Tecnologia da Informação p/ SEFAZ-RS – Turma: 04Foco: Fundatec e Similares Aula 01 – Segurança da Informação - Profa. Patrícia Quintão mem Aula 01 – Segurança e tópicos relacionados. Olá, querido(a)s amigo(a)s! Saúdo a todos vocês, guerreiros (as), decididos (as) a conquistar a aprovação no certame da SEFAZ-RS. Será um prazer acompanhá-los nesta trajetória de sucesso! Nesse ponto, cabe destacar que nós somos capazes de fazer com que todos os nossos SONHOS, VONTADES e DESEJOS se tornem realidade. Basta trabalhar MUITO para isso, confiar em DEUS e paciência, que chegaremos lá ☺! Na aula de hoje, abordaremos os conceitos de Segurança da Informação. Serão destacadas algumas “DICAS QUENTES” para a prova no memorex, além de inúmeros exercícios para fixação da matéria. Como dica inicial, para melhor aproveitamento do curso, faça as questões uma a uma, e confira o gabarito IMEDIATAMENTE. Em caso de dúvidas, procure saná-las de pronto! Faça e refaça a sua lista de exercícios quantas vezes forem necessárias, até obter uma média de no mínimo 80% de acertos, para então mudar de matéria. Lembre-se de que o primeiro fator que nos leva a memorizarmos algo ocorre quando associamos o conhecimento a uma forte emoção (quem aí se lembra do primeiro beijo, da primeira namorada, ou da primeira vez que ... opa, vocês entenderam né rs...!!). www.pontodosconcursos.com.br | Profa. Patrícia Lima Quintão 1 Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação - Profa. Patrícia Quintão Como é difícil associarmos a Informática à emoção, vamos utilizar o segundo fator para nos ajudar na memorização dos pontos importantes para a prova. Esse segundo fator está ligado à repetição, que leva, portanto, à memorização, permitindo solidificar o conhecimento aqui obtido! Por isso, iremos revisar a matéria várias vezes, realizar inúmeros exercícios e refazer toda a lista de exercícios quantas vezes forem necessárias. Todos prontos?? Então vamos nessa COM MUITO FOCO NOS ESTUDOS ☺!!! Que Deus os (as) abençoe, bom proveito e mãos à obra agora! Profa Patrícia Lima Quintão R B . Instagram: @patriciaquintao Facebook: http://www.facebook.com/professorapatriciaquintao (Todo dia com novas dicas, desafios e muito mais, espero vocês por lá para CURTIR a página!) M O C . S Twitter: http://www.twitter.com/pquintao O S R Sumário O que Significa Segurança?................................................... 4 Princípios da Segurança da Informação ................................ 6 Vulnerabilidade .................................................................. 10 Ameaças à Segurança ......................................................... 11 Risco de Segurança ............................................................ 12 Ciclo da Segurança ............................................................. 12 Noções de Vírus, Worms e outras Pragas virtuais – AMEAÇAS à Segurança da Informação!! .............................................. 14 Golpes na Internet ............................................................. 29 Ataques na Internet ........................................................... 30 Spams ................................................................................ 33 Cookies .............................................................................. 34 Códigos móveis .................................................................. 35 Janelas de pop-up .............................................................. 35 Plug-ins, complementos e extensões .................................. 35 Links patrocinados ............................................................. 36 Banners de propaganda ...................................................... 36 Programas de distribuição de arquivos (P2P) ..................... 37 Compartilhamento de recursos ........................................... 37 Mecanismos Básicos de Proteção da Informação ................. 37 U C N O C A T I L A H .T W W W www.pontodosconcursos.com.br | Profa. Patrícia Lima Quintão 2 Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação - Profa. Patrícia Quintão Backup (Cópia de segurança) ............................................. 42 Noções sobre Criptografia .................................................. 49 PGP – Pretty Good Privacy .................................................. 53 Hashes Criptográficos ......................................................... 56 Assinatura Digital ............................................................... 58 Entendendo os Componentes da Infraestrutura de Chaves Públicas (ICP) .................................................................... 59 Certificado Digital ............................................................... 60 Certificação Digital ............................................................. 62 Esteganografia ................................................................... 64 Aplicativos de Segurança .................................................... 65 Virtual Private Network (VPN) ............................................ 68 Autenticação ...................................................................... 69 Auditoria ............................................................................ 72 Tipos de Auditoria .............................................................. 73 Fases da Auditoria de TI ..................................................... 74 - Planejamento ................................................................... 74 - Execução.......................................................................... 75 - Emissão e Divulgação de Relatórios .................................. 76 - Follow-up ......................................................................... 77 Técnicas de Auditoria ......................................................... 77 Plano de Continuidade de Negócios .................................... 80 Conformidade ..................................................................... 82 Memorex ............................................................................ 86 Questões de Provas Comentadas ........................................ 90 Considerações Finais ........................................................ 169 Bibliografia....................................................................... 170 Lista das Questões Apresentadas na Aula ......................... 171 Gabarito ........................................................................... 200 Bibliografia....................................................................... 201 www.pontodosconcursos.com.br | Profa. Patrícia Lima Quintão 3 Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação - Profa. Patrícia Quintão O que Significa Segurança? É colocar tranca nas portas de sua casa? É ter as informações guardadas de forma suficientemente segura para que pessoas sem autorização não tenham acesso a elas? Vamos nos preparar para que a próxima vítima não seja você ☺!!! A segurança é uma palavra que está presente em nosso cotidiano e refere-se a um estado de proteção, em que estamos “livres” de perigos e incertezas! R B . Segurança da informação é o processo de proteger a informação de diversos tipos de ameaças externas e internas para garantir a continuidade dos negócios, minimizar os danos aos negócios e maximizar o retorno dos investimentos e as oportunidades de negócio. M O C . S O S R Em uma corporação, a segurança está ligada a tudo o que manipula direta ou indiretamente a informação (inclui-se aí também a própria informação e os usuários), e que merece proteção. Esses elementos são chamados de ATIVOS, e podem ser divididos em: U C N O • C A T I L • • • • W A H .T W W tangíveis: informações impressas, móveis, hardware (Ex.:impressoras, scanners); intangíveis: marca de um produto, nome da empresa, confiabilidade de um órgão federal etc.; lógicos: informações armazenadas em uma rede, sistema ERP (sistema de gestão integrada), etc.; físicos: galpão, sistema de eletricidade, estação de trabalho, etc.; humanos: funcionários. Para Beal (2005), ativo de informação é qualquer dado ou informação a que esteja associado um valor para o negócio. Representam ativos de informação as informações relevantes mantidas na mente dos tomadores de decisão, em base de dados, arquivos de computador, documentos e planos registrados em papel etc. Segundo Technet (2006) um ativo é “todo elemento que compõe o processo da comunicação, partindo da informação, seu emissor, o meio pelo qual é transmitida, até chegar ao seu receptor”. www.pontodosconcursos.com.br | Profa. Patrícia Lima Quintão 4 Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação - Profa. Patrícia Quintão Moreira (2001, p.20) afirma que: [...] ativo é tudo que manipula direta ou indiretamente uma informação, inclusive a própria informação, dentro de uma Organização e, é isso que deve ser protegido contra ameaças para que o negócio funcione corretamente. Uma alteração, destruição, erro ou indisponibilidade de algum dos ativos pode comprometer os sistemas e, por conseguinte, o bom funcionamento das atividades de uma empresa. De acordo com a NBR ISO/IEC 27002:2005, a informação é um ativo que, como qualquer outro ativo importante, é essencial para os negócios de uma organização e, consequentemente, necessita ser adequadamente protegida. A informação pode existir em diversas formas: ela pode ser impressa ou escrita em papel, armazenada eletronicamente, transmitida pelo correio ou por meios eletrônicos, apresentada em filmes ou falada em conversas. Dessa definição, podemos depreender que a informação é um bem, um patrimônio a ser preservado para uma empresa e que tem importância aos negócios. Devido a essa importância, deve ser oferecida proteção adequada, ou seja, a proteção deve ser proporcional à importância que determinada informação tem para uma empresa. Soluções pontuais isoladas não resolvem toda a problemática associada à segurança da informação. Segurança se faz em pedaços, porém todos eles integrados, como se fossem uma corrente. Segurança se faz protegendo todos os elos da corrente, ou seja, todos os ativos (físicos, tecnológicos e humanos) que compõem seu negócio. Afinal, o poder de proteção da corrente está diretamente associado ao elo mais fraco! www.pontodosconcursos.com.br | Profa. Patrícia Lima Quintão 5 Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação - Profa. Patrícia Quintão Princípios da Segurança da Informação A segurança da informação busca proteger os ativos de uma empresa ou indivíduo com base na preservação de alguns princípios. Vamos ao estudo de cada um deles. Os três princípios considerados centrais ou principais, mais comumente cobrados em provas, são: a Confidencialidade, a Integridade e a Disponibilidade. Eles formam aquilo que chamamos de pirâmide ou tríade da Segurança da Informação (É possível encontrar a sigla CID, para fazer menção a esses princípios!). Confidencialidade Integridade Disponibilidade R B . M O C . S O S R Figura. Mnemônico CID Confidencialidade (ou sigilo): é a garantia de que a informação não será conhecida por quem não deve. O acesso às informações deve ser limitado, ou seja, somente as pessoas explicitamente autorizadas podem acessá-las. Perda de confidencialidade significa perda de segredo. Se uma informação for confidencial, ela será secreta e deverá ser guardada com segurança, e não divulgada para pessoas sem a devida autorização para acessá-la. • U C N O C A T I L A H .T W W W • A confidencialidade busca proteção contra exposição não autorizada. Acesso somente por pessoas autorizadas. Exemplo: o número do seu cartão de crédito só poderá ser conhecido por você e pela loja em que é usado. Se esse número for descoberto por alguém mal intencionado, o prejuízo causado pela perda de confidencialidade poderá ser elevado, já que poderão se fazer passar por você para realizar compras pela Internet, proporcionando-lhe prejuízos financeiros e uma grande dor de cabeça. Integridade: destaca que a informação deve ser mantida na condição em que foi liberada pelo seu proprietário, garantindo a sua proteção contra www.pontodosconcursos.com.br | Profa. Patrícia Lima Quintão 6 Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação - Profa. Patrícia Quintão mudanças intencionais, indevidas ou acidentais. Em outras palavras, é a garantia de que a informação que foi armazenada é a que será recuperada! A INTEGRIDADE busca proteção contra codificação não autorizada. Modificação somente pelas partes devidamente autorizadas. A quebra de integridade pode ser considerada sob dois aspectos: 1. alterações nos elementos que suportam a informação - são feitas alterações na estrutura física e lógica em que uma informação está armazenada. Por exemplo, quando são alteradas as configurações de um sistema para ter acesso a informações restritas; 2. alterações do conteúdo dos documentos. Ex1.: Imagine que alguém invada o notebook que está sendo utilizado para realizar a sua declaração do Imposto de Renda deste ano, e, momentos antes de você enviá-la para a Receita Federal a mesma é alterada sem o seu consentimento! Neste caso, a informação não será transmitida da maneira adequada, o que quebra o princípio da integridade; Ex2: Alteração de sites por hackers (vide a figura seguinte, retirada de http://www.fayerwayer.com.br/2013/06/site-do-governobrasileiro-e-hackeado/). Acesso em jul. 2013. Figura. Portal Brasil (www.brasil.gov.br), página oficial do governo brasileiro na Internet, que teve seu conteúdo alterado indevidamente em jun. 2013. www.pontodosconcursos.com.br | Profa. Patrícia Lima Quintão 7 Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação - Profa. Patrícia Quintão Disponibilidade: é a garantia de que a informação deve estar disponível, sempre que seus usuários (pessoas e empresas autorizadas) necessitarem, não importando o motivo. Em outras palavras, é a garantia que a informação sempre poderá ser acessada. • A DISPONIBILIDADE busca R B . acesso disponível às entidades autorizadas sempre que necessário. M O Como exemplo, há quebra do princípio da disponibilidade quando você decidir enviar a sua declaração do Imposto de Renda pela Internet, no último dia possível, e o site da Receita Federal estiver indisponível. C . S O S R O que queremos sob a ótica de segurança? Desejamos entregar a informação CORRETA, para a pessoa CERTA, no MOMENTO EM QUE ELA FOR NECESSÁRIA! Entenderam? Eis a essência da aplicação dos três princípios aqui já destacados. Ainda, cabe destacar que a perda de pelo menos um desses princípios já irá ocasionar impactos ao negócio (aí surgem os INCIDENTES de segurança). U C N O C A Incidente de segurança da informação: é indicado por um simples ou por uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança. Exemplos: invasão digital; violação de padrões de segurança de informação. T I L A H .T W W W Quando falamos em segurança da informação, estamos nos referindo a para manter a confidencialidade, integridade, salvaguardas disponibilidade e demais aspectos da segurança das informações dentro das necessidades do cliente! Outros princípios (ou aspectos) podem ainda ser também levados em consideração, como por exemplo: www.pontodosconcursos.com.br | Profa. Patrícia Lima Quintão 8 CONFIABILIDADE visa garantir que um sistema vai se comportar (vai realizar seu serviço) segundo o esperado e projetado (“ser confiável”. Patrícia Quintão • Autenticação: conforme destaca Stallings (2008). para fins de transmissão ou recepção não autorizada”.com. www. Segundo Stallings (2008). ou melhor. no momento do início da conexão. “o serviço precisa garantir que a conexão não sofra interferência de modo que um terceiro possa fingir ser uma das duas partes legítimas. concedendo-lhes a autorização para o acesso aos recursos. que cada uma é a entidade que afirma ser”. No caso de uma interação de saída.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . • Não-repúdio (irretratabilidade): é a garantia de que um agente não consiga negar (dizer que não foi feito) uma operação ou serviço que modificou ou criou uma informação.br | Profa. Primeiro.Profa. ao validar a identificação dos usuários. como a conexão de um terminal com um hospedeiro. No caso de uma única mensagem.pontodosconcursos. a função do serviço de autenticação é garantir ao destinatário que a mensagem é proveniente de onde ela afirma ter vindo. Patrícia Lima Quintão 9 . Tal garantia é condição necessária para a validade jurídica de documentos e transações digitais. “o serviço de autenticação refere-se à garantia de que uma comunicação é autêntica”. um sistema de informação irá “desempenhar o papel que foi proposto para si”. sistema ou informação é mesmo quem alega ser. AUTENTICAÇÃO é a capacidade de garantir que um usuário. como uma advertência ou um sinal de alarme. ou seja. “fazer bem seu papel”). Só se pode garantir o não-repúdio quando houver autenticidade e integridade (ou seja. “o serviço garante que as duas entidades são autênticas. dois aspectos estão envolvidos. A autenticação é essencial para a segurança dos sistemas. quando for possível determinar quem mandou a mensagem e garantir que a mesma não foi alterada). • Confiabilidade: pode ser caracterizada como a condição em que um sistema de informação presta seus serviços de forma eficaz e eficiente. pois uma informação pode ser considerada confidencial.T Vulnerabilidade é uma fragilidade que poderia ser explorada por uma ameaça para concretizar um ataque. Esse princípio difere da confidencialidade. S O S R U C N O Uma informação privada deve ser vista. lida ou alterada somente pelo seu dono. W W W Outro conceito bastante comum para o termo: Vulnerabilidade é uma evidência ou fragilidade que eleva o grau de exposição dos ativos que sustentam o negócio.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . mas não privada. Patrícia Lima Quintão 10 .Profa. C .com. C A T I L A H Vulnerabilidade . quando explorada por um atacante. bem como identificar os envolvidos nesse processo. Patrícia Quintão NÃO-REPÚDIO Proteção contra negação de envio (ou recepção) de determinada informação. • Auditoria: é a possibilidade de rastrear o histórico dos eventos de um sistema para determinar quando e onde ocorreu uma violação de segurança. M O A privacidade é a capacidade de um sistema manter incógnito um usuário (capacidade de um usuário realizar operações em um sistema sem que seja identificado). resulta na violação da segurança de um computador. em eleições secretas. R B . aumentando a probabilidade de sucesso pela investida de uma ameaça. implementação ou configuração de software ou sistema operacional que. www. • Privacidade: diz respeito ao direito fundamental de cada indivíduo de decidir quem deve ter acesso aos seus dados pessoais. por exemplo. trata-se de falha no projeto. Ainda.br | Profa. impossibilitando a ligação direta da identidade do usuário com as ações por este realizadas.pontodosconcursos. Privacidade é uma característica de segurança requerida. erro humano (deleção de arquivos digitais acidentalmente etc.) ou deliberada (roubo. cavalo de troia. acidentes naturais (inundação etc. falta de mecanismos de monitoramento e controle (auditoria). uma coisa. como exemplo inicial. mediante a exploração de uma determinada vulnerabilidade. entre outros). Esta deve ser levantada junto a cada organização ou ambiente. Patrícia Lima Quintão 11 . ausência de recursos para combate a incêndios.br | Profa. prejudicar as ações da empresa e sua sustentação no negócio. Em outras palavras.). fraude. Podemos citar. etc.com. invasão de hackers. etc. técnicas (engenharia social. desastres naturais.). cracker. etc. um evento ou uma ideia capaz de causar dano a um recurso. instalações prediais fora do padrão. Ameaça pode ser uma pessoa. bugs de software. Outros exemplos de vulnerabilidades: • • • • • • • • ambientes com informações sigilosas com acesso não controlado.). Eis a vulnerabilidade detectada nesse ambiente. hardware sem o devido acondicionamento e proteção. uma ameaça secreta enviada a um endereço incorreto. integridade.). ausência de pessoal capacitado para a segurança. Patrícia Quintão O conhecimento do maior número de vulnerabilidades possíveis permite à equipe de segurança tomar medidas para proteção. etc. funcionário insatisfeito.Profa. www. erros de programação. Não há uma receita ou lista padrão de vulnerabilidades. espionagem. sabotagem. erros do usuário. inexistência de políticas de segurança. evitando assim ataques e consequentemente perda de dados. falta de atualização de software e hardware. podendo ser acidental (falha de hardware. Como exemplos de ameaça podemos destacar: concorrente.pontodosconcursos. ferramentas de software (sniffer. disponibilidade etc. Ameaças à Segurança Ameaça é algo que possa provocar danos à segurança da informação. Sempre se deve ter em mente o que precisa ser protegido e de quem precisa ser protegido de acordo com as ameaças existentes. uma AMEAÇA é tudo aquilo que pode comprometer a segurança de um sistema. uma análise de ambiente em uma sala de servidores de conectividade e Internet com a seguinte descrição: a sala dos servidores não possui controle de acesso físico.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . em termos de confidencialidade. mas de uma forma simples. T I L A H Como exemplo de um risco pode-se imaginar um funcionário insatisfeito e um martelo ao seu alcance. por sua vez. S O S R U C Risco de Segurança RISCO é a medida da exposição à qual o sistema computacional está sujeito. médio e baixo risco. impactos nos negócios”.pontodosconcursos.. a ameaça associada é de alto risco. temos que.com. Patrícia Quintão Basicamente existem dois tipos de ameaças: internas e externas. diz que risco é a “probabilidade de ameaças explorarem vulnerabilidades. baseado na vulnerabilidade encontrada. C . causando. .Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . poderíamos tratá-lo como alto. R B .Profa. Ciclo da Segurança Como mostrado na figura seguinte. M O Os ATIVOS são os elementos que sustentam a operação do negócio e estes sempre trarão consigo VULNERABILIDADES que. • Ameaças internas: estão presentes.br | Profa.. essas tentativas são realizadas por pessoas com a intenção de prejudicar a empresa ou para utilizar seus recursos para invadir outras empresas. No caso do nosso exemplo da sala dos servidores. integridade e disponibilidade. p. Patrícia Lima Quintão 12 . provocando perdas de confidencialidade. Resumindo. pois estão sujeitos a VULNERABILIDADES. Depende da probabilidade de uma ameaça atacar o sistema e do impacto resultante desse ataque. • Ameaças externas: representadas por todas as tentativas de ataque e desvio de informações vindas de fora da empresa.T W W W Existem algumas maneiras de se classificar o grau de risco no mercado de segurança. poderíamos dizer que. Normalmente. 50). www. nesse caso o funcionário poderia danificar algum ativo da informação. como a inatividade das operações da empresa. N O C A Sêmola (2003. os ATIVOS de uma organização precisam ser protegidos. independentemente das empresas estarem ou não conectadas à Internet. possivelmente. Podem causar desde incidentes leves até os mais graves. submetem os ativos a AMEAÇAS. podendo causar impacto nos negócios. aumentam-se os riscos permitindo a exploração por uma ameaça e a concretização de um ataque. aumentam-se ainda mais os riscos de perda da integridade. Ativos protege Medidas de Segurança diminui sujeitos aumenta Ciclo da segurança Vulnerabilidades Riscos permitem limitados Impactos no negócio aumenta aumenta aumenta Ameaças Confidencialidade Integridade Disponibilidade causam perdas Figura.com. um ataque de um hacker é uma ameaça). 2001) As ameaças são causas em potencial de um incidente indesejado (por exemplo.Profa. Patrícia Lima Quintão 13 . Patrícia Quintão Se as vulnerabilidades aumentam. os riscos devem ser analisados e diminuídos para que se estabeleça a segurança dos ativos da informação. Se estas ameaças crescem. Nesse contexto. MEDIDAS DE SEGURANÇA devem ser tomadas. podemos dizer que os RISCOS são medidos pela combinação entre: • número de vulnerabilidades dos ativos.pontodosconcursos. Ciclo da Segurança da Informação (MOREIRA. Dessa forma. As ameaças e as vulnerabilidades aumentam os riscos relativos à segurança por parte de uma organização.br | Profa. disponibilidade e confidencialidade da informação.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . www. Profa. O S R U C Resumindo. existentes nos programas instalados. • por meio da como pen-drives. São elas: • W . Patrícia Quintão • a probabilidade de vulnerabilidades serem exploradas por uma ameaça.pontodosconcursos. e • o impacto decorrente dos incidentes de segurança na organização. N O C A T I L Certbr (2012) destaca algumas das diversas maneiras como os códigos maliciosos (malwares) podem infectar ou comprometer um computador. Noções de Vírus. programados com o intuito de prejudicar os sistemas de informação. malwares são programas que executam deliberadamente ações mal-intencionadas em um computador. www.br | Profa. alterar o funcionamento de programas. auto-execução de mídias removíveis • pelo acesso a páginas da Web maliciosas. • por meio da ação direta de atacantes que.com.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . usado para todo e quaisquer softwares maliciosos. roubar informações.T W W A H por meio da exploração de vulnerabilidades (falhas de segurança). Worms e outras Pragas virtuais – AMEAÇAS à Segurança da Informação!! Você sabe o significado de malware? Malware (combinação de malicious software – programa malicioso)! R B . após invadirem o computador. causar lentidões de redes computacionais. dentre outros. S Malware é um termo genérico. Patrícia Lima Quintão infectadas. M O C . 14 . com a utilização de navegadores vulneráveis. incluem arquivos contendo códigos maliciosos. tecnicamente. -keylogger. -backdoors. inserindo cópias de si mesmo e se tornando parte de outros programas e arquivos de um computador.br | Profa. Uma vez instalados.Profa. Alguns vírus são inofensivos. São espécies de malware: -vírus. -rootkits.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . Patrícia Quintão • pela execução de arquivos previamente infectados. a partir daí se propaga infectando. -spyware. isto é. -screenlogger.com. Em outras palavras. -cavalos de troia (trojans). -worms. www. obtidos em anexos de mensagens eletrônicas. outros. o vírus também é. um vírus é um programa (ou parte de um programa) que se anexa a um arquivo de programa qualquer (como se o estivesse “parasitando”) e depois disso procura fazer cópias de si mesmo em outros arquivos semelhantes. via mídias removíveis. podem danificar um sistema operacional e os programas de um computador. etc. O vírus depende da execução do programa ou arquivo hospedeiro para que possa se tornar ativo e dar continuidade ao processo de infecção. em páginas Web ou diretamente de outros computadores (através do compartilhamento de recursos). e. os códigos maliciosos passam a ter acesso aos dados armazenados no computador e podem executar ações em nome dos usuários. -ransomwares. de acordo com as permissões de cada usuário. porém. -bots. Quando o arquivo é aberto na memória RAM. Patrícia Lima Quintão 15 .pontodosconcursos. • Vírus São pequenos códigos de programação maliciosos que se “agregam” a arquivos e são transmitidos com eles. WMA. Patrícia Quintão A seguir. • documentos do MS-Office: como os arquivos do Word (extensão .Profa. proteção de tela (animações que aparecem automaticamente quando o computador está ocioso): extensão .Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . dentre outros.com. arquivos do Excel (. bancos de dados do Access (. arquivos de scripts (outra forma de executável): extensão .lnk ou .mdb).dot). destacamos alguns arquivos que podem ser portadores de vírus de computador: • arquivos executáveis: com extensão . Vírus de Vírus que infectam documentos que contém macros. S O S R Dentre os principais tipos de vírus conhecidos merecem destaque: Vírus Polimórficos U C Alteram seu formato (“mudam de forma”) constantemente. esses vírus geram uma nova sequência de bytes em seu código.scr. • atalhos: extensão .xlt). apresentações do Powerpoint (.xls e . N O Vírus Oligomórfico C A Usa a criptografia para se defender sendo capaz de alterar também a rotina de criptografia em um número de vezes pequeno.com.: o Setor de Boot do disco rígido é a primeira parte do disco rígido que é lida quando o computador é ligado. Obs.doc ou . M O C . R B . 2006). A cada nova infecção. Patrícia Lima Quintão 16 .pps).vbs. para que o antivírus se confunda na hora de executar a varredura e não reconheça o invasor.pif.exe ou .T W W Vírus de Boot W Infectam o setor de boot (ou MBR – Master Boot Record – Registro Mestre de Inicialização) dos discos rígidos. vídeos com extensão . Um vírus que possui duas rotinas de criptografia é então classificado como oligomórfico (Luppi. Arquivos multimídia do Windows Media Player: músicas com extensão .br | Profa.pontodosconcursos. Essa área é lida pelo BIOS (programa responsável por “acordar” o computador) a fim de que seja encontrado o Sistema Operacional (o programa que vai controlar o computador durante seu uso).ppt e . T I L A H .WMV. www. o vírus pode executar uma série de comandos automaticamente e infectar outros arquivos no computador. definir uma macro que contenha a sequência de passos necessários para imprimir um documento. como . o vírus também será. Um exemplo seria.pif..dot–Principal alvo de vírus de macro p/Word Vírus de Programa Vírus Stealth Infectam arquivos de programa extensões. toda vez que o aplicativo for executado.br | Profa. . . Para que o vírus possa ser executado. Caso este arquivo base seja infectado pelo vírus de macro. com a orientação de retrato. Powerpoint e Access são os mais suscetíveis a este tipo de vírus. Normal. como o Word. e utilizando a escala de cores em tons de cinza.pontodosconcursos.vbs. (de inúmeras Programado para se esconder e enganar o antivírus durante uma varredura deste programa. Arquivos nos formatos RTF. Tem a capacidade de se remover da memória temporariamente para evitar que antivírus o detecte. mas isso não significa que não possam conter vírus. Patrícia Quintão Macro conjunto de comandos que são Macro: armazenados em alguns aplicativos e utilizados para automatizar tarefas repetitivas. PDF e PostScript são menos suscetíveis. Patrícia Lima Quintão 17 .com. Um vírus de macro é escrito de forma a explorar esta facilidade de automatização e é parte de um arquivo que normalmente é manipulado por algum aplicativo que utiliza macros. a partir daí.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . o arquivo que o contém precisa ser aberto e.Profa.exe. Existem alguns aplicativos que possuem arquivos base (modelos) que são abertos sempre que o aplicativo é executado. www. Arquivos nos formatos gerados por programas da Microsoft. Excel.com. em um editor de textos. T I L A H . S Vírus de Telefone Celular O S R U C Propaga de telefone para telefone através da tecnologia bluetooth ou da tecnologia MMS (Multimedia Message Service). isto é. Tanto um quanto o outro podem ser inseridos em páginas Web e interpretados por navegadores como Internet Explorer e outros.Profa. que contêm não só texto. nome que designa uma sequência de comandos previamente estabelecidos e que são executados automaticamente em um sistema.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . Na maioria das vezes executam tarefas úteis. Dois tipos de scripts muito usados são os projetados com as linguagens Javascript (JS) e Visual Basic Script (VBS). através de uma das tecnologias mencionadas anteriormente. mas também sons e imagens. como vídeos.pontodosconcursos. A infecção ocorre da seguinte forma: o usuário recebe uma mensagem que diz que seu telefone está prestes a receber um arquivo e permite que o arquivo infectado seja recebido. Patrícia Lima Quintão 18 . fotos e animações. sem necessidade de intervenção do usuário.com. N O C A O serviço MMS é usado para enviar mensagens multimídia. o vírus. Os arquivos Javascript tornaram-se tão comuns na Internet que é difícil encontrar algum site atual que não os utilize. a maioria dos sites passará a ser apresentada de forma incompleta ou incorreta.br | Profa. www. os scripts não são necessariamente maléficos. R B . instalado e executado em seu aparelho. continua o processo de propagação para outros telefones. então. pois normalmente não inserem cópias de si mesmos em outros arquivos armazenados no telefone celular. que facilitam a vida dos usuários – prova disso é que se a execução dos scripts for desativada nos navegadores. M O C . Assim como as macros. mas podem ser especificamente projetados para sobrescrever arquivos de aplicativos ou do sistema operacional instalado no aparelho. Patrícia Quintão Vírus de Script Propagam-se por meio de scripts.T W W W Os vírus de celular diferem-se dos vírus tradicionais. tais como: destruir/sobrescrever arquivos. efetuar ligações telefônicas.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . porém com outra extensão. mas que na verdade são capazes de se propagarem automaticamente através de redes. Além disso. Ex.).: sptrec. redes das empresas etc. o worm NÃO embute cópias de si mesmo em outros programas ou arquivos e NÃO necessita ser explicitamente executado para se propagar. Diferentemente do vírus. mesmo quando você não fica horas pendurado nele. • tentar se propagar para outros telefones. o arquivo de vírus é contido em um arquivo Vírus Companheiros separado.com. Sua propagação se dá através da www. não infectam outros arquivos. Patrícia Quintão Depois de infectar um telefone celular. • a bateria do celular dura menos do que o previsto pelo fabricante.com (vírus) < sptrec. o aparelho fica desconfigurado e tentando se conectar via Bluetooth com outros celulares.Profa. • • • • • Worms (Vermes) Programas parecidos com vírus.exe (executável). eles mesmos são os arquivos!). FTP. geralmente utilizam as redes de comunicação para infectar outros computadores (via e-mails. Patrícia Lima Quintão 19 . o vírus pode realizar diversas atividades. (Spawning) • Possui o mesmo nome do arquivo executável. Web.pontodosconcursos. enviando cópias de si mesmo de computador para computador (observe que os worms APENAS se copiam. remover contatos da agenda. que é (geralmente) renomeado de modo que ele seja executado em vez do programa que a vítima ou Replicadores pensou que estava carregando.br | Profa. Nesse caso. • emitir algumas mensagens multimídia esquisitas. incluindo sua propagação. devido à grande quantidade de cópias de si mesmo que costumam propagar.pontodosconcursos. podendo manipular os sistemas infectados. podem gerar grandes transtornos para aqueles que estão recebendo tais cópias.com. isto nem sempre é possível. www. .Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . Os bots esperam por comandos de um hacker. S O S R Difíceis de serem detectados. C . muitas vezes os worms realizam uma série de atividades. permitindo que o bot seja controlado remotamente. Embora alguns programas antivírus permitam detectar a presença de Worms e até mesmo evitar que eles se propaguem. (Atenção) R B . Patrícia Quintão exploração de vulnerabilidades existentes ou falhas na configuração de softwares instalados em computadores. é um programa capaz de se propagar automaticamente. M O Worms são notadamente responsáveis por consumir muitos recursos. U C N O C A T I L Bots (“Robôs”) • A H De modo similar ao worm. mas a propagação via rede é a mais comum. Além disso. Sua característica marcante é a replicação (cópia funcional de si mesmo) e infecção de outros computadores SEM intervenção humana e SEM necessidade de um programa hospedeiro. Os Worms podem se espalhar de diversas maneiras. explorando vulnerabilidades existentes ou falhas na configuração de software instalado em um computador.T W W W Adicionalmente ao worm. sem que o usuário tenha conhecimento. Patrícia Lima Quintão 20 . Degradam sensivelmente o desempenho de redes e podem lotar o disco rígido de computadores. dispõe de mecanismos de comunicação com o invasor.Profa. sem o conhecimento do usuário.br | Profa. entre outros meios. a comunicação entre o invasor e o computador pelo bot pode ocorrer via canais de IRC.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . Botnet (Symantec. o invasor pode enviar instruções para que ações maliciosas sejam executadas. servidores Web e redes do tipo P2P. mais potente ela será. Um invasor que tenha controle sobre uma botnet pode utilizá-la para: • coletar informações de um grande número de computadores. • “clicar” em anúncios e gerar receitas fraudulentas. • hospedar sites de phishing. junção da contração das palavras robot (bot) e network (net). • enviar spam em grande escala. Uma rede infectada por bots é denominada de botnet (também conhecida como rede zumbi). • iniciar ataques de negação de serviço que impedem o uso de serviços online etc.pontodosconcursos. sendo composta geralmente por milhares desses elementos maliciosos. furtar dados do computador infectado e enviar spam. como desferir ataques. Patrícia Quintão Segundo CertBr (2012). aguardando o comando de um invasor. Ao se comunicar.2014) Quanto mais zumbis (Zombie Computers) participarem da botnet.com. www.br | Profa. Patrícia Lima Quintão 21 .Profa. Figura. Nesse ponto. que ficam residentes nas máquinas. cabe destacar um termo que já foi cobrado várias vezes em prova pela banca! Trata-se do significado de botnet. álbum de fotos. C A T I L Trojan Horse (Cavalo de Troia) • A H É um programa aparentemente inofensivo que entra em seu computador na forma de cartão virtual. Patrícia Lima Quintão 22 . e por permitirem a qualquer pessoa possuir o controle de um outro computador. ele envia às máquinas zumbis os comandos a serem executados.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação .Profa. O trojans ficaram famosos na Internet pela facilidade de uso. jogo etc. à espera dos comandos a serem executados.br | Profa. 2014). É desse modo que eles são capazes de enviar milhões de e-mails de spam ou infectar milhões de PCs por hora (Symantec. por trás abre portas de comunicação do seu computador para que ele possa ser invadido. . agora seu controlador. S • quando o controlador deseja que uma ação seja realizada. usando. U C N O • quando a ação é encerrada. R B . NEM propagar cópias de si mesmo automaticamente. 2012): • o atacante propaga um tipo específico de bot. durante o período predeterminado pelo controlador. as máquinas zumbis voltam a ficar à espera dos próximos comandos a serem executados. M O C . www. O esquema simplificado apresentado a seguir destaca o funcionamento básico de uma botnet (CERT. quando executado (com a sua autorização). • essas máquinas zumbis ficam então à disposição do atacante. com a intenção de infectar e conseguir a maior quantidade possível de máquinas zumbis. mas. por exemplo. protetor de tela. Patrícia Quintão Botnets fornecem aos criminosos cibernéticos capacidade de processamento e conectividade de Internet em escala gigantesca. parece lhe divertir.. apenas com o envio de um arquivo.T W W W Por definição. redes do tipo P2P ou servidores centralizados.com. o Cavalo de Troia distingue-se de um vírus ou de um worm por NÃO infectar outros arquivos.br. e que.pontodosconcursos. O S R • as máquinas zumbis executam então os comandos recebidos. Patrícia Lima Quintão no 23 . que enviará informações para o servidor executar certas operações no computador da vítima. • realize o furto de senhas e outras informações sensíveis. ou destrua todos os arquivos armazenados • faça a instalação de keyloggers ou screenloggers (descubra todas as senhas digitadas pelo usuário).com. Um spam contendo um código malicioso conhecido como Cavalo de Troia. Nesse momento. no momento em que o arquivo é executado. Patrícia Quintão Os trojans atuais são divididos em duas partes.pontodosconcursos. o servidor se instala e se oculta no computador da vítima.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . Na maioria das vezes. o computador já pode ser acessado pelo cliente. como números de cartões de crédito. ele irá instalar programas para possibilitar que um invasor tenha controle total sobre um computador. O usuário será infectado se clicar no link e executar o anexo. Figura. Estes programas podem permitir que o invasor: • veja e copie computador. Ao passar o mouse sobre o link. que são: o servidor e o cliente. pois não se duplica e não se dissemina como os vírus. o servidor encontra-se oculto em algum outro arquivo e. www. Normalmente. O cavalo de troia não é um vírus.Profa.br | Profa. veja que o site mostrado não é da Vivo. www.Profa. possibilitando que o computador seja utilizado para navegação anônima e para envio de spam. R B . M O Há diferentes tipos de trojans. apagar arquivos ou formatar o disco rígido. com o objetivo de aumentar a quantidade de acessos a estes sites ou apresentar propagandas. Patrícia Quintão faça a inclusão de backdoors. Enquanto estão sendo executados. para permitir que um atacante tenha total controle sobre o computador.br | Profa. através da instalação de programas spyware que são ativados nos acessos aos sites de Internet Banking. classificados de acordo com as ações maliciosas que costumam executar ao infectar um computador. instalar backdoors. Alguns desses tipos apontados por Certbr (2012) são: C . alterar informações. • Trojan DoS: instala ferramentas de negação de serviço e as utiliza para desferir ataques. porém com objetivos mais específicos. • Trojan Destrutivo: altera/apaga arquivos e diretórios. • Exemplos comuns de Cavalos de Troia são programas que você recebe ou obtém de algum site e que parecem ser apenas cartões virtuais animados. formate o disco rígido do computador. etc. • Trojan Dropper: instala outros códigos maliciosos. Patrícia Lima Quintão 24 .com. formata o disco rígido e pode deixar o computador fora de operação.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . possibilitando o acesso remoto do atacante ao computador. entre outros. S O S R • Trojan Downloader: instala outros códigos maliciosos. álbuns de fotos de alguma celebridade. protetores de tela. obtidos de sites na Internet. • Trojan Banker: coleta dados bancários do usuário. e enviá-las ao atacante. embutidos no próprio código do trojan.T W W W • Trojan Clicker: redireciona a navegação do usuário para sites específicos. como senhas e números de cartão de crédito. jogos. U C N O C A T I L A H . • Trojan Proxy: instala um servidor de proxy. • Trojan Spy: instala programas spyware e os utiliza para coletar informações sensíveis. É similar ao Trojan Spy. estes programas podem ao mesmo tempo enviar dados confidenciais para outro computador.pontodosconcursos. • Trojan Backdoor: inclui backdoors. Pode ser usado tanto de forma legítima quanto maliciosa. com o objetivo de verificar se outras pessoas o estão utilizando de modo abusivo ou não autorizado. dados digitados na declaração de Imposto de Renda e outras informações sensíveis. Vamos à diferença entre seu uso (Cert. www. Normalmente.2012): • Legítimo: quando instalado em um computador pessoal. pelo próprio dono ou com consentimento deste. que tem por finalidade monitorar as atividades de um sistema e enviar as informações coletadas para terceiros. como por exemplo. após o acesso a um site específico de comércio eletrônico ou Internet Banking.pontodosconcursos. Alguns tipos específicos de programas spyware são: Keylogger (Copia as teclas digitadas!) É capaz de capturar e armazenar as teclas digitadas pelo usuário no teclado de um computador. através de e-mails).br | Profa. Dentre as informações capturadas podem estar o texto de um e-mail. como monitorar e capturar informações referentes à navegação do usuário ou inseridas em outros programas (por exemplo. Patrícia Quintão • Spyware Trata-se de um programa espião (spy em inglês = espião). o keylogger contém mecanismos que permitem o envio automático das informações capturadas para terceiros (por exemplo. dependendo de como é instalado. das ações realizadas.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . do tipo de informação monitorada e do uso que é feito por quem recebe as informações coletadas. Patrícia Lima Quintão 25 . a ativação do ke ylogger é condicionada a uma ação prévia do usuário. como senhas bancárias e números de cartões de crédito.Profa. • Malicioso: quando executa ações que podem comprometer a privacidade do usuário e a segurança do computador. Em muitos casos.com. conta de usuário e senha).BR. Também as propagandas apresentadas podem ser direcionadas. Geralmente.br | Profa.Br (2103) destaca que ele pode ser usado para fins legítimos. etc. Cert. Normalmente. o keylogger vem como parte de um programa spyware ou cavalo de troia. ou armazenar a região que circunda a posição onde o mouse é clicado. T I L A H . Este tipo de programa geralmente não prejudica o computador. vendas de remédios. de acordo com a navegação do usuário e sem que este saiba que tal monitoramento está sendo realizado. M O C . quando incorporado a programas e serviços. S O S R U C N O Adware (Advertising software) (Exibe propagandas!) C A Projetado especificamente para apresentar propagandas. tais programas vêm anexados a e-mails ou estão disponíveis em sites na Internet.pontodosconcursos. Então.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . também conhecidas como screenloggers capazes de: armazenar a posição do cursor e a tela apresentada no monitor. Neste caso. o simples fato de ler uma mensagem é suficiente para que qualquer arquivo anexado seja executado. Patrícia Lima Quintão 26 .com. Quando o seu uso é feito de forma maliciosa. Patrícia Quintão Screenloggers (Copia as telas acessadas!) As instituições financeiras desenvolveram os teclados virtuais para evitar que os keyloggers pudessem capturar informações sensíveis de usuários. R B . Desta forma. como forma de patrocínio ou retorno financeiro para quem desenvolve programas livres ou presta serviços gratuitos. pode abrir uma janela do navegador apontando para páginas de cassinos. Existem ainda programas leitores de e-mails que podem estar configurados para executar automaticamente arquivos anexados às mensagens.T W W W www.Profa. é necessário que este programa seja executado para que o keylogger se instale em um computador. páginas pornográficas. foram desenvolvidas formas mais avançadas de keyloggers. nos momentos em que o mouse é clicado. também é intenção do atacante poder retornar ao computador comprometido sem ser notado. sem precisar recorrer aos métodos utilizados na realização da invasão.com. normalmente possuindo recursos que permitam acesso remoto (através da Internet). Patrícia Quintão • Ransomwares (Pede resgate!) São softwares maliciosos que. se mal configurados ou utilizados sem o consentimento do usuário. como BackOrifice. A esses programas que permitem o retorno de um invasor a um computador comprometido. Fonte: http://adrenaline. ao infectarem um computador.uol.com. Programas de administração remota.