Aula 01

CURSO ON-LINE PACOTE DE QUESTES COMENTADAS PARA MPU NOES DE INFORMTICA EM EXERCCIOS PROFESSORA: PATRCIA LIMA QUINTO AULA
A 1 CONCEITOS BSICOS DE SEGURANA DA INFORMAO Ol pessoal, tudo bem!!! Trago aqui o curso de Informtica em Exerccios para o estudo da disciplina de "Noes de Informtica", que far parte do concurso para o Ministrio Pblico da Unio (MPU). Como sabemos que a chave para voc ter um excelente resultado na prova de informtica est no estudo disciplinado e na resoluo constante de inmeras questes, este curso foi criado para auxili-lo neste grande desafio, rumo sua aprovao. Esta a nossa aula inicial do curso. Em nossas cinco aulas de informtica sero apresentadas mais de 250 questes a fim de familiarizar voc com o estilo de questes normalmente utilizado pelo CESPE. Cabe ressaltar que, de forma adicional, tambm utilizaremos questes de outras bancas para complementar ou mesmo para introduzir um determinado contedo. Sempre que fizermos isso ser levando em conta o formato e a profundidade das questes de informtica que costumamos encontrar nas provas da organizadora deste certame. Em momentos anteriores, o CESPE chegou a alterar alguns estilos de questes na prova de informtica, e todas as novas questes estavam mapeadas em nossos complementos, portanto, iremos mant-los em nossa disciplina, ok! O pblico-alvo deste curso o concursando que j possui algum contato com a disciplina, e quer rever os principais conceitos e se familiarizar com o estilo de questes que vai encontrar no dia da prova. Em determinados momentos, antes de apresentar as questes, disponibilizarei alguns pontos de maior relevncia, para melhor fixao da matria, espero que aproveitem! Antes de partir para o desenvolvimento dos exerccios, gostaria de me apresentar. Vamos l! Sou a Profa Patrcia Lima Quinto. Atualmente ministro aulas de informtica (parte bsica e especfica para os alunos da rea de TI-) no Ponto dos Concursos, e leciono as disciplinas Redes de Computadores, Protocolos de Redes, Segurana da Informao, Sistemas de Informao Gerencial, Governana de TI, Gerncia de Projetos, Anlise e Projeto de Sistemas etc nos cursos especficos da rea de TI, tanto na graduao, quanto na ps-graduao. Tambm, coordeno a rea de Segurana da Informao na Prefeitura de Juiz de Fora (MG).
v.3.0 www.pontodosconcursos.com.br
CURSO ON-LINE PACOTE DE QUESTES COMENTADAS PARA MPU NOES DE INFORMTICA EM EXERCCIOS PROFESSORA: PATRCIA LIMA QUINTO Quanto minha formao, sou mestre em Engenharia de Sistemas e Computao pela COPPE/UFRJ, ps-graduada em Gerncia de Informtica e bacharel em Informtica pela Universidade Federal de Viosa (UFV). Sou membro da Sociedade Brasileira de Computao e do Comit Brasileiro de Processamento de Dados da ABNT, que cria as normas sobre gesto da Segurana da Informao no Brasil; tenho certificaes tcnicas na rea de segurana, redes e percia forense; alm de artigos publicados a nvel nacional e internacional com temas da nossa rea. E como no poderia deixar de ser, nas horas vagas, tambm sou concurseira, tendo j sido nomeada para assumir os seguintes cargos: Analista de Sistemas/SERPRO; Analista Judicirio (rea de Informtica)/Tribunal Regional Federal - 2 Regio; Analista de Sistemas/Prefeitura de Juiz de Fora; Professora Titular do Curso de Sistemas de Informao/Faculdade Metodista Granbery e do curso de Tecnologia em Redes de Computadores/Faculdade Estcio de S, Coordenadora Pedaggica e Professora do Curso de Ps Graduao em Segurana da Informao da Faculdade Metodista Granbery, dentre outros. Bem, passada a apresentao inicial, espero que este curso de Noes de Informtica em Exerccios do Ponto dos Concursos seja de grande valia para o seu estudo, fazendo-o superar os desafios vindouros na prova! Detalhes do curso As aulas de informtica sero agrupadas por assuntos, conforme disposio listada no quadro a seguir. AULA 1 2 CONTEDO DA AULA Conceitos bsicos de segurana da informao. Internet e Intranet. Utilizao de tecnologias, ferramentas, aplicativos e procedimentos associados a Internet/Intranet. Ferramentas e aplicativos de navegao, de correio eletrnico, de grupos de discusso, de busca e pesquisa. Principais aplicativos comerciais para: edio de textos e planilhas, gerao de material escrito e multimdia (Microsoft Office). Principais aplicativos comerciais para: edio de textos e planilhas, gerao de material escrito e multimdia (Br.Office). Ambientes Windows XP e Windows 7.
3 4
v. 3.0
www.pontodosconcursos.com.br
CURSO ON-LINE PACOTE DE QUESTES COMENTADAS PARA MPU NOES DE INFORMTICA EM EXERCCIOS PROFESSORA: PATRCIA LIMA QUINTO Hoje abordaremos o tema Segurana da Informao. As demais aulas esto estruturadas conforme o quadro anterior, dando nfase aos contedos de maior relevncia a este certame. Crticas e/ou sugestes so bem-vindas e podero ser enviadas para patricia@pontodosconcursos.com.br. Agora, como esse assunto de grande importncia para a prova, no percamos tempo, e vamos ao trabalho!!!! Um forte abrao Profa Patrcia Lima Quinto O que significa SEGURANA? colocar tranca nas portas de sua casa? ter as suas informaes guardadas de forma suficientemente segura para que pessoas sem autorizao no tenham acesso a elas? Vamos nos preparar para que a prxima vtima no seja voc !!! A segurana uma palavra que est presente em nosso cotidiano e refere-se a um estado de proteo, em que estamos livres de perigos e incertezas. A Tecnologia da informao s se torna uma ferramenta capaz de alavancar verdadeiramente os negcios, quando seu uso est vinculado s medidas de proteo dos dados corporativos, para assegurar a sobrevivncia da empresa e a continuidade dos negcios da organizao. Segurana da informao o processo de proteger a informao de diversos tipos de ameaas externas e internas para garantir a continuidade dos negcios, minimizar os danos aos negcios e maximizar o retorno dos investimentos e as oportunidades de negcio. A segurana da informao no deve ser tratada como um fator isolado e tecnolgico apenas, mas sim como a gesto inteligente da informao em todos os ambientes, desde o ambiente tecnolgico passando pelas aplicaes, infraestrutura e as pessoas. Solues pontuais isoladas no resolvem toda a problemtica associada segurana da informao. Segurana se faz em pedaos, porm todos eles integrados, como se fossem uma corrente.
v. 3.0
CURSO ON-LINE PACOTE DE QUESTES COMENTADAS PARA MPU NOES DE INFORMTICA EM EXERCCIOS PROFESSORA: PATRCIA LIMA QUINTO
Segurana se faz protegendo todos os elos da corrente, ou seja, todos os ativos (fsicos, tecnolgicos e humanos) que compem seu negcio. Afinal, o poder de proteo da corrente est diretamente associado ao elo mais fraco! Em uma corporao, a segurana est ligada a tudo o que manipula direta ou indiretamente a informao (inclui-se a tambm a prpria informao e os usurios!!!), e que merece proteo. Esses elementos so chamados de ativos, e podem ser divididos em: tangveis: informaes impressas, mveis, hardware (Ex.:impressoras, scanners); intangveis: marca de um produto, nome da empresa, confiabilidade de um rgo federal etc; lgicos: informaes armazenadas em uma rede, sistema ERP (sistema de gesto integrada) etc; fsicos: galpo, sistema de eletricidade, estao de trabalho etc; humanos: funcionrios. Os ativos so os elementos que sustentam a operao do negcio e estes sempre traro consigo VULNERABILIDADES que, por sua vez, submetem os ativos a AMEAAS. Quanto maior for a organizao maior ser sua dependncia com relao informao, que pode estar armazenada de vrias formas: impressa em papel, em meios digitais (discos, fitas, DVDs, disquetes, pendrives etc), na mente das pessoas, em imagens armazenadas em fotografias/filmes... Nesse sentido, propsito da segurana proteger os elementos que fazem parte da comunicao, so eles: as informaes; os equipamentos e sistemas que oferecem suporte a elas; as pessoas que as utilizam.
v. 3.0
CURSO ON-LINE PACOTE DE QUESTES COMENTADAS PARA MPU NOES DE INFORMTICA EM EXERCCIOS PROFESSORA: PATRCIA LIMA QUINTO Princpios da segurana da informao A segurana da informao busca proteger os ativos de uma empresa ou indivduo com base na preservao de alguns princpios. Vamos ao estudo de cada um deles!! Os quatro princpios considerados centrais ou principais, mais comumente cobrados em provas, so a confidencialidade, a integridade, a disponibilidade e a autenticidade ( possvel encontrar a sigla CIDA, ou DICA, para fazer meno a estes princpios!). D I C A isponibilidade ntegridade onfidencialidade utenticidade
Figura. Mnemnico DICA Confidencialidade (sigilo): a garantia de que a informao no ser conhecida por quem no deve. O acesso s informaes deve ser limitado, ou seja, somente as pessoas explicitamente autorizadas podem acess-las. Perda de confidencialidade significa perda de segredo. Se uma informao for confidencial, ela ser secreta e dever ser guardada com segurana, e no divulgada para pessoas no-autorizadas. Exemplo: o nmero do seu carto de crdito s poder ser conhecido por voc e pela loja onde usado. Se esse nmero for descoberto por algum mal-intencionado, o prejuzo causado pela perda de confidencialidade poder ser elevado, j que podero se fazer passar por voc para realizar compras pela Internet, proporcionando-lhe prejuzos financeiros e uma grande dor de cabea! Integridade: esse princpio destaca que a informao deve ser mantida na condio em que foi liberada pelo seu proprietrio, garantindo a sua proteo contra mudanas intencionais, indevidas ou acidentais. Em outras palavras, a garantia de que a informao que foi armazenada a que ser recuperada!!! A quebra de integridade pode ser considerada sob 2 aspectos: 1. alteraes nos elementos que suportam a informao - so feitas alteraes na estrutura fsica e lgica em que uma informao est armazenada. Por exemplo quando so alteradas as configuraes de um sistema para ter acesso a informaes restritas;
v. 3.0
CURSO ON-LINE PACOTE DE QUESTES COMENTADAS PARA MPU NOES DE INFORMTICA EM EXERCCIOS PROFESSORA: PATRCIA LIMA QUINTO 2. alteraes do contedo dos documentos: ex1.: imagine que algum invada o notebook que est sendo utilizado para realizar a sua declarao do Imposto de Renda deste ano, e, momentos antes de voc envi-la para a Receita Federal a mesma alterada sem o seu consentimento! Neste caso, a informao no ser transmitida da maneira adequada, o que quebra o princpio da integridade; ex2: alterao de sites por hackers (vide a figura seguinte, retirada de http://www.attrition.org).
Figura. Site que teve seu contedo alterado indevidamente Disponibilidade: a garantia de que a informao deve estar disponvel, sempre que seus usurios (pessoas e empresas autorizadas) necessitarem, no importando o motivo. Em outras palavras, a garantia que a informao sempre poder ser acessada!!! Como exemplo, h quebra do princpio da disponibilidade quando voc decidir enviar a sua declarao do Imposto de Renda pela Internet, no ltimo dia possvel, e o site da Receita Federal estiver indisponvel. Autenticidade: a capacidade de garantir a identidade de uma pessoa (fsica ou jurdica) que acessa as informaes do sistema ou de um servidor (computador) com quem se estabelece uma transao (de comunicao, como um e-mail, ou comercial, como uma venda on-line). por meio da autenticao que se confirma a identidade da pessoa ou entidade que presta ou acessa as informaes.
v. 3.0
CURSO ON-LINE PACOTE DE QUESTES COMENTADAS PARA MPU NOES DE INFORMTICA EM EXERCCIOS PROFESSORA: PATRCIA LIMA QUINTO Assim, desejamos entregar a informao CORRETA, para a pessoa CERTA, no momento CORRETO, confirmando a IDENTIDADE da pessoa ou entidade que presta ou acessa as informaes!!! Entenderam?? Eis a essncia da aplicao dos quatro princpios acima destacados. Ainda, cabe destacar que a perda de pelo menos um desses princpios j ir ocasionar impactos ao negcio (a surgem os incidentes de segurana!!) Outros princpios podem ser tambm levados em considerao. So eles: Confiabilidade: pode ser caracterizada como a condio em que um sistema de informao presta seus servios de forma eficaz e eficiente, atendendo s especificaes de suas funcionalidades, dentro de condies definidas. Ou melhor, um sistema de informao ir "desempenhar o papel que foi proposto para si. No-repdio (irretratabilidade): a garantia de que um agente no consiga negar (dizer que no foi feito) uma operao ou servio que modificou ou criou uma informao. Tal garantia condio necessria para a validade jurdica de documentos e transaes digitais. S se pode garantir o no-repdio quando houver autenticidade e integridade (ou seja, quando for possvel determinar quem mandou a mensagem e garantir que a mesma no foi alterada). Legalidade: aderncia do sistema legislao. Auditoria: a possibilidade de rastrear o histrico dos eventos de um sistema para determinar quando e onde ocorreu uma violao de segurana, bem como identificar os envolvidos nesse processo. Privacidade: diz respeito ao direito fundamental de cada indivduo de decidir quem deve ter acesso aos seus dados pessoais. A privacidade a capacidade de um sistema manter incgnito um usurio (capacidade de um usurio realizar operaes em um sistema sem que seja identificado), impossibilitando a ligao direta da identidade do usurio com as aes por este realizadas. Privacidade uma caracterstica de segurana requerida, por exemplo, em eleies secretas. Uma informao privada deve ser vista, lida ou alterada somente pelo seu dono. Esse princpio difere da confidencialidade, pois uma informao pode ser considerada confidencial, mas no privada.
v. 3.0
CURSO ON-LINE PACOTE DE QUESTES COMENTADAS PARA MPU NOES DE INFORMTICA EM EXERCCIOS PROFESSORA: PATRCIA LIMA QUINTO Quando falamos em segurana da informao, estamos nos referindo a salvaguardas para manter a confidencialidade, integridade, disponibilidade e demais aspectos da segurana das informaes dentro das necessidades do cliente! Vulnerabilidades de Segurana Vulnerabilidade: ponto pelo qual algum pode ser atacado, molestado ou ter suas informaes corrompidas. Um conceito bastante comum para o termo vulnerabilidade -> trata-se de falha no projeto, implementao ou configurao de software ou sistema operacional que, quando explorada por um atacante, resulta na violao da segurana de um computador. Em outras palavras, vulnerabilidade uma fragilidade que poderia ser explorada por uma ameaa para concretizar um ataque. O conhecimento do maior nmero de vulnerabilidades possveis permite equipe de segurana tomar medidas para proteo, evitando assim ataques e conseqentemente perda de dados. No h uma receita ou lista padro de vulnerabilidades. Esta deve ser levantada junto a cada organizao ou ambiente em questo. Sempre se deve ter em mente o que precisa ser protegido e de quem precisa ser protegido de acordo com as ameaas existentes. Podemos citar como exemplo inicial, uma anlise de ambiente em uma sala de servidores de conectividade e Internet com a seguinte descrio: a sala dos servidores no possui controle de acesso fsico!! Eis a vulnerabilidade detectada nesse ambiente. Outros exemplos de vulnerabilidades: uso de senhas no encriptadas, mal formuladas e mal utilizadas; ambientes com informaes sigilosas com acesso no controlado; software mal desenvolvido; hardware sem o devido acondicionamento e proteo; falta de atualizao de software e hardware; falta de mecanismos de monitoramento e controle (auditoria); ausncia de pessoal capacitado para a segurana; inexistncia de polticas de segurana. A seguir sero citadas as vulnerabilidades existentes organizao, segundo classificao prpria da rea: Vulnerabilidades Fsicas So aquelas presentes em ambientes onde se armazenam as informaes, como: instalaes prediais fora do padro;
v. 3.0 www.pontodosconcursos.com.br
8
em
uma
CURSO ON-LINE PACOTE DE QUESTES COMENTADAS PARA MPU NOES DE INFORMTICA EM EXERCCIOS PROFESSORA: PATRCIA LIMA QUINTO ausncia de recursos para combate a incndios; CPDs mal planejados; disposio desorganizada de fios de energia e cabos de rede; ausncia de controle de acesso fsico etc.
Vulnerabilidades de Hardware Compreendem possveis defeitos de fabricao, erros de configurao ou falhas nos equipamentos. Como exemplos citam-se erros decorrentes da instalao, desgaste, obsolescncia ou m utilizao do equipamento etc. importante observar detalhes como o dimensionamento adequado do equipamento, ou seja, se sua capacidade de armazenamento, processamento e velocidade esto compatveis com as necessidades, de modo a no sub ou super dimension-lo. Vulnerabilidades de Software So possveis falhas de programao, erros de instalao e configurao, que podem, por exemplo, causar acesso indevido, vazamento de informaes, perda de dados etc. Sistemas operacionais so altamente visados para ataque, pois atravs deles possvel ter acesso ao hardware do computador. Ataques como estes so de alta gravidade, e podem comprometer todo o sistema. Um grande nmero de empresas, ao identificarem alguma vulnerabilidade em seus softwares, lanam boletins informativos a fim de alertar os usurios, e normalmente disponibilizam pacotes de atualizao, denominados Service Packs, para correo desta vulnerabilidade. Vulnerabilidades de Armazenamento Relacionadas com a forma de utilizao das mdias (disquetes, CD-ROMs, fitas magnticas, discos rgidos dos servidores etc) em que esto armazenadas as informaes, como armazenamento de disquetes em local inadequado etc. Vulnerabilidades de Comunicao Relacionadas com o trfego de informaes, independente do meio de transmisso, podendo envolver ondas de rdio, satlite, fibra tica etc. Podem, por exemplo, permitir acesso no autorizado ou perda de dados durante a transmisso de uma informao.
v. 3.0
CURSO ON-LINE PACOTE DE QUESTES COMENTADAS PARA MPU NOES DE INFORMTICA EM EXERCCIOS PROFESSORA: PATRCIA LIMA QUINTO A escolha do meio de transmisso e das medidas de segurana de suma importncia, pois a informao poder ser interceptada antes de chegar ao destino. Uma opo de segurana nesse contexto envolveria por exemplo o uso de criptografia1. Vulnerabilidades Humanas Relacionadas aos danos que as pessoas podem causar s informaes e ao ambiente tecnolgico que as suporta, podendo ser intencionais ou no. Podem ocorrer devido a desconhecimentos das medidas de segurana, falta de capacitao para execuo da tarefa dentro dos princpios de segurana, erros e omisses. Ameaas aos Sistemas de Informao Ameaa algo que possa provocar danos segurana da informao, prejudicar as aes da empresa e sua sustentao no negcio, mediante a explorao de uma determinada vulnerabilidade. Em outras palavras, uma ameaa tudo aquilo que pode comprometer a segurana de um sistema, podendo ser acidental (falha de hardware, erros de programao, desastres naturais, erros do usurio, bugs de software, uma ameaa secreta enviada a um endereo incorreto etc) ou deliberada (roubo, espionagem, fraude, sabotagem, invaso de hackers, entre outros). Ameaa pode ser uma pessoa, uma coisa, um evento ou uma ideia capaz de causar dano a um recurso, em termos de confidencialidade, integridade, disponibilidade etc. Seguindo o exemplo da sala dos servidores, poderamos identificar a ameaa da seguinte forma: fraudes, sabotagens, roubo de informaes, paralisao dos servios. Basicamente existem dois tipos de ameaas: internas e externas. Ameaas internas: esto presentes, independentemente das empresas estarem ou no conectadas Internet. Podem causar desde incidentes leves at os mais graves, como a inatividade das operaes da empresa. Ameaas externas: so aqui representadas por todas as tentativas de ataque e desvio de informaes vindas de fora da empresa. Normalmente essas tentativas so realizadas por pessoas com a inteno de prejudicar a empresa ou para utilizar seus recursos para invadir outras empresas.
Criptografia o processo de converter dados em um formato que no possa ser lido por um outro usurio, a no ser o usurio que criptografou o arquivo.
v. 3.0
10
Malware - Um tipo de ameaa que deve ser considerado!! Os malwares tambm se enquadram na categoria de ameaas. Malware uma expresso usada para todo e quaisquer softwares maliciosos, ou seja, programados com o intuito de prejudicar os sistemas de informao, alterar o funcionamento de programas, roubar informaes, causar lentides de redes computacionais, dentre outros. Resumindo, malware so programas que executam deliberadamente aes mal-intencionadas em um computador!! Os tipos mais comuns de malware: vrus, worms, bots, cavalos de tria, spyware, keylogger, screenlogger, esto descritos a seguir. Vrus: so pequenos cdigos de programao maliciosos que se agregam a arquivos e so transmitidos com eles. Quando o arquivo aberto na memria RAM, o vrus tambm , e, a partir da se propaga infectando, isto , inserindo cpias de si mesmo e se tornando parte de outros programas e arquivos de um computador. O vrus depende da execuo do programa ou arquivo hospedeiro para que possa se tornar ativo e dar continuidade ao processo de infeco. Alguns vrus so inofensivos, outros, porm, podem danificar um sistema operacional e os programas de um computador. Worms: so programas parecidos com vrus, mas que na verdade so capazes de se propagarem automaticamente atravs de redes, enviando cpias de si mesmo de computador para computador (observe que os worms apenas se copiam, no infectam outros arquivos, eles mesmos so os arquivos!!). Alm disso, geralmente utilizam as redes de comunicao para infectar outros computadores (via e-mails, Web, FTP, redes das empresas etc).
v. 3.0
11
CURSO ON-LINE PACOTE DE QUESTES COMENTADAS PARA MPU NOES DE INFORMTICA EM EXERCCIOS PROFESSORA: PATRCIA LIMA QUINTO Diferentemente do vrus, o worm no embute cpias de si mesmo em outros programas ou arquivos e no necessita ser explicitamente executado para se propagar. Sua propagao se d atravs da explorao de vulnerabilidades existentes ou falhas na configurao de softwares instalados em computadores. Bots: de modo similar ao worm, um programa capaz de se propagar automaticamente, explorando vulnerabilidades existentes ou falhas na configurao de software instalado em um computador. Adicionalmente ao worm, dispe de mecanismos de comunicao com o invasor, permitindo que o bot seja controlado remotamente. Os bots esperam por comandos de um hacker, podendo manipular os sistemas infectados, sem o conhecimento do usurio. Nesse ponto, cabe destacar um termo que j foi cobrado vrias vezes em prova!! Trata-se do significado do termo botnet, juno da contrao das palavras robot (bot) e network (net). Uma rede infectada por bots denominada de botnet (tambm conhecida como rede zumbi), sendo composta geralmente por milhares desses elementos maliciosos que ficam residentes nas mquinas, aguardando o comando de um invasor. Um invasor que tenha controle sobre uma botnet pode utiliz-la para aumentar a potncia de seus ataques, por exemplo, para enviar centenas de milhares de e-mails de phishing ou spam, desferir ataques de negao de servio etc (CERT.br, 2006). Trojan horse (Cavalo de tria): um programa aparentemente inofensivo que entra em seu computador na forma de carto virtual, lbum de fotos, protetor de tela, jogo etc, e que, quando executado (com a sua autorizao!), parece lhe divertir, mas, por trs abre portas de comunicao do seu computador para que ele possa ser invadido. Por definio, o cavalo de tria distingue-se de um vrus ou de um worm por no infectar outros arquivos, nem propagar cpias de si mesmo automaticamente. O trojans ficaram famosos na Internet pela facilidade de uso, e por permitirem a qualquer pessoa possuir o controle de um outro computador apenas com o envio de um arquivo. Os trojans atuais so divididos em duas partes, que so: o servidor e o cliente. Normalmente, o servidor encontra-se oculto em algum outro arquivo e, no momento em que o arquivo executado, o servidor se instala e se oculta no computador da vtima. Nesse momento, o computador j pode ser acessado pelo cliente, que enviar informaes para o servidor executar certas operaes no computador da vtima. Spyware: programa que tem por finalidade monitorar as atividades de um sistema e enviar as informaes coletadas para terceiros.
v. 3.0
12
CURSO ON-LINE PACOTE DE QUESTES COMENTADAS PARA MPU NOES DE INFORMTICA EM EXERCCIOS PROFESSORA: PATRCIA LIMA QUINTO Keylogger: um tipo de malware que capaz de capturar e armazenar as teclas digitadas pelo usurio no teclado de um computador. Dentre as informaes capturadas podem estar o texto de um e-mail, dados digitados na declarao de Imposto de Renda e outras informaes sensveis, como senhas bancrias e nmeros de cartes de crdito. Em muitos casos, a ativao do keylogger condicionada a uma ao prvia do usurio, como por exemplo, aps o acesso a um site especfico de comrcio eletrnico ou Internet Banking. Normalmente, o keylogger contm mecanismos que permitem o envio automtico das informaes capturadas para terceiros (por exemplo, atravs de e-mails). Screenlogger: forma avanada de keylogger, capaz de armazenar a posio do cursor e a tela apresentada no monitor, nos momentos em que o mouse clicado, ou armazenar a regio que circunda a posio onde o mouse clicado.
Voc Sabia!!! Qual a diferena entre Crackers e Hackers? Um do bem e o outro do mal?? O termo hacker ganhou, junto opinio pblica influenciada pelos meios de comunicao, uma conotao negativa, que nem sempre corresponde realidade!! Os hackers, por sua definio geral, so aqueles que utilizam seus conhecimentos para invadir sistemas, no com o intuito de causar danos s vtimas, mas sim como um desafio s suas habilidades. Eles invadem os sistemas, capturam ou modificam arquivos para provar sua capacidade e depois compartilham suas proezas com os colegas. No tm a inteno de prejudicar, mas sim de apenas demonstrar que conhecimento poder. Exmios programadores e conhecedores dos segredos que envolvem as redes e os computadores, eles geralmente no gostam de ser confundidos com crackers. Os crackers so elementos que invadem sistemas para roubar informaes e causar danos s vtimas. O termo crackers tambm uma denominao utilizada para aqueles que decifram cdigos e destroem protees de software. Atualmente, a imprensa mundial atribui qualquer incidente de segurana a hackers, em seu sentido genrico. A palavra cracker no vista nas reportagens, a no ser como cracker de senhas, que um software utilizado para descobrir senhas ou decifrar mensagens cifradas.
v. 3.0
13
CURSO ON-LINE PACOTE DE QUESTES COMENTADAS PARA MPU NOES DE INFORMTICA EM EXERCCIOS PROFESSORA: PATRCIA LIMA QUINTO Risco Alguns conceitos necessitam ser expostos para o correto entendimento do que risco e suas implicaes. Risco a medida da exposio qual o sistema computacional est sujeito. Depende da probabilidade de uma ameaa atacar o sistema e do impacto resultante desse ataque. Smola (2003, p. 50) diz que risco a probabilidade de ameaas explorarem vulnerabilidades, provocando perdas de confidencialidade, integridade e disponibilidade, causando, possivelmente, impactos nos negcios. Como exemplo de um risco pode-se imaginar um funcionrio insatisfeito e um martelo ao seu alcance; nesse caso o funcionrio poderia danificar algum ativo da informao. Assim pode-se entender como risco tudo aquilo que traz danos s informaes e com isso promove perdas para a organizao. Risco: medido pela probabilidade de uma ameaa acontecer e causar algum dano potencial empresa. Existem algumas maneiras de se classificar o grau de risco no mercado de segurana, mas de uma forma simples, poderamos tratar como alto, mdio e baixo risco. No caso do nosso exemplo da sala dos servidores, poderamos dizer que, baseado na vulnerabilidade encontrada, a ameaa associada de alto risco. Ciclo da Segurana Como mostrado na figura seguinte os ativos de uma organizao precisam ser protegidos, pois esto sujeitos a vulnerabilidades. Se as vulnerabilidades aumentam, aumentam-se os riscos permitindo a explorao por uma ameaa e a concretizao de um ataque. Se estas ameaas crescem, aumentam-se ainda mais os riscos de perda da integridade, disponibilidade e confidencialidade da informao podendo causar impacto nos negcios. Nesse contexto, medidas de segurana devem ser tomadas, os riscos devem ser analisados e diminudos para que se estabelea a segurana dos ativos da informao.
v. 3.0
14
Ciclo da segurana
protege
Ativos
sujeitos
Medidas de Segurana
diminui
Riscos
aumenta
Vulnerabilidades
limitados Impactos no negcio

