aa3... aba, aca, ada...
Sniffing
o processo de captura das informaes da rede por meio de um
software de escuta de rede (sniffer), que capaz de interpretar as
informaes transmitidas no meio fsico. Para isso, a pilha TCP/IP
configurada para atuar em modo promscuo, ou seja, desta forma ir
repassar todos os pacotes para as camadas de aplicao, mesmo que
no sejam endereados para a mquina. Esse um ataque
confidencialidade dos dados, e costuma ser bastante nocivo, uma vez
que boa parte dos protocolos mais utilizados em uma rede (FTP, POP3,
SMTP, IMAP, Telnet) transmitem o login e a senha em aberto pela
rede.
Importante
Sniffers Farejadores: Por padro, os computadores (pertencentes
mesma rede) escutam e respondem somente pacotes endereados a
eles. Entretanto, possvel utilizar um software que coloca a interface
num estado chamado de modo promscuo. Nessa condio o
computador pode monitorar e capturar os dados trafegados atravs da
rede, no importando o seu destino legtimo.
Os programas responsveis por capturar os pacotes de rede so
chamados Sniffers, Farejadores ou ainda Capturadores de Pacote. Eles
exploram o fato do trfego dos pacotes das aplicaes TCP/IP no
utilizar nenhum tipo de cifragem nos dados. Dessa maneira um sniffer
pode obter nomes de usurios, senhas ou qualquer outra informao
transmitida que no esteja criptografada.
A dificuldade no uso de um sniffer que o atacante precisa instalar o
programa em algum ponto estratgico da rede, como entre duas
mquinas, (com o trfego entre elas passando pela mquina com o
farejador) ou em uma rede local com a interface de rede em modo
promscuo.
25/87

Spoofing Falsificao de Endereo

Spoofing a modificao de campos de identificao de pacotes de
forma que o atacante possa atuar se passando por outro host.
Pode ser considerado como sendo uma tcnica utilizada por invasores
para conseguirem se autenticar a servios, ou outras mquinas,
falsificando o seu endereo de origem. Ou seja, uma tcnica de
ataque contra a autenticidade, uma forma de personificao que
consiste em um usurio externo assumir a identidade de um usurio ou
computador interno, atuando no seu lugar legtimo.
A tcnica de spoofing pode ser utilizada para acessar servios que so
controlados apenas pelo endereo de rede de origem da entidade que
ir acessar o recurso especfico, como tambm para evitar que o
endereo real de um atacante seja reconhecido durante uma tentativa
da invaso.
Essa tcnica utilizada constantemente pelos Hackers, sendo que
existem vrias ferramentas que facilitam o processo de gerao de
pacotes de rede com endereos falsos.
IP Spoofing (Falsificao de endereo IP)

A falsificao de endereo IP no exatamente um ataque, ela na
verdade utilizada juntamente com outros ataques para esconder a
identidade do atacante. Consiste na manipulao direta dos campos do
cabealho de um pacote para falsificar o nmero IP da mquina que
dispara a conexo.
Quando um host A quer se conectar ao B, a identificao feita atravs
do nmero IP que vai no cabealho, por isto, se o IP do cabealho
enviado pelo host A for falso (IP de um host C), o host B, por falta de
outra forma de identificao, acredita estar se comunicando com o host
A.
Atravs desta tcnica, o hacker consegue atingir os seguintes
objetivos: obter acesso a mquinas que confiam no IP que foi
falsificado, capturar conexes j existentes e burlar os filtros de
pacotes dos firewalls que bloqueiam o trfego baseado nos endereos
de origem e destino.
Denial of Service (DoS)

Os ataques de negao de servio (denial of service - DoS) consistem
em impedir o funcionamento de uma mquina ou de um servio
especfico. No caso de ataques a redes, geralmente ocorre que os
usurios legtimos de uma rede no consigam mais acessar seus
recursos.
26/87

O DoS acontece quando um atacante envia vrios pacotes ou
requisies de servio de uma vez, com objetivo de sobrecarregar um
servidor e, como conseqncia, impedir o fornecimento de um servio
para os demais usurios, causando prejuzos.
No DoS o atacante utiliza um computador para tirar de operao
um servio ou computador(es) conectado(s) Internet!!
Como exemplo deste tipo de ataque tem-se o seguinte contexto: gerar
uma sobrecarga no processamento de um computador, de modo que o
usurio no consiga utiliz-lo; gerar um grande trfego de dados para
uma rede, ocasionando a indisponibilidade dela; indisponibilizar
servios importantes de um provedor, impossibilitando o acesso de
seus usurios.
Cabe ressaltar que se uma rede ou computador sofrer um DoS, isto
no significa que houve uma invaso, pois o objetivo de tais ataques
indisponibilizar o uso de um ou mais computadores, e no invadi-los.
Distributed Denial of Service (DDoS) -> So os ataques

coordenados!
Em dispositivos com grande capacidade de processamento,
normalmente, necessria uma enorme quantidade de requisies
para que o ataque seja eficaz. Para isso, o atacante faz o uso de uma
botnet (rede de computadores zumbis sob comando do atacante) para
bombardear o servidor com requisies, fazendo com que o ataque
seja feito de forma distribuda (Distributed Denial of Service DDoS).
No DDoS ataque de negao de servio distribudo - , um
conjunto de computadores utilizado para tirar de operao um
ou mais servios ou computadores conectados Internet.
SYN Flood
O SYN Flood um dos mais populares ataques de negao de servio.
O ataque consiste basicamente em se enviar um grande nmero de
pacotes de abertura de conexo, com um endereo de origem forjado
(IP Spoofing), para um determinado servidor.
O servidor ao receber estes pacotes, coloca uma entrada na fila de
conexes em andamento, envia um pacote de resposta e fica
aguardando uma confirmao da mquina cliente. Como o endereo de
origem dos pacotes falso, esta confirmao nunca chega ao servidor.
O que acontece que em um determinado momento, a fila de
27/87

conexes em andamento do servidor fica lotada, a partir da, todos os
pedidos de abertura de conexo so descartados e o servio inutilizado.
Esta inutilizao persiste durante alguns segundos, pois o servidor ao
descobrir que a confirmao est demorando demais, remove a
conexo em andamento da lista. Entretanto se o atacante persistir em
mandar pacotes seguidamente, o servio ficar inutilizado enquanto ele
assim o fizer.
Ataques de Loop
Dentro desta categoria de ataque o mais conhecido o Land. Ele
consiste em mandar para um host um pacote IP com endereo de
origem e destino iguais, o que ocasiona um loop na tabela de conexes
de uma mquina atacada. Para executar um ataque como este, basta
que o hacker tenha um software que permita a manipulao dos
campos dos pacotes IP.
Ataques via ICMP

O protocolo ICMP (Internet Control Message Protocol) utilizado no
transporte de mensagens de erro e de controle. Essencialmente um
protocolo de transferncia de mensagens entre gateways e estaes.
Como todos os protocolos do conjunto TCP/IP, o ICMP no tem como
ter garantia se a informao recebida verdadeira, e por este motivo,
um atacante pode utilizar o ICMP para interromper conexes j
estabelecidas, como por exemplo enviando uma mensagem ICMP de
host inacessvel para uma das mquinas.
Ping of Death
Ele consiste em enviar um pacote IP com tamanho maior que o
mximo permitido (65.535 bytes) para a mquina atacada. O pacote
enviado na forma de fragmentos (porque nenhuma rede permite o
trfego de pacotes deste tamanho), e quando a mquina destino tenta
montar estes fragmentos, inmeras situaes podem ocorrer: a
maioria trava, algumas reinicializam, outras exibem mensagens no
console, etc.
Dumpster diving ou trashing

a atividade na qual o lixo verificado em busca de informaes sobre
a organizao ou a rede da vtima, como nomes de contas e senhas,
informaes pessoais e confidenciais. Muitos dados sigilosos podem ser
obtidos dessa maneira.
28/87

Antivrus
O programa Antivrus verifica se existem vrus conhecidos ou
desconhecidos no seu computador. O vrus conhecido aquele que pode
ser detectado e identificado pelo nome. O vrus desconhecido o que
ainda no foi definido pelo programa Antivrus. O programa Antivrus
monitora continuamente o seu computador a fim de proteg-lo contra
ambos os tipos de vrus. Para isso, ele usa:
definies de vrus (que detectam os vrus conhecidos): o
servio de definio de vrus consiste em arquivos que o programa
Antivrus usa para reconhecer os vrus e interromper suas
atividades;
tecnologia Bloodhound: detecta vrus analisando a estrutura, o
comportamento e outros atributos dos arquivos, como a lgica de
programao, as instrues de computador e todos os dados nele
contidos. Ela tambm define ambientes simulados nos quais carrega
documentos e testa a existncia de vrus de macro;
bloqueios de scripts: o script um programa gravado em
linguagem de script (como, por exemplo, Visual Basic Script ou
JavaScript) que pode ser executado sem interao com o usurio.
Como podem ser abertos com editores ou processadores de texto,
os scripts so muito fceis de alterar. Eles podem ser usados
quando voc se conecta Internet ou verifica seu e-mail.
A reinicializao do computador tambm requer o uso de scripts que lhe
informem que programas deve carregar e executar. Os scripts tambm
podem ser criados para executar atividades maliciosas quando iniciados.
Voc pode receber um script malicioso sem perceber, abrindo documentos
ou anexos de e-mail infectados, visualizando mensagens de e-mail em
HTML infectadas ou visitando sites da Internet infectados. O bloqueio de
scripts detecta vrus de Visual Basic e JavaScript, sem a necessidade de
definies de vrus especficas. Ele monitora os scripts em busca de
atividades tpicas de vrus, emitindo alertas caso sejam detectadas.
Os recursos representados pelas definies de vrus, tecnologia
Bloodhound, bloqueio de scripts e verificao de e-mail e mensageiros
instantneos so todos empregados nas verificaes agendadas e
manuais, alm de serem usados pelo Auto-Protect para monitorar
constantemente um computador.
O Auto-Protect do programa Antivrus carregado na memria durante a
inicializao do Sistema Operacional, fornecendo proteo constante
enquanto se trabalha. Usando o Auto-Protect, o programa Antivrus
automaticamente:
29/87

elimina quaisquer worms, Cavalos de troia e vrus, inclusive os de

macro, e repara arquivos danificados;
verifica a existncia de vrus cada vez que se utiliza programas,
discos flexveis ou outras mdias removveis em um computador ou
utiliza documentos criados ou recebidos;
monitora o computador em busca de sintomas atpicos que possam
indicar a existncia de um vrus em ao;
protege o computador contra vrus provenientes da Internet.
Preveno de Intruso e Firewall

Em um sistema em segurana de redes de computadores, a intruso
qualquer conjunto de aes que tendem a comprometer a integridade,
confidencialidade ou disponibilidade dos dados ou sistemas.
Os intrusos em uma rede podem ser de dois tipos: internos (que tentam
acessar informaes no autorizadas para ele); externos (tentam acessar
informaes via Internet).
IDS (Intrusion Detection Systems) so sistemas de deteco de
intrusos, que tm por finalidade detectar atividades incorretas, maliciosas
ou anmalas, em tempo real, permitindo que algumas aes sejam
tomadas.
Geram logs para casos de tentativas de ataques e para casos em
que um ataque teve sucesso.
Mesmo sistemas com Firewall devem ter formas para deteco de
intrusos.
Assim como os firewalls, os IDSs tambm podem gerar falsos
positivos (Uma situao em que o firewall ou IDS aponta uma
atividade como sendo um ataque, quando na verdade no ).
As informaes podem ser coletadas em redes, de vrias formas:
Sistemas de deteco de intruso baseados em rede (NIDS)
Neste tipo de sistema, as informaes so coletadas na rede,
normalmente por dispositivos dedicados que funcionam de forma
similar a sniffers de pacotes.
Vantagens: diversas mquinas podem ser monitoradas utilizando-se
apenas um agente (componente que coleta os dados).
Desvantagens: o IDS enxerga apenas os pacotes trafegando, sem ter
viso do que ocorre na mquina atacada.
Sistemas de deteco de intruso baseados em host (HIDS)
30/87

Coletam informaes dentro das mquinas monitoradas, o que
normalmente feito atravs de um software instalado dentro delas.
Hybrid IDS
Combina as 2 solues anteriores!!
Cabe ressaltar que o IDS (Intrusion Detection Systems) procura por

ataques j catalogados e registrados, podendo, em alguns casos, fazer
anlise comportamental.
O firewall no tem a funo de procurar por ataques. Ele realiza a
filtragem dos pacotes e, ento, bloqueia as transmisses no
permitidas. O firewall atua entre a rede externa e interna, controlando o
trfego de informaes que existem entre elas, procurando certificar-se de
que este trfego confivel, em conformidade com a poltica de
segurana do site acessado. Tambm pode ser utilizado para atuar entre
redes com necessidades de segurana distintas.
O IPS (Sistema de Preveno de Intruso) que faz a deteco de
ataques e intruses, e no o firewall!! Um IPS um sistema que detecta e
obstrui automaticamente ataques computacionais a recursos protegidos.
Diferente dos IDS tradicionais, que localizam e notificam os
administradores sobre anomalias, um IPS defende o alvo sem uma
participao direta humana.
Basicamente, o firewall um sistema para controlar o acesso s
redes de computadores, desenvolvido para evitar acessos no
autorizados em uma rede local ou rede privada de uma
corporao. Pode ser desde um software sendo executado no
ponto de conexo entre as redes de computadores ou um conjunto
complexo de equipamentos e softwares.
A RFC 2828 (Request for Coments n 2828) define o termo firewall como
sendo uma ligao entre redes de computadores que restringem o trfego
de comunicao de dados entre a parte da rede que est dentro ou
antes do firewall, protegendo-a assim das ameaas da rede de
computadores que est fora ou depois do firewall. Esse mecanismo de
proteo geralmente utilizado para proteger uma rede menor (como os
computadores de uma empresa) de uma rede maior (como a Internet).
Um firewall deve ser instalado no ponto de conexo entre as redes, onde,
atravs de regras de segurana, controla o trfego que flui para dentro e
31/87

para fora da rede protegida. Pode ser desde um nico computador, um
software sendo executado no ponto de conexo entre as redes de
computadores ou um conjunto complexo de equipamentos e softwares.
Deve-se observar que isso o torna um potencial gargalo para o trfego de
dados e, caso no seja dimensionado corretamente, poder causar atrasos
e diminuir a performance da rede.
Os firewalls so implementados, em regra, em dispositivos que fazem a
separao da rede interna e externa, chamados de estaes guardis
(bastion hosts).
As principais funcionalidades oferecidas pelos firewalls so:
regular o trfego de dados entre uma rede local e a rede externa
no confivel, por meio da introduo de filtros para pacotes ou
aplicaes;
impedir a transmisso e/ou recepo de acessos nocivos ou no
autorizados dentro de uma rede local;
mecanismo de defesa que restringe o fluxo de dados entre redes,
podendo criar um log do trfego de entrada e sada da rede;
proteo de sistemas vulnerveis ou crticos, ocultando informaes
de rede como nome de sistemas, topologia da rede, identificaes
dos usurios etc.
Fique ligado!
Existem ameaas das quais o firewall NO PODE proteger:
uso malicioso dos servios que ele autorizado a liberar;

usurios que no passam por ele, ou seja, o firewall no verifica o fluxo
intrarredes;
falhas de seu prprio hardware e sistema operacional;
ataques de Engenharia Social uma tcnica em que o atacante (se
fazendo passar por outra pessoa) utiliza-se de meios, como uma
ligao telefnica ou e-mail, para persuadir o usurio a fornecer
informaes ou realizar determinadas aes. Exemplo: algum
desconhecido liga para a sua casa e diz ser do suporte tcnico do seu
provedor de acesso. Nessa ligao, ele informa que sua conexo com a
Internet est apresentando algum problema e, ento, solicita sua
senha para corrigi-lo. Caso a senha seja fornecida por voc, esse
suposto tcnico poder realizar uma infinidade de atividades
maliciosas com a sua conta de acesso Internet, relacionando, dessa
maneira, tais atividades ao seu nome.
32/87

