Aula 08 SEGURANÇA DA INFORMAÇAO PDF

Noções de Informática p/ MPU
Analista - Direito e Técnico Administração

Prof Victor Dalton Aula 08
Segundo a norma:
Confidencialidade: Garantia de que o acesso à informação seja

obtido somente por pessoas autorizadas.
Integridade: Salvaguarda da exatidão e completeza da informação e

dos métodos de processamento.
Disponibilidade: Garantia de que os usuários autorizados obtenham

acesso à informação e aos ativos correspondentes sempre que necessário.
(CESPE – TCU – Auditor - Tecnologia da Informação - 2015)

Confidencialidade é a garantia de que somente pessoas autorizadas tenham
acesso à informação, ao passo que integridade é a garantia de que os usuários
autorizados tenham acesso, sempre que necessário, à informação e aos ativos
correspondentes.
Errado! O conceito de confidencialidade está correto, mas o segundo conceito é

o de disponibilidade. Integridade é a garantia que a informação não foi alterada,
e permanece íntegra.
Além da famosa tríade, a resolução do TCU nº 229, de 2009 define

mais dois critérios utilizados para a classificação da informação. Ei-los:
Criticidade: Atributo da segurança da informação que define a

importância da informação para a continuidade do negócio da instituição;
Prazo de retenção: Período em que os dados ficarão retidos,

guardados e/ou armazenados. Na instituição governamental, o período é
alterado de acordo com a necessidade. Consiste no tempo em que o backup
não pode ser apagado, caso exista um histórico.
Ainda, alguns autores defendem que para que uma informação seja
considera segura, o sistema que o administra ainda deve respeitar os
seguintes critérios:
Autenticidade - Garante que a informação ou o usuário da mesma é

autêntico.
Prof. Victor Dalton

www.estrategiaconcursos.com.br 3 de 119
Não repúdio (irretratabilidade). Não é possível negar (no sentido
de dizer que não foi feito) uma operação ou serviço que modificou ou criou
uma informação; não é possível negar o envio ou recepção de uma
informação ou dado.
Legalidade. Garante a legalidade (jurídica) da informação; a

aderência de um sistema à legislação; e as características das informações
que possuem valor legal dentro de um processo de comunicação, onde
todos os ativos estão de acordo com as cláusulas contratuais pactuadas ou
a legislação nacional ou internacional vigente.
Privacidade. Foge do aspecto de confidencialidade, pois uma

informação pode ser considerada confidencial, mas não privada. Uma
informação privada deve poder ser vista / lida / alterada somente pelo seu
dono. Garante ainda, que a informação não será disponibilizada para outras
pessoas (neste caso é atribuído o caráter de confidencialidade à
informação). É a capacidade de um usuário realizar ações em um sistema
sem que seja identificado.
Auditoria. Rastreabilidade dos diversos passos de um negócio ou

processo, identificando os participantes, os locais e horários de cada etapa.
A auditoria aumenta a credibilidade da empresa e é responsável pela
adequação da empresa às políticas legais e internas.
Para Laureano e Moraes (Segurança Como Estratégia de Gestão da

Informação), as informações se classificam como pública, interna,
confidencial, secreta.
• Pública: Informação que pode vir a público sem maiores

consequências danosas ao funcionamento normal da empresa, e cuja
integridade não é vital.
• Interna: O acesso livre a este tipo de informação deve ser evitado,

embora as consequências do uso não autorizado não sejam por demais
sérias. Sua integridade é importante, mesmo que não seja vital.
• Confidencial: Informação restrita aos limites da empresa, cuja

divulgação ou perda pode levar a desequilíbrio operacional, e
eventualmente, a perdas financeiras ou de confiabilidade perante o cliente
externo.
• Secreta: Informação crítica para as atividades da empresa, cuja

integridade deve ser preservada a qualquer custo e cujo acesso deve ser
Prof. Victor Dalton

restrito a um número reduzido de pessoas. A segurança desse tipo de
informação é vital para a companhia.
1.2 Ameaças
A Internet é um cesto cheio dos mais diversos tipos de golpes e

ameaças. Para facilitar o entendimento do cidadão (e a cobrança em
concursos, rs), esses golpes e ameaças recebem uma série de
classificações. Vejamos:
1.2.1 Malware
Oriundo da expressão “Malicious Software”, Malware são programas