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . Pode ser incluído por um invasor ou através de um cavalo de troia. as vítimas terão as opções de perder suas informações ou pagar resgate para recuperar o acesso”. Sub-Seven. são uma tendência considerável em 2013”. um pagamento pelo "resgate" dos dados.pontodosconcursos. um atacante procura garantir uma forma de retornar a um computador comprometido. que impedem o uso de telefones ou tablets e ameaçam mantê-los assim até que um resgate seja pago. utilizando serviços criados ou modificados para este fim. O desenvolvimento e a distribuição de tecnologias de ransomware sofisticadas. Em 2012. dá-se o nome de backdoor. “Como os atacantes sequestram a capacidade de o usuário acessar seus dados. Patrícia Lima Quintão 27 . A forma usual de inclusão de um backdoor consiste na disponibilização de um novo serviço ou substituição de um determinado serviço por uma versão alterada.html • Backdoors (Abre portas!) Normalmente.br | Profa.br/seguranca/noticias/15160/mcafeepreve-as-principais-ameacas-para-2013. NetBus. VNC e Radmin. com a expansão do ransomware (sequestro de equipamentos) para dispositivos móveis. a McAfee “observou o aumento do número de ameaças móveis. www. também podem ser classificados como backdoors.Profa. Na maioria dos casos. criptografam todo ou parte do conteúdo do disco rígido. Os responsáveis pelo software exigem da vítima. fazer com que determinadas informações de um banco de dados sejam removidas numa determinada data. As bombas lógicas são difíceis de detectar porque são frequentemente instaladas por quem tem autorização no sistema. • sniffers. • backdoors.com. • scanners. para assegurar a sua presença no computador comprometido. O S R U C N O T I L C A mapear potenciais vulnerabilidades em outros A H Bomba Lógica (Logic Bomb) . para assegurar o acesso futuro do invasor ao computador comprometido. sem qualquer método de criptografia. para capturar informações na rede onde o computador está localizado. tais como arquivos. Dentre eles. seja pelo usuário devidamente autorizado ou www. e suas atividades serão escondidas do responsável e/ou dos usuários do computador. para computadores. Patrícia Lima Quintão 28 . sem precisar recorrer novamente aos métodos utilizados na realização da invasão.br | Profa. M O Um rootkit pode fornecer programas com as mais diversas funcionalidades.pontodosconcursos. ou seja. R B .Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . O invasor. • programas para remoção de evidências em arquivos de logs.Profa.. processos etc. após instalar o rootkit. diretórios.T W W C . Patrícia Quintão Rootkit • Tipo de malware cuja principal intenção é se camuflar. merecem destaque: • W programas para esconder atividades e informações deixadas pelo invasor. por exemplo. Isto é possível por que esta aplicação tem a capacidade de interceptar as solicitações feitas ao sistema operacional. impedindo que seu código seja encontrado por qualquer antivírus. S • Programa em que o código malicioso é executado quando ocorre um evento predefinido (como uma data que está se aproximando ou quando uma determinada palavra ou sequência de caracteres é digitada no teclado pelo usuário). Uma ação de uma bomba lógica seria. terá acesso privilegiado ao computador previamente comprometido. como por exemplo senhas que estejam trafegando em claro. podendo alterar o seu resultado. que podem ser cobrados em provas. Isca de Phishing Relacionada ao SERASA www.). entre outros exemplos. geralmente um e-mail ou recado através de scrapbooks como no sítio Orkut.pontodosconcursos. dados de contas bancárias.Profa. senhas. Alguns tipos de vírus são considerados bombas lógicas. uma vez que têm um circuito de disparo planejado por hora e data. Golpes na Internet A seguir apresentamos alguns dos principais golpes aplicados na Internet.com. Isca de Phishing Relacionada ao Banco do Brasil Figura. tenta enganar o receptor da mensagem e induzi-lo a fornecer informações sensíveis (números de cartões de crédito. Utilizando de pretextos falsos. Patrícia Quintão por um administrador. etc. O golpe de phishing é realizado por uma pessoa malintencionada através da criação de um website falso e/ou do envio de uma mensagem eletrônica falsa. Figura.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . fazendo menção à utilização de códigos maliciosos (malwares): • Phishing (também conhecido como Phishing scam. As duas figuras seguintes apresentam “iscas” (e-mails) utilizadas em golpes de phishing. ou apenas scam) Importante!!! É um tipo de fraude eletrônica projetada para roubar informações particulares que sejam valiosas para cometer um roubo ou fraude posteriormente. Patrícia Lima Quintão 29 .br | Profa. uma envolvendo o Banco de Brasil e a outra o Serasa. O sistema também pode redirecionar os usuários para sites autênticos através de proxies controlados. que podem ser usados para monitorar e interceptar a digitação. Isso é feito através da exibição de um pop-up para roubar a informação antes de levar o usuário ao site real. Outra forma de enganar o usuário é sobrepor a barra de endereço e status de navegador para induzi-lo a pensar que está no site legítimo e inserir suas informações. N O C A T I L Nesse contexto. • Sniffing Processo de captura das informações da rede por meio de um software de escuta de rede (conhecido como sniffer. Atualmente.Profa. www.pontodosconcursos. programas criminosos podem ser instalados nos PCs dos consumidores para roubar diretamente as suas informações. em que “iscas” (e-mails) são usadas para “pescar” informações sensíveis (senhas e dados financeiros. o usuário não sabe que está infectado. percebendo apenas uma ligeira redução na velocidade do computador ou falhas de funcionamento atribuídas a vulnerabilidades normais de software. Patrícia Quintão A palavra phishing (de fishing) vem de uma analogia criada pelos fraudadores. apresenta formulários para o preenchimento e envio de dados pessoais e financeiros de usuários.br | Profa.T W W W Ataques na Internet A seguir. R B . M O Pharming • C . este termo vem sendo utilizado também para se referir aos seguintes casos: • mensagem que procura induzir o usuário à instalação de códigos maliciosos. S O Pharming é uma técnica que utiliza o sequestro ou a "contaminação" do servidor DNS (Domain Name Server) para levar os usuários a um site falso. senhas e números de documentos. alterando o DNS do site de destino. que podem ser cobrados indiretamente na sua prova. Patrícia Lima Quintão 30 . farejador ou ainda capturador de pacote). destacamos alguns dos principais tipos de ataques. por exemplo) de usuários da Internet. Na maioria dos casos. • mensagem que. O S R U C Os sites falsificados coletam números de cartões de crédito. A H . projetados para furtar dados pessoais e financeiros.com.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . capaz de interpretar as informações transmitidas no meio físico. O programa mal-intencionado usa um certificado auto-assinado para fingir a autenticação e induzir o usuário a acreditar nele o bastante para inserir seus dados pessoais no site falsificado. nomes de contas. no próprio conteúdo. www. não importando o seu destino legítimo.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . O DoS acontece quando um atacante envia vários pacotes ou requisições de serviço de uma vez.DoS) consistem em impedir o funcionamento de uma máquina ou de um serviço específico. é possível utilizar um software que coloca a interface num estado chamado de modo promíscuo. Farejadores ou ainda Capturadores de Pacote. No caso de ataques a redes. Dessa maneira um sniffer atua na rede farejando pacotes na tentativa de encontrar certas informações. causando prejuízos. os computadores (pertencentes à mesma rede) escutam e respondem somente pacotes endereçados a eles. Entretanto. Nessa condição o computador pode monitorar e capturar os dados trafegados através da rede. com objetivo de sobrecarregar um servidor e. • Denial of Service (DoS) Os ataques de negação de serviço (denial of service .br | Profa. como consequência. Patrícia Quintão Sniffers (farejadores ou ainda capturadores de pacotes): por padrão.Profa.com. como nomes de usuários. como entre duas máquinas. (com o tráfego entre elas passando pela máquina com o farejador) ou em uma rede local com a interface de rede em modo promíscuo. Patrícia Lima Quintão 31 . A dificuldade no uso de um sniffer é que o atacante precisa instalar o programa em algum ponto estratégico da rede. Eles exploram o fato do tráfego dos pacotes das aplicações TCP/IP não utilizar nenhum tipo de cifragem nos dados. impedir o fornecimento de um serviço para os demais usuários. Os programas responsáveis por capturar os pacotes de rede são chamados Sniffers. senhas ou qualquer outra informação transmitida que não esteja criptografada.pontodosconcursos. geralmente ocorre que os usuários legítimos de uma rede não consigam mais acessar seus recursos. fazendo com que o ataque seja feito de forma distribuída (Distributed Denial of Service – DDoS). S O S R U C N O C A T I L A H CAIU EM PROVA (Polícia Federal) . isto não significa que houve uma invasão. gerar um grande tráfego de dados para uma rede. C . M O Cabe ressaltar que se uma rede ou computador sofrer um DoS. é necessária uma enorme quantidade de requisições para que o ataque seja eficaz. indisponibilizar serviços importantes de um provedor. normalmente. de modo que o usuário não consiga utilizá-lo.T W W W • Um dos mais conhecidos ataques a um computador conectado a uma rede é o de negação de serviço (DoS – Denial Of Service).pontodosconcursos.com. diminuir a capacidade de processamento ou de armazenagem de dados. Como exemplo deste tipo de ataque tem-se o seguinte contexto: gerar uma sobrecarga no processamento de um computador.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . Para isso. em muitos casos. impossibilitando o acesso de seus usuários. ocasionando a indisponibilidade dela. pois o objetivo de tais ataques é indisponibilizar o uso de um ou mais computadores.br | Profa. Patrícia Lima Quintão 32 . Patrícia Quintão No DoS o atacante utiliza um computador para tirar de operação um serviço ou computador(es) conectado(s) à Internet!!. www. o atacante faz o uso de uma botnet (rede de computadores zumbis sob comando do atacante) para bombardear o servidor com requisições. que ocorre quando um determinado recurso torna-se indisponível devido à ação de um agente que tem por finalidade.Profa. R B . e não invadi-los. Distributed Denial of Service (DDoS) -> São os ataques coordenados! Em dispositivos com grande capacidade de processamento. aca. aa2.Profa. Ex: aaa. Mais termos importantes para a prova! Vamos lá! Spams São mensagens de correio eletrônico não autorizadas ou não solicitadas. Patrícia Lima Quintão 33 . Dessa maneira os programas utilizam o mesmo algoritmo de criptografia para comparar as combinações com as senhas armazenadas. Força-Bruta é uma forma de se descobrir senhas que compara cada combinação e permutação possível de caracteres até achar a senha. aa3. aaB.ataque de negação de serviço distribuído-. Em outras palavras. aaA. • Força-Bruta: enquanto as listas de palavras. muitos usuários priorizam a conveniência ao invés da segurança e utilizam senhas fáceis de serem descobertas e inseguras. • Ataques de senhas A utilização de senhas seguras é um dos pontos fundamentais para uma estratégia efetiva de segurança.br | Profa. www. ela é considerada como quebrada (Cracked).. dão ênfase na velocidade. As duas principais técnicas de ataque a senhas são: • Ataque de Dicionário: nesse tipo de ataque são utilizadas combinações de palavras.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação .. o segundo método de quebra de senhas se baseia simplesmente na repetição. Quando alguma dessas combinações se referirem à senha.com. símbolos.pontodosconcursos. aa0. aac . aba. no entanto. aab. Geralmente as senhas estão armazenadas criptografadas utilizando um sistema de criptografia HASH.. disseminação de golpes e venda ilegal de produtos.. letras.. números.. frases... ada.. Os programas responsáveis por realizar essa tarefa trabalham com diversas permutações e combinações sobre essas palavras. aa1.. aaC. Este é um método muito poderoso para descoberta de senhas. sendo um dos grandes responsáveis pela propagação de códigos maliciosos. eles adotam a mesma configuração de criptografia das senhas. no entanto é extremamente lento porque cada combinação consecutiva de caracteres é comparada. Patrícia Quintão No DDoS . ou qualquer outro tipo de combinação geralmente que possa ser utilizada na criação das senhas pelos usuários. e então criptografam as palavras do dicionário e comparam com senha. um conjunto de computadores é utilizado para tirar de operação um ou mais serviços ou computadores conectados à Internet. ou dicionários. sistema operacional e programas instalados. São spams. Nesse caso. M O • Códigos maliciosos: muitos códigos maliciosos são projetados para varrer o computador infectado em busca de endereços de e-mail que. Patrícia Lima Quintão 34 . permitindo que os sites (servidores) obtenham determinadas informações. desde a compra de bancos de dados até a produção de suas próprias listas. os e-mails falsos que recebemos como sendo de órgãos como Receita Federal ou Tribunal Superior Eleitoral. C A T I L A H A seguir destacamos alguns dos riscos relacionados ao uso de cookies (CERTBR. por exemplo. 2013): • Ataques de dicionário: consistem em formar endereços de e-mail a partir de listas de nomes de pessoas. 2013): • W W W . S • Harvesting: consiste em coletar endereços de e-mail por meio de varreduras em páginas Web e arquivos de listas de discussão. etc. os spams costumam induzir o usuário a instalar um dos malwares que vimos anteriormente. O S R U C Cookies N O São pequenos arquivos que são instalados em seu computador durante a navegação. posteriormente. essa prática pode permitir que outras pessoas se autentiquem como você. • autenticação automática: quando utilizamos as opções como “Lembre-se de mim” e “Continuar conectado” nos ˜sites visitados. de palavras presentes em dicionários e/ou da combinação de caracteres alfanuméricos. geradas a partir de (CERTBR. É isto que permite que alguns sites o cumprimentem pelo nome. saibam quantas vezes você o visitou.com. C . www. Ao acessar uma página da Web o seu navegador disponibiliza uma série de informações sobre a máquina como hardware.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . mas é um portador comum delas. R B . Em caso de uma máquina contaminada. os cookies guardam essas informações para autenticações futuras.Profa.T informações coletadas pelos cookies podem ser compartilhadas com outros sites e afetar a sua privacidade. Os spammers (indivíduos que enviam spams) utilizam diversas técnicas para coletar os endereços de e-mail. indevidamente • exploração de vulnerabilidades existentes no computador.br | Profa. entre outros. são repassados para os spammers. Patrícia Quintão O spam não é propriamente uma ameaça à segurança.pontodosconcursos. Os cookies podem ser utilizados para manter referências contendo estas informações e usá-las para explorar possíveis vulnerabilidades existentes em seu computador. sobrepondo a janela do navegador Web. assim. desde enviar um arquivo pela Internet até instalar programas (que podem ter fins maliciosos) em seu computador. Podem representar riscos quando mal implementados ou usados por pessoas mal-intencionadas. Ao aceitar o certificado.pontodosconcursos. Apesar de grande parte desses programas serem confiáveis. é possível a esta empresa determinar seus hábitos de navegação e.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . • coleta de hábitos de navegação: quando você acessa diferentes sites onde são usados cookies de terceiros. Exemplos: • programas e applets Java: podem conter falhas de implementação e permitir que um programa Java hostil viole a segurança do computador.br | Profa. que podem redirecionar a navegação para uma página falsa ou induzi-lo a instalar códigos maliciosos. contendo propagandas ou conteúdo impróprio. comprometer a sua privacidade. Certbr (2013) destaca alguns riscos que podem ser ocasionados nesse contexto: • apresentar mensagens indesejadas. verifica a procedência de um componente ActiveX antes de recebê-lo. Plug-ins. caso não estejam criptografados. • componentes (ou controles) ActiveX: Certbr (2013) destaca que o navegador Web. Patrícia Quintão • coleta de informações pessoais: dados preenchidos em formulários Web também podem ser gravados em cookies.Profa. • apresentar links. Janelas de pop-up Aparecem automaticamente e sem permissão do usuário. o componente é executado e pode efetuar qualquer tipo de ação. Patrícia Lima Quintão 35 . após o acesso a um determinado site. • javaScripts: podem ser usados para causar violações de segurança em computadores. pelo esquema de certificados digitais. pertencentes a uma mesma empresa de publicidade. Códigos móveis Utilizados por desenvolvedores para incorporar maior funcionalidade e melhorar a aparência das páginas Web. coletados por atacantes ou códigos maliciosos e indevidamente acessados. complementos e extensões São programas geralmente desenvolvidos por terceiros e que você pode instalar em seu navegador Web ou leitor de e-mails para prover funcionalidades extras. há a chance de existir programas especificamente criados para executar atividades maliciosas www.com. com. por meio de serviços de publicidade.Profa. Links patrocinados O link patrocinado é um formato de anúncio publicitário pago. possam executar ações danosas em seu computador (Certbr. mais você pode vir a ser remunerado. com o intuito de criar redirecionamentos para páginas de phishing ou contendo códigos maliciosos e representa o principal risco relacionado a links patrocinados. o serviço de publicidade é induzido a acreditar que se trata de um anúncio legítimo e.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . devido a erros de implementação. M O Segundo Certbr (2013) o anunciante geralmente possui uma página Web .2013).T W W W Banners de propaganda Caso você tenha uma página Web. Quando se clica em um link patrocinado. eles são apresentados em diversas páginas Web. o site de busca recebe do anunciante um valor previamente combinado.com acesso via conta de usuário e senha . Geralmente. R B . Quanto mais a sua página é acessada e quanto mais cliques são feitos nos banners por intermédio dela. Um anunciante que queira fazer propaganda de um produto ou site paga para o site de busca apresentar o link em destaque (vide figura seguinte) quando palavras específicas são pesquisadas.br | Profa.pontodosconcursos. Patrícia Quintão ou que. oferecido por diversas ferramentas de busca como: Google. Patrícia Lima Quintão 36 . alterar configurações. ao www. verificar acessos e fazer pagamentos. Yahoo. Um golpe decorrente desse ambiente é o malvertising (junção de "malicious" (malicioso) e "advertsing" (propaganda)). C . Bing.para poder interagir com o site de busca. S O S R U C N O C A T I L A H . Este tipo de conta é bastante visado por atacantes. Nesse tipo de golpe são criados anúncios maliciosos e. é possível disponibilizar um espaço nela para que o serviço de publicidade apresente banners de seus clientes. textos ou programas protegidos pela lei de direitos autorais). tais como: endereços de e-mail. Gnutella e BitTorrent. Mecanismos Básicos de Proteção da Informação Diante desse grande risco. considerados como “boas práticas de segurança” podem ser implementados para salvaguardar os ativos (que é o que a segurança da informação busca proteger) da organização (CertBR. discos. Patrícia Quintão aceitá-lo. com outros usuários. Programas de distribuição de arquivos (P2P) Permitem que os usuários compartilhem arquivos entre si. como diretórios. • que seus recursos sejam usados por atacantes.pontodosconcursos. Compartilhamento de recursos Ao fazer um compartilhamento de recursos do seu computador. dados pessoais e. 2006). obtenção de arquivos maliciosos por meio dos arquivos distribuídos nesses ambientes. filmes. cadastrais de bancos. violação de direitos autorais (com distribuição não autorizada de arquivos de música. Exemplos: Kazaa. com segurança: • Preservar as informações pessoais. Este conselho é o mesmo que recebemos para zelar pela nossa segurança no trânsito ou ao entrar e sair de nossas casas. Patrícia Lima Quintão 37 . principalmente. cartões de crédito e senhas. O uso desses programas pode ocasionar: acessos indevidos a diretórios e arquivos se mal configurado. caso não sejam definidas senhas para controle de acesso ou sejam usadas senhas facilmente descobertas. uma série de procedimentos.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação .br | Profa. A seguir destacamos as principais dicas que foram reportadas pelo CertBr (2012) para que os usuários da Internet desfrutem dos recursos e benefícios da rede. intermedia a apresentação e faz com que ele seja mostrado em diversas páginas. Como podemos reduzir o volume de spam que chega até nossas caixas postais? A resposta é bem simples! Basta navegar de forma consciente na rede. ok? Então.com. por que liberá-la na Internet? www. Um bom exercício é pensar que ninguém forneceria seus dados pessoais a um estranho na rua. pode estar permitindo: • o acesso não autorizado a recursos ou informações sensíveis.Profa. e impressoras. • M O C . ou ainda. "papa-liquidações" ou Não "destruidor-de-promoções".BR.br | Profa. profissionais. firewall pessoal e antivírus. ao ser capturada enquanto trafega na rede. o usuário deve procurar controlar a curiosidade de verificar sempre a indicação de um site em um e-mail suspeito de spam. Vale lembrar que os sites das empresas e instituições financeiras têm mantido alertas em destaque sobre os golpes envolvendo seus serviços. existem outras ferramentas bastante importantes para o usuário da rede: anti-spyware. Certos usuários mantêm um e-mail somente para assinatura de listas de discussão. usar os recursos anti-spam oferecidos por seu provedor de acesso. com o uso de técnicas de engenharia social. pela observação da movimentação dos seus dedos no teclado ou dos cliques do mouse em teclados virtuais (CERT. A H . a visita ao site da empresa pode confirmar a promoção ou alertá-lo sobre o golpe que acabou de receber por e-mail! • O S R U C N O Ferramentas de combate ao spam (anti-spams) são geralmente disponibilizadas do lado dos servidores de e-mail. Patrícia Lima Quintão 38 . Ao preencher o cadastro. Pensar.Profa. analisar as características do e-mail e verificar se não é mesmo um golpe ou código malicioso. procure desabilitar as opções de recebimento de material de divulgação do site e de seus parceiros. para as compras e cadastros on-line. sem estar criptografada. S ser um "caça-brindes". Assim. bem elaborada. ao ser usada em sites falsos. inadvertidamente! R B . ou seja. reserve um tempo para analisar o e-mail. será necessário preencher formulários. é aquela que é difícil de ser descoberta (forte) e fácil de ser lembrada. Patrícia Quintão Ter. sua procedência e verificar no site da empresa as informações sobre a promoção em questão. Importante que se tenha um filtro anti-spam instalado.com. estudadas nesta aula.pontodosconcursos. sempre que possível.T W W W Cuidados com Contas e Senhas • Uma senha pode ser descoberta ao ser usada em computadores infectados. pois justamente nesse item é que muitos usuários atraem spam. por meio do acesso ao arquivo onde a senha foi armazenada caso ela não tenha sido gravada de forma criptografada. • C A • T I L Além do anti-spam.2012). Não ser um "clicador compulsivo".Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . • Uma senha boa. Não convém que você crie www. como forma a persuadi-lo a entregá-la voluntariamente. Ter um e-mail para cadastros on-line é uma boa prática para os usuários com o perfil descrito. filtrando as mensagens que são direcionadas à nossa caixa postal. e-mails separados para assuntos pessoais. por meio de tentativas de adivinhação. geralmente. promoções ou descontos. rs! Ao receber e-mails sobre brindes. • No caso das promoções da Internet. números de documentos.pontodosconcursos.Profa. quantas forem as pessoas que utilizam seu computador. *Vírus • Instale e mantenha atualizado um bom programa antivírus. grande quantidade de caracteres. quando for usá-la. outra para acesso à rede corporativa da sua empresa. sobrenomes. o utilize uma senha diferente para cada serviço (por exemplo. sequências de teclado. compostos de letras. Também não convém que você crie uma senha fácil de ser lembrada se ela puder ser facilmente descoberta por um atacante. datas que possam ser relacionadas com você. diferentes tipos de caracteres (CERT. Patrícia Lima Quintão 39 . • fazer a instalação de patches de segurança e atualizações corretivas de softwares e do sistema operacional quando forem disponibilizadas (proteção contra worms e bots). Mais dicas: o crie uma senha que contenha pelo menos oito caracteres. como: • instalação de ferramentas antivírus e antispyware no computador. números de telefones.com.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . lembrando de mantê-las atualizadas frequentemente. o crie tantos usuários com privilégios normais. não conseguir recordá-la.). • atualize as assinaturas do antivírus.BR. • Alguns elementos que você deve usar na elaboração de suas senhas são: números aleatórios. www. • Alguns elementos que você não deve usar na elaboração de suas senhas são: qualquer tipo de dado pessoal (jamais utilizar como senha seu nome. números e símbolos. uma senha para o banco. de preferência diariamente.br | Profa. placas de carros. etc. A banca pode citar ferramentas antimalware nesse contexto também.). etc. palavras que façam parte de listas. o altere a senha com frequência. o utilize o usuário Administrator estritamente necessário. outra para acesso a seu provedor de Internet etc.2013). • não realizar abertura de arquivos suspeitos recebidos por e-mail. (ou root) somente quando for Cuidados com Malware O combate a códigos maliciosos poderá envolver uma série de ações. Patrícia Quintão uma senha forte se. Profa. como CDs. Patrícia Lima Quintão 40 . worms e bots. que em alguns casos pode evitar o acesso a um backdoor já instalado em seu computador etc. bots e botnets C .com. R B . • não execute ou abra arquivos recebidos por e-mail ou por outras fontes. flexíveis (disquetes) e unidades removíveis. A H .T • W W W utilize pelo menos uma ferramenta anti-spyware e mantê-la sempre atualizada. • utilize na elaboração de documentos formatos menos suscetíveis à propagação de vírus. backdoors. para corrigir eventuais vulnerabilidades existentes nos softwares utilizados. S • Siga todas as recomendações para prevenção contra vírus listadas no item anterior. • instale um firewall pessoal. • mantenha o sistema operacional e as aplicações instaladas sempre com a versão mais recente e com todas as atualizações aplicadas. • instale um firewall pessoal.2012): • se disponível.pontodosconcursos. instale um programa antimalware antes de instalar qualquer tipo de aplicação. principalmente as relacionadas à segurança. Caso seja necessário abrir o arquivo. certifique-se que ele foi verificado pelo programa antivírus. O S R U C N O C A T I L *Cavalos de troia. • aplique todas as correções de segurança (patches) disponibilizadas pelos fabricantes. M O * Worms. mesmo que venham de pessoas conhecidas. • fique atento às notícias veiculadas no site do fabricante.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . PDF ou PostScript etc. • mantenha o sistema operacional e demais softwares sempre atualizados. • desabilite no seu programa leitor de e-mails a auto-execução de arquivos anexados às mensagens. DVDs e pen drives. discos rígidos (HDs). Patrícia Quintão • configure o antivírus para verificar os arquivos obtidos pela Internet. www. principalmente aquelas desenvolvidas por terceiros. tais como RTF. que em alguns casos pode evitar que uma vulnerabilidade existente seja explorada (observe que o firewall não corrige as vulnerabilidades!!) ou que um worm ou bot se propague.. Cuidados com o seu dispositivo móvel Ao usar seu dispositivo móvel (CERT. keyloggers e spywares • Siga todas as recomendações para prevenção contra vírus.br | Profa.BR. • configure a conexão bluetooth para que seu dispositivo não seja identificado (ou "descoberto") por outros dispositivos (em muitos aparelhos esta opção aparece como "Oculto" ou "Invisível"). • seja cuidadoso ao usar aplicativos de redes sociais. configure-o para aceitar senhas complexas (alfanuméricas). quando possível. se possível. destacamos os principais itens necessários para uma boa política de segurança: • possuir instalações físicas adequadas que ofereçam o mínimo necessário para garantia da integridade dos dados.pontodosconcursos. principalmente os baseados em geolocalização.BR. como complementos. • Proteja seu dispositivo móvel e os dados nele armazenados (CERT. o configure-o para que seja localizado e bloqueado remotamente.com. infravermelho e Wi-Fi.BR. desabilitadas e somente as habilite quando for necessário. como bluetooth. o use conexão segura sempre que a comunicação envolver dados confidenciais. para que os dados sejam apagados após um determinado número de tentativas de desbloqueio sem sucesso (use esta opção com bastante cautela. o não siga links recebidos por meio de mensagens eletrônicas. principalmente se você tiver filhos e eles gostarem de "brincar" com o seu dispositivo). por meio de serviços de geolocalização (isso pode ser bastante útil em casos de perda ou furto).2013): • seja cuidadoso ao usar redes Wi-Fi públicas. informações sensíveis sempre em formato o faça backups periódicos dos dados nele gravados. • mantenha interfaces de comunicação. Patrícia Quintão • seja cuidadoso ao instalar aplicações desenvolvidas por terceiros. Patrícia Lima Quintão 41 . principalmente em locais de risco (procure não deixá-lo sobre a mesa e cuidado com bolsos e bolsas quando estiver em ambientes públicos). Nesse contexto.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação .Profa. o cadastre uma senha de acesso que seja bem elaborada e. pois isto pode comprometer a sua privacidade Ao acessar redes (CERT. www. o mantenha controle físico sobre ele.br | Profa. Elaboração de uma Política de Segurança com o objetivo de solucionar ou minimizar as vulnerabilidades encontradas na organização.2013): as o mantenha criptografado. extensões e plug-ins. o configure-o. • uso adequado de equipamentos de proteção e segurança tais como: UPS (“no-break”). M O C . pendrives. A H . etc. Patrícia Lima Quintão 42 . • acesso a versões anteriores das informações. fitas magnéticas. limpeza e política da boa utilização.T W W W Cópia de segurança: É uma cópia de informações importantes que está guardada em um local seguro. geralmente mantida em CDs. Objetivo: • recuperação de dados em caso de falha (perda dos dados originais). caso haja algum problema. S O S R U C • treinamento e conscientização de funcionários para diminuir as falhas humanas. Patrícia Quintão • controle de umidade. filtro de linha. • utilização de sistemas operacionais que controlem o acesso de usuários e que possuem um nível de segurança bem elaborado.pontodosconcursos. de forma a protegê-los de qualquer eventualidade.com. Um backup envolve cópia de dados em um meio fisicamente separado do original. regularmente.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . temperatura e pressão. • sistema de aterramento projetado para suportar as descargas elétricas. para que possam ser restaurados em caso de perda dos dados originais). • software antivírus atualizado constantemente. N O C A T I L Backup (Cópia de segurança) O procedimento de backup (cópia de segurança) pode ser descrito de forma simplificada como copiar dados de um dispositivo para o outro com o objetivo de posteriormente recuperar as informações.br | Profa. tais como Firewall (sistema que filtra e monitora as ações na rede). • realização de backups (cópia de segurança para salvaguardar os dados. somente o destinatário possuir o código necessário. No envio de mensagens uma mensagem é criptografada e se for interceptada dificilmente poderá ser lida. • sistema de criptografia (ferramenta que garante a segurança em todo ambiente computacional que precise de sigilo em relação às informações que manipula).Profa. • utilização de sistemas de proteção de uma rede de computadores.. R B . juntamente com o controle de senhas. • manutenção do computador. www. extintores de incêndio adequados para equipamentos elétricos/eletrônicos. estabilizador de tensão. DVDs. grupos de arquivos ou todos os arquivos incluídos no backup. pois se acontecer algum problema com a máquina. armazenamento na nuvem ou “cloud storage” (uso do OneDrive .-hd-externo-ou-nuvemqual-o-melhor-para-backup-de-arquivos/24351. Você também pode restaurar arquivos individuais.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . Veja na tabela seguinte mais termos relacionados a esse assunto: Restore Processo de recuperação dos dados a partir de um backup. etc. Motivações para o backup off-site incluem recuperação de desastres. Permite restaurar versões de arquivos de backup que tenham sido perdidas. Na era digital. a informação é um dos ativos mais valiosos. Patrícia Lima Quintão 43 .uol.-dvd. Se houver algum problema com o HD ou se acidentalmente apagarmos as fotos. consolidação de operações de backup e economia. Patrícia Quintão Para a realização de um backup. e ter uma estratégia de backup e recuperação eficiente e gerenciável tornou-se vital para o negócio. armazenadas no HD (disco rígido).pontodosconcursos. para um DVD é fazer backup. pastas compartilhadas na rede. www. pessoal. de um dispositivo de Arquivamento Mover dados que não são mais usados (dados históricos) para outro lugar. Dropbox. Seja ele qual for a sua escolha. Backup Off Site Abrange a replicação de dados de backup em um local geograficamente separado do local dos sistemas de produção. Assim.Profa.br/video/cd. Veja um link interessante sobre esse tema em: http://olhardigital. HD).-pen-drive. CD.com. é importante destacar também que a proteção das informações é fundamental para o funcionamento cotidiano de qualquer empresa. Blu-ray. mas que ainda podem ser acessados em caso de necessidade. DVD. copiar nossas fotos digitais. podemos então restaurar os arquivos a partir do DVD. Bem.antigo SkyDrive.com. Fitas-Dat. todos têm a mesma finalidade. Imagem Cópia de todos os dados armazenamento (CD. além de fazer backup pela rede remota (WAN). DVD. HD externo.br | Profa. podemos utilizar: pendrive. ou outro ambiente). todos os dados (originais e backup) serão perdidos. Não é aconselhável o uso de outra partição do HD principal ou HD Interno. chamamos as cópias das fotos no DVD de cópias de segurança ou backup. vida útil e segurança de cada um. Nesse exemplo. danificadas ou alteradas acidentalmente. A diferença está na capacidade. guia Geral -> Avançados.br | Profa.Profa. M O C . R B . Patrícia Lima Quintão 44 .Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . C A • Definem o comportamento do sistema de arquivos. marcada como padrão (No Windows XP. Patrícia Quintão Métodos de Backup Existem. . • Podem ser acessados através das propriedades (Alt+Enter ou clique com botão direito do mouse no ícone do arquivo ou pasta pelo Windows).pontodosconcursos. leia-se arquivo morto). e selecionar a opção Propriedades. www. basicamente. S O S R Atributos de Arquivos U C N O • São informações associadas a arquivos e pastas. será exibida uma caixa “o arquivo está pronto para ser arquivado”. dois métodos de Backup. T I L A H Ao clicar com o botão direito do mouse no ícone de um arquivo do Windows. conforme ilustrado nas figuras seguintes.T W W W Em uma pasta irá aparecer a caixa “Pasta pronta para arquivamento”.com. em seguida. www.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . Figura.pontodosconcursos. Patrícia Lima Quintão 45 .br | Profa. do meu computador que possui o sistema operacional Windows Vista. Figura. Atributos de uma pasta no Windows 7 A tela seguinte destaca opção de “arquivo morto” obtida ao clicar com o botão direito do mouse no arquivo intitulado lattes.Profa. no Windows 7.pdf. Patrícia Quintão Figura. Windows XP.com. Atributos de arquivos. Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação - Profa. Patrícia Quintão R B . M O Assim temos: C . S Quando um arquivo/pasta está com o atributo marcado, significa que ele deverá ser copiado no próximo backup. O S R Se estiver desmarcado, significa que, provavelmente, já foi feito um backup deste arquivo. U C Técnicas (Tipos) de Backup N O As principais técnicas (tipos) de Backup, que podem ser combinadas com os mecanismos de backup on-line e off-line, estão listadas a seguir: C A **NORMAL (TOTAL ou GLOBAL) T I L • COPIA TODOS os arquivos e pastas selecionados. • DESMARCA o atributo de arquivamento (arquivo morto): limpa os marcadores. .T • W W W A H Caso necessite restaurar o backup normal, você só precisa da cópia mais recente. • Normalmente, este backup é executado quando você cria um conjunto de backup pela 1ª vez. • Agiliza o processo de restauração, pois somente um backup será restaurado. **INCREMENTAL • Copia somente os arquivos CRIADOS ou ALTERADOS desde o último backup normal ou incremental. • O atributo de arquivamento (arquivo morto) É DESMARCADO: limpa os marcadores. www.pontodosconcursos.com.br | Profa. Patrícia Lima Quintão 46 Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação - Profa. Patrícia Quintão **DIFERENCIAL • Copia somente os arquivos CRIADOS ou ALTERADOS desde o último backup normal ou incremental. • O atributo de arquivamento (arquivo morto) NÃO É ALTERADO: não limpa os marcadores. **CÓPIA (AUXILIAR ou SECUNDÁRIA) • Faz o backup de arquivos e pastas selecionados. • O atributo de arquivamento (arquivo morto) NÃO É ALTERADO: não limpa os marcadores! **DIÁRIO • • Copia todos os arquivos e pastas selecionados que foram ALTERADOS DURANTE O DIA da execução do backup. O atributo de arquivamento (arquivo morto) NÃO É ALTERADO: não limpa os marcadores! www.pontodosconcursos.com.br | Profa. Patrícia Lima Quintão 47 Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação - Profa. Patrícia Quintão R B . M O C . S O S R U C Recuperação do backup N O Quanto à RECUPERAÇÃO do backup: Para recuperar um backup normal, será necessária a cópia mais recente do arquivo ou da fita de backup para restaurar todos os arquivos. Geralmente, o backup normal é executado quando você cria um conjunto de backup pela primeira vez. C A T I L Se você estiver executando uma combinação dos backups normal e diferencial, a restauração de arquivos e pastas exigirá o último backup normal e o último backup diferencial, já que este contém tudo que é diferente do primeiro. A H .T W W W Se você utilizar uma combinação dos backups normal e incremental, precisará do último conjunto de backup normal e de todos os conjuntos de backups incrementais para restaurar os dados. O backup dos dados que utiliza uma combinação de backups normal e incremental exige menos espaço de armazenamento e é o método mais rápido. No entanto, a recuperação de arquivos pode ser difícil e lenta porque o conjunto de backup pode estar armazenado em vários discos ou fitas. O backup dos dados que utiliza uma combinação dos backups normal e diferencial é mais longo, principalmente se os dados forem alterados com frequência, mas facilita a restauração de dados, porque o conjunto de backup geralmente é armazenado apenas em alguns discos ou fitas. Fonte: http://technet.microsoft.com/pt-br/library/cc784306(v=ws.10).aspx www.pontodosconcursos.com.br | Profa. Patrícia Lima Quintão 48 Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação - Profa. Patrícia Quintão Plano de segurança para a política de backup É importante estabelecer uma política de backup que obedeça a critérios bem definidos sobre a segurança da informação envolvida, levando-se em consideração os serviços que estarão disponíveis; quem pode acessar (perfis de usuários) as informações; como realizar o acesso (acesso remoto, local, senhas, etc.); o que fazer em caso de falha; quais os mecanismos de segurança (antivírus), dentre outros. Em suma, o objetivo principal dos backups é garantir a disponibilidade da informação. Por isso a política de backup é um processo relevante no contexto de segurança dos dados. Noções sobre Criptografia A palavra criptografia é composta dos termos gregos KRIPTOS (secreto, oculto, ininteligível) e GRAPHO (escrita, escrever). Trata-se de um conjunto de conceitos e técnicas que visa codificar uma informação de forma que somente o emissor e o receptor possam acessá-la. Terminologia básica sobre Criptografia: • Mensagem ou texto: informação que se deseja proteger. Esse texto quando em sua forma original, ou seja, a ser transmitido, é chamado de texto puro ou texto claro. • Remetente ou emissor: pessoa ou serviço que envia a mensagem. • Destinatário ou receptor: pessoa ou serviço que receberá a mensagem. • Encriptação: processo em que um texto puro passa, transformando-se em texto cifrado. • Desencriptação: processo de recuperação de um texto puro a partir de um texto cifrado. • Canal de comunicação: é o meio utilizado para a troca de informações. • Criptografar: ato de encriptar um texto puro, assim descriptografar é o ato de desencriptar um texto cifrado. • Chave: informação que o remetente e o destinatário possuem e que será usada para criptografar e descriptografar um texto ou mensagem. como, Criptografia = arte e ciência de manter mensagens seguras. Criptoanálise = arte e ciência de quebrar textos cifrados. Criptologia = combinação da criptografia + criptoanálise. Criptografia de Chave Simétrica (também chamada de Criptografia de Chave Única, ou Criptografia Privada, ou Criptografia Convencional ou Criptografia de Chave Secreta) www.pontodosconcursos.com.br | Profa. Patrícia Lima Quintão 49 Esta pode ser. R B .com. uma combinação de números.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . Para ilustrar os sistemas simétricos. M O Na criptografia simétrica (ou de chave única) tanto o emissor quanto o receptor da mensagem devem conhecer a chave utilizada. Para criptografar uma mensagem. Patrícia Quintão Utiliza APENAS UMA chave para encriptar e decriptar as mensagens. U C N O C A T I L A H . Assim. uma ÚNICA chave é usada na codificação e na decodificação da informação. como só utiliza UMA chave. usamos a chave (fechamos o cofre) e para decifrá-la utilizamos a mesma chave (abrimos o cofre).Profa. www.pontodosconcursos. que só pode ser fechado e aberto com uso de UMA chave. S O S R A figura seguinte ilustra o processo de criptografia baseada em uma única chave. obviamente ela deve ser compartilhada entre o remetente e o destinatário da mensagem. C . ou seja. a chave que cifra uma mensagem é utilizada para posteriormente decifrá-la.T W W W As principais vantagens dos algoritmos simétricos são: • rapidez: um polinômio simétrico encripta um texto longo em milésimos de segundos. A mesma combinação abre e fecha o cofre. por exemplo. podemos usar a imagem de um cofre. Ambos fazem uso da MESMA chave. Patrícia Lima Quintão 50 . isto é.br | Profa. Essencialmente. Possui várias versões: RC2. Há ainda outros algoritmos conhecidos. Ainda. o Twofish e sua variante Blowfish. fazendo com que a chave possa ser interceptada e/ou alterada em trânsito por um inimigo. Isso corresponde a 72 quadrilhões de combinações (256 = 72. e o RC (Ron's Code ou Rivest Cipher): • DES (Data Encryption Standard): criado pela IBM em 1977.com. • RC (Ron's Code ou Rivest Cipher): criado por Ron Rivest na empresa RSA Data Security. A transmissão dessa chave de um para o outro pode não ser tão segura e cair em "mãos erradas".Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação .br | Profa.594. A maior desvantagem da criptografia simétrica é que a chave utilizada para encriptar é IGUAL à chave que decripta. mas não para um computador potente. Criptografia de Chave ASSimétrica (também chamada de Criptografia de Chave Pública) Os algoritmos de criptografia assimétrica (criptografia de chave pública) utilizam DUAS chaves DIFERENTES. Existem vários algoritmos que usam chaves simétricas. há o fato de que tanto o emissor quanto o receptor precisam conhecer a chave usada. O uso de chaves simétricas também faz com que sua utilização não seja adequada em situações em que a informação é muito valiosa. o IDEA (International Data Encryption Algorithm). uma PÚBLICA (que pode ser distribuída) e uma PRIVADA (pessoal e intransferível). Em 1997. que pode ser www.que é baseado no DES. faz uso de chaves de 56 bits. esse algoritmo é muito utilizado em e-mails e faz uso de chaves que vão de 8 a 1024 bits. RC5 e RC6. ele foi quebrado por técnicas de "força bruta" (tentativa e erro) em um desafio promovido na internet.pontodosconcursos.927. Assim. como: o DES (Data Encryption Standard). Para começar.Profa. cada versão difere da outra por trabalhar com chaves maiores. a informação deixa de ser um segredo. É um valor absurdamente alto. nesse método cada pessoa ou entidade mantém duas chaves: uma pública. como o AES (Advanced Encryption Standard) . por exemplo. Patrícia Lima Quintão 51 . o IDEA é um algoritmo que faz uso de chaves de 128 bits e que tem uma estrutura semelhante ao DES. Quando um grande número de pessoas tem conhecimento da chave.936).037. Patrícia Quintão • chaves pequenas: uma chave de criptografia de 128 bits torna um algoritmo simétrico praticamente impossível de ser quebrado.057. RC4. • IDEA (International Data Encryption Algorithm): criado em 1991 por James Massey e Xuejia Lai. é necessário usar uma grande quantidade de chaves caso muitas pessoas estejam envolvidas. o 3DES. Nesse método.com. imagine o seguinte: o USUÁRIO-A criou uma chave pública e a enviou a vários outros sites. Também conhecida como "Criptografia de Chave Pública". Patrícia Lima Quintão 52 . S O S R U C N O C A T I L A H .pontodosconcursos. Do ponto de vista do custo computacional. Quando o USUÁRIO-A receber a informação. e isso já foi cobrado em provas várias vezes! R B . Quando qualquer desses sites quiser enviar uma informação criptografada ao USUÁRIO-A deverá utilizar a chave pública deste. A figura seguinte ilustra o princípio da criptografia utilizando chave assimétrica.Profa. Essa é a chave pública. Patrícia Quintão divulgada livremente. a técnica de criptografia por Chave Assimétrica trabalha com DUAS chaves: uma denominada privada e outra denominada pública.br | Profa. apenas será possível www. Outra chave deve ser criada para a decodificação. que deve ser mantida em segredo pelo seu dono. uma pessoa deve criar uma chave de codificação e enviá-la a quem for mandar informações a ela. M O C . os sistemas simétricos apresentam melhor desempenho que os sistemas assimétricos. Esta – a chave privada – é secreta. e outra privada.T W W W Para entender melhor. As mensagens codificadas com a chave pública só podem ser decodificadas com a chave privada correspondente.