2. Criptografia e Certificao Digital
A palavra criptografia composta dos termos gregos KRIPTOS (secreto,
oculto, ininteligvel) e GRAPHO (escrita, escrever). Trata-se de um
conjunto de conceitos e tcnicas que visa codificar uma informao de
forma que somente o emissor e o receptor possam acess-la. A
criptografia , provavelmente, to antiga quanto a prpria escrita, sendo
alvo constante de extenso estudo de suas tcnicas. Na informtica, as
tcnicas mais conhecidas envolvem o conceito de chaves, as chamadas
"chaves criptogrficas". Trata-se de um conjunto de bits (unidade de
medida de armazenamento) baseado em um determinado algoritmo capaz
de codificar e de decodificar informaes. Se o receptor da mensagem
usar uma chave incompatvel com a chave do emissor, no conseguir
extrair a informao.
Os primeiros mtodos criptogrficos existentes usavam apenas um
algoritmo de codificao. Assim, bastava que o receptor da informao
conhecesse esse algoritmo para poder extra-la. No entanto, se um intruso
tiver posse desse algoritmo, tambm poder decifr-la, caso capture os
dados criptografados. H ainda outro problema: imagine que a pessoa A
tenha que enviar uma informao criptografada pessoa B. Esta ltima
ter que conhecer o algoritmo usado. Imagine agora que uma pessoa C
tambm precisa receber uma informao da pessoa A, porm a pessoa C
no pode descobrir qual a informao que a pessoa B recebeu. Se a
pessoa C capturar a informao envida pessoa B, tambm conseguir
decifr-la, pois quando a pessoa A enviou sua informao, a pessoa C
tambm teve que conhecer o algoritmo usado. Para a pessoa A evitar esse
problema, a nica soluo usar um algoritmo diferente para cada
receptor.
Detalhe: Na rea de segurana comum utilizar os nome Alice (A) e Bob
(B) para representar as pessoas que querem se comunicar de forma
secreta.
Terminologia bsica sobre Criptografia:
Mensagem ou texto a informao de se deseja proteger. Esse
texto quando em sua forma original, ou seja, a ser transmitido,
chamado de texto puro ou texto claro.
Remetente ou emissor refere-se pessoa que envia a mensagem.
Destinatrio ou receptor refere-se pessoa que receber a
mensagem.
Encriptao o processo em que um texto puro passa,
transformando-se em texto cifrado.
Desencriptao o processo de recuperao de um texto puro a
partir de um texto cifrado.
33/87

Criptografar o ato de encriptar um texto puro, assim como,

descriptografar o ato de desencriptar um texto cifrado.
Sistemas Criptogrficos
Chave a informao que o remetente e o destinatrio possuem, e que
ser usada para criptografar e descriptografar um texto ou mensagem.
Chaves criptogrficas
Na criptografia, para proteger os dados necessrio um algoritmo
(mtodo/processo), que para encriptar (criptografar) os dados, necessita
de uma chave (nmero ou frase secreta).
Hoje, podemos afirmar que a criptografia computadorizada opera por meio
da utilizao de chaves secretas, ao invs de algoritmos secretos. Se
protegermos os dados com uma chave, precisamos proteger somente a
chave. Se utilizarmos chaves para proteger segredos, podemos utilizar
diversas chaves para proteger diferentes segredos. Em outras palavras, se
uma chave for quebrada, os outros segredos ainda estaro seguros. Por
outro lado, se um algoritmo secreto for quebrado por um invasor, este
ter acesso a todos os outros segredos.
Com o uso de chaves, um emissor pode usar o mesmo algoritmo (o
mesmo mtodo) para vrios receptores. Basta que cada um receba uma
chave diferente. Alm disso, caso um receptor perca ou exponha
determinada chave, possvel troc-la, mantendo-se o mesmo algoritmo.
Voc j deve ter ouvido falar de chave de 64 bits, chave de 128 bits e
assim por diante. Esses valores expressam o tamanho de uma
determinada chave. Quanto mais bits forem utilizados, maior ser a chave
e mais difcil de descobrir o segredo por meio da fora bruta (tentativa e
erro) ou tcnicas automatizadas de quebra da chave. Assim, sendo maior
a chave, mais segura ser a criptografia.
Explico: caso um algoritmo use chaves de 8 bits, apenas 256 chaves
podero ser usadas na decodificao, pois 2 elevado a 8 256. Isso deixa
claro que 8 bits inseguro, pois at uma pessoa capaz de gerar as 256
combinaes (embora demore), imagine ento um computador. Porm, se
forem usados 128 ou mais bits para chaves (faa 2 elevado a 128 para
ver o que acontece), teremos uma quantidade extremamente grande de
combinaes, deixando a informao criptografada bem mais segura.
Primeiro, tenha em mente que o bit (Binary Digit) ou dgito binrio a
menor unidade de armazenamento na memria do computador. Ele pode
representar dois valores apenas. No caso da computao, ou armazena o
zero ou armazena o um (0-1).
34/87

Para formar mensagens, preciso agrupar os bits. O padro atual o
byte (Binary Term) ou termo binrio, que composto por 8 bits. Isto no
ao acaso. Oito bits que podem valer 0 ou 1 cada, permitem 256
combinaes diferentes. Ento, para representar os smbolos, basta existir
uma tabela com 256 posies e, em casa posio da tabela, um smbolo.
Assim, internamente ao computador temos uma sequencia de 8 dgitos
(zeros ou uns), que, associados a uma tabela, representam um smbolo.
J ouviu falar da tabela ASCII (American Code for Interchange
Information)? Ela o padro para as tabelas de codificao de smbolos.
Nela temos desde as letras e dgitos, aos caracteres especiais e outras
teclas especiais. Por exemplo, a letra A ocupa a casa de nmero 65
nesta tabela (convertendo 65 para o sistema de numerao binrio
zeros e uns temos 1000001). Bom, o interessante que voc pode
armazenar smbolos na memria por meio deste sistema de numerao e
da tabela ASCII. Veja a mensagem abaixo (texto = PASSEI!
Texto (smbolos) P
Tabela ASCII
80
65
83
83
69
73
33
Binrio
1010000 1000001 1010011 1010011 1000101 1001001 100001
essa a ideia. Cada smbolo do texto PASSEI! possui um nmero na

tabela ASCII. Este nmero armazenado na memria do computador (em
binrio). Ento, falando em criptografia, estamos falando em fazer contas
com estes nmeros para encontrar novos nmeros que, quando
associados tabela, ficam estranhos. Por exemplo, somemos 30 a cada
nmero da tabela ASCII que representa um smbolo do texto claro.
Temos: 90, 75, 83, 83, 69, 73 e 43.
Usando a tabela, teramos:
Texto (smbolos)
Tabela ASCII
80
65
83
83
69
73
33
Binrio
1010000 1000001 1010011 1010011 1000101 1001001 100001
Algoritmo = Ascii+10 90
75
93
93
79
83
43
Texto Cifrado
Na tabela acima, temos o texto cifrado como resultado da aplicao do

algoritmo: some 10 ao cdigo ASCII de cada smbolo do texto claro. O
resultado : ZK]]OS+. Assim, quem conseguir obter a mensagem no
conseguir entend-la, exceto se conhecer o algoritmo que cifrou a
mensagem.
Agora, imagine que o algoritmo fosse tal que ao invs de usar um valor
constante para calcular o novo caractere, usasse um valor fornecido pelo
35/87

usurio. Esta chave informada, resultaria em textos diferentes, para
chaves diferentes. Neste caso, a chave deve ser conhecida pelos
participantes do processo, tanto o emissor quanto o receptor, alm do
algoritmo, claro. Alm deste esquema, existe um que possui no uma,
mas duas chaves. Uma para cifrar e outra para decifrar.
Vamos estudar estes casos separadamente. Existem dois tipos de chaves:
simtricas e assimtricas.
Chave simtrica
Esse um tipo de chave mais simples, onde o emissor e o receptor fazem
uso da mesma chave, isto , uma nica chave usada na codificao e na
decodificao da informao.
Nas figuras acima, podemos observar o funcionamento da criptografia

simtrica. Uma informao encriptada atravs de um polinmio
utilizando-se de uma chave (Chave A) que tambm serve para decriptar a
informao.
As principais vantagens dos algoritmos simtricos so:
Rapidez: Um polinmio simtrico encripta um texto longo em
milsimos de segundos
Chaves pequenas: uma chave de criptografia de 128bits torna um
algoritmo simtrico praticamente impossvel de ser quebrado.
A maior desvantagem da criptografia simtrica que a chave utilizada
para encriptar igual chave que decripta. Quando um grande nmero
de pessoas tem conhecimento da chave, a informao deixa de ser um
segredo.
36/87

O uso de chaves simtricas tem algumas desvantagens, fazendo com que
sua utilizao no seja adequada em situaes onde a informao muito
valiosa. Para comear, necessrio usar uma grande quantidade de
chaves caso muitas pessoas estejam envolvidas.
Ainda, h o fato de que tanto o emissor quanto o receptor precisa
conhecer a chave usada. A transmisso dessa chave de um para o outro
pode no ser to segura e cair em "mos erradas".
Existem vrios algoritmos que usam chaves simtricas, como o DES, o
IDEA, e o RC:
DES (Data Encryption Standard): criado pela IBM em 1977, faz
uso de chaves de 56 bits. Isso corresponde a 72 quadrilhes de
combinaes (256 = 72.057.594.037.927.936). um valor
absurdamente alto, mas no para um computador potente. Em
1997, ele foi quebrado por tcnicas de "fora bruta" (tentativa e
erro) em um desafio promovido na internet;
IDEA (International Data Encryption Algorithm): criado em
1991 por James Massey e Xuejia Lai, o IDEA um algoritmo que faz
uso de chaves de 128 bits e que tem uma estrutura semelhante ao
DES. Sua implementao em software mais fcil do que a
implementao deste ltimo;
RC (Ron's Code ou Rivest Cipher): criado por Ron Rivest na
empresa RSA Data Security, esse algoritmo muito utilizado em emails e faz uso de chaves que vo de 8 a 1024 bits. Possui vrias
verses: RC2, RC4, RC5 e RC6. Essencialmente, cada verso difere
da outra por trabalhar com chaves maiores.
H ainda outros algoritmos conhecidos, como o AES (Advanced Encryption
Standard) - que baseado no DES, o 3DES, o Twofish e sua variante
Blowfish, por exemplo.
Chave assimtrica
Tambm conhecida como "chave pblica", a tcnica de criptografia por

chave assimtrica trabalha com duas chaves: uma denominada privada e
outra denominada pblica. Nesse mtodo, uma pessoa deve criar uma
chave de codificao e envi-la a quem for mandar informaes a ela.
37/87

Essa a chave pblica. Outra chave deve ser criada para a decodificao.
Esta a chave privada secreta.
Para entender melhor, imagine o seguinte: O USURIO-A criou uma chave
pblica e a enviou a vrios outros sites. Quando qualquer desses sites
quiser enviar uma informao criptografada ao USURIO-A dever utilizar
a chave pblica deste. Quando o USURIO-A receber a informao,
apenas ser possvel extra-la com o uso da chave privada, que s o
USURIO-A tem. Caso o USURIO-A queira enviar uma informao
criptografada a outro site, dever conhecer sua chave pblica.
Entre os algoritmos que usam chaves assimtricas, tm-se o RSA (o mais

conhecido) e o Diffie-Hellman:
RSA (Rivest, Shamir and Adleman): criado em 1977 por Ron
Rivest, Adi Shamir e Len Adleman nos laboratrios do MIT
(Massachusetts Institute of Technology), um dos algoritmos de
chave assimtrica mais usados. Nesse algoritmo, nmeros primos
(nmero primo aquele que s pode ser dividido por 1 e por ele
mesmo) so utilizados da seguinte forma: dois nmeros primos so
multiplicados para se obter um terceiro valor. Porm, descobrir os
dois primeiros nmeros a partir do terceiro (ou seja, fazer uma
fatorao) muito trabalhoso.
Se dois nmeros primos grandes (realmente grandes) forem usados
na multiplicao, ser necessrio usar muito processamento para
descobri-los, tornando essa tarefa quase sempre invivel.
Basicamente, a chave privada no RSA so os nmeros multiplicados
e a chave pblica o valor obtido;
ElGamal: criado por Taher ElGamal, esse algoritmo faz uso de um
problema matemtico conhecido por "logaritmo discreto" para se
tornar seguro. Sua utilizao frequente em assinaturas digitais.
38/87