desenvolvidos para executar atividades maliciosas em um computador.
Lato sensu, até mesmo programas legítimos que, em virtude de falhas em
seu código, causam danos, podem ser classificados como malware. Os
principais tipos de malware são:
Vírus: um vírus de computador é um programa capaz de se replicar e

opera sem o consentimento do usuário, se espalhando ao se anexar a
outros programas. Outras variedades de vírus são os vírus de boot
capazes de danificar áreas responsáveis por carregar o sistema operacional
Prof. Victor Dalton
e os vírus de macro que podem causar alterações em documentos. Alguns
vírus apenas se replicam, outros podem trazer danos maiores como
corromper arquivos, sobrecarregar uma rede e levar uma máquina a ser
formatada.
Vírus simples
Um vírus simples, que só se replica e é fácil de ser detectado. Se um

usuário executa um vírus, esse vírus pode tomar conta do computador da
vítima e se anexar em outro arquivo, e, depois que ele se espalha, o
devolve o controle para o programa hospedeiro, que funciona
normalmente. O vírus pode se replicar inúmeras vezes, mas nunca se
modifica, logo, o antivírus pode facilmente localizá-lo por uma sequência
de bits característica. Essa sequência também é chamada de assinatura
do vírus.
Vírus encriptado
A ideia do vírus encriptado é esconder esta assinatura fixa,

embaralhando o vírus, para que este não seja detectado por um antivírus.
Um vírus encriptado consiste de uma rotina de decriptação e um corpo
encriptado que, ao ser executado, inicia a fase de decriptação. Após esta
fase, o corpo do vírus toma conta da máquina, se espalhando da mesma
forma que um vírus simples, mas com o diferencial de encriptar o corpo do
vírus com uma nova chave de encriptação, dificultando a detecção por
assinaturas de vírus. No entanto, a rotina de decriptação continua a ser a
mesma, logo, os antivírus passaram a checar por sequências de bytes que
identificassem a rotina de decriptação.
Vírus Polimórficos
Os vírus polimórficos são capazes de criar uma nova variante a cada

execução e diferentemente dos vírus encriptados que encriptam apenas o
código do vírus e permanecem com a mesma rotina de decriptação, os vírus
polimórficos alteram tanto a rotina de encriptação quanto a rotina de
decriptação, o que dificulta a detecção.
Em uma variante de um vírus polimórfico o módulo de decriptação

aparece em claro e o corpo do vírus aparece encriptado. No corpo do vírus
Prof. Victor Dalton

estão presentes a rotina do vírus em si e um módulo de mutação
responsável por gerar o módulo de encriptação e um novo módulo de
decriptação que terá uma nova chave, visto que o módulo de encriptação
foi alterado. Sendo assim, ao infectar um arquivo, o vírus apresentará um
novo módulo de encriptação e um novo corpo.
Em geral, para realizar a detecção dessas ameaças os softwares

antivírus fazem a decriptação do vírus usando um emulador ou realizam
uma análise de padrão do corpo do vírus, visto que o código muda, mas a
semântica não. O processo de emulação é também chamado de sandbox e
é capaz de detectar o vírus caso o código decriptado permaneça o mesmo.
Vírus Metamórficos
Os vírus polimórficos podem apresentar problemas durante as suas

mutações e podem até demorar a serem detectados, mas na maioria das
vezes são detectados devido ao baixo número de vírus polimórficos
eficientes.
Os desenvolvedores de vírus implementam novos códigos para

dificultar o trabalho do pesquisador. O W32/Apparition foi o primeiro vírus
de 32 bits a não utilizar decriptadores polimórficos para realizar mutações,
ele possuía seu código decompilado e quando encontrava um compilador
compilava o código. O vírus inseria e removia código desnecessário ao
código fonte e se recompilava. Dessa forma uma nova geração do vírus
parecia completamente diferente das anteriores. Esse tipo de técnica pode
ser mais destrutiva em ambientes baseados em Unix, onde os compiladores
C são instalados junto com o sistema.
Os vírus metamórficos são capazes de mudar o próprio corpo, por não

possuir um decriptador ou um corpo de vírus constante, mas são capazes
de criar novas gerações diferentes. Eles possuem um corpo único que
carregava dados como código. Os vírus metamórficos evitam gerar
instâncias parecidas com a anterior.
Vírus de macro
Prof. Victor Dalton