aumenta aumenta aumenta
permitem
Ameaas
Confidencialidade Integridade Disponibilidade causam perdas
Figura - Ciclo da Segurana da Informao Fonte: (MOREIRA, 2001) As polticas de segurana da informao devem fornecer meios para garantir que as informaes de uso restrito no sero acessadas, copiadas ou codificadas por pessoas no autorizadas. Uma das maneiras de se evitar o acesso indevido a informaes confidenciais atravs da codificao ou cifragem da informao, conhecida como criptografia, fazendo com que apenas as pessoas s quais estas informaes so destinadas, consigam compreend-las. Incidente Incidente de segurana da informao: indicado por um simples ou por uma srie de eventos de segurana da informao indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operaes do negcio e ameaar a segurana da informao. Exemplos de alguns incidentes de segurana da informao: invaso digital; violao de padres de segurana de informao.
v. 3.0
15
Figura. Impacto de incidentes de segurana nos negcios Ataques Ataque uma alterao no fluxo normal de uma informao que afeta um dos servios oferecidos pela segurana da informao. Ele decorrente de uma vulnerabilidade que explorada por um atacante em potencial. A figura seguinte representa um fluxo de informaes e quatro ameaas possveis para a segurana de um sistema de informao: Interrupo: ataque na transmisso da mensagem, em que o fluxo de dados interrompido. Um exemplo pode ser a danificao de componentes de hardware ou a queda do sistema de comunicao por sabotagem. Interceptao: este um ataque sobre a confidencialidade. Ocorre quando uma pessoa no autorizada tem acesso s informaes confidenciais de outra. Um exemplo seria a captura de dados na rede ou a cpia ilegal de um arquivo. Modificao: este um ataque integridade da mensagem. Ocorre quando uma pessoa no autorizada, alm de interceptar as mensagens, altera o contedo da mensagem e envia o contedo alterado para o destinatrio. Fabricao: este um ataque sobre a autenticidade. Uma pessoa no autorizada insere mensagens no sistema assumindo o perfil de um usurio autorizado.
v. 3.0
16
Figura - Exemplos de ataques contra um sistema de informao Os principais tipos de ataque so: Ataques baseados em senhas Uma estratgia bsica para todo incio de ataque a quebra de senha de um usurio vlido, seja por tentativa e erro, ataque do dicionrio ou inclusive engenharia social. O ataque ao arquivo de senha mais conhecido chamado de ataque de dicionrio. O ataque consiste na cifragem das palavras de um dicionrio, e posterior comparao com os arquivos de senhas de usurios. Desta forma quando uma palavra do dicionrio cifrada coincidisse com a senha cifrada de um usurio, o atacante teria obtido uma senha. Depois de obter acesso a rede alvo, o hacker j pode ter acesso a arquivos do usurio o qual quebrou a senha, ler e-mails, manter o usurio vlido sem poder acessar a rede. Sniffing o processo de captura das informaes da rede por meio de um software de escuta de rede (sniffer), que capaz de interpretar as informaes transmitidas no meio fsico. Para isso, a pilha TCP/IP configurada para atuar em modo promscuo, ou seja, desta forma ir repassar todos os pacotes para as camadas de aplicao, mesmo que no sejam endereados para a mquina. Esse um ataque confidencialidade dos dados, e costuma ser bastante nocivo, uma vez que boa parte dos protocolos mais utilizados em uma rede (FTP, POP3, SMTP, IMAP, Telnet) transmitem o login e a senha em aberto pela rede. Esse tipo de ataque pode ser feito de duas formas: forma passiva: s aplicado em meios no comutados, como barramento e hub, e difcil de ser detectado, pois o atacante costuma no interferir no trfego normal da rede;
17
CURSO ON-LINE PACOTE DE QUESTES COMENTADAS PARA MPU NOES DE INFORMTICA EM EXERCCIOS PROFESSORA: PATRCIA LIMA QUINTO forma ativa: geralmente aplicado em dispositivos comutados, como switch e sua deteco fcil. Os switches mais antigos possuem um cache de resoluo de endereos MAC e portas pequeno e recursos de processamento mais limitados. O atacante ento faz um bombardeio de pacotes com endereos MAC e IP modificados, para encher o cache. Com isso, o switch acaba repassando os pacotes transmitidos para todas as portas, atuando como um hub, com objetivo de no deixar a rede parar de funcionar. Spoofing Spoofing a modificao de campos de identificao de pacotes de forma que o atacante possa atuar se passando por outro host. IP Spoofing (Falsificao de endereo IP) A falsificao de endereo IP no exatamente um ataque, ela na verdade utilizada juntamente com outros ataques para esconder a identidade do atacante. Consiste na manipulao direta dos campos do cabealho de um pacote para falsificar o nmero IP da mquina que dispara a conexo. Quando um host A quer se conectar ao B, a identificao feita atravs do nmero IP que vai no cabealho, por isto, se o IP do cabealho enviado pelo host A for falso (IP de um host C), o host B, por falta de outra forma de identificao, acredita estar se comunicando com o host A. Atravs desta tcnica, o hacker consegue atingir os seguintes objetivos: obter acesso a mquinas que confiam no IP que foi falsificado, capturar conexes j existentes e burlar os filtros de pacotes dos firewalls que bloqueiam o trfego baseado nos endereos de origem e destino. Denial of Service (DoS) Os ataques de negao de servio (denial of service - DoS) consistem em impedir o funcionamento de uma mquina ou de um servio especfico. No caso de ataques a redes, geralmente ocorre que os usurios legtimos de uma rede no consigam mais acessar seus recursos. O DoS acontece quando um atacante envia vrios pacotes ou requisies de servio de uma vez, com objetivo de sobrecarregar um servidor e, como conseqncia, impedir o fornecimento de um servio para os demais usurios, causando prejuzos. No DoS o atacante utiliza um computador para tirar de operao um servio ou computador(es) conectado(s) Internet!!
v. 3.0
18
CURSO ON-LINE PACOTE DE QUESTES COMENTADAS PARA MPU NOES DE INFORMTICA EM EXERCCIOS PROFESSORA: PATRCIA LIMA QUINTO Como exemplo deste tipo de ataque tem-se o seguinte contexto: gerar uma sobrecarga no processamento de um computador, de modo que o usurio no consiga utiliz-lo; gerar um grande trfego de dados para uma rede, ocasionando a indisponibilidade dela; indisponibilizar servios importantes de um provedor, impossibilitando o acesso de seus usurios. Cabe ressaltar que se uma rede ou computador sofrer um DoS, isto no significa que houve uma invaso, pois o objetivo de tais ataques indisponibilizar o uso de um ou mais computadores, e no invadi-los. Distributed Denial of Service (DDoS) -> So os ataques coordenados! Em dispositivos com grande capacidade de processamento, normalmente, necessria uma enorme quantidade de requisies para que o ataque seja eficaz. Para isso, o atacante faz o uso de uma botnet (rede de computadores zumbis sob comando do atacante) para bombardear o servidor com requisies, fazendo com que o ataque seja feito de forma distribuda (Distributed Denial of Service DDoS). No DDoS ataque de negao de servio distribudo - , um conjunto de computadores utilizado para tirar de operao um ou mais servios ou computadores conectados Internet. SYN Flood O SYN Flood um dos mais populares ataques de negao de servio. O ataque consiste basicamente em se enviar um grande nmero de pacotes de abertura de conexo, com um endereo de origem forjado (IP Spoofing), para um determinado servidor. O servidor ao receber estes pacotes, coloca uma entrada na fila de conexes em andamento, envia um pacote de resposta e fica aguardando uma confirmao da mquina cliente. Como o endereo de origem dos pacotes falso, esta confirmao nunca chega ao servidor. O que acontece que em um determinado momento, a fila de conexes em andamento do servidor fica lotada, a partir da, todos os pedidos de abertura de conexo so descartados e o servio inutilizado. Esta inutilizao persiste durante alguns segundos, pois o servidor ao descobrir que a confirmao est demorando demais, remove a conexo em andamento da lista. Entretanto se o atacante persistir em mandar pacotes seguidamente, o servio ficar inutilizado enquanto ele assim o fizer.
v. 3.0
19
CURSO ON-LINE PACOTE DE QUESTES COMENTADAS PARA MPU NOES DE INFORMTICA EM EXERCCIOS PROFESSORA: PATRCIA LIMA QUINTO Ataques de Loop Dentro desta categoria de ataque o mais conhecido o Land. Ele consiste em mandar para um host um pacote IP com endereo de origem e destino iguais, o que ocasiona um loop na tabela de conexes de uma mquina atacada. Para executar um ataque como este, basta que o hacker tenha um software que permita a manipulao dos campos dos pacotes IP. Ataques via ICMP O protocolo ICMP (Internet Control Message Protocol) utilizado no transporte de mensagens de erro e de controle. Essencialmente um protocolo de transferncia de mensagens entre gateways e estaes. Como todos os protocolos do conjunto TCP/IP, o ICMP no tem como ter garantia se a informao recebida verdadeira, e por este motivo, um atacante pode utilizar o ICMP para interromper conexes j estabelecidas, como por exemplo enviando uma mensagem ICMP de host inacessvel para uma das mquinas. Ping of Death Ele consiste em enviar um pacote IP com tamanho maior que o mximo permitido (65.535 bytes) para a mquina atacada. O pacote enviado na forma de fragmentos (porque nenhuma rede permite o trfego de pacotes deste tamanho), e quando a mquina destino tenta montar estes fragmentos, inmeras situaes podem ocorrer: a maioria trava, algumas reinicializam, outras exibem mensagens no console, etc. Engenharia Social o mtodo de se obter dados importantes de pessoas atravs da velha lbia. No popular o tipo de vigarice mesmo pois assim que muitos habitantes do underground da internet operam para conseguir senhas de acesso, nmeros de telefones, nomes e outros dados que deveriam ser sigilosos.
A engenharia social a tcnica que explora as fraquezas humanas e sociais, em vez de explorar a tecnologia. A tecnologia avana e passos largos mas a condio humana continua na mesma em relao a critrios ticos e morais. Enganar os outros deve ter sua origem na pr-histria portanto o que mudou foram apenas os meios para isso. Em redes corporativas que so alvos mais apetitosos para invasores, o perigo ainda maior e pode estar at sentado ao seu lado. Um colega poderia tentar obter sua senha de acesso mesmo tendo uma
v. 3.0
20
CURSO ON-LINE PACOTE DE QUESTES COMENTADAS PARA MPU NOES DE INFORMTICA EM EXERCCIOS PROFESSORA: PATRCIA LIMA QUINTO prpria, pois uma sabotagem feita com sua senha parece bem mais interessante do que com a senha do prprio autor. Phishing (ou Phishing scam) Foi um termo criado para descrever o tipo de fraude que se d atravs do envio de mensagem no solicitada, que se passa por comunicao de uma instituio conhecida, como um banco, rgo do governo (Receita Federal, INSS e Ministrio do Trabalho so os mais comuns) ou site popular. Nesse caso, a mensagem procura induzir o usurio a acessar pginas fraudulentas (falsificadas), projetadas para furtar dados pessoais e financeiros de usurios desavisados. As duas figuras seguintes apresentam iscas (e-mails) utilizadas em golpes de phishing, uma envolvendo o Banco de Brasil e a outra o Serasa.
Figura. Isca de Phishing Relacionada ao Banco do Brasil
Figura. Isca de Phishing Relacionada ao SERASA A palavra phishing (de fishing) vem de uma analogia criada pelos fraudadores, em que iscas (e-mails) so usadas para pescar informaes sensveis (senhas e dados financeiros, por exemplo) de usurios da Internet.
v. 3.0
21
CURSO ON-LINE PACOTE DE QUESTES COMENTADAS PARA MPU NOES DE INFORMTICA EM EXERCCIOS PROFESSORA: PATRCIA LIMA QUINTO Atualmente, este termo vem sendo utilizado tambm para se referir aos seguintes casos: mensagem que procura induzir o usurio instalao de cdigos maliciosos, projetados para furtar dados pessoais e financeiros; mensagem que, no prprio contedo, apresenta formulrios para o preenchimento e envio de dados pessoais e financeiros de usurios. Dumpster diving ou trashing O Dumpster diving ou trashing a atividade na qual o lixo verificado em busca de informaes sobre a organizao ou a rede da vtima, como nomes de contas e senhas, informaes pessoais e confidenciais. Muitos dados sigilosos podem ser obtidos dessa maneira.
Melhores Prticas de Segurana Algumas prticas so recomendadas na preveno/deteco malware, como:
de
ter instalado, em seu computador e no da empresa, um programa antivrus capaz de detectar a presena de malware em e-mails ou arquivos do computador. Os antivrus so programas de computador capazes de reconhecer diversos cdigos computacionais maliciosos, impedir seu funcionamento, retir-los do sistema e em diversos casos, desfazer o mal feito ocasionado pelos mesmos. Esse utilitrio conta, muitas vezes, com a vacina capaz de matar o malware e deixar o arquivo infectado SEM a ameaa. Alguns fornecedores de programas antivrus distribuem atualizaes regulares do seu produto. Muitos programas antivrus tm um recurso de atualizao automtica. Quando o programa antivrus atualizado, informaes sobre novos vrus so adicionadas a uma lista de vrus a serem verificados. Quando no possui a vacina, ele, pelo menos, tem como detectar o vrus, informando ao usurio acerca do perigo que est iminente; no executar ou abrir arquivos recebidos por e-mail ou por outras fontes, mesmo que venham de pessoas conhecidas (caso seja necessrio abrir o arquivo, certifique-se de que ele foi verificado pelo programa antivrus); procurar utilizar na elaborao de documentos formatos menos suscetveis propagao de vrus, tais como RTF, ou PDF, dentre outros;
v. 3.0
22
CURSO ON-LINE PACOTE DE QUESTES COMENTADAS PARA MPU NOES DE INFORMTICA EM EXERCCIOS PROFESSORA: PATRCIA LIMA QUINTO no abrir arquivos anexos a e-mails de pessoas que voc no conhece; idem para os e-mails de pessoas conhecidas tambm! (Os Worms atuais atacam um computador e usam a sua listagem de endereos para mandar um e-mail para cada pessoa da lista como se fosse o dono do computador!), etc. evitar utilizao de software piratas; desconfiar de arquivos com duplas-extenses (ex: .txt.exe ou jpg.vbs); evitar troca de dados com computadores pblicos (Ex: lan house); manter uma rotina eficiente de cpia dos dados armazenados (backup).
A conscientizao dos usurios deve ser uma atitude crescente nas empresas, assim como crescente a quantidade de malware e sua periculosidade. Plano de conscientizao de usurios Uma das etapas mais importantes e difceis de se implementar em um processo de Gesto de segurana da informao o que chamamos de segurana em pessoas. Por se tratar de pessoas, temos que tratar o lado da conscincia e da tica de cada um dos funcionrios de uma empresa. Todos devem estar conscientes e sabendo da importncia da informao para a empresa. Para que isto funcione preciso que seja feito um grande trabalho de conscientizao dos funcionrios, existem diversas formas de fazer um Plano de conscientizao, mas mostraremos algumas etapas que devem ser seguidas para o sucesso do plano. Divulgao da segurana da informao Este o primeiro passo a se tomar para que a empresa conhea a existncia da rea de segurana da informao e dos conceitos bsicos sobre o assunto, bem como o que a empresa espera de cada funcionrio. Para isto recomendvel que sejam feitas palestras sobre o assunto e que estas sejam oficializadas atravs de uma convocao formal da empresa para os funcionrios, nestas palestras iniciais interessante que sejam mostrados casos reais de empresas que foram afetadas por falta de segurana da informao. Frum de Segurana da informao Para continuar o plano de conscientizao, necessrio que um frum multi-disciplinar seja criado e que este seja composto por funcionrios de diversas reas e que estes exeram funes
v. 3.0
23
CURSO ON-LINE PACOTE DE QUESTES COMENTADAS PARA MPU NOES DE INFORMTICA EM EXERCCIOS PROFESSORA: PATRCIA LIMA QUINTO diferenciadas na empresa. Reunies do frum devem ser agendadas periodicamente e assuntos de segurana devem ser tratados. Termos de Responsabilidade essencial que seja elaborado e assinado por todos um termo de responsabilidade sobre as informaes, que define os deveres e responsabilidades de cada funcionrio, bem como as punies cabveis em caso do no cumprimento do mesmo. Firewall O firewall um dos principais dispositivos de segurana em uma rede de computadores. Ele realiza a filtragem dos pacotes e, ento, bloqueia as transmisses no permitidas. Tem como objetivo evitar que ameaas provenientes da Internet se espalham na rede interna de um determinado ambiente. O firewall atua entre a rede externa e interna, controlando o trfego de informaes que existem entre elas, procurando se certificar que este trfego confivel, de acordo com a poltica de segurana do site acessado. Tambm pode ser utilizado para atuar entre redes com necessidades de segurana distintas. Aps termos visto os conceitos primordiais para a prova, vamos s questes!!
v. 3.0
24
CURSO ON-LINE PACOTE DE QUESTES COMENTADAS PARA MPU NOES DE INFORMTICA EM EXERCCIOS PROFESSORA: PATRCIA LIMA QUINTO LISTA DAS QUESTES COMENTADAS 1. (CESPE/2010/MINISTRIO DA SADE /ANALISTA TCNICOADMINISTRATIVO) Acerca de conceitos de organizao de arquivos e Internet, julgue o item seguinte. [Firewall o mecanismo usado em redes de computadores para controlar e autorizar o trfego de informaes, por meio do uso de filtros que so configurados de acordo com as polticas de segurana estabelecidas.] Resoluo A banca especificou corretamente o conceito para o termo firewall. Em outras palavras, basicamente, o firewall um sistema para controlar o acesso s redes de computadores, e foi desenvolvido para evitar acessos no autorizados em uma rede local ou rede privada de uma corporao. O firewall funciona como sendo uma ligao entre redes de computadores que restringem o trfego de comunicao de dados entre a parte da rede que est dentro ou antes do firewall, protegendo-a assim das ameaas da rede de computadores que est fora ou depois do firewall. Esse mecanismo de proteo geralmente utilizado para proteger uma rede menor (como os computadores de uma empresa) de uma rede maior (como a Internet).
Um firewall deve ser instalado no ponto de conexo entre as redes, onde, atravs de regras de segurana, controla o trfego que flui para dentro e para fora da rede protegida. Pode ser desde um nico computador, um software sendo executado no ponto de conexo entre as redes de computadores ou um conjunto complexo de equipamentos e softwares.
v. 3.0
25
CURSO ON-LINE PACOTE DE QUESTES COMENTADAS PARA MPU NOES DE INFORMTICA EM EXERCCIOS PROFESSORA: PATRCIA LIMA QUINTO Deve-se observar que isso o torna um potencial gargalo para o trfego de dados e, caso no seja dimensionado corretamente, poder causar atrasos e diminuir a performance da rede. GABARITO: item VERDADEIRO. 2. (CESPE/2010/TRE.BA/ANALISTA/Q.27) Firewall um recurso utilizado para a segurana tanto de estaes de trabalho como de servidores ou de toda uma rede de comunicao de dados. Esse recurso possibilita o bloqueio de acessos indevidos a partir de regras preestabelecidas. Resoluo Outra questo bem parecida com a anterior, que destaca claramente o conceito de firewall! Vrios objetivos para a segurana de uma rede de computadores podem ser atingidos com a utilizao de firewalls. Dentre eles destacam-se: segurana: evitar que usurios externos, vindos da Internet, tenham acesso a recursos disponveis apenas aos funcionrios da empresa autorizados. Com o uso de firewalls de aplicao, pode-se definir que tipo de informao os usurios da Internet podero acessar (somente servidor de pginas e correio eletrnico, quando hospedados internamente na empresa); confidencialidade: pode ocorrer que empresas tenham informaes sigilosas veiculadas publicamente ou vendidas a concorrentes, como planos de ao, metas organizacionais, entre outros. A utilizao de sistemas de firewall de aplicao permite que esses riscos sejam minimizados; produtividade: comum os usurios de redes de uma corporao acessarem sites na Internet que sejam improdutivos como sites de pornografia, piadas, chat etc. O uso combinado de um firewall de aplicao e um firewall de rede pode evitar essa perda de produtividade; performance: o acesso Internet pode tornar-se lento em funo do uso inadequado dos recursos. Pode-se obter melhoria de velocidade de acesso a Internet mediante controle de quais sites podem ser visitados, quem pode visit-los e em que horrios sero permitidos. A opo de gerao de relatrios de acesso pode servir como recurso para anlise dos acessos.
GABARITO: item VERDADEIRO.
v. 3.0
26
CURSO ON-LINE PACOTE DE QUESTES COMENTADAS PARA MPU NOES DE INFORMTICA EM EXERCCIOS PROFESSORA: PATRCIA LIMA QUINTO 3. (CESPE/2010/UERN/TCNICO DE NVEL SUPERIORAdaptada) A respeito de segurana da informao, julgue o item seguinte. [Firewall um sistema constitudo de software e hardware que verifica informaes oriundas da Internet ou de uma rede de computadores e que permite ou bloqueia a entrada dessas informaes, estabelecendo, dessa forma, um meio de proteger o computador de acesso indevido ou indesejado]. Resoluo Firewall um conjunto formado por hardware, software e uma poltica de acesso instalado entre redes, com o propsito de segurana. A funo do firewall controlar o trfego entre duas ou mais redes, com o objetivo de fornecer segurana, prevenir ou reduzir ataques ou invases s bases de dados corporativas, a uma (ou algumas) das redes, que normalmente tm informaes e recursos que no devem estar disponveis aos usurios da(s) outra(s) rede(s). No contexto da questo, a assertiva tornou-se falsa, j que no so todas as informaes que sero bloqueadas, ele realiza a filtragem dos pacotes e, ento, bloqueia SOMENTE as transmisses NO PERMITIDAS! GABARITO: item FALSO. 4. (CESPE/2010/UERN/TCNICO DE NVEL SUPERIORAdaptada) A respeito de segurana da informao, julgue o item seguinte. [Vrus, worms e cavalos-de-troia so exemplos de software mal-intencionados que tm o objetivo de, deliberadamente, prejudicar o funcionamento do computador. O firewall um tipo de malware que ajuda a proteger o computador contra cavalos-de-troia]. Resoluo A assertiva tornou-se falsa ao afirmar que o firewall malware, um absurdo! O malware (malicious software) destinado a se infiltrar em um sistema de computador de com o intuito de causar algum dano ou roubo de (confidenciais ou no), e no esse o objetivo do firewall. GABARITO: item FALSO. um tipo de um software forma ilcita, informaes
v. 3.0
27
CURSO ON-LINE PACOTE DE QUESTES COMENTADAS PARA MPU NOES DE INFORMTICA EM EXERCCIOS PROFESSORA: PATRCIA LIMA QUINTO Instrues: Para responder questo seguinte, considere as informaes abaixo: OBJETIVO: O Ministrio Pblico do Governo Federal de um pas deseja modernizar seu ambiente tecnolgico de informtica. Para tanto, adquirir equipamentos de computao eletrnica avanados e redefinir seus sistemas de computao a fim de agilizar seus processos internos e tambm melhorar seu relacionamento com a sociedade. REQUISITOS PARA ATENDER AO OBJETIVO: 1 - O ambiente de rede de computadores, para troca de informaes exclusivamente internas do Ministrio, dever usar a mesma tecnologia da rede mundial de computadores. 2 - O acesso a determinadas informaes somente poder ser feito por pessoas autorizadas. 3 - Os funcionrios podero se comunicar atravs de um servio de conversao eletrnica em modo instantneo (tempo real). 4 - A comunicao eletrnica tambm poder ser feita via internet no modo no instantneo 5 - Para garantir a recuperao em caso de sinistro, as informaes devero ser copiadas em mdias digitais e guardadas em locais seguros. 5. (FCC/2007/MPU/Tcnico-rea Administrativa/Q.22) Os 2 e 5 especificam correta e respectivamente requisitos de uso de (A) antivrus e backup. (B) firewall e digitalizao. (C) antivrus e firewall. (D) senha e backup. (E) senha e antivrus. Resoluo Vamos aos comentrios dos itens: Item A. Software antivrus um aplicativo utilizado para detectar, anular e eliminar vrus e outros tipos de cdigos maliciosos de um computador. Item FALSO.
v. 3.0
28
CURSO ON-LINE PACOTE DE QUESTES COMENTADAS PARA MPU NOES DE INFORMTICA EM EXERCCIOS PROFESSORA: PATRCIA LIMA QUINTO Item B. O firewall um dos principais dispositivos de segurana em uma rede de computadores. Ele realiza a filtragem dos pacotes e, ento, bloqueia as transmisses no permitidas. Tem como objetivo evitar que ameaas provenientes da Internet se espalhem na rede interna de um determinado ambiente. O firewall atua entre a rede externa e interna, controlando o trfego de informaes que existem entre elas, procurando se certificar de que este trfego confivel, de acordo com a poltica de segurana do site acessado. Tambm pode ser utilizado para atuar entre redes com necessidades de segurana distintas. Digitalizao o processo de converso de um dado analgico para um formato de representao digital. Item FALSO. Item C. Antivrus e firewall, conforme visto, no esto relacionados aos itens dos 2 e 5. Item FALSO. Item D. Os itens senha e backup enquadram-se perfeitamente na definio dos pargrafos 2 e 5. O 2 destaca que o acesso a determinadas informaes somente poder ser feito por pessoas autorizadas. Nesse caso, para realizar o acesso a pessoas autorizadas em aplicaes necessrio implementar controle de acesso lgico atravs de usurio e senha. O 5 destaca que para garantir a recuperao em caso de sinistro, as informaes devero ser copiadas em mdias digitais e guardadas em locais seguros. Esse pargrafo est relacionado ao processo de backup que consiste na realizao de cpia de segurana de dados, com o objetivo de permitir que dados originais sejam restaurados em caso da perda de sinistros. Item E. Conforme visto no item A, o antivrus no corresponde ao que deveria ser especificado no 5. Item FALSO. GABARITO: letra D. 6. (CESPE/2010/TRE.BA/Q.22) Uma das formas de bloquear o acesso a locais no autorizados e restringir acessos a uma rede de computadores por meio da instalao de firewall, o qual pode ser instalado na rede como um todo, ou apenas em servidores ou nas estaes de trabalho. Resoluo
29
CURSO ON-LINE PACOTE DE QUESTES COMENTADAS PARA MPU NOES DE INFORMTICA EM EXERCCIOS PROFESSORA: PATRCIA LIMA QUINTO Firewall um filtro que monitora o trfego das comunicaes que passam de uma rede para outra e, de acordo com regras preestabelecidas, permite ou bloqueia seu passo. O firewall NO consegue bloquear o acesso a locais no autorizados (como por exemplo, locais fsicos, como salas, sales etc). Estamos falando de "mundo fsico", "mundo real" no qual o firewall no tem vez! Por isso essa assertiva FALSA. GABARITO: item FALSO. 7. (MOVENS/2009/Hospital Regional de Santa Maria-DF/Tcnico de Informtica/Q20) O uso de computadores em rede traz benefcios como velocidade e praticidade. Porm, existem alguns riscos envolvidos, como acesso no autorizado a informaes. Por esse motivo, algumas tecnologias foram criadas para estabelecer meios de controle das comunicaes. A respeito desse assunto, leia o texto abaixo, preencha corretamente as lacunas e, em seguida, assinale a opo correta. O _________ um dos principais dispositivos de segurana em uma rede de computadores. Ele realiza a _________ dos _________ e, ento, bloqueia as _________ no permitidas. A seqncia correta : (A) roteador / checagem / usurios / alteraes (B) hub / anlise / arquivos transmitidos / transferncias (C) firewall / filtragem / pacotes / transmisses (D) ids / alterao / sites / informaes Resoluo O firewall um conjunto de componentes colocados entre duas redes, permitindo que alguns pacotes passem e outros no. Eles garantem que TODO o trfego de DENTRO PARA FORA da rede, e VICE-VERSA, passe por ele. Somente o trfego autorizado pela poltica de segurana pode atravessar o firewall e, finalmente, ele deve ser prova de violaes. A figura seguinte destaca um exemplo de firewall isolando a rede interna de uma organizao da rea pblica da Internet.
Figura. Firewall isolando a rede interna da Internet
v. 3.0
30
CURSO ON-LINE PACOTE DE QUESTES COMENTADAS PARA MPU NOES DE INFORMTICA EM EXERCCIOS PROFESSORA: PATRCIA LIMA QUINTO Complementando, o firewall pessoal um software ou programa utilizado para proteger um computador contra acessos no autorizados vindos da Internet. Nesse caso, se algum ou algum programa suspeito tentar se conectar ao seu computador, um firewall bem configurado entra em ao para bloquear tentativas de invaso sua mquina. GABARITO: letra C. 8. (CESPE/2010/EMBASA/Analista de Saneamento - Analista de TI rea: Desenvolvimento) Com referncia aos fundamentos de segurana relacionados a criptografia, firewalls, certificados e autenticao, julgue o item seguinte. ( ) O princpio da autenticao em segurana diz que um usurio ou processo deve ser corretamente identificado. Alm disso, todo processo ou usurio autntico est automaticamente autorizado para uso dos sistemas. Resoluo por meio da autenticao que se confirma a identidade do usurio ou processo (programa) que presta ou acessa as informaes. No entanto, afirmar que TODO processo ou usurio autntico est automaticamente autorizado falsa, j que essa autorizao depender do nvel de acesso que ele possui. Em linhas gerais, autenticao o processo de provar que voc quem diz ser. Autorizao o processo de determinar o que permitido que voc faa depois que voc foi autenticado!! GABARITO: item FALSO. 9. (CESPE/2010/TRE.BA/ANALISTA/Q.28) Confidencialidade, disponibilidade e integridade da informao so princpios bsicos que orientam a definio de polticas de uso dos ambientes computacionais. Esses princpios so aplicados exclusivamente s tecnologias de informao, pois no podem ser seguidos por seres humanos. Resoluo Os seres humanos tambm so considerados como ativos em segurana da informao e merecem tambm uma ateno especial por parte das organizaes. Alis, os usurios de uma organizao so considerados at como o elo mais fraco da segurana, e so os mais vulnerveis. Portanto, eles tm que seguir as regras predefinidas pela poltica de segurana da organizao, e esto sujeitos a punies para os casos de descumprimento das mesmas! No adianta investir recursos financeiros somente em tecnologias e esquecer de treinar os usurios da