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . Figura.br | Profa. de modo que. a partir de 2004. decifrar.com. o DSA (Digital Signature Algorithm). (http://tecnologia.br/cais/keyserver/). Por ser disponibilizado de forma gratuita.rnp. assinar e verificar assinaturas entre eles (Fonte: https://www. o que fez com que muitos usuários de tecnologia migrassem para outros produtos. etc. Caso o USUÁRIO-A queira enviar uma informação criptografada a outro site. O gpg e o pgp são compatíveis.Profa. Patrícia Lima Quintão 53 . principalmente na troca de e-mails. a partir de um dos programas.jhtm). o PGP deixou de ser gratuito. discos rígidos e qualquer tipo de arquivo: fotos. é possível cifrar.uol. o Schnorr (praticamente usado apenas em assinaturas digitais) e Diffie-Hellman. criado por Philip Zimmermman.com. deverá conhecer sua chave pública. músicas. que é uma versão de software livre do PGP. que só o USUÁRIO-A tem.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . como o GnuPG (gpg). Os softwares de PGP de hoje são tão avançados que foram além do email.br/seguranca/ultnot/2009/02/09/ult6065u8. Patrícia Quintão extraí-la com o uso da chave privada. disponível para diversas plataformas. Eles protegem e criptografam computadores inteiros.pontodosconcursos. em 1991. Entre os algoritmos que usam chaves assimétricas têm-se o RSA (o mais conhecido). o PGP acabou se tornando uns dos meios de criptografia mais conhecidos. Entretanto. Mapa mental relacionado à Criptografia ASSimétrica PGP – Pretty Good Privacy Trata-se de um software de criptografia. www. A chave gerada randomicamente na primeira fase (session key) é transmitida junto com os dados encriptados resultantes da segunda fase para o receptor.com.htm) “PGP combina algumas das melhores características de ambos.ufrj.gta. R B . Quando um usuário codifica os dados com PGP.htm www. Arquivos que são muito pequenos para comprimir ou que não comprimem bem não são comprimidos. M O C . o resultado desta primeira fase são os dados encriptados (cifrados).br/grad/00_1/rodrigo/fr6right. criptografia com chave privada e criptografia com chave pública.T W W W Figura.br | Profa.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação .Profa. PGP é um sistema de criptografia híbrido. Uma vez que os dados são encriptados. PGP primeiro comprime os dados. Esta sessão com chave privada funciona com um algoritmo de encriptação muito seguro para encriptar os dados originais. S O S R U C N O C A T I L A H .ufrj. que é gerada somente uma vez (esta chave seria a equivalente a criptografia com chave privada). Tal chave é um número randômico. Compressão de dados economiza tempo de transmissão e espaço de disco e fortalece a segurança da criptografia. Patrícia Lima Quintão 54 .br/grad/00_1/rodrigo/fr6right. PGP então cria uma chave de sessão (session key). o resultado da primeira fase (dados encriptados com chave privada) passa então por uma fase de encriptação com chave pública na qual é encriptado com a chave pública do receptor.gta. Como a encriptação do PGP funciona Fonte: http://www.pontodosconcursos. gerado a partir de movimentos randômicos do seu mouse e das teclas que você aperta. Patrícia Quintão Como PGP funciona (Extraído de: http://www. htm A combinação dos dois métodos de encriptação associa a segurança de encriptação com chave pública com a velocidade da encriptação com chave privada. A encriptação com chave pública provê em troca uma solução para a distribuição da chave e transmissão de dados seguramente. Encriptação com chave privada é aproximadamente 1000 vezes mais rápida que a encriptação com chave pública.br/grad/00_1/rodrigo/fr6right. Estes servidores normalmente formam uma rede. após a verificação da identidade do par de chaves.br | Profa. Então o PGP usa a chave gerada randomicamente na primeira fase da encriptação para desencriptar e recuperar os dados originais.br/cais/keyserver/). Como a desencriptação do PGP funciona Fonte: http://www. Figura. por exemplo. esta atualização seja propagada para todos os servidores participantes da rede (Fonte: https://www. Usadas juntas. buscar e invalidar chaves públicas de usuários em qualquer parte do mundo. o próximo passo é a publicação desta chave num servidor de chaves.pontodosconcursos.Profa. ou via e-mail.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . Conforme visto. aumenta o desempenho e a segurança da transmissão dos dados.rnp. de forma que. de www. Patrícia Quintão A desencriptação funciona de maneira inversa.” Servidor de chaves Um servidor de chaves consiste em um software especial que possui uma interface via web.com.ufrj.gta. Patrícia Lima Quintão 55 . se um usuário publicar uma chave em um servidor na Espanha. capaz de cadastrar. O receptor usa o seu (ou sua) chave privada para recuperar os dados gerados pela primeira fase da encriptação (session key). buscar e excluir chaves públicas de usuários em qualquer parte do mundo (Fonte: https://www.br | Profa.br/keyserver). Exemplos de Saídas da Função • Não é possível reconstituir a mensagem a partir do hash. O servidor de chaves PGP (Pretty Good Privacy) implementado pelo Centro de Atendimento a Incidentes de Segurança da RNP (CAIS) é o primeiro da América Latina com conexão para a rede mundial de servidores deste gênero (Fonte: https://www.T W W W Figura.br/keyserver). Um servidor de chaves consiste em um software especial capaz de cadastrar. R B . Patrícia Quintão modo que qualquer um que queira se comunicar possa obter facilmente a chave pública deste usuário.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . SHA-256. de modo que basta ao usuário confiar em uma das assinaturas da chave para que passe a confiar na chave (Fonte: https://www. • Pode ser feita em um sentido e não no outro – como a relação entre as chaves em um sistema de criptografia assimétrica. Quando uma chave é publicada. TIGER. CERT.rnp. Patrícia Lima Quintão 56 .br/cais/keyserver/). as assinaturas das pessoas que confiaram nesta chave também são publicadas. M O C . SHA-1.Profa. independentemente www.BR (2013) destaca que “uma função de resumo (hash) é um método criptográfico que.rnp. • Alguns algoritmos de hash: MD4.pontodosconcursos. quando aplicado sobre uma informação. A figura seguinte ilustra alguns exemplos de uso da função hash: • O S R U C N O C A T I L A H . É uma função unidirecional. S • Hashes Criptográficos Hash é uma função matemática que recebe uma mensagem de entrada e gera como resultado um número finito de caracteres (“dígitos verificadores”).rnp. MD5.com. etc. Patrícia Quintão do tamanho que ela tenha. gerar novamente este valor. e este não poderá ser alterado. realizar armazenamento seguro de senhas.com.: você envia uma mensagem com o hash. quando julgar necessário.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . HASH (Message Digest – Resumo de Mensagem): Método matemático “UNIDIRECIONAL”. além do arquivo em si. Geração do hash do arquivo “hash. www.BR (2013) destaca o uso do hash para vários propósitos. alguns sites. etc. • gerar assinaturas digitais.Profa. Você pode utilizar uma ferramenta como a listada na tela seguinte para calcular o hash do arquivo e. Usamos o hash (resumo da mensagem ou message digest em inglês) quando precisamos garantir a integridade de determinada informação. CERT. Figura. Patrícia Lima Quintão 57 . disponibilizam o hash correspondente. • verificar a integridade de um arquivo obtido da Internet (nesse caso. Se os dois hashes forem iguais podemos concluir que o arquivo não foi alterado. temos aí um forte indício de que o arquivo esteja corrompido ou que foi modificado durante a transmissão. como por exemplo: • verificar a integridade de um arquivo armazenado no computador ou em backups. Caso contrário. mas apenas conferido pelo destinatário).br | Profa.pontodosconcursos. gera um resultado único e de tamanho fixo. para que o usuário verifique se o arquivo foi corretamente transmitido e gravado). Utilizado para garantir a “integridade” (não alteração) de dados durante uma transferência. só pode ser executado em um único sentido (ex. ou seja. garantir a integridade de arquivos. chamado hash”.exe”. C A T I L A assinatura é formada tomando o hash (Message Digest – Resumo de Mensagem) da mensagem e criptografando-o com a chave privada do criador. como a assinatura de próprio punho comprova a autoria de um documento escrito. seria preciso codificá-la com a chave pública de Maria. não pode dizer mais tarde que a sua assinatura foi falsificada.com.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação .BR. depois de assiná-la.T W W W www. A assinatura digital comprova que a pessoa criou ou concorda com um documento assinado digitalmente. C .br | Profa. se José quisesse assinar a mensagem e ter certeza de que apenas Maria teria acesso a seu conteúdo. pois é mais rápido codificar o hash (que possui tamanho fixo e reduzido) do que a informação toda”. Patrícia Quintão Assinatura Digital O glossário criado pela ICP Brasil destaca que a Assinatura Digital é um código anexado ou logicamente associado a uma mensagem eletrônica que permite de forma única e exclusiva a comprovação da autoria de um determinado conjunto de dados (um arquivo. A H Assim.2013). de modo que a pessoa ou entidade que receber uma mensagem contendo este código possa verificar se o remetente é mesmo quem diz ser e identificar qualquer mensagem que possa ter sido modificada. U C N O CERT. Para verificar esse requisito. Stallings (2008) destaca que a assinatura digital é um mecanismo de AUTENTICAÇÃO que permite ao criador de uma mensagem anexar um código que atue como uma assinatura. pois se o texto foi codificado com a chave privada. a codificação é feita sobre o hash e não sobre o conteúdo em si. um e-mail ou uma transação). Também é importante ressaltar que o fato de assinar uma mensagem não significa gerar uma mensagem sigilosa. a assinatura digital fornece uma prova inegável de que uma mensagem veio do emissor.pontodosconcursos. uma assinatura deve ter as seguintes propriedades: • autenticidade: o receptor (destinatário de uma mensagem) pode confirmar que a assinatura foi feita pelo emissor. Patrícia Lima Quintão 58 . R B . . somente a chave pública correspondente pode decodificá-lo (CERT. M O Em outras palavras. através da utilização de uma chave privada. a assinatura digital consiste na criação de um código. Para o exemplo anterior. É importante ressaltar que a segurança do método baseia-se no fato de que a chave privada é conhecida apenas pelo seu dono. ou seja.Profa.BR (2013) destaca que “para contornar a baixa eficiência característica da criptografia de chaves assimétricas. S O S R A verificação da assinatura é feita com o uso da chave pública. • integridade: qualquer alteração da mensagem faz com que a assinatura seja invalidada. • não repúdio (irretratabilidade): o emissor (aquele que assinou digitalmente a mensagem) não pode negar que foi o autor da mensagem. a AC emite.Profa. repositório de certificados e o usuário final. de certificados: indivíduos. no final. www. a Autoridade Certificadora opera como um tipo de órgão de licenciamento. é responsável pela autenticidade dos certificados emitidos por ela. ajudando a AC em suas funções rotineiras para o processamento de certificados.pontodosconcursos. autoridade de registro (AR). organizações • encaminhar solicitações de emissão e revogação de certificados à AC. Uma Infraestrutura de Chaves Públicas (ICP) envolve um processo colaborativo entre várias entidades: autoridade certificadora (AC).br | Profa. Uma AR é necessariamente uma entidade operacionalmente vinculada a uma AC. Autoridade Certificadora (AC) Vamos ao exemplo da carteira de motorista. A AC assume a tarefa de autenticação de seus usuários finais e então assina digitalmente as informações sobre o certificado antes de disseminá-lo. À medida que aumenta o número de usuários finais dentro de uma ICP. A AR serve como uma entidade intermediária entre a AC e seus usuários finais. A AC. ou A AC deve manter uma lista de suas ARs credenciadas e estas ARs são consideradas confiáveis. • guardar os documentos apresentados para identificação dos titulares. A ICP-Brasil é um exemplo de PKI. gerencia e revoga os certificados para uma comunidade de usuários finais. a quem compete: • identificar os titulares equipamentos. Se pensarmos em um certificado como uma carteira de motorista. Em uma ICP.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . também aumenta a carga de trabalho de uma AC. Patrícia Lima Quintão 59 . Autoridade de Registro (AR) Embora a AR possa ser considerada um componente estendido de uma ICP. os administradores estão descobrindo que isso é uma necessidade. pelo ponto de vista dessa AC.com. Patrícia Quintão Entendendo os Componentes da Infraestrutura de Chaves Públicas (ICP) PKI (Public Key Infrastrusture) é a infraestrutura de chaves públicas (ICP). M O C . O S R U C O certificado fica armazenado em dispositivos de segurança. gerencia e revoga os certificados para uma comunidade de usuários finais. Patrícia Quintão Resumindo. www. Ilustração de dispositivos de segurança Quanto aos objetivos do certificado digital podemos destacar: • Transferir a credibilidade que hoje é baseada em papel e conhecimento para o ambiente eletrônico.Profa.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . N O C A T I L Token A H . físicas ou jurídicas. servidores (computadores). Patrícia Lima Quintão 60 . dentre outras entidades.pontodosconcursos. R B . S Ele contém informações relevantes para a identificação “real” da entidade a que visa certificar (CPF.) e informações relevantes para a aplicação a que se destina. a AC emite.. • Vincular uma chave pública a um titular (eis o objetivo principal).com. A AR serve como uma entidade intermediária entre a AC e seus usuários finais. contas de usuário. ajudando a AC em suas funções rotineiras para o processamento de certificados.br | Profa. etc.. Certificado Digital Um certificado digital é um documento eletrônico que identifica pessoas.T W W W Smart Card ou cartão inteligente Figura. CNPJ.: Token ou Smart Card. endereço. Este “documento” na verdade é uma estrutura de dados que contém a chave pública do seu titular e outras informações de interesse. ilustrados a seguir. como por ex. URLs. nome. Um exemplo destacando informações do certificado pode ser visto na figura seguinte: www. Identifica unicamente um certificado dentro do escopo do seu emissor. Campo opcional para estender o certificado.pontodosconcursos. URL ou demais informações que estão sendo certificadas. Vínculo da Chave Pública ao Titular Dentre as informações que compõem a estrutura de um certificado temos: Versão Número de série Nome do titular Chave pública do titular Período de validade Nome do emissor Assinatura do emissor Algoritmo de assinatura do emissor Extensões qual formato de certificado Indica está sendo seguido. Nome da pessoa. Patrícia Quintão O certificado digital precisa ser emitido por uma autoridade reconhecida pelas partes interessadas na transação. Figura.com. Data de emissão e expiração. Patrícia Lima Quintão 61 . Entidade que emitiu o certificado.Profa. Chamamos essa autoridade de Autoridade Certificadora. Valor da assinatura digital feita pelo emissor.br | Profa. Informações da chave pública do titular.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . ou AC. conforme visto na próxima figura. Identificador dos algoritmos de hash + assinatura utilizados pelo emissor para assinar o certificado. Patrícia Quintão R B .T W W W Certificação Digital Atividade de reconhecimento em meio eletrônico que se caracteriza pelo estabelecimento de uma relação única. por uma Autoridade Certificadora. A H Quanto maior o número do certificado. S2. M O C . • Certificados de sigilo (assina e criptografa): S1. S O S R U C N O C A A ICP-Brasil definiu os tipos de certificados válidos. divididos entre: T I L • Certificados de assinatura (só assina): A1. Esse reconhecimento é inserido em um Certificado Digital. Patrícia Lima Quintão 62 .Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . A2. Para isso. A3 e A4. máquina ou aplicação.pontodosconcursos. jurídica.Profa.com. maior o nível de segurança de seu par de chaves. Foram definidos 8 tipos diferentes.br | Profa. S3 e S4. Para se fazer a certificação de uma assinatura digital. . é necessária uma infraestrutura que valide o certificado para as demais entidades. exclusiva e intransferível entre uma chave de criptografia e uma pessoa física. existem dois modelos de certificação que podem ser utilizados. São eles: www. os certificados digitais precisam da assinatura digital de uma AC para ser válido. a confiança não é transitiva. ao enviar uma mensagem. ou seja. ele pode verificar a assinatura digital da chave obtida por meio das demais entidades. que. a confiança é controlada pelo próprio usuário. como disco externo e pen-drive. Além disso.pontodosconcursos. Esse é o modelo utilizado para a montagem de Infraestruturas de Chaves Públicas (ICPs). Patrícia Lima Quintão 63 . 2013): • • utilize chaves de tamanho adequado. A seguir destacamos alguns cuidados extraídos de Cert.br | Profa. Seja cuidadoso com as suas chaves e certificados (CERT. Caso alguma entidade duvide de sua validade. verifique o hash. ao enviar uma mensagem. basta consultar na AC para verificar se o certificado não foi revogado. quiser assegurar-se que somente o destinatário possa lê-la. Patrícia Quintão • Modelo de malha de confiança: baseado na criação de uma rede em que as entidades pertencentes devem confiar umas nas outras. 2013): • • • • • • utilize criptografia sempre que.Profa.Br (2013) a serem tomados para proteger os seus dados. isso não significa necessariamente que A confia em C.BR. Nesse modelo. Quanto maior a chave.com. quando possível. utilize assinaturas digitais sempre que. Cada vez que um usuário obtém a chave pública de outro usuário. www.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . que faz a certificação de mensagens eletrônicas. seus dados não poderão ser indevidamente acessados. utilize criptografia para conexão entre seu leitor de e-mails e os servidores de e-mail do seu provedor. Proteja seus dados (CERT. Caso haja dúvida da validade do certificado da AC. • Modelo hierárquico: baseado na montagem de uma hierarquia de Autoridades Certificadoras (ACs). possui um certificado assinado por si mesmo e é mantida por uma entidade governamental. basta conferir na AC-Raiz. As ACs certificam os usuários e existe uma autoridade certificadora raiz (AC-Raiz) que faz a certificação de todas as ACs de sua jurisdição. não utilize chaves secretas óbvias. dos arquivos obtidos pela Internet. Assim. mais resistente ela será a ataques de força bruta. e utilizar de forma adequada a certificação digital. só envie dados sensíveis após certificar-se de que está usando uma conexão segura. garantindo a certeza de que a chave é a verdadeira. quiser assegurar ao destinatário que foi você quem a enviou e que o conteúdo não foi alterado. em caso de perda ou furto do equipamento. em regra. Nesse modelo.BR. se uma entidade A confia em B e B confia em C. cifre o disco do seu computador e dispositivos removíveis. Esse modelo é utilizado no software PGP. como em LAN houses. solicite imediatamente a revogação do certificado junto à AC que o emitiu.Profa. por exemplo. Ao esconder um arquivo em uma imagem. apenas prossiga com a navegação se tiver certeza da idoneidade da instituição e da integridade do certificado.BR. você tem que se assegurar que quem receber a imagem deverá conhecer o método de exibição e a senha utilizada na proteção deste arquivo. planilha eletrônica etc. criado especificamente para cometer fraudes.. ao enviá-la para o destinatário desejado. caso o navegador não reconheça o certificado como confiável. porque perdeu o dispositivo em que ela estava armazenada ou porque alguém acessou indevidamente o computador onde ela estava guardada). pois. Patrícia Quintão certifique-se de não estar sendo observado ao digitar suas chaves e senhas de proteção. utilize canais de comunicação seguros quando compartilhar chaves secretas. Esteganografia www. Procure fazer backups e mantenha-os em local seguro (se você perder uma chave secreta ou privada. preserve suas chaves.. • M O C . U C N O • C A • T I L • A H W • W W . documento de texto. Além de outros benefícios. não poderá decifrar as mensagens que dependiam de tais chaves). só que utilizando criptografia. mantenha seu computador com a data correta. podendo ser uma imagem. de forma contrária. 2013): • mantenha seu sistema operacional e navegadores Web atualizados (além disto contribuir para a segurança geral do seu computador. cybercafés. como por exemplo senha. que certificados não confiáveis sejam considerados válidos. do contrário.com. isto impede que certificados válidos sejam considerados não confiáveis e. S O S R Seja cuidadoso ao aceitar um certificado digital (CERT. observe os símbolos indicativos de conexão segura e leia com atenção eventuais alertas exibidos pelo navegador. poderá estar aceitando um certificado falso. ao acessar um site Web.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação .T Esteganografia É a técnica de esconder um arquivo dentro de outro arquivo.pontodosconcursos. para evitar que outra pessoa faça uso indevido delas.br | Profa. stands de eventos. se suspeitar que outra pessoa teve acesso à sua chave privada (por exemplo. tenha muito cuidado ao armazenar e utilizar suas chaves em computadores potencialmente infectados ou comprometidos. também serve para manter as cadeias de certificados sempre atualizadas). etc. armazene suas chaves privadas com algum mecanismo de proteção. Patrícia Lima Quintão 64 . Figura. • • • • • R B . com. em seu computador: • Um antivírus funcionando constantemente (preventivamente). • O recurso de atualizações automáticas das definições de vírus habilitado. Telas do antivírus AVG e Panda Figura. Panda Cloud Antivírus => Usa a "nuvem de Internet" como recurso para proteger o computador do usuário. que detectam (e. • Esse programa antivírus verificando os e-mails constantemente (preventivo). Não impedem que um atacante explore alguma vulnerabilidade existente no computador. Patrícia Quintão Aplicativos de Segurança **Antivírus Ferramentas preventivas e corretivas.br | Profa. em muitos casos. executar a atualização manualmente).pontodosconcursos. removem) vírus de computador e outros programas maliciosos (como spywares e cavalos de troia). Figura. Dicas É interessante manter. todos os dias. Patrícia Lima Quintão 65 . www. Também não evita o acesso não autorizado a um backdoor instalado no computador.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação .Profa. • As definições de vírus atualizadas constantemente (nem que para isso seja necessário. O S R U C N O O firewall não tem a função de procurar por ataques. bloqueia as transmissões não permitidas.T W W W A RFC 2828 (Request for Coments nº 2828) define o termo firewall como sendo uma ligação entre redes de computadores que restringe o tráfego de comunicação de dados entre a parte da rede que está “dentro” ou “antes” do firewall. Pode ser desde um único computador. Patrícia Quintão **AntiSpyware O malware do tipo spyware pode se instalar no computador sem o seu conhecimento e a qualquer momento que você se conectar à Internet. Ele realiza a filtragem dos pacotes e. em alguns casos. A ferramenta antispyware é uma forte aliada do antivírus. Exemplo de ferramentas antispyware: Windows Defender. Patrícia Lima Quintão 66 . procurando certificar-se de que este tráfego é confiável. um www. Firewalls O IDS (Intrusion Detection Systems) procura por ataques já catalogados e registrados.com. podendo. Dessa forma. Esse mecanismo de proteção geralmente é utilizado para proteger uma rede menor (como os computadores de uma empresa) de uma rede maior (como a Internet). através de regras de segurança. Um firewall deve ser instalado no ponto de conexão entre as redes. atua entre a rede externa e interna. Também pode ser utilizado para atuar entre redes com necessidades de segurança distintas. Um spyware também pode ser programado para ser executado em horários inesperados. M O **IPS/IDS. C . em conformidade com a política de segurança do site acessado.br | Profa.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . DVD ou outra mídia removível.Profa. onde. fazer análise comportamental do sistema. então. e não o firewall!! Um IPS é um sistema que detecta e obstrui automaticamente ataques computacionais a recursos protegidos. e pode infectar o computador quando você instala alguns programas usando um CD. C A T I L A H . permitindo a localização e bloqueio de spywares conhecidos e desconhecidos. controla o tráfego que flui para dentro e para fora da rede protegida. um IPS defende o alvo sem uma participação direta humana. protegendo-a assim das ameaças da rede de computadores que está “fora” ou depois do firewall. R B . Spybot etc. S O IPS (Sistema de Prevenção de Intrusão) é que faz a detecção de ataques e intrusões. Diferente dos IDS tradicionais.pontodosconcursos. controlando o tráfego de informações que existem entre elas. que localizam e notificam os administradores sobre anomalias. não apenas quando é instalado. A seguir.Profa. • mecanismo de defesa que restringe o fluxo de dados entre redes. Patrícia Quintão software sendo executado no ponto de conexão entre as redes de computadores ou um conjunto complexo de equipamentos e softwares. Os firewalls são implementados. o firewall NÃO pode determinar o conteúdo das mensagens e.br | Profa. Segundo Microsoft (2013). você não deve abrir um anexo de e-mail se não estiver completamente certo de que ele é seguro. poderá causar atrasos e diminuir a performance da rede. ocultando informações de rede como nome de sistemas.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . caso não seja dimensionado corretamente. podendo criar um “log” do tráfego de entrada e saída da rede.com. por meio da introdução de filtros para pacotes ou aplicações. • proteção de sistemas vulneráveis ou críticos. Figura. Firewall Deve-se observar que isso o torna um potencial gargalo para o tráfego de dados e. Patrícia Lima Quintão 67 . As principais funcionalidades oferecidas pelos firewalls são: • regular o tráfego de dados entre uma rede local e a rede externa não confiável. • impedir a transmissão e/ou recepção de acessos nocivos ou não autorizados dentro de uma rede local. chamados de estações guardiãs (bastion hosts). em dispositivos que fazem a separação da rede interna e externa. portanto. não pode protegê-lo contra esses tipos de vírus. em regra. Você deve usar um programa antivírus para examinar e excluir anexos suspeitos de uma mensagem de e-mail antes de abri-la.pontodosconcursos. www. alguns exemplos de situações que um firewall NÃO poderá impedir: Vírus de E-mail Os vírus de e-mail são anexos às mensagens de e-mail. Mesmo tendo um programa antivírus. identificações dos usuários etc. Quando o bastion host cai. topologia da rede. a conexão entre a rede interna e externa deixa de funcionar. NÃO pode protegê-lo contra esse tipo de ataque (Microsoft.DMZ Virtual Private Network (VPN) Uma Virtual Private Network (VPN) ou Rede Virtual Privada é uma rede privada (rede com acesso restrito) construída sobre a estrutura de uma rede pública (recurso público.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . significando a área existente entre dois inimigos em uma guerra. DMZ . S A função de uma DMZ é manter todos os serviços que possuem acesso externo (navegador.Profa. ao invés de se utilizar links dedicados ou redes de pacotes para conectar redes remotas. C . como uma senha de conta bancária. Para atingir este objetivo os computadores presentes em uma DMZ não devem conter nenhuma rota de acesso à rede local. mas que.br | Profa. Patrícia Lima Quintão 68 . normalmente a Internet. www. servidor de e-mails) separados da rede local limitando o dano em caso de comprometimento de algum serviço nela presente por algum invasor. uma vez que para os usuários a forma como as redes estão conectadas é transparente. utiliza-se a infraestrutura da Internet. O firewall NÃO pode determinar o conteúdo das mensagens de e-mail e. Uma tentativa de phishing online comum começa com um e-mail recebido de uma fonte aparentemente confiável. O termo possui uma origem militar. O S R U C N O C A T I L A H . Trata-se de uma pequena rede situada entre uma rede confiável e uma não confiável. orienta os destinatários a fornecerem informações para um site fraudulento. portanto. Tentativas de Phishing R B . 2013).pontodosconcursos. geralmente entre a rede local e a Internet.Zona Desmilitarizada M O Também chamada de Rede de Perímetro. na verdade. Patrícia Quintão Phishing é uma técnica usada para induzir usuários de computador a revelar informações pessoais ou financeiras.com.T W W W Figura. Ou seja. sem controle sobre o acesso aos dados). Patrícia Lima Quintão 69 . Uma VPN pode ser criada tanto por dispositivos específicos. Princípios básicos: Uma VPN deve prover um conjunto de funções que garantam alguns princípios básicos para o tráfego das informações: 1. a senha é criptografada antes de ser armazenada (não recomendado pois permite acesso à senha.pontodosconcursos. 3. quando o usuário é cadastrado. caso haja quebra do sistema utilizado) ou se armazena o hash da senha (opção recomendada.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . Considerações sobre as ferramentas de autenticação • Senhas: Senhas são utilizadas no processo de verificação da identidade do usuário (log in). Patrícia Quintão Normalmente as VPNs são utilizadas para interligar empresas em que os custos de linhas de comunicação direta de dados são elevados. etc. um elemento da VPN somente reconhecerá informações originadas por um segundo elemento que tenha autorização para fazer parte dela. 2.com. Geralmente. assegurando que este é realmente quem diz ser. pois impede o acesso a senha que gerou o hash). Integridade – na eventualidade da informação ser capturada. é imprescindível que a privacidade da informação seja garantida. softwares ou até pelo próprio sistema operacional. Elas criam “túneis” virtuais de transmissão de dados utilizando criptografia para garantir a privacidade e integridade dos dados.br | Profa. são definidas algumas regras básicas: • jamais utilizar palavras que façam parte de dicionários.Profa. é necessário garantir que não seja alterada e reencaminhada. de forma que. a autenticação é um processo que busca verificar a identidade digital do usuário de um sistema no momento em que ele requisita um log in (acesso) em um programa ou computador. Confidencialidade – tendo-se em vista que estarão sendo usados meios públicos de comunicação. nem utilizar informações pessoais sobre o usuário (data de nascimento. não possam ser entendidos. mesmo que os dados sejam capturados. Autenticidade – somente os participantes devidamente autorizados podem trocar informações entre si. e a autenticação para garantir que os dados estão sendo transmitidos por entidades ou dispositivos autorizados e não por outros quaisquer. Autenticação Em segurança da informação. Para garantir uma boa segurança às senhas utilizadas. ou seja. www.). permitindo que somente informações válidas sejam recebidas. parte do nome. . principalmente para aqueles que envolvam o fornecimento de uma senha. Patrícia Quintão • uma boa senha deve ter pelo menos oito caracteres. M O C . em LAN houses. para substituir o uso do usuário Administrator em tarefas rotineiras. • tentar misturar letras maiúsculas. deve haver outros cuidados para a proteção do sigilo da senha. tokens de segurança usados por bancos (Token OTP). Patrícia Lima Quintão 70 . Esse sistema garante maior segurança. R B .) em operações que necessitem utilizar suas senhas.com. de preferência com letras. • criar tantos usuários com privilégios normais. A senha a ser utilizada pode ser definida de acordo com o horário ou a quantidade de acessos. como: • se certificar de não estar sendo observado ao digitar a sua senha. minúsculas. em hipótese alguma. e sempre que houver desconfiança de que alguém descobriu a senha. ou seja para realizar comandos que os usuários comuns não sejam capazes de fazer. e é usado em sistemas de alta criticidade.br | Profa. devem ser tomados alguns cuidados especiais.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . etc. como transações bancárias. como. cybercafés. quantas forem as pessoas que utilizam seu computador.T W W W • Smart Cards: Smart Cards são cartões que possuem um microchip embutido para o www. com uma segurança maior que a exigida pelo usuário comum. • trocar as senhas a cada dois ou três meses. No trabalho.pontodosconcursos. • não fornecer sua senha para qualquer pessoa. uma vez que é preciso o uso de ferramentas adicionais para guardar as senhas. números e sinais de pontuação. uma vez que ele detém todos os privilégios em um computador: • utilizar o usuário Administrador apenas quando for necessário. • não utilize computadores de terceiros (por exemplo. por exemplo. • certificar-se de que seu provedor disponibiliza serviços criptografados. • a senha deve ser simples de digitar e fácil de lembrar.Profa. S O S R No caso do usuário Administrador (ou root). o problema desse sistema é a dificuldade de administração. • elaborar uma senha para o usuário Administrator. números e símbolos. • usar uma senha diferente para cada sistema utilizado. U C N O C A T I L A H • One-time passwords: One-time passwords são senhas de uso único. Entretanto. de forma que não seja possível a reutilização de uma senha. se utiliza: • algo que você tem: um cartão da conta bancária.br | Profa. padrão de voz. Autenticação Forte Autenticação forte consiste na autenticação por mais de um modo. reconhecimento facial. www. Patrícia Lima Quintão 71 . o cartão é bloqueado.bing.pontodosconcursos. Fonte: http://br. smart cards. e possuem suporte para vários algoritmos de criptografia como o RSA. e • algo que você sabe: a senha do cartão. listados a seguir: Algo que o usuário Geralmente são usados meios biométricos. Modos de Autenticação A autenticação. DES e 3DES.com/images/search?q=%e2%80%a2%09Smart+Cards&FORM=H DRSC2#view=detail&id=6178033F6B024D4A8F5A90FE6E3FC86F696D9BFD&sel ectedIndex=4 • Token USB: O token USB é um dispositivo alternativo ao uso do Smart Card. reconhecimento de assinatura. Caso estoure esse outro limite. O acesso às informações. é feito por meio de uma senha (Código PIN) e há um número limitado de tentavas de acesso sem sucesso. que também tem um número limitado de tentativas de acesso. tokens USB. Em regra. e só é reativado por meio de um outro código (Código PUK). Quando o acesso a sistemas só pode ser realizado em ONDE o usuário ESTÁ uma máquina específica. Eles armazenam as chaves privadas e os certificados digitais de um usuário de uma ICP. ou seja. Caso estoure esse limite. depende de um ou mais modos ou fatores de autenticação. padrão retinal. da combinação de mais de uma maneira de autenticação. Um exemplo disso são as transações de saque num caixa rápido. CONHECE sistemas de desafio-resposta. Algo que o usuário São utilizadas senhas fixas. geralmente.com. para armazenamento de um par de chaves públicas. Patrícia Quintão armazenamento e processamento de informações. em regra. como É impressão digital. one-time passwords. o cartão é inutilizado.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . cujo acesso é restrito. Esses tokens implementam funções básicas de criptografia com objetivo de impedir o acesso direto à chave privada de um usuário.Profa. Algo que o usuário São utilizados objetos específicos como cartões de TEM identificação. orçamentos. foram desenvolvidos diversos protocolos que permitem a sua realização de maneira segura. N O C A T I L A H . cobrança. • evitar ataques de reprodução (replay attack).pdf).uemg. pelos usuários. ou seja. abrangendo a verificação de www. responsabilização do usuário. fazendo se passar por ele. Patrícia Quintão Processos do Controle de Acesso Na segurança da informação. Os protocolos de autenticação mais comuns são o Kerberos e o RADIUS. A auditoria da tecnologia da informação (TI) é fundamental para as organizações modernas.br | Profa. • Autorização: Após o usuário ser autenticado. aqueles em que um atacante repete uma mensagem anterior de um usuário. normas ou padrões. o usuário diz ao sistema quem ele é (normalmente por meio do login). de forma a: • impedir a captura da chave secreta por meio de uma escuta de rede (eavesdropping). o processo de autorização determina o que ele pode fazer no sistema. Na identificação.Profa.com. regras. Na autenticação. com intuito de verificar sua conformidade com certos objetivos e políticas institucionais. etc. a identidade é verificada através de uma credencial (uma senha) fornecida pelo usuário.T W W W Auditoria Definição de Auditoria Auditoria é uma atividade que engloba o exame de operações. Esta informação pode ser utilizada para gerenciamento. R B . os processos ou serviços que compõem o controle do acesso dos usuários são: • Identificação e Autenticação: A identificação e autenticação fazem parte de um processo de dois passos que determina quem pode acessar determinado sistema. sistemas e responsabilidades gerenciais de uma determinada entidade. C . planejamento.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . M O • Auditoria (Accounting): faz a coleta da informação relacionada à utilização. S O S R Protocolos de Autenticação U C Para a autenticação de usuários por meio de conexões via Internet. (Fonte: http://www. processos.br/sistemas1/material/seg_aud_sist/auditoria. dos recursos de um sistema.pontodosconcursos. por se tratar de uma atividade que tem por base a análise detalhada dos dados de uma empresa.ituiutaba. Patrícia Lima Quintão 72 . 3): Auditoria externa é a auditoria realizada por um organismo externo e independente da entidade fiscalizada. Tipos de Auditoria ** Auditoria Externa Segundo posicionamento da INTOSAI (Apud TCU. por outro. A abordagem através do computador vai além da verificação de documentos. Trata-se de uma abordagem que não é muito indicada para ambientes complexos. pode-se dizer que permite uma análise com maior precisão. com objetivos específicos que podem contribuir para se evitar erros ou mesmo fraudes na mesma. emitir parecer sobre as contas e a situação financeira.pontodosconcursos. a legalidade e regularidade das operações e/ou sobre a gestão e. havendo o acompanhamento e análise de dados por meio do computador (IMONIANA. ** Auditoria Interna É aquela que ocorre através da verificação e avaliação dos sistemas e procedimentos internos pelo departamento interno. Em alguns países é conhecida como auditoria de informática computacional ou de sistemas.. Quanto à abordagem com o computador. A auditoria da TI já foi conceituada anteriormente. por um lado. o ambiente computacional. que afirma ser: (. 2005). A abordagem ao redor do computador não envolve a utilização de muitas tecnologias de informação e sim o exame de níveis de anuência associados à aplicação de controles organizacionais. mas vale destacar o disposto por Imoniana (2005). que não exijam um conhecimento mais profundo de TI. Patrícia Lima Quintão 73 . possibilitando a utilização das “capacidades lógicas e aritméticas do computador para verificar os cálculos das transações econômicas e financeiras. www.) essencialmente operacional. por meio da compilação do processo. 2005).br | Profa. a seguranças das informações e o controle interno da entidade auditada. conforme dispõe Imoniana (2005). dentre outros” (IMONIANA. Patrícia Quintão várias informações que a mesma produz. indicando seus pontos fortes e/ou deficiências. p.Profa. mas é muito útil em sistemas menores. tendo por objetivo. elaborar os relatórios correspondentes.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . visando minimizar fraudes e erros variados. por meio das quais os auditores analisam os sistemas de informática..com. 1995. br | Profa. identificando os riscos e os controles. que parte. www.pontodosconcursos. 2005). O planejamento é. T I L A H .T W W W Vale ressaltar que as equipes de trabalho deverão elaborar o cronograma de execução.com. uma importante etapa da auditoria. p. Patrícia Quintão ** Auditoria Articulada Envolve um trabalho conjunto entre as duas auditorias anteriores. Há certos parâmetros de controle interno que devem ser levados em consideração nesta etapa. da formação de equipes que serão responsáveis pelo trabalho de coordenação e execução. bem como materiais e recursos humanos para que se possa realizar a auditoria. uma vez que há superposição de responsabilidades dos órgãos fiscalizadores que utilizam recursos e comunicação recíproca dos resultados. U C N O C A Segundo Imoniana (2005. tanto durante a auditoria de sistemas em produção. Fases da Auditoria de TI As principais fases da auditoria de TI estão listadas a seguir: R B . quanto no desenvolvimento de sistemas de informação. Patrícia Lima Quintão 74 . Tais equipes terão um supervisor para programar e coordenar os trabalhos que envolverem a auditoria (ARIMA et. C .Profa. o Auditor precisa obter as informações de todos os procedimentos e mapa de risco da área auditada. a auditoria terá por base a revisão e avaliação do processo de construção de sistemas de informação. No decorrer do planejamento. sendo um interessante exemplo a segurança física do sistema. conforme afirma Arima et. do levantamento e estudo do sistema. o auditor de TI deve planejar suas tarefas para direcionar os objetivos de auditoria e seguir os padrões profissionais de auditoria aplicáveis. sendo o primeiro formado por gerentes responsáveis pelo sistema que será submetido à auditoria. que deve partir. No início do planejamento da auditoria. este último formado por grupos de coordenação de execução. .Planejamento M O A fase de planejamento é considerada por muitos auditores a fase mais importante de um trabalho e deve ser feita utilizando a maior quantidade de recursos e informações possíveis. portanto. S O S R Para que se realize a auditoria de TI é necessário um planejamento. entrevistar os envolvidos e em seguida elaborar uma narrativa do processo. segundo Chiavenato (2001).Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . al. al.. (2005). além de levantar os recursos tecnológicos. 30). Sua equipe deve ser supervisionada apropriadamente para assegurar que os objetivos de auditoria sejam alcançados e os padrões profissionais de auditoria aplicáveis sejam respeitados. pontodosconcursos. al. al. É importante que o auditor estabeleça um plano de auditoria. auditorias.. objetivando a comunicação de fatos verificados durante a execução do trabalho de auditoria. Para Peter et. hoje em dia. É algo que contribui para o estabelecimento da prova. Patrícia Quintão É válido afirmar que as empresas passam por longos processos para implementar uma gestão de sucesso. 2004. avaliando as condições de recursos. procedimentos contínuos objetivando a conclusão do processo de certificação Internacional denominada ISO (Internacional Organization for Standardization).Profa. ajudando na convicção sobre as reais condições existentes na área sob exame.) é o conjunto de fatos comprovados. distinguindo o que é necessário do que é interessante detalhar em seu relatório. Patrícia Lima Quintão 75 . p. De acordo com os estudos de Duarte et.Execução Pode-se dizer que esta fase tem por base a análise das evidências e a forma de coleta de dados. Cabe ao auditor avaliar o significado da evidência e buscar os pontos relevantes a serem detalhados. através de observações. Segundo Duarte (et. p. entre eles avaliações. 88) a evidência em auditoria: (. isso porque se ela for limitada. suficientes... Vale ressaltar que o objetivo principal é obter a evidência competente. relevância e razoabilidade. e que se caracteriza pela idoneidade. Há de se observar que a evidência tem por base fatos obtidos pelos auditores. 2004). inspeções. sem os quais não se tem conhecimento das falhas nos controles internos para saná-las (DUARTE e REBELO. consequentemente. que sustentam as conclusões do auditor.) a temática revela-se de extrema relevância dado que em auditoria é bastante importante o suporte da opinião.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . buscando evidências alternativas que possibilitem sua execução. .br | Profa. 47): (. processos e resultados do mesmo (DUARTE et. al.com. 2004).. o relatório também o será. competentes e pertinentes. surgindo assim. entrevistas e exames dos registros. Os relatos são fundamentais.. o reconhecimento dos tipos de evidência relevantes a cada auditoria depende dos objetivos do auditor e da natureza dos critérios estabelecidos para a entidade auditada. (2003. o conceito de evidência de auditoria como a informação que sustenta os relatórios. p. A acumulação apropriada e o uso das evidências dependem do entendimento adequado das conclusões que um auditor entende por fazer e do uso satisfatório dos critérios avaliativos. que lhes permite chegar a uma conclusão acerca da estrutura de controle do auditado. as evidências são informações que sustentam os relatórios elaborados pelo auditor. No que tange a auditoria. al. (2004. www. 49). obtidos durante os trabalhos de auditoria. conclusões ou opiniões do auditor ou da entidade competente para desempenhar a auditoria. devem-se incluir as observações. C . S É importante a utilização de uma medida de controle e segurança de sistemas de informações em operação para garantir a confiabilidade das informações.. sendo interessante destacar o disposto por Peter (et.Profa. Deve identificar a organização. que afirmam existir quatro tipos distintos. 31) dispõe: o auditor de TI deve prover um relatório. Imoniana (2005. para os destinatários. Patrícia Quintão Tipos de evidência é um tema que gera divergência entre os estudiosos da auditoria de TI. correção e confiabilidade dos registros. Ainda. natureza e extensão do trabalho executado.com. ou seja. R B . Interessante destacar ainda que o auditor realiza a coleta de evidências ou dados que irão sustentar seus argumentos no relatório. p. apurando a qualidade da mesma e auxiliando na busca por critérios para seleção de informações necessárias para a avaliação. A H .pontodosconcursos. por ocasião da conclusão do trabalho de auditoria. período de abrangência.T W W W Acerca da emissão de relatório. de forma a validar e avaliar os resultados gerados pelos sistemas. 2003. em forma apropriada. o que se faz por meio da auditoria. Patrícia Lima Quintão 76 . pode-se dizer que a menos confiável são as entrevistas. N O C A . como o próprio nome diz. que devem estar de acordo com o layout atual. testemunhal. recomendações e quaisquer ressalvas ou conceitos que o auditor possua a respeito da auditoria. 2005) os relatórios contribuem para que o auditor descubra as irregularidades de processamento de sistemas de informação. uma vez que é difícil comprovar a veracidade das informações contidas na mesma. independente do tipo escolhido. enquanto a documental. segundo a forma. a evidência analítica é aquela que tem por base o exame comparativo de dados.Emissão e Divulgação de Relatórios T I L Segundo Arima (et. O S R U C Um ponto que merece destaque no que tange aos objetivos de um sistema geral. que permitam uma adequada utilização e distribuição das informações. al. o importante é produzir provas que garantam a credibilidade de suas informações. neste relatório. conclusões. A física é obtida por meio de observação direta. documental e analítica. Por fim. cálculos etc. www. M O Quanto à confiabilidade das evidências citadas. O relatório de auditoria deve apresentar escopo. 