Os vírus de macro vinculam suas macros a modelos de documentos e
a outros arquivos de modo que, quando um aplicativo carrega o arquivo e
executa as instruções nele contidas, as primeiras instruções executadas
serão as do vírus.
Vírus de macro são parecidos com outros vírus em vários aspectos:
são códigos escritos para que, sob certas condições, este código se
"reproduz", fazendo uma cópia dele mesmo. Como outros vírus, eles podem
ser escritos para causar danos, apresentar uma mensagem ou fazer
qualquer coisa que um programa possa fazer.
(CESPE – TJ/SE – Analista Judiciário – Análise de Sistemas - 2014) Vírus

são programas que podem apagar arquivos importantes armazenados no
computador, podendo ocasionar, até mesmo, a total inutilização do sistema
operacional.
Correto.
Ainda cabe trazer a classificação de vírus segundo a CERT.BR:
Vírus propagado por e-mail: recebido como um arquivo anexo a um

e-mail cujo conteúdo tenta induzir o usuário a clicar sobre este arquivo,
fazendo com que seja executado. Quando entra em ação, infecta arquivos
e programas e envia cópias de si mesmo para os e-mails encontrados nas
listas de contatos gravadas no computador.
Vírus de script: escrito em linguagem de script, como VBScript e

JavaScript, e recebido ao acessar uma página Web ou por e-mail, como um
arquivo anexo ou como parte do próprio e-mail escrito em formato HTML.
Pode ser automaticamente executado, dependendo da configuração do
navegador Web e do programa leitor de e-mails do usuário.
Vírus de macro: tipo específico de vírus de script, escrito em

linguagem de macro, que tenta infectar arquivos manipulados por
aplicativos que utilizam esta linguagem como, por exemplo, os que compõe
o Microsoft Office (Excel, Word e PowerPoint, entre outros).
Prof. Victor Dalton

Vírus de telefone celular: vírus que se propaga de celular para
celular por meio da tecnologia bluetooth ou de mensagens MMS
(Multimedia Message Service). A infecção ocorre quando um usuário
permite o recebimento de um arquivo infectado e o executa. Após infectar
o celular, o vírus pode destruir ou sobrescrever arquivos, remover ou
transmitir contatos da agenda, efetuar ligações telefônicas e drenar a carga
da bateria, além de tentar se propagar para outros celulares.
E mais algumas classificações:
Vírus de Boot: Vírus que se infecta na área de inicialização dos

disquetes e de discos rígidos (são vírus bem antigos, rs). Essa área é onde
se encontram arquivos essenciais ao sistema. Os vírus de boot costumam
ter alto poder de destruição, impedindo, inclusive, que o usuário entre no
micro.
Vírus de Programa: infectam - normalmente - os arquivos

executáveis, com extensão .EXE e .COM, e algumas outras extensões,
como .OVL e .DLL.
Vírus Multipartite: misto dos vírus de Boot e de Programas. Eles

infectam ambos: arquivos de programas e setores de boot, o que os tornam
muito mais eficazes na tarefa de se espalhar, contaminando outros
arquivos e/ou discos, mas também mais difíceis de serem detectados e
removidos.
Vírus Stealth (Vírus Invisíveis): um dos mais complexos da

atualidade, cuja principal característica é a inteligência. Emprega técnicas
para evitar sua detecção durante a varredura de programas antivírus,
como, por exemplo, temporariamente se auto remover da memória.
E prossigamos com outros malwares!
Worm (importante!): worms são programas autorreplicantes,

passando de um sistema a outro, sem, necessariamente, utilizar um
arquivo hospedeiro. Além disso, pode causar danos sem a ativação pelo
usuário, diferentemente dos vírus.
Prof. Victor Dalton

Todo programa em um computador precisa ser executado.

Um worm, para se autorreplicar, precisa estar em execução.
O que difere o worm de um vírus, por exemplo, é que,
enquanto o vírus é e ecutado por uma ação explícita do
usuário (como um clique duplo no arquivo malicioso), o worm
O worm é executado ou explora vulnerabilidades existentes ou falhas na
não é? configuração de softwares instalados em computadores. Ex:
execução do arquivo infectado autorun.inf em um
pendrive. O computador que está configurado para executar
automaticamente esse arquivo em mídias removíveis pode
ser contaminado apenas com a inserção do pendrive no
computador. O arquivo malicioso será executado, mesmo
que o usuário “não tenha feito nada”. Compreendeu?
Para Fixar
Vírus Worm
Programa ou parte de um Programa
programa de computador
Propaga-se inserindo cópias de si Propaga - se automaticamente
mesmo e se tornando parte de pelas redes, enviando copias de si
outros programas e arquivos mesmo de computador para
computador
Depende da execução do programa Execução direta de suas cópias ou
ou arquivo hospedeiro para ser pela exploração automática de
ativado vulnerabilidades existentes em
programas instalados em
computadores
Prof. Victor Dalton