Existem ainda outros algoritmos, como o DSA (Digital Signature
Algorithm), o Schnorr (praticamente usado apenas em assinaturas
digitais) e Diffie-Hellman.
Exemplo:
Quando Alice quer mandar uma mensagem para Bob, ela procura a chave
pblica dele em um diretrio e usa esta chave para encriptar a
mensagem. Bob, ao receber a mensagem de Alice, usa a sua chave
privada para decriptar a mensagem e l-la. Este sistema tambm
permite a autenticao digital de mensagens, ou seja, possvel garantir
ao receptor a identidade do transmissor e a integridade da mensagem.
Quando uma mensagem encriptada com uma chave privada, ao invs da
chave pblica, o resultado uma assinatura digital: uma mensagem que
s uma pessoa poderia produzir, mas que todos possam verificar.
Normalmente autenticao se refere ao uso de assinaturas digitais: a
assinatura um conjunto inforjvel de dados assegurando o nome do
autor ou funcionando como uma assinatura de documentos. Isto indica
que a pessoa concorda com o que est escrito. Alm do que, evita que a
pessoa que assinou a mensagem depois possa se livrar de
responsabilidades, alegando que a mensagem foi forjada (garantia do
no-repdio).
Sistemas de uma chave so bem mais rpidos, e sistemas de duas chaves
so bem mais seguros. Uma possvel soluo combinar as duas,
fornecendo assim um misto de velocidade e segurana.
Simplesmente
usa-se a encriptao de uma chave para encriptar a mensagem, e a chave
secreta transmitida usando a chave pblica do destinatrio. NO
confunda a chave privada com chave secreta. A primeira mantida
em segredo, enquanto que a segunda enviada para as pessoas que
efetivaro a comunicao.
PGP Pretty Good Privacy
Trata-se de um software de criptografia, de uso livre, criado por Philip
Zimmermman em 1991. A inteno de Zimmermman foi a de ajudar na
defesa da liberdade individual nos Estados Unidos e no mundo inteiro,
uma vez que ele percebeu que o uso do computador seria algo cada vez
maior e que o direito privacidade deveria ser mantido nesse meio. Por
ser disponibilizado de forma gratuita, o PGP acabou se tornando uns dos
meios de criptografia mais conhecidos, principalmente na troca de emails.
No PGP, chaves assimtricas so usadas. Alm disso, para reforar a
segurana, o software pode realizar um segundo tipo de criptografia
39/87

atravs de um mtodo conhecido como "chave de sesso" que, na
verdade, um tipo de chave simtrica.
Certificado Digital
O Certificado Digital, tambm conhecido como Certificado de Identidade
Digital, associa a identidade de um titular a um par de chaves eletrnicas
(uma pblica e outra privada) que, usadas em conjunto, fornecem a
comprovao da identidade.
So elementos comuns dos certificados digitais:
Informao de atributo: a informao sobre o objeto que
certificado. No caso de uma pessoa, isto pode incluir seu nome,
nacionalidade e endereo e-mail, sua organizao e o departamento
da organizao onde trabalha.
Chave de informao pblica: a chave pblica da entidade
certificada. O certificado atua para associar a chave pblica
informao de atributo, descrita acima. A chave pblica pode ser
qualquer chave assimtrica, mas usualmente uma chave RSA.
Assinatura da Autoridade em Certificao (CA): A CA assina
os dois primeiros elementos e, ento, adiciona credibilidade ao
certificado. Quem recebe o certificado verifica a assinatura e
acreditar na informao de atributo e chave pblica associadas se
acreditar na Autoridade em Certificao. Dentre os atributos do
certificado deve estar a Data de Validade.
O Certificado Digital pode ser usado em uma grande variedade de
aplicaes, como comrcio eletrnico, groupware (Intranet's e Internet) e
transferncia eletrnica de fundos.
Dessa forma, um cliente que compre em um shopping virtual, utilizando
um Servidor Seguro, solicitar o Certificado de Identidade Digital deste
Servidor para verificar: a identidade do vendedor e o contedo do
Certificado por ele apresentado. Da mesma forma, o servidor poder
solicitar ao comprador seu Certificado de Identidade Digital, para
identific-lo com segurana e preciso.
Caso qualquer um dos dois apresente um Certificado de Identidade Digital
adulterado, ele ser avisado do fato, e a comunicao com segurana no
ser estabelecida.
O Certificado de Identidade Digital emitido e assinado por uma
Autoridade Certificadora Digital (Certificate Authority). Para tanto, esta
autoridade usa as mais avanadas tcnicas de criptografia disponveis e de
padres internacionais (norma ISO X.509 para Certificados Digitais), para
a emisso e chancela digital dos Certificados de Identidade Digital.
40/87

Assinatura Digital
A assinatura digital busca resolver dois problemas no garantidos apenas
com uso da criptografia para codificar as informaes: a Integridade e a
Procedncia. Ela utiliza uma funo chamada one-way hash function,
tambm conhecida como: compression function, cryptographic checksum,
message digest ou fingerprint. Essa funo gera uma sequencia de
smbolos nica (hash) sobre uma informao, se esse valor for o mesmo
tanto no remetente quanto destinatrio, significa que essa informao no
foi alterada.
Mesmo assim isso ainda no garante total integridade, pois a informao
pode ter sido alterada no seu envio e um novo hash pode ter sido
calculado. Para solucionar esse problema, utilizada a criptografia
assimtrica com a funo das chaves num sentido inverso, onde o hash
criptografado usando a chave privada do remetente, sendo assim o
destinatrio de posse da chave pblica do remetente poder decriptar o
hash. Dessa maneira garantimos a procedncia, pois somente o
remetente possui a chave privada para codificar o hash que ser aberto
pela sua chave pblica. J o hash, gerado a partir da informao original,
protegido pela criptografia, garantir a integridade da informao.
Um certificado de chave pblica, normalmente denominado apenas de
certificado, uma declarao assinada digitalmente que vincula o valor de
uma chave pblica identidade da pessoa, ao dispositivo ou ao servio
que contm a chave particular correspondente. A maior parte dos
certificados de uso comum se baseia no padro de certificado X.509v32,
aplicados em criptografia de chave pblica - mtodo de criptografia no
qual duas chaves diferentes so usadas: uma chave pblica para
criptografar dados e uma chave particular para descriptograf-los. A
criptografia de chave pblica tambm chamada de criptografia
assimtrica.
Os certificados podem ser emitidos para diversos fins como, por exemplo,
a autenticao de usurios da Web, a autenticao de servidores Web,
email seguro, segurana do protocolo Internet (IPSec), segurana de
camada de transporte do protocolo TCP/IP e assinatura de cdigo.
Normalmente, os certificados contm as seguintes informaes:
O valor da chave pblica da entidade
As informaes de identificao da entidade, como o nome e o
endereo de email
2
Verso 3 da recomendao X.509 da ITU (International Telecommunication Union) para formato e sintaxe de certificado. o formato
de certificado padro usado pelos processos com base em certificados do Windows XP. Um certificado X.509 inclui a chave pblica e
informaes sobre a pessoa ou entidade para a qual o certificado emitido, informaes sobre o certificado, alm de informaes
opcionais sobre a autoridade de certificao (CA) que emite o certificado.
41/87

O perodo de validade (tempo durante o qual o certificado
considerado vlido)
Informaes de identificao do emissor
A assinatura digital do emissor, que atesta a validade do vnculo
entre a chave pblica da entidade e as informaes de identificao
da entidade.
Um certificado s vlido pelo perodo de tempo nele especificado; cada
certificado contm datas Vlido de e Vlido at, que definem os prazos do
perodo de validade. Quando o prazo de validade de um certificado
termina, a entidade do certificado vencido deve solicitar um novo
certificado.
Se for preciso desfazer o vnculo declarado em um certificado, esse pode
ser revogado pelo emissor. Cada emissor mantm uma lista de
certificados revogados, que pode ser usada pelos programas quando a
validade de um determinado certificado verificada.
Uma das principais vantagens dos certificados que os hosts no tm
mais que manter um conjunto de senhas para entidades individuais que
precisam ser autenticadas para obterem acesso. Em vez disso, o host
simplesmente deposita confiana em um emissor de certificados.
Quando um host, como um servidor Web seguro, designa um emissor
como uma autoridade raiz confivel, ele confia implicitamente nas
diretivas usadas pelo emissor para estabelecer os vnculos dos certificados
que emite. Na prtica, o host confia no fato de que o emissor verificou a
identidade da entidade do certificado. Um host designa um emissor como
uma autoridade raiz confivel colocando o certificado auto-assinado do
emissor, que contm a chave pblica do emissor, no armazenamento de
certificado da autoridade de certificao raiz confivel do computador
host. As autoridades de certificao intermedirias ou subordinadas sero
confiveis somente se tiverem um caminho de certificao vlido de uma
autoridade de certificao raiz confivel.
VPNs - Virtual Private Network

Uma Virtual Private Network (VPN) ou Rede Virtual Privada uma
rede privada (rede com acesso restrito) construda sobre a estrutura de
uma rede pblica (recurso pblico, sem controle sobre o acesso aos
dados), normalmente a Internet. Ou seja, ao invs de se utilizar links
dedicados ou redes de pacotes para conectar redes remotas, utiliza-se a
infraestrutura da Internet, uma vez que para os usurios a forma como as
redes esto conectadas transparente.
Normalmente as VPNs so utilizadas para interligar empresas onde os
custos de linhas de comunicao direta de dados so elevados. Elas criam
42/87

tneis virtuais de transmisso de dados utilizando criptografia para
garantir a privacidade e integridade dos dados, e a autenticao para
garantir que os dados esto sendo transmitidos por entidades ou
dispositivos autorizados e no por outros quaisquer. Uma VPN pode ser
criada tanto por dispositivos especficos, softwares ou at pelo prprio
sistema operacional.
Alguns aspectos negativos tambm devem ser considerados sobre a
utilizao de VPNs:
Perda de velocidade de transmisso: as informaes criptografadas
tm seu tamanho aumentado, causando uma carga adicional na
rede.
Maiores exigncias de processamento: o processo de criptografar e
decriptar as informaes transmitidas gera um maior consumo de
processamento entre os dispositivos envolvidos.
3. Backup
O procedimento de backup (cpia de segurana) pode ser descrito de
forma simplificada como copiar dados de um dispositivo para o outro com
o objetivo de posteriormente recuperar as informaes, caso haja algum
problema.
Ou seja, copiar nossas fotos digitais, armazenadas no HD (disco rgido),
para um DVD fazer backup. Se houver algum problema com o HD ou se
acidentalmente apagarmos as fotos, podemos ento restaurar os arquivos
a partir do DVD. Nesse exemplo, chamamos as cpias das fotos no DVD
de cpias de segurana ou backup. Chamamos de restaurao o processo
de copiar os dados de volta ao local original.
No Windows XP, por exemplo, tem-se o software Microsoft Backup, que ir
ajud-lo nesta tarefa. Ao clicar com o boto direito do mouse no cone de
um arquivo do Windows XP, e selecionar a opo Propriedades; em
seguida, guia geral ->Avanado, ser exibida uma caixa o arquivo est
pronto para ser arquivado, marcada como padro (No Windows XP, leiase arquivo morto).
43/87

A tela seguinte desta a opo de arquivo morto obtida ao clicar com o
boto direito do mouse no arquivo intitulado lattes.pdf, do meu
computador que possui o sistema operacional Windows 7.
Quando um arquivo est com esse atributo marcado, significa

que ele dever ser copiado no prximo backup.
Se estiver desmarcado, significa que, provavelmente, j foi feito um
backup deste arquivo.
J no Windows 7 temos as seguintes ferramentas (assim chamadas pela
empresa Microsoft):
Ferramenta
Backup
arquivo
do
Descrio
O Backup do Windows permite fazer cpias dos
arquivos de dados para todas as pessoas que usam o
computador. Voc pode permitir que o Windows
44/87

Ferramenta
Backup
imagem
sistema
da
do
Verses
anteriores
Restaurao do
sistema
Descrio
escolha o que ser includo no backup ou pode
selecionar unidades, bibliotecas ou pastas individuais
para o backup. Por padro, os backups so criados
periodicamente. Voc pode alterar o agendamento e
criar um backup manualmente em qualquer momento.
Uma vez configurado o Backup do Windows, o
Windows mantm o controle dos arquivos e das pastas
que so novas ou modificadas e as adiciona ao backup.
O Backup do Windows oferece a capacidade de criar
uma imagem do sistema, que uma imagem exata de
uma unidade. Uma imagem do sistema inclui o
Windows e as configuraes do sistema, os programas
e os arquivos. Voc poder usar uma imagem do
sistema para restaurar o contedo do computador, se
um dia o disco rgido ou o computador pararem de
funcionar. Quando voc restaura o computador a partir
de uma imagem do sistema, trata-se de uma
restaurao completa; no possvel escolher itens
individuais para a restaurao, e todos os atuais
programas, as configuraes do sistema e os arquivos
sero substitudos. Embora esse tipo de backup inclua
arquivos pessoais, recomendvel fazer backup dos
arquivos regularmente usando o Backup do Windows, a
fim de que voc possa restaurar arquivos e pastas
individuais conforme a necessidade. Quando voc
configurar um backup de arquivos agendado, poder
escolher se deseja incluir uma imagem do sistema.
Essa imagem do sistema inclui apenas as unidades
necessrias execuo do Windows. Voc poder criar
manualmente uma imagem do sistema se quiser incluir
unidades de dados adicionais.
As verses anteriores so cpias de arquivos e pastas
que o Windows salva automaticamente como parte da
proteo do sistema. Voc pode usar verses
anteriores para restaurar arquivos ou pastas que
modificou ou excluiu acidentalmente ou que estavam
danificados. Dependendo do tipo de arquivo ou pasta,
voc pode abrir, salvar em um local diferente ou
restaurar uma verso anterior. As verses anteriores
podem ser teis, mas no devem ser consideradas
como um backup porque os arquivos so substitudos
por novas verses e no estaro disponveis se a
unidade vier a falhar.
A Restaurao do Sistema o ajuda a restaurar arquivos
do sistema do computador para um ponto anterior no
45/87

Ferramenta
Descrio
tempo. uma forma de desfazer alteraes do sistema
no computador sem afetar os arquivos pessoais, como
email, documentos ou fotos. A Restaurao do Sistema
usa um recurso chamado proteo do sistema para
criar e salvar regularmente pontos de restaurao no
computador. Esses pontos de restaurao contm
informaes sobre as configuraes do Registro e
outras informaes do sistema que o Windows usa.
Tambm possvel criar pontos de restaurao
manualmente.
Rsrsrsrs, eu ainda no configurei o backup do meu Windows 7. Isto

acontece sempre, porque preciso formatar o tempo todo por conta das
aulas (preciso sempre de um sistema limpo para que fique de acordo com
os editais).
Principais TIPOS de Backup:
NORMAL (TOTAL ou GLOBAL)
COPIA TODOS os arquivos e pastas selecionados.