v. 3.0
31
CURSO ON-LINE PACOTE DE QUESTES COMENTADAS PARA MPU NOES DE INFORMTICA EM EXERCCIOS PROFESSORA: PATRCIA LIMA QUINTO organizao, pois erros comuns (como o uso de um pendrive contaminado por vrus na rede) poderiam vir a comprometer o ambiente que se quer proteger! GABARITO: item FALSO. 10. (CESPE/2009/IBAMA/ANALISTA AMBIENTAL/Q.29) Para criar uma cpia de segurana da planilha, tambm conhecida como backup, suficiente clicar a ferramenta .
Resoluo Backup refere-se cpia de dados de um dispositivo para o outro com o objetivo de posteriormente os recuperar (os dados), caso haja algum problema. Essa cpia pode ser realizada em vrios tipos de mdias, como CDs, DVSs, fitas DAT etc de forma a proteg-los de qualquer eventualidade. O boto GABARITO: item FALSO. 11. A figura ilustrada a seguir destaca uma janela do Internet Explorer 7 (IE 7), que exibe uma pgina da Web. Com relao a essa figura e ao IE 7, julgue os prximos itens. utilizado para salvar um documento!!
I.A pgina da Web em exibio, bastante popular no Brasil e no mundo, funciona como uma enciclopdia de baixo custo, mantida pela empresa Wikipdia. Para acessar artigos escritos por especialistas, o usurio paga uma taxa mensal, de baixo valor. Essa pgina tem sido considerada um recurso valioso para a democratizao da informao, devido ao baixo custo pago pelos usurios (Fonte: CESPE/2007/BB).
v. 3.0
32
CURSO ON-LINE PACOTE DE QUESTES COMENTADAS PARA MPU NOES DE INFORMTICA EM EXERCCIOS PROFESSORA: PATRCIA LIMA QUINTO II.Na janela Opes da Internet, que pode ser executada a partir de opo do menu Ferramentas, possvel encontrar, em uma das guias dessa janela, ferramenta que permite bloquear a exibio de pop-ups. III. Por meio do boto , possvel que um usurio tenha acesso a recurso de filtragem de phishing do IE7, o que permite aumentar a segurana, restringindo-se o acesso a stios que se passam por stios regulares, tais como de bancos e lojas virtuais, e so utilizados por criminosos cibernticos para roubar informaes do usurio (Fonte: CESPE/2008/BB, com adaptaes). IV.Os cookies so vrus muito utilizados para rastrear e manter as preferncias de um usurio ao navegar pela Internet. Indique a opo que contenha todas as afirmaes verdadeiras. A) I e II B) II e III C) III e IV D) I e III E) II e IV Resoluo Item I. Para acesso base de informaes do portal comunitrio da Wikipdia (editado em cerca de trinta lnguas diferentes) no se exige pagamento. Esse Website colaborativo tem sido um recurso valioso para a democratizao da informao (pode ser escrito por especialistas e quaisquer outras pessoas conhecedoras do tema em questo), em virtude de permitir a edio coletiva de documentos usando um sistema que no necessita que o contedo tenha que ser revisto antes da sua publicao. Item FALSO. Item II. Ao clicar aparecer a janela seguir). Observe, ao bloqueador VERDADEIRO. no menu Ferramentas -> Opes da Internet, ir intitulada Opes da Internet (vide a figura listada a na aba (guia) privacidade da tela, a seo relacionada de pop-ups, mencionada nesta questo. Item
A janela pop-up, nada mais do que uma pequena janela extra que aberta no navegador quando voc visita uma pgina web ou acessa algum link especfico. Esta janela , geralmente, utilizada para fins publicitrios ou para mostrar alertas ao usurio. Interessante destacar que, por meio do boto da tela Opes da Internet, podem-se especificar endereos de stios (sites) para os quais permitida a exibio de pop-ups.
v. 3.0
33
Figura. Ferramentas -> Opes da Internet Item III. Mas, o que significa phishing? O phishing um tipo de fraude eletrnica, caracterizada por tentativas de adquirir informaes sensveis por meio de um site ou uma mensagem de e-mail fraudulenta. Um ataque de phishing muito comum comea com uma mensagem de e-mail que parece ser um aviso oficial de uma fonte confivel, por exemplo, um banco, uma administradora de cartes de crdito ou uma loja on-line de renome. Na mensagem de e-mail, os destinatrios so direcionados a um site fraudulento no qual so solicitados a fornecer informaes pessoais, por exemplo, o nmero ou a senha de uma conta. Essas informaes geralmente so usadas para roubo de identidade. Item VERDADEIRO. Como complemento, no IE 8.0, o filtro de phishing chama-se SmartScreen e est no Menu Segurana, conforme ilustrado na tela seguinte. O filtro do SmartScreen um recurso no Internet Explorer que ajuda a detectar sites de phishing e tambm pode ajud-lo a se proteger da instalao de softwares mal-intencionados ou malwares, que so programas que manifestam comportamento ilegal, viral, fraudulento ou mal-intencionado.
v. 3.0
34
Complementando, o Filtro do SmartScreen ajuda a proteg-los de trs maneiras: Ele executado em segundo plano enquanto voc navega pela Web, analisando sites e determinando se eles tm alguma caracterstica que possa ser considerada suspeita. Se encontrar sites suspeitos, o SmartScreen exibir uma mensagem dando a voc a oportunidade de enviar um comentrio e sugerindo que voc proceda com cautela. Verifica os sites visitados e compara com uma lista dinmica e atualizada de sites de phishing e sites de softwares malintencionados relatados. Se encontrar uma correspondncia, exibir uma notificao em vermelho do site que foi bloqueado para sua segurana. Tambm verifica arquivos baixados da Web e compara com a mesma lista dinmica de sites de softwares mal-intencionados relatados. Se encontrar uma correspondncia, exibir um aviso em vermelho notificando que o download foi bloqueado por segurana.
No Mozilla Firefox mais atual (verso 3.6.6) tambm existe uma opo relacionada a este tema. Para configur-la acesse o menu Ferramentas -> Opes, e, no item Segurana basta marcar as seguintes opes: "Bloquear sites avaliados como focos de ataques"; "Bloquear sites avaliados como falsos". Marque essa opo de preferncia se voc quiser que o Firefox bloqueie sites considerados como focos de ataques de segurana e os j avaliados como realmente falsos, utilizados nos golpes de phishing scam. Verses anteriores do Firefox disponibilizavam a opo "Alertar se o site visitado uma possvel fraude", que poderia ser marcada para o Firefox verificar se o site que voc est visitando pode ser uma tentativa de persuaso para que voc fornea informaes pessoais (esse golpe tambm conhecido como phishing).
v. 3.0
35
Item IV. Cookies no so vrus, e sim arquivos lcitos que permitem a identificao do computador cliente no acesso a uma pgina. Podem ser utilizados para guardar preferncias do usurio, bem como informaes tcnicas como o nome e a verso do browser do usurio. Item FALSO. GABARITO: letra B. 12. (CESPE/2009/ANATEL/TCNICO ADMINISTRATIVOAdaptada) Com o desenvolvimento da Internet e a migrao de um grande nmero de sistemas especializados de informao de grandes organizaes para sistemas de propsito geral acessveis universalmente, surgiu a preocupao com a segurana das informaes no ambiente da Internet. Acerca da segurana e da tecnologia da informao, julgue o item seguinte. ( ) A disponibilidade e a integridade so itens que caracterizam a segurana da informao. A primeira representa a garantia de que usurios autorizados tenham acesso a informaes e ativos associados quando necessrio, e a segunda corresponde garantia de que sistemas de informaes sejam acessveis apenas queles autorizados a acess-los. Resoluo O trecho que define a disponibilidade como "a garantia de que usurios autorizados tenham acesso a informaes e ativos associados quando necessrio" est correto, no entanto, a afirmativa de que a integridade "a garantia de que sistemas de informaes sejam acessveis apenas queles autorizados a acess-los" falsa (nesse caso o termo correto seria confidencialidade!).
v. 3.0
36
CURSO ON-LINE PACOTE DE QUESTES COMENTADAS PARA MPU NOES DE INFORMTICA EM EXERCCIOS PROFESSORA: PATRCIA LIMA QUINTO A disponibilidade garante que a informao e todos os canais de acesso ela estejam sempre disponveis quando um usurio autorizado quiser acess-la. Como dica para memorizao, temos que a confidencialidade o segredo e a disponibilidade poder acessar o segredo quando se desejar!!. J a integridade garante que a informao deve ser mantida na condio em que foi liberada pelo seu proprietrio, garantindo a sua proteo contra mudanas intencionais, indevidas ou acidentais a informao. Em outras palavras, a informao deve manter todas as caractersticas originais durante sua existncia. Estas caractersticas originais so as estabelecidas pelo proprietrio da informao quando da criao ou manuteno da informao (se a informao for alterada por quem possui tal direito, isso no invalida a integridade, ok!!). GABARITO: item FALSO. 13. (CESPE/2009/TCE-AC) Com relao a Internet e intranet, assinale a opo correta. A. O protocolo HTTPS foi criado para ser usado na Internet 2. B. Um dos principais problemas da Internet, a disseminao de vrus pode ser solucionado com a instalao de javascripts nos computadores dos usurios. C. A adoo da intranet nas organizaes tem sido uma opo mais econmica, comparada a opes que envolvam a aquisio de software e hardware de alto custo. D. Intranet e Internet so semelhantes por proporcionarem benefcios como colaborao entre os usurios, acesso fcil a informaes e servios disponveis, se diferenciando apenas quanto ao protocolo de transmisso de dados. E. Com a evoluo dos sistemas de informao, o futuro da intranet se fundir com a Internet, o que ir gerar a Internet 2, com uma capacidade de processar informaes 10 vezes superior atual. Resoluo Item A. O HTTPS (HTTP Seguro) um protocolo dotado de segurana, sendo muito utilizado em acesso remoto a sites de bancos e instituies financeiras com transferncia criptografada de dados. O HTTPS nada mais do que a juno dos protocolos HTTP e SSL (HTTP over SSL). Os protocolos SSL/TLS so protocolos de segurana, baseados em chave pblica, usados pelos servidores e navegadores da Web para autenticao mtua, integridade das mensagens e confidencialidade.
v. 3.0
37
CURSO ON-LINE PACOTE DE QUESTES COMENTADAS PARA MPU NOES DE INFORMTICA EM EXERCCIOS PROFESSORA: PATRCIA LIMA QUINTO Complementando, esse protocolo uma implementao do protocolo HTTP e foi projetado para a Internet convencional que utilizamos. A Internet 2, por sua vez, um projeto de rede de computadores de alta velocidade e performance. Sua criao tem um propsito educacional, unindo grandes centros universitrios e de pesquisa ao redor do mundo. O item A FALSO. Item B. JavaScript uma linguagem de programao criada pela Netscape em 1995, para validao de formulrios no lado cliente (programa navegador); interao com a pgina, dentre outros. A disseminao de vrus pode ser solucionada com o uso de um bom antivrus!! O item B FALSO. Item C. A implementao de uma intranet tem um custo bem mais acessvel. O item C VERDADEIRO. Item D. Intranets so redes que utilizam os mesmos recursos e protocolos da Internet, mas so restritas a um grupo predefinido de usurios de uma instituio especfica. O protocolo em questo o TCP/IP. O item D FALSO. Item E. A Internet 2 no fuso da intranet com a Internet, um absurdo! A Internet 2 j existe, inclusive no Brasil, e seu propsito inicial foi comentado no item a desta questo. O item E FALSO. GABARITO: letra C.
14. (CESPE/2009-04/MMA) Antivrus, worms, spywares e crackers so programas que ajudam a identificar e combater ataques a computadores que no esto protegidos por firewalls. Resoluo
v. 3.0
38
CURSO ON-LINE PACOTE DE QUESTES COMENTADAS PARA MPU NOES DE INFORMTICA EM EXERCCIOS PROFESSORA: PATRCIA LIMA QUINTO Os antivrus so programas de proteo contra vrus de computador bastante eficazes, protegendo o computador contra vrus, cavalos de tria e uma ampla gama de softwares classificados como malware. Como exemplos cita-se McAfee Security Center Antivrus, Panda Antivrus, Norton Antivrus, Avira Antivir Personal, AVG etc. J os worms e spywares so programas classificados como malware, tendo-se em vista que executam aes mal-intencionadas em um computador!! Worms: so programas parecidos com vrus, mas que na verdade so capazes de se propagarem automaticamente atravs de redes, enviando cpias de si mesmo de computador para computador (observe que os worms apenas se copiam, no infectam outros arquivos, eles mesmos so os arquivos!!). Alm disso, geralmente utilizam as redes de comunicao para infectar outros computadores (via e-mails, Web, FTP, redes das empresas etc). Diferentemente do vrus, o worm no embute cpias de si mesmo em outros programas ou arquivos e no necessita ser explicitamente executado para se propagar. Sua propagao se d atravs da explorao de vulnerabilidades existentes ou falhas na configurao de softwares instalados em computadores. Spyware: programa que tem por finalidade monitorar as atividades de um sistema e enviar as informaes coletadas para terceiros.
Os Crackers so indivduos dotados de sabedoria e habilidade para desenvolver ou alterar sistemas, realizar ataques a sistemas de computador, programar vrus, roubar dados bancrios, informaes, entre outras aes maliciosas. Item FALSO. 15. (CESPE/2009-04/MMA) A responsabilidade pela segurana de um ambiente eletrnico dos usurios. Para impedir a invaso das mquinas por vrus e demais ameaas segurana, basta que os usurios no divulguem as suas senhas para terceiros. Resoluo Tanto a empresa que cria e hospeda o ambiente eletrnico, quanto os usurios desse ambiente, devem entender a importncia da segurana, atuando como guardies da rede!! GABARITO: item FALSO.
v. 3.0
39
CURSO ON-LINE PACOTE DE QUESTES COMENTADAS PARA MPU NOES DE INFORMTICA EM EXERCCIOS PROFESSORA: PATRCIA LIMA QUINTO 16. (CESPE/2009-03/TRE-MG) Considerando informao, assinale a opo correta. a segurana da
A. A instalao de antivrus garante a qualidade da segurana no computador. B. Toda intranet consiste em um ambiente totalmente seguro porque esse tipo de rede restrito ao ambiente interno da empresa que implantou a rede. C. O upload dos arquivos de atualizao suficiente para a atualizao do antivrus pela Internet. D. O upload das assinaturas dos vrus detectados elimina-os. E. Os antivrus atuais permitem a atualizao de assinaturas de vrus de forma automtica, sempre que o computador for conectado Internet. Resoluo Item A. O antivrus uma das medidas que podem ser teis para melhorar a segurana do seu equipamento, desde que esteja atualizado. O item A FALSO. Item B. No podemos afirmar que a intranet de uma empresa totalmente segura, depende de como foi implementada. Item FALSO. Item C. O upload implica na transferncia de arquivo do seu computador para um computador remoto na rede, o que no o caso da questo. Item FALSO. Item D. No ser feito upload de assinaturas de vrus para a mquina do usurio. Um programa antivrus capaz de detectar a presena de malware (vrus, vermes, cavalos de tria, etc) em e-mails ou arquivos do computador. Esse utilitrio conta, muitas vezes, com a vacina capaz de matar o malware e deixar o arquivo infectado sem a ameaa. Alguns fornecedores de programas antivrus distribuem atualizaes regulares do seu produto. Muitos programas antivrus tm um recurso de atualizao automtica. Quando o programa antivrus atualizado, informaes sobre novos vrus so adicionadas a uma lista de vrus a serem verificados. Quando no possui a vacina, ele, pelo menos, tem como detectar o vrus, informando ao usurio acerca do perigo que est iminente. Item FALSO. Item E. Muitos programas antivrus tm um recurso de atualizao automtica. Item VERDADEIRO. Existem dois modos de transferncia de arquivo: upload e download. O upload o termo utilizado para designar a transferncia de um dado de um computador local para um equipamento remoto.
40
CURSO ON-LINE PACOTE DE QUESTES COMENTADAS PARA MPU NOES DE INFORMTICA EM EXERCCIOS PROFESSORA: PATRCIA LIMA QUINTO O download o contrrio, termo utilizado para designar a transferncia de um dado de um equipamento remoto para o seu computador. Exemplo: -se queremos enviar uma informao para o servidor de FTP - Estamos realizando um upload; -se queremos baixar um arquivo mp3 de um servidor - estamos fazendo download. GABARITO: letra E. 17. (CESPE/2008/PRF-POLICIAL RODOVIRIO FEDERAL) Com relao a vrus de computador, phishing, pharming e spam, julgue os itens seguintes. I. Uma das vantagens de servios webmail em relao a aplicativos clientes de correio eletrnico tais como o Mozilla ThunderbirdTM 2 est no fato de que a infeco por vrus de computador a partir de arquivos anexados em mensagens de e-mail impossvel, j que esses arquivos so executados no ambiente do stio webmail e no no computador cliente do usurio. II. Phishing e pharming so pragas virtuais variantes dos denominados cavalos-de-tria, se diferenciando destes por precisarem de arquivos especficos para se replicar e contaminar um computador e se diferenciando, entre eles, pelo fato de que um atua em mensagens de e-mail trocadas por servios de webmail e o outro, no. III. O uso de firewall e de software antivrus a nica forma eficiente atualmente de se implementar os denominados filtros anti-spam. IV. Se o sistema de nomes de domnio (DNS) de uma rede de computadores for corrompido por meio de tcnica denominada DNS cache poisoning, fazendo que esse sistema interprete incorretamente a URL (uniform resource locator) de determinado stio, esse sistema pode estar sendo vtima de pharming. V. Quando enviado na forma de correio eletrnico para uma quantidade considervel de destinatrios, um hoax pode ser considerado um tipo de spam, em que o spammer cria e distribui histrias falsas, algumas delas denominadas lendas urbanas. A quantidade de itens certos igual a
v. 3.0
41
CURSO ON-LINE PACOTE DE QUESTES COMENTADAS PARA MPU NOES DE INFORMTICA EM EXERCCIOS PROFESSORA: PATRCIA LIMA QUINTO A 1. B 2. C 3. D 4. E 5. Resoluo Item I. Voc pode vir a ser contaminado por vrus a partir de qualquer tipo de servio utilizado para receber e-mails, ou seja, ao abrir arquivos anexos tanto dos Webmails quanto de programas clientes de correio eletrnico (como Mozilla Thunderbird, Outlook Express, Outlook, etc). As mensagens de e-mail so um excelente veculo de propagao de vrus, sobretudo por meio dos arquivos anexos. Por isso, recomenda-se nunca baixar um arquivo tipo .exe (executveis) ou outros suspeitos. aconselhvel tambm nunca abrir e-mail desconhecido, exceto se for de um stio confivel, no sem antes observar os procedimentos de segurana. (Logo, o item I FALSO). Item II. O Phishing (ou Phishing scam) e o Pharming (ou DNS Poisoining) no so pragas virtuais. Phishing e Pharming so dois tipos de golpes na Internet, e, portanto, no so variaes de um cavalo de tria (trojan horse) que se trata de um programa aparentemente inofensivo que entra em seu computador na forma de carto virtual, lbum de fotos, protetor de tela, jogo, etc, e que, quando executado (com a sua autorizao!), parece lhe divertir, mas, por trs abre portas de comunicao do seu computador para que ele possa ser invadido. Normalmente consiste em um nico arquivo que necessita ser explicitamente executado. Para evitar a invaso, fechando as portas que o cavalo de tria abre, necessrio ter, em seu sistema, um programa chamado Firewall. (O item II FALSO). Item III. Para se proteger dos spams temos que instalar um anti-spam, uma nova medida de segurana que pode ser implementada independentemente do antivrus e do firewall. O uso de um firewall (filtro que controla as comunicaes que passam de uma rede para outra e, em funo do resultado permite ou bloqueia seu passo), software antivrus e filtros anti-spam so mecanismos de segurana importantes. (O item III FALSO). Item IV. O DNS (Domain Name System Sistema de Nome de Domnio) utilizado para traduzir endereos de domnios da Internet, como www.pontodosconcursos.com.br, em endereos IP, como
v. 3.0
42
CURSO ON-LINE PACOTE DE QUESTES COMENTADAS PARA MPU NOES DE INFORMTICA EM EXERCCIOS PROFESSORA: PATRCIA LIMA QUINTO 200.234.196.65. Imagine se tivssemos que decorar todos os IPs dos endereos da Internet que normalmente visitamos!! O Pharming envolve algum tipo de redirecionamento da vtima para sites fraudulentos, atravs de alteraes nos servios de resoluo de nomes (DNS). Complementando, a tcnica de infectar o DNS para que ele lhe direcione para um site fantasma que idntico ao original. (O item IV VERDADEIRO). Item V. Os hoaxes (boatos) so e-mails que possuem contedos alarmantes ou falsos e que, geralmente, tm como remetente ou apontam como autora da mensagem alguma instituio, empresa importante ou rgo governamental. Atravs de uma leitura minuciosa deste tipo de e-mail, normalmente, possvel identificar em seu contedo mensagens absurdas e muitas vezes sem sentido. Normalmente, os boatos se propagam pela boa vontade e solidariedade de quem os recebe. Isto ocorre, muitas vezes, porque aqueles que o recebem: confiam no remetente da mensagem; no verificam a procedncia da mensagem; no checam a veracidade do contedo da mensagem. Spam o envio em massa de mensagens de correio eletrnico (emails) NO autorizadas pelo destinatrio. Portanto, o hoax pode ser considerado um spam, quando for enviado em massa para os destinatrios, de forma no-autorizada. (O item V VERDADEIRO). GABARITO: letra B. 18. (CESPE/2008/TRT-1R/Analista Judicirio) Acerca de conceitos relacionados a redes de computadores, a intranet e Internet, assinale a opo correta. A. Uma caracterstica das redes do tipo VPN (virtual private networks) que elas nunca devem usar criptografia, devido a requisitos de segurana e confidencialidade. B. Uma intranet uma rede corporativa interna que permite a interligao de computadores de empresas. Devido aos requisitos mais estritos de segurana, as intranets no podem utilizar tecnologias que sejam empregadas na Internet, como, por exemplo, o protocolo TCP/IP. C. O programa WinZip pode permitir a compactao de arquivos e programas, fazendo com que ocupem menor espao de memria. comum o uso desse programa para diminuir o tamanho de arquivos que so enviados como anexos em mensagens de correio eletrnico.
v. 3.0
43
CURSO ON-LINE PACOTE DE QUESTES COMENTADAS PARA MPU NOES DE INFORMTICA EM EXERCCIOS PROFESSORA: PATRCIA LIMA QUINTO D. Os arquivos denominados cookies, tambm conhecidos como cavalos de tria, so vrus de computador, com inteno maliciosa, que se instalam no computador sem a autorizao do usurio, e enviam, de forma automtica e imperceptvel, informaes do computador invadido. E. Os programas denominados worm so, atualmente, os programas de proteo contra vrus de computador mais eficazes, protegendo o computador contra vrus, cavalos de tria e uma ampla gama de softwares classificados como malware. Resoluo Item A. Uma VPN (Virtual Private Network Rede Privada Virtual) uma rede privada (no de acesso pblico!) que usa a estrutura de uma rede pblica (como por exemplo, a Internet) para transferir seus dados (os dados devem estar criptografados para passarem despercebidos e inacessveis pela Internet). As VPNs so muito utilizadas para interligar filiais de uma mesma empresa, ou fornecedores com seus clientes (em negcios eletrnicos) atravs da estrutura fsica de uma rede pblica. O trfego de dados levado pela rede pblica utilizando protocolos no necessariamente seguros. VPNs seguras usam protocolos de criptografia por tunelamento que fornecem a confidencialidade (sigilo), autenticao e integridade necessrias para garantir a privacidade das comunicaes requeridas. Quando adequadamente implementados, estes protocolos podem assegurar comunicaes seguras atravs de redes inseguras. (O item A FALSO). Item B. A intranet pode ser definida como uma miniatura da Internet dentro da empresa, ou seja, uma rede corporativa interna, baseada nos protocolos e servios da Internet, de acesso restrito dos funcionrios. Outra definio: uma rede de comunicao interna que se assemelha ao servio da Web ou, em outras palavras, um site, com pginas e tudo mais, que contm informaes restritas aos funcionrios de uma instituio! Complementando, a extranet nada mais do que a parte de uma intranet que pode ser acessada pela Internet. (O item B FALSO). Item C. O programa Winzip utilizado para a compactao de arquivos e programas, fazendo com que ocupem menor espao de memria. Ateno: importante destacar para a banca CESPE a diferena entre Winzip e Zip Disk, pois frequentemente tem-se questes relacionadas a este tpico. No confunda winzip com o Zip Disk (vide maiores detalhes a seguir)!!
v. 3.0
44
Item D. Cookies no so vrus, e sim arquivos lcitos que permitem a identificao do computador cliente no acesso a uma pgina. Podem ser utilizados para guardar preferncias do usurio, bem como informaes tcnicas como o nome e a verso do browser do usurio. (O item D FALSO). Item E. O antivrus seria a resposta correta nesse item. O worm um tipo especfico de malware. (O item E FALSO). GABARITO: letra C. 19. (CESPE/2003/BB_III/Escriturrio Adaptada) Um usurio da Internet e cliente do BB acessou por meio do Internet Explorer 6 o stio cujo URL http://www.bb.com.br para obter informaes acerca dos mecanismos de segurana implementados nesse stio.
Aps algumas operaes nas pginas do stio, o usurio obteve a pgina ilustrada na figura anterior, contendo informaes acerca do teclado virtual, uma ferramenta disponibilizada aos clientes do BB no acesso a funcionalidades referentes a transaes bancrias. A partir da figura
v. 3.0
45
CURSO ON-LINE PACOTE DE QUESTES COMENTADAS PARA MPU NOES DE INFORMTICA EM EXERCCIOS PROFESSORA: PATRCIA LIMA QUINTO mostrada, julgue os itens seguintes, relativos Internet, segurana no acesso Internet, s informaes contidas na pgina ilustrada e ao Internet Explorer 6. I. Sabendo que o teclado virtual permite que o cliente do BB insira a senha de acesso s informaes bancrias de sua conta por meio do mouse e no por digitao no teclado, conclui-se que essa ferramenta dificulta a ao de um trojan, que um aplicativo capaz de registrar em um arquivo todas as teclas digitadas e depois enviar este arquivo para um outro endereo eletrnico. II. Considere a seguinte situao hipottica. Na navegao descrita anteriormente, enquanto o usurio manipulava as pginas do stio do BB, ele observou em determinados momentos que recursos de hardware e de software de seu computador estavam sendo utilizados sem a sua requisio. Em determinados momentos, verificou que arquivos estavam sendo deletados, outros criados, o drive do CD-ROM abria e fechava sem ser solicitado. O usurio chegou, enfim, concluso de que seu computador estava sendo controlado via Internet por uma pessoa por meio de uma porta de comunicao estabelecida sem sua autorizao. Nessa situao, provvel que o computador do usurio estivesse sendo vtima de um vrus de macro. III. Considere a seguinte situao hipottica. Antes de acessar o stio do BB, o usurio acessou pginas da Internet no muito confiveis e o computador por meio do qual o acesso Internet foi realizado contraiu um vrus de script. Nessa situao, possvel que um trojan seja instalado no computador do usurio sem que este saiba o que est acontecendo. IV. O Internet Explorer 6 permite que, por meio do boto (Pesquisar), seja realizada uma busca de vrus instalados em seu computador, utilizando recursos antivrus disponibilizados nesse software pela Microsoft. V. A partir do menu , o usurio poder acessar funcionalidades do Internet Explorer 6 que permitem definir determinados nveis de segurana no acesso a pginas Web, tais como impedir que um script de uma pgina Web que est sendo acessada seja executado sem a sua autorizao. VI. Uma das maiores vantagens no acesso Internet em banda larga por meio da tecnologia ADSL, em comparao com as outras tecnologias disponveis atualmente, o fato de os computadores constituintes das redes formadas com tal tecnologia estarem protegidos
v. 3.0
46
CURSO ON-LINE PACOTE DE QUESTES COMENTADAS PARA MPU NOES DE INFORMTICA EM EXERCCIOS PROFESSORA: PATRCIA LIMA QUINTO contra ataques de hackers e de vrus distribudos pela Internet em mensagens de correio eletrnico, sem a necessidade de outros recursos tais como firewall e software antivrus. Resoluo Item I. O cavalo de tria trata-se de um programa aparentemente inofensivo que, quando executado (com a sua autorizao!), parece lhe divertir, mas, por trs abre portas de comunicao do seu computador para que ele possa ser invadido. Algumas das funes maliciosas que podem ser executadas por um cavalo de tria so:

furto de senhas e outras informaes sensveis, como nmeros de cartes de crdito; incluso de backdoors, para permitir que um atacante tenha total controle sobre o computador; alterao ou destruio de arquivos; instalao de keyloggers ou screenloggers. Nesse caso, um keylogger poder ser usado para capturar e armazenar as teclas digitadas pelo usurio. Em muitos casos, a ativao do keylogger condicionada a uma ao prvia do usurio, como por exemplo, aps o acesso a um site especfico de comrcio eletrnico ou Internet Banking. Normalmente, o keylogger contm mecanismos que permitem o envio automtico das informaes capturadas para terceiros (por exemplo, atravs de e-mails). (O item I VERDADEIRO).
Item II. Nesse caso o efeito foi ocasionado pelo cavalo de tria. Os vrus de macro infectam os arquivos dos programas Microsoft Office (Word, Excel, PowerPoint e Access) para atrapalhar o funcionamento desses aplicativos. (O item II FALSO). Item III. O vrus de script tornou-se bastante popular aps a exploso da Web, e aproveita-se de brechas de segurana no sistema para executar automaticamente tarefas danosas, como a instalao de um trojan. (O item III VERDADEIRO). Item IV. O Internet Explorer 6.0 no possui antivrus. A ferramenta (Pesquisar) abre o programa de busca padro do IE 6.0 para pesquisar contedo na Web. (O item IV FALSO).
v. 3.0
47
CURSO ON-LINE PACOTE DE QUESTES COMENTADAS PARA MPU NOES DE INFORMTICA EM EXERCCIOS PROFESSORA: PATRCIA LIMA QUINTO Item V. Atravs do Menu Ferramentas, Opes da Internet, guia Segurana, podem-se definir esses nveis de segurana no funcionamento do IE 6.0. (O item V VERDADEIRO). Item VI. Banda larga o nome usado para definir qualquer conexo acima da velocidade padro dos modems para conexes discadas (56 Kbps). O ADSL (Assymmetric Digital Subscriber Line ou Linha Digital Assimtrica para Assinante) trata-se de uma tecnologia utilizada para a transferncia digital de dados em alta velocidade por meio de linhas telefnicas comuns. No Brasil as operadoras de telecomunicaes apresentam esta tecnologia com vrias denominaes, por exemplo: a Telemar vende comercialmente essa tecnologia como Velox, a Telefnica em So Paulo, como Speedy, dentre outros. O ADSL aumenta a capacidade de uso da linha de telefone, possibilitando a transmisso simultnea de voz e dados em alta velocidade. A transmisso simultnea de voz utiliza uma faixa de freqncia, enquanto os uploads e downloads utilizam outras faixas de freqncia da linha telefnica.
Para finalizar, cabe destacar que qualquer acesso Internet a princpio no apresenta nenhuma proteo contra ataques e vrus, portanto, o usurio ter que se proteger instalando programas de proteo que iro atuar como agentes de segurana no sistema. (O item VI FALSO). 20. (CESPE/2004/Polcia Rodoviria Federal)
Um usurio da Internet, desejando realizar uma pesquisa acerca das condies das rodovias no estado do Rio Grande do Sul, acessou o stio do Departamento de Polcia Rodoviria Federal http://www.dprf.gov.br , por meio do Internet Explorer 6, executado em um computador cujo sistema operacional o Windows XP e que
v. 3.0
48
CURSO ON-LINE PACOTE DE QUESTES COMENTADAS PARA MPU NOES DE INFORMTICA EM EXERCCIOS PROFESSORA: PATRCIA LIMA QUINTO dispe do conjunto de aplicativos Office XP. Aps algumas operaes nesse stio, o usurio obteve a pgina Web mostrada na figura acima, que ilustra uma janela do Internet Explorer 6. Considerando essa figura, julgue os itens seguintes, relativos Internet, ao Windows XP, ao Office XP e a conceitos de segurana e proteo na Internet. I. Sabendo que o mapa mostrado na pgina Web consiste em uma figura no formato jpg inserida na pgina por meio de recursos da linguagem HTML, ao se clicar com o boto direito do mouse sobre esse objeto da pgina, ser exibido um menu que disponibiliza ao usurio um menu secundrio contendo uma lista de opes que permite exportar de forma automtica tal objeto, como figura, para determinados aplicativos do Office XP que estejam em execuo concomitantemente ao Internet Explorer 6. A lista de aplicativos do Office XP disponibilizada no menu secundrio contm o Word 2002, o Excel 2002, o Paint e o PowerPoint 2002. II. Para evitar que as informaes obtidas em sua pesquisa, ao trafegarem na rede mundial de computadores, do servidor ao cliente, possam ser visualizadas por quem estiver monitorando as operaes realizadas na Internet, o usurio tem disposio diversas ferramentas cuja eficincia varia de implementao para implementao. Atualmente, as ferramentas que apresentam melhor desempenho para a funcionalidade mencionada so as denominadas sniffers e backdoors e os sistemas ditos firewall, sendo que, para garantir tal eficincia, todas essas ferramentas fazem uso de tcnicas de criptografia tanto no servidor quanto no cliente da aplicao Internet. III. Por meio da guia Privacidade, acessvel quando Opes da Internet clicada no menu , o usurio tem acesso a recursos de configurao do Internet Explorer 6 que permitem definir procedimento especfico que o aplicativo dever realizar quando uma pgina Web tentar copiar no computador do usurio arquivos denominados cookies. Um cookie pode ser definido como um arquivo criado por solicitao de uma pgina Web para armazenar informaes no computador cliente, tais como determinadas preferncias do usurio quando ele visita a mencionada pgina Web. Entre as opes de configurao possveis, est aquela que impede que os cookies sejam armazenados pela pgina Web. Essa opo, apesar de permitir aumentar, de certa forma, a privacidade do usurio, poder impedir a correta visualizao de determinadas pginas Web que necessitam da utilizao de cookies. Resoluo
v. 3.0
49
CURSO ON-LINE PACOTE DE QUESTES COMENTADAS PARA MPU NOES DE INFORMTICA EM EXERCCIOS PROFESSORA: PATRCIA LIMA QUINTO Item I. Ao clicar com o boto direito do mouse aberto um menu de contexto, mas no exibida a opo de exportar a figura para qualquer aplicativo do Office. Tambm aparece outro erro na questo ao afirmar que o Paint faz parte do pacote Office, o que no est correto. (O item I FALSO). Item II. Os sniffers (capturadores de quadros) so dispositivos ou programas de computador que capturam quadros nas comunicaes realizadas em uma rede de computadores, armazenando tais quadros para que possam ser analisados posteriormente por quem instalou o sniffer. Pode ser usado por um invasor para capturar informaes sensveis (como senhas de usurios), em casos onde estejam sendo utilizadas conexes inseguras, ou seja, sem criptografia. O backdoor (porta dos fundos) um programa que, colocado no micro da vtima, cria uma ou mais falhas de segurana, para permitir que o invasor que o colocou possa facilmente voltar quele computador em um momento seguinte. Portanto, ao contrrio do que o item II afirma, os sniffers e backdoors no sero utilizados para evitar que informaes sejam visualizadas na mquina. (O item II FALSO). Item III. Ao acessar o menu Ferramentas -> Opes da Internet, e, em seguida, clicar na aba (guia) Privacidade, pode-se definir o nvel de privacidade do Internet Explorer, possibilitando ou no a abertura de determinadas pginas da Web. O texto correspondente aos cookies est correto. (O item III VERDADEIRO). 21. (MOVENS/2009/ADEPAR/ASSISTENTE TCNICO ADMINISTRATIVO/Q9-Adaptada) Analise o item seguinte: [Uma das funes do servidor Proxy atuar como intermedirio entre um cliente e outro servidor, nos diversos tipos de servios]. Resoluo Aqui vale a pena darmos destaque cartilha de segurana do Cert.br (vide http://cartilha.cert.br/), que representa uma excelente fonte inicial de informaes relacionadas segurana. No site, pode-se baixar a cartilha por completo, gratuitamente, (ento no tem desculpa!!!) e recomendo que realizem a leitura da mesma em sua ntegra. J vi diversas questes de prova, como essa, sendo extradas dessa cartilha. No glossrio da cartilha temos definies tambm interessantes, como a do Proxy listada a seguir: Proxy um servidor que atua como intermedirio entre um cliente e outro servidor. Normalmente utilizado em empresas para aumentar a performance de acesso a determinados servios
v. 3.0
50
CURSO ON-LINE PACOTE DE QUESTES COMENTADAS PARA MPU NOES DE INFORMTICA EM EXERCCIOS PROFESSORA: PATRCIA LIMA QUINTO ou permitir que mais de uma mquina se conecte Internet. Proxies mal configurados podem ser abusados por atacantes e utilizados como uma forma de tornar annimas algumas aes na Internet, como atacar outras redes ou enviar spam. Complementando, um servidor proxy normalmente usado com o objetivo de compartilhar a conexo com a Internet e atua tambm como um repositrio de pginas Web recentemente acessadas, armazenando as pginas que j foram acessadas de forma que outro usurio ao acessar o mesmo site conseguir uma performance melhor (diminuindo o trfego de Internet da empresa). GABARITO: item VERDADEIRO. 22. (FUNRIO/2009/Analista de Seguro Social Servio Social) Das sentenas abaixo, relativas segurana de computadores e sistemas, I. Um dos principais objetivos da criptografia impedir a invaso de redes. II. O certificado digital um arquivo eletrnico que contm dados de uma pessoa ou instituio, utilizados para comprovar sua identidade. III. Um antivrus capaz de impedir que um hacker tente explorar alguma vulnerabilidade existente em um computador. IV. Vrus, keyloggers, worms e cavalos de tria so alguns dos exemplos de Malware. Esto corretas: A) I, II e III, apenas. B) I e IV, apenas. C) II e IV, apenas. D) III e IV, apenas. E) I, II, III e IV. Resoluo Item I. A Criptografia a cincia e arte de escrever mensagens em forma cifrada ou em cdigo. Os mtodos de criptografia atuais so seguros e eficientes e baseiam-se no uso de uma ou mais chaves. A chave uma seqncia de caracteres, que pode conter letras, dgitos e smbolos (como uma senha), e que convertida em um nmero, utilizado pelos mtodos de criptografia para codificar e decodificar mensagens. Atualmente, os mtodos criptogrficos podem ser subdivididos em duas grandes categorias, de acordo com o tipo de chave utilizada: a criptografia de chave nica e a criptografia de chave pblica e privada.
v. 3.0
51
CURSO ON-LINE PACOTE DE QUESTES COMENTADAS PARA MPU NOES DE INFORMTICA EM EXERCCIOS PROFESSORA: PATRCIA LIMA QUINTO A criptografia de chave nica utiliza a MESMA chave tanto para codificar quanto para decodificar mensagens. A criptografia de chaves pblica e privada utiliza DUAS chaves distintas, uma para codificar e outra para decodificar mensagens. Neste mtodo cada pessoa ou entidade mantm duas chaves: uma pblica, que pode ser divulgada livremente, e outra privada, que deve ser mantida em segredo pelo seu dono. As mensagens codificadas com a chave pblica s podem ser decodificadas com a chave privada correspondente.
Cabe destacar que a principal finalidade da criptografia , sem dvida, reescrever uma mensagem original de uma forma que seja incompreensvel, para que ela no seja lida por pessoas noautorizadas. E isso no suficiente para impedir a invaso de redes. Item FALSO. Item II. O certificado digital uma credencial eletrnica, no-palpvel gerada por uma Autoridade Certificadora (AC), que vincula a pessoa fsica ou jurdica a um par de chaves sendo uma pblica e outra privada (ou secreta). O certificado fica armazenado em dispositivos de segurana, como por ex.: Token ou Smart Card, ilustrados na figura a seguir.
Token
Smart Card Figura. Ilustrao de dispositivos de segurana Quanto aos objetivos do certificado digital podemos destacar: Transferir a credibilidade que hoje baseada em papel e conhecimento para o ambiente eletrnico. Vincular uma chave pblica a um titular (eis o objetivo principal). O certificado digital precisa ser emitido por uma autoridade reconhecida pelas partes interessadas na transao, conforme visto na prxima figura. Chamamos essa autoridade de Autoridade Certificadora, ou AC.
v. 3.0
52
Figura. Vnculo da chave pblica ao titular Assinar digitalmente um documento eletrnico atribuindo validade jurdica, integridade, autoria e no-repdio.
Um certificado contm:
Item VERDADEIRO. A seguir, irei explicar primeiramente o item IV, em seguida, passamos aos comentrios do item III, para uma melhor compreenso.
v. 3.0
53
CURSO ON-LINE PACOTE DE QUESTES COMENTADAS PARA MPU NOES DE INFORMTICA EM EXERCCIOS PROFESSORA: PATRCIA LIMA QUINTO Item IV. O que significa malware? O termo malware proveniente de Malicious Software, software designado a se infiltrar em um sistema de computador alheio de forma ilcita com o intuito de causar algum dano ou roubo de informaes. Tambm pode ser considerado malware uma aplicao legal que por uma falha de programao (intencional ou no) execute funes que se enquadrem na definio. Os tipos mais comuns de malware: vrus, worms, bots, cavalos de tria, spyware, keylogger, screenlogger. Item VERDADEIRO. Item III. Os antivrus procuram detectar e, ento, anular ou remover cdigos maliciosos do computador (vrus, vermes, cavalos de tria, etc). Exs: McAfee Security Center Antivrus, Panda Antivrus, Norton Antivrus, Avira Antivir Personal, AVG, etc. Ao contrrio do que afirma a questo, o antivrus no impede que um atacante explore alguma vulnerabilidade (fragilidade, ponto fraco) existente no computador. Item FALSO. GABARITO: letra C. 23. (CESPE/2010/CAIXA-NM1/ BANCRIO/CARREIRA ADMINISTRATIVA) correta a respeito de certificao digital. TCNICO Assinale a opo
A Autoridade certificadora a denominao de usurio que tem poderes de acesso s informaes contidas em uma mensagem assinada, privada e certificada. B A autoridade reguladora tem a funo de emitir certificados digitais, funcionando como um cartrio da Internet. C O ITI (Instituto Nacional de Tecnologia da Informao) tambm conhecido como Autoridade Certificadora Raiz Brasileira. D PKI ou ICP o nome dado ao certificado que foi emitido por uma autoridade certificadora. E Um certificado digital pessoal, intransfervel e no possui data de validade. Resoluo Item A. Autoridade certificadora (AC) o termo utilizado para designar a entidade que emite, renova ou revoga certificados digitais de outras ACs ou de titulares finais. Alm disso, emite e publica a LCR (Lista de Certificados Revogados). Item FALSO. Item B. A Autoridade Certificadora (AC) a entidade responsvel por emitir certificados digitais. Item FALSO.
v. 3.0
54
CURSO ON-LINE PACOTE DE QUESTES COMENTADAS PARA MPU NOES DE INFORMTICA EM EXERCCIOS PROFESSORA: PATRCIA LIMA QUINTO Item C. A Autoridade Certificadora RAIZ (AC Raiz) primeira autoridade da cadeia de certificao e compete a ela emitir, expedir, distribuir, revogar e gerenciar os certificados das AC de nvel imediatamente subsequente, gerenciar a lista de certificados emitidos, revogados e vencidos, e executar atividades de fiscalizao e auditoria das ACs e das ARs e dos prestadores de servio habilitados na ICP. A funo da AC-Raiz foi delegada ao Instituto Nacional de Tecnologia da Informao ITI, autarquia federal atualmente ligada Casa Civil da Presidncia da Repblica. Logo, o ITI tambm conhecido como Autoridade Certificadora Raiz Brasileira. A AC-Raiz s pode emitir certificados s ACs imediatamente subordinadas, sendo vedada de emitir certificados a usurios finais. Item VERDADEIRO. Item D. PKI (Public Key Infrastrusture) a infraestrutura de chaves pblicas. A ICP-Brasil um exemplo de PKI. Item FALSO. Item E. Um certificado digital um documento eletrnico que identifica pessoas, fsicas ou jurdicas, URLs, contas de usurio, servidores (computadores) dentre outras entidades. Este documento na verdade uma estrutura de dados que contm a chave pblica do seu titular e outras informaes de interesse. Contm informaes relevantes para a identificao real da entidade a que visam certificar (CPF, CNPJ, endereo, nome, etc) e informaes relevantes para a aplicao a que se destinam. O certificado digital precisa ser emitido por uma autoridade reconhecida pelas partes interessadas na transao. Chamamos essa autoridade de Autoridade Certificadora, ou AC. Dentre as informaes que compem um certificado temos: Verso: indica qual formato de certificado est sendo seguido Nmero de srie: identifica unicamente um certificado dentro do escopo do seu emissor. Algoritmo: identificador dos algoritmos de hash+assinatura utilizados pelo emissor para assinar o certificado. Emissor: entidade que emitiu o certificado. Validade: data de emisso e expirao. Titular: nome da pessoa, URL ou demais informaes que esto sendo certificadas. Chave pblica: informaes da chave pblica do titular. Extenses: campo opcional para estender o certificado. Assinatura: valor da assinatura digital feita pelo emissor. Item FALSO. GABARITO: letra C.
v. 3.0
55
CURSO ON-LINE PACOTE DE QUESTES COMENTADAS PARA MPU NOES DE INFORMTICA EM EXERCCIOS PROFESSORA: PATRCIA LIMA QUINTO Acerca de segurana da informao, julgue os itens que se seguem. 24. (CESPE/2010/SEDU-ES/AGENTE DE SUPORTE EDUCACIONAL/Q. 42) Vrus um programa que pode se reproduzir anexando seu cdigo a um outro programa, da mesma forma que os vrus biolgicos se reproduzem. Resoluo Vrus: so pequenos cdigos de programao maliciosos que se agregam a arquivos e so transmitidos com eles. Quando o arquivo aberto na memria RAM, o vrus tambm , e, a partir da se propaga infectando, isto , inserindo cpias de si mesmo e se tornando parte de outros programas e arquivos de um computador. O vrus depende da execuo do programa ou arquivo hospedeiro para que possa se tornar ativo e dar continuidade ao processo de infeco. Alguns vrus so inofensivos, outros, porm, podem danificar um sistema operacional e os programas de um computador. GABARITO: item VERDADEIRO. 25. (CESPE/2010/SEDU-ES/AGENTE DE SUPORTE EDUCACIONAL/Q. 43) Spywares so programas que agem na rede, checando pacotes de dados, na tentativa de encontrar informaes confidenciais tais como senhas de acesso e nomes de usurios. Resoluo Spyware um programa que tem por finalidade monitorar as atividades de um sistema e enviar as informaes coletadas para terceiros. GABARITO: item VERDADEIRO. 26. (CESPE/2010/SEDU-ES/AGENTE DE SUPORTE EDUCACIONAL/Q. 44) Cavalos-de-troia, adwares e vermes so exemplos de pragas virtuais. Resoluo Todos os trs programas mencionados so exemplos de pragas virtuais, conforme visto a seguir: O cavalo-de-tria um programa no qual um cdigo malicioso ou prejudicial est contido dentro de uma programao ou dados aparentemente inofensivos de modo a poder obter o controle e causar danos.
v. 3.0
56
CURSO ON-LINE PACOTE DE QUESTES COMENTADAS PARA MPU NOES DE INFORMTICA EM EXERCCIOS PROFESSORA: PATRCIA LIMA QUINTO Adware (Advertising software) um software projetado para exibir anncios de propaganda em seu computador. Esses softwares podem ser necessariamente maliciosos! Worms: so programas parecidos com vrus, mas que na verdade so capazes de se propagarem automaticamente atravs de redes, enviando cpias de si mesmo de computador para computador (observe que os worms apenas se copiam, no infectam outros arquivos, eles mesmos so os arquivos!!).
GABARITO: item VERDADEIRO. 27. (CESPE/2010/SEDU-ES/AGENTE DE SUPORTE EDUCACIONAL/Q. 45) Backup o termo utilizado para definir uma cpia duplicada de um arquivo, um disco, ou um dado, feita com o objetivo de evitar a perda definitiva de arquivos importantes. Resoluo O termo backup (cpia de segurana) est relacionado s cpias feitas de um arquivo ou de um documento, de um disco, ou um dado, que devero ser guardadas sob condies especiais para a preservao de sua integridade no que diz respeito tanto forma quanto ao contedo, de maneira a permitir o resgate de programas ou informaes importantes em caso de falha ou perda dos originais. GABARITO: item VERDADEIRO. 28. (ESAF/2006/TRF) Nos dispositivos de armazenamento de dados, quando se utiliza espelhamento visando a um sistema tolerante a falhas, correto afirmar que: a) ao apagar um arquivo em um disco com sistema de espelhamento, o arquivo equivalente no disco espelhado s ser apagado aps a execuo de uma ao especfica de limpeza que deve ser executada periodicamente pelo usurio; b) ao ocorrer uma falha fsica em um dos discos, os dados nos dois discos tornam-se indisponveis. Os dados s sero mantidos em um dos discos quando se tratar de uma falha de gravao de dados; c) o sistema fornece redundncia de dados, usando uma cpia do volume para duplicar as informaes nele contidas; d) o disco principal e o seu espelho devem estar sempre em parties diferentes, porm no mesmo disco fsico; e) o disco a ser utilizado como espelho deve ter sempre o dobro do tamanho do disco principal a ser espelhado. Resoluo
v. 3.0
57
CURSO ON-LINE PACOTE DE QUESTES COMENTADAS PARA MPU NOES DE INFORMTICA EM EXERCCIOS PROFESSORA: PATRCIA LIMA QUINTO RAID um acrnimo para Redundant Array of Inexpensive Disks (Redundant Array of Independent Disks / Matriz redundante de discos independentes). Este arranjo uma tcnica em que os dados ficam armazenados em vrios discos para se obter um aumento na velocidade de acesso/gravao e/ou para aumentar a redundncia do sistema. A tecnologia envolvida nesta teoria possui um princpio bem simples: atravs da combinao de uma matriz de discos "pequenos", no muito caros, um administrador poder gravar dados com redundncia para prover tolerncia a falhas em um servidor. Em outras palavras, o RAID uma tecnologia utilizada com o objetivo de combinar diversos discos rgidos (como IDE, SATA, SCSI) para que sejam reconhecidos pelo sistema operacional como apenas uma nica unidade de disco. Existem vrios tipos (chamados modos) de RAID, e os mais comuns so: RAID 0, RAID 1, e Raid 5. RAID 0, tambm chamado de Stripping (Enfileiramento) Combina dois (ou mais) HDs para que os dados gravados sejam divididos entre eles. No caso de um RAID 0 entre dois discos, os arquivos salvos nesse conjunto sero gravados METADE em um disco, METADE no outro. Ganha-se muito em velocidade o a gravao do arquivo feita em metade do tempo, porque se grava metade dos dados em um disco e metade no outro simultaneamente (o barramento RAID outro, separado, do IDE). o A leitura dos dados dos discos tambm acelerada! o Nesse RAID no h tolerncia a falhas (segurana) porque de um dos discos pifar, os dados estaro perdidos completamente. o No se preocupa com segurana e sim com a velocidade! RAID 1 - Mirroring (Espelhamento) Cria uma matriz (array) de discos espelhados (discos idnticos). O que se copia em um, copia-se igualmente no outro disco. O RAID 1 aumenta a segurana do sistema, oferecendo portanto redundncia dos dados e fcil recuperao, com proteo contra falha em disco. RAID 1 aumenta a velocidade de leitura dos dados no disco (no a de escrita).
v. 3.0
58
CURSO ON-LINE PACOTE DE QUESTES COMENTADAS PARA MPU NOES DE INFORMTICA EM EXERCCIOS PROFESSORA: PATRCIA LIMA QUINTO RAID 5 Sistema tolerante a falhas, cujos dados e paridades so distribudos ao longo de trs ou mais discos fsicos. A paridade um valor calculado que usado para reconstruir dados depois de uma falha. Se um disco falhar, possvel recriar os dados que estavam na parte com problema a partir da paridade e dados restantes. A questo destaca o RAID 1, que faz o espelhamento" de disco. GABARITO: letra C. 29. (MOVENS/2009/Hospital Regional de Santa MariaDF/Tcnico de Informtica/Q20) Um tcnico de suporte trabalha em uma grande instituio hospitalar. Durante uma anlise do ambiente, ele observa que vrios servidores tm somente um disco rgido, apresentando assim uma situao chamada Ponto nico de Falha, ou seja, caso o disco rgido falhe, todo o sistema parar. O chefe, preocupado com a situao, requisita que o tcnico indique uma soluo para o problema. Assinale a opo que contm a soluo que dever ser indicada pelo tcnico para essa situao. (A) Substituio dos discos rgidos antigos por novos com tecnologia SCSI. (B) Instalao de um disco rgido extra para cada servidor e a configurao de RAID 1 entre os discos. (C) Instalao de um disco rgido extra para cada servidor e a configurao de RAID 0 entre os discos. (D) Substituio dos discos rgidos antigos por novos com tecnologia SATA. Resoluo Nesse contexto, bastaria que o tcnico realizasse a instalao de um disco rgido extra para cada servidor e a configurao de RAID 1 entre os discos. Com o RAID 1, que implementa o espelhamento, o que se copia em um disco copiado igualmente no outro disco!! GABARITO: letra B. 30. (FUNRIO/2008/JUCERJA/PROFISSIONAL DE INFORMTICA-Adaptada) Uma mensagem criptografada com uma chave simtrica poder ser decriptografada com A) a chave pblica. B) a mesma chave simtrica.
v. 3.0
59
CURSO ON-LINE PACOTE DE QUESTES COMENTADAS PARA MPU NOES DE INFORMTICA EM EXERCCIOS PROFESSORA: PATRCIA LIMA QUINTO C) o HASH. D) a chave RSA. Resoluo A criptografia de chave simtrica (tambm conhecida como criptografia de chave nica, ou criptografia privada) utiliza APENAS UMA chave para encriptar e decriptar as mensagens. Assim, como s utiliza UMA chave, obviamente ela deve ser compartilhada entre o remetente e o destinatrio da mensagem. Para ilustrar os sistemas simtricos, podemos usar a imagem de um cofre, que s pode ser fechado e aberto com uso de uma chave. Esta pode ser, por exemplo, uma combinao de nmeros. A mesma combinao abre e fecha o cofre. Para criptografar uma mensagem, usamos a chave (fechamos o cofre) e para decifr-la utilizamos a mesma chave (abrimos o cofre).
Os sistemas simtricos tm o problema em relao distribuio de chaves, que devem ser combinadas entre as partes antes que a comunicao segura se inicie. Esta distribuio se torna um problema em situaes onde as partes no podem se encontrar facilmente. Mas h outros problemas: a chave pode ser interceptada e/ou alterada em trnsito por um inimigo. Na criptografia simtrica (ou de chave nica) tanto o emissor quanto o receptor da mensagem devem conhecer a chave utilizada!! Os algoritmos de criptografia assimtrica (criptografia de chave pblica) utilizam DUAS chaves DIFERENTES, uma PBLICA (que pode ser distribuda) e uma PRIVADA (pessoal e intransfervel). Assim, nesse mtodo cada pessoa ou entidade mantm duas chaves: uma pblica, que pode ser divulgada livremente, e outra privada, que deve ser mantida em segredo pelo seu dono. As mensagens codificadas com a chave pblica s podem ser decodificadas com a chave privada correspondente.
v. 3.0
60
GABARITO: letra B. 31. (FUNRIO/2007/Prefeitura Municipal de Maric) Considere as assertivas abaixo sobre criptografia: I. Criptografia o conjunto de tcnicas matemticas utilizadas para embaralhar uma mensagem. II. Na criptografia simtrica a mesma chave utilizada para encriptar e decriptar uma mensagem. III. Na criptografia assimtrica so usadas duas chaves, uma privativa e uma pblica. Esto corretas: A) I e II apenas B) I e III apenas C) II e III apenas D) I, II e III E) Todas esto incorretas Resoluo Item I. Criptografia um conjunto de tcnicas que permitem tornar incompreensvel uma mensagem escrita com clareza, de forma que apenas o destinatrio a decifre e a compreenda. Item VERDADEIRO. Item II. A criptografia simtrica (ou convencional, chave privada, chave nica) utiliza a MESMA chave tanto para codificar quanto para decodificar mensagens. Item VERDADEIRO. Item III. A criptografia assimtrica (ou de chave pblica) utiliza DUAS chaves distintas, uma para codificar e outra para decodificar mensagens. Neste mtodo cada pessoa ou entidade mantm duas chaves: uma pblica, que pode ser divulgada livremente, e outra privada, que deve ser mantida em segredo pelo seu dono. As mensagens codificadas com a chave pblica s podem ser decodificadas com a chave privada correspondente. Item VERDADEIRO. GABARITO: letra D.
v. 3.0
61
CURSO ON-LINE PACOTE DE QUESTES COMENTADAS PARA MPU NOES DE INFORMTICA EM EXERCCIOS PROFESSORA: PATRCIA LIMA QUINTO 32. (ESAF/2006/TRF/Tribut. E Aduaneira) Analise as seguintes afirmaes relacionadas criptografia. I. A criptografia de chave simtrica pode manter os dados seguros, mas se for necessrio compartilhar informaes secretas com outras pessoas, tambm deve-se compartilhar a chave utilizada para criptografar os dados. II. Com algoritmos de chave simtrica, os dados assinados pela chave pblica podem ser verificados pela chave privada. III. Com algoritmos RSA, os dados encriptados pela chave pblica devem ser decriptados pela chave privada. IV. Com algoritmos RSA, os dados assinados pela chave privada so verificados apenas pela mesma chave privada. Indique a opo que contenha todas as afirmaes verdadeiras. a) I e II b) II e III c) III e IV d) I e III e) II e IV Resoluo Criptografar (cifrar, encriptar): o processo de embaralhar a mensagem original transformando-a em mensagem cifrada. Decriptar (decifrar): o processo de transformar a mensagem cifrada de volta em mensagem original. Algoritmos: p Simtricos (ou convencional, chave privada, chave nica) p Assimtricos (ou chave pblica) Item I. A criptografia de chave simtrica (tambm conhecida como criptografia de chave nica, ou criptografia privada) utiliza APENAS UMA chave para encriptar e decriptar as mensagens. Assim, como s utiliza uma chave, obviamente ela deve ser compartilhada entre o remetente e o destinatrio da mensagem. O item I est CORRETO. Item II. Algoritmos de chave simtrica utilizam APENAS UMA chave para encriptar e decriptar as mensagens. Os algoritmos de criptografia assimtrica (criptografia de chave pblica) utilizam duas chaves diferentes, uma pblica (que pode ser distribuda) e uma privada (pessoal e intransfervel). O item II FALSO. Item III. Cabe destacar que algoritmos RSA so algoritmos de criptografia assimtrica. Conforme visto, se utilizar uma chave pblica