O objetivo é vender os cliques que o usuário faz nessas páginas, o que gera
lucro para o criador do hijacker.
Rootkit: É um conjunto de programas e técnicas que esconde e

assegura a presença de um invasor ou código malicioso em um computador
comprometido. O objetivo do rootkit não é obter acesso privilegiado, mas
mantê-lo, apagando vestígios da invasão.
Segue, abaixo, uma tabela com características das principais ameaças,

pelo Comitê Gestor de Internet do Brasil (CGI.br):
Prof. Victor Dalton

SQL Injection (Injeção de SQL): é um ataque baseado na inserção

maliciosa de comandos ou consultas SQL em uma aplicação Web. O
objetivo é fazer a aplicação executar comandos indesejados ou permitir o
acesso a dados não autorizados.
Cross-Site Scripting - XSS: é um ataque no qual uma aplicação

recebe dados não confiáveis e os envia ao navegador sem validação ou
filtro adequados. Esse tipo de ataque permite aos atacantes executarem
scripts no navegador da vítima que podem “sequestrar” sessões do usuário,
desfigurar sites ou redirecionar o usuário para sites maliciosos.
Cross-Site Request Forgery: Força a vítima, que possui uma sessão

ativa em um navegador, a enviar uma requisição HTTP forjada, incluindo o
cookie da sessão da vítima e qualquer outra informação de autenticação
incluída na sessão, a uma aplicação web vulnerável. Esta falha permite ao
atacante forçar o navegador da vítima a criar requisições que a aplicação
vulnerável aceite como requisições legítimas realizadas pela vítima. Ao
contrário do XSS, o Cross-Site Request Forgery explora a confiança da
aplicação web no usuário que está conectado.
IP Spoofing: Mascaramento do endereço de pacotes IP por meio de

endereços de remetentes falsificados.
Port Scanning Attack: Os hackers enviam mensagens para múltiplas

portas e aguardam resposta. A depender das respostas, o invasor saberá
se a porta está disponível ou não para invasão. De fato, este procedimento
é muito utilizado pela própria segurança, em buscas de fraquezas nos
servidores.
Session Hijacking: Consiste em de explorar ou controlar uma sessão

de comunicação TCP/IP válida entre computadores sem o conhecimento ou
permissão dos donos dos mesmos. O session hijacking normalmente
implica explorar o mecanismo que controla a conexão entre um servidor
web e um navegador, o que se conhece como "token de sessão". Este token
consiste em uma cadeia de caracteres que um servidor web envia para um
cliente que se autentica. Ao prever ou roubar o token de sessão, um
atacante pode obter acesso ao servidor e dispor dos mesmos recursos que
o usuário comprometido.
Prof. Victor Dalton

Buffer Overflow: Consiste no transbordamento de memória, ao se
escrever mais dados do que a capacidade do buffer, o que pode
sobrescrever a memória adjacente. Um invasor pode utilizar essa técnica
para travar intencionalmente uma aplicação, tomar o controle sobre ela
e/ou ganhar privilégios em um sistema.
Advanced Persistent Threat: Invasores profissionais permanecem

em uma rede por muito tempo sem serem detectados, com o objetivo de
obter acesso crescente, e capturar informações. Podem usar phising,
engenharia social, backdoor ou qualquer outro artifício para manter-se
operando.
Flooding ou DoS: é uma forma de ataque de negação de serviço