Caso necessite restaurar o backup normal, voc s precisa da cpia
mais recente.
Normalmente, este backup executado quando voc cria um conjunto
de backup pela 1 vez.
Agiliza o processo de restaurao, pois somente um backup ser
restaurado, mas demanda grande tempo para a execuo, uma vez
que todos os arquivos sero copiados.
46/87

INCREMENTAL
Copia somente os arquivos CRIADOS ou ALTERADOS desde o ltimo

backup normal ou incremental. Assim, para se obter os arquivos do
backup, preciso usar o backup completo e todos os backups
incrementais seguintes.
DIFERENCIAL
Copia somente os arquivos CRIADOS ou ALTERADOS desde o ltimo

backup normal.
Ainda que existam arquivos criados ou alterados que j foram copiados
em algum backup diferencial, estes sero copiados novamente. Assim,
para se obter todos os arquivos do backup suficiente obter o backup
completo e o ltimo diferencial.
47/87

4. Exerccios Comentados
1. (FCC/2009/TJ-PI/Analista Judicirio/Adaptada) Instruo: Para
responder questo, considere os dados abaixo.
Item Tarefa
V
Ao enviar informaes sigilosas via mensagem eletrnica
deve-se utilizar de um sistema que faa a codificao (chave,
cifra), de modo que somente as mquinas que conhecem o
cdigo consigam decifr-lo.
O cuidado solicitado em V aplica o conceito de:
a) criptografia;
b) assinatura digital;
c) digitalizao;
d) desfragmentao;
e) modulao/demodulao.
Comentrios
Item A. Criptografia um conjunto de tcnicas que permitem tornar
incompreensvel uma mensagem escrita com clareza, de forma que
apenas o destinatrio a decifre e a compreenda. A criptografia tem como
objetivo garantir que uma informao s seja lida e compreendida pelo
destinatrio autorizado. Item CERTO. a resposta da questo!
Item B. Com a utilizao da assinatura digital o remetente (emissor) ir
criptografar a mensagem com sua chave privada e o destinatrio poder
comprovar a autenticidade por meio da decifrao pela chave pblica do
remetente. Cabe destacar que se a mensagem de e-mail for muito grande
(contiver anexos, por exemplo), usar a chave privada do remetente para
criptografar a mensagem toda demoraria muito. Hoje, a assinatura digital
feita mediante o clculo do hash ( uma funo matemtica que recebe
uma mensagem de entrada e gera como resultado um nmero finito de
caracteres) da mensagem e a conseguinte criptografia apenas desse hash
com o uso da chave privada do remetente. Como o hash pequeno, a
assinatura digital no demora para ser realizada!
A assinatura digital fornece uma prova inegvel de que uma
mensagem veio do emissor. Para verificar este requisito, uma
assinatura deve ter as seguintes propriedades:
autenticidade: o receptor (destinatrio de uma mensagem) pode
confirmar que a assinatura foi feita pelo emissor;
integridade: qualquer alterao da mensagem faz com que a
assinatura seja invalidada;
no repdio (irretratabilidade): o emissor (aquele que assinou
digitalmente a mensagem) no pode negar que foi o autor da
48/87

mensagem, ou seja, no pode dizer mais tarde que a sua assinatura
foi falsificada.
A assinatura digital, por si s, no garante a confidencialidade (sigilo) dos
dados, pois, teoricamente, todos possuem a chave pblica do remetente.
Essa confidencialidade obtida por meio de tcnicas de criptografia, que
so utilizadas em conjunto com as assinaturas digitais!!
A implementao da assinatura digital s foi possvel com o uso dos
algoritmos de criptografia assimtrica, pois eles provm a garantia da
autenticidade, e por conseqncia, a irretratabilidade da mensagem.
A integridade da mensagem verificada por meio das funes de hash.
Com a assinatura digital possvel associar, de forma unvoca, um
documento digital a uma chave privada e, consequentemente, a um
usurio. Item ERRADO.
Item C. Digitalizao a converso de um suporte fsico de dados
(papel, microfilme) para um suporte em formato digital visando dinamizar
o acesso e a disseminao das informaes, mediante a visualizao
instantnea das imagens pelas pessoas interessadas. Item ERRADO.
Item D. A desfragmentao consiste em um processo de eliminao da
fragmentao de dados de um sistema de arquivos. Isso possvel
reordenando o espao de armazenamento, de forma que todo arquivo
esteja armazenado de maneira contgua (unida) e ordenada, e tambm
criando espaos livres contnuos, de forma a evitar a fragmentao de
dados no disco. A desfragmentao no diminui o tamanho de um
arquivo, apenas aumenta a velocidade de acesso aos dados, j que a
cabea de leitura do HD no perde tempo pulando os fragmentos que
no fazem parte do arquivo. Item ERRADO.
Item E. Em um sistema de transmisso de dados, o processo de
modulao pode ser definido como a transformao de um sinal que
contm uma informao til, em seu formato original, em um sinal
modulado, adequado ao meio de transmisso que se pretende utilizar, e a
demodulao o inverso! Item ERRADO.
GABARITO: letra A.
2. (FCC/2010-04/BAHIA
GS/
Analista
de
Processos
Organizacionais Administrao ou Cincias Econmicas/Q.
27/D04-G1) Uma assinatura digital um recurso de segurana cujo
objetivo
(A) identificar um usurio apenas por meio de uma senha.
(B) identificar um usurio por meio de uma senha, associada a um
token.
(C) garantir a autenticidade de um documento.
49/87

(D) criptografar um documento assinado eletronicamente.
(E) ser a verso eletrnica de uma cdula de identidade.
Comentrios
Conforme destaca Stallings (2008) uma assinatura digital um
mecanismo de AUTENTICAO que permite ao criador de uma mensagem
anexar um cdigo que atue como uma assinatura. A assinatura formada
tomando o hash da mensagem e criptografando-a com a chave privada do
criador. A assinatura garante a ORIGEM e a INTEGRIDADE da mensagem.
Em outras palavras, a assinatura digital um mecanismo de segurana
cujo objetivo o de garantir a autenticidade de um documento
(mensagem).
GABARITO: letra C.
3. (FCC/2010/GOVBA/AGENTE PENITENCIRIO/UNI-001-Q. 21)
Considere os seguintes motivos que levaram diversas instituies
financeiras a utilizar teclados virtuais nas pginas da Internet:
I. facilitar a insero dos dados das senhas apenas com o uso do
mouse.
II. a existncia de programas capazes de capturar e armazenar as
teclas digitadas pelo usurio no teclado de um computador.
III. possibilitar a ampliao dos dados do teclado para o uso de
deficientes visuais.
Est correto o que se afirma em
(A) I, apenas.
(B) II, apenas.
(C) III, apenas.
(D) II e III, apenas.
(E) I, II e III.
Comentrios
Ataques a usurios de instituies financeiras esto se tornando cada vez
mais comuns. Nesse contexto, as instituies financeiras incorporam
teclados virtuais em seus sites, para assim, tentar evitar que usurios
contaminados com cavalos de tria (trojans) munidos de keylogger
(gravador de aes do teclado) tenham seus dados capturados pelos
invasores.
GABARITO: letra B.
50/87

Item Recomendao
IV
Evitar a abertura de mensagens eletrnicas no solicitadas,
provenientes de instituies bancrias ou empresas, que
possam induzir o acesso a pginas fraudulentas na Internet,
com vistas a roubar senhas e outras informaes pessoais
valiosas registradas no computador.
A recomendao em IV para evitar um tipo de fraude conhecido por:
a) chat
b) cracker
c) spam
d) hacker
e) phishing scam
Comentrios
Item A. Chat um servio disponibilizado por alguns sites, em que os
usurios podem participar de salas de bate-papo em tempo real. Item
ERRADO.
Item B. Os crackers so indivduos que invadem sistemas para roubar
informaes e causar danos s vtimas. O termo crackers tambm uma
denominao utilizada para aqueles que decifram cdigos e destroem
protees de software. Atualmente, a imprensa mundial atribui qualquer
incidente de segurana a hackers, em seu sentido genrico. A palavra
cracker no vista nas reportagens, a no ser como cracker de senhas,
que um software utilizado para descobrir senhas ou decifrar mensagens
cifradas. Item ERRADO.
Item C. Spam um tipo de mensagem recebida pelo usurio sem que ele
tenha solicitado. Esses e-mails so enviados para milhares de usurios
simultaneamente e podem provocar inconvenientes como: esgotamento
do espao na caixa postal do usurio, perda de tempo ao abrir mensagens
que no so de seu interesse, o contedo do spam pode ser ofensivo e
imprprio, dentre outros. Item ERRADO.
Item D. O termo hacker ganhou, junto opinio pblica influenciada
pelos meios de comunicao, uma conotao negativa, que nem sempre
corresponde realidade!!
Os hackers, por sua definio geral, so
aqueles que utilizam seus conhecimentos para invadir sistemas, no com
o intuito de causar danos s vtimas, mas sim como um desafio s suas
habilidades. Eles invadem os sistemas, capturam ou modificam arquivos
para provar sua capacidade e depois compartilham suas proezas com os
colegas. No tm a inteno de prejudicar, mas sim de apenas
demonstrar que conhecimento poder. Item ERRADO.
Item E. Esse item a resposta da questo e destaca o golpe do phishing
scam (tambm conhecido como phishing ou scam), muito cobrado nas
51/87

provas de concursos! Trata-se de um golpe em que iscas (e-mails) so
usadas para pescar informaes sensveis (senhas e dados financeiros,
por exemplo) de usurios da Internet.
O objetivo principal de um scammer (indivduo que implementa o golpe do
phishing scam) obter a autenticao. Isso quer dizer reunir as
informaes necessrias para se fazer passar pela vtima e obter alguma
vantagem financeira. Em seguida, aps obter os dados do carto de
crdito, por exemplo, o scammer poder fazer compras pela Internet,
realizar pagamentos e transferncias de dinheiro, entre outras aes.
Atualmente, este termo vem sendo utilizado tambm para se referir aos
seguintes casos:
mensagem que procura induzir o usurio instalao de cdigos
maliciosos, projetados para furtar dados pessoais e financeiros;
mensagem que, no prprio contedo, apresenta formulrios para o
preenchimento e envio de dados pessoais e financeiros de usurios.
Pelo boto
do Internet Explorer 7 aciona-se o menu Ferramentas que
permite configurar o Filtro de phishing (pode-se ativ-lo ou desativ-lo por
essa opo!). Ao clicar em Ativar Verificao Automtica de Site,
possvel configurar para que o Filtro de phishing seja ativado. Com essa
opo habilitada, receberemos um aviso quando um site de phishing (um
site mal-intencionado que tenta coletar informaes pessoais dos usurios
que o acessam) for carregado. Geralmente, os sites de phishing tentam se
passar por sites legtimos e idneos a fim de capturar os dados dos
internautas, tais como nmeros de cartes de crdito, dados da conta
bancria, etc.
GABARITO: letra E.
5. (FCC/2009/Oficial de Chancelaria/Adaptada) O Diretor de certo
rgo pblico incumbiu alguns funcionrios da seguinte tarefa:
Item Tarefa
72
Minimizar o risco de invaso de hackers nos computadores
conectados Internet.
Minimizar o risco de invaso mais garantido com:
a) a instalao de um firewall;
b) a execuo de um antivrus;
c) o estabelecimento de programas de orientao de segurana;
d) a gravao de arquivos criptografados;
e) a utilizao de certificao digital.
Comentrios
Item A. O firewall permite a comunicao entre redes, de acordo com a
poltica de segurana definida, e que utilizado quando h uma
necessidade de que redes com nveis de confiana variados se
comuniquem entre si.
52/87

No contexto da questo, o firewall um sistema de proteo de uma rede

que controla todos os dados que entram ou saem dela e da Internet.
Apenas os sites autorizados podem enviar ou receber dados dessa rede.
Assim, aumenta-se a segurana, dificultando a ao de hackers e
crackers. Item CERTO. a resposta da questo!
Item B. A melhor maneira de se proteger uma rede ou um computador de
vrus utilizar um bom programa antivrus e mant-lo sempre atualizado,
pois a cada dia surgem novas ameaas. A atualizao um processo
realizado pelo antivrus, pelo qual o aplicativo acessa o site da empresa
que o fabricou e faz o download dos arquivos que protegem o computador
das ameaas mais recentes. Item ERRADO.
Item C. Os programas de orientao de segurana servem para realizar a
conscientizao dos usurios quanto s boas prticas de segurana. Mas
precisamos completar tal prtica com os recursos tecnolgicos (uso de
firewalls, etc.) para que tenhamos um ambiente mais seguro contra
invases. Item ERRADO.
Item D. A criptografia a cincia e arte de escrever mensagens em
forma cifrada ou em cdigo. Portanto, cabe destacar que a principal
finalidade da criptografia , sem dvida, reescrever uma mensagem
original de uma forma que seja incompreensvel, para que ela no seja
lida por pessoas no autorizadas. E isso no suficiente para impedir a
invaso de redes. Item ERRADO.
Item E. A certificao digital no contribui para minimizar o risco de
invaso. Seu objetivo principal atribuir um nvel de maior segurana nas
transaes eletrnicas tais como Internet Banking, comrcio eletrnico (ecommerce), dentre outros. Item ERRADO.
GABARITO: letra A.
6. (FCC/2010/DNOCS/ADMINISTRADOR/ PROVA A01-001-Q. 58)
Prestam-se a cpias de segurana (backup)
(A) quaisquer um destes: DVD; CD-ROM; disco rgido externo ou cpia
externa, quando os dados so enviados para um provedor de servios
via internet.
(B) apenas estes: CD-ROM; disco rgido e cpia externa, quando os
dados so enviados para um provedor de servios via internet.
(C) apenas estes: DVD, CD-ROM e disco rgido externo.
(D) apenas estes: CD-ROM e disco rgido externo.
(E) apenas estes: DVD e CD-ROM.
53/87

Comentrios
Um backup envolve cpia de dados em um meio separado do original,
regularmente, de forma a proteg-los de qualquer eventualidade.
Dentre os meios que podem ser utilizados para a realizao do backup
merecem destaque: DVD; CD-ROM; disco rgido externo ou cpia externa,
quando os dados so enviados para um provedor de servios via internet
ou para algum outro computador de uma rede corporativa, dentre outros.
GABARITO: letra A.
7. (FCC/2010/DNOCS/AGENTE ADMINISTRATIVO/Q. 55-E.05) No
Windows, a possibilidade de controlar e reverter alteraes perigosas
no computador pode ser feita por meio da restaurao do sistema.
Comentrios
A restaurao do sistema um recurso do Windows que permite que
sejam estabelecidos pontos de restaurao do sistema. Assim, caso o
usurio, por qualquer motivo, queira voltar o computador para o estado
em que ele se encontrava em um ponto de restaurao, basta acionar a
Restaurao do sistema. O Windows desinstalar eventuais programas
que tenham sido instalados no perodo e retornar configuraes
porventura alteradas sem, no entanto, excluir dados ou arquivos salvos no
disco rgido. Dessa forma, pode-se controlar e reverter alteraes
perigosas no computador!!
GABARITO: item certo.
no computador pode ser feita por meio das atualizaes automticas.
Comentrios
As atualizaes automticas iro atuar sobre as atualizaes de
segurana do sistema operacional Windows, e no esto relacionadas ao
desejado na questo.
GABARITO: item errado.
no computador pode ser feita por meio do gerenciador de dispositivos.
Comentrios
O gerenciador de dispositivos fornece
dispositivos instalados no seu computador.
informaes
sobre
os
54/87