89). os usuários desejáveis e quaisquer restrições à sua circulação. através de documentos. objetivos.. segundo Imoniana (2005) é justamente manter a integridade. física. Por meio da análise dos relatórios é possível determinar o nível de utilização de sistemas de informação pelo usuário e uma série de outros pontos.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . al.br | Profa. p. A testemunhal surge por meio de entrevistas e depoimentos. dessa forma. seu objetivo. demonstração de soluções para os mesmos e ainda comentários finais da área auditada enfatizando o problema identificado. Patrícia Lima Quintão 77 . Há um cabeçalho padrão que o relatório deve apresentar. dados e todas as informações que tiverem relação com os sistemas. Importante ainda que o relatório contenha o parecer final do auditor sobre o processo auditado.Profa. podendo variar nas etapas e nos dados que devem constar no cabeçalho. de uma fase de suma importância no contexto da auditoria de TI. Patrícia Quintão O referido autor observa ainda que por meio da análise dos relatórios é feita a relação por usuário e a classificação por prioridade dos documentos como forma de se verificar qual é o modelo de relatório mais adequado para se realizar os levantamentos necessários. conclusões e recomendações anteriores e relevantes para determinar se ações apropriadas foram implementadas em tempo hábil”. além da área a que se destina e área que será auditada. demonstração dos impactos causados pelos referidos erros. Trata-se.pontodosconcursos. o que possibilitam a validação dos programas. no qual é importante conter o número do relatório. Acerca das atividades de follow-up Imoniana (2005.br | Profa. É correto afirmar que é através do relatório que é demonstrado o resultado de todo o trabalho realizado pelo auditor. bem como se as medidas adotadas geram a redução das deficiências identificadas. realizando. a data de sua elaboração. mas.com.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . partindo da demonstração dos erros originados do programa de auditoria. o follow-up dos pontos de controle que possam apresentar algum tipo de deficiência em trabalhos anteriores.Follow-up Interessante que haja um acompanhamento da auditoria. uma vez que permite verificar se os problemas apresentados anteriormente foram resolvidos ou não. desde que as informações sejam completas e permitam uma visão ampla do objeto da auditoria. www. deve-se observar que nem todos seguem esse padrão. para revisar e avaliar os pontos relevantes apontados no relatório. 31) comenta: “o auditor de tecnologia de informação deve requisitar e avaliar informações apropriadas sobre pontos. Técnicas de Auditoria São necessárias técnicas de auditoria específicas para realizar a avaliação de pontos de controle sobre aplicativos. . p. devendo seguir algumas etapas básicas. Trata-se do padrão e forma mais usual de elaboração do relatório. bem como os pontos e as ações corretivas desenhadas. portanto. devendo ocorrer o cumprimento de uma sequência específica de procedimentos. pode tornar-se bastante complexa e demorada (ARIMA et. pela caracterização de dispositivos de entrada e saída (disco..Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . em processamento separado. uma vez que deve conhecer e validar custos e benefícios efetivos que permitam sua utilização (ARIMA et. U C N O C A T I L • A H . al. anotação do nome completo das pessoas que prestaram depoimentos e respectivas data e hora. na qual possui registros de utilização do hardware e software que compõe o ambiente computacional. al. várias condições e variáveis diferentes para testar. al. utilizando-se. “Dados de teste ou Test-Deck”. 2005). A técnica da verificação “In-Loco” consiste na observação pessoal do auditor de sistemas aos processos e funções inerentes ao sistema.. Patrícia Lima Quintão 78 . que há uma desvantagem técnica a ser observada.. normas e procedimentos definidos.T W W W • Análise de “Job Accounting”/”Log” tem por base arquivos de Log/Accounting que são gerados por uma rotina componente do sistema operacional. para tanto. bem como dos objetivos da auditoria e abrangência dos exames (ARIMA et.pontodosconcursos. bem como coleta de documentos. análise dos resultados obtidos e exposição de opinião via relatório de fraquezas de controle interno (ARIMA et. impressoras) que estão com folga ou sobrecarregados.com. fitas. Existem várias técnicas básicas que merecem destaque. Importante observar que há técnicas de difícil aplicação e adaptação às condições inerentes a cada sistema analisado. sendo fundamental o papel do auditor neste processo. na qual se busca preparar dados de entrada. al. valendo destacar que ocorre a simulação de um ambiente real. • M O C . porém. O auditor não necessita de assistência ou ajuda para preparar os dados de entrada e avaliar os resultados esperados e não se exige um profundo conhecimento de informática. 2005). possibilitando a avaliação de sua exatidão e os controles existentes (IMONIANA. Os dados de entrada referidos são alimentados e processados pelas rotinas e programas normais de produção.Profa. Ocorre. qual seja. como as listadas a seguir: R B . anotação dos procedimentos e acontecimentos. a possibilidade de não serem consideradas todas as possibilidades e situações geradoras de transações e ainda. 2005). dependendo do escopo do teste.. a apuração do desbalanceamento da configuração do computador. o uso de programas fraudulentos ou utilização indevida e ainda a identificação de tentativas de acesso a arquivos ou ao sistema por www. a determinação de erros de programas ou de operação. S O S R O objetivo principal da técnica de dados de teste é a identificação e avaliação dos controles. iniciando-se pela marcação antecipada de data e hora com o responsável pelo sistema. A técnica em tela possibilita a identificação da ineficiência do sistema auditado. Patrícia Quintão Para a aplicação das referidas técnicas é comum a exigência de características do sistema a ser avaliado.br | Profa. finalmente. 2005). terminais. políticas. 2005). sem a necessidade de processamento especial e separado. Integrated Test Facility – ITF –: é uma variante da Massa de Teste que busca gerar uma entidade fictícia dentro do sistema e consequentemente. • A próxima técnica a ser destacada são os questionários. segurança física e lógica..com. sejam eles. www. segundo o layout vigente (ARIMA et. transações para esta entidade. 2005). o que se deve. Patrícia Lima Quintão 79 . 2005). 1999). al. apresentando como vantagem a constatação de um exame bastante abrangente. ao tempo reduzido para criar um ambiente de testes. sendo interessantes exemplos: plano diretor de informática. grau de confidencialidade de seu conteúdo. sua desvantagem principal é a necessidade de se estabelecer procedimentos de separação e retirada dos dados de auditoria das transações normais. confidencialidade.. relatórios e telas do sistema. forma de utilização e integração e distribuição das informações.pontodosconcursos. além de permitir reduzir o tempo de avaliação do ponto de controle e possibilitar esclarecimentos de pontos duvidosos ou polêmicos. • A análise de Relatórios/Telas tem por base a análise de documentos. ambiente de auditoria interna. as quais serão processadas dentro do ciclo normal de processamento do sistema. • • Segundo Magalhães (2001) os questionários visam o esclarecimento de situações de operação do sistema. como forma de determinar o nível de utilização pelo usuário. controle de acesso. Por outro lado. O objetivo principal desta técnica é testar e verificar sistemas complexos e de grande porte. de forma a adequar o ponto de controle aos parâmetros do controle interno.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . principalmente. esquemas de distribuição e número de vias emitido. além do custo operacional reduzido. obediência à legislação ou eficiência e eficácia (CARLOS. ou seja. tratando-se de um importante instrumento. A aplicação desta técnica pode ocorrer em qualquer ponto de controle como um complemento à aplicação das demais técnicas. a elaboração de uma série de perguntas como forma de verificar determinado ponto de controle. al. ambiente de banco de dados.Profa. Patrícia Quintão senhas não autorizadas. mas que requer grande conhecimento de computação (ARIMA et. onde não é possível separar o processamento num outro ambiente.br | Profa. Entrevistas: importante técnica que busca realizar reuniões entre auditor e auditados visando revisar e avaliar o grau de controle interno existente. br | Profa. como falhas tecnológicas. materializada na forma de um plano de continuidade de negócios. Patrícia Quintão Plano de Continuidade de Negócios Nessa parte da aula. para os incidentes de difícil detecção (que não foram previstos e que podem causar uma interrupção) utilizamos a gestão de continuidade de negócios. nesse contexto. irá listar as medidas de resposta ao incidente que devem ser realizadas de forma que a organização continue trabalhando e. então à luta guerreiro(a)s! R B . que destaca o Plano de Continuidade de Negócios! Força nos estudos. Patrícia Lima Quintão 80 . há como fazer uma previsão e. tomar medidas preventivas para evitar que realmente se tornem realidade. Objetivos da Gestão da Continuidade do Negócio => Não permitir a interrupção das atividades do negócio e proteger os processos críticos contra efeitos de falhas ou desastres significativos e assegurar a sua retomada em tempo hábil.com. No entanto. N O C A Os negócios da organização podem ser interrompidos por uma grande variedade de incidentes. pessoal! Tenho certeza de que a batalha vindoura será com cada vez mais soldados a seu favor. com o objetivo de fazer com que os negócios da organização não sejam interrompidos em virtude do incidente. em seguida. M O C . irei abordar a seção da norma ABNT NBR ISO/IEC 17799:2005 (renumerada para ABNT NBR ISO/IEC 27002). portanto.T W W W Mas como a organização precisa estar preparada para enfrentar situações não previstas que atinjam seus recursos de informação. volte à situação anterior de normalidade. atos de terrorismo etc. para a maioria desses incidentes. S O S R U C (2010/ANEEL) A gestão de continuidade de negócios é complementar à gestão de riscos e tem como foco o desenvolvimento de uma resposta a uma interrupção causada por um incidente de difícil previsão.pontodosconcursos.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . www. O Plano de Continuidade de Negócios.Profa. se for o caso. Nesse contexto temos a gestão de riscos! T I L A H . de forma a assegurar sua permanente atualização e efetividade.br | Profa. www. e podem ser executados integral ou parcialmente e em qualquer etapa da resposta a um incidente. como as listadas a seguir: a) testes de mesa (faz-se a leitura em conjunto dos procedimentos de um grupo/equipe discutindo os arranjos para recuperação). entre os quais a maior ênfase no gerenciamento de riscos. Linha do tempo de um incidente Conforme prescrito na norma ABNT NBR ISO/IEC 17799:2005 (renumerada para ABNT NBR ISO/IEC 27002).Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . b) simulações (particularmente para treinar pessoas em seus papéis de gerenciamento pós-incidente/crise). Patrícia Quintão (2007/TCU) Um plano de continuidade de negócios distingue-se de um plano de recuperação de desastres por vários aspectos. Figura. Nesse contexto diversas técnicas devem ser usadas para fornecer garantia de que os planos funcionarão na vida real. Patrícia Lima Quintão 81 . Planos de continuidade de negócios (PCNs) têm como propósito permitir que uma organização recupere ou mantenha suas atividades em caso de uma interrupção das operações normais de negócios. os planos de continuidade do negócio devem ser testados e atualizados regularmente.com.pontodosconcursos.Profa. Os PCNs são ativados para dar suporte às atividades críticas necessárias para cumprir os objetivos da organização. S (CESPE/2009) O S R A identificação de eventos que podem causar interrupções aos processos de negócio e das probabilidades e impactos de tais interrupções. atividade de análise de risco. C A T I L Todo teste deve ter objetivos claramente definidos. Além disso. é importante que seja elaborado um relatório pós-teste. equipamento. que destaca a conformidade! www.Profa. embora se constitua. A H . parceiros terceirizados e outros que poderiam participar das atividades de recuperação.br | Profa. M O C . A organização deve incluí-los nos testes.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . associada às consequências para a segurança de informação. mais continuidade especificamente. e) testes das facilidades e serviços de fornecimento (garantindo que serviços e produtos providos externamente satisfarão o compromisso contratado). pessoal.com.pontodosconcursos. facilidades e processos conseguem lidar com interrupções). U C N O Segundo a NBR 15999. inclusive principais fornecedores. d) testar recuperação em um site alternativo (executando processos do negócio em paralelo com operações de recuperação longe do site principal). de modo que haja um risco mínimo de interrupção dos processos de negócio. Patrícia Quintão c) testes da recuperação técnica (garantindo que os sistemas de informação podem ser restaurados eficientemente). constitui atividade executada no âmbito da gestão de de negócios.T W W W A escala e a complexidade dos testes devem ser apropriadas aos objetivos de recuperação da organização. Patrícia Lima Quintão 82 . os testes devem ser realistas. R B . e de forma a minimizar a chance de que ocorra um incidente como resultado direto do teste. as técnicas podem ser usadas por qualquer organização e devem refletir a natureza do plano de recuperação específico. f) ensaios completos (testando se a organização. planejados cuidadosamente e acordados com as partes interessadas. que contenha recomendações juntamente de uma previsão de tempo para a implementação destas. O programa de testes deve considerar o papel de todas as partes envolvidas. Relatórios e análises que demonstrem se os objetivos do teste foram alcançados devem ser elaborados após o teste. Conformidade Aqui irei abordar a seção da norma ABNT NBR ISO/IEC 17799:2005 (renumerada para ABNT NBR ISO/IEC 27002). Segundo a ABNT NBR ISO/IEC 27002. Direitos de propriedade intelectual A entidade deve implementar procedimentos apropriados para garantir a conformidade com os requisitos legislativos. • implementar controles para assegurar que o número máximo de usuários permitidos não excede o número de licenças adquiridas. Identificação da legislação vigente Todos os requisitos estatutários. estatutários. Os procedimentos de armazenamento e manuseio devem ser implementados de acordo com as recomendações dos fabricantes. . • manter de forma adequada os registros de ativos e conduzir verificações para que somente produtos de software autorizados e licenciados sejam instalados. Para o armazenamento de longo tempo.conformidade com requisitos legais.. em relação aos quais pode haver direitos de propriedade intelectual e sobre o uso de produtos de software proprietários. estatutos. Devem ser tomados cuidados a respeito da possibilidade de deterioração das mídias usadas no armazenamento dos registros. devem ser explicitamente definidos. ela deve: • adquirir somente software original com o fornecedor. regulamentares ou estatutários. documentados e mantidos atualizados para cada sistema de informação da organização.br | Profa. regulamentares e contratuais no uso de material. www. Para isso. • manter provas e evidências da propriedade de licenças. destruição e falsificação. a operação.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . discos-mestre.conformidade com normas e políticas de segurança da informação e conformidade técnica. regulamentares e contratuais relevantes.pontodosconcursos. Patrícia Lima Quintão 83 .com. contratuais e do negócio. o uso e a gestão de sistemas de informação podem estar sujeitos a requisitos de segurança contratuais.considerações quanto à auditoria de sistemas de informação. e o enfoque da organização para atender a esses requisitos. recomenda-se o uso de papel e ou de microfilmagem.Profa. . regulamentações ou obrigações contratuais e de quaisquer requisitos de segurança da informação. ** Conformidade com requisitos legais A organização deve evitar violação de qualquer lei criminal ou civil. Patrícia Quintão Esta seção cita 3 pontos: . de acordo com os requisitos regulamentares. manuais etc. Proteção de registros organizacionais Os registros importantes para a organização devem ser protegidos contra perda. O projeto. M O C . com exceção daqueles que foram autorizados.com. • determinar e implementar ação corretiva apropriada. com base nos requisitos passados pelos gestores.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . Os funcionários de uma organização. Patrícia Lima Quintão 84 . fornecedores e terceiros devem ser informados de que nenhum acesso é permitido. os gestores devem: • determinar as causas da não-conformidade. T I L A H .br | Profa. • avaliar a necessidade de ações para assegurar que a não-conformidade não se repita. As plataformas técnicas e sistemas de informação devem ser auditados em conformidade com as normas de segurança da informação implementadas e com os controles de segurança documentados. sem a aprovação da direção. Prevenção de mau uso de recursos de processamento da informação Os usuários devem ser dissuadidos de usar os recursos de processamento da informação para propósitos não autorizados. Patrícia Quintão O sistema de armazenamento e manuseio deve conter a identificação dos registros e dos seus períodos de retenção. de www. a verificação de conformidade técnica deve ser executada por um especialista de segurança do setor técnico. ou para quaisquer propósitos não autorizados. R B .pontodosconcursos. Convém que esta política seja comunicada a todas as pessoas envolvidas no processamento de informações pessoais. se aplicável. deve ser considerado como uso impróprio. S O S R **Conformidade com normas e políticas de segurança da informação e conformidade técnica A entidade deve garantir conformidade dos sistemas com as políticas e normas organizacionais de segurança da informação por meio de analises em intervalos regulares. Proteção de dados e privacidade de informações pessoais Uma política de privacidade e proteção de dados da organização deve ser desenvolvida e implementada. **Considerações quanto à auditoria de sistemas de informação A organização deve criar controles para a proteção dos sistemas operacionais e ferramentas de auditoria durante as auditorias de sistema de informação.Profa. Se qualquer não conformidade for encontrada como um resultado da análise crítica.T W W W Verificação da conformidade técnica Enquanto os gestores fazem a verificação da política de segurança. Qualquer uso destes recursos para propósitos não relacionados ao negócio ou não autorizados. conforme definido pela legislação nacional ou regional ou por regulamentações. U C N O C A Conformidade com as políticas e normas de segurança da informação Os gestores devem garantir que todos os procedimentos de segurança da informação dentro da sua área de responsabilidade estão sendo executados corretamente para atender à conformidade com as normas e políticas de segurança da informação. A verificação feita pelas ferramentas deve ser limitada ao acesso somente para leitura de software e dados. software ou arquivos de dados. para não haver verificações de dados fora do objeto da auditoria.Profa. ou protegidas quando existir uma obrigação para guardar tais arquivos como requisitos da documentação da auditoria. e não devem ser mantidos em fitas de biblioteca ou áreas de usuários.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . a menos que sejam protegidos por criptografia. Patrícia Quintão forma a proteger a integridade dos sistemas e prevenir o uso indevido das ferramentas de auditoria. Proteção de ferramentas de auditoria de sistemas de informação Os acessos às ferramentas de auditoria de sistemas de informação.pontodosconcursos. Deve haver um controle do escopo da auditoria. Patrícia Lima Quintão 85 . devem ser separados de sistemas em desenvolvimento e em operação.br | Profa. acesso para escrita e modificação só é permitido para cópias isoladas dos arquivos do sistema.com. Controles de auditoria de sistemas de informação Os requisitos e atividades de auditoria envolvendo verificação nos sistemas operacionais devem ser planejados e acordados para minimizar os riscos de interrupção dos processos do negócio. por exemplo. e que devem ser apagadas ao final da auditoria. www. pontodosconcursos. .com. regras. por sua vez. sistemas e responsabilidades gerenciais de uma determinada entidade.T W W W Incidente de segurança da informação: Um simples ou uma série de eventos de segurança da informação indesejados ou inesperados. prejudicar as ações da empresa e sua sustentação no negócio. R B . www. com intuito de verificar sua conformidade com certos objetivos e políticas institucionais.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . orçamentos. mediante a exploração de uma determinada vulnerabilidade. que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança. Sempre se deve ter em mente o que precisa ser protegido e de quem precisa ser protegido de acordo com as ameaças existentes. Patrícia Quintão Memorex • Vulnerabilidade: Fragilidade que poderia ser explorada por uma ameaça para concretizar um ataque. • Ameaça: É algo que possa provocar danos à segurança da informação. normas ou padrões. M O C . • Auditoria é uma atividade que engloba o exame de operações.: notebook sem as atualizações de segurança do sistema operacional. processos. Patrícia Lima Quintão 86 . Ex. submetem os ativos a AMEAÇAS.br | Profa. As ameaças estão FORA do ativo. S O S R U C N O C A T I L A H A vulnerabilidade está no ativo. • Os ativos são os elementos que sustentam a operação do negócio e estes sempre trarão consigo VULNERABILIDADES que. • Risco: Medido pela probabilidade de uma ameaça acontecer e causar algum dano potencial à empresa.Profa. Assimétricos (ou chave pública).com. que são utilizadas em conjunto com as assinaturas digitais! Os algoritmos de criptografia se dividem em dois grupos básicos: simétricos e assimétricos.br | Profa. Criptografia Simétrica Criptografia ASSimétrica Rápida. Lenta. pois. Oferece assinatura digital.Profa. Fonte: http://www. Gerência e distribuição das chaves é Gerência e distribuição é simples. por si só. NÃO garante a confidencialidade (sigilo) dos dados. www. • Simétricos (ou convencional.slideshare. chave privada. Essa confidencialidade é obtida por meio de técnicas de criptografia. • A assinatura digital. Não oferece assinatura digital. uma privada e uma pública. as entidades envolvidas possuem duas chaves. teoricamente.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . chave secreta). todos possuem a chave pública do remetente. Patrícia Quintão • Texto Cifrado: Dado que foi criptografado. Patrícia Lima Quintão 87 . chave única.pontodosconcursos. complexa. • Texto Claro: Dado que está no estado não cifrado ou decifrado.net/edmoreno/livro-criptografia-em-hw-e-sw-isbn8575220691 Muita atenção aqui pessoal!! criptografia aSSimétrica ou simplesmente Na criptografia de chaves públicas. O texto cifrado é a saída do processo de criptografia e pode ser transformado novamente em informação legível em forma de texto claro a partir da chave de decifração. Profa. O remetente/emissor criptografa o documento utilizando sua chave privada. entre outros. o emissor/remetente criptografa a mensagem utilizando a chave pública do destinatário/receptor.com. para descriptografar a mensagem o destinatário utiliza sua própria chave privada.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . • Quando se quer atestar a autenticidade. o emissor/remetente precisa conhecer a chave pública do destinatário/receptor. e disponibiliza sua chave pública ao destinatário/receptor. O certificado digital é um documento eletrônico assinado digitalmente e cumpre a função de associar uma pessoa ou entidade a uma chave pública. sendo assim. exemplo é assinatura digital. aplicações por meio do SSL. O S R U C N O C A T I L A H . o emissor/remetente precisa assinar o documento a ser transmitido. Patrícia Lima Quintão 88 . correio eletrônico. Patrícia Quintão • Quando a intenção é fazer uso da confidencialidade.pontodosconcursos. R B .T W W W www.br | Profa. M O C . S Outra aplicação para o uso de criptografias de chaves públicas são os certificados digitais. pontodosconcursos. Patrícia Quintão Mapa Mental sobre Malware. Fonte: Quintão (2014).Profa. Vamos praticar agora ☺! www. Assim. Patrícia Lima Quintão 89 . terminamos a parte teórica da nossa aula.com.br | Profa.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . (FUNDATEC/TECNOLOGIA DA INFORMAÇÃO/Procergs/segurança da informação/2012) Segundo a norma NBR ISO/IEC 27002.br | Profa. o acesso aos dados. C) Confidencialidade. 2. C A Integridade C .pontodosconcursos. Proteger contra indisponibilidade dos serviços (ou degradação). confidencialidade e integridade. disponibilidade e integridade. B) O certificado é excluído do banco de dados da AC. Proteger informação contra modificação sem permissão. garantir a fidedignidade das informações.T W W W N O Propriedade de salvaguarda da exatidão e completeza de ativos. integridade e não repúdio. C) O atributo válido é alterado para falso. www. entidades ou processos não autorizados. não repúdio e responsabilidade. mesmo para dados em trânsito.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . (FUNDATEC/TECNOLOGIA DA INFORMAÇÃO/Procergs/Segurança da informação/2012) Tratando-se de autoridade certificadora (AC).Profa.com. Patrícia Lima Quintão 90 . D) O atributo válido é alterado para aguardando renovação. o que ocorre quando um certificado expira? A) A AC envia o certificado para uma lista de Certificados Revogados. As três consideradas principais são: A) Autenticidade. garantir aos usuários com autorização. integridade e não repúdio. R B . M O Objetivo Proteger contra o acesso não autorizado. B) Autenticidade. além de ser possível a adição de outras. S O S R U C Propriedade de estar acessível e utilizável sob demanda por uma entidade autorizada. Patrícia Quintão Questões de Provas Comentadas 1. D) Confidencialidade. E) Integridade. Comentários São princípios (ou pilares) básicos da segurança da informação: Princípio Conceito Confidencialidade Propriedade de que a informação não esteja disponível ou revelada a indivíduos. até que o pagamento seja realizado. T I L A H Disponibilidade . Gabarito: letra C. o termo ‘segurança da informação' pode ser definido como a preservação de três propriedades essenciais (ou principais). normalmente o usuário deve aceitar um novo certificado (que não corresponde ao site verdadeiro). por meio de programas especificamente projetados para esse fim. I. que persuade o usuário a fornecer informações sensíveis. (B) I e III. 3. O usuário recebe um e-mail de um suposto funcionário da instituição que mantém o site de comércio eletrônico ou de um banco. possibilitando o monitoramento de suas ações.com. III. IV. de modo que todos os acessos a um site de comércio eletrônico ou Internet Banking são redirecionados para uma página Web falsificada. Comentários Tratando-se de autoridade certificadora (AC). Patrícia Quintão E) Uma comunicação é enviada a todos os participantes do sistema. (FGV/2008/SEFAZ-RJ/Fiscal de Rendas) Analise os casos descritos a seguir. como senhas de acesso ou número de cartões de crédito. www. Constituem exemplos de fraudes resultantes de Engenharia Social os casos identificados em: (A) I e II. Patrícia Lima Quintão 91 . (E) III e IV. cujo remetente é o gerente do seu banco e que contém uma mensagem que solicita a execução pelo usuário de um programa anexo ao e-mail recebido. e o endereço mostrado no browser do usuário é diferente do endereço correspondente ao site verdadeiro.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . Nesta situação. referentes a fraudes envolvendo o comércio eletrônico e Internet Banking. incluindo a digitação de senhas ou número de cartões de crédito. O usuário utiliza computadores de terceiros para acessar sites de comércio eletrônico ou de Internet Banking. a título de obter acesso mais rápido às informações mais detalhadas em sua conta bancária. quando um certificado expira a AC envia o envia para uma lista de Certificados Revogados.pontodosconcursos. O usuário recebe um e-mail. Gabarito: letra A. como a digitação de sua senha bancária. (D) II e IV.Profa. com o objetivo de o atacante monitorar todas as ações do usuário. (C) II e III. II.br | Profa. semelhante ao site verdadeiro. Um hacker compromete o DNS do provedor do usuário. Profa.pontodosconcursos. de modo que todos os acessos a um site de comércio eletrônico ou Internet Banking são redirecionados para uma página Web falsificada. S Item I.. como a digitação de sua senha bancária. Novamente. Item III. este “suposto técnico” poderá realizar uma infinidade de atividades maliciosas com a sua conta de acesso à Internet e. do endereço IP associado ao endereço www. A H . como uma ligação telefônica ou e-mail.br para que aponte para um site réplica do banco Bradesco. Nesse caso. Nesta ligação ele informa que sua conexão com a Internet está apresentando algum problema e. O item II é FALSO.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . através de alterações nos serviços de resolução de nomes (DNS). induzindo-o a executar um programa qualquer. pois envolve algum tipo de redirecionamento da vítima para sites fraudulentos.T W W W Lembre-se de que no Pharming o servidor DNS do provedor do usuário é comprometido. Exemplo: pode envolver alteração. já que alguém (via e-mail neste caso. Patrícia Lima Quintão 92 . como não houve contato entre o hacker e a vítima. solicita sua senha para corrigi-lo. Patrícia Quintão Comentários Engenharia Social é uma técnica em que o atacante (se fazendo passar por outra pessoa) utiliza-se de meios. M O Vamos à resolução da questão: C . portanto. para obter informações como número do cartão de crédito e senha do usuário. www.com. Caso a senha seja fornecida por você. então. O item I é VERDADEIRO. da ingenuidade ou confiança do usuário. T I L O Pharming é um tipo de golpe bem mais elaborado que o Phishing. relacionando tais atividades ao seu nome. semelhante ao site verdadeiro. N O C A É isso mesmo pessoal!! Muita atenção neste tipo de golpe! O enunciado do item II o descreve claramente. o usuário recebe uma mensagem do suposto gerente do banco. O S R U C Item II.bradesco. para PERSUADIR o usuário a fornecer informações ou realizar determinadas ações. Exemplo: algum desconhecido liga para a sua casa e diz ser do suporte técnico do seu provedor de acesso. O golpe em destaque é intitulado Pharming (também conhecido como DNS Poisoining “envenamento de DNS”). A descrição envolve o uso da engenharia social. poderia ser por telefone!) faz uso da persuasão. com o objetivo de o atacante monitorar todas as ações do usuário..com. O item III é VERDADEIRO. e gostaria de complementar ☺.br | Profa.. R B . o golpe não pode ser configurado como engenharia social. no servidor DNS. processos. I. Gabarito: item correto. Verifica o retorno dos investimentos em Tecnologia da Informação. (ESAF/2008/CGU/AFC-Analista de Finanças e Controle /Infraestrutura e Suporte) Analise as seguintes afirmações em relação à auditoria de segurança da informação e assinale a opção correta. II e III são falsas. a) Apenas I e II são verdadeiras.com. c) Apenas I e III são verdadeiras. Patrícia Lima Quintão 93 . Não há engenharia social neste caso. Para fins de auditoria. O item IV é FALSO. Registros (logs) de auditoria devem ser mantidos por um período de tempo adequado para futuras investigações. Comentários A Auditoria de TI engloba o exame das operações. (CESPE/2010/ABIN/AGENTE TÉCNICO DE INTELIGÊNCIA . 5. A auditoria realizada em TI engloba a verificação de operações.br | Profa. III.pontodosconcursos. sistemas e responsabilidades. processos. e) I. Patrícia Quintão Item IV.Profa. é necessário que os relógios dos sistemas de processamento da informação estejam sincronizados de acordo com uma hora oficial.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação .ÁREA DE TECNOLOGIA DA INFORMAÇÃO) Acerca de auditoria na área de tecnologia da informação (TI). Gabarito: letra B. Registros de falhas são aqueles que mantêm as atividades dos administradores e operadores dos sistemas de processamento da informação. II. II e III são verdadeiras. sistemas e responsabilidades de uma das áreas mais críticas e dispendiosas das empresas. d) I. Exerce uma função preventiva e saneadora ao confirmar a veracidade e integridade dos registros e a confiabilidade das informações. 4. www. julgue o item abaixo. b) Apenas II e III são verdadeiras. Item errado. Patrícia Quintão Comentários Item I.. U C N O Gabarito: letra A. Em uma empresa a política de registros dos logs deve estar bem definida na Política de Segurança da organização para que sejam feitas investigações internas na empresa. ativo é tudo aquilo que tem um valor significativo para a empresa. e. livre de perigos e incertezas. equipamentos servidores. portanto. são identificados por meio de análise sistemática dos riscos de segurança. Segundo Sêmola (2003). Item correto. switches. É extremamente importante que todos os ativos da organização (máquinas desktops. 2006). oriunda da área financeira. etc. O termo ativo tem origem na área financeira.pontodosconcursos. R B . Logs são registros de atividades dos usuários em um sistema de informação. Deve ser mantido por um período de tempo de acordo como determinado na política de segurança da informação da organização. por ser considerado um elemento de valor para um www.com. M O C . A assertiva não destaca os registros de falhas. podendo ser descrito como um elemento de valor para um indivíduo ou empresa. O S R Item III.Profa. (CESPE/2010/Banco da Amazônia/Técnico Científico – Especialidade: TI – Segurança da Informação) São exemplos de ativos de uma organização a informação e os processos de apoio. Tais objetos são considerados como ativos (RAMOS et al. que necessitam de proteção. São os elementos que compõem e processam a informação. C A T I L 6. S Item II. Os provedores de Internet e empresas de telefonia são obrigados por lei. Item correto.) estejam sincronizados para que em casos de incidentes e auditorias possamos realizar análises comparativas dos registros.T W W W Comentários A segurança é uma palavra que está presente em nosso cotidiano e refere-se a um estado de proteção. a segurança está ligada a todos os “objetos” de valor. em uma organização. Os requisitos de segurança. Patrícia Lima Quintão 94 . Em uma corporação. A H . sistemas e redes.br | Profa. a manter os logs dos acessos dos usuários. merece ser protegido. O termo ativo possui essa denominação.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . e sim os registros (logs) das atividades realizadas por administradores e operadores de sistemas. incluindo ela mesma. Caso ocorra uma ação judicial devido a algum incidente os registros serão analisados e utilizados nas investigações. 45). Categorias de Ativos Cada grupo tem sua importância no ambiente corporativo. acesso. entre outros. como microcomputadores. Faz parte desse grupo qualquer equipamento no qual se armazene.Profa. fitoteca. Patrícia Lima Quintão 95 . armazenamento e processamento das informações. necessita de proteção adequada (ISO/IEC-27002) (SÊMOLA. hubs. temos.br | Profa. ou seja. Em linhas gerais. por esse motivo. • Equipamentos: esse grupo de ativos representa toda a infraestrutura tecnológica que oferece suporte à informação durante seu uso. processe ou transmita as informações da empresa. entre outros: a estrutura departamental e funcional. e que. sistemas operacionais. sala de servidores. etc. etc. isto é. • Usuários (ou pessoas): este grupo refere-se aos indivíduos que utilizam a estrutura tecnológica e de comunicação da empresa e que lidam com a informação. Em relação ao ambiente físico. processamento e armazenamento. • Informação: neste grupo tem-se o principal ativo da empresa que é a informação. switches. Como exemplos de estrutura organizacional.com. segundo Technet (2006) estão incluídos os aspectos que compõem a estrutura física e organizacional das empresas. Exemplos: usuários do setor de Recursos Humanos. Patrícia Quintão indivíduo ou organização. www. são considerados: salas e armários em que estão localizados os documentos. Vamos ao estudo de cada um deles!! • Aplicações: grupo de ativos que engloba todos os programas de computador utilizados para a automatização de processos. etc. direção da empresa. • Organização: neste grupo.pontodosconcursos. trânsito. Deve-se considerar qualquer tipo de informação. Dentre eles citamos: sistema de Folha de Pagamento. p. trânsito. Figura. a distribuição de funções e os fluxos de informação da empresa os servidores. A informação pode estar registrada em meio eletrônico ou físico. 2003. os ativos podem ser divididos nas categorias especificadas a seguir. independente do tipo de meio em que esteja armazenada. Refere-se à organização lógica e física do pessoal dentro da empresa em questão. ela terá problemas no seu dia a dia. pois sem eles o negócio da organização não funciona.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . que seja importante para a empresa e seus negócios. leitura. servidores. não constam nomes. a saber: N O .pontodosconcursos.T Gabarito: item correto. C A -intangíveis.Análise de Sistemas) Acerca da gestão de segurança da informação.pessoas e suas qualificações.br | Profa. A classificação da informação não é obrigatória. destaca vários tipos de ativos. eletricidade e refrigeração. (CESPE/2013/CNJ/Analista Judiciário . mídias removíveis e outros equipamentos. equipamentos de d) serviços: serviços de computação e comunicações. equipamentos. T I L Finalizando. como: a) ativos de informação: base de dados e arquivos. informações sobre pesquisa. W W W 7. c) ativos físicos: equipamentos computacionais. cabe destacar que são identificados por meio de análise sistemática dos riscos de segurança da informação. por exemplo aquecimento. através da incorporação de novos tipos de ativos. A H . utilidades gerais. Patrícia Quintão A norma ABNT NBR ISO/IEC 27002. Patrícia Lima Quintão 96 . M O C . conforme as normas da ABNT. comunicação. habilidades e experiências. ferramentas de desenvolvimento e utilitários.Profa. S e) pessoas e suas qualificações.com. usuários. habilidades e experiências. documentação de sistema. Entre essas informações. O S R A organização só irá classificar seus ativos se o custo associado a essa atividade for justificável em relação aos benefícios de segurança. deve haver testes de interrupção e recuperação dos serviços. manuais de usuário. para manutenção e reavaliação dos planos de continuidade do negócio. R B . procedimentos de suporte ou continuidade do negócio. por serem desnecessárias. em que se identifiquem informações relevantes que precisam ser atualizadas. tais como a reputação e a imagem da organização. Quanto aos requisitos de segurança. em uma organização.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . tais como a reputação e a imagem da organização. aplicações e processos de apoio) são exemplos de ativos. informações armazenadas. f) intangíveis. contratos e acordos. Como determina a norma ABNT NBR ISO/IEC 27002. procedimentos de recuperação. conforme visto. os elementos considerados na questão (informações. e sim opcional! U C Obs: essa foi uma das seções que sofreu modificação após a revisão consolidada em 2005. operação. planos de trilhas de auditoria e b) ativos de software: aplicativos. sistemas. endereços e telefones de participantes e estratégias de negócio. julgue os itens a seguir. material de treinamento. iluminação. www. (CESPE/2009/ANATEL/Analista Administrativo – TI/Arquitetura de soluções) Testes de mesa. b) endereços ou números telefônicos. g) processos (inclusões e exclusões).Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . c) estratégia de negócio. as técnicas podem ser usadas por qualquer organização e devem refletir a natureza do plano de recuperação específico.pontodosconcursos. Gabarito: item errado. Segundo a ISO/IEC 17799:2005. como as listadas a seguir: a) testes de mesa (faz-se a leitura em conjunto dos procedimentos de um grupo/equipe discutindo os arranjos para recuperação).Profa. b) simulações (particularmente para treinar pessoas em seus papéis de gerenciamento pós-incidente/crise).br | Profa. equipamento. Patrícia Quintão Comentários O uso da expressão “deve haver” está inadequado aqui. Nesse contexto diversas técnicas devem ser usadas para fornecer garantia de que os planos funcionarão na vida real. manutenção e reavaliação dos planos de continuidade do negócio destaca: “Os exemplos de mudanças onde convém que a atualização dos planos de continuidade do negócio seja considerada são a aquisição de novos equipamentos. f) prestadores de serviços.com.5 intitulado Testes. www. de forma a assegurar sua permanente atualização e efetividade. facilidades e processos conseguem lidar com interrupções). c) testes da recuperação técnica (garantindo que os sistemas de informação podem ser restaurados eficientemente). e) testes das facilidades e serviços de fornecimento (garantindo que serviços e produtos providos externamente satisfarão o compromisso contratado). no controle 14. atualização de sistemas e mudanças de: a) pessoal. testes de recuperação em local alternativo e ensaio geral são técnicas que podem ser empregadas na gestão da continuidade de negócios. na página 107. A norma ABNT NBR ISO/IEC 27002:2005. conforme prescrição na norma ABNT NBR ISO/IEC 17799:2005. f) ensaios completos (testando se a organização. Patrícia Lima Quintão 97 . instalações e recursos. h) risco (operacional e financeiro)”. pessoal.1. e) legislação. d) testar recuperação em um site alternativo (executando processos do negócio em paralelo com operações de recuperação longe do site principal). fornecedores e clientes-chave. Comentários Conforme prescrito na norma ABNT NBR ISO/IEC 17799:2005 (renomeada para 27002) os planos de continuidade do negócio devem ser testados e atualizados regularmente. d) localização. 8. Todo teste deve ter objetivos claramente definidos. Patrícia Quintão A seguir disponibilizamos um quadro resumo sobre tipos e métodos de teste de estratégias de Gestão de Continuidade de Negócios. os testes devem ser realistas. planejados cuidadosamente e acordados com as partes interessadas.T W W W Gabarito: item correto. Segundo a NBR 15999. www.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação .Profa. é importante que seja elaborado um relatório pósteste. que contenha recomendações juntamente de uma previsão de tempo para a implementação destas. inclusive principais fornecedores. S O S R U C N O C A T I L A H . e de forma a minimizar a chance de que ocorra um incidente como resultado direto do teste. parceiros terceirizados e outros que poderiam participar das atividades de recuperação.br | Profa. A escala e a complexidade dos testes devem ser apropriadas aos objetivos de recuperação da organização.pontodosconcursos. A organização deve incluí-los nos testes. M O C . Além disso.com. O programa de testes deve considerar o papel de todas as partes envolvidas. Patrícia Lima Quintão 98 . Relatórios e análises que demonstrem se os objetivos do teste foram alcançados devem ser elaborados após o teste. R B . de modo que haja um risco mínimo de interrupção dos processos de negócio. Powerpoint e Access são os mais suscetíveis a este tipo de vírus. nome que designa uma sequência de comandos previamente estabelecidos e que são executados automaticamente em um sistema. Arquivos nos formatos gerados por programas da Microsoft. c) A afirmativa I está errada e as afirmativas II. o item I está relacionado ao vírus de macro. as I. Vírus de Arquivos Infectam arquivos executáveis. o item II está correto! Vírus de Script Propagam-se por meio de scripts. III estão corretas.br | Profa.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . Vírus de boot: infectam a área de boot dos discos rígidos dos computadores. d) As afirmativas I. III. Vírus de script: infectam documentos com macros instaladas. Assinale a alternativa CORRETA: a) A afirmativa III está errada e as afirmativas I. Patrícia Lima Quintão 99 . Comentários Vírus de Boot Infectam o setor de boot (ou MBR – Master Boot Record – Registro Mestre de Inicialização) dos discos rígidos dos computadores.Profa. II estão corretas. Conforme visto.com.pontodosconcursos. (FUMARC/2011/PC-MG/Escrivão de Polícia seguintes afirmativas sobre os tipos conhecidos de vírus. www. II e III estão corretas. Vírus de arquivo: infectam arquivos executáveis. Excel. III estão corretas. II. O pacote Office da Microsoft é uma das principais vítimas desse tipo de vírus. Assim. b) A afirmativa II está errada e as afirmativas I. sem necessidade de intervenção do usuário. o item III está correto! Gabarito: letra C. Patrícia Quintão Civil) Analise 9. Assim. Vírus de Macro Infectam documentos que contém macros. como o Word. d) Sniffer.Assistente Técnico De Sistemas) Em relação aos conceitos de segurança da informação. S Os programas responsáveis por capturar os pacotes de rede são chamados de Sniffers. Patrícia Quintão 10. A H c) Confidencialidade. Farejadores ou ainda Capturadores de Pacote.br | Profa. U C 11. Proteger contra o acesso não autorizado. entidades ou processos não autorizados. tais como usuários e senhas: a) Firewall. R B . O S R Gabarito: letra D.Profa. b) Spoofng. T I L b) Integridade. c) Cookie.T d) Simplicidade. (FUMARC/2012/TJ-MG/Oficial Judiciário . . W W W Comentários Conforme visto. EXCETO: N O C A a) Disponibilidade. M O Comentários C . mesmo para dados em trânsito.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação .com. são pilares. (FUMARC/ 2011/ PC-MG/ Escrivão de Polícia Civil) É um tipo de aplicação que captura pacotes de rede e analisa suas características com o objetivo de obter informações confidenciais. são princípios (ou pilares) básicos da segurança da informação: Princípio Conceito Objetivo Confidencialidade Propriedade de que a informação não esteja disponível ou revelada a indivíduos. Patrícia Lima Quintão 100 .pontodosconcursos. www. d) a criptografia de chave pública praticamente substituiu os algoritmos de chave simétrica para aplicações web que necessitam de transferência segura de dados através da internet. Patrícia Lima Quintão 101 . (FUMARC/2012/TJ-MG/Oficial Judiciário .com/doc/iFk1fJKO/preview.br | Profa. As técnicas empregadas para decifrar uma mensagem sem qualquer conhecimento dos detalhes de criptografia estão na área da criptoanálise.Assistente Técnico De Sistemas) Sobre os conceitos de criptografa. a criptografia de chave pública apresenta grande vantagem em relação à segurança do processo de distribuição de chaves. Disponibilidade Propriedade de estar acessível e utilizável sob demanda por uma entidade autorizada. e o gabarito é a letra D. c) os algoritmos de criptografia (simétrica e assimétrica) apresentam o mesmo nível de resistência quando utilizam chaves de mesmo tamanho.html questão: Item a. 12. garantir a fidedignidade das informações.