(também conhecido como Denial of Service - DoS) em sistemas
computadorizados, na qual o atacante envia uma seqüência de requisições
para um sistema-alvo visando uma sobrecarga direta na camada de
transporte e indireta na camada de aplicação do modelo OSI. Sua variante
é o DdoS (Distributed Denial of Service).
Este é o tipo de ataque do qual ouvimos falar recentemente na mídia.
Lembra, em 2013, daquele grupo que anunciou ataques a bancos e órgãos
públicos no Brasil? Eles anunciavam o ataque, anunciavam o alvo, e o site
era derrubado.
Isso acontece porque os ataques do tipo Distributed Denial of Service,

ou ataques distribuídos de negação de serviço, são os de mais difícil
defesa.
Um ataque de negação de serviço (DoS), é uma tentativa em tornar

os recursos de um sistema indisponíveis para seus utilizadores. Alvos
típicos são servidores web, e o ataque tenta tornar as páginas hospedadas
indisponíveis na rede. Não se trata de uma invasão do sistema, mas sim da
sua invalidação por sobrecarga. Os ataques de negação de serviço são
feitos geralmente de duas formas:
 Forçar o sistema vítima a reinicializar ou consumir todos os
recursos (como memória ou processamento por exemplo) de forma
que ele não pode mais fornecer seu serviço.
 Obstruir a mídia de comunicação entre os utilizadores e o
sistema vítima de forma a não comunicarem-se adequadamente.
Prof. Victor Dalton

Em um ataque distribuído de negação de serviço, um computador
mestre (denominado "Master") pode ter sob seu comando até milhares de
computadores ("Zombies" - zumbis). Neste caso, as tarefas de ataque de
negação de serviço são distribuídas a um "exército" de máquinas
escravizadas.
O ataque consiste em fazer com que os Zumbis (máquinas infectadas

e sob comando do Mestre) se preparem para acessar um determinado
recurso em um determinado servidor em uma mesma hora de uma mesma
data. Passada essa fase, na determinada hora, todos os zumbis (ligados e
conectados à rede) acessarão ao mesmo recurso do mesmo servidor. Como
servidores web possuem um número limitado de usuários que pode atender
simultaneamente ("slots"), o grande e repentino número de requisições de
acesso esgota esse número de slot, fazendo com que o servidor não seja
capaz de atender a mais nenhum pedido.
Destaco ainda que todo ataque de DDoS foi precedido de alguma outra
forma de ataque. As máquinas “zumbis”, ou escravas, são máquinas de
usuários comuns que se deixaram infectar anteriormente por algum
malware (bots).
Por fim, é interessante destacar que os ataques DDos podem ter três
naturezas:
1) Ataques volumétricos: Tentativa de consumir a largura de

banda, seja dentro da rede/serviço alvo ou entre a rede/serviço
Prof. Victor Dalton

por mensagens eletrônicas que tentam se passar por alguma Instituição
conhecida, compelindo o destinatário a entrar em um site (falso) para o
fornecimento de dados pessoais.
Phishing: quem nunca recebeu um email desses?
Uma variação do Phising é o chamado Pharming. Nele, o serviço DNS

(Domain Name System, ou domínio de nomes do sistema) do navegador
Web é corrompido, redirecionando o usuário para um site falso, mesmo
quando ele digita o nome de um site verdadeiro.
Spear Phishing: Outra variação do Phishing, mas o remetente se

passa por alguém que você conhece, um amigo ou uma empresa com a
qual você mantém relacionamento.
Prof. Victor Dalton

1.2.2 Engenharia Social
A engenharia social compreende práticas utilizadas para obter acesso

a informações importantes ou sigilosas em organizações ou sistemas por
meio da enganação ou exploração da confiança das pessoas.
Para isso, o golpista pode se passar por outra pessoa, assumir outra
personalidade, fingir que é um profissional de determinada área, podendo,
inclusive, criar falsos relacionamentos de amizade para obter informações
estratégicas de uma organização.
É uma forma de entrar em organizações que não necessita da força

bruta ou de erros em máquinas. Explora as falhas de segurança das
próprias pessoas que, quando não treinadas para esses ataques, podem
ser facilmente manipuladas. Via de regra, o engenheiro social busca obter
a confiança da vítima, com o objetivo de extrair informações privilegiadas.
A engenharia social é combatida com o treinamento e a

conscientização das pessoas.
1.3 Criptografia
Criptografia é o estudo dos princípios e técnicas pelas quais

a informação pode ser transformada da sua forma original para outra
ilegível, de forma que possa ser conhecida apenas por seu destinatário, o
que a torna difícil de ser lida por alguém não autorizado. Assim sendo, só
o receptor da mensagem pode ler a informação com facilidade. É um ramo
da Matemática, parte da Criptologia.
Há dois tipos principais de chaves criptográficas: chaves

simétricas e chaves assimétricas. Uma informação não-cifrada que é
enviada de uma pessoa (ou organização) para outra é chamada de "texto
claro" (plaintext). Cifragem é o processo de conversão de um texto claro
para um código cifrado e decifragem é o processo contrário, de recuperar
o texto original a partir de um texto cifrado. A criptografia moderna é
basicamente formada pelo estudo dos algoritmos criptográficos que podem
ser implementados em computadores.
Prof. Victor Dalton