10. (FCC/2009/Oficial de Chancelaria/Adaptada) O Diretor de um
certo rgo pblico incumbiu alguns funcionrios da seguinte tarefa:
Item
5
Tarefa
Garantir que a maior parte dos dados gravados
computadores no seja perdida em caso de sinistro.
nos
Tal garantia possvel se forem feitas cpias dos dados:

a) aps cada atualizao, em mdias removveis mantidas nos prprios
computadores;
b) em arquivos distintos nos respectivos hard disks, desde que estes
dispositivos sejam desligados aps o expediente;
c) em arquivos distintos nos respectivos hard disks, desde que estes
dispositivos permaneam ligados ininterruptamente;
d) aps cada atualizao, em mdias removveis mantidas em local
distinto daquele dos computadores;
e) da poltica de segurana fsica.
Comentrios
Backup refere-se cpia de dados de um dispositivo para o outro com o
objetivo de posteriormente os recuperar, caso haja algum problema. Essa
cpia pode ser realizada em vrios tipos de mdias, como CDs, DVSs, fitas
DAT, pendrives, etc., de forma a proteg-los de qualquer eventualidade.
Nesse caso, o backup (cpia de segurana) dos dados deveria ser feito
aps cada atualizao, em mdias removveis mantidas em um local
distinto daquele dos computadores. Se a cpia dos dados fosse realizada
no mesmo HD (disco rgido), voc ficaria impossibilitado de recuperar as
informaes em caso de falhas da mquina em questo. Tambm as
mdias de backup devem ser armazenadas em local distinto daquele em
que os dados foram obtidos.
Gabarito: letra D.
11. (FCC/2009/MPSED/Analista do Ministrio Pblico/Analista
de Sistemas) Um convite via e-mail, em nome de uma instituio
governamental, para ser intermedirio em uma transferncia
internacional de fundos de valor vultoso, em que se oferece um ganho
percentual do valor, porm se exige uma quantia antecipada para
gastos com advogados, entre outros (ex.: o golpe da Nigria), de
acordo com o CGI.br, classificado como:
a) spyware;
b) hoax;
c) scam;
d) backdoor;
e) spam.
55/87

Comentrios
Item A. Spyware um programa que tem por finalidade monitorar as
atividades de um sistema e enviar as informaes coletadas para
terceiros. O CGI.br (Comit Gestor da Internet no Brasil) destaca que os
spywares podem ser utilizados de forma legtima, mas, na maior parte das
vezes, o seu uso feito de maneira dissimulada, no autorizada e para
fins maliciosos. Item ERRADO.
Item B. Os hoaxes (boatos) so e-mails que possuem contedos
alarmantes ou falsos e que, geralmente, tm como remetente ou apontam
como autor da mensagem alguma instituio, empresa importante ou
rgo governamental. Por meio de uma leitura minuciosa deste tipo de email, normalmente, possvel identificar em seu contedo mensagens
absurdas e muitas vezes sem sentido. Em geral, propagam-se pela boa
vontade e solidariedade de quem os recebe. Isso ocorre, muitas vezes,
porque aqueles que os recebem confiam no remetente da mensagem; no
verificam a sua procedncia; no checam a veracidade do seu contedo.
Item ERRADO.
Item C. Scam (tambm conhecido como phishing ou phishing scam)
foi um termo criado para descrever o tipo de fraude que se d por meio do
envio de mensagem no solicitada, que se passa por comunicao de uma
instituio conhecida, como um banco, rgo do governo (Receita Federal,
INSS e Ministrio do Trabalho so os mais comuns) ou site popular, e que
procura induzir o acesso a pginas fraudulentas (falsificadas), projetadas
para furtar dados pessoais e financeiros de usurios desavisados. Item
CERTO.
Item D. O termo backdoor utilizado para fazer referncia a
determinados programas de computador que permitem o retorno de um
invasor a um computador comprometido, utilizando servios criados ou
modificados para este fim. Um backdoor normalmente disfarado, e
chega ao computador da vtima sem seu conhecimento por algum
programa que o usurio recebeu, geralmente por e-mail, e executou.
Muitos crackers utilizam-se de um backdoor para instalar vrus de
computador ou outros programas maliciosos, conhecidos como malware,
na mquina do usurio. Item ERRADO.
Item E. Spam o termo usado para se referir aos e-mails no solicitados,
que geralmente so enviados para um grande nmero de pessoas. Item
ERRADO.
GABARITO: letra C.
de Sistemas) Consiste em um conjunto de computadores
interconectados por meio de uma rede relativamente insegura que
56/87

utiliza a criptografia e protocolos especiais para fornecer segurana.
Esta uma conceituao bsica para:
a) rede privada com comunicao criptogrfica simtrica;
b) canal privado de comunicao assimtrica;
c) canal privado de comunicao sncrona;
d) rede privada com autenticao digital;
e) rede privada virtual.
Comentrios
Uma VPN (Virtual Private Network Rede Privada Virtual) uma
rede privada (no de acesso pblico!) que usa a infraestrutura de uma
rede pblica j existente (como, por exemplo, a Internet) para transferir
seus dados (os dados devem estar criptografados para passarem
despercebidos e inacessveis pela Internet).
As VPNs so muito utilizadas para interligar filiais de uma mesma
empresa, ou fornecedores com seus clientes (em negcios eletrnicos),
por meio da estrutura fsica de uma rede pblica.
O trfego de dados levado pela rede pblica utilizando protocolos no
necessariamente seguros. VPNs seguras usam protocolos de criptografia
por tunelamento, que fornecem confidencialidade (sigilo), autenticao e
integridade necessrias para garantir a privacidade das comunicaes
requeridas. Quando adequadamente implementados, esses protocolos
podem assegurar comunicaes seguras por meio de redes inseguras.
GABARITO: letra E.
13. (FCC/2009/TJ-PI/Analista Judicirio/Adaptada)
Para responder questo, considere os dados abaixo.
Instruo:
Item Tarefa
VII
Proceder, diariamente, cpia de segurana dos dados em
fitas digitais regravveis (algumas comportam at 72 GB de
capacidade) em mdias alternadas para manter a segurana e
economizar material.
No item VII recomendado o uso de mdias conhecidas por:
a) FAT32;
b) FAT;
c) NTSF;
d) DAT;
e) DVD+RW.
Comentrios
Esse item da FCC no trouxe maiores dificuldades. Dentre as alternativas,
podemos destacar que FAT32 e FAT so sistemas de arquivos, portanto as
opes a e b j no atendem aos requisitos da questo.
57/87

O termo NTSF deveria ter sido escrito como NTFS, para corresponder a
um tipo de sistema de arquivos, mas que tambm no atenderia
questo.
O DVD+RW uma mdia que nos permite armazenamento ptico de
dados.
Para a realizao da cpia de segurana (backup) dos dados em fitas
digitais regravveis, utilizamos fitas DAT. A nica alternativa que destaca
a mdia conhecida por DAT a letra D, que a resposta da questo. A fita
DAT (Digital Audio Tape), com capacidade em mdia de armazenamento
na faixa de 2 a 72 GB, mais voltada para o mercado corporativo,
portanto, comum que existam solues quase que personalizadas de
formatos e equipamentos de gravao e leitura de fitas.
GABARITO: letra D.
de Sistemas) um programa capaz de se propagar automaticamente,
explorando vulnerabilidades existentes ou falhas na configurao de
softwares instalados em um computador. Dispe de mecanismos de
comunicao com o invasor, permitindo ser controlado remotamente.
Tais so as caractersticas do:
a) adware
b) patch
c) opt-out
d) bot
e) log
Comentrios
Ameaa algo que pode provocar danos segurana da informao,
prejudicar as aes da empresa e sua sustentao no negcio, mediante a
explorao de uma determinada vulnerabilidade (brecha de segurana!).
Nesse contexto, a questo destaca um tipo de ameaa que se enquadra
na categoria dos malwares.
Mas o que significa malware, que j foi cobrado vrias vezes em provas?
O termo proveniente de malicious software, software designado a se
infiltrar em um sistema de computador alheio de forma ilcita com o
intuito de causar algum dano ou roubo de informaes. Tambm pode ser
considerado malware uma aplicao legal que, por uma falha de
programao (intencional ou no), execute funes que se enquadrem na
definio.
Resumindo,
malwares
so
programas
que
executam
deliberadamente aes mal-intencionadas em um computador!
Vamos aos comentrios de cada item da questo!
58/87

Item A. O termo adware (advertising software) um software
projetado para exibir anncios de propaganda em seu computador. Nem
sempre so maliciosos! Um adware malicioso pode abrir uma janela do
navegador apontando para pginas de cassinos, vendas de remdios,
pginas pornogrficas, etc. Item ERRADO.
Item B. O termo patch utilizado para designar uma atualizao de
segurana, que pode vir a ser instalada em seu computador. Item
ERRADO.
Item C. O termo opt-out est relacionado s regras referentes ao envio,
por correio electrnico, de mensagens informativas associadas a
campanhas de marketing, sem que os destinatrios particulares as
tenham solicitado. Item ERRADO.
Item D. Os bots so cdigos maliciosos destinados a explorar falhas em
sistemas, possuindo mecanismos para controle remoto da mquina
infectada. Item CERTO.
Item E. O termo log usado para definir um procedimento atravs do
qual feito um registro de eventos relevantes que foram executados por
um usurio de determinado sistema computacional. Dessa forma, um
arquivo de log permite que sejam reveladas as aes que foram
executadas pelo usurio, viabilizando a identificao e correo rpidas de
falhas que porventura foram identificadas! Item ERRADO.
GABARITO: letra D.
15. (FCC/2008/TCE-SP/Adaptada) Em relao a Certificado Digital,
correto afirmar que:
[os certificados servem para garantir a segurana dos dados enviados
via upload].
Comentrios
A afirmativa est ERRADA. Quanto aos objetivos do certificado digital,
podemos destacar:
vincular uma chave pblica a um titular (esse o objetivo
principal!);
transferir credibilidade, que hoje baseada em papel e
conhecimento, para o ambiente eletrnico;
assinar digitalmente um documento eletrnico, atribuindo validade
jurdica a ele.
A estrutura de um certificado digital contm os elementos identificados no
quadro a seguir:
Quadro: Elementos identificados na estrutura de um certificado digital
59/87

Verso
Nmero de srie
Nome do titular
Chave pblica do
titular
Perodo de
validade
Nome do emissor
Assinatura do
emissor
Algoritmo de
assinatura do
emissor
Extenses
Indica qual formato de certificado

est sendo seguido
Identifica unicamente um certificado dentro
do escopo do seu emissor.
Nome da pessoa, URL ou demais informaes
que esto sendo certificadas.
Informaes da chave pblica do titular.
Data de emisso e expirao.
Entidade que emitiu o certificado.
Valor da assinatura digital feita pelo emissor.
Identificador dos algoritmos de hash +
assinatura utilizados pelo emissor para
assinar o certificado.
Campo opcional para estender o certificado.
Um exemplo:

so plugins que definem a qualidade criptogrfica das informaes que
trafegam na WWW.
Comentrios
A afirmativa est errada. O plug-in um software que adiciona recursos
computacionais a um cliente ou browser da WWW. A maioria dos plug-ins
60/87

est disponvel gratuitamente na prpria Internet. necessrio, por
exemplo, que o usurio instale um plug-in para poder visualizar
videoclipes em MPG (ou MPEG).
17. (FCC/2008/ICMS-SP) Um cdigo anexado ou logicamente
associado a uma mensagem eletrnica que permite, de forma nica e
exclusiva, a comprovao da autoria de um determinado conjunto de
dados :
a) uma autoridade certificadora;
b) uma trilha de auditoria;
c) uma chave simtrica;
d) uma assinatura digital;
e) um certificado digital.
Comentrios
O que garante a comprovao da autoria de um determinado conjunto de
dados a assinatura digital. O certificado digital usado para assinar!
GABARITO: letra D.
18. (FCC/2007/Cmara dos Deputados) Um certificado digital :
I Um arquivo eletrnico que contm a identificao de uma pessoa ou
instituio.
II Equivalente ao RG ou CPF de uma pessoa.
III O mesmo que uma assinatura digital.
Est correto o que consta em:
a) I apenas;
b) III apenas;
c) I e II apenas;
d) I e III apenas;
e) I, II e III.
Comentrios
Item I. Um certificado digital um documento eletrnico que identifica
pessoas (fsicas ou jurdicas), URLs, contas de usurio, servidores
(computadores), entre outras entidades. Esse documento, na verdade,
uma estrutura de dados que contm a chave pblica do seu titular e
outras informaes de interesse. Item CERTO.
Item II. O certificado digital contm informaes relevantes para a
identificao real da entidade que visam certificar (CPF, CNPJ, endereo,
nome, etc.) e informaes relevantes para a aplicao a que se destinam.
Item CERTO.
Item III. O certificado digital no o mesmo que assinatura digital! Com o
uso de um certificado digital pode-se assinar uma mensagem. A
61/87

assinatura digital um processo matemtico para atestar a autenticidade
de informaes digitais, como uma mensagem de e-mail ou um arquivo,
por exemplo. A assinatura digital utiliza-se de chaves pblicas e privadas,
tambm, assim como a criptografia assimtrica, mas as usa de forma
invertida (o remetente usa sua chave privada para assinar a mensagem
e, no outro lado, o destinatrio usa a chave pblica do remetente para
conferir a assinatura). Item ERRADO.
Como esto certos apenas os itens I e II, a resposta est na alternativa C.
GABARITO: letra C.
19. (FCC/2006/TRT-SP/ANALISTA JUDICIRIO-Adaptada) So
termos respectiva e intrinsecamente associados tipologia conhecida
de malware, servio de Internet e mensagens enviadas em massa por
meio de correio eletrnico:
(A) Telnet, chat e host.
(B) Spyware, Cavalo de Troia e hoax.
(C) Shareware, FTP e spam.
(D) Cavalo de Troia, chat e spam.
(E) Middleware, FTP e hoax.
Comentrios
Malwares so programas que manifestam comportamento ilegal, viral,
fraudulento ou mal-intencionado. Dentre os tipos de malware podemos
destacar os vrus, worms (vermes), cavalos de troia, etc.
O cavalo de troia um programa aparentemente inofensivo que, quando
executado (com a sua autorizao!), parece lhe divertir, mas, por trs
abre portas de comunicao do seu computador para que ele possa ser
invadido.
Algumas das funes maliciosas que podem ser executadas por um cavalo
de troia so: furto de senhas e outras informaes sensveis, como
nmeros de cartes de crdito; incluso de backdoors, para permitir que
um atacante tenha total controle sobre o computador; alterao ou
destruio de arquivos; etc.
O chat (bate-papo) um dos principais servios (operaes que podemos
realizar) na Internet.
E, por fim, o spam um tipo de mensagem recebida pelo usurio sem que
ele tenha solicitado, que enviada em massa por meio do correio
eletrnico.
GABARITO: letra D.
20. (FCC/2003/TRF-5. Regio/Analista de Informtica) Os
algoritmos de criptografia assimtricos utilizam:
a) uma mesma chave privada, tanto para cifrar quanto para decifrar;
62/87

b) duas chaves privadas diferentes, sendo uma para cifrar e outra para
decifrar;
c) duas chaves pblicas diferentes, sendo uma para cifrar e outra para
decifrar;
d) duas chaves, sendo uma privada para cifrar e outra pblica para
decifrar;
e) duas chaves, sendo uma pblica para cifrar e outra privada para
decifrar.
Comentrios
Algoritmos de criptografia assimtricos (criptografia de chave
pblica) utilizam chaves criptogrficas diferentes, uma pblica e outra
privada. A pblica a chave que o remetente utiliza para cifrar a
mensagem. A privada a chave que o destinatrio usa para decifrar
(decriptografar) a mensagem. bom lembrar que as duas chaves so do
destinatrio da mensagem! A chave pblica deve ser disponibilizada para
quem quiser criptografar as mensagens destinadas a ele.
GABARITO: letra E.
21. (FCC/2003/TRF 5 REGIO/TCNICO DE INFORMTICA) Um
mecanismo muito usado para aumentar a segurana de redes de
computadores ligadas Internet
(A) o firewall.
(B) a criptografia.
(C) a autenticao.
(D) a assinatura digital.
(E) o controle de acesso.
Comentrios
Essa pode ser uma questo de resoluo complexa para quem no se
preparou, afinal, todas as alternativas trazem conceitos relacionados
segurana. Entretanto, podemos facilmente separar as coisas. Em
primeiro lugar, o enunciado fala em segurana de redes de computadores.
E mais: fala que os computadores esto ligados internet. Pois bem.
Criptografia, autenticao e assinatura digital so conceitos relacionados
segurana, mas que no esto necessariamente relacionados redes de
computadores e internet. Quer dizer, so tecnologias que tambm tm
uso em dispositivos no conectados em rede.
De forma semelhante, o controle de acesso tambm uma medida de
segurana que no tem relao direta com redes de computadores ou
internet. O controle de acesso, seja fsico ou lgico, uma medida que
deve ser tomada em qualquer instncia, como, por exemplo, para acessar
o sistema operacional de nosso PC domstico.
A resposta correta firewall, visto que se trata de uma ferramenta
especificamente desenvolvida para agregar segurana a redes de
computadores, especialmente os ligados internet.
63/87