v. 3.0
62
CURSO ON-LINE PACOTE DE QUESTES COMENTADAS PARA MPU NOES DE INFORMTICA EM EXERCCIOS PROFESSORA: PATRCIA LIMA QUINTO na encriptao ir utilizar a chave privada na decriptao. O item III est CORRETO. Os algoritmos de chave pblica utilizam pares de chaves, uma pblica e outra privada, atribudas a uma pessoa ou entidade. A chave pblica distribuda livremente para todos os correspondentes, enquanto a chave privada deve ser conhecida APENAS pelo seu dono. Num algoritmo de criptografia assimtrica, uma mensagem cifrada com a chave pblica pode SOMENTE ser decifrada pela sua chave privada correspondente. Alm disso, uma mensagem cifrada com a chave privada s pode ser decifrada pela chave pblica correspondente. Com isso, possvel fazer assinaturas digitais sobre as mensagens, de forma que uma pessoa possa criptografar a mensagem com sua chave privada e o destinatrio possa comprovar a autenticidade por meio da decifrao pela chave pblica do remetente. Dessa forma, os algoritmos de chave pblica fornecem, alm da confidencialidade, a garantia de autenticidade da origem. Item IV. O item fala de algoritmos RSA, que so algoritmos de criptografia assimtrica, mas o relaciona a um procedimento de criptografia de chave simtrica (mesma chave privada). A criptografia assimtrica (usa duas chaves uma pblica para embaralhar e uma privada para desembaralhar!!). O item D FALSO. GABARITO: letra D. 33. (FUNRIO/2008/Prefeitura de Coronel Firewall um sistema de proteo que pode: Fabriciano) Um
A) utilizar assinaturas de vrus para impedir que a mquina seja infectada. B) bloquear possveis tentativas de invaso atravs de filtros de pacotes. C) impedir a replicao de worms e conseqente ataque ao computador. D) eliminar spywares que possam invadir e espionar a mquina. E) neutralizar ataques aos computadores por spams. Resoluo Algumas definies para firewall encontradas na literatura: um mecanismo de proteo que controla a passagem de pacotes entre redes, tanto locais como externas.
v. 3.0
63
CURSO ON-LINE PACOTE DE QUESTES COMENTADAS PARA MPU NOES DE INFORMTICA EM EXERCCIOS PROFESSORA: PATRCIA LIMA QUINTO um dispositivo que possui um conjunto de regras especificando que trfego ele permitir ou negar. um dispositivo que permite a comunicao entre redes, de acordo com a poltica de segurana definida e que so utilizados quando h uma necessidade de que redes com nveis de confiana variados se comuniquem entre si.
Fiquem ligados!!! Existem coisas que o firewall NO PODE proteger: do uso malicioso dos servios que ele autorizado a liberar; dos usurios que no passam por ele, ou seja, no verifica o fluxo intra-redes; dos ataques de engenharia social; das falhas de seu prprio hardware e sistema operacional. Existem dois tipos de modelo de acesso, ou poltica padro, que podem ser aplicados ao firewall: tudo permitido, exceto o que for expressamente proibido; tudo proibido, exceto o que for expressamente permitido. GABARITO: letra B. 34. (FUNRIO/2009/Analista de Seguro Social Servio Social) Qual das alternativas abaixo d nome ao tipo de ameaa propagada por meio de mensagens fraudulentas, chamadas de spam, caracterizada por um tipo de fraude concebida para obter informaes pessoais sobre o usurio de Internet, convencendo-o a facultar-lhe essas informaes sob falsos pretextos? A) Adware. B) Cavalo de Tria. C) Phishing. D) Retrovirus. E) Vrus de macro. Resoluo Item A. Adware (Advertising software) um software projetado para exibir anncios de propaganda em seu computador. Nem sempre so necessariamente maliciosos! Um adware malicioso pode abrir uma janela do navegador apontando para pginas de cassinos, vendas de remdios, pginas pornogrficas etc. Item FALSO. Item B. O Cavalo de tria um programa aparentemente inofensivo que entra em seu computador na forma de carto virtual, lbum de fotos, protetor de tela, jogo, etc, e que, quando executado, parece lhe
v. 3.0
64
CURSO ON-LINE PACOTE DE QUESTES COMENTADAS PARA MPU NOES DE INFORMTICA EM EXERCCIOS PROFESSORA: PATRCIA LIMA QUINTO divertir, mas, por trs abre portas de comunicao do seu computador para que ele possa ser invadido. Item FALSO. Item C. Esta questo destaca o Golpe de Phishing Scam (ou simplesmente Golpe de Phishing), muito cobrado nas provas de concursos! Item VERDADEIRO. Item D. Retrovrus um tipo de ameaa que tem como objetivo principal a infeco do prprio antivrus! Ex: Goldbug, Crepate. Item FALSO. Item E. Vrus de macro infectam os arquivos dos programas Microsoft Office (Word, Excel, PowerPoint e Access). Esses vrus so normalmente criados com a linguagem de programao VBA (Visual Basic para Aplicaes) e afetam apenas os programas que usam essa linguagem (o Office, por exemplo). Os vrus de macro vinculam suas macros a modelos de documentos (templates) e/ou a outros arquivos de modo que, quando um aplicativo carrega o arquivo e executa as instrues nele contidas, as primeiras instrues executadas sero as do vrus. So parecidos com outros vrus em vrios aspectos: so cdigos escritos para que, sob certas condies, se reproduza, fazendo uma cpia de si mesmo. Podem causar danos, apresentar uma mensagem ou fazer qualquer coisa que um programa possa fazer. Item FALSO. GABARITO: letra C. Voc sabia!! Uma macro um conjunto de comandos que so armazenados em alguns aplicativos e utilizados para automatizar algumas tarefas repetitivas. 35. (ESAF/2007/SEFAZ-CE) Nos sistemas de Segurana da Informao, existe um mtodo que ____________________. Este mtodo visa garantir a integridade da informao. Escolha a opo que preenche corretamente a lacuna acima. a) valida a autoria da mensagem b) verifica se uma mensagem em trnsito foi alterada c) verifica se uma mensagem em trnsito foi lida por pessoas no autorizadas d) cria um backup diferencial da mensagem a ser transmitida e) passa um antivrus na mensagem a ser transmitida Resoluo Como a banca destacou que estava interessada em um mtodo que visa ...garantir a integridade da informao, j possvel resolver a questo. O trecho em destaque refere-se ao objetivo do princpio da
65
CURSO ON-LINE PACOTE DE QUESTES COMENTADAS PARA MPU NOES DE INFORMTICA EM EXERCCIOS PROFESSORA: PATRCIA LIMA QUINTO integridade. Esse princpio est ligado ao estado da informao no momento de sua gerao e resgate. A informao estar ntegra se em tempo de resgate, estiver FIEL ao estado original. Exemplo: se no momento da gerao da informao obtivermos o texto 3 + 3 = 7 isso implica que no resgate deveremos obter o mesmo conjunto de caracteres, a saber: 3 + 3 = 7 A integridade no se prende ao contedo, que pode estar errado, mas a variaes e alteraes entre o processo de gerao e resgate. Sendo assim, o item b (verifica se uma mensagem em trnsito foi alterada) a resposta, e quem faz isso o hash, contido nas assinaturas digitais de e-mails e arquivos. GABARITO: letra B. 36. (ESAF/2002/AFPS) Os problemas de segurana e crimes por computador so de especial importncia para os projetistas e usurios de sistemas de informao. Com relao segurana da informao, correto afirmar que a)confiabilidade a garantia de que as informaes armazenadas ou transmitidas no sejam alteradas. b)integridade a garantia de que os sistemas estaro disponveis quando necessrios. c)confiabilidade a capacidade de conhecer as identidades das partes na comunicao. d)autenticidade a garantia de que os sistemas desempenharo seu papel com eficcia em um nvel de qualidade aceitvel. e)privacidade a capacidade de controlar quem v as informaes e sob quais condies. Resoluo Item A. Descreve a integridade, e no a confiabilidade. Item FALSO. Item B. Descreve a disponibilidade, e no a integridade. Item FALSO. Itens C e D. Esto com os conceitos invertidos! Autenticidade a capacidade de conhecer as identidades das partes na comunicao; e confiabilidade a garantia de que os sistemas desempenharo seu papel com eficcia em um nvel de qualidade aceitvel. Itens FALSOS.
v. 3.0
66
CURSO ON-LINE PACOTE DE QUESTES COMENTADAS PARA MPU NOES DE INFORMTICA EM EXERCCIOS PROFESSORA: PATRCIA LIMA QUINTO Item E. A privacidade diz respeito ao direito fundamental de cada indivduo poder decidir quem deve ter acesso aos seus dados pessoais. Item VERDADEIRO. GABARITO: letra E. 37. (ESAF/2008/CGU/AFC/Infra TI) A respeito do documento da Poltica de Segurana da Informao de uma dada Organizao, incorreto afirmar que a) deve ser aprovado pela direo antes de ser publicado e divulgado. b) deve ser analisado regularmente ou na ocorrncia de mudanas significativas. c) gestores devem garantir que os procedimentos de segurana so executados em conformidade com tal documento. d) deve incluir informaes quanto tecnologia a ser empregada para a segurana da informao. e) no caso de mudanas, deve-se assegurar a sua contnua pertinncia e adequao. Resoluo Segundo a norma ISO 17799:2005 a Poltica de segurana da informao tem por objetivo prover uma orientao e apoio direo para a segurana da informao de acordo com os requisitos do negcio e com as leis e regulamentaes relevantes. A gerncia deve estabelecer uma direo poltica clara e demonstrar suporte a, e comprometimento com, a segurana das informaes atravs da emisso e manuteno de uma poltica de segurana de informaes para toda a organizao. Um documento com a poltica deve ser aprovado pela gerncia, publicado e divulgado, conforme apropriado, para todos os empregados. Ele deve declarar o comprometimento da gerncia e estabelecer a abordagem da organizao quanto gesto da segurana de informaes. A poltica deve ter um encarregado que seja responsvel por sua manuteno e reviso de acordo com um processo de reviso definido. Esse processo deve assegurar que seja executada uma reviso em resposta a quaisquer mudanas que afetem a base da avaliao de riscos original, por exemplo incidentes de segurana significativos, novas vulnerabilidades ou mudanas na infraestrutura organizacional ou tcnica.
v. 3.0
67
CURSO ON-LINE PACOTE DE QUESTES COMENTADAS PARA MPU NOES DE INFORMTICA EM EXERCCIOS PROFESSORA: PATRCIA LIMA QUINTO Na Poltica de Segurana da Informao NO se deve ter informaes quanto tecnologia que ser empregada na segurana da informao de uma organizao. GABARITO: letra D. 38. (ESAF/2008/CGU/AFC/Infraestrutura) Analise as seguintes afirmaes a respeito de cpias de segurana (backups) e assinale a opo correta. I. Em uma poltica de backup, deve-se declarar a abordagem empregada (completa ou incremental) e periodicidade das cpias, assim como os recursos, infraestrutura e demais procedimentos necessrios. II. Registrar o contedo e data de atualizao, cuidar do local de armazenamento de cpias e manter cpias remotas como medida preventiva so recomendados para a continuidade dos negcios. III. Polticas de backup devem ser testadas regularmente para garantir respostas adequadas a incidentes. a) Apenas I e II so verdadeiras. b) Apenas II e III so verdadeiras. c) Apenas I e III so verdadeiras. d) I, II e III so verdadeiras. e) I, II e III so falsas. Resoluo Antes de resolver os itens da questo importante relembrarmos o que backup e os tipos possveis de rotina de backup: Backup uma cpia de segurana de dados que pode ser feito em vrios tipos de mdias, como CDs, DVSs, fitas DAT etc de forma a proteg-los de qualquer eventualidade. Backup de cpia Copia todos os arquivos selecionados, mas no os marca como arquivos que passaram por backup (ou seja, o atributo de arquivo no desmarcado). A cpia til caso voc queira fazer backup de arquivos entre os backups normal e incremental, pois ela no afeta essas outras operaes de backup. Backup dirio Um backup dirio copia todos os arquivos selecionados que foram modificados no dia de execuo do backup dirio. Os arquivos no so marcados como arquivos que passaram por backup (o atributo de arquivo no desmarcado).
v. 3.0
68
CURSO ON-LINE PACOTE DE QUESTES COMENTADAS PARA MPU NOES DE INFORMTICA EM EXERCCIOS PROFESSORA: PATRCIA LIMA QUINTO Backup diferencial Um backup diferencial copia arquivos criados ou alterados desde o ltimo backup normal ou incremental. No marca os arquivos como arquivos que passaram por backup (o atributo de arquivo no desmarcado). Se voc estiver executando uma combinao dos backups normal e diferencial, a restaurao de arquivos e pastas exigir o ltimo backup normal e o ltimo backup diferencial. Backup increMental Um backup incremental copia somente os arquivos criados ou alterados desde o ltimo backup normal ou incremental e os Marca como arquivos que passaram por backup (o atributo de arquivo desmarcado). Se voc utilizar uma combinao dos backups normal e incremental, precisar do ltimo conjunto de backup normal e de todos os conjuntos de backups incrementais para restaurar os dados. Backup norMal Um backup normal copia todos os arquivos selecionados e os Marca como arquivos que passaram por backup (ou seja, o atributo de arquivo desmarcado). Com backups normais, voc s precisa da cpia mais recente do arquivo ou da fita de backup para restaurar todos os arquivos. Geralmente, o backup normal executado quando voc cria um conjunto de backup pela primeira vez. Item I. Segundo a norma ISO 17799:2005 o backup das informaes dos softwares e das informaes essenciais para o negcio devem ser executadas regularmente. Para definio de uma poltica de backup devem ser considerados todos os pontos mencionados no item I como: a abordagem empregada, periodicidade das cpias e procedimentos empregados. Sabemos que existem outros tipos de backup. A questo deveria ter mencionado pelo menos as trs abordagens principais de backup (Completo, incremental e diferencial). O item, no entanto, comenta apenas dois (completa ou incremental). Ainda utilizaram a preposio "ou" para confundir mais o candidato, dando a ideia de exclusividade, ou um, ou o outro, sendo que na realidade, geralmente utilizado um conjunto de abordagens em uma organizao. A banca da ESAF considerou a questo como correta, mas gerou polmica. Item certo. Item II. Segundo a norma ISO 17799:2005 no backup das informaes deve ser implantado o seguinte controle: Um nvel mnimo de informaes de backup, juntamente com registros completos e exatos das cpias backup e procedimentos documentados de restaurao, devem ser armazenados em um local remoto, a uma distncia segura para escapar de quaisquer danos no caso de um desastre no site
v. 3.0
69
CURSO ON-LINE PACOTE DE QUESTES COMENTADAS PARA MPU NOES DE INFORMTICA EM EXERCCIOS PROFESSORA: PATRCIA LIMA QUINTO principal. Pelo menos trs geraes ou ciclos de informaes backup devem ser guardados para as aplicaes importantes para o negcio. Item certo. Item III. Segundo a norma ISO 17799:2005 no backup das informaes deve ser implantado o seguinte controle: A mdia dos backups deve ser regularmente testada, onde praticvel, para garantir que eles so confiveis para uso emergencial quando necessrio. Os procedimentos para backup de sistemas individuais devem ser regularmente testados para assegurar que eles satisfaam os requisitos dos planos de continuidade do negcio. Item certo. GABARITO: letra D. 39. (FGV/2008/SEFAZ-RJ/Fiscal de Rendas) Analise a citao abaixo, relacionada s fraudes na Internet. Como se no bastassem vrus e spam, agora, os internautas tm que ficar atentos para outro tipo de ameaa: as fraudes online. A prtica sempre a mesma: um e-mail chega Caixa de Entrada do programa de correio eletrnico oferecendo promoes e vantagens, ou solicitando algum tipo de recadastramento. A isca para pescar os usurios so empresas conhecidas, como bancos, editoras de jornais e revistas, e lojas de comrcio eletrnico. Os golpes so bem elaborados, mas basta um pouco de ateno para verificar uma srie de incoerncias. Em geral, as mensagens so similares s originais enviadas pelas empresas, e muitas delas tm links para sites que tambm so cpias dos verdadeiros. Mas, nos dois casos, possvel ver imagens quebradas, textos fora de formatao e erros de portugus - algo difcil de ocorrer com empresas que investem tanto em marketing para atrair clientes. Bom... e o que esses fraudadores querem, afinal? Em alguns casos, o propsito fazer o internauta preencher um formulrio no site falso, enviando informaes pessoais. Outras mensagens pedem apenas que o usurio baixe um arquivo por exemplo, um suposto questionrio que, na verdade, um programa que envia os dados pessoais e financeiros por meio da Internet. De qualquer forma, bom ficar de olho na sua Caixa de Entrada. A citao caracteriza o uso de um tipo de fraude na Internet conhecido por: (A) Keylogger Malware (B) Denial of Service (C) Hoax Spammer (D) Phishing Scam
v. 3.0
70
CURSO ON-LINE PACOTE DE QUESTES COMENTADAS PARA MPU NOES DE INFORMTICA EM EXERCCIOS PROFESSORA: PATRCIA LIMA QUINTO (E) Trojan Horse Resoluo Essa questo bem simples e destaca o Golpe de Phishing Scam (ou simplesmente Golpe de Phishing), muito cobrado nas provas de concursos! O Phishing (ou Phishing scam) foi um termo criado para descrever o tipo de fraude que se d atravs do envio de mensagem no solicitada, que se passa por comunicao de uma instituio conhecida, como um banco, rgo do governo (Receita Federal, INSS e Ministrio do Trabalho so os mais comuns) ou site popular, e que procura induzir o acesso a pginas fraudulentas (falsificadas), projetadas para furtar dados pessoais e financeiros de usurios desavisados. A palavra phishing (de fishing) vem de uma analogia criada pelos fraudadores, em que iscas (e-mails) so usadas para pescar informaes sensveis (senhas e dados financeiros, por exemplo) de usurios da Internet. Atualmente, este termo vem sendo utilizado tambm para se referir aos seguintes casos: mensagem que procura induzir o usurio instalao de cdigos maliciosos, projetados para furtar dados pessoais e financeiros; mensagem que, no prprio contedo, apresenta formulrios para o preenchimento e envio de dados pessoais e financeiros de usurios. O objetivo principal de um scammer (indivduo que implementa o Golpe de Phishing Scam) obter a autenticao. Isto quer dizer, reunir as informaes necessrias para se fazer passar pela VTIMA e obter alguma vantagem financeira. Em seguida, aps obter os dados do carto de crdito, fazer compras pela Internet; aps obter os dados da conta corrente ou poupana, fazer compras on-line, pagamentos ou transferncias; dentre outros. A prxima figura ilustra alguns dos temas mais explorados pelos scammers no Golpe de Phishing Scam.
v. 3.0
71
GABARITO: letra D. 40. (ESAF/2007/SEFAZ-CE) Analise as seguintes afirmaes relacionadas a conceitos bsicos de Segurana da Informao. I. Um firewall, instalado entre uma rede LAN e a Internet, tambm utilizado para evitar ataques a qualquer mquina desta rede LAN partindo de mquinas da prpria rede LAN. II. A confidenciabilidade a propriedade de evitar a negativa de autoria de transaes por parte do usurio, garantindo ao destinatrio o dado sobre a autoria da informao recebida. III. Na criptografia de chaves pblicas, tambm chamada de criptografia assimtrica, uma chave utilizada para criptografar e uma chave diferente utilizada para decriptografar um arquivo. IV. Uma das finalidades da assinatura digital evitar que alteraes feitas em um documento passem sem ser percebidas. Nesse tipo de procedimento, o documento original no precisa estar criptografado. Indique a opo que contenha todas as afirmaes verdadeiras. a) I e II b) II e III c) III e IV d) I e III e) II e IV Resoluo Item I. O firewall instalado entre uma rede LAN e a Internet no tem como funcionalidade proteger ataques providos de mquinas da rede interna para outras mquinas da mesma rede. Se o ataque partir de uma mquina dentro da prpria rede, o ataque no passar pelo firewall para chegar ao alvo, logo, no ser filtrado! Nesse caso, o firewall ir proteger ataques da rede interna para a Internet e viceversa. Lembrando-se que se pode implementar um firewall para evitar ataques entre mquinas internas, isso depender do projeto da soluo em questo. Item FALSO.
v. 3.0
72
CURSO ON-LINE PACOTE DE QUESTES COMENTADAS PARA MPU NOES DE INFORMTICA EM EXERCCIOS PROFESSORA: PATRCIA LIMA QUINTO Item II. O termo mais apropriado na questo confidencialidade, mas a banca j usou diversas vezes, h tempos atrs, o termo confidenciabilidade. No entanto, dentro do contexto da questo, nenhum dos 2 estaria correto!! O conceito mostrado descreve a irretratabilidade, tambm chamada de no-repdio, e no a confidenciabilidade como mencionado no enunciado. Irretratabilidade o mecanismo para garantir que o emissor da mensagem ou participante de um processo no negue posteriormente a sua autoria.Item FALSO. Item III. Questo fcil!! Na criptografia de chaves pblicas ou chaves assimtricas so utilizadas duas chaves na comunicao, uma para criptografar a informao (chave pblica) e outra para decriptografar (chave privada). Item VERDADEIRO. Item IV. O processo de assinatura digital utiliza o recurso de hash (resumo da mensagem), que tem a funo de dar garantias de que saibamos se uma mensagem foi ou no foi alterada durante seu trnsito (como um e-mail quando atravessa a internet). Para assinar uma mensagem de e-mail, no necessrio criptograf-la (so dois recursos diferentes). Item VERDADEIRO. GABARITO: letra C. 41. Trata-se de um software malicioso que, ao infectar um computador, criptografa todo ou parte do contedo do disco rgido. Os responsveis pelo software exigem da vtima, um pagamento pelo resgate dos dados. (A)Bot (B)DoS (C)Conficker (D)Pharming (E)Ransomware Resoluo Item A. Bot: rob. um worm capaz de se propagar automaticamente, explorando vulnerabilidades existentes ou falhas na configurao de softwares instalados em um computador. Tambm dispe de mecanismos de comunicao com o invasor (cracker), permitindo que seja controlado remotamente. Item FALSO. Item B. DoS (Negao de Servio Denial of Service): a forma mais conhecida de ataque que consiste na perturbao de um servio. Para provocar um DoS, os atacantes disseminam vrus, geram grandes volumes de trfego de forma artificial, ou muitos pedidos aos servidores
v. 3.0
73
CURSO ON-LINE PACOTE DE QUESTES COMENTADAS PARA MPU NOES DE INFORMTICA EM EXERCCIOS PROFESSORA: PATRCIA LIMA QUINTO que causam sobrecarga e estes ltimos ficam impedidos de processar os pedidos normais. DDoS (Negao de Servio Distribudo Distributed Denial of Service): um ataque DoS ampliado, ou seja, que utiliza at milhares de computadores para atacar uma determinada mquina. Utiliza a tecnologia de "Intruso Distribuda" - para iniciar um ataque, no lugar de um nico computador, so utilizados centenas ou milhares de computadores desprotegidos e ligados na Internet.
Fonte: (SOARES, 2009) Item FALSO. Item C. Solto na Internet desde novembro/2008, Worm (verme) que se propaga explorando uma segurana) no Windows. Essa brecha foi corrigida mas nem todos os usurios/empresas aplicam segurana! Item FALSO. o Conficker um brecha (falha de em outubro/2008, as correes de
Item D. Pharming (Envenenamento de Cache DNS DNS Cache Poisoning): um ataque que consiste basicamente em modificar a relao entre o nome de um site ou computador e seu endereo IP correspondente. Neste ataque, um servidor de nomes (servidor DNS) comprometido, de tal forma que as requisies de acesso a um site feitas pelos usurios deste servidor sejam redirecionadas a outro endereo. Um ataque pharming tambm pode alterar o arquivo hosts - localizado no computador do usurio-, manipulando os endereos IPs correspondentes s suas devidas URLs. Ex.: Ao atacar um servidor DNS, o IP do site www.teste.com.br poderia ser mudado de 65.150.162.57 para 209.86.194.103, enviando o usurio para a pgina relacionada ao IP incorreto. Item FALSO.
v. 3.0
74
CURSO ON-LINE PACOTE DE QUESTES COMENTADAS PARA MPU NOES DE INFORMTICA EM EXERCCIOS PROFESSORA: PATRCIA LIMA QUINTO Item E. Ransomwares so ferramentas para crimes de extorso extremamente ilegais. O ransomware funciona da seguinte forma: ele procura por diversos tipos diferentes de arquivos no HD (disco rgido) do computador atacado e os comprime num arquivo protegido por senha; a partir da, a vtima pressionada a depositar quantias em contas do tipo e-gold (contas virtuais que utilizam uma unidade monetria especfica e que podem ser abertas por qualquer um na rede sem grandes complicaes); uma vez pagos, os criminosos fornecem a senha necessria para que os dados voltem a ser acessados pela vtima. Item VERDADEIRO. GABARITO: letra E. 42. (FGV/2008/SEFAZ-RJ/Fiscal de Rendas) Analise os casos descritos a seguir, referentes a fraudes envolvendo o comrcio eletrnico e Internet Banking. I. O usurio recebe um e-mail de um suposto funcionrio da instituio que mantm o site de comrcio eletrnico ou de um banco, que persuade o usurio a fornecer informaes sensveis, como senhas de acesso ou nmero de cartes de crdito. II. Um hacker compromete o DNS do provedor do usurio, de modo que todos os acessos a um site de comrcio eletrnico ou Internet Banking so redirecionados para uma pgina Web falsificada, semelhante ao site verdadeiro, com o objetivo de o atacante monitorar todas as aes do usurio, como a digitao de sua senha bancria. Nesta situao, normalmente o usurio deve aceitar um novo certificado (que no corresponde ao site verdadeiro), e o endereo mostrado no browser do usurio diferente do endereo correspondente ao site verdadeiro. III. O usurio recebe um e-mail, cujo remetente o gerente do seu banco e que contm uma mensagem que solicita a execuo pelo usurio de um programa anexo ao e-mail recebido, a ttulo de obter acesso mais rpido s informaes mais detalhadas em sua conta bancria. IV. O usurio utiliza computadores de terceiros para acessar sites de comrcio eletrnico ou de Internet Banking, possibilitando o monitoramento de suas aes, incluindo a digitao de senhas ou nmero de cartes de crdito, por meio de programas especificamente projetados para esse fim.
v. 3.0
75
CURSO ON-LINE PACOTE DE QUESTES COMENTADAS PARA MPU NOES DE INFORMTICA EM EXERCCIOS PROFESSORA: PATRCIA LIMA QUINTO Constituem exemplos de fraudes resultantes de Engenharia Social os casos identificados em: (A) I e II. (B) I e III. (C) II e III. (D) II e IV. (E) III e IV. Resoluo Engenharia Social uma tcnica em que o atacante (se fazendo passar por outra pessoa) utiliza-se de meios, como uma ligao telefnica ou e-mail, para PERSUADIR o usurio a fornecer informaes ou realizar determinadas aes. Exemplo: algum desconhecido liga para a sua casa e diz ser do suporte tcnico do seu provedor de acesso. Nesta ligao ele informa que sua conexo com a Internet est apresentando algum problema e, ento, solicita sua senha para corrigi-lo. Caso a senha seja fornecida por voc, este suposto tcnico poder realizar uma infinidade de atividades maliciosas com a sua conta de acesso Internet e, portanto, relacionando tais atividades ao seu nome. Vamos resoluo da questo: Item I. A descrio envolve o uso da engenharia social, j que algum (via e-mail neste caso, poderia ser por telefone!) faz uso da persuaso, da ingenuidade ou confiana do usurio, para obter informaes como nmero do carto de crdito e senha do usurio. O item I VERDADEIRO. Item II. Nesse caso, como no houve contato entre o hacker e a vtima, o golpe no pode ser configurado como engenharia social. O golpe em destaque intitulado Pharming (tambm conhecido como DNS Poisoining - envenamento de DNS). O item II FALSO. isso mesmo pessoal!! Muita ateno neste tipo de golpe! O enunciado do item II o descreve claramente, e gostaria de complementar .... O Pharming um tipo de golpe bem mais elaborado que o Phishing, pois envolve algum tipo de redirecionamento da vtima para sites fraudulentos, atravs de alteraes nos servios de resoluo de nomes (DNS). Lembre-se de que no Pharming o servidor DNS do provedor do usurio comprometido, de modo que todos os acessos a um site
v. 3.0
76
CURSO ON-LINE PACOTE DE QUESTES COMENTADAS PARA MPU NOES DE INFORMTICA EM EXERCCIOS PROFESSORA: PATRCIA LIMA QUINTO de comrcio eletrnico ou Internet Banking so redirecionados para uma pgina Web falsificada, semelhante ao site verdadeiro, com o objetivo de o atacante monitorar todas as aes do usurio, como a digitao de sua senha bancria. Exemplo: pode envolver alterao, no servidor DNS, do endereo IP associado ao endereo www.bradesco.com.br para que aponte para um site rplica do banco Bradesco. Item III. Novamente, o usurio recebe uma mensagem do suposto gerente do banco, induzindo-o a executar um programa qualquer. O item III VERDADEIRO. Item IV. No h engenharia social neste caso. O item IV FALSO. GABARITO: letra B. 43. (ESAF/2006/CGU-TI) crescente o nmero de incidentes de segurana causados por vrus de computador e suas variaes. Com isso, as organizaes esto enfrentando o problema com o rigor e cuidados merecidos. Nesse contexto, correto afirmar que A) cavalos de tria so variaes de vrus que se propagam e possuem um mecanismo de ativao (evento ou data) e uma misso. B) vrus polimrficos suprimem as mensagens de erro que normalmente aparecem nas tentativas de execuo da atividade no-autorizada, utilizando, muitas vezes, criptografia para no serem detectados por anti-vrus. C) os vrus de macro utilizam arquivos executveis como hospedeiros, inserindo macros com as mesmas funes de um vrus em tais arquivos. D) softwares anti-vrus controlam a integridade dos sistemas e compreendem trs etapas: preveno,deteco e reao, nesta ordem. E) vrus geram cpias de si mesmo afim de sobrecarregarem um sistema, podendo consumir toda a capacidade do processador, memria ou espao em disco, eventualmente. Resoluo Caso no tenha conseguido resolver esta questo, consulte os detalhes sobre malware e seus tipos listados anteriormente.