Segundo Nakamura, a criptografia possui quatro propriedades, ou

objetivos, para a proteção da informação, a saber:
 Confidencialidade (privacidade) – sigilo entre as partes

envolvidas
 Integridade – a informação não sofrer alterações
 Autenticação (do remetente) – poder saber quem é o remetente
 Não-repúdio – o remetente não poder negar a autoria da mensagem
1.3.1 Conceitos relacionados
Uma técnica clássica de criptografia é a esteganografia.
Esteganografia (do grego "escrita escondida") é o estudo e uso das

técnicas para ocultar a existência de uma mensagem dentro de outra, uma
forma de segurança por obscurantismo. Em outras palavras,
esteganografia é o ramo particular da criptologia que consiste em fazer com
que uma forma escrita seja camuflada em outra a fim de mascarar o seu
verdadeiro sentido.
Interessante frisar a diferença entre criptografia e esteganografia.

Enquanto a primeira oculta o significado da mensagem, a segunda oculta a
existência da mensagem.
Veja abaixo um exemplo clássico de esteganografia.
Mensagem inocente, não?
Prof. Victor Dalton

Outros conceitos interessantes dizem a respeito da engenharia
reversa da criptografia. Uma parte interessada em quebrar uma
mensagem cifrada pode lançar mão de dois recursos, a saber:
Criptoanálise: os ataques criptoanalíticos contam com a natureza do

algoritmo e talvez mais algum conhecimento das características gerais do
texto claro, ou ainda algumas amostras do texto claro e texto cifrado. O
objetivo é deduzir o texto em claro ou a chave utilizada. A criptoanálise
pode ser considerada o oposto da criptologia, que é a arte de criar
mensagens cifradas.
Ataque por força bruta: o atacante experimenta cada chave possível

em um trecho de texto cifrado, até obter uma tradução inteligível para o
texto claro. Na média, metade de todas as chaves possíveis precisam ser
testadas para se obter sucesso.
Logo, percebe-se uma diferença clara entre a criptoanálise e a força

bruta.
Criptografar e decriptografar mensagens é um “jogo de gato e rato”.

Veremos mais sobre esse jogo, à medida que nos aprofundarmos no
assunto.
1.3.2 Criptografia simétrica e assimétrica (importante!)
Diferenciar algoritmos de chave simétrica e assimétrica é importante,

e não é difícil!
Os algoritmos de chave simétrica são uma classe

de algoritmos para a criptografia, que usam chaves criptográficas
relacionadas para as operações de cifragem e decifragem. A operação de
chave simétrica é mais simples, pois pode existir uma única chave entre as
operações. A chave, na prática, representa um segredo, partilhado entre
duas ou mais partes, que podem ser usadas para manter um canal
confidencial de informação. Usa-se uma única chave, partilhada por ambos
os interlocutores, na premissa de que esta é conhecida apenas por eles.
Resumindo, a mesma chave usava pra criptografar é a mesma utilizada
para decriptografar.
Prof. Victor Dalton

receptor utilizada pelo emissor para cifrar o documento a ser enviado;
posteriormente, o receptor utiliza sua chave privada para decifrar o documento.
Correto. Explicação bem didática de ambas as criptografias.
1.3.3 Principais algoritmos
Hora de vermos alguns algoritmos.
DES (Data Encryption Standard) - DES é tipo de cifra em bloco, ou

seja, um algoritmo que toma uma string (“pedaço” de texto) de tamanho
fixo de um texto plano e a transforma, através de uma série de complicadas
operações, em um texto cifrado de mesmo tamanho. No caso do DES, o
tamanho do bloco é 64 bits. DES também usa uma chave para personalizar
a transformação, de modo que a decifragem somente é possível,
teoricamente, por aqueles que conhecem a chave particular utilizada para
criptografar. A chave consiste nominalmente de 64 bits, porém somente 56
deles são realmente utilizados pelo algoritmo. Os oito bits restantes são
utilizados para verificar a paridade e depois são descartados, portanto o
tamanho efetivo da chave é de 56 bits, e assim é citado o tamanho de sua
chave.
Prof. Victor Dalton

utilizado por softwares com protocolo ponto-a-ponto na verificação de
integridade de arquivos e logins. Atualmente, a comunidade de segurança
considera o MD5 como um algoritmo quebrado, embora ainda seja utilizado
nos dias atuais.
SHA-1 (Secure Hash Algorithm 1) - A família de SHA (Secure Hash