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . Comentários Fonte principal dessa http://dc242. Assim. a única opção que não se encontra na relação de princípios básicos é a simplicidade. Proteger contra indisponibilidade dos serviços (ou degradação). é correto afirmar que a) a criptografia de chave pública é mais segura contra criptoanálise do que a criptografia simétrica. Há alguns enganos em relação à criptografia de chave pública.com.Profa. Patrícia Quintão Integridade Propriedade de salvaguarda da exatidão e completeza de ativos.4shared. garantir aos usuários com autorização.pontodosconcursos. Proteger informação contra modificação sem permissão. Gabarito: letra D. o acesso aos dados. A criptoanálise é o que os leigos chamam de ‘quebrar o código’. Primeiro que a www. b) apesar de consumir mais recursos computacionais que a criptografia simétrica. Item errado. Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação - Profa. Patrícia Quintão criptografia de chave pública é mais segura contra criptoanálise do que a criptografia simétrica. Conforme destaca Stallings, a segurança de qualquer esquema de criptografia depende do tamanho da chave e do trabalho computacional envolvido para quebrar uma cifra. Não há nada, em princípio, sobre a criptografia simétrica ou de chave pública que torne uma superior à outra, do ponto de vista de resistência à criptoanálise. Criptografia = arte e ciência de manter mensagens seguras. Criptoanálise = arte e ciência de quebrar textos cifrados. R B . Criptologia = combinação da criptografia + criptoanálise. M O Item B. Item correto. Apesar de consumir mais recursos computacionais que a criptografia simétrica, a criptografia de chave pública apresenta grande vantagem em relação à segurança do processo de distribuição de chaves. O conceito de criptografia de chave pública evoluiu de uma tentativa de atacar dois dos problemas mais difíceis associados à criptografia simétrica. O primeiro problema é o da distribuição de chaves. C . S O S R U C A distribuição de chaves sob a criptografia simétrica requer (1) que dois comunicantes já compartilhem uma chave de alguma forma distribuída a eles; ou (2) o uso de um centro de distribuição de chaves. N O O segundo problema sobre o qual Diffie ponderou, e que não estava aparentemente relacionado com o primeiro, foi o das ‘assinaturas digitais’. C A T I L A H Item C. Item errado. Não há nada, em princípio, sobre a criptografia simétrica ou de chave pública que torne uma superior à outra, do ponto de vista de resistência à criptoanálise. .T W W W Item D. Item errado. A combinação dos dois métodos de encriptação podem ser utilizados, associando a segurança de encriptação com chave pública com a velocidade da encriptação com chave privada. Gabarito: letra B. 13. (CETRO/2012/TJ-RJ/Titular de Serviços de Notas e de Registros Critério Provimento) Em relação à Certificação Digital, analise a assertiva seguinte: I. Os usuários dos Certificados Digitais devem confiar na Autoridade Certificadora. www.pontodosconcursos.com.br | Profa. Patrícia Lima Quintão 102 Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação - Profa. Patrícia Quintão Comentários Um certificado digital é um documento eletrônico que identifica pessoas, físicas ou jurídicas, URLs, contas de usuário, servidores (computadores), dentre outras entidades. Este “documento” na verdade é uma estrutura de dados que contém a chave pública do seu titular e outras informações de interesse. Ele contém informações relevantes para a identificação “real” da entidade a que visa certificar (CPF, CNPJ, endereço, nome, etc.) e informações relevantes para a aplicação a que se destina. O certificado digital deve ser assinado por uma autoridade confiável, a Autoridade Certificadora, atestando sua integridade e origem. Assim, os usuários dos Certificados Digitais devem confiar na Autoridade Certificadora. Gabarito: item correto. 14. (CETRO/2012/TJ-RJ/Titular de Serviços de Notas e de Registros Critério Provimento) Em relação à Certificação Digital, analise a assertiva seguinte: II. Os Certificados Digitais não possuem período de validade, podendo ser utilizados por tempo indeterminado. Comentários Dentre as informações que compõem a estrutura de um certificado temos: Versão Número de série Nome do titular Chave pública do titular Período de validade Nome do emissor Assinatura do emissor Algoritmo de assinatura do emissor Extensões qual formato de certificado Indica está sendo seguido. Identifica unicamente um certificado dentro do escopo do seu emissor. Nome da pessoa, URL ou demais informações que estão sendo certificadas. Informações da chave pública do titular. Data de emissão e expiração. Entidade que emitiu o certificado. Valor da assinatura digital feita pelo emissor. Identificador dos algoritmos de hash + assinatura utilizados pelo emissor para assinar o certificado. Campo opcional para estender o certificado. Gabarito: item errado. www.pontodosconcursos.com.br | Profa. Patrícia Lima Quintão 103 Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação - Profa. Patrícia Quintão 15. (CETRO/2012/TJ-RJ /Titular de Serviços de Notas e de Registros/Critério Remoção) Sobre o processo de backup (cópia de segurança) de documentos eletrônicos, é correto afirmar que a) a frequência com que os backups são realizados não tem qualquer relação com o tipo de documento eletrônico que está sofrendo esse processo de cópia de segurança. b) as mídias contendo os backups podem ser armazenadas no mesmo local físico dos documentos eletrônicos originais por motivo de economia de espaço de armazenamento. R B . M O c) os backups devem ser gravados e, depois disso, essas mídias devem ser armazenadas em locais seguros e não devem mais ser manipuladas, a não ser em caso de restauração de dados perdidos. C . S d) quando o sigilo for importante, os backups devem ser protegidos por meio de criptografia. O S R e) o tempo de execução dos backups não é um fator importante a ser levado em consideração, já que, normalmente, esse tempo é bem pequeno. U C N O Comentários C A Item A. Item errado. A frequência com que os backups são realizados tem relação direta com o tipo de documento eletrônico que está sofrendo esse processo de cópia de segurança. Se o arquivo for alterado constantemente, o backup deverá ser feito com uma frequência maior, de forma a garantir que as últimas informações estarão protegidas e poderão ser recuperadas em caso de necessidade. T I L A H .T W W W Item B. Item errado. As mídias contendo os backups devem ser armazenadas em local físico distinto daquele em que os dados originais estão localizados. Um backup envolve cópia de dados em um meio fisicamente separado do original, regularmente, de forma a protegê-los de qualquer eventualidade. Item C. Item errado. As mídias dos backups devem ser armazenadas em locais seguros, mas podem ser reutilizadas a qualquer momento em um sistema de “rodízio de fitas” ou quando o técnico responsável pela administração do backup tiver necessidade. Item D. Item correto. Isso mesmo! Quando a confidencialidade (ou sigilo) for importante, os backups devem ser protegidos por meio de criptografia. www.pontodosconcursos.com.br | Profa. Patrícia Lima Quintão 104 Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação - Profa. Patrícia Quintão Item E. Item errado. O tempo de execução dos backups é um fator que deve ser considerado, já que, normalmente, esse tempo pode demandar horas e até dias para seu término. Gabarito: letra D. 16. (FCC/ICMS-RJ/AUDITOR FISCAL DA RECEITA ESTADUAL/2014) O site Convergência Digital divulgou a seguinte notícia: O Brasil segue como o no 1 na América Latina em atividades maliciosas e figura na 4ª posição mundial, ficando atrás apenas dos EUA, China e Índia, de acordo a Symantec. Os ataques por malwares cresceram 81%. ... Um desses malwares segue sendo o grande vilão nas corporações, sendo responsável por mais de 220 milhões de máquinas contaminadas no mundo. É um programa capaz de se propagar automaticamente pelas redes, enviando cópias de si mesmo de computador para computador. (Adaptado de: http://convergenciadigital.uol.com.br/cgi/cgilua.exe/sys/start.ht m?infoid=34673&sid=18#.UlqcCNKsiSo) Considerando que o malware citado como vilão não se propaga por meio da inclusão de cópias de si mesmo em outros programas ou arquivos, mas sim pela execução direta de suas cópias ou pela exploração automática de vulnerabilidades existentes em programas instalados em computadores, tratase de um (A) vírus de macro. (B) botnet. (C) worm. (D) spyware. (E) backdoor. Comentários Item A. Item errado. Vírus de macro infecta documentos que contém macros. Mas o que é uma macro? Trata-se de um conjunto de comandos que são armazenados em alguns aplicativos e utilizados para automatizar tarefas repetitivas. Um vírus de macro é escrito de forma a explorar esta facilidade de automatização e é parte de um arquivo que normalmente é manipulado por algum aplicativo, como o Word, Excel, Powerpoint e Access, que utiliza macros. Para que o vírus de macro possa ser executado, o arquivo que o contém precisa ser aberto e, a partir daí, o vírus pode executar uma série de comandos automaticamente e infectar outros arquivos no computador. www.pontodosconcursos.com.br | Profa. Patrícia Lima Quintão 105 Diferentemente do vírus. C A T I L Item E. Dentre estas diretrizes encontram-se normas que garantem I. Patrícia Lima Quintão 106 . A H . enviando cópias de si mesmo de computador para computador (observe que os worms apenas se copiam.com. de modo similar ao worm.pontodosconcursos. Item C.).Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . Sinalizam.T W W W 17. M O C . (FCC/ICMS-RJ/AUDITOR FISCAL DA RECEITA ESTADUAL/2014) A política de segurança da informação da Receita Estadual inclui um conjunto de diretrizes que determinam as linhas mestras que devem ser seguidas pela instituição para que sejam assegurados seus recursos computacionais e suas informações. sinalizando a conformidade dos dados armazenados com relação às inserções. Patrícia Quintão Item B. que tem por finalidade monitorar as atividades de um sistema e enviar as informações coletadas para terceiros. sem que seja necessário passar pelos sistemas de controle e autenticação implementados pelo administrador do sistema. R B . o worm não embute cópias de si mesmo em outros programas ou arquivos e não necessita ser explicitamente executado para se propagar. não infectam outros arquivos. Item correto. mas que na verdade são capazes de se propagarem automaticamente através de redes. Os Worms são programas parecidos com vírus. O termo botnet (junção da contração das palavras robot (bot) e network (net)) designa uma rede infectada por bots (também conhecida como rede zumbi). Item errado. sendo composta geralmente por milhares desses elementos maliciosos que ficam residentes nas máquinas. Spyware é um programa espião (spy em inglês = espião).br | Profa. redes das empresas etc. Backdoor é uma brecha inserida em um sistema de computação que permite o retorno de um invasor a um computador comprometido. eles mesmos são os arquivos). Item errado. Web. Bot (Robô). explorando vulnerabilidades existentes ou falhas na configuração de software instalado em um computador.Profa. é um programa capaz de se propagar automaticamente. ainda. sem o consentimento da parte envolvida. alterações e processamentos autorizados efetuados. a fidedignidade de informações. Sua propagação se dá pela execução direta de suas cópias ou através da exploração de vulnerabilidades existentes ou falhas na configuração de softwares instalados em computadores. Item errado. Gabarito: letra C. S O S R U C N O Item D. aguardando o comando de um invasor. utilizando serviços criados ou modificados para este fim. geralmente utilizam as redes de comunicação para infectar outros computadores (via e-mails. a conformidade dos dados transmitidos www. Além disso. FTP. assegurando a prestação contínua do serviço.br | Profa. Patrícia Lima Quintão 107 .Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . ininterruptibilidade e autenticidade. (D) integridade. III Confidencialidade (ou sigilo) É a garantia de que a informação não será conhecida por quem não deve. II Disponibilidade Busca acesso disponível às entidades autorizadas sempre que necessário.pontodosconcursos. somente as pessoas explicitamente autorizadas podem acessá-las. Em relação às informações. as normas definidas em I. Modificação deve ser realizada somente pelas partes devidamente autorizadas. O acesso às informações deve ser limitado. disponibilidade e confidencialidade. (B) integridade. III. integridade e autenticidade. Comentários Item Princípio Característica I Integridade É a garantia de que a informação que foi armazenada é a que será recuperada. seja ela acidental ou proposital. que as informações estejam acessíveis às pessoas e aos processos autorizados. Patrícia Quintão pelo emissor com os recebidos pelo destinatário. II. ou seja. que somente pessoas autorizadas tenham acesso às informações armazenadas ou transmitidas por meio das redes de comunicação. sem interrupções no fornecimento de informações para quem é de direito. integridade e disponibilidade. sem que possuam autorização para tal procedimento.com.Profa. assegurando que as pessoas não tomem conhecimento de informações. gravação ou exclusão. acessibilidade e disponibilidade. garantindo a não violação dos dados com intuito de alteração. (C) confidencialidade. a qualquer momento requerido. de forma acidental ou proposital. A integridade busca proteção contra codificação não autorizada. www. (E) confidencialidade. Gabarito: letra B. II e III visam garantir (A) fidedignidade. www. .integridade U C (e) disponibilidade . No caso da alteração maliciosa. o conceito de segurança da informação é caracterizado pela preservação de: I.que é a garantia de que a informação é acessível somente por pessoas autorizadas a terem acesso.com. deve-se parar o ataque e depois retransmitir a mensagem. é detectar ataques ativos (alteração de dados) muito mais do que corrigir a modificação.que é a garantia de que os usuários autorizados obtenham acesso à informação e aos ativos correspondentes. A integridade pode ser comprometida de duas maneiras: • alteração maliciosa: quando um atacante altera a mensagem armazenada ou em trânsito. Está relacionando o princípio da confidencialidade (ou sigilo). R B . em outras palavras. sempre que necessário.que é a salvaguarda da exatidão e completeza da informação e dos métodos de processamento. reordenar a mensagem. II e III: C . a maior preocupação.br | Profa. II. Observe que há várias maneiras de se alterar uma mensagem: modificar uma parte. Quando um ataque é detectado. inserir texto novo. (FCC/TRT-MS/Analista Sistemas/2006) Segundo a NBR ISO/IEC 17799:2001. III. M O Preencham correta e respectivamente as lacunas I.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . S (a)disponibilidade – integridade – confidencialidade (b)confidencialidade – integridade – disponibilidade O S R (c)integridade – confidencialidade – disponibilidade (d)confidencialidade – disponibilidade .pontodosconcursos. para memorizar e gabaritar a prova ☺ ! A H Item I.Profa.confidencialidade – integridade N O C A Comentários T I L Agora ficou bem fácil!! Mais uma vez. Patrícia Quintão 18. Patrícia Lima Quintão 108 . que irá prevenir o acesso não autorizado à informação. em geral. A integridade irá prevenir a alteração ou modificação não autorizada (acidental ou não) da informação e de todo o ambiente que suporta a informação.T W W W Item II. retransmissão de mensagem antiga etc. que permite acesso autorizado à informação sempre que necessário! Para a ABNT NBR ISO/IEC 17799:2005 (renumerada para ABNT NBR ISO/IEC 27002). Item III. Gabarito: letra B. muitos protocolos de transmissão incluem códigos de detecção e/ou correção de erros. 19. www.com. corrigir os erros. Salvaguarda da exatidão e completeza da informação e dos métodos de processamento. respectivamente. Está relacionado à disponibilidade. integridade e confiabilidade. • Integridade: as informações em trânsito ou em um sistema de computador somente podem ser modificadas pelas partes autorizadas. • Disponibilidade: as informações podem ser acessadas pelas pessoas autorizadas sempre que for necessário.pontodosconcursos. II e III correspondem. Garantia de que os usuários autorizados obtenham acesso à informação e aos ativos correspondentes sempre que necessário. por exemplo.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . Na ISO/IEC 17799 (renomeada para 27002). da integridade e da disponibilidade da informação: • Confidencialidade: o acesso à informação deve ser obtido apenas por pessoas autorizadas. parte da mensagem destina-se a detectar se esta foi alterada (detecção de erro) e. por erros de transmissão ou corrupção de dados armazenados. isto é. Patrícia Quintão • alteração acidental: pode acontecer. Em relação à alteração acidental.Profa. b) confiabilidade. em alguma medida. integridade e distributividade.br | Profa. (FCC/TRT-24ª Região/Analista Judiciário/Tecnologia Informação/2011/Adaptada) Considere: da I. Patrícia Lima Quintão 109 . II. I. a a) disponibilidade. III. Garantia de que o acesso à informação seja obtido somente por pessoas autorizadas. a segurança da informação consiste na preservação dos princípios básicos da confidencialidade. Comentários Bem. Patrícia Quintão c) confidencialidade. mesmo para dados em trânsito.com. S M O Propriedade de salvaguarda da exatidão e completeza de ativos.T W Disponibilidade W W Trata-se da manutenção da disponibilização da informação. Patrícia Lima Quintão 110 . a NBR ISO17799 (renumerada para NBR ISO 27002) constitui um padrão de recomendações para práticas na gestão de Segurança da Informação. essa questão é idêntica à de 2006. Proteger contra o acesso não autorizado. O S R U C N O R B . Gabarito: letra C. d) confidencialidade. pessoal. Proteger informação contra modificação sem permissão. e) integridade.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação .br | Profa.Profa. se pararam para analisar. Proteger contra indisponibilidade dos serviços (ou degradação). a informação precisa estar disponível quando se necessita. C . 20. C A Integridade T I L A H . integridade e disponibilidade. (FGV/2009/ICMS-RJ/Fiscal de Rendas) No Brasil. confiabilidade e disponibilidade.pontodosconcursos. ou seja. o acesso aos dados. garantir aos usuários com autorização. garantir a fidedignidade das informações. Recapitulando temos: Princípio básico Confidencialidade Conceito Objetivo Trata-se da prevenção do vazamento da informação para usuários ou sistemas que não estão autorizados a ter acesso a tal informação. De acordo com o www. confiabilidade e disponibilidade. (E) garantir que as informações sejam acessíveis apenas para aqueles que estejam autorizados a acessá-las. www.pontodosconcursos. O acesso às informações deve ser limitado. Comentários A segurança da informação busca preservar os princípios relacionados na questão. a confidencialidade tem por objetivo: (A) salvaguardar a exatidão e a inteireza das informações e métodos de processamento. Patrícia Lima Quintão 111 . indevidas ou acidentais. a disponibilidade. que são: a confidencialidade.br | Profa. É a garantia de que a informação não será conhecida por quem não deve. sempre que seus usuários (pessoas e empresas autorizadas) necessitarem. garantindo a sua proteção contra mudanças intencionais. Gabarito: letra E. Em outras palavras. Comumente referenciados como CID. não importando o motivo. quando necessário. vamos à descrição de cada um deles: • Confidencialidade (sigilo): garante que as informações sejam acessíveis apenas para aqueles que estão autorizados a acessá-las. somente as pessoas explicitamente autorizadas podem acessá-las.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . Patrícia Quintão estabelecido nesse padrão.com. • Integridade: tem como objetivo salvaguardar a exatidão e a inteireza das informações e métodos de processamento. (D) permitir que os usuários autorizados tenham acesso às informações e aos ativos associados. Nesse contexto. três termos assumem papel de importância capital: confidencialidade. (C) permitir que os usuários tenham acesso aos arquivos de backup e aos métodos de criptografia empregados.Profa. a integridade. integridade e disponibilidade. Esse princípio destaca que a informação deve ser mantida na condição em que foi liberada pelo seu proprietário. ou seja. é a garantia de que a informação que foi armazenada é a que será recuperada!!! • Disponibilidade: é a garantia de que a informação deve estar disponível. muito cobrados em provas. (B) salvaguardar os dados gravados no backup por meio de software que utilize assinatura digital. T W W W Sniffing é: o processo de captura das informações da rede por meio de um software de escuta de rede (conhecido como sniffer. Patrícia Lima Quintão 112 . é possível utilizar um software que coloca a interface num estado chamado de modo promíscuo. Dessa maneira um sniffer atua na rede farejando pacotes na tentativa de encontrar certas informações. M O C . S Comentários O S R Por padrão.com. Os dados coletados são usados para obtenção de detalhes úteis para solução de problemas em rede. Esse programa é conhecido por: R B . Nessa condição o computador pode monitorar e capturar os dados trafegados através da rede.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . (B) Strobe. como nomes de usuários.Profa.pontodosconcursos. um programa permite a monitoração e registra a passagem de dados entre as interfaces de rede instaladas no computador. senhas ou qualquer outra informação transmitida que não esteja criptografada. (E) Backdoor. U C N O Os programas responsáveis por capturar os pacotes de rede são chamados de Sniffers. como entre duas máquinas. Farejadores ou ainda Capturadores de Pacote. . (com o tráfego entre elas passando pela máquina com o farejador) ou em uma rede local com a interface de rede em modo promíscuo. farejador ou ainda capturador de pacote). Patrícia Quintão 21. os computadores (pertencentes à mesma rede) escutam e respondem somente pacotes endereçados a eles. quando usado com boas intenções pelo administrador do sistema. www. (FGV/SEFAZ-MS/Analista de Tecnologia da Informação/2006) No que diz respeito à segurança. Eles exploram o fato do tráfego dos pacotes das aplicações TCP/IP não utilizar nenhum tipo de cifragem nos dados. C A T I L A H A dificuldade no uso de um sniffer é que o atacante precisa instalar o programa em algum ponto estratégico da rede. capaz de interpretar as informações transmitidas no meio físico. quando usado pelo cracker para obter nomes/senhas e outros detalhes úteis para espionagem. (C) Sniffer. os softwares mais conhecidos desse programa são tcpdump e ethereal. (D) NetBus.br | Profa. (A) Hoax. Entretanto. não importando o seu destino legítimo. ou para ataques ao sistema. Para sistemas Linux. e) integridade. integridade e autenticidade. c) confidencialidade. Patrícia Lima Quintão 113 . não autorizados. associam-se. enquanto impede que outros. b) autenticidade. confidencialidade e autenticidade.br | Profa. (FCC/TRE-CE/Analista Judiciário/Análise de Sistemas/2012) Em relação à segurança da informação. sob risco de manuseio (alterações não aprovadas e fora do controle do proprietário da informação) por pessoa não autorizada. O sistema deve ter condições de verificar a identidade dos usuários. direta e respectivamente. e este ter condições de analisar a identidade do sistema. confidencialidade e integridade. d) autenticidade. Os itens I.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . Informação exposta. sequer as consultem. confidencialidade e irretratabilidade. II e III. 22. considere: I. confidencialidade e irretratabilidade.Profa. Comentários www. II.pontodosconcursos. Capacidade do sistema de permitir que alguns usuários acessem determinadas informações. aos princípios de a) confidencialidade.com. Patrícia Quintão Gabarito: letra C. III. Alguém obtém acesso não autorizado ao seu computador e lê todas as informações contidas na sua Declaração de Imposto de Renda. como um e-mail. Alguém obtém acesso não autorizado ao seu computador e altera informações da sua Declaração de Imposto de Renda. Confidencialidade (sigilo): é a garantia de que a informação não será conhecida por quem não deve. (FCC/2013/DPE-SP/Agente de Defensoria/Analista de Sistemas / Segurança da Informação) Um computador ou sistema computacional é dito seguro se este atender a três requisitos básicos relacionados aos recursos que o compõem.T W W W II. como uma venda on-line). ou comercial. Em outras palavras. ou seja.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . Alguns exemplos de violações a cada um desses requisitos são: C A T I L A H I. É por meio da autenticação que se confirma a identidade da pessoa ou entidade que presta ou acessa as informações. O acesso às informações deve ser limitado. com alterações não aprovadas e fora do controle do proprietário da informação por pessoa não autorizada está relacionada a esse princípio. Autenticidade: é a capacidade de garantir a IDENTIDADE de uma pessoa (física ou jurídica) que acessa as informações do sistema ou de um servidor (computador) com quem se estabelece uma transação (de comunicação. M O Item III. . S O S R U C Gabarito: letra A. Integridade: esse princípio destaca que a informação deve ser mantida na condição em que foi liberada pelo seu proprietário. garantindo a sua proteção CONTRA MUDANÇAS INTENCIONAIS. é a garantia de que a informação que foi armazenada é a que será recuperada!!! O fato de se ter a informação exposta. Patrícia Lima Quintão 114 . Patrícia Quintão Vamos à caracterização dos princípios destacados na questão: Item I. O seu provedor sofre uma grande sobrecarga de dados ou um ataque de negação de serviço e por este motivo você fica impossibilitado de enviar sua Declaração de Imposto de Renda à Receita Federal.pontodosconcursos. momentos antes de você enviá-la à Receita Federal.com. A associação correta do requisito de segurança com os exemplos de violação está expressa. somente as pessoas explicitamente autorizadas podem acessá-las. C . em: www. N O 23. III. Item II.Profa. respectivamente. INDEVIDAS OU ACIDENTAIS.br | Profa. R B . Nesse momento houve um comprometimento da disponibilidade do serviço que fornece acesso à informação desejada! Ocorre quebra de sigilo (segredo) quando alguém obtém acesso não autorizado ao seu computador e lê todas as informações contidas na sua Declaração de Imposto de Renda sem a sua autorização.br | Profa.pontodosconcursos. Patrícia Quintão a) I privacidade b) I exclusividade c) I confidencialidade d) I disponibilidade e) I acessibilidade II III integridade exclusividade II III privacidade acessibilidade II III exclusividade disponibilidade II III confidencialidade integridade II III exclusividade privacidade Comentários Requisito I. Patrícia Lima Quintão 115 . Integridade Exemplos de violação O seu provedor sofre uma grande sobrecarga de dados ou um ataque de negação de serviço e por este motivo você fica impossibilitado de enviar sua Declaração de Imposto de Renda à Receita Federal.Profa. como as informações da sua Declaração de Imposto de Renda. Confidencialidade III.com. Disponibilidade II. www. Ocorre quebra de disponibilidade. pois o site ficou indisponível no instante em que deveria estar sendo acessado pelo usuário. momentos antes de você enviá-la à Receita Federal.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . Nesse momento a confidencialidade da informação foi comprometida. Ocorre quebra de integridade quando alguém obtém acesso não autorizado ao seu computador e altera o conteúdo de documentos. Nesse momento houve um comprometimento da integridade do documento por uma fonte não autorizada. Profa. U C Comentários N O O teclado virtual é uma forma de prevenção contra os programas maliciosos (malwares) keyloggers (capazes de capturar e armazenar as teclas digitadas pelo usuário no teclado de um computador) e screenloggers (que tentam coletar dados vindos da tela do computador). Patrícia Lima Quintão 116 .br | Profa. . (B) keyloggers e adwares. O certificado digital é um arquivo eletrônico que contém dados de uma pessoa ou instituição. (FUNRIO/2009/Analista de Seguro Social – Serviço Social) Das sentenças abaixo. (FCC/2012/TRT-11ª. Vírus. IV.com. III. Patrícia Quintão Gabarito: letra D. M O (C) screenloggers e adwares. (A) spywares e adwares. cujas teclas mudam de lugar a cada caractere fornecido.T W W W 25. 24. Portanto.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . a letra E é a resposta da questão! C A T I L A H Gabarito: letra E. é comum que tenha que digitar a senha em um teclado virtual. O S R (E) keyloggers e screenloggers. Um dos principais objetivos da criptografia é impedir a invasão de redes. Região/Provas de Analista Judiciário e Técnico Judiciário) Quando o cliente de um banco acessa sua conta corrente através da internet. www. Um antivírus é capaz de impedir que um hacker tente explorar alguma vulnerabilidade existente em um computador. relativas à segurança de computadores e sistemas. I. utilizados para comprovar sua identidade. C . worms e cavalos de troia são alguns dos exemplos de Malware. II.pontodosconcursos. S (D) phishing e pharming. Esse procedimento de segurança visa evitar ataques de R B . keyloggers. E isso não é suficiente para impedir a invasão de redes. As mensagens codificadas com a chave pública só podem ser decodificadas com a chave privada correspondente. os métodos criptográficos podem ser subdivididos em duas grandes categorias. ilustrados na figura seguinte. II. de acordo com o tipo de chave utilizada: a criptografia de chave única e a criptografia de chave pública e privada. dígitos e símbolos (como uma senha).pontodosconcursos.: Token ou Smart Card. D) III e IV. Cabe destacar que a principal finalidade da criptografia é. e que é convertida em um número. II e III. A chave é uma sequência de caracteres.com. apenas. que vincula a pessoa física ou jurídica a um par de chaves sendo uma pública e outra privada (ou secreta). apenas. O certificado fica armazenado em dispositivos de segurança. uma para codificar e outra para decodificar mensagens. apenas. O certificado digital é uma credencial eletrônica. não-palpável gerada por uma Autoridade Certificadora (AC). Os métodos de criptografia atuais são seguros e eficientes e baseiam-se no uso de uma ou mais chaves. e outra privada. A Criptografia é a ciência e arte de escrever mensagens em forma cifrada ou em código. Patrícia Lima Quintão 117 . Patrícia Quintão Estão corretas: A) I. que pode conter letras. Item II. Neste método cada pessoa ou entidade mantém duas chaves: uma pública.Profa. Comentários Item I. III e IV. como por ex.br | Profa. Atualmente.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . Item FALSO. www. • A criptografia de chaves pública e privada utiliza DUAS chaves distintas. E) I. que deve ser mantida em segredo pelo seu dono. • A criptografia de chave única utiliza a MESMA chave tanto para codificar quanto para decodificar mensagens. reescrever uma mensagem original de uma forma que seja incompreensível. que pode ser divulgada livremente. B) I e IV. sem dúvida. C) II e IV. utilizado pelos métodos de criptografia para codificar e decodificar mensagens. para que ela não seja lida por pessoas não autorizadas. apenas. Chamamos essa autoridade de Autoridade Certificadora. Ilustração de dispositivos de segurança C . ou AC.br | Profa.com. • vincular uma chave pública a um titular (eis o objetivo principal). Um certificado contém: www. Patrícia Quintão Token R B . integridade.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . autoria e não-repúdio. Patrícia Lima Quintão 118 . conforme visto na próxima figura.pontodosconcursos.T W W W Figura.Profa. Smart Card M O Figura. O certificado digital precisa ser emitido por uma autoridade reconhecida pelas partes interessadas na transação. Vínculo da chave pública ao titular • assinar digitalmente um documento eletrônico atribuindo validade jurídica. S Quanto aos objetivos do certificado digital podemos destacar: • transferir a credibilidade que hoje é baseada em papel e conhecimento para o ambiente eletrônico. O S R U C N O C A T I L A H . • Vírus: são pequenos códigos de programação maliciosos que se “agregam” a arquivos e são transmitidos com eles. a partir daí se propaga infectando. Também pode ser considerado malware uma aplicação legal que por uma falha de programação (intencional ou não) execute funções que se enquadrem na definição. irei explicar primeiramente o item IV. O vírus depende da execução do programa ou arquivo hospedeiro para que possa se tornar ativo e dar continuidade ao www.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . em seguida. isto é. cavalos de troia. malware são programas que executam deliberadamente ações mal-intencionadas em um computador!! Os tipos de malware destacados na questão: vírus. inserindo cópias de si mesmo e se tornando parte de outros programas e arquivos de um computador. o vírus também é. para uma melhor compreensão. Item IV. worms.com. Quando o arquivo é aberto na memória RAM.pontodosconcursos. estão descritos a seguir. e. Patrícia Lima Quintão 119 . software designado a se infiltrar em um sistema de computador alheio de forma ilícita com o intuito de causar algum dano ou roubo de informações. Malware é um termo proveniente de Malicious Software. Patrícia Quintão Item VERDADEIRO.br | Profa. passamos aos comentários do item III. keylogger. A seguir.Profa. Resumindo. Os antivírus procuram detectar e..pontodosconcursos. o keylogger contém mecanismos que permitem o envio automático das informações capturadas para terceiros (por exemplo. após o acesso a um site específico de comércio eletrônico ou Internet Banking. Antivir Personal. quando executado (com a sua autorização!). outros. FTP.Profa. cavalos de troia. Além disso. então. Exs: McAfee Internet Security. geralmente utilizam as redes de comunicação para infectar outros computadores (via e-mails. Norton Internet Security. Web. eles mesmos são os arquivos!!). Panda Internet Security. etc. etc. como por exemplo. mas. como senhas bancárias e números de cartões de crédito. através de e-mails). etc). Normalmente.br | Profa. jogo. S Trojan horse (cavalo de troia): é um programa aparentemente inofensivo que entra em seu computador na forma de cartão virtual.T W Item VERDADEIRO. Worms: programas parecidos com vírus. www. parece lhe divertir.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . anular ou remover códigos maliciosos do computador (vírus. não infectam outros arquivos. álbum de fotos. enviando cópias de si mesmo de computador para computador (observe que os worms apenas se copiam. Diferentemente do vírus. vermes (worms). • R B . o worm não embute cópias de si mesmo em outros programas ou arquivos e não necessita ser explicitamente executado para se propagar. Alguns vírus são inofensivos. a ativação do keylogger é condicionada a uma ação prévia do usuário. por trás abre portas de comunicação do seu computador para que ele possa ser invadido. redes das empresas. Kaspersky Internet Security. C A T I L A H . Patrícia Quintão processo de infecção. M O C . Item FALSO. W W Item III. Gabarito: letra C. e que. Patrícia Lima Quintão 120 . Sua propagação se dá através da exploração de vulnerabilidades existentes ou falhas na configuração de softwares instalados em computadores. AVG Antivírus. etc. podem danificar um sistema operacional e os programas de um computador. Ao contrário do que afirma a questão. mas que na verdade são capazes de se propagarem automaticamente através de redes. • O S R U C N O • Keylogger: um tipo de malware que é capaz de capturar e armazenar as teclas digitadas pelo usuário no teclado de um computador.com. dados digitados na declaração de Imposto de Renda e outras informações sensíveis. ponto fraco) existente no computador. o antivírus não impede que um atacante explore alguma vulnerabilidade (fragilidade.). porém. protetor de tela. Dentre as informações capturadas podem estar o texto de um e-mail. Em muitos casos. do tipo de informação monitorada e do uso que é feito por quem recebe as informações coletadas. De modo similar ao worm. ou seja. (FCC/2013/TRT . é capaz de se propagar automaticamente. além de executar as funções para as quais foi aparentemente projetado. Item errado. Apesar de ainda serem bastante usados por atacantes. b) Backdoor é um programa projetado para monitorar as atividades de um sistema e enviar as informações coletadas para terceiros. Patrícia Quintão 26. Pode ser incluído pela ação de outros códigos maliciosos.18ª Região (GO)/Técnico Judiciário/Tecnologia da Informação) Em relação aos tipos de malware mencionados abaixo. sem o conhecimento do usuário. www. podendo manipular os sistemas infectados. permitindo que seja controlado remotamente. normalmente maliciosas. o bot é o programa capaz de se propagar automaticamente. Comentários Item A. d) Bot é um conjunto de programas e técnicas que permite esconder e assegurar a presença de um invasor ou de outro código malicioso em um computador comprometido. Possui processo de infecção e propagação similar ao do worm.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação .pontodosconcursos. Estes programas geralmente consistem de um único arquivo e necessitam ser explicitamente executados para que sejam instalados no computador. dispõe de mecanismos de comunicação com o invasor. e sem o conhecimento do usuário. ou por atacantes que exploram vulnerabilidades existentes nos programas instalados para invadi. Patrícia Lima Quintão 121 . por meio da inclusão de serviços criados ou modificados para este fim. explorando vulnerabilidades existentes ou falhas na configuração de software instalado em um computador. que tenham previamente infectado o computador. Adicionalmente ao worm. Pode ser usado tanto de forma legítima quanto maliciosa. explorando vulnerabilidades existentes em programas instalados em computadores.br | Profa. c) Spyware é um programa que permite o retorno de um invasor a um computador comprometido. os bots atualmente têm sido também utilizados e incorporados por outros códigos maliciosos para ficarem ocultos e não serem detectados pelo usuário e nem por mecanismos de proteção. Os bots esperam por comandos de um hacker. das ações realizadas. é um programa que. dependendo de como é instalado. é correto afirmar: a) Rootkit é um programa que dispõe de mecanismos de comunicação com o invasor que permitem que ele seja controlado remotamente.Profa.lo.com. e) Trojan ou trojan-horse. também executa outras funções. b) não responder e-mails que chegam "com cópia oculta". Spyware é um programa projetado para monitorar as atividades de um sistema e enviar as informações coletadas para terceiros. Rootkit é uma forma de malware cuja principal intenção é se camuflar.Profa. impedindo que seu código seja encontrado por qualquer antivírus. (FCC/2011/TRE-TO/Analista Judiciário – Judiciária) Uma formas de proteger o sigilo da informação que trafega na Internet é: das a) não fazer os downloads em notebooks. ou por atacantes que exploram vulnerabilidades existentes nos programas instalados para invadi. S O S R U C N O Item E.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação .pontodosconcursos.com. Pode ser incluído pela ação de outros códigos maliciosos. Item errado. Isto é possível por que esta aplicação tem a capacidade de interceptar as solicitações feitas ao sistema operacional. C A T I L A H Gabarito: letra E. Item C. após instalar o rootkit. Item errado. Backdoor é um programa que permite o retorno de um invasor a um computador comprometido. C . Patrícia Lima Quintão 122 . por meio da inclusão de serviços criados ou modificados para este fim. Patrícia Quintão Item B.lo. . c) mandar e-mails somente a pessoas da lista pessoal. Trojan ou trojan horse são programas que entram no sistema escondidos atrás de ouros programas. mas na realidade ele carrega outras instruções maliciosas. Muitas vezes o cavalo de troia abre uma brecha no sistema para que o autor invada a máquina ou envie informações privadas do usuário. O invasor. M O Item D. das ações realizadas. e suas atividades serão escondidas do responsável e/ou dos usuários do computador. do tipo de informação monitorada e do uso que é feito por quem recebe as informações coletadas. que tenham previamente infectado o computador. O usuário recebe o programa imaginando que este é designado para uma determinada função. podendo alterar o seu resultado. e) a criptografia www. terá acesso privilegiado ao computador previamente comprometido. Pode ser usado tanto de forma legítima quanto maliciosa. para assegurar a sua presença no computador comprometido. dependendo de como é instalado. Item errado. permite esconder e assegurar a presença de um invasor ou de outro código malicioso em um computador comprometido.T W W W 27. Item correto.br | Profa. sem precisar recorrer novamente aos métodos utilizados na realização da invasão. R B . d) não usar a opção "com cópia para" do correio eletrônico. Assim. desrespeito à política de segurança (envio de spam.br. Cert.br (B) Para preservar a privacidade dos atacados. Cabe destacar que essas notificações são voluntárias e refletem os incidentes ocorridos em redes que espontaneamente os notificaram ao Cert. Item errado. CSIRTs não disponibilizam estatísticas dos incidentes tratados. o tamanho delas passa a ser irrelevante em termos de segurança. Em relação à (A) Envio de SPAM não é considerado incidente de segurança pelo Cert. 28. Vide exemplo de uma dessas estatísticas a seguir: www. que é mantido pelo NIC. portanto. Resposta e Tratamento de Incidentes de Segurança no Brasil) destaca um incidente de segurança como qualquer evento adverso. Item errado.br. Patrícia Quintão Comentários Ao enviar informações sigilosas via internet deve-se utilizar de um sistema que faça a codificação (chave. Patrícia Lima Quintão 123 .br mantém estatísticas sobre notificações de incidentes a ele reportados.br. etc.com. (E) Os incidentes de segurança nas redes brasileiras devem ser reportados ao Cert. confirmado ou sob suspeita. Gabarito: letra E. já que o Cert. assinale a afirmativa correta.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . Comentários Item A. Item B. de modo que somente as máquinas que conhecem o código consigam decifrá-lo.Profa. (C) Ataques de phishing não podem ser detectados via honeypots. cifra).br (Centro de Estudos. Exemplos de incidentes: tentativa de uso ou acesso não autorizado a sistemas ou dados. É a criptografia. (D) Se as senhas forem mudadas frequentemente pelo usuário. relacionado a segurança de sistemas de computação ou de redes de computadores.br | Profa. (FGV/2013/MPE-MS/ANALISTA (INFORMÁTICA) Segurança na Internet. a medida de segurança a ser adotada para resguardar o sigilo da informação que trafega pela Internet. tentativa de tornar serviços indisponíveis.).pontodosconcursos. Item errado.pontodosconcursos. ataque de phishing.br/stats/incidentes/ U C Item C.br). difíceis de serem digitadas. N O C A T I L Item D.br). A H . O tamanho da senha sempre é muito importante!! Quanto mais longa for a senha mais difícil será para a sua descoberta. Item errado. (A) acesso não-autorizado a banco de dados www. Os incidentes de segurança nas redes brasileiras devem ser reportados ao Centro de Estudos. atacado ou comprometido e pode ser usado para o estudo de spam.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . Item correto.cert. M O C . devidamente monitorado.Profa.br | Profa. (FGV/2007/Fiscal de Rendas/ICMS-RJ) As afirmativas a seguir apresentam vulnerabilidades relacionadas ao uso de sistemas de informação. S O S R Fonte: http://www. Patrícia Quintão R B . Resposta e Tratamento de Incidentes de Segurança no Brasil (Cert. a princípio. Patrícia Lima Quintão 124 .T W W W Item E. dentre outros. com o uso frequente elas acabam sendo digitadas facilmente. que é dedicado a ser sondado.com. Apesar de senhas longas parecerem. mantido pelo Núcleo de Informação e Coordenação do Ponto BR (NIC. Gabarito: letra E. Um honeypot é um recurso computacional de segurança. à exceção de uma. Assinale-a. 29. dois itens podem ser visualizados na janela do browser. um aplicativo ou uma rede de uma empresa. Patrícia Lima Quintão 125 .Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . a falta de proteção da rede para entrada de vírus. 30. a execução de outros softwares e pode possibilitar a instalação de softwares sem licenças. pois qualquer sistema. Ataques maliciosos de pessoas de fora podem sempre acontecer e constituem uma vulnerabilidade para os sistemas. (FGV/2009/MEC/Gerente de Segurança) Com relação à Gestão da Segurança da Informação.com. www. Gabarito: letra D. Patrícia Quintão (B) instalação não-autorizada de softwares (C) falhas de firewall que protegem as redes (D) destruição autorizada de hardware e dados (E) ataques vindos do ambiente externo Comentários Uma vulnerabilidade é uma fragilidade (falha) que. por exemplo. quer seja um sistema operacional. A vulnerabilidade de uma falha no firewall consiste na abertura de possibilidade de prejuízos diversos à rede e recursos de informação. A instalação não autorizada de softwares pode comprometer a configuração de sistemas. o que significa que as informações transmitidas entre o browser e o site visitado estão sendo criptografadas e são visualizados por uma sigla no endereço do site e pela existência de um cadeado. já que a destruição do hardware e dos dados foi autorizada pelos gestores responsáveis pelo equipamento. Dentre as alternativas da questão. que apresenta uma determinada característica. ao ser explorada permite uma ação indesejada no ambiente computacional. somente a letra D não é considerada uma vulnerabilidade. Isso ocorre por exemplo quando se permite destruir um equipamento obsoleto. pois abre possibilidade para pessoas não autorizadas danificarem o banco ou utilizarem os dados que ali estão para fins indevidos. Por fim.Profa. ataques vindos do ambiente externo são uma forma de vulnerabilidade que qualquer sistema possui.pontodosconcursos. não é 100% seguro. O acesso não autorizado a banco de dados consiste numa vulnerabilidade. por mais seguro que seja.br | Profa. como. na parte inferior da janela do browser (B) https://.com. observado nos browsers Firefox e Internet Explorer. e apresenta um cadeado fechado do lado direito.br | Profa. indicando uma conexão segura. na parte superior da janela do browser. e “cadeado fechado” na barra de segurança. onde o s antes do sinal de dois-pontos indica que o endereço em questão é de um site com conexão segura e. ficando amarelo. C .pontodosconcursos. na parte superior da janela do browser. O endereço deve começar com https:// (diferente do http:// nas conexões normais). e que significam que as informações transmitidas entre o browser e o site visitado estão sendo criptografadas: U C N O 1. por exemplo. respectivamente. os dados serão criptografados antes de serem enviados.T W W W Figura 1. (D) http://.identificando site com conexão segura (CERTBR. (C) wwws://. o local em que o endereço do site é digitado muda de cor. https . na parte inferior da janela do browser. O primeiro pode ser visualizado no local em que o endereço do site é digitado. R B . C A T I L A H . 