GABARITO: letra A.
22. (FCC/2004/TRT 8. REGIO/TCNICO ADMINISTRATIVO)
Para evitar a perda irrecupervel das informaes gravadas em um
computador e proteg-las contra acesso no autorizado, necessrio
que se adote, respectivamente, as medidas inerentes s operaes de
(A) backup dos arquivos do sistema operacional e configurao de
criptografia.
(B) checkup dos arquivos do sistema operacional e inicializao da rede
executiva.
(C) criptografia de dados e inicializao da rede privativa.
(D) backup de arquivos e uso de senha privativa.
(E) uso de senha privativa e backup dos arquivos do sistema operacional.
Comentrios
A questo pede medidas de segurana relativas a duas situaes:
proteo contra perda irrecupervel de informaes (dados) e proteo
contra acesso no autorizado.
A primeira situao deve ser abordada com polticas adequadas de
backup. Logicamente se precisamos guardar informaes gravadas, no
fazemos backup dos arquivos do sistema operacional (arquivos de
programas e configuraes), mas dos arquivos de dados (documentos,
imagens, vdeos etc).
Isso j suficiente para marcarmos a alternativa D, que traz, em seguida,
a abordagem para a segunda situao: uso de senha privativa.
GABARITO: letra D.
Um ....... efetivamente coloca uma barreira entre a rede corporativa e o
lado externo, protegendo o permetro e repelindo hackers. Ele age como
um nico ponto de entrada, atravs do qual todo o trfego que chega pela
rede pode ser auditado, autorizado e autenticado.
Completa corretamente a lacuna acima:
(A) firewall.
(B) antivrus.
(C) servidor Web.
(D) servidor de aplicativos.
(E) browser.
Comentrios
Uma barreira entre a rede corporativa (ou domstica, tanta faz) e o lado
externo um Firewall. Importante notar, como exposto no enunciado, que
um Firewall deve ser o nico ponto de entrada do computador, condio
sem a qual ele no poderia ser eficaz.
64/87

Percebam que a FCC utilizou o termo hacker como sinnimo de cracker,
que o hacker que usa seus conhecimentos para atos ilcitos. Como vimos
no incio da aula, os examinadores nem sempre fazem essa diferenciao.
A nica alternativa que poderia confundir os mais desavisados a que
traz antivrus. Basta nos lembrarmos que antivrus no tm relao
necessria com redes de computadores. Antivrus, por exemplo, protegem
nossos computadores de vrus que estejam escondidos em disquetes ou
CDs, coisa que o Firewall no faz.
Cabe notar que muitos dos softwares antivrus atuais trazem Firewalls
integrados. Contudo, as duas aplicaes no se confundem, pois cada qual
desempenha suas tarefas especficas.
GABARITO: letra A.
24. (FCC/2004/TRT 8. REGIO/TCNICO ADMINISTRATIVO) As
ferramentas antivrus
(A) so recomendadas apenas para redes com mais de 100 estaes.
(B) dependem de um firewall para funcionarem.
(C) podem ser utilizadas independente do uso de um firewall.
(D) e um firewall significam a mesma coisa e tm as mesmas funes.
(E) devem ser instaladas somente nos servidores de rede e no nas
estaes de trabalho.
Comentrios
Cabe destacar que softwares antivrus e firewalls no se confudem, apesar
de muitas vezes virem integrados em uma s ferramenta.
Vejamos as alternativas:
Item A. Antivrus so recomendados at mesmo para um micro isolado!
Se fosse assim, os antivrus no precisavam existir antes da exploso da
Internet. Entretanto, sabemos que os vrus j se espalhavam,
principalmente por meio dos disquetes, muito antes da Internet se tornar
popular. Item ERRADO.
Item B. Antivrus no dependem de firewall para funcionarem. Item
ERRADO.
Item C. Os mais atentos j notaram que as alternativas B e C so opostas
e, portanto, excludentes. Assim, ou uma delas seria a resposta da questo
ou a questo estaria viciada e passvel de recurso. Como antivrus podem
ser utilizadas independente do uso de um firewall, essa a alternativa
CORRETA.
Item D. Antivrus e Firewall no so a mesma coisa. Item ERRADO.
Item E. Antivrus devem estar instalados em todos os computadores, ou
seja, nos servidores e nas estaes de trabalho. Item ERRADO.
65/87

GABARITO: letra C.
25. (FCC/2004/TRT 8. Regio/Tcnico Administrativo) Uma
Intranet utiliza a mesma tecnologia ....I.... e viabiliza a comunicao
interna e restrita entre os computadores de uma empresa ou rgo que
estejam ligados na rede. Na Intranet, portanto, ....II.... e o acesso s
pginas .....III.... .
Preenche corretamente as lacunas I, II e III acima:
Comentrios
Essa questo necessita de noes de rede, internet e segurana. Vimos
que o que caracteriza uma intranet a utilizao das tecnologias usadas
pela internet, porm em um ambiente restrito. Ficamos ento com as
alternativas A e D.
Numa intranet, intruses e vrus so possveis, afinal, para ser infectado
por um vrus, basta um inocente disquete contaminado.
Minha ressalva para essa questo fica para o trecho que define um
browser como um interpretador de comandos. Nunca vi uma definio to
ruim de um navegador web. De qualquer forma, na falta de uma
alternativa melhor, ficamos com a A mesmo.
GABARITO: letra A.
66/87

26. (FCC/2005/TRT 13 regio/Analista de Sistemas) Uma
combinao de hardware e software que fornece um sistema de
segurana, geralmente para impedir acesso externo no autorizado a
uma rede interna ou intranet. Impede a comunicao direta entre a
rede e os computadores externos ao rotear as comunicaes atravs
de um servidor proxy fora da rede. Esta a funo de
(A) sistema criptogrfico.
(B) hub.
(C) antivirus.
(D) bridge.
(E) firewall.
Comentrios
Mais uma questo da FCC trazendo, bem ou mal, a definio de um
firewall. Hub e bridge so equipamentos de hardware utilizados em redes
de computadores, no tm funes de segurana. Sistema criptogrfico
no tem relao direta com redes, intranet e internet.
Restam-nos os velhos conhecidos antivrus e Firewall, que j estamos
craques em diferenciar.
GABARITO: letra E.
27. (FCC/2003/TRF 5. REGIO/TCNICO DE INFORMTICA)
Pessoa que quebra intencional e ilegalmente a segurana de sistemas de
computador ou o esquema de registro de software comercial denomina-se
(A) hacking.
(B) hacker.
(C) cracking.
(D) cracker.
(E) finger.
Comentrios
Infelizmente a distino entre hacker e cracker nem sempre
estabelecida nas questes de concurso. Essa questo, provavelmente por
ser direcionada a cargo da rea de informtica, explorou justamente essa
diferena. No caso, refere-se a um cracker, pessoa que quebra intencional
e ilegalmente a segurana de sistemas de computador.
GABARITO: letra D.
28. (CONSULPLAN 2011 Mun. Londrina/PR Analista
Sistemas Servio Anlise Informtica) So consideradas pragas
digitais, EXCETO:
a) Cavalos-de-Troia.
b) MalwareBytes.
c) Worm.
d) KeyLoggers.
e) Hijackers.
67/87

Comentrios
No existem MalwareBytes. Foi uma juno das palavras Malware
(software malicioso) e Byte (unidade de medida de memria).
Gabarito: B.
29. (CONSULPLAN 2008 Cons. Reg. Enfermagem/MG
Analista de Sistemas) Qual a melhor definio para o tipo de ataque
do tipo Phishing?
a) Vrus enviado por e-mail que pesca arquivos do disco rgido do
computador infectado.
b) E-mail contendo um programa que permite acesso de outros
computadores ao computador infectado.
c) E-mail contendo link para uma pgina falsa de um banco para obter
as senhas de acesso conta bancria.
d) Ataque realizado por outro computador para roubar arquivos do
disco rgido.
e) Vrus enviado por programas P2P que copiam arquivos locais do
Comentrios
O ataque do tipo Phishing tenta enganar o usurio por meio de uma
pgina falsa. Imaginando estar em um ambiente seguro e conhecido o
usurio acaba fornecendo seus dados para o sistema malicioso. como
em uma pescaria (fishing) onde os usurios so os peixes.
Por isso, normalmente enviado um link para uma pgina falsa por meio
de correio eletrnico.
Gabarito: C.
30. (CONSULPLAN 2011 Cons. Fed. Enfermagem (COFEN) Analista de Suporte) Assinale o nome dado para coleo de
ferramentas que cria uma entrada alternativa no sistema, inclusive
interceptando o trfego de senhas e mensagens:
a) Worm.
b) Backdoors.
c) Spyware.
d) Rootkit.
e) Adware.
Comentrios
O nome da coleo de ferramentas para acessar o sistema Rootkit (kit
do root). Lembre-se de que root o nome do superusurio dos sistemas,
especialmente do sistema do tipo unix ou linux. Ento, um rootkit um kit
de ferramentas para conseguir acesso de root (ou aes permitidas ao
usurio root) em sistemas operacionais.
Gabarito: D.
31. (CONSULPLAN 2011 Cons. Fed. Enfermagem (COFEN)
Webdesigner) Com relao a Ataques DoS (Denial of Service) e DDoS
(Distributed DoS), analise:
68/87

I. Os ataques DoS (Denial of Service), so tambm denominados
Ataques de Negao de Servios.
II. Ataques DoS consistem em tentativas de impedir que usurios
legtimos utilizem determinados servios de um computador ou de um
grupo de computadores.
III. DDoS, sigla para Distributed Denial of Service, um tipo de ataque
DoS de grandes dimenses, ou seja, que utiliza at milhares de
computadores para atacar uma determinada mquina.
Esto corretas apenas as afirmativas:
a) I, II, III
b) I, II
c) II, III
d) I, III
e) N.R.A.
Comentrios
Todas as afirmativas esto corretas. O DoS procura impedir que um
determinado servio possa ser utilizado por usurios legtimos. A este
ataque damos o nome de Negao de Servios. A forma distribuda deste
ataque utiliza diversos computadores para atacar o servio pretendido.
Gabarito: A.
Webdesigner) Com relao aos conceitos de vrus, worms, cavalos de
troia, analise:
I. Um vrus um cdigo de computador que se anexa a um programa
ou arquivo para poder se espalhar entre os computadores, infectandoos medida que se desloca. Os vrus podem danificar software,
hardware e arquivos.
II. Um worm, assim como um vrus, cria cpias de si mesmo de um
computador para outro, mas faz isso automaticamente. Primeiro, ele
controla recursos no computador que permitem o transporte de
arquivos ou informaes. Depois que o worm contamina o sistema, ele
se desloca sozinho. O grande perigo dos worms a sua capacidade de
se replicar em grande volume.
III. O cavalo de troia (uma subclasse de vrus), geralmente se alastra
sem a ao do usurio e distribui cpias completas (possivelmente
modificadas) de si mesmo atravs das redes. Um cavalo de troia pode
consumir memria e largura de banda de rede, o que pode travar o seu
computador. So programas que no tm influncia em diretivas e
direitos de acesso externo, agem como disseminadores de cdigos que
danificam o funcionamento do Sistema Operacional.
Est(o) correta(s) apenas a(s) afirmativa(s):
a) I, II, III
b) I, II
c) II, III
d) I
e) III
Comentrios
69/87

Somente o item III est incorreto. O Cavalo-de-troia no um tipo de
vrus. Ele no se reproduz sem a ao do usurio. bem possvel que o
cavalo-de-troia consuma uma parte da largura de banda da conexo com
a rede, mas isto no levaria o computador a travar. Alm disso, o objetivo
dele permitir o acesso de pessoas no autorizadas por meio de brechas
criadas pelo prprio programa.
Gabarito: B.
33. (CONSULPLAN 2009 Comp. Esprito Santense Saneamento
(CESAN) - Analista Sistemas de Saneamento / Pesquisa e
Desenvolvimento) NO relevante para a segurana e integridade
no uso da Internet:
a) No instalar executveis de origem duvidosa.
b) Tomar cuidados com a utilizao de redes P2P (Emule, Kazaa etc).
c) No acessar sites de busca na Internet.
d) No utilizar a Internet para downloads de cracks para burlar licenas
oficiais de software.
e) Usar corretamente as configuraes de segurana do navegador.
Comentrios
Uma das grandes disseminadoras dos programas maliciosos a instalao
de programas de origem duvidosa. Ento, boas prticas contra os
sistemas indesejados nos levam a no instalar programas desconhecidos
ou de fontes duvidosas. bom lembrar que programas obtidos por meio
de sistemas de troca de arquivos (P2P, sites de download etc) so
considerados programas com alto grau de risco. Nesta categoria
encontramos os cracks e geradores de licenas. Finalmente, estabelecer
boas configuraes de segurana nos navegadores e sistemas que
acessam a Internet importante, ao passo que acessar sites de busca no
uma medida eficaz para reduzir o risco de contaminao.
Gabarito: C.
34. (CONSULPLAN 2006 Centro Federal de Educao
Tecnolgica Celso Suckow da Fonseca/RJ - Administrador) So
opes de proteo contra perda de dados ocasionados por vrus,
EXCETO:
a) Instalao de antivrus, mantendo-o atualizado.
b) Instalao de um Firewall.
c) Fazer um Backup do sistema regularmente.
d) Reinstalao do Sistema Operacional.
e) No acessar disquetes de uso desconhecido.
Comentrios
Reinstalar o Sistema Operacional no garante a eliminao do vrus. Alis,
a simples reinstalao mantm os arquivos e programas (excetuando os
programas do sistema) e, dessa forma, pode manter o vrus funcionando
normalmente.
O melhor mesmo evitar a contaminao instalando um sistema de
proteo (antivrus e firewall, por exemplo) e manter este sistema
atualizado. Alm disso, a realizao de backups permitir a recuperao
70/87