Algorithm) está relacionada com as funções criptográficas e verificação de
integridade de dados. A função mais usada nesta família, a SHA-1, é usada
numa grande variedade de aplicações e protocolos de segurança, incluindo
TLS, SSL, PGP, SSH, S/MIME e IPSec. SHA-1 foi considerado o sucessor do
MD5.
O SHA-1 processa os dados de entrada em blocos de 512 bits e gera

um sumário de mensagens de 160 bits.
DSS (Digital Signature Standard) – O DSS é um padrão de

assinatura digital utiliza um algoritmo que foi projetado apenas para
oferecer a função de assinatura digital (o DSA). Diferentemente do RSA,
ele não pode ser usado para a criptografia ou troca de chave. Apesar disso,
é uma técnica de chave pública. O DSS também utiliza o algoritmo SHA-1
para a geração do hash.
DSA (Digital Signature Algorithm) – O DSA é o algoritmo do DSS

para assinatura digital, baseado na dificuldade de se calcular logaritmos
discretos. Ele trabalha com três parâmetros públicos, que podem ser
comuns a um grupo de usuários. Um número primo q de 160 bits, um
número p entre 512 a 1024 bits, de modo que q divida (p -1), e g, que será
igual a h elevado a [(p-1)/q], em que h é menor que p -1 e (g mod q) > 1.
h é a chave secreta a ser utilizada pelo assinante.
(CESPE – TCU – Auditor - Tecnologia da Informação - 2015) No algoritmo

AES, a cifra de decriptografia é idêntica à cifra de criptografia, assim como a
sequência de transformações para a decriptografia é a mesma para a criptografia,
o que pode ser considerado uma vantagem, já que apenas um único módulo de
software ou firmware é necessário para aplicações que exigem tanto criptografia
quanto decriptografia.
Prof. Victor Dalton

Errado! Embora o AES realmente seja um algoritmo simétrico, isso não é uma
vantagem, mas sim uma vulnerabilidade. Algoritmos assimétricos são mais
seguros.
1.3.4 Assinatura digital
Analisar assinatura digital é a continuação natural da criptografia

assimétrica. Por enquanto, ainda estamos no “mundo das ideias”, mas já
traremos esses conceitos para o nosso dia a dia. Peço sua paciência!
Você deve ter percebido que a criptografia baseada em chave

assimétrica garante a confidencialidade da mensagem, pois, apenas o
destinatário da mesma consegue decifrá-la. Até aí tudo bem, mas quem
garante que a mensagem realmente está vindo daquele emissor?
Afinal de contas, qualquer um pode enviar uma mensagem para Fábio.
A chave pública de Fábio é pública, não é mesmo?
É nesse contexto que entra a assinatura digital. Ela garantirá a

autenticidade do remetente e a integridade da mensagem. Vamos ver
como?
Assinatura digital baseada em Chave Pública
A assinatura digital requer que emissores e receptores conheçam as

chaves públicas uns dos outros. Assim, quando a entidade emissora quer
enviar uma mensagem assinada digitalmente a outra entidade, aquela terá
que cifrar a mensagem com a sua chave privada e, em seguida, cifrar o
resultado com a chave pública da entidade receptora. Por sua vez, a
entidade receptora ao receber a mensagem terá que decifrá-la primeiro
com a sua chave privada e de seguida decifrar este resultado com a chave
pública da entidade emissora.
O receptor pode provar a recepção de qualquer mensagem através do

criptograma resultante da decifragem com a sua chave privada. Note-se
que ele consegue decifrá-lo mas nunca conseguiria produzi-lo uma vez que
desconhece a chave privada do emissor.
Prof. Victor Dalton