2006) Alguns browsers podem incluir outros sinais na barra de digitação do endereço do site. M O (E) wwws//. e “cadeado fechado” na barra de status.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . S O S R Comentários Existem pelo menos dois itens que podem ser visualizados na janela do seu browser. Patrícia Quintão A sigla e a característica são: (A) https://. Patrícia Lima Quintão 126 . e “cadeado aberto” na barra de segurança. A Figura 1 apresenta o primeiro item. na parte superior da janela do browser. e “cadeado aberto” na barra de status. e “cadeado fechado” na barra de status. portanto.Profa. No Firefox. que indicam que a conexão é segura. www. indicando que a conexão é segura. incluindo o desenho de um cadeado fechado no conteúdo da página.Profa. Chaves menores podem comprometer a segurança dos dados a serem transmitidos. O segundo item a ser visualizado corresponde a algum desenho ou sinal. Outro fator muito importante é que a verificação das informações do certificado deve ser feita clicando única e exclusivamente no cadeado exibido na barra status do browser. o desenho mais adotado nos browsers recentes é de um "cadeado fechado". será exibida uma tela que permite verificar as informações referentes ao certificado emitido para a instituição que mantém o site.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . apresentado na barra de status.pontodosconcursos. Patrícia Lima Quintão 127 . Figura 3. Cadeado forjado (CERTBR. Figura 2. que podem ser observados nas barras de status nos browsers Firefox e Internet Explorer. É muito importante que você verifique se a chave utilizada para criptografar as informações a serem transmitidas entre seu browser e o site é de no mínimo 128 bits. Atacantes podem tentar forjar certificados. indicando que a conexão não é segura. Patrícia Quintão 2. 2006).br | Profa. a conexão não é segura). bem como informações sobre o tamanho da chave utilizada para criptografar os dados. Observe que na Figura 3 não é apresentado um cadeado fechado dentro da barra de status. respectivamente. Cadeado identificando site com conexão segura (CERTBR. A figura 3 ilustra esta situação no browser Firefox. Compare as barras de status do browser Firefox nas Figuras 2 e 3. na parte inferior da janela do browser (se o cadeado estiver aberto. 2006). A Figura 2 apresenta desenhos dos cadeados fechados. www. Normalmente.com. Ao clicar sobre o cadeado. indicando conexões seguras. este tem que se assegurar de sua identidade antes de fornecer informações sobre a conta.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . comprova que www.com. então. • quando você envia um e-mail importante. através da verificação de seu certificado digital.Profa. 31.T W W W • quando você consulta seu banco pela Internet. Um exemplo de um certificado. (FGV/2010/SEFAZ-RJ/Fiscal de Rendas) A assinatura digital visa dar garantia de integridade e autenticidade a arquivos eletrônicos. de modo a assegurar ao destinatário que o e-mail é seu e que não foi adulterado entre o envio e o recebimento. S O usuário deve. é possível checar se o site apresentado é realmente da instituição que diz ser. seu aplicativo de e-mail pode utilizar seu certificado para assinar "digitalmente" a mensagem. Patrícia Lima Quintão 128 . • o prazo de validade do certificado. R B .pontodosconcursos. Patrícia Quintão É extremamente importante que o usuário verifique algumas informações contidas no certificado. verificar se o certificado foi emitido para o site da instituição que ele deseja acessar. N O C A Alguns exemplos típicos do uso de certificados digitais são: • T I L quando você acessa um site com conexão segura. • o nome da instituição (dona do certificado). Gabarito: letra B. A H . As seguintes informações devem ser checadas: O S R U C • o endereço do site. como por exemplo o acesso a sua conta bancária pela Internet. M O C .br | Profa. emitido para um site de uma instituição é mostrado a seguir. pontodosconcursos. analise as afirmativas a seguir. para isso.br | Profa. invalidando o arquivo. III. acarretando riscos menores. o documento é então cifrado de acordo com esta chave pública. d) se somente as afirmativas II e III estiverem corretas. Por meio de algoritmos apropriados. Comentários www. Essa é a chave pública. Patrícia Quintão a mensagem ou arquivo não foi alterado e que foi assinado pela entidade ou pessoa que possui a chave privada e o certificado digital correspondente. A assinatura digital funciona da seguinte forma: é necessário que o emissor tenha um documento eletrônico e a chave pública do destinatário. A assinatura digital emprega chaves criptográficas definidas como um conjunto de bits baseado em um determinado algoritmo capaz de cifrar e decifrar informações que. Nesse esquema. c) se somente as afirmativas I e III estiverem corretas. b) se somente as afirmativas I e II estiverem corretas. O receptor usará então sua chave privada correspondente para decifrar o documento. Uma outra chave deve ser usada pelo receptor da informação para o processo de decodificação: é a chave privada. que é sigilosa e individual. As chaves são geradas de forma conjunta. A esse respeito. I.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . uma está associada à outra. uma pessoa ou uma organização deve utilizar uma chave de codificação e disponibilizá-la a quem for mandar informações a ela. Chaves simétricas são simples e nelas o emissor e o receptor utilizam a mesma chave para cifrar e decifrar uma informação.Profa. e) se todas as afirmativas estiverem corretas. É por esta razão que chaves públicas são utilizadas em assinaturas digitais. Se qualquer bit deste for alterado. a assinatura será deformada. II. Chaves assimétricas funcionam com duas chaves: a chave privada e a chave pública. Patrícia Lima Quintão 129 . portanto.com. Assinale: a) se somente a afirmativa I estiver correta. utiliza chaves simétricas ou chaves assimétricas. utilizados na assinatura. diminuindo consideravelmente as possibilidades de extravio ou fraudes. R B .T W W W As principais vantagens dos algoritmos simétricos são: • rapidez: um polinômio simétrico encripta um texto longo em milésimos de segundos.Profa. uma ÚNICA chave é usada na codificação e na decodificação da informação. Patrícia Lima Quintão 130 . www.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . Chave Simétrica Na criptografia simétrica (ou de chave única) tanto o emissor quanto o receptor da mensagem devem conhecer a chave utilizada!! Ambos fazem uso da MESMA chave. M O C .pontodosconcursos.br | Profa. isto é. • chaves pequenas: uma chave de criptografia de 128 bits torna um algoritmo simétrico praticamente impossível de ser quebrado. A figura seguinte ilustra o processo de criptografia baseada em uma única chave. Patrícia Quintão Vamos relembrar os conceitos de chaves simétricas e assimétricas antes de resolver a questão.com. ou seja. S O S R U C N O C A T I L A H . a chave que cifra uma mensagem é utilizada para posteriormente decifrá-la. a informação deixa de ser um segredo. Quando um grande número de pessoas tem conhecimento da chave. Patrícia Quintão A maior desvantagem da criptografia simétrica é que a chave utilizada para encriptar é IGUAL à chave que decripta.br | Profa. www. nesse método cada pessoa ou entidade mantém duas chaves: uma pública. e outra privada. Criptografia de Chave ASSimétrica (também chamada de criptografia de chave pública) Os algoritmos de criptografia assimétrica (criptografia de chave pública) utilizam DUAS chaves DIFERENTES. Esta – a chave privada – é secreta. que pode ser divulgada livremente. Essa é a chave pública. Para começar.Profa. uma pessoa deve criar uma chave de codificação e enviá-la a quem for mandar informações a ela. uma PÚBLICA (que pode ser distribuída) e uma PRIVADA (pessoal e intransferível). Outra chave deve ser criada para a decodificação. que deve ser mantida em segredo pelo seu dono. Ainda.pontodosconcursos. As mensagens codificadas com a chave pública só podem ser decodificadas com a chave privada correspondente. Também conhecida como "chave pública". Nesse método. Do ponto de vista do custo computacional. há o fato de que tanto o emissor quanto o receptor precisam conhecer a chave usada. os sistemas simétricos apresentam melhor desempenho que os sistemas assimétricos.com.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . e o RC (Ron's Code ou Rivest Cipher). fazendo com que a chave possa ser interceptada e/ou alterada em trânsito por um inimigo. Assim. Patrícia Lima Quintão 131 . e isso já foi cobrado em provas várias vezes! A figura seguinte ilustra o princípio da criptografia utilizando chave assimétrica. A transmissão dessa chave de um para o outro pode não ser tão segura e cair em "mãos erradas". Existem vários algoritmos que usam chaves simétricas. O uso de chaves simétricas também faz com que sua utilização não seja adequada em situações em que a informação é muito valiosa. é necessário usar uma grande quantidade de chaves caso muitas pessoas estejam envolvidas. o IDEA (International Data Encryption Algorithm). a técnica de criptografia por chave assimétrica trabalha com DUAS chaves: uma denominada privada e outra denominada pública. como o DES (Data Encryption Standard). S O S R Para entender melhor. que só o USUÁRIO-A tem.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . imagine o seguinte: o USUÁRIO-A criou uma chave pública e a enviou a vários outros sites. o Schnorr (praticamente usado apenas em assinaturas digitais) e Diffie-Hellman. apenas será possível extraí-la com o uso da chave privada. U C N O C A Entre os algoritmos que usam chaves assimétricas têm-se o RSA (o mais conhecido).T W W W Figura. M O C . T I L A H . Mapa mental relacionado à Criptografia ASSimétrica www. o DSA (Digital Signature Algorithm). Quando qualquer desses sites quiser enviar uma informação criptografada ao USUÁRIO-A deverá utilizar a chave pública deste.br | Profa. Patrícia Lima Quintão 132 .Profa. o Diffie-Hellman. deverá conhecer sua chave pública.pontodosconcursos. Caso o USUÁRIO-A queira enviar uma informação criptografada a outro site. Quando o USUÁRIO-A receber a informação. Patrícia Quintão R B .com. • autenticação automática: quando utilizamos as opções como “Lembre-se de mim” e “Continuar conectado” nos ˜sites visitados. (Governo do Estado do MS/Secretaria de Estado de 32. b)Criação de um website falso e/ou do envio de uma mensagem eletrônica falsa. aumentando o risco de extravio ou fraudes. os cookies guardam essas informações para autenticações futuras. geralmente um e-mail ou recado através de scrapbooks. e)Um mecanismo para permitir que vocês se subscreva a conteúdo da web atualizado.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . permitindo que os sites (servidores) obtenham determinadas informações. 2013): • informações coletadas pelos cookies podem ser compartilhadas com outros sites e afetar a sua privacidade. sistema operacional e programas instalados. c)Um grupo de dados enviado pelo servidor de Web para o navegador. Como existe apenas uma chave. Gabarito: letra D. d)Permite a navegação sem estar conectado em uma rede. o item I está errado porque afirma que os riscos são menores ao se utilizar chaves simétricas.com. É isto que permite que alguns sites o cumprimentem pelo nome. etc.Profa. Serão exibidas somente as páginas em Cache de Internet. Os cookies podem ser utilizados para manter referências contendo estas informações e usá-las para explorar possíveis vulnerabilidades existentes em seu computador. A seguir destacamos alguns dos riscos relacionados ao uso de cookies (CERTBR. • exploração de vulnerabilidades existentes no computador. saibam quantas vezes você o visitou. ela deverá ser conhecida por todos os destinatários. Administração/Agência de Habitação Popular do MS/2013) O que são “cookies”? a)É o mecanismo que dispara avisos cada vez que um site onde o usuário se inscreveu faz atualizações. Patrícia Lima Quintão indevidamente 133 .br | Profa. o que não é verdade. Ao acessar uma página da Web o seu navegador disponibiliza uma série de informações sobre a máquina como hardware. Patrícia Quintão Voltando à questão. tais como posts de blogs e mensagens de fóruns. Comentários Cookies são pequenos arquivos de texto que são instalados em seu computador durante a navegação. colocado num arquivo texto criado no computador do utilizador. Em caso de uma www.pontodosconcursos. d) III e IV. III e IV. Patrícia Lima Quintão 134 . • coleta de hábitos de navegação: quando você acessa diferentes sites onde são usados cookies de terceiros. Os controles de segurança precisam ser estabelecidos. apenas.Profa. Em ambos os setores. . incluindo políticas.T W W W Está correto o que consta em a) I. A tendência da computação distribuída aumenta a eficácia da implementação de um controle de acesso centralizado. U C II. é possível a esta empresa determinar seus hábitos de navegação e. apenas c) I e IV. T I L A H IV. e) I e II. www. procedimentos. comprometer a sua privacidade. e evitar ou reduzir os riscos relevantes. II. A interconexão de redes públicas e privadas e o compartilhamento de recursos de informação aumentam a dificuldade de se controlar o acesso. É obtida a partir da implementação de um conjunto de controles adequados.com. caso não estejam criptografados. M O C . É importante para os negócios. processos. monitorados. a função da segurança da informação é viabilizar os negócios como o governo eletrônico (e-gov) ou o comércio eletrônico (e-business).pontodosconcursos. essa prática pode permitir que outras pessoas se autentiquem como você.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . S 33. R B .br | Profa. analise: O S R I. Patrícia Quintão máquina contaminada. implementados. onde necessário. Gabarito: letra C. pertencentes a uma mesma empresa de publicidade. analisados criticamente e melhorados. apenas. (FCC/TRE-CE/Técnico Judiciário/Programação de Sistemas/2012) Sobre segurança da informação. tanto do setor público como do setor privado. apenas. estruturas organizacionais e funções de software e hardware. assim. b) I. coletados por atacantes ou códigos maliciosos e indevidamente acessados. • coleta de informações pessoais: dados preenchidos em formulários Web também podem ser gravados em cookies. N O C A III. e para proteger as infraestruturas críticas. Convém que isto seja feito em conjunto com outros processos de gestão do negócio. III e IV. para garantir que os objetivos do negócio e de segurança da organização sejam atendidos. Vírus é um programa ou parte de um programa. Patrícia Lima Quintão 135 . ou seja. O método de criptografia e os nomes das duas chaves referenciadas no texto são. 34. mas o termo malware é a denominação mais adequada.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . é INCORRETO afirmar: a) É comum pessoas chamarem de vírus todo e qualquer programa com fins maliciosos. b) assimétrica.br | Profa.12ª Região (SC)/Técnico Judiciário/Tecnologia da Informação) Trabalha com algoritmos que necessitam de pares de chaves. A mensagem codificada com a chave 1 de um par somente poderá ser decodificada pela chave 2 deste mesmo par. www. Quando uma informação é codificada com uma das chaves. chave privada e chave pública. Dentre as opções da questão. c) de chave secreta.pontodosconcursos. normalmente malicioso. criptografia . ao destacar que “a mensagem codificada com a chave 1 (chave pública) de um par somente poderá ser decodificada pela chave 2 (chave privada) deste mesmo par. e uma privada.Profa. que se propaga inserindo cópias de si mesmo e se tornando parte de outros programas e arquivos. somente a outra chave do par pode decodificá-la. d) simétrica. A tendência da computação distribuída REDUZ a eficácia da implementação de um controle de acesso centralizado.18ª Região (GO)/Técnico Judiciário/Tecnologia da Informação/2013) Em relação a vírus e malwares. respectivamente. 35. chave pública e chave de hash. a letra B é a que se encaixa perfeitamente nesse contexto. (FCC/TRT .com. duas chaves diferentes para cifrar e decifrar uma informação. chave pública e chave privada. a) de curvas elípticas. Patrícia Quintão Comentários A única assertiva indevida é a II. que deve ser mantida em segredo por seu dono. e) de chave pública. chave pública e chave privada. Gabarito: letra B. chave primária e chave estrangeira Comentários A criptografia de chaves aSSimétricas (ou criptografia de chave pública) utiliza duas chaves distintas: uma pública. Gabarito: letra B. que pode ser livremente divulgada. (FCC/TRT . instalado e executado em seu aparelho. o vírus. Depois de infectar um telefone celular. mas podem ser especificamente projetados para sobrescrever arquivos de aplicativos ou do sistema operacional instalado no aparelho.Profa. então. já que temos também vírus de celular. tais como: • destruir/sobrescrever arquivos. R B . dentre outros. ou seja. Após infectar o celular. o worm pode destruir ou sobrescrever arquivos. infectando arquivos do disco e executando uma série de atividades sem o conhecimento do usuário. o vírus pode realizar diversas atividades. principalmente os pen-drives.T W W W Os vírus que infectam telefones celulares diferenciam-se dos vírus tradicionais. c) Para que possa se tornar ativo e dar continuidade ao processo de infecção. fotos e animações. O S R U C Comentários A assertiva B é a única assertiva errada. Patrícia Quintão b) Os vírus não conseguem infectar os telefones celulares. para que o computador ou o dispositivo seja infectado é preciso que um programa. efetuar ligações telefônicas e drenar a carga da bateria. www. mas também sons e imagens. que contêm não só texto. pois são apenas os worms que conseguem se propagar de celular para celular por meio do bluetooth ou de mensagens SMS (torpedos). M O C . que se propaga de telefone para telefone através da tecnologia bluetooth ou da tecnologia MMS (Multimedia Message Service). Mas também existem vírus de macro. isto é. por exemplo. • remover contatos da agenda. o vírus depende da execução do programa ou arquivo hospedeiro. Há outros que permanecem inativos durante certos períodos. pois normalmente não inserem cópias de si mesmos em outros arquivos armazenados no telefone celular. continua o processo de propagação para outros telefones. remover ou transmitir contatos da agenda. • efetuar ligações telefônicas. • o aparelho fica desconfigurado e tentando se conectar via Bluetooth com outros celulares. N O C A T I L A infecção ocorre da seguinte forma: o usuário recebe uma mensagem que diz que seu telefone está prestes a receber um arquivo e permite que o arquivo infectado seja recebido. que tentam infectar arquivos do Microsoft Office. Patrícia Lima Quintão 136 . seja nele executado. d) Os meios de propagação de vírus mais comuns são os e-mails e as mídias removíveis. S e) Alguns vírus procuram permanecer ocultos. A H . como vídeos.com. entrando em atividade apenas em datas específicas. vírus escritos em linguagem de script.br | Profa.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação .pontodosconcursos. através de uma das tecnologias mencionadas anteriormente. já infectado. O serviço MMS é usado para enviar mensagens multimídia. Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação .. a assinatura digital gerada é anexada ao material que será enviado eletronicamente... • emitir algumas mensagens multimídia esquisitas. Patrícia Quintão • a bateria do celular dura menos do que o previsto pelo fabricante. • tentar se propagar para outros telefones. correta e respectivamente. Patrícia Lima Quintão 137 . 36.. digest. que fornece uma sequência única para cada documento conhecida como . a assinatura digital gerada é anexada ao material que será enviado eletronicamente... Gabarito: letra C... pública Comentários O primeiro passo no processo de assinatura digital de um documento eletrônico é a aplicação da função de Hash que fornece uma sequência única para cada documento conhecida como resumo. privada d) criptografia. II e III são preenchidas. A consequência disso é a geração de um arquivo eletrônico que representa a assinatura digital dessa pessoa. Apesar de ser teoricamente impossível que informações diferentes gerem hashes iguais... A partir daí..Profa. a probabilidade disto ocorrer é bastante baixa. mesmo quando você não fica horas pendurado nele.. No passo seguinte essa sequência única fornecida é codificada com a chave . pública c) função de Hash.... com: a) esteganografia. (FCC/TRT-12ª Região (SC)/Técnico Judiciário/Tecnologia da Informação/2013) O trecho a seguir descreve uma parte do processo de geração de assinatura digital e troca de mensagens assinadas digitalmente: O primeiro passo no processo de assinatura digital de um documento eletrônico é a aplicação da.. message key... www. compondo a mensagem ou o documento. resumo. digest. resumo. Gabarito: letra B. A partir daí. Nota Cert.pontodosconcursos. privada e) função de Hash.com. primária b) criptografia.Br (2013) destaca que o hash é gerado de tal forma que não é possível realizar o processamento inverso para se obter a informação original e que qualquer alteração na informação original produzirá um hash distinto.. compondo a mensagem ou o documento.. A consequência disso é a geração de um arquivo eletrônico que representa a assinatura digital dessa pessoa. do emissor da mensagem.. No passo seguinte essa sequência única fornecida é codificada com a chave privada do emissor da mensagem. As lacunas I.br | Profa.. Tecnologia da Informação/2013) Luiza trabalha em uma empresa com 500 funcionários. em cada conexão com a internet. Luiza deve instalar na rede um a) sistema de criptografia assimétrica. Luiza deve instalar na rede um firewall. é correto afirmar que www. Patrícia Quintão 37. (FCC/ TRT . c) filtro de conteúdo de e-mails.pontodosconcursos. M O b) firewall em cada conexão com a internet. Ainda. fazer conexões telnet e assim por diante. A empresa tem centenas de computadores com placas de rede conectandoos. A empresa também tem uma ou mais conexões de alta velocidade com a internet. R B . Para evitar esta situação de risco. C .Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . tentar estabelecer conexões FTP com eles.Profa. T I L A H . e) sistema de criptografia simétrica. se um funcionário cometer um erro e deixar uma vulnerabilidade na segurança. C A (FCC/TRT . Informação /2013) Considere a figura abaixo. S d) poderoso antivírus. U C N O Gabarito: letra B.T W W W Em relação aos detalhes mostrados na figura acima. Luiza deve evitar que os hackers possam chegar nessa máquina e explorar essa fraqueza. Luiza foi contratada para evitar que um hacker possa sondar esses computadores.br | Profa.com. Patrícia Lima Quintão 138 . para evitar acessos não autorizados à sua rede local.12ª Região (SC)/Analista Judiciário/Tecnologia da 38.12ª Região (SC)/Analista Judiciário . O S R Comentários Para evitar esta situação de risco. se ela foi usada para codificar a informação. No passo seguinte essa sequência única fornecida é codificada com a chave privada do emissor da mensagem. este pode ser um forte indício de que o arquivo esteja corrompido ou que foi modificado. somente a chave privada correspondente pode decodificá-lo. pois se o texto foi codificado com a chave pública. a codificação é feita sobre o conteúdo em si e não sobre o hash gerado. b) para contornar a baixa eficiência característica da criptografia de chaves assimétricas. pois é mais rápido codificar a informação que o código hash. Complementando. Pela figura. O primeiro passo no processo de assinatura digital de um documento eletrônico é a aplicação da função de Hash que fornece uma sequência única para cada documento conhecida como resumo. caso contrário.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . A verificação da assinatura é feita com o uso da chave pública. pois se o texto foi codificado com a chave privada. c) se trata de um processo que gera um certificado digital autoassinado utilizando criptografia simétrica com função hash. Comentários Em relação aos detalhes mostrados na figura é correto afirmar que se trata de um processo que gera uma assinatura digital utilizando criptografia assimétrica com função hash. e) se trata de um processo que gera uma assinatura digital utilizando criptografia simétrica com função hash. a codificação é feita sobre o hash e não sobre o conteúdo em si.com. então apenas seu dono poderia ter feito isto. temos mais algumas observações: • Para contornar a baixa eficiência característica da criptografia de chaves assimétricas. A consequência disso é a geração de um arquivo eletrônico que representa a assinatura digital dessa pessoa. somente a chave pública correspondente pode decodificá-lo. foi gerado novamente o hash da mensagem recebida. Se os dois hashes forem iguais então você pode concluir que o arquivo não foi alterado. Patrícia Quintão a) a assinatura digital é gerada com base no fato de que apenas o dono conhece a chave pública e que. Patrícia Lima Quintão 139 . A verificação da assinatura é feita com o uso da chave privada. no qual o dono e o emissor não são a mesma entidade. www.Profa.pontodosconcursos. compondo a mensagem ou o documento. A partir daí.br | Profa. d) se trata de um processo que gera uma assinatura digital utilizando criptografia assimétrica com função hash. a assinatura digital gerada é anexada ao material que será enviado eletronicamente. pois é mais rápido codificar o hash (que possui tamanho fixo e reduzido) do que a informação toda. O plug-in é um software que adiciona recursos computacionais a um cliente ou browser da WWW. www. S Gabarito: letra D. que hoje é baseada em papel e conhecimento. certificados autoassinados também costumam ser usados por instituições de ensino e pequenos grupos que querem prover confidencialidade e integridade nas conexões.2013): o Legítima: além das ACs raízes.br | Profa. Patrícia Lima Quintão 140 . para o ambiente eletrônico.Profa.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . A maioria dos plug-ins está disponível gratuitamente na própria Internet. Patrícia Quintão • Um certificado autoassinado é aquele no qual o dono e o emissor são a mesma entidade.BR. A partir do momento em que o certificado for instalado no navegador. é correto afirmar que: são plugins que definem a qualidade criptográfica das informações que trafegam na WWW. T I L • transferir credibilidade. A H • assinar digitalmente jurídica a ele. passa a ser possível estabelecer conexões cifradas com sites fraudulentos. que o usuário instale um plug-in para poder visualizar videoclipes em MPG (ou MPEG). atribuindo validade . U C N O Comentários A afirmativa está ERRADA. sem que o navegador emita alertas quanto à confiabilidade do certificado. Comentários A afirmativa está errada. podemos destacar: C A • vincular uma chave pública a um titular (esse é o objetivo principal!). Costuma ser usado de duas formas (CERT. um documento eletrônico. W W W 40. o Maliciosa: um atacante pode criar um certificado autoassinado e utilizar.com. M O C . mensagens de phishing. Quanto aos objetivos do certificado digital. (FCC/2008/TCE-SP/Adaptada) Em relação a Certificado Digital. para induzir os usuários a instalá-lo. É necessário. R B .pontodosconcursos. O S R 39. por exemplo. (FCC/2008/TCE-SP/Adaptada) Em relação a Certificado Digital. mas que não desejam (ou não podem) arcar com o ônus de adquirir um certificado digital validado por uma AC comercial.T Gabarito: item errado. por exemplo. é correto afirmar que: [os certificados servem para garantir a segurança dos dados enviados via upload]. ao realizar uma ação em um computador.pontodosconcursos. O HTTPS nada mais é do que a junção dos protocolos HTTP e SSL (HTTP over SSL). dependendo da sua direção. Cabe destacar que o HTTPS (HTTP Seguro) é usado para realizar o acesso a sites (como de bancos on-line e de compras) com transferência criptografada de dados. 41. as partes são mesmo quem dizem ser e a transação on. como já visto. Comentários O SSL (Secure Sockets Layer – Camada de conexões seguras) é um protocolo de criptografia que pode ser utilizado para prover segurança na comunicação de qualquer aplicação baseada em TCP. O HTTPS geralmente utiliza a porta TCP 443. c) uma técnica usada para garantir que alguém. O SSL está posicionado entre a camada de transporte e a camada de aplicação da pilha TCP/IP e funciona provendo serviços de autenticação do servidor. A resposta à questão é. autêntica. Juntos. comunicação secreta e integridade dos dados. em função do que sejam. garantem a autenticidade.Profa.18ª Região (GO)/Técnico Judiciário/ Tecnologia da Informação / 2013 ) Fazendo uma analogia com documentos do mundo real. em vez da porta 80 utilizada pelo protocolo HTTP. 42. aliados à . seria o equivalente ao carimbo acompanhado de selo que os cartórios brasileiros utilizam para reconhecer firma em documentos. Patrícia Quintão Gabarito: item errado.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . (FCC/2008/TCE-SP) Secure Sockets Layer trata-se de a) qualquer tecnologia utilizada para proteger os interesses de proprietários de conteúdo e serviços. não possa falsamente negar que realizou aquela ação. e) um protocolo que fornece comunicação segura de dados através de criptografia do dado. d) uma técnica usada para examinar se a comunicação está entrando ou saindo e.br | Profa. (FCC/TRT . a integridade. enquanto . permiti-la ou não. esses dois elementos.com. www. a letra E! Gabarito: letra E. o não repúdio à transação e a confidencialidade da informação. Ou seja. segura e não sofreu alterações ao longo do caminho.line é legítima. b) um elemento de segurança que controla todas as comunicações que passam de uma rede para outra e. seria o similar eletrônico do RG. Patrícia Lima Quintão 141 . permite ou denega a continuidade da transmissão. aliados à criptografia. a integridade. Juntos. o certificado digital seria o similar eletrônico do RG. e) a chave pública . tendo em vista que ela deve ser construída considerando uma linguagem tecnológica desvinculada de adoção de estilos. d) a criptografia assimétrica . N O C A 43. enquanto a assinatura digital seria o equivalente ao carimbo acompanhado de selo que os cartórios brasileiros utilizam para reconhecer firma em documentos. as partes são mesmo quem dizem ser e a transação on. c) adere integralmente a formulação de uma PSI. S O S R U C Gabarito: letra C. foram selecionados pela empresa para entenderem a tecnologia usada.pontodosconcursos. www. é correto concluir que tal afirmação T I L A H . Patrícia Lima Quintão 142 . pois a política deve ser única. R B . segura e não sofreu alterações ao longo do caminho.a criptografia assimétrica . autêntica.segurança das informações.criptografia de chave única e à criptografia de chave dupla. o não repúdio à transação e a confidencialidade da informação.Profa. já que todos os usuários. Patrícia Quintão Preenchem. b) a criptografia simétrica .a chave privada .T W W W a) adere parcialmente às expectativas de uma PSI. d) adere parcialmente às expectativas de uma PSI. porque os atributos do interlocutor não devem constituir relevância. correta e respectivamente. b) adere parcialmente às expectativas de uma PSI. respeitar a cultura organizacional e a do país a que se destina.assinatura digital. presumivelmente.line é legítima.br | Profa. c) o certificado digital .certificação digital.com. C . as lacunas: a) a assinatura digital . respeitar o interlocutor sem superestimá-lo nem subestimá-lo. Nesse sentido. pois ao elaborar uma política é necessário que ela seja ajustada a cada instituição e deve ser comunicada de maneira que todos entendam. esses dois elementos.o certificado digital . adotar estilo simples e claro.criptografia.a assinatura digital .PSI é necessário usar uma linguagem conhecida e meios adequados aos tipos de mensagens e usuários. garantem a autenticidade.a criptografia simétrica . Ou seja.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . e não deve levar em conta características humanas e legais do país no qual ela é aplicada. M O Comentários Fazendo uma analogia com documentos do mundo real. (FCC/TRE-CE/Analista Judiciário/Análise de Sistemas/2012) Ao elaborar e comunicar uma Política de Segurança da Informação . br | Profa. pois linguagem. 44. Veja um exemplo considerando a tabela seguinte: Observe que se acrescentarmos mais 4 letras na letra l. c) E G P V T C N. a permutação das letras é definida por uma translação fixa. a linguagem tecnológica utilizada e os níveis de sensibilidade de cada tipo de interlocutor. Patrícia Lima Quintão 143 . As diretrizes estabelecidas nesta política determinam as linhas mestras que devem ser seguidas pela organização para que sejam assegurados seus recursos computacionais e suas informações. Quem www. b) K M V C W J Q.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . e) G I R X V E P. Patrícia Quintão e) não atende aos propósitos de uma PSI. Nestes códigos. teremos Y e assim por diante. estilo e interlocutor não podem sobrepor-se à linguagem tecnológica e é preciso levar em conta a cultura do país no qual ela é aplicada. Comentários No Método de Cifra de César cada caractere da mensagem original é trocado por um outro símbolo. d) I K T Z X G R.Profa.com.pontodosconcursos. A política de segurança da informação tem como objetivo prover uma orientação e apoio da direção para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações relevantes” (ABNT NBR ISO/IEC 27002:2005). Comentários TCU (2007) destaca que a Política de Segurança de Informações é um conjunto de princípios que norteiam a gestão de segurança de informações e que deve ser observado pelo corpo técnico e gerencial e pelos usuários internos e externos. teremos P. se acrescentarmos mais 4 letras na letra u. (FCC/Banco Central do Brasil/Analista Área 1/2006) NÃO é uma cifra de César resultante da criptografia sobre uma mesma mensagem: a) F H Q W U D O. Gabarito: letra C. N O b) A técnica para esconder uma mensagem secreta dentro de uma maior. EGPVTCN + 1 vira FHQWUDO (letra A). S Gabarito: letra B. +1 vira GIRXVEP (letra E).Profa. usando a regrinha +1. A H . www. Em outras palavras. -2. de modo que outros não possam discernir a presença ou o conteúdo da mensagem oculta é conhecida como esteganografia. Neste código a mensagem “lua cheia” seria cifrada como: “P Y E G L I M E”. como não conhecemos a mensagem original. o sistema é considerado como criptografia assimétrica ou de chave única. rs. etc. de maneira que as mesmas passem despercebidas. iremos compará-la uma a uma com as demais opções. Um exemplo seria escrever uma carta com tinta invisível. Comentários Esteganografia (do grego escrita escondida) é a capacidade de esconder mensagens secretas em um meio. M O C . Patrícia Lima Quintão 144 . A única assertiva que não foi encontrada é a letra B.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . Assim. vamos tomar uma alternativa como referência na questão e então iremos compará-las com as demais.com. Escolhendo a assertiva C inicialmente.br | Profa. produzindo a saída de um elemento de cada vez. R B .. enquanto prossegue. C A T I L c) Um ataque criptoanalítico a um sistema de criptografia envolve a tentativa de cada chave possível até que seja obtida uma tradução inteligível de texto cifrado para texto claro.. + 2. Patrícia Quintão aqui nunca trocou bilhetinhos “criptografados” quando criança. (FCC/TJ-PE/Analista Judiciário/Analista de Suporte/2012) Sobre criptografia é correto afirmar: U C a) Todos os algoritmos de criptografia são baseados na substituição. + 2 vira IKTZXGR (letra D) e +2 vira KMVBZIT.pontodosconcursos. em que cada elemento do texto claro é mapeado em outro elemento. +4. O S R 45. esteganografia é o ramo particular da criptologia que consiste em fazer com que uma forma escrita seja camuflada em outra a fim de mascarar o seu verdadeiro sentido.T W W W d) Se tanto o emissor quanto o receptor utilizarem a mesma chave. e) Uma cifra de bloco processa os elementos da entrada continuamente. por exemplo. Patrícia Lima Quintão 145 .com.br | Profa. Comentários No ataque por força bruta o atacante experimenta cada chave possível em um trecho de texto cifrado. metade de todas as chaves possíveis precisam ser testadas para se obter sucesso. c) repassá-lo para sua lista de endereços solicitando aos mais experientes www. Gabarito: letra D. a Gabarito: letra B. (FCC/2011/TRF . da mensagem. Figura. ao enviá-la para o destinatário desejado. o conceito de força bruta significa uma técnica para a) eliminar todas as redundâncias na cifra. você tem que se assegurar que quem receber a imagem deverá conhecer o método de exibição e a senha utilizada na proteção deste arquivo. d) quebrar uma criptografia simétrica por meio de busca exaustiva da chave.pontodosconcursos.1. no correio eletrônico. 46. b) tornar complexa a relação entre a chave e a cifra.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . b) baixá-lo no seu desktop e executá-lo localmente. Esteganografia Enquanto a criptografia oculta o significado esteganografia oculta a existência da mensagem. até obter uma tradução inteligível para o texto claro. e) ocultar uma determinada informação para torná-la imperceptível. a atitude mais adequada diante deste fato é a) não executá-lo. (FCC/Banco Central do Brasil/Analista Área 1/2006) Em uma criptografia. c) acrescentar aleatoriedade aos dados. 47. Em média. somente.ª Região/Técnico Judiciário/Segurança e Transporte) Considerando o recebimento de um arquivo executável de fonte desconhecida. tornando maior o caos. Patrícia Quintão Ao esconder um arquivo em uma imagem.Profa. A H c) canal privado de comunicação síncrona. Esta é uma conceituação básica para: N O C A T I L a) rede privada com comunicação criptográfica simétrica. que. b) canal privado de comunicação assimétrica. R B .). Diante disso. sem baixá-lo no seu desktop. por exemplo. ou fornecedores com seus clientes (em negócios eletrônicos). Desconfie sempre dos arquivos anexados à mensagem. O endereço do remetente pode ter sido forjado e o arquivo em anexo pode ser malicioso. As VPNs são muito utilizadas para interligar filiais de uma mesma empresa.com. (FCC/2009/MPSED/Analista do Ministério Público/Analista de Sistemas) Consiste em um conjunto de computadores interconectados por meio de uma rede relativamente insegura que utiliza a criptografia e protocolos especiais para fornecer segurança. a resposta certa é a letra A. . Patrícia Quintão que o executem.pontodosconcursos. www.br | Profa. U C 48. ao ser executado. e) executá-lo de qualquer forma. etc.T d) rede privada com autenticação digital. Comentários O arquivo executável. Portanto nunca abra arquivos ou execute programas anexados aos e-mails. porém comunicar o fato ao administrador de sua rede. tem grande probabilidade de causar algum problema que resulte na violação da segurança do computador.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . pode conter um código malicioso (como um vírus ou um cavalo de troia. no correio eletrônico.Profa. sem antes verificálos com um bom programa antivírus (atualizado!). Patrícia Lima Quintão 146 . que está sendo recebido de uma fonte desconhecida. M O C . d) executá-lo diretamente. por meio da estrutura física de uma rede pública. Comentários Uma VPN (Virtual Private Network – Rede Privada Virtual) é uma rede privada (não é de acesso público!) que usa a infraestrutura de uma rede pública já existente (como. W W W e) rede privada virtual. S O S R Gabarito: letra A. a Internet) para transferir seus dados (os dados devem estar criptografados para passarem despercebidos e inacessíveis pela Internet). mesmo que tenham sido enviados por pessoas ou instituições conhecidas. Comentários Item A. esses protocolos podem assegurar comunicações seguras por meio de redes inseguras. www. Item errado.br | Profa.pontodosconcursos. c) Roubo de informações e perda de negócios constitui ameaças. 49. VPNs seguras usam protocolos de criptografia por tunelamento. aumentando a probabilidade de sucesso pela investida de uma ameaça. Vulnerabilidade é uma evidência ou fragilidade que eleva o grau de exposição dos ativos que sustentam o negócio.Profa. b) O vazamento de informação e falha de segurança em um software constituem vulnerabilidades. medidas de segurança podem ser definidas como ações que visam eliminar vulnerabilidades para evitar a concretização de uma ameaça. Item B. Nesse contexto. Patrícia Quintão O tráfego de dados é levado pela rede pública utilizando protocolos não necessariamente seguros. Item errado. Os ATIVOS são os elementos que sustentam a operação do negócio e estes sempre trarão consigo VULNERABILIDADES que. que fornecem confidencialidade (sigilo).com. submetem os ativos a AMEAÇAS. por sua vez. é correto afirmar: a) Medidas de segurança podem ser definidas como ações que visam eliminar riscos para evitar a concretização de uma vulnerabilidade.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . O vazamento de informação é uma ameaça e a falha de segurança em um software uma vulnerabilidade (fragilidade que poderia ser explorada por uma ameaça para concretizar um ataque). (FCC/TRE-CE/Analista Judiciário/Análise de Sistemas/2012) Em relação a vulnerabilidades e ataques a sistemas computacionais. d) Medidas de segurança podem ser definidas como ações que visam eliminar vulnerabilidades para evitar a concretização de uma ameaça. autenticação e integridade necessárias para garantir a privacidade das comunicações requeridas. e) Área de armazenamento sem proteção e travamento automático da estação após período de tempo sem uso constituem ameaça. Quando adequadamente implementados. Gabarito: letra E. Patrícia Lima Quintão 147 . com. Área de armazenamento sem proteção é uma vulnerabilidade e travamento automático da estação após período de tempo sem uso constitui uma medida de segurança.pontodosconcursos. Item correto. C . 2001) Item D. Ciclo da Segurança da Informação. M O Item C.T W W W aumenta permitem aumenta aumenta Ameaças Confidencialidade Integridade Disponibilidade causam perdas Figura. 50. Patrícia Lima Quintão 148 . conforme comentário anterior. S Ativos protege Medidas de Segurança sujeitos Ciclo da segurança O S R U C diminui aumenta Vulnerabilidades Riscos N O limitados Impactos no negócio T I L C A A H .Profa. (FCC/TRE-CE/Técnico Judiciário/Programação de Sistemas/2012) Sobre segurança da informação.br | Profa. Item errado. São impactos sobre o negócio da organização. Item errado. Gabarito: letra D. Fonte: (MOREIRA. Patrícia Quintão Fonte: Quintão (2012) R B . Item E.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . analise: www. apenas. para garantir que os objetivos do negócio e de segurança da organização sejam atendidos.pontodosconcursos. analisados criticamente e melhorados. monitorados. b) I. tanto do setor público como do setor privado. estruturas organizacionais e funções de software e hardware. Em ambos os setores. minimizar o risco ao negócio. III. A tendência da computação distribuída REDUZ a eficácia da implementação de um controle de acesso centralizado. É importante para os negócios. e evitar ou reduzir os riscos relevantes. www. procedimentos. incluindo políticas. a função da segurança da informação é viabilizar os negócios como o governo eletrônico (e-gov) ou o comércio eletrônico (e-business).br | Profa. A segurança da informação é obtida a) a partir da implementação de um conjunto de controles adequados. d) III e IV.9ª REGIÃO (PR)/Técnico Judiciário . e) I e II. Convém que isto seja feito em conjunto com outros processos de gestão do negócio. Patrícia Lima Quintão 149 . Está correto o que consta em a) I. implementados. Patrícia Quintão I. procedimentos. apenas c) I e IV. A tendência da computação distribuída aumenta a eficácia da implementação de um controle de acesso centralizado.Segurança/2013 ) Segurança da informação é a proteção da informação de vários tipos de ameaças para garantir a continuidade do negócio. apenas. Os controles de segurança precisam ser estabelecidos. onde necessário. e para proteger as infraestruturas críticas. apenas. processos. III e IV. Comentários A única assertiva indevida é a II.com. II.Profa. É obtida a partir da implementação de um conjunto de controles adequados. Gabarito: letra B.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . 51. III e IV. A interconexão de redes públicas e privadas e o compartilhamento de recursos de informação aumentam a dificuldade de se controlar o acesso. IV. (FCC/TRT . II. maximizar o retorno sobre os investimentos e as oportunidades de negócio. incluindo políticas. processos. estruturas organizacionais e funções de software e hardware. EXCETO: A H . Patrícia Quintão b) somente pela utilização da legislação vigente.Profa. a lucratividade. armazenada eletronicamente. que destaca o seguinte: “Segurança da informação é obtida a partir da implementação de uma série de controles. transmitida pelo correio ou por meios eletrônicos. que podem ser políticas. Estes controles precisam ser estabelecidos para garantir que os objetivos de segurança específicos da organização sejam atendidos”. que aumentam a dificuldade de se controlar o acesso. (FUNCAB/2013/DETRAN-PB/Advogado) Existem várias formas de infecção de um computador por códigos maliciosos. T I L 52. alcançar.pontodosconcursos. estruturas organizacionais e funções de software.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . Ela pode ser impressa ou escrita em papel. o atendimento aos requisitos legais e a imagem da organização junto ao mercado. O S R U C N O C A Gabarito: letra A. S Comentários A banca explorou na íntegra o conceito obtido da norma de segurança ISO/IEC 27002.br | Profa.com. cláusulas contratuais. Patrícia Lima Quintão 150 . o fluxo de caixa. através do compartilhamento de recursos. e) por meio da interconexão de redes públicas e privadas e o compartilhamento de recursos de informação. procedimentos. c) em diversas formas. apresentada em filmes ou falada em conversas. manter e melhorar a informação e podem ser atividades essenciais para assegurar a competitividade. e) via parametrizações inadequadas em sua impressora. Comentários www. M O C . d) diretamente de outros computadores.T W W W a) em anexos de mensagens eletrônicas. Esses arquivos podem ser obtidos de diversas maneiras. d) em sistemas de redes com o intuito de definir. R B . b) via mídias removíveis. uma delas é pela execução de arquivos previamente infectados. c) em páginas web. seus parceiros comerciais e contratados e provedores de serviço. estatutos. práticas. Patrícia Quintão Certbr (2012) destaca algumas das diversas formas como os códigos maliciosos (malwares) podem infectar ou comprometer um computador. Geralmente o HTTPS é utilizado para evitar que a informação transmitida entre o cliente e o servidor seja visualizada por terceiros.HTTPS . Um bom exemplo é o uso do HTTPS em sites de compras online. Patrícia Lima Quintão 151 . Diferentemente do HTTP (porta 80). 