v. 3.0
77
CURSO ON-LINE PACOTE DE QUESTES COMENTADAS PARA MPU NOES DE INFORMTICA EM EXERCCIOS PROFESSORA: PATRCIA LIMA QUINTO Item A. O cavalo de tria um outro elemento da categoria de malware, que distingue-se de um vrus ou worm por no infectar outros arquivos, nem propagar cpias de si mesmo automaticamente. Normalmente um cavalo de tria consiste em um nico arquivo que necessita ser explicitamente executado. Item FALSO. Item B. Os vrus polimrficos alteram seu formato a cada nova infeco, dificultando sua deteco. Item FALSO. Item C. Os vrus de macro infectam os arquivos dos programas Microsoft Office (Word, Excel, PowerPoint e Access). Item FALSO. Item D. importante termos instalado em nosso computador e no da empresa um programa antivrus capaz de detectar a presena de malware (vrus, vermes, cavalos de tria, etc) em e-mails ou arquivos do computador. Esse utilitrio conta, muitas vezes, com a vacina capaz de matar o malware e deixar o arquivo infectado sem a ameaa. Alguns fornecedores de programas antivrus distribuem atualizaes regulares do seu produto. Muitos programas antivrus tm um recurso de atualizao automtica. Quando o programa antivrus atualizado, informaes sobre novos vrus so adicionadas a uma lista de vrus a serem verificados. Quando no possui a vacina, ele, pelo menos, tem como detectar o vrus, informando ao usurio acerca do perigo que est iminente. Vamos a um exemplo sobre preveno!! Tenho hoje 4000 mquinas com antivrus McAfee, e se uma das demais camadas de proteo (IPS, filtro de mensagens maliciosas, etc) falhar, temos uma proteo adicional nas estaes de trabalho. O antivrus faz um scam "on access", ou seja, no momento em que o arquivo acessado, e se for detectado algum cdigo malicioso no arquivo o sistema j o barra instantaneamente. Isso preveno!!! Antes que o vrus fosse carregado para a memria o sistema j o isolou, enviando para quarentena ou excluindo o vrus do arquivo. Item VERDADEIRO. Item E. A resposta correta worm, e no vrus. O worm (verme) explora deficincias de segurana nos equipamentos e propaga-se de forma autnoma na Internet. Item FALSO. GABARITO: letra D. 44. (ESAF/2005/AFRFB) Alguns tipos de malware tentam atingir um objeto portador, tambm conhecido como hospedeiro, para infect-lo. O nmero e tipo de objetos portadores que so alvos
v. 3.0
78
CURSO ON-LINE PACOTE DE QUESTES COMENTADAS PARA MPU NOES DE INFORMTICA EM EXERCCIOS PROFESSORA: PATRCIA LIMA QUINTO variam com as caractersticas dos malwares. Entre os portadoresalvo mais comuns, as macros a) so arquivos que suportam linguagens como Microsoft Visual Basic Script, JavaScript, AppleScript ou PerlScript. As extenses dos arquivos desse tipo so: .vbs, .js, .wsh e .prl. b) so arquivos que suportam uma linguagem script de macro de um aplicativo especfico, como um processador de texto, uma planilha eletrnica ou um aplicativo de banco de dados. Por exemplo, os vrus podem usar as linguagens de macro no Microsoft Word para causar vrios efeitos, que podem variar de prejudiciais, como trocar palavras ou mudar as cores em um documento, a mal-intencionados, como formatar o disco rgido do computador. c) so o alvo do vrus clssico que replicado anexando-se a um programa hospedeiro. Alm dos arquivos tpicos que usam a extenso das macros, arquivos com as seguintes extenses tambm podem ser usados com essa finalidade: .com, .sys, .dll, .ovl,.ocx e .prg. d) so arquivos localizados em reas especficas dos discos do computador (discos rgidos e mdias removveis inicializveis), como o registro mestre de inicializao (MBR). e) so arquivos localizados no registro de inicializao do DOS e so capazes de executar cdigos mal intencionados. Quando o registro de um disco de inicializao infectado, a replicao ser efetivada se ele for usado para iniciar os sistemas de outros computadores. Resoluo Vide os comentrios sobre vrus de macro, na cartilha disponvel em http://cartilha.cert.br/malware/sec1.html. O texto est replicado a seguir: Uma macro um conjunto de comandos que so armazenados em alguns aplicativos e utilizados para automatizar algumas tarefas repetitivas. Um exemplo seria, em um editor de textos, definir uma macro que contenha a sequncia de passos necessrios para imprimir um documento com a orientao de retrato e utilizando a escala de cores em tons de cinza. Um vrus de macro escrito de forma a explorar esta facilidade de automatizao e parte de um arquivo que normalmente manipulado por algum aplicativo que utiliza macros. Para que o vrus possa ser executado, o arquivo que o contm precisa ser aberto e, a partir da, o vrus pode executar uma srie de comandos automaticamente e infectar outros arquivos no computador.
v. 3.0
79
CURSO ON-LINE PACOTE DE QUESTES COMENTADAS PARA MPU NOES DE INFORMTICA EM EXERCCIOS PROFESSORA: PATRCIA LIMA QUINTO Existem alguns aplicativos que possuem arquivos base (modelos) que so abertos sempre que o aplicativo executado. Caso este arquivo base seja infectado pelo vrus de macro, toda vez que o aplicativo for executado, o vrus tambm ser. Arquivos nos formatos gerados por programas da Microsoft, como o Word, Excel, Powerpoint e Access, so os mais suscetveis a este tipo de vrus. Arquivos nos formatos RTF, PDF e PostScript so menos suscetveis, mas isso no significa que no possam conter vrus. Complementando, o principal alvo de um vrus de macro o arquivo NORMAL.DOT, responsvel pela configurao do Word. A partir de sua contaminao, torna-se ultra rpida a infeco de outros documentos, pois a cada vez que se abre ou se cria um novo documento, o NORMAL.DOT executado. As avarias causadas pelos vrus de macro vo desde a simples alterao dos menus do Word, da fragmentao de textos, at a alterao de arquivos de lote como o autoexec.bat, que pode receber uma linha de comando do DOS, como por exemplo: DELTREE, que apagar parcial ou totalmente o contedo do disco rgido, assim que o computador for inicializado. Nesse ponto, podem-se utilizar comandos especficos para formatar o disco, dentre outros. GABARITO: letra B. 45. (ESAF/2005/AFRFB) Em relao a vrus de computador correto afirmar que, entre as categorias de malware, o Cavalo de Tria um programa que a) usa um cdigo desenvolvido com a expressa inteno de se replicar. Um Cavalo de Tria tenta se alastrar de computador para computador incorporando-se a um programa hospedeiro. Ele pode danificar o hardware, o software ou os dados. Quando o hospedeiro executado, o cdigo do Cavalo de Tria tambm executado, infectando outros hospedeiros e, s vezes, entregando uma carga adicional. b) pode ser executado e pode se alastrar sem a interveno do usurio, enquanto alguns variantes desta categoria de malware exigem que os usurios executem diretamente o cdigo do Cavalo de Tria para que eles se alastrem. Os Cavalos de Tria tambm podem entregar uma carga alm de se replicarem. c) usa um cdigo mal-intencionado auto-propagvel que pode se distribuir automaticamente de um computador para outro atravs das conexes de rede. Um Cavalo de Tria pode desempenhar aes
v. 3.0
80
CURSO ON-LINE PACOTE DE QUESTES COMENTADAS PARA MPU NOES DE INFORMTICA EM EXERCCIOS PROFESSORA: PATRCIA LIMA QUINTO nocivas, como consumir recursos da rede ou do sistema local,possivelmente causando um ataque de negao de servio. d) no pode ser considerado um vrus ou um verme de computador porque tem a caracterstica especial de se propagar. Entretanto, um Cavalo de Tria pode ser usado para copiar um vrus ou um verme em um sistema-alvo como parte da carga do ataque, um processo conhecido como descarga. A inteno tpica de um Cavalo de Tria interromper o trabalho do usurio ou as operaes normais do sistema. Por exemplo, o Cavalo de Tria pode fornecer uma porta dos fundos no sistema para que um hacker roube dados ou altere as definies da configurao. e) parece til ou inofensivo, mas contm cdigos ocultos desenvolvidos para explorar ou danificar o sistema no qual executado. Os cavalos de tria geralmente chegam aos usurios atravs de mensagens de e-mail que disfaram a finalidade e a funo do programa. Um Cavalo de Tria faz isso entregando uma carga ou executando uma tarefa mal-intencionada quando executado. Resoluo Um cavalo de tria (trojan horse) um programa aparentemente normal e inofensivo (jogo, screen-saver etc) que carrega dentro de si instrues que no so originalmente suas, inseridas com um propsito danoso, como: alterao ou destruio de arquivos; furto de senhas e outras informaes sensveis, como n de cartes de crdito; incluso de backdoors, para permitir que um atacante tenha total controle sobre o computador. O cavalo de tria distingue-se de um vrus ou de um worm por no infectar outros arquivos, nem propagar cpias de si mesmo automaticamente!!! (Lembre-se disso, vai ser til para voc em provas futuras!) GABARITO: letra E. 46. (ESAF/2005/MPOG) O princpio Segurana da Informao significa que do menor privilgio em
a) todos os usurios do sistema sero considerados convidados. b) ser especificado o que proibido, todo o restante ser permitido.
v. 3.0
81
CURSO ON-LINE PACOTE DE QUESTES COMENTADAS PARA MPU NOES DE INFORMTICA EM EXERCCIOS PROFESSORA: PATRCIA LIMA QUINTO c) qualquer objeto s pode ter permisses bsicas para executar as suas tarefas, e nenhuma outra. d) haver uma segurana mnima no sistema, mas que no ser possvel garantir a segurana contra a exposio e os danos causados por ataques especficos. e) haver um ponto de estrangulamento onde tudo ser proibido, dependendo apenas da profundidade de defesa do sistema. Resoluo O princpio do menor privilgio (Least Privilege) destaca que os acessos sejam reduzidos ao mnimo necessrio para execuo das atividades profissionais. O foco neste caso garantir os aspectos bsicos de segurana da informao, evitando a utilizao indevida que venha afetar a integridade e a disponibilidade das informaes. Tal princpio importante para todos os administradores de redes nunca d a uma conta de usurio mais privilgios do que o absolutamente necessrio! A aplicao desse princpio diminui o risco de se ter um incidente de segurana, ou acesso no autorizado aos sistemas da empresa. GABARITO: letra C. 47. (ESAF/2008/PSS) Com relao s tcnicas de segurana da informao, uma poltica de segurana deve conter elementos que dizem respeito a tudo aquilo que essencial para combate s adversidades. Com relao a esses elementos essenciais, a Vigilncia prega: a) a criatividade quanto s definies da poltica e do plano de defesa contra intruses. b) o correto planejamento, pois a segurana deve fazer parte de um longo e gradual processo dentro da organizao. c) que todos os membros da organizao devem entender a importncia da segurana, atuando como guardies da rede. d) uma soluo tecnolgica adaptativa e flexvel, a fim de suprir as necessidades estratgicas da organizao. e) uma economia na aplicao de novas tecnologias, pois estas no so vulnerveis a novos ataques. Resoluo Todos os membros da empresa so responsveis pela segurana da informao!!
v. 3.0
82
CURSO ON-LINE PACOTE DE QUESTES COMENTADAS PARA MPU NOES DE INFORMTICA EM EXERCCIOS PROFESSORA: PATRCIA LIMA QUINTO GABARITO: letra C. 48. (FUNRIO/2009/Analista de Seguro Social Servio Social) Qual das alternativas abaixo d nome ao tipo de ameaa propagada por meio de mensagens fraudulentas, chamadas de spam, caracterizada por um tipo de fraude concebida para obter informaes pessoais sobre o usurio de Internet, convencendo-o a facultar-lhe essas informaes sob falsos pretextos? A) Adware B) Cavalo de Tria C) Phishing D) Retrovirus E) Vrus de macro Resoluo Item A. Adware (Advertising software) um software projetado para exibir anncios de propaganda em seu computador. Nem sempre so necessariamente maliciosos! Um adware malicioso pode abrir uma janela do navegador apontando para pginas de cassinos, vendas de remdios, pginas pornogrficas, etc. Item FALSO. Item B. O cavalo de tria um programa aparentemente inofensivo que entra em seu computador na forma de carto virtual, lbum de fotos, protetor de tela, jogo, etc, e que, quando executado, parece lhe divertir, mas, por trs abre portas de comunicao do seu computador para que ele possa ser invadido. Item FALSO. Item C. Esta questo destaca o golpe de Phishing Scam (ou simplesmente golpe de Phishing), muito cobrado nas provas de concursos! Item VERDADEIRO. O Phishing (ou Phishing scam) foi um termo criado para descrever o tipo de fraude que se d atravs do envio de mensagem no solicitada, que se passa por comunicao de uma instituio conhecida, como um banco, rgo do governo (Receita Federal, INSS e Ministrio do Trabalho so os mais comuns) ou site popular. Nesse caso, a mensagem procura induzir o usurio a acessar pginas fraudulentas (falsificadas), projetadas para furtar dados pessoais e financeiros de usurios desavisados. Item D. Retrovrus um tipo de ameaa que tem como objetivo principal a infeco do prprio antivrus! Ex: Goldbug, Crepate. Item FALSO.
v. 3.0
83
CURSO ON-LINE PACOTE DE QUESTES COMENTADAS PARA MPU NOES DE INFORMTICA EM EXERCCIOS PROFESSORA: PATRCIA LIMA QUINTO Item E. Vrus de macro infectam os arquivos dos programas Microsoft Office (Word, Excel, PowerPoint e Access). Esses vrus so normalmente criados com a linguagem de programao VBA (Visual Basic para Aplicaes) e afetam apenas os programas que usam essa linguagem (o Office, por exemplo). Os vrus de macro vinculam suas macros a modelos de documentos (templates) e/ou a outros arquivos de modo que, quando um aplicativo carrega o arquivo e executa as instrues nele contidas, as primeiras instrues executadas sero as do vrus. So parecidos com outros vrus em vrios aspectos: so cdigos escritos para que, sob certas condies, se reproduza, fazendo uma cpia de si mesmo. Podem causar danos, apresentar uma mensagem ou fazer qualquer coisa que um programa possa fazer. Item FALSO. Voc sabia!! Uma macro um conjunto de comandos que so armazenados em alguns aplicativos e utilizados para automatizar algumas tarefas repetitivas. GABARITO: letra C. 49. (FUNRIO/2007/Prefeitura Municipal de Maric) Juvncio recebeu um e-mail reportando que seu CPF estava cadastrado no Sistema de Proteo ao Crdito. Mesmo no havendo possibilidade disso acontecer, pois paga suas contas em dia ele, inadvertidamente, clicou no link que havia no corpo do e-mail. O link remetia para o seguinte endereo: http://www.vocecaiu.com/invadi.exe. A partir desse momento, o programa executado (invadi.exe) se instalou na mquina e capturou sua senha de banco. Esse um procedimento caracterstico de infeco por: A) vrus de boot B) vrus de macro C) worm D) trojan E) spam Resoluo Realmente a questo seria muito mais interessante se a banca tivesse explorado o tipo de golpe que aconteceu no caso mencionado. Vamos aos comentrios dos itens: Itens A e B. Para o entendimento dos itens A e B, cabe mencionar o conceito de vrus e seus principais tipos. Vrus: um programa ou parte de um programa de computador, normalmente malicioso, que se propaga infectando, isto , inserindo cpias de si mesmo e se tornando parte de outros programas e
84
CURSO ON-LINE PACOTE DE QUESTES COMENTADAS PARA MPU NOES DE INFORMTICA EM EXERCCIOS PROFESSORA: PATRCIA LIMA QUINTO arquivos de um computador. O vrus depende da execuo do programa ou arquivo hospedeiro para que possa se tornar ativo e dar continuidade ao processo de infeco. Para que um computador seja infectado por um vrus, necessrio que um programa previamente infectado seja executado, e o vrus pode se propagar sem que o usurio perceba. Alguns vrus so inofensivos, outros, porm, podem danificar um sistema operacional e os programas de um computador. A seguir listamos os 2 tipos de vrus mencionados na questo, vrus de macro e vrus de boot. Vrus de macro: Uma macro um conjunto de comandos que so armazenados em alguns aplicativos e utilizados para automatizar determinadas tarefas repetitivas em editores de texto e planilhas. Um vrus de macro escrito de forma a explorar esta facilidade de automatizao e parte de um arquivo que normalmente manipulado por algum aplicativo que utiliza macros. Para que o vrus possa ser executado, o arquivo que o contm precisa ser aberto. A partir da, o vrus vai executar uma srie de comandos automaticamente e infectar outros arquivos no computador. Vrus de boot: infectam o setor de boot de um disco - ou seja, o registro de inicializao de disquetes e discos rgidos. Os vrus de boot se copiam para esta parte do disco e so ativados quando o usurio tenta iniciar o sistema operacional a partir do disco infectado. Outros tipos de vrus comumente encontrados so listados em seguida: Vrus de programa: infectam arquivos de programa (de inmeras extenses, como .exe, .com,.vbs, .pif); Vrus stealth: programado para se esconder e enganar o antivrus durante uma varredura deste programa. Tem a capacidade de se remover da memria temporariamente para evitar que antivrus o detecte; Vrus polimrficos: alteram seu formato (mudam de forma) constantemente. A cada nova infeco, esses vrus geram uma nova seqncia de bytes em seu cdigo, para que o antivrus se confunda na hora de executar a varredura e no reconhea o invasor; Vrus de script: propagam-se por meio de scripts, nome que designa uma sequncia de comandos previamente estabelecidos e que so executados automaticamente em um sistema, sem
85
CURSO ON-LINE PACOTE DE QUESTES COMENTADAS PARA MPU NOES DE INFORMTICA EM EXERCCIOS PROFESSORA: PATRCIA LIMA QUINTO necessidade de interveno do usurio. Dois tipos de scripts muito usados so os projetados com as linguagens Javascript (JS) e Visual Basic Script (VBS). Segundo Oliveira (2008) tanto um quanto o outro podem ser inseridos em pginas Web e interpretados por navegadores como Internet Explorer e outros. Os arquivos Javascript tornaram-se to comuns na Internet que difcil encontrar algum site atual que no os utilize. Assim como as macros, os scripts no so necessariamente malficos. Na maioria das vezes executam tarefas teis, que facilitam a vida dos usurios prova disso que se a execuo dos scripts for desativada nos navegadores, a maioria dos sites passar a ser apresentada de forma incompleta ou incorreta; Vrus de celular: propaga de telefone para telefone atravs da tecnologia bluetooth ou da tecnologia MMS (Multimedia Message Service). O servio MMS usado para enviar mensagens multimdia, isto , que contm no s texto, mas tambm sons e imagens, como vdeos, fotos e animaes. A infeco ocorre da seguinte forma: o usurio recebe uma mensagem que diz que seu telefone est prestes a receber um arquivo e permite que o arquivo infectado seja recebido, instalado e executado em seu aparelho; o vrus, ento, continua o processo de propagao para outros telefones, atravs de uma das tecnologias mencionadas anteriormente. Os vrus de celular diferem-se dos vrus tradicionais, pois normalmente no inserem cpias de si mesmos em outros arquivos armazenados no telefone celular, mas podem ser F-Secure divulgou especificamente projetados para reproduo de uma sobrescrever arquivos de aplicativos ou mensagem infectada do sistema operacional instalado no (INFOGUERRA, 2005) aparelho. Depois de infectar um telefone celular, o vrus pode realizar diversas atividades, tais como: destruir/sobrescrever arquivos, remover contatos da agenda, efetuar ligaes telefnicas,
v. 3.0
86
CURSO ON-LINE PACOTE DE QUESTES COMENTADAS PARA MPU NOES DE INFORMTICA EM EXERCCIOS PROFESSORA: PATRCIA LIMA QUINTO o aparelho fica desconfigurado e tentando se conectar via Bluetooth com outros celulares, a bateria do celular dura menos do que o previsto pelo fabricante, mesmo quando voc no fica horas pendurado nele; emitir algumas mensagens multimdia esquisitas; tentar se propagar para outros telefones. Segundo Baio e Ferreira (2008), j so contabilizados desde 2008 mais de 362 tipos de vrus. A maioria deles (80%) so cavalosde-tria. Spams e spywares, ao contrrio do que se possa imaginar, so minoria (4%). Na mira das pragas, esto os celulares com tecnologia Bluetooth responsvel por 70% das contaminaes e as mensagens multimdia (MMS).
Os itens A e B so FALSOS. Item C. Worm um programa capaz de propagar automaticamente atravs de redes, enviando cpias de si mesmo de computador para computador (observe que os worms apenas se copiam, no infectam outros arquivos, eles mesmos so os arquivos!!). Alm disso, geralmente utilizam as redes de comunicao para infectar outros computadores (via e-mails, Web, FTP, redes das empresas etc). Portanto, diferentemente do vrus, o worm no embute cpias de si mesmo em outros programas ou arquivos e no necessita ser explicitamente executado para se propagar. Sua propagao ocorre atravs da explorao de vulnerabilidades existentes ou falhas na configurao de softwares instalados em computadores. Os worms geram muitas perdas pelo consumo de recursos que provocam. Degradam sensivelmente o desempenho de redes e podem lotar o disco rgido de computadores, devido grande quantidade de cpias de si mesmo, gerando grandes transtornos para aqueles que esto recebendo tais cpias. Item FALSO. Item D. Na informtica, um cavalo de tria (trojan horse) um programa, normalmente recebido como um presente (por exemplo, carto virtual, lbum de fotos, protetor de tela, jogo, etc.), que, quando
87
CURSO ON-LINE PACOTE DE QUESTES COMENTADAS PARA MPU NOES DE INFORMTICA EM EXERCCIOS PROFESSORA: PATRCIA LIMA QUINTO executado (com a sua autorizao!), alm de executar funes para as quais foi aparentemente projetado, tambm executa outras funes maliciosas e sem o consentimento do usurio, como por exemplo: furto de senhas e outras informaes sensveis, como nmeros de cartes de crdito; incluso de backdoors, para permitir que um atacante tenha total controle sobre o computador; alterao ou destruio de arquivos; instalao de keyloggers (programa capaz de capturar e armazenar as teclas digitadas pelo usurio no teclado de um computador) ou screenloggers (uma variante do keylogger que faz a gravao da tela do usurio, alm do teclado). O cavalo de tria distingue-se de um vrus ou de um worm por no infectar outros arquivos, nem propagar cpias de si mesmo automaticamente. Normalmente um cavalo de tria consiste em um nico arquivo que necessita ser explicitamente executado. Item VERDADEIRO. Item E. Spam o termo usado para se referir aos e-mails no solicitados, que geralmente so enviados para um grande nmero de pessoas. O antispam um programa utilizado para filtrar os e-mails indesejados, principalmente aqueles com propaganda, que lotam a nossa caixa postal. Item FALSO. GABARITO: letra D. Trojan x Phishing Como complemento, gostaria de destacar a diferena entre trojan e phishing, j que por diversas vezes os alunos fizeram esse questionamento. Ento, temos que: Phishing (ou Phishing scam): o nome do GOLPE em que "iscas" (e-mails) so usadas para "pescar" informaes sensveis (senhas e dados financeiros, por exemplo) de usurios da Internet. Atualmente, este termo vem sendo utilizado tambm para se referir aos seguintes casos: o mensagem que procura induzir o usurio instalao de cdigos maliciosos, projetados para furtar dados pessoais e financeiros; o mensagem que, no prprio contedo, apresenta formulrios para o preenchimento e envio de dados pessoais e financeiros de usurios. Trojan (cavalo-de-tria): um tipo de MALWARE (cdigo malicioso) que pode ser recebido pelo usurio em uma "isca" de phishing scam.
88
CURSO ON-LINE PACOTE DE QUESTES COMENTADAS PARA MPU NOES DE INFORMTICA EM EXERCCIOS PROFESSORA: PATRCIA LIMA QUINTO 50. (ESAF/2002/AFPS) Uma forma de proteger os dados de uma organizao contra perdas acidentais a realizao peridica do backup desses dados de uma forma bem planejada. Entre os tipos de backup, no incremental a) feito o backup dos arquivos selecionados ou indicados pelo usurio somente se eles no tiverem marcados como copiados (participado do ltimo backup) ou se tiverem sido alterados, marcando-os como copiados (marca que indica que participaram do ltimo backup). b) feito o backup de todos os arquivos selecionados ou indicados pelo usurio, independentemente de estarem marcados como copiados (participado do ltimo backup), marcando- os como copiados (marca que indica que participaram do ltimo backup). c) feito o backup de todos os arquivos selecionados ou indicados pelo usurio, independentemente de estarem marcados como copiados, mas nenhum marcado como copiado (marca que indica que participaram do ltimo backup). d) feito o backup dos arquivos selecionados ou indicados pelo usurio somente se eles no tiverem marcados como copiados (participado do ltimo backup) ou se tiverem sido alterados, mas nenhum marcado como copiado (marca que indica que participaram do ltimo backup). e) feito o backup apenas dos arquivos selecionados ou indicados pelo usurio que tiverem sido alterados na data corrente, mas no marca nenhum como copiado (marca que indica que participaram do ltimo backup). Resoluo Um backup envolve cpia de dados em um meio separado do original, regularmente, de forma a proteg-los de qualquer eventualidade. No Windows XP, por exemplo, tem-se o software Microsoft Backup, que ir ajud-lo nesta tarefa. Ao clicar com o boto direito do mouse no cone de um arquivo do Windows XP, e selecionar a opo Propriedades; em seguida, guia geral ->Avanado, ser exibida uma caixa o arquivo est pronto para ser arquivado, marcada como padro (No Windows XP, leia-se arquivo morto).
v. 3.0
89
CURSO ON-LINE PACOTE DE QUESTES COMENTADAS PARA MPU NOES DE INFORMTICA EM EXERCCIOS PROFESSORA: PATRCIA LIMA QUINTO A tela seguinte desta a opo de arquivo morto obtida ao clicar com o boto direito do mouse no arquivo intitulado lattes.pdf, do meu computador que possui o sistema operacional Windows Vista.
p Quando um arquivo est com esse atributo marcado, significa que ele dever ser copiado no prximo backup. p Se estiver desmarcada, significa que, provavelmente, j foi feito um backup deste arquivo. Principais TIPOS de Backup NORMAL (TOTAL ou GLOBAL) COPIA TODOS os arquivos e pastas selecionados. DESMARCA o atributo de arquivo morto (arquivamento): limpa os marcadores!! Caso necessite restaurar o backup normal, voc s precisa da cpia mais recente. Normalmente, este backup executado quando voc cria um conjunto de backup pela 1 vez. Agiliza o processo de restaurao, pois somente um backup ser restaurado. INCREMENTAL Copia somente os arquivos CRIADOS ou ALTERADOS desde o ltimo backup normal ou incremental.
v. 3.0
90
CURSO ON-LINE PACOTE DE QUESTES COMENTADAS PARA MPU NOES DE INFORMTICA EM EXERCCIOS PROFESSORA: PATRCIA LIMA QUINTO O atributo de arquivamento (arquivo morto) DESMARCADO: limpa os marcadores!!
DIFERENCIAL Copia somente os arquivos CRIADOS ou ALTERADOS desde o ltimo backup normal ou incremental. O atributo de arquivamento (arquivo morto) NO ALTERADO: no limpa os marcadores!! CPIA (AUXILIAR ou SECUNDRIA) Faz o backup de arquivos e pastas selecionados. O atributo de arquivamento (arquivo morto) NO ALTERADO: no limpa os marcadores! DIRIO Copia todos os arquivos e pastas selecionados que foram ALTERADOS DURANTE O DIA da execuo do backup. O atributo de arquivamento (arquivo morto) NO ALTERADO: no limpa os marcadores! GABARITO: letra A. 51. (Elaborao prpria) Analise a seguinte afirmao relacionada a sistemas de backup: Para recuperar um disco a partir de um conjunto de backups (normal + incremental) ser necessrio recuperar o primeiro backup (normal) e o ltimo incremental. Resoluo Quanto RECUPERAO do backup: p Para recuperar um disco a partir de um conjunto de backups (normal + incremental) ser necessrio o primeiro (normal) e todos os incrementais. p Para recuperar um disco a partir de um conjunto de backups (normal + diferencial) basta o primeiro (normal) e o ltimo diferencial, j que este contm tudo que diferente do primeiro. GABARITO: item FALSO. 52. (ESAF/2008/MPOG/APO-TI) Um dos objetivos da Poltica de Segurana a a) eliminao de ocorrncias. b) reduo dos danos provocados por eventuais ocorrncias. c) criao de procedimentos para sistematizar eventuais danos. d) formalizao de procedimentos para eliminao de ameaas. e) reduo dos custos com segurana.
v. 3.0
91