dos dados em caso de contaminao e no utilizar mdias desconhecidas
ajuda na preveno.
Gabarito: D.
35. (CONSULPLAN 2011 Municpio de Londrina/PR Administrador) Segurana da informao a proteo de um
conjunto de dados, no sentido de preservar o valor que possuem para
um indivduo ou organizao. O conceito de Segurana da Informtica
ou Segurana de Computadores est intimamente relacionado ao de
Segurana da Informao, incluindo no apenas a segurana dos
dados/informao, mas tambm a dos sistemas em si. Os principais
atributos que orientam a anlise, o planejamento e a implementao
da segurana para um grupo de informaes que se deseja proteger
so:
a) Confidencialidade, Integridade, Disponibilidade.
b) Confidencialidade, Persistncia, Disponibilidade.
c) Consistncia, Integridade, Disponibilidade.
d) Confidencialidade, Integridade, Durabilidade.
e) Confiabilidade, Integridade, Disponibilidade.
Comentrios
Vamos usar o mnemnico CID(A). Os trs princpios bsicos so:
Confidencialidade, Integridade e Disponibilidade. Acrescente-se ao este
trio a Autenticidade.
Gabarito: A.
Webdesigner) A utilizao de chaves em algoritmos de criptografia
assimtricos definida como:
a) Uma mesma chave privada, tanto para cifrar quanto para decifrar.
b) Duas chaves privadas diferentes, sendo uma para cifrar e outra para
decifrar.
c) Duas chaves pblicas diferentes, sendo uma para cifrar e outra para
decifrar.
d) Duas chaves, sendo uma privada para cifrar e outra pblica para
decifrar.
e) Duas chaves, sendo uma pblica para cifrar e outra privada para
decifrar.
Comentrios
Falou em assimtrico falou em duas chaves distintas (no simtricas).
Bom, se temos duas chaves, ento temos uma chave secreta ou provada
e outra pblica. Utilizamos uma delas para cifrar a mensagem e a outra
para decifrar.
Depois que a mensagem cifrada com uma destas chaves, somente a
chave parceira conseguir decifrar.
Da, se algum quer enviar uma mensagem que s eu possa decifrar, ele
dever cifrar a mensagem com minha chave pblica (somente eu tenho
acesso chave secreta).
71/87

Se, por outro lado, eu quero que todos vejam a mensagem, mas quero
garantir que saibam que foi eu quem escreveu, ento uso minha chave
secreta para cifrar. Todos possuem acesso chave pblica e sero
capazes de decifrar, mas como somente a minha chave pblica poder
fazer a operao, sabero que eu fui o autor da cifragem.
O detalhe importante para resolver a questo que o padro que as
pessoas enviem mensagens privadas secretas, ou seja, que utilizem a
chave pblica para cifrar e a chave privada para decifrar. Esta a
segurana do tipo confidencialidade (sigilo). A operao inversa a
autenticidade. A integridade faz parte das duas operaes, pois somente
ser possvel decifrar se a mensagem estiver ntegra.
Gabarito: E.
37. (CONSULPLAN 2010 Pref. Mun. So Jos de Ub/RJ Digitador) Cpia de segurana a cpia de dados de um dispositivo
de armazenamento a outro, para que possam ser restaurados, em caso
da perda, os dados originais, envolvendo apagamentos acidentais ou
corrupo de dados. Este recurso tambm conhecido como:
a) Safety Files.
b) Restore.
c) Backup.
d) Browse.r
e) Arquivos ocultos.
Comentrios
A cpia de segurana o que chamamos de Backup.
Gabarito: C.
38. (CONSULPLAN 2006 Indstrias Nucleares Brasileiras SA
(INB) Administrador) O utilitrio de Backup (cpia de segurana)
No Windows XP geralmente gera um arquivo na extenso:
a) .exe
b) .zip
c) .win
d) .bkf
e) .cop
Comentrios
O Windows gera um arquivo com extenso .bkp.
O Windows 7 oferece as seguintes ferramentas.
Ferramenta
Descrio
Backup
do O Backup do Windows permite fazer cpias dos
arquivo
arquivos de dados para todas as pessoas que usam
o computador.
Backup
da O Backup do Windows oferece a capacidade de
imagem
do criar uma imagem do sistema, que uma imagem
sistema
exata de uma unidade. Uma imagem do sistema
inclui o Windows e as configuraes do sistema, os
72/87

Verses
anteriores
Restaurao
do sistema
programas e os arquivos.
As verses anteriores so cpias de arquivos e
pastas que o Windows salva automaticamente
como parte da proteo do sistema. Voc pode
usar verses anteriores para restaurar arquivos ou
pastas que modificou ou excluiu acidentalmente ou
que estavam danificados.
A Restaurao do Sistema o ajuda a restaurar
arquivos do sistema do computador para um ponto
anterior no tempo. uma forma de desfazer
alteraes do sistema no computador sem afetar os
arquivos pessoais, como email, documentos ou
fotos.
Gabarito: D.
39. (CONSULPLAN 2009 Pref. Mun. Guarapari/ES Procurador Municipal 407) Acerca do utilitrio de backup
disponibilizado pelo sistema operacional Windows XP, assinale V para
as afirmativas verdadeiras e F para as falsas:
( ) No possvel selecionar quais documentos se deseja realizar um
backup.
( ) O utilitrio sempre ir salvar o backup realizado em uma pasta
criada pelo prprio sistema, na pasta Meus Documentos.
( ) Somente possvel realizar o backup de arquivos e documentos que
tenham sido manipulados no dia corrente, ou seja, em arquivos e
documentos manipulados em dias anteriores, no possvel realizar
backup.
A sequncia est correta em:
a) V, V, V
b) V, F, V
c) F, F, F
d) F, V, F
e) F, F, V
Comentrios
No Windows 7, encontramos as ferramentas de backup no Painel de
Controle / Sistema e Segurana.
Todas as afirmaes ao falsas, pois possvel escolher quais arquivos e
pastas devem fazer parte do backup; o local onde ser armazenado o
backup; bem como o tipo e perodo do backup.
73/87

Escolhendo a opo Fazer backup do computador podemos selecionar a

configurao do backup.
Gabarito: C.
(INB) - Administrador) Analise as ferramentas que auxiliam a
manter a segurana das informaes em sistemas computacionais:
I. Os roteadores so a primeira linha de defesa. Sua funo o
roteamento de pacotes, mas ele tambm pode ser configurado para
bloquear ou filtrar o encaminhamento de tipos de pacotes vulnerveis.
74/87

II. No recomendado fazer as atualizaes fornecidas pelo fabricante
de firewall e sistemas operacionais, pois isto torna o computador mais
vulnervel para a invaso de hackers.
III. Os vrus de computador podem vir junto com o download de
programas ou atravs de uma mensagem de correio eletrnico.
a) I e II
b) I e III
c) II e III
d) I, II e III
e) II
Comentrios
Observe a letra B. Ela a nica correta. Certamente a realizao de
atualizaes nos equipamentos de informtica altamente recomendada
quando o assunto segurana, uma vez que todo dia encontramos novos
programas malwares e as atualizaes, em muitos casos, visam resolver
problemas de segurana dos equipamentos e sistemas.
Gabarito: B.
41.
(PREFRJ/SMSDC/2010/Auxiliar Tcnico de Defesa Civil) A
figura
representa um cone gerado no sistema operacional
Windows. A pequena seta indica que:
(A) o antivrus est em execuo
(B) o ponto a ser clicado para forar a finalizao do antivrus
(C) um programa armazenado na barra de tarefas
(D) o cone um atalho
Comentrios
A questo quer avaliar o conhecimento sobre atalhos. A pequena seta que
aparece na figura indica que o cone em questo um atalho para um
objeto do sistema. Um clique duplo neste cone aciona (executa) o
programa associado a ele. No caso, um duplo clique executar o McAfee
Total Protection, que um aplicativo antivrus.
Obs: As figuras presentes nas verses digitalizadas das provas elaboradas
pela Prefeitura do Rio de Janeiro no esto com boa qualidade e, por isso,
foi preciso alterar algumas delas.
Gabarito: D.
75/87

5. LISTA DAS QUESTES COMENTADAS NA AULA

Item Tarefa
V
Ao enviar informaes sigilosas via mensagem eletrnica
deve-se utilizar de um sistema que faa a codificao (chave,
cifra), de modo que somente as mquinas que conhecem o
cdigo consigam decifr-lo.
O cuidado solicitado em V aplica o conceito de:
a) criptografia;
b) assinatura digital;
c) digitalizao;
d) desfragmentao;
e) modulao/demodulao.
2. (FCC/2010-04/BAHIA
GS/
Analista
de
Processos
Organizacionais Administrao ou Cincias Econmicas/Q.
27/D04-G1) Uma assinatura digital um recurso de segurana cujo
objetivo
(A) identificar um usurio apenas por meio de uma senha.
(B) identificar um usurio por meio de uma senha, associada a um
token.
(C) garantir a autenticidade de um documento.
(D) criptografar um documento assinado eletronicamente.
(E) ser a verso eletrnica de uma cdula de identidade.
3. (FCC/2010/GOVBA/AGENTE PENITENCIRIO/UNI-001-Q. 21)
Considere os seguintes motivos que levaram diversas instituies
financeiras a utilizar teclados virtuais nas pginas da Internet:
I. facilitar a insero dos dados das senhas apenas com o uso do
mouse.
II. a existncia de programas capazes de capturar e armazenar as
teclas digitadas pelo usurio no teclado de um computador.
III. possibilitar a ampliao dos dados do teclado para o uso de
deficientes visuais.
Est correto o que se afirma em
(A) I, apenas.
(B) II, apenas.
(C) III, apenas.
(D) II e III, apenas.
(E) I, II e III.
76/87

Item Recomendao
IV
Evitar a abertura de mensagens eletrnicas no solicitadas,
provenientes de instituies bancrias ou empresas, que
possam induzir o acesso a pginas fraudulentas na Internet,
com vistas a roubar senhas e outras informaes pessoais
valiosas registradas no computador.
A recomendao em IV para evitar um tipo de fraude conhecido por:
a) chat
b) cracker
c) spam
d) hacker
e) phishing scam
5. (FCC/2009/Oficial de Chancelaria/Adaptada) O Diretor de certo
rgo pblico incumbiu alguns funcionrios da seguinte tarefa:
Item Tarefa
72
Minimizar o risco de invaso de hackers nos computadores
conectados Internet.
Minimizar o risco de invaso mais garantido com:
a) a instalao de um firewall;
b) a execuo de um antivrus;
c) o estabelecimento de programas de orientao de segurana;
d) a gravao de arquivos criptografados;
e) a utilizao de certificao digital.
6. (FCC/2010/DNOCS/ADMINISTRADOR/ PROVA A01-001-Q. 58)
Prestam-se a cpias de segurana (backup)
(A) quaisquer um destes: DVD; CD-ROM; disco rgido externo ou cpia
externa, quando os dados so enviados para um provedor de servios
via internet.
(B) apenas estes: CD-ROM; disco rgido e cpia externa, quando os
dados so enviados para um provedor de servios via internet.
(C) apenas estes: DVD, CD-ROM e disco rgido externo.
(D) apenas estes: CD-ROM e disco rgido externo.
(E) apenas estes: DVD e CD-ROM.
no computador pode ser feita por meio da restaurao do sistema.
77/87

no computador pode ser feita por meio das atualizaes automticas.
no computador pode ser feita por meio do gerenciador de dispositivos.
10. (FCC/2009/Oficial de Chancelaria/Adaptada) O Diretor de um
certo rgo pblico incumbiu alguns funcionrios da seguinte tarefa:
Item
5
Tarefa
Garantir que a maior parte dos dados gravados nos
computadores no seja perdida em caso de sinistro.
Tal garantia possvel se forem feitas cpias dos dados:
a) aps cada atualizao, em mdias removveis mantidas nos prprios
computadores;
b) em arquivos distintos nos respectivos hard disks, desde que estes
dispositivos sejam desligados aps o expediente;
c) em arquivos distintos nos respectivos hard disks, desde que estes
dispositivos permaneam ligados ininterruptamente;
d) aps cada atualizao, em mdias removveis mantidas em local
distinto daquele dos computadores;
e) da poltica de segurana fsica.
de Sistemas) Um convite via e-mail, em nome de uma instituio
governamental, para ser intermedirio em uma transferncia
internacional de fundos de valor vultoso, em que se oferece um ganho
percentual do valor, porm se exige uma quantia antecipada para
gastos com advogados, entre outros (ex.: o golpe da Nigria), de
acordo com o CGI.br, classificado como:
a) spyware;
b) hoax;
c) scam;
d) backdoor;
e) spam.
de Sistemas) Consiste em um conjunto de computadores
interconectados por meio de uma rede relativamente insegura que
utiliza a criptografia e protocolos especiais para fornecer segurana.
Esta uma conceituao bsica para:
a) rede privada com comunicao criptogrfica simtrica;
b) canal privado de comunicao assimtrica;
c) canal privado de comunicao sncrona;
78/87

d) rede privada com autenticao digital;
e) rede privada virtual.
13. (FCC/2009/TJ-PI/Analista Judicirio/Adaptada)
Para responder questo, considere os dados abaixo.
Instruo:
Item Tarefa
VII
Proceder, diariamente, cpia de segurana dos dados em
fitas digitais regravveis (algumas comportam at 72 GB de
capacidade) em mdias alternadas para manter a segurana e
economizar material.
No item VII recomendado o uso de mdias conhecidas por:
a) FAT32;
b) FAT;
c) NTSF;
d) DAT;
e) DVD+RW.
de Sistemas) um programa capaz de se propagar automaticamente,
explorando vulnerabilidades existentes ou falhas na configurao de
softwares instalados em um computador. Dispe de mecanismos de
comunicao com o invasor, permitindo ser controlado remotamente.
Tais so as caractersticas do:
a) adware
b) patch
c) opt-out
d) bot
e) log
[os certificados servem para garantir a segurana dos dados enviados
via upload].
so plugins que definem a qualidade criptogrfica das informaes que
trafegam na WWW.
17. (FCC/2008/ICMS-SP) Um cdigo anexado ou logicamente
associado a uma mensagem eletrnica que permite, de forma nica e
exclusiva, a comprovao da autoria de um determinado conjunto de
dados :
a) uma autoridade certificadora;
b) uma trilha de auditoria;
c) uma chave simtrica;
79/87