53. obtidos em anexos de mensagens eletrônicas. Gabarito: letra E.br | Profa. um endereço de site seguro ou criptografado inicia-se por 'https://'. como pela execução de arquivos previamente infectados.pontodosconcursos. O HyperText Transfer Protocol Secure . www. Ele permite que os dados sejam transmitidos através de uma conexão criptografada e que se verifique a autenticidade do servidor e do cliente. a porta padrão utilizada pelo protocolo HTTPS é a 443. um endereço a) HTTP b) HTTPS c) WWW d) COM e) // Comentários Na web. a letra E é a única assertiva que não se enquadra dentro das formas acima listadas. O protocolo HTTPS (HyperText Transfer Protocol Secure) é uma variação do protocolo HTTP que utiliza mecanismos de segurança.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação .Profa. Assim.com. em páginas Web ou diretamente de outros computadores (através do compartilhamento de recursos). (FUNCAB/2013/DETRAN-PB/Advogado) de site seguro ou criptografado começa com: Na web.é uma variação do protocolo HTTP que utiliza mecanismos de segurança. Gabarito: letra B. via mídias removíveis. T W W W Uma vez instalados. • por meio da auto como pen-drives.br | Profa. • por meio da ação direta de atacantes que. de acordo com as permissões de cada usuário. S O S R • por meio da exploração de vulnerabilidades (falhas de segurança). Patrícia Lima Quintão 152 . Patrícia Quintão 54. a letra E é a única assertiva que não se enquadra dentro das formas acima listadas. com a utilização de navegadores vulneráveis. c) pelo acesso a páginas maliciosas.pontodosconcursos.com. b) pela autoexecução de mídias removíveis infectadas. como . após invadirem o computador.Profa. 55.. incluem arquivos contendo códigos maliciosos. EXCETO: a) pela exploração de vulnerabilidades existentes nos programas instalados. (FUNCAB/2012/PM-AC/Soldado da Polícia Militar/Músico) O procedimento que pode colocar em risco a segurança do seu computador é: a) a manutenção de programas antivírus sempre ativos e atualizados. Gabarito: letra E. N O U C execução de mídias removíveis infectadas. • pelo acesso a páginas da Web maliciosas. utilizando navegadores vulneráveis. Assim. existentes nos programas instalados. etc. os códigos maliciosos passam a ter acesso aos dados armazenados no computador e podem executar ações em nome dos usuários. (FUNCAB/2013/DETRAN-PB/Agente de Trânsito) Existem diversas formas de infecção de um computador por códigos maliciosos. www. C A T I L A H .Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . como: C . d) pela ação direta de atacantes que incluem arquivos contendo códigos maliciosos R B . M O e) pela utilização de firewalls Comentários Certbr (2012) destaca algumas das diversas formas como os códigos maliciosos (malwares) podem infectar ou comprometer um computador. Nesse caso. II. O vírus depende da execução do programa ou arquivo hospedeiro para que possa se tornar ativo e dar continuidade ao processo de infecção. Patrícia Lima Quintão 153 . Comentários Os itens assinalados nas assertivas a). se o arquivo contiver um código malicioso. Os vírus são programas e sofrem geração espontânea. c) apenas a III.br | Profa. c) o cancelamento de downloads de arquivos iniciados automaticamente. Já a letra d) pode colocar em risco a segurança do computador. Gabarito: letra D. e) a utilização de um Firewall em sua rede de computadores. b).com. b) apenas a II. www.pontodosconcursos. aconselha-se o uso de um antivírus atualizado para checagem do arquivo recebido por email. d) o download de arquivos recebidos por email de pessoas conhecidas. Patrícia Quintão b) a verificação de arquivos com extensão “exe” antes de executar seu download. O fato de o arquivo ser de uma fonte conhecida não implica que será sempre isento de códigos maliciosos. Item correto. Está(ão) correta(s): a) apenas a I. (FUNCAB/2012/PC-RO/Médico sentenças: Legista) Analise as seguintes I. e) apenas II e III. Um vírus é um programa (ou parte de um programa) que se anexa a um arquivo de programa qualquer (como se o estivesse “parasitando”) e depois disso procura fazer cópias de si mesmo em outros arquivos semelhantes. antes de sua abertura e utilização. Item errado. d) apenas I e II. Item II.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . Os vírus de macro alteram o mecanismo de criptografia a cada cópia replicada. 56. Comentários Item I. III. Um vírus é um fragmento de um programa que é unido a um programa legítimo com a intenção de infectar outros programas. c) e e) são boas práticas de segurança.Profa. números e símbolos como.). Patrícia Lima Quintão 154 . datas que possam ser relacionadas com você. sobrenomes. U C N O e) evitar combinação de letras maiúsculas e minúsculas. • Alguns elementos que você deve usar na elaboração de suas senhas são: números aleatórios. Gabarito: letra A. Também não convém que você crie uma senha fácil de ser lembrada se ela puder ser facilmente descoberta por um atacante.2013). etc. não conseguir recordá-la. 57.pontodosconcursos. Não convém que você crie uma senha forte se. M O a) utilizar pelo menos oito caracteres.com. (FUNCAB/2012/MPE-RO/Técnico .br | Profa. S b) não usar seu nome de usuário.Oficial de Diligências) Para criar uma senha forte no seu aplicativo de correio eletrônico. Patrícia Quintão Item III. sequências de teclado.T W W W • Alguns elementos que você não deve usar na elaboração de suas senhas são: qualquer tipo de dado pessoal (jamais utilizar como senha seu nome de usuário. grande quantidade de caracteres.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação .BR. C . nome verdadeiro ou o nome da sua empresa. Vírus de macros infectam documentos que contém macros. d) usar uma senha muito diferente das senhas anteriores e não usar a mesma senha para todas as suas contas. C A T I L Comentários • Uma senha boa. diferentes tipos de caracteres (CERT. EXCETO: R B . *. nome verdadeiro. é aquela que é difícil de ser descoberta (forte) e fácil de ser lembrada. números de telefones. O vírus oligomórfico usa a criptografia para se defender sendo capaz de alterar também a rotina de criptografia em um número de vezes pequeno. !.Profa. Item errado. Mais dicas: www. #. algumas recomendações devem ser adotadas na composição da senha. palavras que façam parte de listas. placas de carros. nome de sua empresa. bem elaborada. quando for usá-la. por exemplo. números de documentos. A H . O S R c) não usar palavras completas. por exemplo. * é bem-vinda! Gabarito: letra E. compostos de letras. através de textos e fotografias enviados através do programa de chat. Comentários O malware (código malicioso) do tipo Worm pode infectar máquinas desprotegidas. (CESPE/CADE/Nível Intermediário/2014) O computador utilizado pelo usuário que acessa salas de bate-papo não está vulnerável à infecção por worms. quantas forem as pessoas que utilizam seu computador. visto que esse tipo de ameaça não se propaga por meio de programas de chat. #. com o auxílio de encurtadores de URL. mantenha o sistema operacional e demais softwares do equipamento sempre atualizados. Bate-Papo Para prevenção contra Worms.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . Patrícia Quintão • o crie uma senha que contenha pelo menos oito caracteres. Patrícia Lima Quintão 155 . 58. o utilize uma senha diferente para cada serviço (por exemplo. uma senha para o banco.br | Profa. a partir da utilização de programas de chat. Caso uma pessoa clique em um dos endereços falsos. Figura. por exemplo. o utilize o usuário Administrator estritamente necessário.Profa. a máquina é contaminada automaticamente pelo malware.com. A contaminação pode acontecer. o altere a senha com frequência. o crie tantos usuários com privilégios normais. !.pontodosconcursos. que em seguida pode se espalhar pela rede de contatos do usuário. outra para acesso a seu provedor de Internet etc.). aplique todas as correções de segurança (patches) disponibilizadas pelos fabricantes. outra para acesso à rede corporativa da sua empresa. (ou root) somente quando for A combinação de letras maiúsculas e minúsculas. para corrigir eventuais www. números e símbolos como. números e símbolos. T W W W Figura. Comentários O antivírus não é suficiente. R B .Profa. não faz análise de vírus de anexos de email.br | Profa. instale um firewall pessoal. que em alguns casos pode evitar que uma vulnerabilidade existente seja explorada (observe que o firewall não corrige as vulnerabilidades!) ou que um worm se propague. quando se fala de segurança. por terceiros. N O C A Comentários T I L O firewall pode bloquear as comunicações por diversos critérios. A H . M O C . então fique atento para que a próxima vítima não seja você!! Gabarito: item errado. utilização de firewall. 59.pontodosconcursos. com outras medidas complementares. Firewall Gabarito preliminar: item errado. e o responsável pela máquina deverá adotar proteção em camadas. pois os vírus são pacotes de dados como outros quaisquer. implantação de correções de segurança na máquina. que é onde o antivírus atua. S O S R U C 60.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação .com. (CESPE/CBMCE/2014) A instalação de antivírus no computador de um usuário que utiliza a máquina em ambiente organizacional é suficiente para impedir o acesso. previamente estabelecidos. envolvendo por exemplo cuidado com senhas. Para identificar um vírus é necessária uma análise mais criteriosa. Gabarito preliminar: item errado. a informações privativas do usuário. (CESPE/DPF-Departamento de Polícia Federal/Administrador/2014) A ativação do firewall do Windows impede que emails com arquivos anexos infectados com vírus sejam abertos na máquina do usuário. Patrícia Quintão vulnerabilidades existentes nos softwares utilizados. Patrícia Lima Quintão 156 . etc. no entanto. Todo cuidado é pouco. Concordo com o gabarito. www. Em outras palavras. bate-papo. é a garantia de que a informação que foi armazenada é a que será recuperada. Comentários A integridade destaca que a informação deve ser mantida na condição em que foi liberada pelo seu proprietário. A segurança da informação visa protegê-la. (CESPE/DPF/Departamento Federal/Agente Administrativo/2014) Um dos objetivos da segurança da informação é manter a integridade dos dados. Concordo com o gabarito. propagar-se. Gabarito preliminar: item correto.br | Profa. enviando cópias de si mesmo de computador para computador.Profa. Em outras palavras. Modificação somente pelas partes devidamente autorizadas. o que gera uma sobrecarga excessiva no tráfego da rede. Gabarito preliminar: item correto.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . A INTEGRIDADE busca proteção contra codificação não autorizada. Comentários Worm (verme) é um malware (software malicioso) capaz de se propagar automaticamente através de várias estruturas de redes (como e-mail. simplesmente. Patrícia Lima Quintão 157 . mas. evitando-se que eles sejam apagados ou alterados sem autorização de seu proprietário.pontodosconcursos. O objetivo principal dos Worms não é prejudicar ou danificar computadores e/ou arquivos em um sistema. (CESPE/MDIC/Nível Intermediário/2014) O comprometimento do desempenho de uma rede local de computadores pode ser consequência da infecção por um worm. Patrícia Quintão de Polícia 61. garantindo que esses dados não sejam apagados ou alterados por terceiros (Cespe/UnB).). web. Concordo com o gabarito. indevidas ou acidentais. a integridade de dados refere-se à consistência dos dados. www. 62. garantindo a sua proteção contra mudanças intencionais. compartilhamento de arquivos em redes locais etc. tornando-a mais lenta.com. (CESPE/MDIC/Nível Intermediário/2014) Os antivírus. N O C A T I L A H O backup garante a disponibilidade dos dados após eventuais ocorrências de desastres relacionados aos dados originais e/ou defeitos de hardware. Patrícia Lima Quintão 158 . copiar nossas fotos digitais. (CESPE/MDIC/Nível Intermediário/2014) A definição e a execução de procedimentos regulares e periódicos de becape dos dados de um computador garante a disponibilidade desses dados após eventuais ocorrências de desastres relacionados a defeitos tanto de hardware quanto de software. Se houver algum problema com o HD ou se acidentalmente apagarmos as fotos. que é capaz de se autorreplicar e não necessita de um programa hospedeiro para se propagar. Concordo com o gabarito. Comentários O Worm é capaz de se autorreplicar (faz cópias de si mesmo) e não necessita de um programa hospedeiro para se propagar. Gabarito preliminar: item correto. um worm não pode se replicar automaticamente e necessita de um programa hospedeiro. Assim. podemos então restaurar os arquivos a partir do DVD. mas para ter uma segurança maior. C .T W Gabarito preliminar: item errado. Comentários Isso é possível em alguns casos. para um DVD é fazer backup. R B .Profa. além da sua finalidade de detectar e exterminar vírus de computadores. Nesse exemplo. M O 64.pontodosconcursos.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . instale um anti-spyware. Patrícia Quintão 63. W W 65.com. backup) envolve cópia de dados em um meio fisicamente separado do original. Já o vírus é um programa (ou www. Chamamos de restauração o processo de copiar de volta ao local original as cópias de segurança. regularmente. Concordo com o gabarito. de forma a protegê-los de qualquer eventualidade. chamamos as cópias das fotos no DVD de cópias de segurança ou backup. (CESPE/PRF/Policial Rodoviário Federal/2013) Ao contrário de um vírus de computador. .br | Profa. S O S R Comentários U C Um becape (em inglês. algumas vezes podem ser usados no combate a spywares. armazenadas no HD (disco rígido). (CESPE/CPRM/Analista Geociências/Conhecimentos Básicos/2013) Com relação a vírus de computadores e malwares em geral. incluem arquivos contendo códigos maliciosos. Patrícia Lima Quintão 159 . www. O vírus depende da execução do programa ou arquivo hospedeiro para que possa se tornar ativo e dar continuidade ao processo de infecção. utilizando navegadores • pela ação direta de atacantes que.Profa. correio eletrônico e Internet. Uma vez instalados. portanto. via mídias removíveis. a partir daí se propaga infectando. isto é. não se replica automaticamente como os worms. A seguir destacamos algumas das diversas formas como os códigos maliciosos podem infectar ou comprometer um computador: • pela exploração de vulnerabilidades existentes nos programas instalados. e. em 66.com. em páginas Web ou diretamente de outros computadores (através do compartilhamento de recursos em rede local/ Internet). julgue o item seguinte.pontodosconcursos. após invadirem o computador. inserindo cópias de si mesmo e se tornando parte de outros programas e arquivos de um computador. Patrícia Quintão parte de um programa) que se anexa a um arquivo de programa qualquer (como se o estivesse “parasitando”) e depois disso procura fazer cópias de si mesmo em outros arquivos semelhantes. Quando o arquivo é aberto na memória RAM.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . discos removíveis. obtidos em anexos de mensagens eletrônicas. a páginas Web maliciosas. de acordo com as permissões de cada usuário. Gabarito: item errado. como pendrives. • pela execução de arquivos previamente infectados. o vírus também é. Comentários O termo Malware abrange todos os tipos de programa especificamente desenvolvidos para executar ações maliciosas em um sistema. Malwares propagam-se por meio de rede local. Gabarito: item correto. e. • pela auto-execução de mídias removíveis infectadas. os códigos maliciosos (malware) passam a ter acesso aos dados armazenados no computador e podem executar ações em nome dos usuários.br | Profa. • pelo acesso vulneráveis. ao ser compactado a situação permanecerá sem alterações e tal fato não irá evitar a contaminação por malwares. para tentar eliminar o código malicioso da máquina. primeiramente. o usuário deve executar ferramentas antimalware. worms e pragas virtuais. julgue os itens que se seguem. enviar e-mails com anexos. Ao suspeitar da presença de vírus no computador. devidamente atualizadas. Patrícia Lima Quintão 160 . A compactação de arquivos evita a contaminação desses arquivos por vírus.br | Profa. que irá rastrear e eliminar o vírus. o usuário não deve encaminhar arquivos anexos em emails nem compartilhar pastas via rede de computadores.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . executar o antivírus.pontodosconcursos. U C N O C A Comentários T I L Em caso de suspeita de vírus. 69. se o arquivo estiver infectado por alguma praga virtual. etc.Profa. Comentários R B .T W W W Gabarito: item correto. A compactação tenta reduzir o tamanho dos arquivos (isso nem sempre irá acontecer) no disco rígido no seu computador. como compartilhar pastas via rede. O S R de 68. (CESPE/CPRM/Técnico Geociências/Conhecimentos Básicos/2013) No que diz respeito à segurança da informação. S Gabarito: item errado. www. No entanto.com. M O C . (CESPE/CPRM/Técnico Geociências/Conhecimentos Básicos/2013) No que diz respeito à segurança da informação. devendo. A H . Enquanto essa ação não é realizada. julgue os itens que se seguem. (CESPE/TRT-10RJ/Analista/2013) As características básicas da segurança da informação — confidencialidade. deve-se evitar a realização de atividades que irão contribuir para propagar a infecção para outros computadores. Patrícia Quintão de 67. integridade e disponibilidade — não são atributos exclusivos dos sistemas computacionais. como o antivírus. Proteger informação contra modificação sem permissão. que é o que a segurança da informação quer proteger.pontodosconcursos.br | Profa. Característica Conceito Objetivo Confidencialidade Trata-se da prevenção do vazamento da informação para usuários ou sistemas que não estão autorizados a ter acesso a tal informação. ou seja. Patrícia Lima Quintão 161 . (CESPE/TJ-DFT/Técnico Judiciário/Área Administrativa/2013) 70. Integridade Propriedade de salvaguarda da exatidão e completeza de ativos. Disponibilidade Trata-se da manutenção da disponibilização da informação. www. mesmo para dados em trânsito. Essas características (também conhecidas como atributos ou princípios) atuam sobre quaisquer ativos de segurança da informação. que. Backdoor é uma forma de configuração do computador para que ele engane os invasores. Proteger contra o acesso não autorizado. o acesso aos dados. a informação precisa estar disponível quando se necessita. vamos relembrar as três características básicas da segurança da informação.Profa.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação .com. serão automaticamente bloqueados. como servidores. sistemas computacionais. Gabarito: item correto. Patrícia Quintão Comentários Inicialmente. etc. Proteger contra indisponibilidade dos serviços (ou degradação). ao acessarem uma porta falsa. garantir aos usuários com autorização. estações de trabalho. garantir a fidedignidade das informações. T W W W Gabarito: item correto. também cita outros rootkits que atacam diretamente os aplicativos. M O Comentários C . Assim. a banca considerou a visão citada por Avast (2010). tem-se rootkits que não são ativados antes que o sistema operacional tenha sido completamente inicializado. no entanto. ao invés do sistema operacional. que torna a assertiva válida. que servem para interceptar e redirecionar dados privados para o computador de quem criou o malware. Comentários Em uma rede local sem acesso à Internet. o que tornaria a assertiva errada. 72. renomeando arquivos de sistema. S Certbr (2012) define rootkit como: “um conjunto de programas e técnicas que permite esconder e assegurar a presença de um invasor ou de outro código malicioso em um computador comprometido". (CESPE/ANS/Cargo3/2013) A contaminação por pragas virtuais ocorre exclusivamente quando o computador está conectado à Internet. por exemplo. o que torna difícil sua remoção. T I L A H . conforme visto. ressalta que os boot rootkits atacam o setor de inicialização e modificam a sequência de inicialização para se carregar na memória antes de carregar o sistema operacional original. utilizando-se de patches ou injeção de código para isso. o que está em conformidade com a assertiva." O S R U C N O C A ESET (2013). Gabarito: item errado. visto que é ativado antes que o sistema operacional tenha sido completamente inicializado. Avast (2010) destaca que “os rootkits são ativados antes que o sistema operacional do computador esteja totalmente iniciado.pontodosconcursos. Eles são normalmente utilizados para instalar arquivos ocultos. de difícil detecção. R B .br | Profa.com. Mas. a contaminação de computadores também poderá ocorrer. Apesar disso. www. o que já invalida a assertiva. Patrícia Quintão Comentários O backdoor é uma falha de segurança de um dado programa ou sistema operacional que permite a invasão de um dado sistema por um hacker de modo que ele obtém total controle do computador.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação .Profa. Patrícia Lima Quintão 162 . (CESPE/PCDF/ESCRIVÃO/2013) Rootkit é um tipo de praga virtual 71. Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . diferentemente dos vírus. 75. assim como os vírus. Quando digo auto-replicante. Gabarito: item errado. Comentários O firewall não atua como antivírus e nem como modem de conexão. Patrícia Quintão Gabarito: item errado.br | Profa.Profa. Patrícia Lima Quintão 163 . age também como sistema de eliminação de vírus. mas. no entanto ele não infecta um programa e o usa como hospedeiro. haja vista que esse componente.com. (CESPE/TJ-DFT/Nível Superior/2013) Worm é um software que. é imprescindível a existência de firewall. (CESPE/Câmara dos Deputados/ Arquiteto e Engenheiros/2012) Os worms. protegendo-a assim das ameaças da rede de computadores que está “fora” ou depois do firewall. 74. infectam computadores. Comentários Um worm é um software semelhante a um vírus de computador. A RFC 2828 (Request for Coments nº 2828) define o termo firewall como sendo uma ligação entre redes de computadores que restringe o tráfego de comunicação de dados entre a parte da rede que está “dentro” ou “antes” do firewall. 73. usando-o como hospedeiro para se multiplicar e infectar outros computadores. de forma semelhante a um vírus. www. Gabarito: item errado. infecta um programa.pontodosconcursos. ele é auto-replicante. além de trabalhar como modem de conexão. eles não precisam de um programa hospedeiro para se propagar. Esse mecanismo de proteção geralmente é utilizado para proteger uma rede menor (como os computadores de uma empresa) de uma rede maior (como a Internet). (CESPE/ANS/Cargo3/2013) Para conectar um computador a uma rede wireless. quero dizer que ele cria cópias funcionais de si mesmo e infecta outros computadores. a disponibilidade e a autenticidade. a integridade. Patrícia Quintão Comentários Tantos os Worms como os vírus são considerados como malwares (softwares maliciosos que infectam computadores). A integridade evita alterações nos dados.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . M O C . Gabarito: item correto. a integridade. W W W isponibilidade Gabarito: item errado. S O S R Comentários Os quatro princípios considerados centrais ou principais. no entanto.br | Profa. uma vez que esses equipamentos não são suscetíveis a malwares. ou DICA. para fazer menção a estes princípios!). a saber: a confidencialidade. mais comumente cobrados em provas.T ntegridade C onfidencialidade A utenticidade Figura. garantindo que a informação que foi armazenada é a que será recuperada. A integridade consiste na propriedade que limita o acesso à informação somente às pessoas ou entidades autorizadas pelo proprietário da informação. www. Mnemônico DICA É a confidencialidade (sigilo) que evitará o acesso não autorizado às informações. Patrícia Lima Quintão 164 . 76. (CESPE/PREVIC/Técnico Administrativo – Nível Médio/2011) Entre os atributos de segurança da informação. R B .Profa.pontodosconcursos. U C D C A N O I T I L A H .com. incluem-se a confidencialidade. permitindo somente que pessoas explicitamente autorizadas possam acessá-las. estão listados na questão. (CESPE/TRT-10RJ/Analista/2013) A transferência de arquivos para pendrives constitui uma forma segura de se realizar becape. diferentemente do vírus. 77. o Worm não embute cópias de si mesmo em outros programas ou arquivos e não necessita ser explicitamente executado para se propagar. a disponibilidade e a autenticidade (É possível encontrar a sigla CIDA. ou malwares. são todos os tipos de software cujo objetivo é provocar danos ao sistema. modificam seu comportamento e consequentemente provocam danos dos mais diversos. Patrícia Lima Quintão 165 . é necessária a instalação de firewalls em todos os computadores dessa rede. que são programas que atuam sobre outros programas. Patrícia Quintão Comentários Antes de responder a afirmação é importante saber que os softwares maliciosos. 79. Gabarito: item errado. como uma aplicação ou mesmo um registro do sistema. Sua propagação se dá através da exploração de vulnerabilidades existentes ou falhas na configuração de softwares instalados em computadores. 78.pontodosconcursos. enviando cópias de si mesmo de computador para computador. www. (Cespe/Câmara dos Deputados/ Arquiteto e Engenheiros/2012) Para garantir que os computadores de uma rede local não sofram ataques vindos da Internet. Comentários Os Worms (vermes) têm a capacidade de se propagarem automaticamente através de redes. diferentemente do vírus.br | Profa. incluindo os programas maliciosos (malwares). Dentro desse grupo o exemplo mais conhecido é o dos vírus. (CESPE/MPE-PI/Técnico Ministerial/Área: Administrativa/2012) Worms são programas maliciosos que se autorreplicam em redes de computadores anexados a algum outro programa existente e instalado em computadores da rede.Profa. Gabarito: item errado. o Worm não embute cópias de si mesmo em outros programas ou arquivos e não necessita ser explicitamente executado para se propagar.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . Com a popularização dos pendrives desenvolvedores de softwares começaram a produzir versões portáteis das aplicações (programas). Logo. apesar de práticos e úteis em backups (cópias de segurança) não são imunes aos malwares. Nesse caso. a afirmação está incorreta. pois dispositivos como pendrives.com. Caso um usuário pretenda impedir que o tráfego com origem na Internet faça conexão com seu computador pessoal.br | Profa. 82.com. permitindo controlar o acesso ao sistema por meio de regras e a filtragem de dados.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . (CESPE/AL-ES/Cargos de Nível Médio/2011) Existem diversos dispositivos que protegem tanto o acesso a um computador quanto a toda uma rede. é correto inferir que a conexão utilizada por esse usuário estará cifrada com o uso de pendrive. C A 81. O dispositivo a ser utilizado para impedir que o tráfego com origem na Internet faça conexão com o computador pessoal do usuário é o Firewall. www. é possível que o conjunto de arquivos e pastas gerado por esse procedimento ocupe menos espaço de memória que aquele ocupado pelo conjunto de arquivos e pastas de que se fez o backup. Patrícia Lima Quintão 166 . não sendo necessário instalá-lo em cada máquina conectada. S O S R Comentários Alguns programas que realizam o backup de um determinado conjunto de arquivos e pastas podem oferecer a possibilidade de se realizar a compactação dos dados originais com a finalidade de se reduzir o espaço ocupado na mídia de destino.pontodosconcursos.Profa. A vantagem do uso de firewalls em redes é que somente um computador pode atuar como firewall. M O C . Gabarito: item errado. a tecnologia adequada a ser utilizada nessa situação será o IpV6.T W Comentários W W IpV6 é a versão mais atual do protocolo IP. U C N O Gabarito: item correto. Patrícia Quintão Comentários O firewall é um mecanismo que atua como “defesa” de um computador ou de uma rede. R B . Gabarito: item errado. (Cespe/Câmara dos Deputados/ Arquiteto e Engenheiros/2012) Ao se realizar um procedimento de backup de um conjunto de arquivos e pastas selecionados. que tem por objetivo aplicar uma política de segurança a um determinado ponto da rede. (CESPE/AL-ES/Procurador/2011) Caso o usuário acesse uma página na Internet e lhe seja apresentado um certificado digital válido. T I L A H . 80. que deve ser conferida por meio de tecnologias adicionais de criptografia.Protocolo de Transferência de Hipertexto Seguro). COMPUTAÇÃO) Sistemas criptográficos são ditos simétricos ou de chave www. Gabarito: item correto. Gabarito: item errado.pontodosconcursos. O endereço dos recursos na Internet que estão sob o protocolo HTTPS inicia-se por 'https://'. gerando caracteres de assinatura (chamamos aqui de “assinar a mensagem”). o remetente usa uma chave privada. a integridade e o não repúdio.com. tal solução não garante a integridade da informação. (CESPE/2002/POLÍCIA FEDERAL/PERITO: ÁREA 3 . Geralmente o HTTPS é utilizado para evitar que a informação transmitida entre o cliente e o servidor seja visualizada por terceiros. 85. 84. Ele permite que os dados sejam transmitidos através de uma conexão criptografada e que se verifique a autenticidade do servidor e do cliente.br | Profa. No entanto. uma vez que conferem a autenticação da identidade do remetente de uma mensagem. Um bom exemplo é o uso do HTTPS em sites de compras online.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . O HTTPS trata-se de uma variação do protocolo HTTP que utiliza mecanismos de segurança. Comentários Com as assinaturas digitais temos garantida a autenticidade. Patrícia Quintão Comentários A conexão utilizada estará cifrada com o uso do protocolo HTTPS (HyperText Transfer Protocol Secure . Gabarito: item errado.Profa. (CESPE/Técnico Bancário/Carreira administrativaCaixa Econômica Federal-NM1/2010) Para assinar uma mensagem digital. (CESPE/Oficial Técnico de Inteligência/Área de Desenvolvimento e Manutenção de Sistemas – ABIN/2010) As assinaturas digitais atuam sob o princípio básico da confidencialidade da informação. Comentários O remetente usa sua chave privada para realizar um processo matemático com a mensagem. Diferentemente do HTTP (porta 80). a porta padrão usada pelo protocolo HTTPS é a porta 443. Patrícia Lima Quintão 167 . 83. www. que devem ser combinadas entre as partes antes que a comunicação segura se inicie. R B .pontodosconcursos.Profa. ou criptografia convencional) utiliza APENAS UMA chave para encriptar e decriptar as mensagens. nesse método cada pessoa ou entidade mantém duas chaves: uma pública. M O Para ilustrar os sistemas simétricos. Para criptografar uma mensagem. e outra privada.com. Mas há outros problemas: a chave pode ser interceptada e/ou alterada em trânsito por um inimigo. ou criptografia privada.T W W W Na criptografia simétrica (ou de chave única) tanto o emissor quanto o receptor da mensagem devem conhecer a chave utilizada!! Nos algoritmos de criptografia assimétrica (criptografia de chave pública) utilizam DUAS chaves DIFERENTES. Algoritmos simétricos são geralmente mais eficientes computacionalmente que os assimétricos e por isso são preferidos para cifrar grandes massas de dados ou para operações online. Patrícia Quintão secreta quando a chave utilizada para cifrar é a mesma utilizada para decifrar. A H . C . Sistemas assimétricos ou de chave pública utilizam chaves distintas para cifrar e decifrar. uma combinação de números. como só utiliza UMA chave.br | Profa. que só pode ser fechado e aberto com uso de uma chave. Comentários A criptografia de chave simétrica (também chamada de criptografia de chave única. obviamente ela deve ser compartilhada entre o remetente e o destinatário da mensagem. S O S R U C N O C A T I L Os sistemas simétricos têm o problema em relação à distribuição de chaves. Esta pode ser. podemos usar a imagem de um cofre. Assim. usamos a chave (fechamos o cofre) e para decifrá-la utilizamos a mesma chave (abrimos o cofre).Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . A mesma combinação abre e fecha o cofre. uma PÚBLICA (que pode ser distribuída) e uma PRIVADA (pessoal e intransferível). por exemplo. Assim. que pode ser divulgada livremente. As mensagens codificadas com a chave pública só podem ser decodificadas com a chave privada correspondente. Esta distribuição se torna um problema em situações em que as partes não podem se encontrar facilmente. que deve ser mantida em segredo pelo seu dono. Patrícia Lima Quintão 168 . Profa. não garante a confidencialidade (sigilo) dos dados.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . Considerações Finais Por hoje ficamos por aqui. (CESPE/2010/Caixa/Técnico Bancário) A assinatura digital facilita a identificação de uma comunicação. (CESPE/TCU/Técnico Federal de Controle Externo/2012) Por meio de certificados digitais. Gabarito: item errado. Essa confidencialidade é obtida por meio de técnicas de criptografia. Patrícia Quintão Do ponto de vista do custo computacional. Comentários A assinatura digital. Patrícia Lima Quintão 169 . teoricamente. e isso já foi cobrado em provas várias vezes! Gabarito: item correto. pois. 87. não pode dizer mais tarde que a sua assinatura foi falsificada. por si só.br | Profa. os sistemas simétricos apresentam melhor desempenho que os sistemas assimétricos.com. ou seja. ajude-o a entender melhor o funcionamento das ameaças virtuais e principais www. • não repúdio (irretratabilidade): o emissor (aquele que assinou digitalmente a mensagem) não pode negar que foi o autor da mensagem. Gabarito: item errado. que são utilizadas em conjunto com as assinaturas digitais! A assinatura digital fornece uma prova inegável de que uma mensagem veio do emissor. feito com todo o carinho. Espero que esse material.pontodosconcursos. 86. todos possuem a chave pública do remetente. • integridade: qualquer alteração da mensagem faz com que a assinatura seja invalidada. uma assinatura deve ter as seguintes propriedades: • autenticidade: o receptor (destinatário de uma mensagem) pode confirmar que a assinatura foi feita pelo emissor. Para verificar esse requisito. Comentários A assinatura digital facilita a identificação de uma comunicação. é possível assinar digitalmente documentos a fim de garantir o sigilo das informações contidas em tais documentos. pois baseia-se em criptografia simétrica de uma única chave. mas baseia-se em criptografia assimétrica com par de chaves: uma pública e outra privada. Informática-FCC-Questões Comentadas Organizadas por Assunto. Gen/Método. Novatec.br/livro/cartilha-seguranca-internet. S CERTBR. Rio Grande do Sul: ZOUK. Versão 4. Ed. Disponível em: <http://www. e o ajude a acertar as questões de segurança da sua prova! Um grande abraço. 2013. Patrícia Lima Quintão 170 . R. Certificação Security + . . BASTOS. Segurança de Redes em Ambientes Cooperativos..com. Cartilha de Segurança para Internet.cert. 2013.Profa.pdf>. A. PATRÍCIA LIMA. U C N O NAKAMURA. T. D. RIBEIRO.mapasequestoes. 2007. 2014 (Novo). Edição. 1. R B . C .2ª edição. P. LAYRA. Guia Oficial para Formação de Gestores em Segurança da Informação. 2006. e M O ABNT NBR ISO/IEC 27002:2005 – Tecnologia da Informação – Técnicas de Segurança – Código de Prática para a Gestão de Segurança da Informação (antiga 17799:2005). Segurança no Desenvolvimento de Software. GEUS. Notas de aula da disciplina Segurança da Informação.pontodosconcursos. 2002. Disponível em: <http://cartilha. Diógenes. QUINTÃO.T W W W www. O S R ALBUQUERQUE.0.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . 3ª. A.br | Profa. ed. Profa Patrícia Lima Quintão Bibliografia QUINTÃO.com. E. y. Patrícia Quintão medidas de segurança que devem ser adotadas para se proteger dessas ameaças.. A. 2012. Mapas e Questões.br>.. A H MAUSER. Rio de Janeiro: Campus.. Ed. 2014. PATRÍCIA LIMA. B.L. C A T I L RAMOS. D) O atributo válido é alterado para aguardando renovação. (FUNDATEC/TECNOLOGIA DA INFORMAÇÃO/Procergs/Segurança da informação/2012) Tratando-se de autoridade certificadora (AC). 2. I. C) O atributo válido é alterado para falso. além de ser possível a adição de outras. com o objetivo de o atacante monitorar todas as ações do usuário. de modo que todos os acessos a um site de comércio eletrônico ou Internet Banking são redirecionados para uma página Web falsificada. E) Integridade.Profa. Patrícia Quintão Lista das Questões Apresentadas na Aula 1. o termo ‘segurança da informação' pode ser definido como a preservação de três propriedades essenciais (ou principais). B) O certificado é excluído do banco de dados da AC. e o endereço mostrado no browser do usuário é diferente do endereço correspondente ao site verdadeiro. como a digitação de sua senha bancária. E) Uma comunicação é enviada a todos os participantes do sistema. disponibilidade e integridade. normalmente o usuário deve aceitar um novo certificado (que não corresponde ao site verdadeiro). não repúdio e responsabilidade.br | Profa. confidencialidade e integridade. semelhante ao site verdadeiro. Nesta situação. II. integridade e não repúdio. como senhas de acesso ou número de cartões de crédito. As três consideradas principais são: A) Autenticidade. referentes a fraudes envolvendo o comércio eletrônico e Internet Banking. D) Confidencialidade. o que ocorre quando um certificado expira? A) A AC envia o certificado para uma lista de Certificados Revogados. até que o pagamento seja realizado. 3. C) Confidencialidade. Um hacker compromete o DNS do provedor do usuário. integridade e não repúdio. (FUNDATEC/TECNOLOGIA DA INFORMAÇÃO/Procergs/segurança da informação/2012) Segundo a norma NBR ISO/IEC 27002. que persuade o usuário a fornecer informações sensíveis. Patrícia Lima Quintão 171 . O usuário recebe um e-mail de um suposto funcionário da instituição que mantém o site de comércio eletrônico ou de um banco.pontodosconcursos. www.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . (FGV/2008/SEFAZ-RJ/Fiscal de Rendas) Analise os casos descritos a seguir.com. B) Autenticidade. III. O usuário utiliza computadores de terceiros para acessar sites de comércio eletrônico ou de Internet Banking. . sistemas e responsabilidades.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . www. (ESAF/2008/CGU/AFC-Analista de Finanças e Controle /Infraestrutura e Suporte) Analise as seguintes afirmações em relação à auditoria de segurança da informação e assinale a opção correta. (B) I e III. processos. (C) II e III. O S R (D) II e IV.Profa. Patrícia Lima Quintão 172 . b) Apenas II e III são verdadeiras.T W W W I. O usuário recebe um e-mail. a título de obter acesso mais rápido às informações mais detalhadas em sua conta bancária.pontodosconcursos. Registros de falhas são aqueles que mantêm as atividades dos administradores e operadores dos sistemas de processamento da informação. A auditoria realizada em TI engloba a verificação de operações. C A T I L A H 5. R B . Constituem exemplos de fraudes resultantes de Engenharia Social os casos identificados em: M O C . Para fins de auditoria. a) Apenas I e II são verdadeiras. julgue o item abaixo. (CESPE/2010/ABIN/AGENTE TÉCNICO DE INTELIGÊNCIA . IV.ÁREA DE TECNOLOGIA DA INFORMAÇÃO) Acerca de auditoria na área de tecnologia da informação (TI). U C N O 4. por meio de programas especificamente projetados para esse fim. (E) III e IV.com. Patrícia Quintão III. possibilitando o monitoramento de suas ações.br | Profa. é necessário que os relógios dos sistemas de processamento da informação estejam sincronizados de acordo com uma hora oficial. II. Registros (logs) de auditoria devem ser mantidos por um período de tempo adequado para futuras investigações. incluindo a digitação de senhas ou número de cartões de crédito. cujo remetente é o gerente do seu banco e que contém uma mensagem que solicita a execução pelo usuário de um programa anexo ao e-mail recebido. S (A) I e II. Patrícia Quintão c) Apenas I e III são verdadeiras. sistemas e redes. 6. Os requisitos de segurança. Como determina a norma ABNT NBR ISO/IEC 27002. Vírus de arquivo: infectam arquivos executáveis. Vírus de boot: infectam a área de boot dos discos rígidos dos computadores. (CESPE/2010/Banco da Amazônia/Técnico Científico – Especialidade: TI – Segurança da Informação) São exemplos de ativos de uma organização a informação e os processos de apoio.br | Profa. são identificados por meio de análise sistemática dos riscos de segurança. (CESPE/2013/CNJ/Analista Judiciário . em uma organização.Análise de Sistemas) Acerca da gestão de segurança da informação. em que se identifiquem informações relevantes que precisam ser atualizadas. para manutenção e reavaliação dos planos de continuidade do negócio. Vírus de script: infectam documentos com macros instaladas. O pacote Office da Microsoft é uma das principais vítimas desse tipo de vírus. Assinale a alternativa CORRETA: www. e) I. deve haver testes de interrupção e recuperação dos serviços. Patrícia Lima Quintão 173 . Entre essas informações. julgue os itens a seguir.pontodosconcursos. 9.com. 7. d) I. (CESPE/2009/ANATEL/Analista Administrativo – TI/Arquitetura de soluções) Testes de mesa. II e III são falsas. conforme prescrição na norma ABNT NBR ISO/IEC 17799:2005. III.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . testes de recuperação em local alternativo e ensaio geral são técnicas que podem ser empregadas na gestão da continuidade de negócios. II. conforme as normas da ABNT. 8. endereços e telefones de participantes e estratégias de negócio. por serem desnecessárias.Profa. não constam nomes. (FUMARC/2011/PC-MG/Escrivão de Polícia Civil) Analise seguintes afirmativas sobre os tipos conhecidos de vírus. II e III são verdadeiras. as I. d) Sniffer. S b) Spoofng. O S R c) Cookie.pontodosconcursos. b) apesar de consumir mais recursos computacionais que a criptografia simétrica. II e III estão corretas. U C N O 11. III estão corretas. C . W W 12. d) As afirmativas I. (FUMARC/2012/TJ-MG/Oficial Judiciário .com. tais como usuários e senhas: M O a) Firewall. (FUMARC/ 2011/ PC-MG/ Escrivão de Polícia Civil) É um tipo de aplicação que captura pacotes de rede e analisa suas características com o objetivo de obter informações confidenciais. A H b) Integridade. R B . . EXCETO: C A T I L a) Disponibilidade. Patrícia Quintão a) A afirmativa III está errada e as afirmativas I. a criptografia de chave pública apresenta grande vantagem em relação à segurança do processo de distribuição de chaves. 10.Assistente Técnico De Sistemas) Sobre os conceitos de criptografa.Assistente Técnico De Sistemas) Em relação aos conceitos de segurança da informação. são pilares. (FUMARC/2012/TJ-MG/Oficial Judiciário . III estão corretas.br | Profa. www. c) A afirmativa I está errada e as afirmativas II.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação .Profa. b) A afirmativa II está errada e as afirmativas I. W d) Simplicidade. Patrícia Lima Quintão 174 . é correto afirmar que a) a criptografia de chave pública é mais segura contra criptoanálise do que a criptografia simétrica. II estão corretas.T c) Confidencialidade. Patrícia Quintão c) os algoritmos de criptografia (simétrica e assimétrica) apresentam o mesmo nível de resistência quando utilizam chaves de mesmo tamanho.br | Profa. os backups devem ser protegidos por meio de criptografia. analise a assertiva seguinte: II. (CETRO/2012/TJ-RJ/Titular de Serviços de Notas e de Registros Critério Provimento) Em relação à Certificação Digital.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . (CETRO/2012/TJ-RJ /Titular de Serviços de Notas e de Registros/Critério Remoção) Sobre o processo de backup (cópia de segurança) de documentos eletrônicos. normalmente. c) os backups devem ser gravados e.pontodosconcursos. depois disso.Profa. Os usuários dos Certificados Digitais devem confiar na Autoridade Certificadora. esse tempo é bem pequeno. (CETRO/2012/TJ-RJ/Titular de Serviços de Notas e de Registros Critério Provimento) Em relação à Certificação Digital. a não ser em caso de restauração de dados perdidos. d) a criptografia de chave pública praticamente substituiu os algoritmos de chave simétrica para aplicações web que necessitam de transferência segura de dados através da internet. analise a assertiva seguinte: I. 14. Patrícia Lima Quintão 175 . podendo ser utilizados por tempo indeterminado. d) quando o sigilo for importante. 15. e) o tempo de execução dos backups não é um fator importante a ser levado em consideração. essas mídias devem ser armazenadas em locais seguros e não devem mais ser manipuladas. Os Certificados Digitais não possuem período de validade. é correto afirmar que a) a frequência com que os backups são realizados não tem qualquer relação com o tipo de documento eletrônico que está sofrendo esse processo de cópia de segurança.com. 13. já que. www. b) as mídias contendo os backups podem ser armazenadas no mesmo local físico dos documentos eletrônicos originais por motivo de economia de espaço de armazenamento. mas sim pela execução direta de suas cópias ou pela exploração automática de vulnerabilidades existentes em programas instalados em computadores.br | Profa. seja ela acidental ou proposital.. China e Índia. garantindo a não violação dos dados com intuito de alteração. gravação ou exclusão.T W W W I. a fidedignidade de informações. que somente pessoas autorizadas tenham acesso às informações armazenadas ou transmitidas por meio das redes de comunicação. (FCC/ICMS-RJ/AUDITOR FISCAL DA RECEITA ESTADUAL/2014) O site Convergência Digital divulgou a seguinte notícia: O Brasil segue como o no 1 na América Latina em atividades maliciosas e figura na 4ª posição mundial. ficando atrás apenas dos EUA.Profa. assegurando a prestação contínua do serviço. (Adaptado de: http://convergenciadigital. S Considerando que o malware citado como vilão não se propaga por meio da inclusão de cópias de si mesmo em outros programas ou arquivos. ainda. Dentre estas diretrizes encontram-se normas que garantem A H . III. (B) botnet. de acordo a Symantec. (D) spyware. R B . (E) backdoor.uol. É um programa capaz de se propagar automaticamente pelas redes. Patrícia Quintão 16. . Patrícia Lima Quintão 176 . N O C A T I L 17. enviando cópias de si mesmo de computador para computador.com.ht m?infoid=34673&sid=18#.br/cgi/cgilua.