CURSO ON-LINE PACOTE DE QUESTES COMENTADAS PARA MPU NOES DE INFORMTICA EM EXERCCIOS PROFESSORA: PATRCIA LIMA QUINTO Resoluo Item a. O objetivo aqui especificado est muito vago. Conforme TCU (2007) a Poltica de Segurana de Informaes um conjunto de princpios que norteiam a gesto de segurana de informaes e que deve ser observado pelo corpo tcnico e gerencial e pelos usurios internos e externos. As diretrizes estabelecidas nesta poltica determinam as linhas mestras que devem ser seguidas pela organizao para que sejam assegurados seus recursos computacionais e suas informaes. Item FALSO. Item b. A Poltica de segurana, preferencialmente, deve ser criada antes da ocorrncia de problemas com a segurana, ou depois, para evitar reincidncias! A preveno costuma ser mais barata que a restaurao dos danos provocados pela falta de segurana. Item VERDADEIRO. Itens C e D. composta por um conjunto de regras e padres sobre o que deve ser feito para assegurar que as informaes e servios importantes para a empresa recebam a proteo conveniente, de modo a garantir a sua confidencialidade, integridade e disponibilidade. Itens FALSOS. Item e. Nem sempre os custos sero reduzidos (isso pode acontecer se a empresa gastava demais de forma descontrolada!!). Mas o contrrio tambm poder acontecer, com diminuio dos gastos. Item FALSO. GABARITO: letra B. 53. (ESAF/2008/CGU/AFC/Infraestrutura) Um mecanismo de segurana considerado adequado para garantir controle de acesso a) o firewall. b) a criptografia. c) a funo de hash. d) a assinatura digital. e) o certificado digital. Resoluo Item A. Um firewall um mecanismo de proteo que permite a comunicao entre redes, de acordo com a poltica de segurana definida, e que utilizado quando h uma necessidade de que redes com nveis de confiana variados se comuniquem entre si. Item CERTO.
v. 3.0
92
CURSO ON-LINE PACOTE DE QUESTES COMENTADAS PARA MPU NOES DE INFORMTICA EM EXERCCIOS PROFESSORA: PATRCIA LIMA QUINTO Item B. Criptografia a arte de disfarar uma informao de forma que apenas a pessoa certa possa entend-la. Este tem sido um dos grandes instrumentos de proteo da informao. Item ERRADO. Item C. Hash (Resumo da Mensagem, Message Digest em Ingls) uma funo matemtica que recebe uma mensagem de entrada e gera como resultado um nmero finito de caracteres (dgitos verificadores). uma funo UNIDIRECIONAL: no possvel reconstituir a mensagem a partir do hash. Item ERRADO. Item D. Uma assinatura digital um mecanismo para dar garantia de integridade e autenticidade a arquivos eletrnicos. A assinatura digital prova que a mensagem ou arquivo no foi alterado e que foi assinado pela entidade ou pessoa que possui a chave privada. Item ERRADO. Item E. Um certificado digital um documento eletrnico que identifica pessoas, fsicas ou jurdicas, URLs, contas de usurio, servidores (computadores) dentre outras entidades. Este documento na verdade uma estrutura de dados que contm a chave pblica do seu titular e outras informaes de interesse. Contm informaes relevantes para a identificao real da entidade a que visam certificar (CPF, CNPJ, endereo, nome, etc) e informaes relevantes para a aplicao a que se destinam). Item ERRADO. GABARITO: letra A. 54. (ESAF/2008/CGU/AFC/Infraestrutura) Um plano contingncia no compreende a) respostas imediatas a desastres. b) identificao e compreenso do problema (desastre). c) processo de restaurao. d) conteno de danos e a eliminao das causas. e) anlise crtica dos direitos de acesso dos usurios. de
Resoluo Plano de Contingncias consiste num conjunto de estratgias e procedimentos que devem ser adotados quando a instituio ou uma rea depara-se com problemas que comprometem o andamento normal dos processos e a conseqente prestao dos servios. Essas estratgias e procedimentos devero minimizar o impacto sofrido diante do acontecimento de situaes inesperadas, desastres, falhas de segurana, entre outras, at que se retorne normalidade. O Plano de Contingncias um conjunto de medidas que combinam aes preventivas e de recuperao. Obviamente, os
v. 3.0
93
CURSO ON-LINE PACOTE DE QUESTES COMENTADAS PARA MPU NOES DE INFORMTICA EM EXERCCIOS PROFESSORA: PATRCIA LIMA QUINTO tipos de riscos a que esto sujeitas as organizaes variam no tempo e no espao. Porm, pode-se citar como exemplos de riscos mais comuns a ocorrncia de desastres naturais (enchentes, terremotos, furaces), incndios, desabamentos, falhas de equipamentos, acidentes, greves, terrorismo, sabotagem, aes intencionais. De maneira geral, o Plano de Contingncias contm informaes sobre: condies e procedimentos para ativao do Plano (como se avaliar a situao provocada por um incidente); procedimentos a serem seguidos imediatamente APS a ocorrncia de um desastre (como, por exemplo, contato eficaz com as autoridades pblicas apropriadas: polcia, bombeiro, governo local); a instalao reserva, com especificao dos bens de informtica nela disponveis, como hardware, software e equipamentos de telecomunicaes; a escala de prioridade dos aplicativos, de acordo com seu grau de interferncia nos resultados operacionais e financeiros da organizao. Quanto mais o aplicativo influenciar na capacidade de funcionamento da organizao, na sua situao econmica e na sua imagem, mais crtico ele ser; arquivos, programas, procedimentos necessrios para que os aplicativos crticos entrem em operao no menor tempo possvel, mesmo que parcialmente; sistema operacional, utilitrios e recursos de telecomunicaes necessrios para assegurar o processamento dos aplicativos crticos, em grau pr-estabelecido; documentao dos aplicativos crticos, sistema operacional e utilitrios, bem como suprimentos de informtica, ambos disponveis na instalao reserva e capazes de garantir a boa execuo dos processos definidos; dependncia de recursos e servios externos ao negcio; procedimentos necessrios para restaurar os servios computacionais na instalao reserva; pessoas responsveis por executar e comandar cada uma das atividades previstas no Plano ( interessante definir suplentes, quando se julgar necessrio); referncias para contato dos responsveis, sejam eles funcionrios ou terceiros; organizaes responsveis por oferecer servios, equipamentos, suprimentos ou quaisquer outros bens necessrios para a restaurao; contratos e acordos que faam parte do plano para recuperao dos servios.
v. 3.0
94
CURSO ON-LINE PACOTE DE QUESTES COMENTADAS PARA MPU NOES DE INFORMTICA EM EXERCCIOS PROFESSORA: PATRCIA LIMA QUINTO Conforme visto, os itens de A ao D esto diretamente relacionados a Planos de Contingncia de TI escritos, divulgados, testados, mantidos e atualizados com o objetivo real de proteger o negcio. Item E. A atividade em questo no est relacionada ao escopo do Plano de Contingncia. Item Falso. GABARITO: letra E. 55. (ESAF/2008/AFC/STN/TI/Infraestrutura) Em uma dada empresa, a poltica de segurana pode ser definida e modificada por um conjunto pequeno de funcionrios em funo de nveis de segurana. Este um cenrio relacionado ao servio de segurana denominado a) Confidencialidade. b) Integridade. c) Disponibilidade. d) Controle de acesso. e) Assinatura digital. Resoluo O cenrio est relacionado ao servio de controle de acesso, que dever assegurar que: apenas usurios autorizados tenham acesso aos recursos; os usurios tenham acesso apenas aos recursos realmente necessrios para a execuo de suas atividades; o acesso aos recursos crticos seja constantemente monitorado e restrito; os usurios sejam impedidos de executar transaes incompatveis com a sua funo. GABARITO: letra D. 56. (INSTITUTO CETRO/2006/TCM-SP/Agente de Fiscalizao) A Internet uma ferramenta que permite, entre outras possibilidades, a busca por conhecimento. O navegador mais popular atualmente o Microsoft Internet Explorer. No entanto, alguns sites so programados para abrir caixas com propaganda e demais assuntos que podem atrapalhar a produtividade. Essas caixas so chamadas de pop-ups. Pode-se configurar o Microsoft Internet Explorer para bloquear esses Pop-ups? Como? Assinale a alternativa correta. (A) Sim, atravs da opo Ferramentas, Bloqueador de Pop-Ups. (B) No possvel bloquear os pop-ups. (C) Sim, atravs da opo Ferramentas, Opes da Internet... (D) Sim, atravs da opo Exibir, Bloqueador de Pop-Ups.
v. 3.0
95
CURSO ON-LINE PACOTE DE QUESTES COMENTADAS PARA MPU NOES DE INFORMTICA EM EXERCCIOS PROFESSORA: PATRCIA LIMA QUINTO (E) Sim, atravs da opo Favoritos, Bloqueador de Pop-Ups. Resoluo Pop-ups so pequenas janelas que se abrem automaticamente na tela do navegador. Geralmente so utilizadas para chamar a ateno do internauta para algum assunto ou propaganda. No menu Ferramentas do Internet Explorer existe a opo Bloqueador de Pop-ups, que permite habilitar ou desabilitar as telas de pop-ups. Diversos alunos me questionaram sobre a opo C, vamos aos detalhes desse item: quando clicamos na opo Ferramentas -> Opes da Internet aparecem vrias opes como Conexes, Programas, Avanadas, Geral, Segurana, Privacidade e Contedo. Na opo Privacidade encontramos a opo de Bloqueador de pop-ups. Ento apenas clicar em Ferramentas ->Opes da internet, no o suficiente para bloquearmos pop-ups, por isso que o item C falso. GABARITO: letra A. CONSIDERAOES FINAIS Por hoje ficamos por aqui. Passamos por diversos pontos que considerei importantes para a prova (a repetio de alguns assuntos se faz necessria para a memorizao!!!) Caso tenham dvidas/sugestes, no deixem de nos enviar pelo frum do curso. O retorno de vocs de grande importncia para que nossos objetivos estejam alinhados. Fiquem com Deus, e at a nossa prxima aula!! Um grande abrao, Profa Patrcia L. Quinto patricia@pontodosconcursos.com.br
v. 3.0
96
CURSO ON-LINE PACOTE DE QUESTES COMENTADAS PARA MPU NOES DE INFORMTICA EM EXERCCIOS PROFESSORA: PATRCIA LIMA QUINTO REFERNCIAS BIBLIOGRFICAS ABNT NBR ISO/IEC 27001:2006 Tecnologia da Informao Tcnicas de Segurana Sistema de Gesto de Segurana da Informao Requisitos. ABNT NBR ISO/IEC 27002:2005 Tecnologia da Informao Tcnicas de Segurana Cdigo de Prtica para a Gesto de Segurana da Informao (antiga 17799:2005). ABNT NBR ISO/IEC 17799. Segunda Edio. Disponvel em: http://www.scribd.com/doc/2449992/Abnt-Nbr-Isoiec-17799Tecnologia-da-Informacao-Tecnicas-de-Seguranca-Codigo-de-Praticapara-a-Gestao-da-Seguranca-da-Informacao. ALBUQUERQUE, R.; RIBEIRO, B. Segurana no Desenvolvimento de Software. Rio de Janeiro: Campus, 2002. ALECRIM, E. Tudo sobre Firewall, 2009. Disponvel <http://www.invasao.com.br/2009/01/27/materia-tudo-sobreFirewall/>. Acessado em: fev. 2010. em:
_____________. FIREWALL: Conceitos e Tipos. 2004. Disponvel em: <http://www.infowester.com/firewall.php>. Acessado em: fev. 2010. ANTNIO, J. Informtica para Concursos. Teoria e Questes. 4 ed., Rio de Janeiro: Campus, 2009. BOMSEMBIANTE, F. Entrevista com Hacker. Disponvel em: <http://www.telecom.uff.br/~buick/barata15.html>. Acesso: out. 2006. CERTBR. Disponvel em: <http://cartilha.cert.br/ >.2006. Acesso em: nov. 2009. CARUSO, Carlos A. A.; STEFFEN, Flvio D. Segurana em Informtica e de Informaes. 2 ed., So Paulo, 1999. CERTBR. Cartilha de Segurana para Internet. http://www.cert.br. 2006. BAIO, C.; FERREIRA, L. Seu celular anda meio maluco? Cuidado, ele pode estar com vrus. 2008. Disponvel em: <http://tecnologia.uol.com.br/proteja/ultnot/2008/01/23/ult2882u34.jh tm>. Acesso em: set. 2009.
v. 3.0
97
CURSO ON-LINE PACOTE DE QUESTES COMENTADAS PARA MPU NOES DE INFORMTICA EM EXERCCIOS PROFESSORA: PATRCIA LIMA QUINTO CHESWICK, W. R., BELLOVIN, S. M. e RUBIN, A. D. Firewalls e Segurana na Internet: repelindo o hacker ardiloso. Ed. Bookman, 2 Ed., 2005. GIL, Antnio de L. Segurana em Informtica. 2 ed. Atlas, So Paulo, 1998. GUIMARES, A. G., LINS, R. D. e OLIVEIRA, R. Segurana com Redes Privadas Virtuais (VPNs). Ed. Brasport, Rio de Janeiro, 2006. IMONIANA, J. o. Auditoria de Sistemas de Informaes. http://www.iti.gov.br/twiki/pub/Certificacao/Legislacao/GLOS aRIO_ICP-Brasil_V1.4.pdf Infowester. Disponvel em: http://www.infowester.com.br. INFOGUERRA. Vrus de celular chega por mensagem multimdia. 2005. Disponvel em: http://informatica.terra.com.br/interna/0,,OI484399-EI559,00.html. Acesso em: fev. 2010. LINHARES, A. G.;GONALVES, P.A. da S. Uma Anlise dos Mecanismos de Segurana de Redes IEEE 802.11: WEP, WPA, WPA2 e IEEE 802.11w. Acesso em: ago. 2009. MDULO Security. Disponvel em: http://www.modulo.com.br/. NAKAMURA, E. T., GEUS, P.L. Segurana de Redes em Ambientes Cooperativos. Ed. Novatec, 2007. PINHEIRO,J. M. S. Aspectos para Construo de uma Rede Wireless Segura. Disponvel em: http://www.projetoderedes.com.br/tutoriais/tutorial_redes_wireless_se gura_01.php. 2004. Acesso em: set. 2009. RAMOS, A.; BASTOS, A.; LAYRA, A. Guia oficial para formao de gestores em segurana da informao. 1. ed. Rio Grande do Sul: ZOUK. 2006. SMOLA, M. Gesto da segurana da informao. 2 ed. So Paulo: Campus Elsevier. 2003.
v. 3.0
98
CURSO ON-LINE PACOTE DE QUESTES COMENTADAS PARA MPU NOES DE INFORMTICA EM EXERCCIOS PROFESSORA: PATRCIA LIMA QUINTO TECHNET. Academia Latino-Americana da Segurana da Informao. 2006. Disponvel em: <http://www.technetbrasil.com.br/academia/>. STALLINGS, W. Criptografia e Segurana de Redes: Princpios e Prticas. Ed. Prentice-Hall, 4 Edio, 2008. Apostila TCU. Disponvel em: http://74.125.47.132/search?q=cache%3AX7rWT8IDOwJ%3Aportal2.tcu.gov.br%2Fportal%2Fpage%2Fportal%2FT CU%2Fcomunidades%2Fbiblioteca_tcu%2Fbiblioteca_digital%2FBOAS_ PRATICAS_EM_SEGURANCA_DA_INFORMACAO_0.pdf+plano+de+contin g%C3%AAncia+%2B+tcu&hl=pt-BR&gl=br. ZWICKY, E. D., COOPER, S. e CHAPMAN, D. B. Building Internet Firewalls. Ed. ORilley, 2 Ed., 2000.
v. 3.0
99
CURSO ON-LINE PACOTE DE QUESTES COMENTADAS PARA MPU NOES DE INFORMTICA EM EXERCCIOS PROFESSORA: PATRCIA LIMA QUINTO LISTA DAS QUESTES APRESENTADAS NA AULA 1. (CESPE/2010/MINISTRIO DA SADE /ANALISTA TCNICOADMINISTRATIVO) Acerca de conceitos de organizao de arquivos e Internet, julgue o item seguinte. [Firewall o mecanismo usado em redes de computadores para controlar e autorizar o trfego de informaes, por meio do uso de filtros que so configurados de acordo com as polticas de segurana estabelecidas.] 2. (CESPE/2010/TRE.BA/ANALISTA/Q.27) Firewall um recurso utilizado para a segurana tanto de estaes de trabalho como de servidores ou de toda uma rede de comunicao de dados. Esse recurso possibilita o bloqueio de acessos indevidos a partir de regras preestabelecidas. 3. (CESPE/2010/UERN/TCNICO DE NVEL SUPERIORAdaptada) A respeito de segurana da informao, julgue o item seguinte. [Firewall um sistema constitudo de software e hardware que verifica informaes oriundas da Internet ou de uma rede de computadores e que permite ou bloqueia a entrada dessas informaes, estabelecendo, dessa forma, um meio de proteger o computador de acesso indevido ou indesejado]. 4. (CESPE/2010/UERN/TCNICO DE NVEL SUPERIORAdaptada) A respeito de segurana da informao, julgue o item seguinte. B Vrus, worms e cavalos-de-troia so exemplos de software mal-intencionados que tm o objetivo de, deliberadamente, prejudicar o funcionamento do computador. O firewall um tipo de malware que ajuda a proteger o computador contra cavalos-de-troia.
Instrues: Para responder questo seguinte, considere as informaes abaixo: OBJETIVO: O Ministrio Pblico do Governo Federal de um pas deseja modernizar seu ambiente tecnolgico de informtica. Para tanto, adquirir equipamentos de computao eletrnica avanados e redefinir seus sistemas de computao a fim de agilizar seus processos internos e tambm melhorar seu relacionamento com a sociedade.
v. 3.0
100
CURSO ON-LINE PACOTE DE QUESTES COMENTADAS PARA MPU NOES DE INFORMTICA EM EXERCCIOS PROFESSORA: PATRCIA LIMA QUINTO REQUISITOS PARA ATENDER AO OBJETIVO: 1 - O ambiente de rede de computadores, para troca de informaes exclusivamente internas do Ministrio, dever usar a mesma tecnologia da rede mundial de computadores. 2 - O acesso a determinadas informaes somente poder ser feito por pessoas autorizadas. 3 - Os funcionrios podero se comunicar atravs de um servio de conversao eletrnica em modo instantneo (tempo real). 4 - A comunicao eletrnica tambm poder ser feita via internet no modo no instantneo 5 - Para garantir a recuperao em caso de sinistro, as informaes devero ser copiadas em mdias digitais e guardadas em locais seguros. 5. (FCC/2007/MPU/Tcnico-rea Administrativa/Q.22) Os 2 e 5 especificam correta e respectivamente requisitos de uso de (A) antivrus e backup. (B) firewall e digitalizao. (C) antivrus e firewall. (D) senha e backup. (E) senha e antivrus. 6. (CESPE/2010/TRE.BA/Q.22) Uma das formas de bloquear o acesso a locais no autorizados e restringir acessos a uma rede de computadores por meio da instalao de firewall, o qual pode ser instalado na rede como um todo, ou apenas em servidores ou nas estaes de trabalho. 7. (MOVENS/2009/Hospital Regional de Santa Maria-DF/Tcnico de Informtica/Q20) O uso de computadores em rede traz benefcios como velocidade e praticidade. Porm, existem alguns riscos envolvidos, como acesso no autorizado a informaes. Por esse motivo, algumas tecnologias foram criadas para estabelecer meios de controle das comunicaes. A respeito desse assunto, leia o texto abaixo, preencha corretamente as lacunas e, em seguida, assinale a opo correta. O _________ um dos principais dispositivos de segurana em uma rede de computadores. Ele realiza a _________ dos _________ e, ento, bloqueia as _________ no permitidas. A seqncia correta :
v. 3.0
101
CURSO ON-LINE PACOTE DE QUESTES COMENTADAS PARA MPU NOES DE INFORMTICA EM EXERCCIOS PROFESSORA: PATRCIA LIMA QUINTO (A) (B) (C) (D) roteador / checagem / usurios / alteraes hub / anlise / arquivos transmitidos / transferncias firewall / filtragem / pacotes / transmisses ids / alterao / sites / informaes
8. (CESPE/2010/EMBASA/Analista de Saneamento - Analista de TI rea: Desenvolvimento) Com referncia aos fundamentos de segurana relacionados a criptografia, firewalls, certificados e autenticao, julgue o item seguinte. ( ) O princpio da autenticao em segurana diz que um usurio ou processo deve ser corretamente identificado. Alm disso, todo processo ou usurio autntico est automaticamente autorizado para uso dos sistemas. 9. (CESPE/2010/TRE.BA/ANALISTA/Q.28) Confidencialidade, disponibilidade e integridade da informao so princpios bsicos que orientam a definio de polticas de uso dos ambientes computacionais. Esses princpios so aplicados exclusivamente s tecnologias de informao, pois no podem ser seguidos por seres humanos. 10. (CESPE/2009/IBAMA/ANALISTA AMBIENTAL/Q.29) Para criar uma cpia de segurana da planilha, tambm conhecida como backup, suficiente clicar a ferramenta .
11. A figura ilustrada a seguir destaca uma janela do Internet Explorer 7 (IE 7), que exibe uma pgina da Web. Com relao a essa figura e ao IE 7, julgue os prximos itens.
I.A pgina da Web em exibio, bastante popular no Brasil e no mundo, funciona como uma enciclopdia de baixo custo, mantida pela empresa Wikipdia. Para acessar artigos escritos por
102
CURSO ON-LINE PACOTE DE QUESTES COMENTADAS PARA MPU NOES DE INFORMTICA EM EXERCCIOS PROFESSORA: PATRCIA LIMA QUINTO especialistas, o usurio paga uma taxa mensal, de baixo valor. Essa pgina tem sido considerada um recurso valioso para a democratizao da informao, devido ao baixo custo pago pelos usurios (Fonte: CESPE/2007/BB). II.Na janela Opes da Internet, que pode ser executada a partir de opo do menu Ferramentas, possvel encontrar, em uma das guias dessa janela, ferramenta que permite bloquear a exibio de pop-ups. III. Por meio do boto , possvel que um usurio tenha acesso a recurso de filtragem de phishing do IE7, o que permite aumentar a segurana, restringindo-se o acesso a stios que se passam por stios regulares, tais como de bancos e lojas virtuais, e so utilizados por criminosos cibernticos para roubar informaes do usurio (Fonte: CESPE/2008/BB, com adaptaes). IV.Os cookies so vrus muito utilizados para rastrear e manter as preferncias de um usurio ao navegar pela Internet. Indique a opo que contenha todas as afirmaes verdadeiras. A) I e II B) II e III C) III e IV D) I e III E) II e IV 12. (CESPE/2009/ANATEL/TCNICO ADMINISTRATIVOAdaptada) Com o desenvolvimento da Internet e a migrao de um grande nmero de sistemas especializados de informao de grandes organizaes para sistemas de propsito geral acessveis universalmente, surgiu a preocupao com a segurana das informaes no ambiente da Internet. Acerca da segurana e da tecnologia da informao, julgue o item seguinte. ( ) A disponibilidade e a integridade so itens que caracterizam a segurana da informao. A primeira representa a garantia de que usurios autorizados tenham acesso a informaes e ativos associados quando necessrio, e a segunda corresponde garantia de que sistemas de informaes sejam acessveis apenas queles autorizados a acess-los. 13. (CESPE/2009/TCE-AC) Com relao a Internet e intranet, assinale a opo correta. A. O protocolo HTTPS foi criado para ser usado na Internet 2.
v. 3.0
103
CURSO ON-LINE PACOTE DE QUESTES COMENTADAS PARA MPU NOES DE INFORMTICA EM EXERCCIOS PROFESSORA: PATRCIA LIMA QUINTO B. Um dos principais problemas da Internet, a disseminao de vrus pode ser solucionado com a instalao de javascripts nos computadores dos usurios. C. A adoo da intranet nas organizaes tem sido uma opo mais econmica, comparada a opes que envolvam a aquisio de software e hardware de alto custo. D. Intranet e Internet so semelhantes por proporcionarem benefcios como colaborao entre os usurios, acesso fcil a informaes e servios disponveis, se diferenciando apenas quanto ao protocolo de transmisso de dados. E. Com a evoluo dos sistemas de informao, o futuro da intranet se fundir com a Internet, o que ir gerar a Internet 2, com uma capacidade de processar informaes 10 vezes superior atual.
14. (CESPE/2009-04/MMA) Antivrus, worms, spywares e crackers so programas que ajudam a identificar e combater ataques a computadores que no esto protegidos por firewalls. 15. (CESPE/2009-04/MMA) A responsabilidade pela segurana de um ambiente eletrnico dos usurios. Para impedir a invaso das mquinas por vrus e demais ameaas segurana, basta que os usurios no divulguem as suas senhas para terceiros. 16. (CESPE/2009-03/TRE-MG) Considerando informao, assinale a opo correta. a segurana da
A. A instalao de antivrus garante a qualidade da segurana no computador.
v. 3.0
104
CURSO ON-LINE PACOTE DE QUESTES COMENTADAS PARA MPU NOES DE INFORMTICA EM EXERCCIOS PROFESSORA: PATRCIA LIMA QUINTO B. Toda intranet consiste em um ambiente totalmente seguro porque esse tipo de rede restrito ao ambiente interno da empresa que implantou a rede. C. O upload dos arquivos de atualizao suficiente para a atualizao do antivrus pela Internet. D. O upload das assinaturas dos vrus detectados elimina-os. E. Os antivrus atuais permitem a atualizao de assinaturas de vrus de forma automtica, sempre que o computador for conectado Internet. 17. (CESPE/2008/PRF-POLICIAL RODOVIRIO FEDERAL) Com relao a vrus de computador, phishing, pharming e spam, julgue os itens seguintes. I. Uma das vantagens de servios webmail em relao a aplicativos clientes de correio eletrnico tais como o Mozilla ThunderbirdTM 2 est no fato de que a infeco por vrus de computador a partir de arquivos anexados em mensagens de e-mail impossvel, j que esses arquivos so executados no ambiente do stio webmail e no no computador cliente do usurio. II. Phishing e pharming so pragas virtuais variantes dos denominados cavalos-de-tria, se diferenciando destes por precisarem de arquivos especficos para se replicar e contaminar um computador e se diferenciando, entre eles, pelo fato de que um atua em mensagens de e-mail trocadas por servios de webmail e o outro, no. III. O uso de firewall e de software antivrus a nica forma eficiente atualmente de se implementar os denominados filtros anti-spam. IV. Se o sistema de nomes de domnio (DNS) de uma rede de computadores for corrompido por meio de tcnica denominada DNS cache poisoning, fazendo que esse sistema interprete incorretamente a URL (uniform resource locator) de determinado stio, esse sistema pode estar sendo vtima de pharming. V. Quando enviado na forma de correio eletrnico para uma quantidade considervel de destinatrios, um hoax pode ser considerado um tipo de spam, em que o spammer cria e distribui histrias falsas, algumas delas denominadas lendas urbanas. A A B C quantidade de itens certos igual a 1. 2. 3.
v. 3.0
105
CURSO ON-LINE PACOTE DE QUESTES COMENTADAS PARA MPU NOES DE INFORMTICA EM EXERCCIOS PROFESSORA: PATRCIA LIMA QUINTO D 4. E 5. 18. (CESPE/2008/TRT-1R/Analista Judicirio) Acerca de conceitos relacionados a redes de computadores, a intranet e Internet, assinale a opo correta. A. Uma caracterstica das redes do tipo VPN (virtual private networks) que elas nunca devem usar criptografia, devido a requisitos de segurana e confidencialidade. B. Uma intranet uma rede corporativa interna que permite a interligao de computadores de empresas. Devido aos requisitos mais estritos de segurana, as intranets no podem utilizar tecnologias que sejam empregadas na Internet, como, por exemplo, o protocolo TCP/IP. C. O programa WinZip pode permitir a compactao de arquivos e programas, fazendo com que ocupem menor espao de memria. comum o uso desse programa para diminuir o tamanho de arquivos que so enviados como anexos em mensagens de correio eletrnico. D. Os arquivos denominados cookies, tambm conhecidos como cavalos de tria, so vrus de computador, com inteno maliciosa, que se instalam no computador sem a autorizao do usurio, e enviam, de forma automtica e imperceptvel, informaes do computador invadido. E. Os programas denominados worm so, atualmente, os programas de proteo contra vrus de computador mais eficazes, protegendo o computador contra vrus, cavalos de tria e uma ampla gama de softwares classificados como malware. 19. (CESPE/2003/BB_III/Escriturrio Adaptada) Um usurio da Internet e cliente do BB acessou por meio do Internet Explorer 6 o stio cujo URL http://www.bb.com.br para obter informaes acerca dos mecanismos de segurana implementados nesse stio.
v. 3.0
106
Aps algumas operaes nas pginas do stio, o usurio obteve a pgina ilustrada na figura anterior, contendo informaes acerca do teclado virtual, uma ferramenta disponibilizada aos clientes do BB no acesso a funcionalidades referentes a transaes bancrias. A partir da figura mostrada, julgue os itens seguintes, relativos Internet, segurana no acesso Internet, s informaes contidas na pgina ilustrada e ao Internet Explorer 6. I. Sabendo que o teclado virtual permite que o cliente do BB insira a senha de acesso s informaes bancrias de sua conta por meio do mouse e no por digitao no teclado, conclui-se que essa ferramenta dificulta a ao de um trojan, que um aplicativo capaz de registrar em um arquivo todas as teclas digitadas e depois enviar este arquivo para um outro endereo eletrnico. II. Considere a seguinte situao hipottica. Na navegao descrita anteriormente, enquanto o usurio manipulava as pginas do stio do BB, ele observou em determinados momentos que recursos de hardware e de software de seu computador estavam sendo utilizados sem a sua requisio. Em determinados momentos, verificou que arquivos estavam sendo deletados, outros criados, o drive do CD-ROM abria e fechava sem ser solicitado. O usurio chegou, enfim, concluso de que seu computador estava sendo controlado via Internet por uma pessoa por meio de uma porta de comunicao estabelecida sem sua autorizao. Nessa situao, provvel que o computador do usurio estivesse sendo vtima de um vrus de macro. III. Considere a seguinte situao hipottica. Antes de acessar o stio do BB, o usurio acessou pginas da Internet no muito confiveis e o computador por meio do qual o acesso Internet foi realizado contraiu
v. 3.0
107
CURSO ON-LINE PACOTE DE QUESTES COMENTADAS PARA MPU NOES DE INFORMTICA EM EXERCCIOS PROFESSORA: PATRCIA LIMA QUINTO um vrus de script. Nessa situao, possvel que um trojan seja instalado no computador do usurio sem que este saiba o que est acontecendo. IV. O Internet Explorer 6 permite que, por meio do boto (Pesquisar), seja realizada uma busca de vrus instalados em seu computador, utilizando recursos antivrus disponibilizados nesse software pela Microsoft. V. A partir do menu , o usurio poder acessar funcionalidades do Internet Explorer 6 que permitem definir determinados nveis de segurana no acesso a pginas Web, tais como impedir que um script de uma pgina Web que est sendo acessada seja executado sem a sua autorizao. VI. Uma das maiores vantagens no acesso Internet em banda larga por meio da tecnologia ADSL, em comparao com as outras tecnologias disponveis atualmente, o fato de os computadores constituintes das redes formadas com tal tecnologia estarem protegidos contra ataques de hackers e de vrus distribudos pela Internet em mensagens de correio eletrnico, sem a necessidade de outros recursos tais como firewall e software antivrus. 20. (CESPE/2004/Polcia Rodoviria Federal)
Um usurio da Internet, desejando realizar uma pesquisa acerca das condies das rodovias no estado do Rio Grande do Sul, acessou o stio do Departamento de Polcia Rodoviria Federal http://www.dprf.gov.br , por meio do Internet Explorer 6, executado em um computador cujo sistema operacional o Windows XP e que dispe do conjunto de aplicativos Office XP. Aps algumas operaes nesse stio, o usurio obteve a pgina Web mostrada na figura acima, que ilustra uma janela do Internet Explorer 6.