d) uma assinatura digital;
e) um certificado digital.
18. (FCC/2007/Cmara dos Deputados) Um certificado digital :
I Um arquivo eletrnico que contm a identificao de uma pessoa ou
instituio.
II Equivalente ao RG ou CPF de uma pessoa.
III O mesmo que uma assinatura digital.
Est correto o que consta em:
a) I apenas;
b) III apenas;
c) I e II apenas;
d) I e III apenas;
e) I, II e III.
19. (FCC/2006/TRT-SP/ANALISTA JUDICIRIO-Adaptada) So
termos respectiva e intrinsecamente associados tipologia conhecida
de malware, servio de Internet e mensagens enviadas em massa por
meio de correio eletrnico:
(A) Telnet, chat e host.
(B) Spyware, Cavalo de troia e hoax.
(C) Shareware, FTP e spam.
(D) Cavalo de Troia, chat e spam.
(E) Middleware, FTP e hoax.
20. (FCC/2003/TRF-5. Regio/Analista de Informtica) Os
algoritmos de criptografia assimtricos utilizam:
a) uma mesma chave privada, tanto para cifrar quanto para decifrar;
b) duas chaves privadas diferentes, sendo uma para cifrar e outra para
decifrar;
c) duas chaves pblicas diferentes, sendo uma para cifrar e outra para
decifrar;
d) duas chaves, sendo uma privada para cifrar e outra pblica para
decifrar;
e) duas chaves, sendo uma pblica para cifrar e outra privada para
decifrar.
21. (FCC/2003/TRF 5 REGIO/TCNICO DE INFORMTICA) Um
mecanismo muito usado para aumentar a segurana de redes de
computadores ligadas Internet
(A) o firewall.
(B) a criptografia.
(C) a autenticao.
(D) a assinatura digital.
(E) o controle de acesso.
Para evitar a perda irrecupervel das informaes gravadas em um
80/87

computador e proteg-las contra acesso no autorizado, necessrio
que se adote, respectivamente, as medidas inerentes s operaes de
(A) backup dos arquivos do sistema operacional e configurao de
criptografia.
(B) checkup dos arquivos do sistema operacional e inicializao da rede
executiva.
(C) criptografia de dados e inicializao da rede privativa.
(D) backup de arquivos e uso de senha privativa.
(E) uso de senha privativa e backup dos arquivos do sistema
operacional.
23. (FCC/2004/TRT 8. REGIO/TCNICO ADMINISTRATIVO) Um
....... efetivamente coloca uma barreira entre a rede corporativa e o
lado externo, protegendo o permetro e repelindo hackers. Ele age
como um nico ponto de entrada, atravs do qual todo o trfego que
chega pela rede pode ser auditado, autorizado e autenticado.
Completa corretamente a lacuna acima:
(A) firewall.
(B) antivrus.
(C) servidor Web.
(D) servidor de aplicativos.
(E) browser.
24. (FCC/2004/TRT 8. REGIO/TCNICO ADMINISTRATIVO) As
ferramentas antivrus
(A) so recomendadas apenas para redes com mais de 100 estaes.
(B) dependem de um firewall para funcionarem.
(C) podem ser utilizadas independente do uso de um firewall.
(D) e um firewall significam a mesma coisa e tm as mesmas funes.
(E) devem ser instaladas somente nos servidores de rede e no nas
estaes de trabalho.
25. (FCC/2004/TRT 8. Regio/Tcnico Administrativo) Uma
Intranet utiliza a mesma tecnologia ....I.... e viabiliza a comunicao
interna e restrita entre os computadores de uma empresa ou rgo que
estejam ligados na rede. Na Intranet, portanto, ....II.... e o acesso s
pginas .....III.... .
Preenche corretamente as lacunas I, II e III acima:
81/87

26. (FCC/2005/TRT 13 regio/Analista de Sistemas) Uma

combinao de hardware e software que fornece um sistema de
segurana, geralmente para impedir acesso externo no autorizado a
uma rede interna ou intranet. Impede a comunicao direta entre a
rede e os computadores externos ao rotear as comunicaes atravs
de um servidor proxy fora da rede. Esta a funo de
(A) sistema criptogrfico.
(B) hub.
(C) antivirus.
(D) bridge.
(E) firewall.
27. (FCC/2003/TRF 5. REGIO/TCNICO DE INFORMTICA)
Pessoa que quebra intencional e ilegalmente a segurana de sistemas
de computador ou o esquema de registro de software comercial
denomina-se
(A) hacking.
(B) hacker.
(C) cracking.
(D) cracker.
(E) finger.
28. (CONSULPLAN 2011 Mun. Londrina/PR Analista
Sistemas Servio Anlise Informtica) So consideradas pragas
digitais, EXCETO:
82/87

a) Cavalos-de-Troia.
b) MalwareBytes.
c) Worm.
d) KeyLoggers.
e) Hijackers.
29. (CONSULPLAN 2008 Cons. Reg. Enfermagem/MG
Analista de Sistemas) Qual a melhor definio para o tipo de ataque
do tipo Phishing?
a) Vrus enviado por e-mail que pesca arquivos do disco rgido do
b) E-mail contendo um programa que permite acesso de outros
computadores ao computador infectado.
c) E-mail contendo link para uma pgina falsa de um banco para obter
as senhas de acesso conta bancria.
d) Ataque realizado por outro computador para roubar arquivos do
disco rgido.
e) Vrus enviado por programas P2P que copiam arquivos locais do
30. (CONSULPLAN 2011 Cons. Fed. Enfermagem (COFEN) Analista de Suporte) Assinale o nome dado para coleo de
ferramentas que cria uma entrada alternativa no sistema, inclusive
interceptando o trfego de senhas e mensagens:
a) Worm.
b) Backdoors.
c) Spyware.
d) Rootkit.
e) Adware.
Webdesigner) Com relao a Ataques DoS (Denial of Service) e DDoS
(Distributed DoS), analise:
I. Os ataques DoS (Denial of Service), so tambm denominados
Ataques de Negao de Servios.
II. Ataques DoS consistem em tentativas de impedir que usurios
legtimos utilizem determinados servios de um computador ou de um
grupo de computadores.
III. DDoS, sigla para Distributed Denial of Service, um tipo de ataque
DoS de grandes dimenses, ou seja, que utiliza at milhares de
computadores para atacar uma determinada mquina.
Esto corretas apenas as afirmativas:
a) I, II, III
b) I, II
c) II, III
d) I, III
e) N.R.A.
83/87

Webdesigner) Com relao aos conceitos de vrus, worms, cavalos de
troia, analise:
I. Um vrus um cdigo de computador que se anexa a um programa
ou arquivo para poder se espalhar entre os computadores, infectandoos medida que se desloca. Os vrus podem danificar software,
hardware e arquivos.
II. Um worm, assim como um vrus, cria cpias de si mesmo de um
computador para outro, mas faz isso automaticamente. Primeiro, ele
controla recursos no computador que permitem o transporte de
arquivos ou informaes. Depois que o worm contamina o sistema, ele
se desloca sozinho. O grande perigo dos worms a sua capacidade de
se replicar em grande volume.
III. O cavalo de troia (uma subclasse de vrus), geralmente se alastra
sem a ao do usurio e distribui cpias completas (possivelmente
modificadas) de si mesmo atravs das redes. Um cavalo de troia pode
consumir memria e largura de banda de rede, o que pode travar o seu
computador. So programas que no tm influncia em diretivas e
direitos de acesso externo, agem como disseminadores de cdigos que
danificam o funcionamento do Sistema Operacional.
a) I, II, III
b) I, II
c) II, III
d) I
e) III
33. (CONSULPLAN 2009 Comp. Esprito Santense Saneamento
(CESAN) - Analista Sistemas de Saneamento / Pesquisa e
Desenvolvimento) NO relevante para a segurana e integridade
no uso da Internet:
a) No instalar executveis de origem duvidosa.
b) Tomar cuidados com a utilizao de redes P2P (Emule, Kazaa etc).
c) No acessar sites de busca na Internet.
d) No utilizar a Internet para downloads de cracks para burlar licenas
oficiais de software.
e) Usar corretamente as configuraes de segurana do navegador.
34. (CONSULPLAN 2006 Centro Federal de Educao
Tecnolgica Celso Suckow da Fonseca/RJ - Administrador) So
opes de proteo contra perda de dados ocasionados por vrus,
EXCETO:
a) Instalao de antivrus, mantendo-o atualizado.
b) Instalao de um Firewall.
c) Fazer um Backup do sistema regularmente.
d) Reinstalao do Sistema Operacional.
e) No acessar disquetes de uso desconhecido.
84/87

35. (CONSULPLAN 2011 Municpio de Londrina/PR Administrador) Segurana da informao a proteo de um
conjunto de dados, no sentido de preservar o valor que possuem para
um indivduo ou organizao. O conceito de Segurana da Informtica
ou Segurana de Computadores est intimamente relacionado ao de
Segurana da Informao, incluindo no apenas a segurana dos
dados/informao, mas tambm a dos sistemas em si. Os principais
atributos que orientam a anlise, o planejamento e a implementao
da segurana para um grupo de informaes que se deseja proteger
so:
a) Confidencialidade, Integridade, Disponibilidade.
b) Confidencialidade, Persistncia, Disponibilidade.
c) Consistncia, Integridade, Disponibilidade.
d) Confidencialidade, Integridade, Durabilidade.
e) Confiabilidade, Integridade, Disponibilidade.
Webdesigner) A utilizao de chaves em algoritmos de criptografia
assimtricos definida como:
a) Uma mesma chave privada, tanto para cifrar quanto para decifrar.
b) Duas chaves privadas diferentes, sendo uma para cifrar e outra para
decifrar.
c) Duas chaves pblicas diferentes, sendo uma para cifrar e outra para
decifrar.
d) Duas chaves, sendo uma privada para cifrar e outra pblica para
decifrar.
e) Duas chaves, sendo uma pblica para cifrar e outra privada para
decifrar.
37. (CONSULPLAN 2010 Pref. Mun. So Jos de Ub/RJ Digitador) Cpia de segurana a cpia de dados de um dispositivo
de armazenamento a outro, para que possam ser restaurados, em caso
da perda, os dados originais, envolvendo apagamentos acidentais ou
corrupo de dados. Este recurso tambm conhecido como:
a) Safety Files.
b) Restore.
c) Backup.
d) Browse.r
e) Arquivos ocultos.
(INB) Administrador) O utilitrio de Backup (cpia de segurana)
No Windows XP geralmente gera um arquivo na extenso:
a) .exe
b) .zip
c) .win
d) .bkf
e) .cop
85/87

39. (CONSULPLAN 2009 Pref. Mun. Guarapari/ES Procurador Municipal 407) Acerca do utilitrio de backup
disponibilizado pelo sistema operacional Windows XP, assinale V para
as afirmativas verdadeiras e F para as falsas:
( ) No possvel selecionar quais documentos se deseja realizar um
backup.
( ) O utilitrio sempre ir salvar o backup realizado em uma pasta
criada pelo prprio sistema, na pasta Meus Documentos.
( ) Somente possvel realizar o backup de arquivos e documentos que
tenham sido manipulados no dia corrente, ou seja, em arquivos e
documentos manipulados em dias anteriores, no possvel realizar
backup.
A sequncia est correta em:
a) V, V, V
b) V, F, V
c) F, F, F
d) F, V, F
e) F, F, V
(INB) - Administrador) Analise as ferramentas que auxiliam a
manter a segurana das informaes em sistemas computacionais:
I. Os roteadores so a primeira linha de defesa. Sua funo o
roteamento de pacotes, mas ele tambm pode ser configurado para
bloquear ou filtrar o encaminhamento de tipos de pacotes vulnerveis.
II. No recomendado fazer as atualizaes fornecidas pelo fabricante
de firewall e sistemas operacionais, pois isto torna o computador mais
vulnervel para a invaso de hackers.
III. Os vrus de computador podem vir junto com o download de
programas ou atravs de uma mensagem de correio eletrnico.
a) I e II
b) I e III
c) II e III
d) I, II e III
e) II
41.
(PREFRJ/SMSDC/2010/Auxiliar Tcnico de Defesa Civil) A
figura
representa um cone gerado no sistema operacional
Windows. A pequena seta indica que:
(A) o antivrus est em execuo
(B) o ponto a ser clicado para forar a finalizao do antivrus
(C) um programa armazenado na barra de tarefas
(D) o cone um atalho
86/87

6. Gabaritos
01
02
03
04
05
06
07
08
09
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
87/87

Aula 08 Segurança Info

Încărcat de

Informații document

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Aula 08 Segurança Info

Încărcat de

Drepturi de autor:

Formate disponibile

Noes de Informtica TJ/PR

Teoria e Questes comentadas

AULA 8: Segurana da Informao.

2. Criptografia e Certificao Digital.

5. Lista das questes comentadas na aula

Prof. Alexandre Lnin

Noes de Informtica TJ/PR

Prof. Alexandre Lnin

Noes de Informtica TJ/PR

Isso reafirma o ditado popular, muito citado pelos especialistas em

Prof. Alexandre Lnin

Noes de Informtica TJ/PR

Prof. Alexandre Lnin

Noes de Informtica TJ/PR

Elementos que a Segurana da Informao Busca Proteger

Prof. Alexandre Lnin

Noes de Informtica TJ/PR

Proteger contra o acesso no

Prof. Alexandre Lnin

Proteger informao contra

Noes de Informtica TJ/PR

O que a segurana da informao pretende diminuir o risco de sofrer

Prof. Alexandre Lnin

Noes de Informtica TJ/PR

Vrus: so pequenos cdigos de programao maliciosos que se

Prof. Alexandre Lnin

Noes de Informtica TJ/PR

Prof. Alexandre Lnin

Noes de Informtica TJ/PR

Vrus de programa: infectam arquivos de programa (de inmeras

Prof. Alexandre Lnin

Noes de Informtica TJ/PR

Worms (vermes): so programas parecidos com vrus, mas que na

Bots: de modo similar ao worm, um programa capaz de se propagar

Prof. Alexandre Lnin

Noes de Informtica TJ/PR

Trojan horse (Cavalo de troia): um programa aparentemente

Prof. Alexandre Lnin

Noes de Informtica TJ/PR

Adware (advertising software): este tipo de programa geralmente

Spyware: trata-se de um programa espio (spy em ingls = espio).

Keylogger: um tipo de malware que capaz de capturar e armazenar

Prof. Alexandre Lnin

Noes de Informtica TJ/PR

Screenlogger: forma avanada de keylogger, capaz de armazenar a

Ransomwares: so softwares maliciosos que, ao infectarem um

Prof. Alexandre Lnin

Noes de Informtica TJ/PR

Sniffers (farejadores): so programas que agem na rede farejando

Prof. Alexandre Lnin

Noes de Informtica TJ/PR

Prof. Alexandre Lnin

Noes de Informtica TJ/PR

Prof. Alexandre Lnin

Noes de Informtica TJ/PR

Figura. Impacto de incidentes de segurana nos negcios

Prof. Alexandre Lnin

Noes de Informtica TJ/PR

Figura - Exemplos de ataques contra um sistema de informao

Prof. Alexandre Lnin

Noes de Informtica TJ/PR

Phishing (tambm conhecido como Phishing scam, ou apenas scam)

Prof. Alexandre Lnin

Noes de Informtica TJ/PR