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . sinalizando a conformidade dos dados armazenados com relação às inserções. sendo responsável por mais de 220 milhões de máquinas contaminadas no mundo.. Um desses malwares segue sendo o grande vilão nas corporações. tratase de um O S R U C (A) vírus de macro.com. sem interrupções no fornecimento de informações para quem é de direito.exe/sys/start. II. Sinalizam. a qualquer momento requerido.pontodosconcursos. Os ataques por malwares cresceram 81%. que as informações estejam acessíveis às pessoas e aos processos autorizados. (FCC/ICMS-RJ/AUDITOR FISCAL DA RECEITA ESTADUAL/2014) A política de segurança da informação da Receita Estadual inclui um conjunto de diretrizes que determinam as linhas mestras que devem ser seguidas pela instituição para que sejam assegurados seus recursos computacionais e suas informações.UlqcCNKsiSo) M O C . alterações e processamentos autorizados efetuados. (C) worm. assegurando www. a conformidade dos dados transmitidos pelo emissor com os recebidos pelo destinatário. (E) confidencialidade.com. (FCC/TRT-24ª Região/Analista Judiciário/Tecnologia Informação/2011/Adaptada) Considere: da I. Salvaguarda da exatidão e completeza da informação e dos métodos de processamento. Patrícia Lima Quintão 177 . acessibilidade e disponibilidade. ininterruptibilidade e autenticidade. (D) integridade.br | Profa.confidencialidade – integridade 19.que é a salvaguarda da exatidão e completeza da informação e dos métodos de processamento. integridade e autenticidade. (C) confidencialidade. Em relação às informações.que é a garantia de que a informação é acessível somente por pessoas autorizadas a terem acesso. II e III: (a)disponibilidade – integridade – confidencialidade (b)confidencialidade – integridade – disponibilidade (c)integridade – confidencialidade – disponibilidade (d)confidencialidade – disponibilidade . II e III visam garantir (A) fidedignidade. disponibilidade e confidencialidade. Garantia de que o acesso à informação seja obtido somente por pessoas autorizadas. (B) integridade. II.que é a garantia de que os usuários autorizados obtenham acesso à informação e aos ativos correspondentes.integridade (e) disponibilidade . as normas definidas em I. Preencham correta e respectivamente as lacunas I. III.pontodosconcursos. Patrícia Quintão que as pessoas não tomem conhecimento de informações. II. sem que possuam autorização para tal procedimento. www.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . o conceito de segurança da informação é caracterizado pela preservação de: I.Profa. integridade e disponibilidade. sempre que necessário. de forma acidental ou proposital. (FCC/TRT-MS/Analista Sistemas/2006) Segundo a NBR ISO/IEC 17799:2001. 18. O S R U C N O Nesse contexto. Patrícia Lima Quintão 178 . M O e) integridade. . d) confidencialidade. A H (C) permitir que os usuários tenham acesso aos arquivos de backup e aos métodos de criptografia empregados. (E) garantir que as informações sejam acessíveis apenas para aqueles que estejam autorizados a acessá-las.T W W W (D) permitir que os usuários autorizados tenham acesso às informações e aos ativos associados. integridade e disponibilidade.br | Profa. confiabilidade e disponibilidade. três termos assumem papel de importância capital: confidencialidade. Garantia de que os usuários autorizados obtenham acesso à informação e aos ativos correspondentes sempre que necessário. Na ISO/IEC 17799 (renomeada para 27002). II e III correspondem. ou para ataques ao sistema. a NBR ISO17799 (renumerada para NBR ISO 27002) constitui um padrão de recomendações para práticas na gestão de Segurança da Informação. quando necessário.pontodosconcursos. quando usado com boas intenções pelo administrador do sistema. C .com.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . a confidencialidade tem por objetivo: (A) salvaguardar a exatidão e a inteireza das informações e métodos de processamento. c) confidencialidade. (FGV/2009/ICMS-RJ/Fiscal de Rendas) No Brasil. respectivamente. integridade e distributividade. C A T I L (B) salvaguardar os dados gravados no backup por meio de software que utilize assinatura digital. um programa permite a monitoração e registra a passagem de dados entre as interfaces de rede instaladas no computador. Os dados coletados são usados para obtenção de detalhes úteis para solução de problemas em rede. I. a a) disponibilidade. b) confiabilidade. integridade e disponibilidade. 21.Profa. (FGV/SEFAZ-MS/Analista de Tecnologia da Informação/2006) No que diz respeito à segurança. S 20. Patrícia Quintão III. confiabilidade e disponibilidade. De acordo com o estabelecido nesse padrão. quando usado pelo www. R B . integridade e confiabilidade. confidencialidade e autenticidade. considere: I. (B) Strobe. (FCC/TRE-CE/Analista Judiciário/Análise de Sistemas/2012) Em relação à segurança da informação. e) integridade. Os itens I. e este ter condições de analisar a identidade do sistema. Para sistemas Linux. III. confidencialidade e irretratabilidade. (E) Backdoor. Alguns exemplos de violações a cada um desses requisitos são: I. aos princípios de a) confidencialidade. sequer as consultem. Capacidade do sistema de permitir que alguns usuários acessem determinadas informações. integridade e autenticidade. associam-se. Patrícia Lima Quintão 179 .Profa. 22. confidencialidade e integridade. Informação exposta. II e III. c) confidencialidade. 23. Patrícia Quintão cracker para obter nomes/senhas e outros detalhes úteis para espionagem. confidencialidade e irretratabilidade. b) autenticidade. (FCC/2013/DPE-SP/Agente de Defensoria/Analista de Sistemas / Segurança da Informação) Um computador ou sistema computacional é dito seguro se este atender a três requisitos básicos relacionados aos recursos que o compõem. Esse programa é conhecido por: (A) Hoax. direta e respectivamente. sob risco de manuseio (alterações não aprovadas e fora do controle do proprietário da informação) por pessoa não autorizada. www.br | Profa.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . O seu provedor sofre uma grande sobrecarga de dados ou um ataque de negação de serviço e por este motivo você fica impossibilitado de enviar sua Declaração de Imposto de Renda à Receita Federal. (D) NetBus. (C) Sniffer. O sistema deve ter condições de verificar a identidade dos usuários.pontodosconcursos. d) autenticidade. não autorizados. II. enquanto impede que outros. os softwares mais conhecidos desse programa são tcpdump e ethereal.com. 25. Um dos principais objetivos da criptografia é impedir a invasão de redes. M O C . Patrícia Quintão II.com. respectivamente. www.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . momentos antes de você enviá-la à Receita Federal. III. é comum que tenha que digitar a senha em um teclado virtual. . Patrícia Lima Quintão 180 . (E) keyloggers e screenloggers.T W W W (B) keyloggers e adwares. em: a) I privacidade b) I exclusividade c) I confidencialidade d) I disponibilidade e) I acessibilidade II III integridade exclusividade II III privacidade acessibilidade II III exclusividade disponibilidade II III confidencialidade integridade II III exclusividade privacidade R B . (C) screenloggers e adwares.pontodosconcursos. Região/Provas de Analista Judiciário e Técnico Judiciário) Quando o cliente de um banco acessa sua conta corrente através da internet. Alguém obtém acesso não autorizado ao seu computador e lê todas as informações contidas na sua Declaração de Imposto de Renda. I. (D) phishing e pharming. (FUNRIO/2009/Analista de Seguro Social – Serviço Social) Das sentenças abaixo. A associação correta do requisito de segurança com os exemplos de violação está expressa.Profa. Esse procedimento de segurança visa evitar ataques de T I L A H (A) spywares e adwares. Alguém obtém acesso não autorizado ao seu computador e altera informações da sua Declaração de Imposto de Renda.br | Profa. (FCC/2012/TRT-11ª. S O S R U C N O C A 24. relativas à segurança de computadores e sistemas. cujas teclas mudam de lugar a cada caractere fornecido. utilizados para comprovar sua identidade. E) I.pontodosconcursos. worms e cavalos de troia são alguns dos exemplos de Malware. Possui processo de infecção e propagação similar ao do worm.Profa. dependendo de como é instalado. das ações realizadas.com. Patrícia Quintão II.lo. Pode ser usado tanto de forma legítima quanto maliciosa. é correto afirmar: a) Rootkit é um programa que dispõe de mecanismos de comunicação com o invasor que permitem que ele seja controlado remotamente. Estão corretas: A) I. B) I e IV. é capaz de se propagar automaticamente. apenas. 26. b) Backdoor é um programa projetado para monitorar as atividades de um sistema e enviar as informações coletadas para terceiros. que tenham previamente infectado o computador. II. Patrícia Lima Quintão 181 . Pode ser incluído pela ação de outros códigos maliciosos.br | Profa. keyloggers. apenas. d) Bot é um conjunto de programas e técnicas que permite esconder e assegurar a presença de um invasor ou de outro código malicioso em um www. do tipo de informação monitorada e do uso que é feito por quem recebe as informações coletadas. III e IV. C) II e IV. c) Spyware é um programa que permite o retorno de um invasor a um computador comprometido. por meio da inclusão de serviços criados ou modificados para este fim. IV. ou por atacantes que exploram vulnerabilidades existentes nos programas instalados para invadi. III. apenas. II e III. O certificado digital é um arquivo eletrônico que contém dados de uma pessoa ou instituição. D) III e IV. apenas. explorando vulnerabilidades existentes em programas instalados em computadores. (FCC/2013/TRT . Vírus. ou seja.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação .18ª Região (GO)/Técnico Judiciário/Tecnologia da Informação) Em relação aos tipos de malware mencionados abaixo. Um antivírus é capaz de impedir que um hacker tente explorar alguma vulnerabilidade existente em um computador. d) não usar a opção "com cópia para" do correio eletrônico. 29. é um programa que. . os bots atualmente têm sido também utilizados e incorporados por outros códigos maliciosos para ficarem ocultos e não serem detectados pelo usuário e nem por mecanismos de proteção. e) Trojan ou trojan-horse. (A) acesso não-autorizado a banco de dados (B) instalação não-autorizada de softwares www. o tamanho delas passa a ser irrelevante em termos de segurança. 27. Patrícia Quintão computador comprometido. A H (C) Ataques de phishing não podem ser detectados via honeypots. também executa outras funções. e) a criptografia U C N O 28. Em relação à C A (A) Envio de SPAM não é considerado incidente de segurança pelo Cert. (E) Os incidentes de segurança nas redes brasileiras devem ser reportados ao Cert. (FGV/2007/Fiscal de Rendas/ICMS-RJ) As afirmativas a seguir apresentam vulnerabilidades relacionadas ao uso de sistemas de informação. assinale a afirmativa correta. Assinale-a. Patrícia Lima Quintão 182 . M O das C .br | Profa.com. Apesar de ainda serem bastante usados por atacantes. (FGV/2013/MPE-MS/ANALISTA (INFORMÁTICA) Segurança na Internet. S b) não responder e-mails que chegam "com cópia oculta". que é mantido pelo NIC. CSIRTs não disponibilizam estatísticas dos incidentes tratados. à exceção de uma. Estes programas geralmente consistem de um único arquivo e necessitam ser explicitamente executados para que sejam instalados no computador. (FCC/2011/TRE-TO/Analista Judiciário – Judiciária) Uma formas de proteger o sigilo da informação que trafega na Internet é: a) não fazer os downloads em notebooks.Profa. além de executar as funções para as quais foi aparentemente projetado.T W W W (D) Se as senhas forem mudadas frequentemente pelo usuário. O S R c) mandar e-mails somente a pessoas da lista pessoal.pontodosconcursos.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . e sem o conhecimento do usuário. R B .br T I L (B) Para preservar a privacidade dos atacados. normalmente maliciosas.br.br. Chaves simétricas são simples e nelas o emissor e o receptor utilizam a mesma chave para cifrar e decifrar uma informação.pontodosconcursos. dois itens podem ser visualizados na janela do browser. analise as afirmativas a seguir. A esse respeito. utilizados na assinatura. e “cadeado aberto” na barra de status. o que significa que as informações transmitidas entre o browser e o site visitado estão sendo criptografadas e são visualizados por uma sigla no endereço do site e pela existência de um cadeado.com. e “cadeado fechado” na barra de status.br | Profa. e “cadeado aberto” na barra de segurança. para isso. na parte inferior da janela do browser (B) https://. (D) http://. na parte superior da janela do browser.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . I. que apresenta uma determinada característica. e “cadeado fechado” na barra de status. Patrícia Lima Quintão 183 . A assinatura digital emprega chaves criptográficas definidas como um conjunto de bits baseado em um determinado algoritmo capaz de cifrar e decifrar informações que. na parte inferior da janela do browser. (FGV/2009/MEC/Gerente de Segurança) Com relação à Gestão da Segurança da Informação. utiliza chaves simétricas ou chaves assimétricas. 31. (E) wwws//. diminuindo consideravelmente as possibilidades de extravio ou www. (FGV/2010/SEFAZ-RJ/Fiscal de Rendas) A assinatura digital visa dar garantia de integridade e autenticidade a arquivos eletrônicos. comprova que a mensagem ou arquivo não foi alterado e que foi assinado pela entidade ou pessoa que possui a chave privada e o certificado digital correspondente. (C) wwws://. na parte superior da janela do browser. A sigla e a característica são: (A) https://. e “cadeado fechado” na barra de segurança. na parte superior da janela do browser. acarretando riscos menores. Patrícia Quintão (C) falhas de firewall que protegem as redes (D) destruição autorizada de hardware e dados (E) ataques vindos do ambiente externo 30.Profa. II. U C b) se somente as afirmativas I e II estiverem corretas. A assinatura digital funciona da seguinte forma: é necessário que o emissor tenha um documento eletrônico e a chave pública do destinatário. R B . c)Um grupo de dados enviado pelo servidor de Web para o navegador. É por esta razão que chaves públicas são utilizadas em assinaturas digitais. C A d) se somente as afirmativas II e III estiverem corretas. Patrícia Lima Quintão 184 .com. a assinatura será deformada.pontodosconcursos. As chaves são geradas de forma conjunta.br | Profa. portanto. Serão exibidas somente as páginas em Cache de Internet. d)Permite a navegação sem estar conectado em uma rede. M O C . T I L e) se todas as afirmativas estiverem corretas. Nesse esquema. O receptor usará então sua chave privada correspondente para decifrar o documento.T W W W a)É o mecanismo que dispara avisos cada vez que um site onde o usuário se inscreveu faz atualizações. geralmente um e-mail ou recado através de scrapbooks.Profa. (Governo do Estado do MS/Secretaria de Estado de Administração/Agência de Habitação Popular do MS/2013) O que são “cookies”? . S O S R Assinale: a) se somente a afirmativa I estiver correta. uma pessoa ou uma organização deve utilizar uma chave de codificação e disponibilizá-la a quem for mandar informações a ela. tais como posts de blogs e mensagens de fóruns. uma está associada à outra. www.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . colocado num arquivo texto criado no computador do utilizador. Uma outra chave deve ser usada pelo receptor da informação para o processo de decodificação: é a chave privada. Essa é a chave pública. que é sigilosa e individual. A H 32. Patrícia Quintão fraudes. o documento é então cifrado de acordo com esta chave pública. e)Um mecanismo para permitir que vocês se subscreva a conteúdo da web atualizado. Se qualquer bit deste for alterado. invalidando o arquivo. III. Por meio de algoritmos apropriados. b)Criação de um website falso e/ou do envio de uma mensagem eletrônica falsa. Chaves assimétricas funcionam com duas chaves: a chave privada e a chave pública. N O c) se somente as afirmativas I e III estiverem corretas. A mensagem codificada com a chave 1 de um par somente poderá ser decodificada pela chave 2 deste mesmo par. e evitar ou reduzir os riscos relevantes. a função da segurança da informação é viabilizar os negócios como o governo eletrônico (e-gov) ou o comércio eletrônico (e-business). incluindo políticas. b) assimétrica. É importante para os negócios.br | Profa. chave privada e chave pública. apenas c) I e IV. III e IV. para garantir que os objetivos do negócio e de segurança da organização sejam atendidos. analise: I. tanto do setor público como do setor privado. III. respectivamente.Profa. analisados criticamente e melhorados. Convém que isto seja feito em conjunto com outros processos de gestão do negócio. procedimentos. monitorados. onde necessário.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . apenas. criptografia . II.com. apenas. chave pública e chave de hash. apenas.12ª Região (SC)/Técnico Judiciário/Tecnologia da Informação) Trabalha com algoritmos que necessitam de pares de chaves.pontodosconcursos. e) I e II. É obtida a partir da implementação de um conjunto de controles adequados. duas chaves diferentes para cifrar e decifrar uma informação. a) de curvas elípticas. Está correto o que consta em a) I. b) I. www. 34. A interconexão de redes públicas e privadas e o compartilhamento de recursos de informação aumentam a dificuldade de se controlar o acesso. processos. estruturas organizacionais e funções de software e hardware. chave pública e chave privada. chave pública e chave privada. III e IV. d) III e IV. Em ambos os setores. IV. II. Patrícia Quintão 33. (FCC/TRT . (FCC/TRE-CE/Técnico Judiciário/Programação de Sistemas/2012) Sobre segurança da informação. c) de chave secreta. A tendência da computação distribuída aumenta a eficácia da implementação de um controle de acesso centralizado. d) simétrica. O método de criptografia e os nomes das duas chaves referenciadas no texto são. Os controles de segurança precisam ser estabelecidos. ou seja. e para proteger as infraestruturas críticas. implementados. Patrícia Lima Quintão 185 . a assinatura digital gerada é anexada ao material que será enviado eletronicamente. chave primária e chave estrangeira 35. A partir daí.. que se propaga inserindo cópias de si mesmo e se tornando parte de outros programas e arquivos.T W W W 36. T I L A H .com. primária www. S c) Para que possa se tornar ativo e dar continuidade ao processo de infecção. b) Os vírus não conseguem infectar os telefones celulares. infectando arquivos do disco e executando uma série de atividades sem o conhecimento do usuário... é INCORRETO afirmar: a) É comum pessoas chamarem de vírus todo e qualquer programa com fins maliciosos.Profa. que tentam infectar arquivos do Microsoft Office. digest. (FCC/TRT-12ª Região (SC)/Técnico Judiciário/Tecnologia da Informação/2013) O trecho a seguir descreve uma parte do processo de geração de assinatura digital e troca de mensagens assinadas digitalmente: O primeiro passo no processo de assinatura digital de um documento eletrônico é a aplicação da. para que o computador ou o dispositivo seja infectado é preciso que um programa. Patrícia Quintão e) de chave pública. principalmente os pen-drives.pontodosconcursos. já infectado. Vírus é um programa ou parte de um programa.... Mas também existem vírus de macro... correta e respectivamente. Há outros que permanecem inativos durante certos períodos.... A consequência disso é a geração de um arquivo eletrônico que representa a assinatura digital dessa pessoa. do emissor da mensagem. N O C A e) Alguns vírus procuram permanecer ocultos. com: a) esteganografia.18ª Região (GO)/Técnico Judiciário/Tecnologia da Informação/2013) Em relação a vírus e malwares.. dentre outros. o vírus depende da execução do programa ou arquivo hospedeiro. II e III são preenchidas. No passo seguinte essa sequência única fornecida é codificada com a chave . ou seja..br | Profa... o worm pode destruir ou sobrescrever arquivos. efetuar ligações telefônicas e drenar a carga da bateria. mas o termo malware é a denominação mais adequada. R B . pois são apenas os worms que conseguem se propagar de celular para celular por meio do bluetooth ou de mensagens SMS (torpedos)... O S R U C d) Os meios de propagação de vírus mais comuns são os e-mails e as mídias removíveis. que fornece uma sequência única para cada documento conhecida como . Após infectar o celular. remover ou transmitir contatos da agenda.. entrando em atividade apenas em datas específicas. (FCC/TRT ... por exemplo.. seja nele executado. vírus escritos em linguagem de script. Patrícia Lima Quintão 186 . normalmente malicioso. As lacunas I.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . compondo a mensagem ou o documento. M O C .. d) poderoso antivírus.pontodosconcursos. Luiza foi contratada para evitar que um hacker possa sondar esses computadores. A empresa tem centenas de computadores com placas de rede conectandoos. e) sistema de criptografia simétrica. resumo. privada e) função de Hash. pública 37. A empresa também tem uma ou mais conexões de alta velocidade com a internet.Profa. fazer conexões telnet e assim por diante. Patrícia Quintão b) criptografia. Para evitar esta situação de risco.Tecnologia da Informação/2013) Luiza trabalha em uma empresa com 500 funcionários. Luiza deve evitar que os hackers possam chegar nessa máquina e explorar essa fraqueza. (FCC/ TRT . Luiza deve instalar na rede um a) sistema de criptografia assimétrica. pública c) função de Hash.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . b) firewall em cada conexão com a internet. digest.br | Profa.com.12ª Região (SC)/Analista Judiciário .12ª Região (SC)/Analista Judiciário/Tecnologia da Informação /2013) Considere a figura abaixo. message key. (FCC/TRT . 38. se um funcionário cometer um erro e deixar uma vulnerabilidade na segurança. www. resumo. c) filtro de conteúdo de e-mails. tentar estabelecer conexões FTP com eles. Patrícia Lima Quintão 187 . privada d) criptografia. Ainda. (FCC/2008/TCE-SP/Adaptada) Em relação a Certificado Digital. . Patrícia Lima Quintão 188 .com. então apenas seu dono poderia ter feito isto. (FCC/2008/TCE-SP/Adaptada) Em relação a Certificado Digital. somente a chave privada correspondente pode decodificá-lo. www. A H d) se trata de um processo que gera uma assinatura digital utilizando criptografia assimétrica com função hash. C A T I L c) se trata de um processo que gera um certificado digital autoassinado utilizando criptografia simétrica com função hash. Patrícia Quintão R B . pois se o texto foi codificado com a chave pública.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . pois é mais rápido codificar a informação que o código hash. é correto afirmar que a) a assinatura digital é gerada com base no fato de que apenas o dono conhece a chave pública e que. U C N O b) para contornar a baixa eficiência característica da criptografia de chaves assimétricas.Profa. 40. M O C .T W W W e) se trata de um processo que gera uma assinatura digital utilizando criptografia simétrica com função hash.br | Profa. 39. no qual o dono e o emissor não são a mesma entidade. A verificação da assinatura é feita com o uso da chave privada. é correto afirmar que: [os certificados servem para garantir a segurança dos dados enviados via upload]. S O S R Em relação aos detalhes mostrados na figura acima. a codificação é feita sobre o conteúdo em si e não sobre o hash gerado. se ela foi usada para codificar a informação. é correto afirmar que: são plugins que definem a qualidade criptográfica das informações que trafegam na WWW.pontodosconcursos. correta e respectivamente. segura e não sofreu alterações ao longo do caminho. as partes são mesmo quem dizem ser e a transação on. seria o similar eletrônico do RG. permite ou denega a continuidade da transmissão. garantem a autenticidade. adotar estilo simples e claro.line é legítima.Profa. seria o equivalente ao carimbo acompanhado de selo que os cartórios brasileiros utilizam para reconhecer firma em documentos.18ª Região (GO)/Técnico Judiciário/ Tecnologia da Informação / 2013 ) Fazendo uma analogia com documentos do mundo real. dependendo da sua direção.segurança das informações. enquanto .a chave privada . e) a chave pública .com. e) um protocolo que fornece comunicação segura de dados através de criptografia do dado. (FCC/TRE-CE/Analista Judiciário/Análise de Sistemas/2012) Ao elaborar e comunicar uma Política de Segurança da Informação .br | Profa. b) a criptografia simétrica .a criptografia simétrica . a integridade.criptografia. aliados à . d) uma técnica usada para examinar se a comunicação está entrando ou saindo e. Patrícia Lima Quintão 189 . c) uma técnica usada para garantir que alguém.pontodosconcursos. o não repúdio à transação e a confidencialidade da informação.criptografia de chave única e à criptografia de chave dupla.a assinatura digital . esses dois elementos. c) o certificado digital . em função do que sejam. 42. d) a criptografia assimétrica . (FCC/2008/TCE-SP) Secure Sockets Layer trata-se de a) qualquer tecnologia utilizada para proteger os interesses de proprietários de conteúdo e serviços.o certificado digital .Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . (FCC/TRT . autêntica.certificação digital. Preenchem. Patrícia Quintão 41. permiti-la ou não. Ou seja. 43. respeitar o interlocutor www.assinatura digital.a criptografia assimétrica . ao realizar uma ação em um computador. Juntos.PSI é necessário usar uma linguagem conhecida e meios adequados aos tipos de mensagens e usuários. b) um elemento de segurança que controla todas as comunicações que passam de uma rede para outra e. não possa falsamente negar que realizou aquela ação. as lacunas: a) a assinatura digital . a linguagem tecnológica utilizada e os níveis de sensibilidade de cada tipo de interlocutor. c) adere integralmente a formulação de uma PSI. C . pois linguagem. b) adere parcialmente às expectativas de uma PSI. (FCC/Banco Central do Brasil/Analista Área 1/2006) NÃO é uma cifra de César resultante da criptografia sobre uma mesma mensagem: C A T I L a) F H Q W U D O. Patrícia Quintão sem superestimá-lo nem subestimá-lo. A H c) E G P V T C N. Nesse sentido. porque os atributos do interlocutor não devem constituir relevância. . pois a política deve ser única. de modo que outros não possam discernir a presença ou o conteúdo da mensagem oculta é conhecida como esteganografia. em que cada elemento do texto claro é mapeado em outro elemento. W e) G I R X V E P. M O d) adere parcialmente às expectativas de uma PSI.Profa.T d) I K T Z X G R. estilo e interlocutor não podem sobrepor-se à linguagem tecnológica e é preciso levar em conta a cultura do país no qual ela é aplicada. www. presumivelmente. é correto concluir que tal afirmação a) adere parcialmente às expectativas de uma PSI. (FCC/TJ-PE/Analista Judiciário/Analista de Suporte/2012) Sobre criptografia é correto afirmar: a) Todos os algoritmos de criptografia são baseados na substituição. b) A técnica para esconder uma mensagem secreta dentro de uma maior. S O S R e) não atende aos propósitos de uma PSI.pontodosconcursos. tendo em vista que ela deve ser construída considerando uma linguagem tecnológica desvinculada de adoção de estilos. já que todos os usuários.com. Patrícia Lima Quintão 190 . b) K M V C W J Q. foram selecionados pela empresa para entenderem a tecnologia usada. pois ao elaborar uma política é necessário que ela seja ajustada a cada instituição e deve ser comunicada de maneira que todos entendam.br | Profa. e não deve levar em conta características humanas e legais do país no qual ela é aplicada. U C N O 44. R B .Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . respeitar a cultura organizacional e a do país a que se destina. W W 45. Esta é uma conceituação básica para: a) rede privada com comunicação criptográfica simétrica. (FCC/Banco Central do Brasil/Analista Área 1/2006) Em uma criptografia. tornando maior o caos. Patrícia Quintão c) Um ataque criptoanalítico a um sistema de criptografia envolve a tentativa de cada chave possível até que seja obtida uma tradução inteligível de texto cifrado para texto claro. o sistema é considerado como criptografia assimétrica ou de chave única.Profa. produzindo a saída de um elemento de cada vez. c) canal privado de comunicação síncrona. sem baixá-lo no seu desktop. d) Se tanto o emissor quanto o receptor utilizarem a mesma chave.br | Profa. o conceito de força bruta significa uma técnica para a) eliminar todas as redundâncias na cifra. enquanto prossegue. (FCC/2011/TRF . a atitude mais adequada diante deste fato é a) não executá-lo. www. 47. c) acrescentar aleatoriedade aos dados. e) Uma cifra de bloco processa os elementos da entrada continuamente. 46.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . d) executá-lo diretamente. b) canal privado de comunicação assimétrica. Patrícia Lima Quintão 191 . c) repassá-lo para sua lista de endereços solicitando aos mais experientes que o executem. porém comunicar o fato ao administrador de sua rede. 48. (FCC/2009/MPSED/Analista do Ministério Público/Analista de Sistemas) Consiste em um conjunto de computadores interconectados por meio de uma rede relativamente insegura que utiliza a criptografia e protocolos especiais para fornecer segurança. d) quebrar uma criptografia simétrica por meio de busca exaustiva da chave. e) ocultar uma determinada informação para torná-la imperceptível. somente. e) executá-lo de qualquer forma.com.1.ª Região/Técnico Judiciário/Segurança e Transporte) Considerando o recebimento de um arquivo executável de fonte desconhecida. no correio eletrônico.pontodosconcursos. b) baixá-lo no seu desktop e executá-lo localmente. b) tornar complexa a relação entre a chave e a cifra. analise: N O I. II. e para proteger as infraestruturas críticas. 49. O S R e) Área de armazenamento sem proteção e travamento automático da estação após período de tempo sem uso constituem ameaça. É importante para os negócios. III e IV. A H . incluindo políticas. É obtida a partir da implementação de um conjunto de controles adequados. b) O vazamento de informação e falha de segurança em um software constituem vulnerabilidades. Patrícia Quintão d) rede privada com autenticação digital.pontodosconcursos. Convém que isto seja feito em conjunto com outros processos de gestão do negócio. Patrícia Lima Quintão 192 . (FCC/TRE-CE/Analista Judiciário/Análise de Sistemas/2012) Em relação a vulnerabilidades e ataques a sistemas computacionais. Está correto o que consta em a) I. (FCC/TRE-CE/Técnico Judiciário/Programação de Sistemas/2012) Sobre segurança da informação. A interconexão de redes públicas e privadas e o compartilhamento de recursos de informação aumentam a dificuldade de se controlar o acesso. a função da segurança da informação é viabilizar os negócios como o governo eletrônico (e-gov) ou o comércio eletrônico (e-business). Os controles de segurança precisam ser estabelecidos. onde necessário. www.br | Profa. e) rede privada virtual. Em ambos os setores. estruturas organizacionais e funções de software e hardware. S d) Medidas de segurança podem ser definidas como ações que visam eliminar vulnerabilidades para evitar a concretização de uma ameaça. U C 50. para garantir que os objetivos do negócio e de segurança da organização sejam atendidos. R B . C .Profa.com. M O c) Roubo de informações e perda de negócios constitui ameaças. C A T I L II. implementados. processos.T W W W III. analisados criticamente e melhorados. procedimentos. é correto afirmar: a) Medidas de segurança podem ser definidas como ações que visam eliminar riscos para evitar a concretização de uma vulnerabilidade. IV.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . A tendência da computação distribuída aumenta a eficácia da implementação de um controle de acesso centralizado. e evitar ou reduzir os riscos relevantes. monitorados. tanto do setor público como do setor privado. III e IV. d) diretamente de outros computadores. b) somente pela utilização da legislação vigente. seus parceiros comerciais e contratados e provedores de serviço. cláusulas contratuais. manter e melhorar a informação e podem ser atividades essenciais para assegurar a competitividade. o fluxo de caixa. A segurança da informação é obtida a) a partir da implementação de um conjunto de controles adequados. apenas. b) via mídias removíveis. EXCETO: a) em anexos de mensagens eletrônicas. (FUNCAB/2013/DETRAN-PB/Advogado) Existem várias formas de infecção de um computador por códigos maliciosos.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . Patrícia Lima Quintão 193 . c) em diversas formas. maximizar o retorno sobre os investimentos e as oportunidades de negócio. o atendimento aos requisitos legais e a imagem da organização junto ao mercado. minimizar o risco ao negócio.Profa. uma delas é pela execução de arquivos previamente infectados. estatutos. e) I e II.br | Profa. apenas c) I e IV. transmitida pelo correio ou por meios eletrônicos. que aumentam a dificuldade de se controlar o acesso.pontodosconcursos. apresentada em filmes ou falada em conversas. 52.9ª REGIÃO (PR)/Técnico Judiciário . www. d) em sistemas de redes com o intuito de definir. armazenada eletronicamente. alcançar. (FCC/TRT . 51. d) III e IV. através do compartilhamento de recursos. incluindo políticas. procedimentos. Ela pode ser impressa ou escrita em papel. apenas. Patrícia Quintão b) I. c) em páginas web. Esses arquivos podem ser obtidos de diversas maneiras. apenas.com. e) por meio da interconexão de redes públicas e privadas e o compartilhamento de recursos de informação. a lucratividade.Segurança/2013 ) Segurança da informação é a proteção da informação de vários tipos de ameaças para garantir a continuidade do negócio. processos. estruturas organizacionais e funções de software e hardware. um endereço a) HTTP b) HTTPS R B . T I L d) pela ação direta de atacantes que incluem arquivos contendo códigos maliciosos A H e) pela utilização de firewalls . utilizando navegadores vulneráveis.pontodosconcursos.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . Patrícia Lima Quintão 194 . b) a verificação de arquivos com extensão “exe” antes de executar seu download.T W W W (FUNCAB/2012/PM-AC/Soldado da Polícia Militar/Músico) O 55.Profa. como . d) o download de arquivos recebidos por email de pessoas conhecidas. c) o cancelamento de downloads de arquivos iniciados automaticamente. Patrícia Quintão e) via parametrizações inadequadas em sua impressora. www. procedimento que pode colocar em risco a segurança do seu computador é: a) a manutenção de programas antivírus sempre ativos e atualizados.com. c) WWW M O d) COM C . (FUNCAB/2013/DETRAN-PB/Agente de Trânsito) Existem diversas formas de infecção de um computador por códigos maliciosos. (FUNCAB/2013/DETRAN-PB/Advogado) de site seguro ou criptografado começa com: Na web. N O b) pela autoexecução de mídias removíveis infectadas. S e) // O S R 54. 53. EXCETO: U C a) pela exploração de vulnerabilidades existentes nos programas instalados. C A c) pelo acesso a páginas maliciosas.br | Profa. III. visto que esse tipo de ameaça não se propaga por meio de programas de chat. 58. Os vírus são programas e sofrem geração espontânea.br | Profa. Um vírus é um fragmento de um programa que é unido a um programa legítimo com a intenção de infectar outros programas. EXCETO: a) utilizar pelo menos oito caracteres. #. !. (FUNCAB/2012/MPE-RO/Técnico . b) apenas a II. nome verdadeiro ou o nome da sua empresa. por exemplo. Está(ão) correta(s): a) apenas a I. e) apenas II e III.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . *. c) não usar palavras completas. Patrícia Quintão e) a utilização de um Firewall em sua rede de computadores.Oficial de Diligências) Para criar uma senha forte no seu aplicativo de correio eletrônico. www. (FUNCAB/2012/PC-RO/Médico sentenças: Legista) Analise as seguintes I. d) apenas I e II. números e símbolos como. algumas recomendações devem ser adotadas na composição da senha. 56. 57. Patrícia Lima Quintão 195 . Os vírus de macro alteram o mecanismo de criptografia a cada cópia replicada. II. c) apenas a III. b) não usar seu nome de usuário. d) usar uma senha muito diferente das senhas anteriores e não usar a mesma senha para todas as suas contas. e) evitar combinação de letras maiúsculas e minúsculas.com. (CESPE/CADE/Nível Intermediário/2014) O computador utilizado pelo usuário que acessa salas de bate-papo não está vulnerável à infecção por worms.pontodosconcursos.Profa. T W W W 65.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . . em 66. R B . por terceiros.com. (CESPE/DPF/Departamento Federal/Agente Administrativo/2014) Um dos objetivos da segurança da informação é manter a integridade dos dados. que é capaz de se autorreplicar e não necessita de um programa hospedeiro para se propagar. evitando-se que eles sejam apagados ou alterados sem autorização de seu proprietário. T I L A H 64. C .br | Profa. além da sua finalidade de detectar e exterminar vírus de computadores. Patrícia Quintão 59. (CESPE/MDIC/Nível Intermediário/2014) A definição e a execução de procedimentos regulares e periódicos de becape dos dados de um computador garante a disponibilidade desses dados após eventuais ocorrências de desastres relacionados a defeitos tanto de hardware quanto de software. (CESPE/MDIC/Nível Intermediário/2014) O comprometimento do desempenho de uma rede local de computadores pode ser consequência da infecção por um worm. www. Patrícia Lima Quintão 196 . um worm não pode se replicar automaticamente e necessita de um programa hospedeiro. (CESPE/CBMCE/2014) A instalação de antivírus no computador de um usuário que utiliza a máquina em ambiente organizacional é suficiente para impedir o acesso.Profa. M O de Polícia 61. algumas vezes podem ser usados no combate a spywares. a informações privativas do usuário. S O S R U C 62.pontodosconcursos. (CESPE/CPRM/Analista Geociências/Conhecimentos Básicos/2013) Com relação a vírus de computadores e malwares em geral. (CESPE/PRF/Policial Rodoviário Federal/2013) Ao contrário de um vírus de computador. N O C A 63. (CESPE/DPF-Departamento Polícia Federal/Administrador/2014) A ativação do firewall do Windows impede que emails com arquivos anexos infectados com vírus sejam abertos na máquina do usuário. de 60. (CESPE/MDIC/Nível Intermediário/2014) Os antivírus. (CESPE/CPRM/Técnico Geociências/Conhecimentos Básicos/2013) No que diz respeito à segurança da informação. correio eletrônico e Internet. (CESPE/TRT-10RJ/Analista/2013) As características básicas da segurança da informação — confidencialidade. age também como sistema de eliminação de vírus. devendo. 73. 69. Judiciário/Área Administrativa/2013) 70. Patrícia Quintão julgue o item seguinte. A compactação de arquivos evita a contaminação desses arquivos por vírus. o usuário não deve encaminhar arquivos anexos em emails nem compartilhar pastas via rede de computadores. primeiramente. visto que é ativado antes que o sistema operacional tenha sido completamente inicializado.br | Profa. (CESPE/ANS/Cargo3/2013) Para conectar um computador a uma rede wireless. Patrícia Lima Quintão 197 . executar o antivírus. (CESPE/PCDF/ESCRIVÃO/2013) Rootkit é um tipo de praga virtual de difícil detecção. que irá rastrear e eliminar o vírus. worms e pragas virtuais. (CESPE/ANS/Cargo3/2013) A contaminação por pragas virtuais ocorre exclusivamente quando o computador está conectado à Internet. 72. discos removíveis. Ao suspeitar da presença de vírus no computador. julgue os itens que se seguem. além de trabalhar como modem de conexão. haja vista que esse componente. Malwares propagam-se por meio de rede local. (CESPE/TJ-DFT/Técnico Backdoor é uma forma de configuração do computador para que ele engane os invasores.Profa. é imprescindível a existência de firewall. que. julgue os itens que se seguem. de 68.com. serão automaticamente bloqueados. (CESPE/CPRM/Técnico Geociências/Conhecimentos Básicos/2013) No que diz respeito à segurança da informação.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação .pontodosconcursos. www. de 67. ao acessarem uma porta falsa. 71. integridade e disponibilidade — não são atributos exclusivos dos sistemas computacionais. uma vez que esses equipamentos não são suscetíveis a malwares. U C N O C A 78. assim como os vírus. A integridade consiste na propriedade que limita o acesso à informação somente às pessoas ou entidades autorizadas pelo proprietário da informação. usando-o como hospedeiro para se multiplicar e infectar outros computadores.Profa. M O 76.com. a integridade. Patrícia Lima Quintão 198 . é possível que o conjunto de arquivos e pastas gerado por esse procedimento ocupe menos espaço de memória que aquele ocupado pelo conjunto de arquivos e pastas de que se fez o backup. incluem-se a confidencialidade. de forma semelhante a um vírus.pontodosconcursos. C . eles não precisam de um programa hospedeiro para se propagar. mas. T I L A H . 75. é necessária a instalação de firewalls em todos os computadores dessa rede. (CESPE/TJ-DFT/Nível Superior/2013) Worm é um software que. (CESPE/MPE-PI/Técnico Ministerial/Área: Administrativa/2012) Worms são programas maliciosos que se autorreplicam em redes de computadores anexados a algum outro programa existente e instalado em computadores da rede. (CESPE/PREVIC/Técnico Administrativo – Nível Médio/2011) Entre os atributos de segurança da informação.br | Profa. (CESPE/TRT-10RJ/Analista/2013) A transferência de arquivos para pendrives constitui uma forma segura de se realizar becape. Patrícia Quintão 74. a disponibilidade e a autenticidade.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . infecta um programa. (Cespe/Câmara dos Deputados/ Arquiteto e Engenheiros/2012) Para garantir que os computadores de uma rede local não sofram ataques vindos da Internet. R B . (Cespe/Câmara dos Deputados/ Arquiteto e Engenheiros/2012) Ao se realizar um procedimento de backup de um conjunto de arquivos e pastas selecionados. diferentemente dos vírus. 80. (CESPE/Câmara dos Deputados/ Arquiteto e Engenheiros/2012) Os worms. infectam computadores. www.T W W W 79. S O S R 77. Patrícia Lima Quintão 199 . No entanto. Patrícia Quintão Existem diversos 81.br | Profa.pontodosconcursos. 82. 86. tal solução não garante a integridade da informação. pois baseia-se em criptografia simétrica de uma única chave. (CESPE/Oficial Técnico de Inteligência/Área de Desenvolvimento e Manutenção de Sistemas – ABIN/2010) As assinaturas digitais atuam sob o princípio básico da confidencialidade da informação. (CESPE/TCU/Técnico Federal de Controle Externo/2012) Por meio de certificados digitais. (CESPE/Técnico Econômica Federal-NM1/2010) Para assinar uma mensagem digital.Profa. a tecnologia adequada a ser utilizada nessa situação será o IpV6. uma vez que conferem a autenticação da identidade do remetente de uma mensagem. é correto inferir que a conexão utilizada por esse usuário estará cifrada com o uso de pendrive. (CESPE/2010/Caixa/Técnico Bancário) A assinatura digital facilita a identificação de uma comunicação. FEDERAL/PERITO: ÁREA 3 . Algoritmos simétricos são geralmente mais eficientes computacionalmente que os assimétricos e por isso são preferidos para cifrar grandes massas de dados ou para operações online. www. (CESPE/2002/POLÍCIA COMPUTAÇÃO) Sistemas criptográficos são ditos simétricos ou de chave secreta quando a chave utilizada para cifrar é a mesma utilizada para decifrar. que deve ser conferida por meio de tecnologias adicionais de criptografia. (CESPE/AL-ES/Procurador/2011) Caso o usuário acesse uma página na Internet e lhe seja apresentado um certificado digital válido. 87.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . o remetente usa uma chave privada. Bancário/Carreira administrativaCaixa 84. é possível assinar digitalmente documentos a fim de garantir o sigilo das informações contidas em tais documentos. Caso um usuário pretenda impedir que o tráfego com origem na Internet faça conexão com seu computador pessoal.com. 85. (CESPE/AL-ES/Cargos de Nível Médio/2011) dispositivos que protegem tanto o acesso a um computador quanto a toda uma rede. Sistemas assimétricos ou de chave pública utilizam chaves distintas para cifrar e decifrar. 83. Item correto. Item errado. M O C . Item errado. Letra B. Letra C. Item correto. Item correto. Letra C. Letra A. Letra A. Letra E. Letra E.T W W W Letra B. Item correto. Letra B. Item correto. Item errado. Letra B. Letra C. R B . Letra C. Item correto. Letra A. Letra E. Letra D. Letra D. Item errado. Item correto. Item errado. Item errado. Letra B. Letra B. Patrícia Lima Quintão 200 . Item errado.pontodosconcursos. Item correto. Item errado. Item correto.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . Letra C. Letra D. Letra D. Letra A. Letra E. Item correto. Item correto. Letra D. Letra C. Item errado. Letra C. Item correto. Letra E. Item errado. Letra C. Item errado. Letra D. Letra E. Letra E. Item errado. Letra B. Item errado. S O S R U C N O C A T I L A H Gabarito 45464748495051525354555657585960616263646566676869707172737475767778798081828384858687- www. Item errado. Item correto. Letra B. Letra E. Letra D. Item errado. Letra A. Letra B.com. Letra B. . Letra D. Letra A. Item errado. Letra B. Item errado.Profa. Item errado. Item correto. Letra B. Letra E. Letra D. Item errado. Letra C. Item errado. Letra D.br | Profa. Letra E. Item errado. Item errado. Item errado. Letra B. Item correto. Patrícia Quintão 1234567891011121314151617181920212223242526272829303132333435363738394041424344- Letra C. 2014. Tecnologia GMER do avast! atinge pontuação máxima em testes de detecção de rootkits . 2012. Gen/Método.br | Profa.Profa. B. D. 2007. y. 3ª. Disponível em: <http://cartilha.2010.html. Edição.com.com.superdownloads. PATRÍCIA LIMA. E.Tecnologia da Informação p/ SEFAZ-RS – Turma: 04 Foco: Fundatec e Similares Aula 01 – Segurança da Informação . Rio de Janeiro: Campus. A. MAUSER. PATRÍCIA LIMA. Disponível em: http://www. Ed. Gen/Método. RIBEIRO. PATRÍCIA LIMA.br/materias/tecnologia-gmer-avast-atingepontuacao-maxima-testes-deteccao-rootkits. ALBUQUERQUE. 1001 Questões Comentadas de Informática Cespe.. Segurança de Redes em Ambientes Cooperativos. ed. Notas de aula da disciplina Segurança da Informação.com. Guia Oficial para Formação de Gestores em Segurança da Informação.cert. 2014 (Será liberado em agosto/2014).2013 www.pdf>. ESET. QUINTÃO. 2006. 1ª. GEUS.br/threat-center/amenazas/Rootkit/2584. Novo! e QUINTÃO. Versão 4. 2013. RAMOS. T. BASTOS. Cartilha de Segurança para Internet.pontodosconcursos.. 2002. ABNT NBR ISO/IEC 27002:2005 – Tecnologia da Informação – Técnicas de Segurança – Código de Prática para a Gestão de Segurança da Informação (antiga 17799:2005).. P. Rio Grande do Sul: ZOUK.. NAKAMURA.br/livro/cartilha-seguranca-internet. http://www.L. Segurança no Desenvolvimento de Software. Edição. A. Diógenes.0.2ª edição. AVAST. 2014. R. LAYRA.eset. Patrícia Quintão Bibliografia QUINTÃO. Novatec. Patrícia Lima Quintão 201 . Informática-FCC-Questões Comentadas Organizadas por Assunto. A. Certificação Security + . 1. CERTBR. Ed. Ed.