v. 3.0
108
CURSO ON-LINE PACOTE DE QUESTES COMENTADAS PARA MPU NOES DE INFORMTICA EM EXERCCIOS PROFESSORA: PATRCIA LIMA QUINTO Considerando essa figura, julgue os itens seguintes, relativos Internet, ao Windows XP, ao Office XP e a conceitos de segurana e proteo na Internet. I. Sabendo que o mapa mostrado na pgina Web consiste em uma figura no formato jpg inserida na pgina por meio de recursos da linguagem HTML, ao se clicar com o boto direito do mouse sobre esse objeto da pgina, ser exibido um menu que disponibiliza ao usurio um menu secundrio contendo uma lista de opes que permite exportar de forma automtica tal objeto, como figura, para determinados aplicativos do Office XP que estejam em execuo concomitantemente ao Internet Explorer 6. A lista de aplicativos do Office XP disponibilizada no menu secundrio contm o Word 2002, o Excel 2002, o Paint e o PowerPoint 2002. II. Para evitar que as informaes obtidas em sua pesquisa, ao trafegarem na rede mundial de computadores, do servidor ao cliente, possam ser visualizadas por quem estiver monitorando as operaes realizadas na Internet, o usurio tem disposio diversas ferramentas cuja eficincia varia de implementao para implementao. Atualmente, as ferramentas que apresentam melhor desempenho para a funcionalidade mencionada so as denominadas sniffers e backdoors e os sistemas ditos firewall, sendo que, para garantir tal eficincia, todas essas ferramentas fazem uso de tcnicas de criptografia tanto no servidor quanto no cliente da aplicao Internet. III. Por meio da guia Privacidade, acessvel quando Opes da Internet clicada no menu , o usurio tem acesso a recursos de configurao do Internet Explorer 6 que permitem definir procedimento especfico que o aplicativo dever realizar quando uma pgina Web tentar copiar no computador do usurio arquivos denominados cookies. Um cookie pode ser definido como um arquivo criado por solicitao de uma pgina Web para armazenar informaes no computador cliente, tais como determinadas preferncias do usurio quando ele visita a mencionada pgina Web. Entre as opes de configurao possveis, est aquela que impede que os cookies sejam armazenados pela pgina Web. Essa opo, apesar de permitir aumentar, de certa forma, a privacidade do usurio, poder impedir a correta visualizao de determinadas pginas Web que necessitam da utilizao de cookies. 21. (MOVENS/2009/ADEPAR/ASSISTENTE TCNICO ADMINISTRATIVO/Q9-Adaptada) Analise o item seguinte: [Uma das funes do servidor Proxy atuar como intermedirio entre um cliente e outro servidor, nos diversos tipos de servios].
v. 3.0
109
CURSO ON-LINE PACOTE DE QUESTES COMENTADAS PARA MPU NOES DE INFORMTICA EM EXERCCIOS PROFESSORA: PATRCIA LIMA QUINTO 22. (FUNRIO/2009/Analista de Seguro Social Servio Social) Das sentenas abaixo, relativas segurana de computadores e sistemas, I. Um dos principais objetivos da criptografia impedir a invaso de redes. II. O certificado digital um arquivo eletrnico que contm dados de uma pessoa ou instituio, utilizados para comprovar sua identidade. III. Um antivrus capaz de impedir que um hacker tente explorar alguma vulnerabilidade existente em um computador. IV. Vrus, keyloggers, worms e cavalos de tria so alguns dos exemplos de Malware. Esto corretas: A) I, II e III, apenas. B) I e IV, apenas. C) II e IV, apenas. D) III e IV, apenas. E) I, II, III e IV. 23. (CESPE/2010/CAIXA-NM1/ TCNICO BANCRIO/CARREIRA ADMINISTRATIVA) Assinale a opo correta a respeito de certificao digital. A Autoridade certificadora a denominao de usurio que tem poderes de acesso s informaes contidas em uma mensagem assinada, privada e certificada. B A autoridade reguladora tem a funo de emitir certificados digitais, funcionando como um cartrio da Internet. C O ITI (Instituto Nacional de Tecnologia da Informao) tambm conhecido como Autoridade Certificadora Raiz Brasileira. D PKI ou ICP o nome dado ao certificado que foi emitido por uma autoridade certificadora. E Um certificado digital pessoal, intransfervel e no possui data de validade. Acerca de segurana da informao, julgue os itens que se seguem. 24. (CESPE/2010/SEDU-ES/AGENTE DE SUPORTE EDUCACIONAL/Q. 42) Vrus um programa que pode se reproduzir anexando seu cdigo a um outro programa, da mesma forma que os vrus biolgicos se reproduzem. 25. (CESPE/2010/SEDU-ES/AGENTE DE SUPORTE EDUCACIONAL/Q. 43) Spywares so programas que agem na rede, checando pacotes de dados, na tentativa de encontrar
v. 3.0
110
CURSO ON-LINE PACOTE DE QUESTES COMENTADAS PARA MPU NOES DE INFORMTICA EM EXERCCIOS PROFESSORA: PATRCIA LIMA QUINTO informaes confidenciais tais como senhas de acesso e nomes de usurios. 26. (CESPE/2010/SEDU-ES/AGENTE DE SUPORTE EDUCACIONAL/Q. 44) Cavalos-de-troia, adwares e vermes so exemplos de pragas virtuais. 27. (CESPE/2010/SEDU-ES/AGENTE DE SUPORTE EDUCACIONAL/Q. 45) Backup o termo utilizado para definir uma cpia duplicada de um arquivo, um disco, ou um dado, feita com o objetivo de evitar a perda definitiva de arquivos importantes. 28. (ESAF/2006/TRF) Nos dispositivos de armazenamento de dados, quando se utiliza espelhamento visando a um sistema tolerante a falhas, correto afirmar que: a) ao apagar um arquivo em um disco com sistema de espelhamento, o arquivo equivalente no disco espelhado s ser apagado aps a execuo de uma ao especfica de limpeza que deve ser executada periodicamente pelo usurio; b) ao ocorrer uma falha fsica em um dos discos, os dados nos dois discos tornam-se indisponveis. Os dados s sero mantidos em um dos discos quando se tratar de uma falha de gravao de dados; c) o sistema fornece redundncia de dados, usando uma cpia do volume para duplicar as informaes nele contidas; d) o disco principal e o seu espelho devem estar sempre em parties diferentes, porm no mesmo disco fsico; e) o disco a ser utilizado como espelho deve ter sempre o dobro do tamanho do disco principal a ser espelhado. 29. (2009/MOVENS/Hospital Regional de Santa MariaDF/Tcnico de Informtica/Q20) Um tcnico de suporte trabalha em uma grande instituio hospitalar. Durante uma anlise do ambiente, ele observa que vrios servidores tm somente um disco rgido, apresentando assim uma situao chamada Ponto nico de Falha, ou seja, caso o disco rgido falhe, todo o sistema parar. O chefe, preocupado com a situao, requisita que o tcnico indique uma soluo para o problema. Assinale a opo que contm a soluo que dever ser indicada pelo tcnico para essa situao. (A) Substituio dos discos rgidos antigos por novos com tecnologia SCSI. (B) Instalao de um disco rgido extra para cada servidor e a configurao de RAID 1 entre os discos. (C) Instalao de um disco rgido extra para cada servidor e a configurao de RAID 0 entre os discos.
v. 3.0
111
CURSO ON-LINE PACOTE DE QUESTES COMENTADAS PARA MPU NOES DE INFORMTICA EM EXERCCIOS PROFESSORA: PATRCIA LIMA QUINTO (D) Substituio dos discos rgidos antigos por novos com tecnologia SATA. 30. (FUNRIO/2008/JUCERJA/PROFISSIONAL DE INFORMTICA-Adaptada) Uma mensagem criptografada com uma chave simtrica poder ser decriptografada com A) a chave pblica. B) a mesma chave simtrica. D) o HASH. E) a chave RSA. 31. (FUNRIO/2007/Prefeitura Municipal de Maric) Considere as assertivas abaixo sobre criptografia: I. Criptografia o conjunto de tcnicas matemticas utilizadas para embaralhar uma mensagem. II. Na criptografia simtrica a mesma chave utilizada para encriptar e decriptar uma mensagem. III. Na criptografia assimtrica so usadas duas chaves, uma privativa e uma pblica. Esto corretas: A) I e II apenas B) I e III apenas C) II e III apenas D) I, II e III E) Todas esto incorretas 32. (ESAF/2006/TRF/Tribut. E Aduaneira) Analise as seguintes afirmaes relacionadas criptografia. I. A criptografia de chave simtrica pode manter os dados seguros, mas se for necessrio compartilhar informaes secretas com outras pessoas, tambm deve-se compartilhar a chave utilizada para criptografar os dados. II. Com algoritmos de chave simtrica, os dados assinados pela chave pblica podem ser verificados pela chave privada. III. Com algoritmos RSA, os dados encriptados pela chave pblica devem ser decriptados pela chave privada. IV. Com algoritmos RSA, os dados assinados pela chave privada so verificados apenas pela mesma chave privada. Indique a opo que contenha todas as afirmaes verdadeiras. a) I e II b) II e III c) III e IV
v. 3.0
112
CURSO ON-LINE PACOTE DE QUESTES COMENTADAS PARA MPU NOES DE INFORMTICA EM EXERCCIOS PROFESSORA: PATRCIA LIMA QUINTO d) I e III e) II e IV 33. (FUNRIO/2008/Prefeitura de Coronel Firewall um sistema de proteo que pode: Fabriciano) Um
A) utilizar assinaturas de vrus para impedir que a mquina seja infectada. B) bloquear possveis tentativas de invaso atravs de filtros de pacotes. C) impedir a replicao de worms e conseqente ataque ao computador. D) eliminar spywares que possam invadir e espionar a mquina. E) neutralizar ataques aos computadores por spams. 34. (FUNRIO/2009/Analista de Seguro Social Servio Social) Qual das alternativas abaixo d nome ao tipo de ameaa propagada por meio de mensagens fraudulentas, chamadas de spam, caracterizada por um tipo de fraude concebida para obter informaes pessoais sobre o usurio de Internet, convencendo-o a facultar-lhe essas informaes sob falsos pretextos? A) Adware. B) Cavalo de Tria. C) Phishing. D) Retrovirus. E) Vrus de macro. 35. (ESAF/2007/SEFAZ-CE) Nos sistemas de Segurana da Informao, existe um mtodo que ____________________. Este mtodo visa garantir a integridade da informao. Escolha a opo que preenche corretamente a lacuna acima. a) valida a autoria da mensagem b) verifica se uma mensagem em trnsito foi alterada c) verifica se uma mensagem em trnsito foi lida por pessoas no autorizadas d) cria um backup diferencial da mensagem a ser transmitida e) passa um antivrus na mensagem a ser transmitida 36. (ESAF/2002/AFPS) Os problemas de segurana e crimes por computador so de especial importncia para os projetistas e usurios de sistemas de informao. Com relao segurana da informao, correto afirmar que a)confiabilidade a garantia de que as informaes armazenadas ou transmitidas no sejam alteradas.
v. 3.0
113
CURSO ON-LINE PACOTE DE QUESTES COMENTADAS PARA MPU NOES DE INFORMTICA EM EXERCCIOS PROFESSORA: PATRCIA LIMA QUINTO b)integridade a garantia de que os sistemas estaro disponveis quando necessrios. c)confiabilidade a capacidade de conhecer as identidades das partes na comunicao. d)autenticidade a garantia de que os sistemas desempenharo seu papel com eficcia em um nvel de qualidade aceitvel. e)privacidade a capacidade de controlar quem v as informaes e sob quais condies. 37. (ESAF/2008/CGU/AFC/Infra TI) A respeito do documento da Poltica de Segurana da Informao de uma dada Organizao, incorreto afirmar que a) deve ser aprovado pela direo antes de ser publicado e divulgado. b) deve ser analisado regularmente ou na ocorrncia de mudanas significativas. c) gestores devem garantir que os procedimentos de segurana so executados em conformidade com tal documento. d) deve incluir informaes quanto tecnologia a ser empregada para a segurana da informao. e) no caso de mudanas, deve-se assegurar a sua contnua pertinncia e adequao. 38. (ESAF/2008/CGU/AFC/Infraestrutura) Analise as seguintes afirmaes a respeito de cpias de segurana (backups) e assinale a opo correta. I. Em uma poltica de backup, deve-se declarar a abordagem empregada (completa ou incremental) e periodicidade das cpias, assim como os recursos, infraestrutura e demais procedimentos necessrios. II. Registrar o contedo e data de atualizao, cuidar do local de armazenamento de cpias e manter cpias remotas como medida preventiva so recomendados para a continuidade dos negcios. III. Polticas de backup devem ser testadas regularmente para garantir respostas adequadas a incidentes. a) Apenas I e II so verdadeiras. b) Apenas II e III so verdadeiras. c) Apenas I e III so verdadeiras. d) I, II e III so verdadeiras. e) I, II e III so falsas. 39. (FGV/2008/SEFAZ-RJ/Fiscal de Rendas) Analise a citao abaixo, relacionada s fraudes na Internet.
v. 3.0
114
CURSO ON-LINE PACOTE DE QUESTES COMENTADAS PARA MPU NOES DE INFORMTICA EM EXERCCIOS PROFESSORA: PATRCIA LIMA QUINTO Como se no bastassem vrus e spam, agora, os internautas tm que ficar atentos para outro tipo de ameaa: as fraudes online. A prtica sempre a mesma: um e-mail chega Caixa de Entrada do programa de correio eletrnico oferecendo promoes e vantagens, ou solicitando algum tipo de recadastramento. A isca para pescar os usurios so empresas conhecidas, como bancos, editoras de jornais e revistas, e lojas de comrcio eletrnico. Os golpes so bem elaborados, mas basta um pouco de ateno para verificar uma srie de incoerncias. Em geral, as mensagens so similares s originais enviadas pelas empresas, e muitas delas tm links para sites que tambm so cpias dos verdadeiros. Mas, nos dois casos, possvel ver imagens quebradas, textos fora de formatao e erros de portugus - algo difcil de ocorrer com empresas que investem tanto em marketing para atrair clientes. Bom... e o que esses fraudadores querem, afinal? Em alguns casos, o propsito fazer o internauta preencher um formulrio no site falso, enviando informaes pessoais. Outras mensagens pedem apenas que o usurio baixe um arquivo por exemplo, um suposto questionrio que, na verdade, um programa que envia os dados pessoais e financeiros por meio da Internet. De qualquer forma, bom ficar de olho na sua Caixa de Entrada. A citao caracteriza o uso de um tipo de fraude na Internet conhecido por: (A) Keylogger Malware (B) Denial of Service (C) Hoax Spammer (D) Phishing Scam (E) Trojan Horse 40. (ESAF/2007/SEFAZ-CE) Analise as seguintes afirmaes relacionadas a conceitos bsicos de Segurana da Informao. I. Um firewall, instalado entre uma rede LAN e a Internet, tambm utilizado para evitar ataques a qualquer mquina desta rede LAN partindo de mquinas da prpria rede LAN. II. A confidenciabilidade a propriedade de evitar a negativa de autoria de transaes por parte do usurio, garantindo ao destinatrio o dado sobre a autoria da informao recebida. III. Na criptografia de chaves pblicas, tambm chamada de criptografia assimtrica, uma chave utilizada para criptografar e uma chave diferente utilizada para decriptografar um arquivo. IV. Uma das finalidades da assinatura digital evitar que alteraes feitas em um documento passem sem ser percebidas. Nesse tipo de procedimento, o documento original no precisa estar criptografado.
v. 3.0
115
CURSO ON-LINE PACOTE DE QUESTES COMENTADAS PARA MPU NOES DE INFORMTICA EM EXERCCIOS PROFESSORA: PATRCIA LIMA QUINTO Indique a opo que contenha todas as afirmaes verdadeiras. a) I e II b) II e III c) III e IV d) I e III e) II e IV 41. Trata-se de um software malicioso que, ao infectar um computador, criptografa todo ou parte do contedo do disco rgido. Os responsveis pelo software exigem da vtima, um pagamento pelo resgate dos dados. (A)Bot (B)DoS (C)Conficker (D)Pharming (E)Ransomware 42. (FGV/2008/SEFAZ-RJ/Fiscal de Rendas) Analise os casos descritos a seguir, referentes a fraudes envolvendo o comrcio eletrnico e Internet Banking. I. O usurio recebe um e-mail de um suposto funcionrio da instituio que mantm o site de comrcio eletrnico ou de um banco, que persuade o usurio a fornecer informaes sensveis, como senhas de acesso ou nmero de cartes de crdito. II. Um hacker compromete o DNS do provedor do usurio, de modo que todos os acessos a um site de comrcio eletrnico ou Internet Banking so redirecionados para uma pgina Web falsificada, semelhante ao site verdadeiro, com o objetivo de o atacante monitorar todas as aes do usurio, como a digitao de sua senha bancria. Nesta situao, normalmente o usurio deve aceitar um novo certificado (que no corresponde ao site verdadeiro), e o endereo mostrado no browser do usurio diferente do endereo correspondente ao site verdadeiro. III. O usurio recebe um e-mail, cujo remetente o gerente do seu banco e que contm uma mensagem que solicita a execuo pelo usurio de um programa anexo ao e-mail recebido, a ttulo de obter acesso mais rpido s informaes mais detalhadas em sua conta bancria. IV. O usurio utiliza computadores de terceiros para acessar sites de comrcio eletrnico ou de Internet Banking, possibilitando o monitoramento de suas aes, incluindo a digitao de senhas ou
v. 3.0
116
CURSO ON-LINE PACOTE DE QUESTES COMENTADAS PARA MPU NOES DE INFORMTICA EM EXERCCIOS PROFESSORA: PATRCIA LIMA QUINTO nmero de cartes de crdito, por especificamente projetados para esse fim. meio de programas
Constituem exemplos de fraudes resultantes de Engenharia Social os casos identificados em: (A) I e II. (B) I e III. (C) II e III. (D) II e IV. (E) III e IV. 43. (ESAF/2006/CGU-TI) crescente o nmero de incidentes de segurana causados por vrus de computador e suas variaes. Com isso, as organizaes esto enfrentando o problema com o rigor e cuidados merecidos. Nesse contexto, correto afirmar que A) cavalos de tria so variaes de vrus que se propagam e possuem um mecanismo de ativao (evento ou data) e uma misso. B) vrus polimrficos suprimem as mensagens de erro que normalmente aparecem nas tentativas de execuo da atividade no-autorizada, utilizando, muitas vezes, criptografia para no serem detectados por anti-vrus. C) os vrus de macro utilizam arquivos executveis como hospedeiros, inserindo macros com as mesmas funes de um vrus em tais arquivos. D) softwares anti-vrus controlam a integridade dos sistemas e compreendem trs etapas: preveno,deteco e reao, nesta ordem. E) vrus geram cpias de si mesmo afim de sobrecarregarem um sistema, podendo consumir toda a capacidade do processador, memria ou espao em disco, eventualmente. 44. (ESAF/2005/AFRFB) Alguns tipos de malware tentam atingir um objeto portador, tambm conhecido como hospedeiro, para infect-lo. O nmero e tipo de objetos portadores que so alvos variam com as caractersticas dos malwares. Entre os portadoresalvo mais comuns, as macros
v. 3.0
117
CURSO ON-LINE PACOTE DE QUESTES COMENTADAS PARA MPU NOES DE INFORMTICA EM EXERCCIOS PROFESSORA: PATRCIA LIMA QUINTO a) so arquivos que suportam linguagens como Microsoft Visual Basic Script, JavaScript, AppleScript ou PerlScript. As extenses dos arquivos desse tipo so: .vbs, .js, .wsh e .prl. b) so arquivos que suportam uma linguagem script de macro de um aplicativo especfico, como um processador de texto, uma planilha eletrnica ou um aplicativo de banco de dados. Por exemplo, os vrus podem usar as linguagens de macro no Microsoft Word para causar vrios efeitos, que podem variar de prejudiciais, como trocar palavras ou mudar as cores em um documento, a mal-intencionados, como formatar o disco rgido do computador. c) so o alvo do vrus clssico que replicado anexando-se a um programa hospedeiro. Alm dos arquivos tpicos que usam a extenso das macros, arquivos com as seguintes extenses tambm podem ser usados com essa finalidade: .com, .sys, .dll, .ovl,.ocx e .prg. d) so arquivos localizados em reas especficas dos discos do computador (discos rgidos e mdias removveis inicializveis), como o registro mestre de inicializao (MBR). e) so arquivos localizados no registro de inicializao do DOS e so capazes de executar cdigos mal intencionados. Quando o registro de um disco de inicializao infectado, a replicao ser efetivada se ele for usado para iniciar os sistemas de outros computadores. 45. (ESAF/2005/AFRFB) Em relao a vrus de computador correto afirmar que, entre as categorias de malware, o Cavalo de Tria um programa que a) usa um cdigo desenvolvido com a expressa inteno de se replicar. Um Cavalo de Tria tenta se alastrar de computador para computador incorporando-se a um programa hospedeiro. Ele pode danificar o hardware, o software ou os dados. Quando o hospedeiro executado, o cdigo do Cavalo de Tria tambm executado, infectando outros hospedeiros e, s vezes, entregando uma carga adicional. b) pode ser executado e pode se alastrar sem a interveno do usurio, enquanto alguns variantes desta categoria de malware exigem que os usurios executem diretamente o cdigo do Cavalo de Tria para que eles se alastrem. Os Cavalos de Tria tambm podem entregar uma carga alm de se replicarem.
v. 3.0
118
CURSO ON-LINE PACOTE DE QUESTES COMENTADAS PARA MPU NOES DE INFORMTICA EM EXERCCIOS PROFESSORA: PATRCIA LIMA QUINTO c) usa um cdigo mal-intencionado auto-propagvel que pode se distribuir automaticamente de um computador para outro atravs das conexes de rede. Um Cavalo de Tria pode desempenhar aes nocivas, como consumir recursos da rede ou do sistema local,possivelmente causando um ataque de negao de servio. d) no pode ser considerado um vrus ou um verme de computador porque tem a caracterstica especial de se propagar. Entretanto, um Cavalo de Tria pode ser usado para copiar um vrus ou um verme em um sistema-alvo como parte da carga do ataque, um processo conhecido como descarga. A inteno tpica de um Cavalo de Tria interromper o trabalho do usurio ou as operaes normais do sistema. Por exemplo, o Cavalo de Tria pode fornecer uma porta dos fundos no sistema para que um hacker roube dados ou altere as definies da configurao. e) parece til ou inofensivo, mas contm cdigos ocultos desenvolvidos para explorar ou danificar o sistema no qual executado. Os cavalos de tria geralmente chegam aos usurios atravs de mensagens de e-mail que disfaram a finalidade e a funo do programa. Um Cavalo de Tria faz isso entregando uma carga ou executando uma tarefa mal-intencionada quando executado. 46. (ESAF/2005/MPOG) O princpio Segurana da Informao significa que do menor privilgio em
a) todos os usurios do sistema sero considerados convidados. b) ser especificado o que proibido, todo o restante ser permitido. c) qualquer objeto s pode ter permisses bsicas para executar as suas tarefas, e nenhuma outra. d) haver uma segurana mnima no sistema, mas que no ser possvel garantir a segurana contra a exposio e os danos causados por ataques especficos. e) haver um ponto de estrangulamento onde tudo ser proibido, dependendo apenas da profundidade de defesa do sistema. 47. (ESAF/2008/PSS) Com relao s tcnicas de segurana da informao, uma poltica de segurana deve conter elementos que dizem respeito a tudo aquilo que essencial para combate s adversidades. Com relao a esses elementos essenciais, a Vigilncia prega: a) a criatividade quanto s definies da poltica e do plano de defesa contra intruses.
v. 3.0
119
CURSO ON-LINE PACOTE DE QUESTES COMENTADAS PARA MPU NOES DE INFORMTICA EM EXERCCIOS PROFESSORA: PATRCIA LIMA QUINTO b) o correto planejamento, pois a segurana deve fazer parte de um longo e gradual processo dentro da organizao. c) que todos os membros da organizao devem entender a importncia da segurana, atuando como guardies da rede. d) uma soluo tecnolgica adaptativa e flexvel, a fim de suprir as necessidades estratgicas da organizao. e) uma economia na aplicao de novas tecnologias, pois estas no so vulnerveis a novos ataques. 48. (FUNRIO/2009/Analista de Seguro Social Servio Social) Qual das alternativas abaixo d nome ao tipo de ameaa propagada por meio de mensagens fraudulentas, chamadas de spam, caracterizada por um tipo de fraude concebida para obter informaes pessoais sobre o usurio de Internet, convencendo-o a facultar-lhe essas informaes sob falsos pretextos? A) Adware B) Cavalo de Tria C) Phishing D) Retrovirus E) Vrus de macro 49. (FUNRIO/2007/Prefeitura Municipal de Maric) Juvncio recebeu um e-mail reportando que seu CPF estava cadastrado no Sistema de Proteo ao Crdito. Mesmo no havendo possibilidade disso acontecer, pois paga suas contas em dia ele, inadvertidamente, clicou no link que havia no corpo do e-mail. O link remetia para o seguinte endereo: http://www.vocecaiu.com/invadi.exe. A partir desse momento, o programa executado (invadi.exe) se instalou na mquina e capturou sua senha de banco. Esse um procedimento caracterstico de infeco por: A) vrus de boot B) vrus de macro C) worm D) trojan E) spam 50. (ESAF/2002/AFPS) Uma forma de proteger os dados de uma organizao contra perdas acidentais a realizao peridica do backup desses dados de uma forma bem planejada. Entre os tipos de backup, no incremental a) feito o backup dos arquivos selecionados ou indicados pelo usurio somente se eles no tiverem marcados como copiados (participado do ltimo backup) ou se tiverem sido alterados,
v. 3.0
120
CURSO ON-LINE PACOTE DE QUESTES COMENTADAS PARA MPU NOES DE INFORMTICA EM EXERCCIOS PROFESSORA: PATRCIA LIMA QUINTO marcando-os como copiados (marca que indica que participaram do ltimo backup). b) feito o backup de todos os arquivos selecionados ou indicados pelo usurio, independentemente de estarem marcados como copiados (participado do ltimo backup), marcando- os como copiados (marca que indica que participaram do ltimo backup). c) feito o backup de todos os arquivos selecionados ou indicados pelo usurio, independentemente de estarem marcados como copiados, mas nenhum marcado como copiado (marca que indica que participaram do ltimo backup). d) feito o backup dos arquivos selecionados ou indicados pelo usurio somente se eles no tiverem marcados como copiados (participado do ltimo backup) ou se tiverem sido alterados, mas nenhum marcado como copiado (marca que indica que participaram do ltimo backup). e) feito o backup apenas dos arquivos selecionados ou indicados pelo usurio que tiverem sido alterados na data corrente, mas no marca nenhum como copiado (marca que indica que participaram do ltimo backup). 51. (Elaborao prpria) Analise a seguinte afirmao relacionada a sistemas de backup: Para recuperar um disco a partir de um conjunto de backups (normal + incremental) ser necessrio recuperar o primeiro backup (normal) e o ltimo incremental. 52. (ESAF/2008/MPOG/APO-TI) Um dos objetivos da Poltica de Segurana a a) eliminao de ocorrncias. b) reduo dos danos provocados por eventuais ocorrncias. c) criao de procedimentos para sistematizar eventuais danos. d) formalizao de procedimentos para eliminao de ameaas. e) reduo dos custos com segurana. 53. (ESAF/2008/CGU/AFC/Infraestrutura) Um mecanismo de segurana considerado adequado para garantir controle de acesso a) o firewall. b) a criptografia. c) a funo de hash. d) a assinatura digital. e) o certificado digital.
v. 3.0
121
CURSO ON-LINE PACOTE DE QUESTES COMENTADAS PARA MPU NOES DE INFORMTICA EM EXERCCIOS PROFESSORA: PATRCIA LIMA QUINTO 54. (ESAF/2008/CGU/AFC/Infraestrutura) Um plano contingncia no compreende a) respostas imediatas a desastres. b) identificao e compreenso do problema (desastre). c) processo de restaurao. d) conteno de danos e a eliminao das causas. e) anlise crtica dos direitos de acesso dos usurios. de
55. (ESAF/2008/AFC/STN/TI/Infraestrutura) Em uma dada empresa, a poltica de segurana pode ser definida e modificada por um conjunto pequeno de funcionrios em funo de nveis de segurana. Este um cenrio relacionado ao servio de segurana denominado a) Confidencialidade. b) Integridade. c) Disponibilidade. d) Controle de acesso. e) Assinatura digital. 56. (INSTITUTO CETRO/2006/TCM-SP/Agente de Fiscalizao) A Internet uma ferramenta que permite, entre outras possibilidades, a busca por conhecimento. O navegador mais popular atualmente o Microsoft Internet Explorer. No entanto, alguns sites so programados para abrir caixas com propaganda e demais assuntos que podem atrapalhar a produtividade. Essas caixas so chamadas de pop-ups. Pode-se configurar o Microsoft Internet Explorer para bloquear esses Pop-ups? Como? Assinale a alternativa correta. (A) Sim, atravs da opo Ferramentas, Bloqueador de Pop-Ups. (B) No possvel bloquear os pop-ups. (C) Sim, atravs da opo Ferramentas, Opes da Internet... (D) Sim, atravs da opo Exibir, Bloqueador de Pop-Ups. (E) Sim, atravs da opo Favoritos, Bloqueador de Pop-Ups.
v. 3.0
122
CURSO ON-LINE PACOTE DE QUESTES COMENTADAS PARA MPU NOES DE INFORMTICA EM EXERCCIOS PROFESSORA: PATRCIA LIMA QUINTO GABARITO 1. V 2. V 3. F 4. F 5. D 6. F 7. C 8. F 9. F 10. F 11. B 12. F 13. C 14. F 15. F 16. E 17. B 18. C 19. I(V); II (F); III (V); IV. F; V.V; VI.F 20. I (F); II (F); III (V) 21. V 22. C 23. C 24. V 25. V 26. V 27. V 28. C 29. B 30. B 31. D 32. D 33. B 34. C 35. B 36. E 37. D 38. D 39. D 40. C 41. E 42. B 43. D 44. B 45. 46. 47. 48. 49. 50. 51. 52. 53. 54. 55. 56. E C C C D A F B A E D A
v. 3.0
123

Aula 01

Diunggah oleh

Informasi Dokumen

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Aula 01

Diunggah oleh

Hak Cipta:

Format Tersedia

CURSO ON-LINE PACOTE DE QUESTES COMENTADAS PARA MPU NOES DE INFORMTICA EM EXERCCIOS PROFESSORA: PATRCIA LIMA QUINTO AULA

limitados Impactos no negcio

Confidencialidade Integridade Disponibilidade causam perdas

Figura. Isca de Phishing Relacionada ao Banco do Brasil

Melhores Prticas de Segurana Algumas prticas so recomendadas na preveno/deteco malware, como:

GABARITO: item VERDADEIRO.

Figura. Firewall isolando a rede interna da Internet

A. A instalao de antivrus garante a qualidade da segurana no computador.

Anda mungkin juga menyukai