Este método de assinatura digital tem todas as vantagens dos
algoritmos de chave pública nomeadamente a sua impossibilidade de
decifragem por outros, pelo menos em tempo útil.
Figura – assinatura digital baseada em chave pública
Entendeu a jogada?
Se, além de cifrar a mensagem com a chave pública de Fábio, Thiago

cifrar também com sua própria chave privada, Fábio não só conseguirá
ler a mensagem, como também garantirá que a mensagem realmente é de
Thiago, pois a chave pública de Thiago também decifra mensagens cifradas
pela chave privada de Thiago.
Veja também outros dois tipos de assinatura digital:
Assinatura digital baseada em Chave Secreta
Esta aproximação requer a existência de uma autoridade central que

sabe tudo e em quem todos confiam. Cada entidade escolhe uma chave
secreta e a repassa à autoridade central. Desta forma só autoridade central
e a própria entidade têm conhecimento da sua chave secreta. Quando uma
entidade quer enviar uma mensagem assinada digitalmente à outra, terá
que a cifrar, com a sua chave secreta, e enviá-la à autoridade central. A
mensagem passará pela autoridade central que a decifrará com a chave
secreta da entidade emissora. A esta mensagem será concatenada uma
estampilha que só a autoridade central consegue gerar e decifrar. O
resultado será cifrado com a chave secreta da entidade receptora e
enviado. Desta forma, o receptor pode provar a recepção de qualquer
Prof. Victor Dalton

mensagem através da estampilha recebida (só a autoridade central
consegue produzir uma).
Assinatura digital baseada em funções de hash (importante!)
Uma das críticas que se podem fazer à aproximações apresentadas

anteriormente é que elas juntam duas funções distintas: autenticação e
privacidade. Muitas vezes, é necessária a autenticação, mas não existe
qualquer interesse de privacidade. Uma vez que a cifragem de uma
mensagem com criptografia de chaves públicas é normalmente lenta, é
frequentemente desejável enviar uma mensagem assinada digitalmente
sem preocupação de que ela seja lida por outros. Desta forma não será
necessário cifrar toda a mensagem.
Este esquema baseia-se nas funções de sentido único (one-way hash

functions) e tem como base a cifragem de uma parte, arbitrariamente
longa, da mensagem, obtendo como resultado o chamado message-
digest(resumo). Esse resumo possui tamanho fixo, independentemente do
tamanho da mensagem.
Desta forma, a entidade emissora terá que gerar o message-digest e

cifrá-lo (assiná-lo) com a sua chave privada.
De seguida poderá enviar a mensagem (cifrada ou não) concatenada

com a sua assinatura. A entidade receptora decifrará a assinatura com a
chave pública da entidade emissora (previamente publicada) e verificará se
o message-digest é o esperado. Como pode ser facilmente percebido, as
entidades comunicantes devem assegurar-se que conhecem as verdadeiras
chaves públicas umas das outras e não quaisquer outras ilegalmente
publicadas, a troco da segurança do sistema poder ficar comprometido.
Para garantir isso, i.e., para fazer a distribuição de chaves públicas de
forma segura, usa-se o conceito de certificado, um objeto que contém a
chave pública de uma dada entidade assinada digitalmente por uma
entidade de confiança, conhecida por autoridade certificadora (CA).
Figura – assinatura digital baseada em funções de hash
Prof. Victor Dalton

Estamos evoluindo! Primeiro, você entendeu como a mensagem é
enviada de uma forma segura. Segundo, você entendeu como garantir a
assinatura do remetente. Agora podemos fazer mais uma pergunta.
Quem garante que aquele emissor realmente é legítimo? Ou

seja, quem garante a Fábio que o Thiago realmente é o Thiago, e não
alguém se passando por Thiago?
A dica foi dada na última modalidade de assinatura digital. É hora de

estudarmos o Certificado Digital.
1.3.5 Certificado digital
Um certificado digital normalmente é usado para ligar uma entidade

a uma chave pública. Para garantir digitalmente, no caso de uma
Infraestrutura de Chaves Públicas (ICP), o certificado é assinado pela
Autoridade Certificadora (AC) que o emitiu e no caso de um modelo de Teia
de Confiança (Web of Trust), o certificado é assinado pela própria entidade
e assinado por outros que dizem confiar naquela entidade. Em ambos os
casos as assinaturas contidas em um certificado são atestamentos feitos
por uma entidade que diz confiar nos dados contidos naquele certificado.
O certificado digital oferece garantias de:

 Autenticidade - o receptor deverá poder confirmar a
assinatura do emissor;
 Integridade - garantia de que o conteúdo da transação não
foi alterado;
 Não-repúdio - garantia de que quem executou a transação
não pode negar que foi ele mesmo que executou;
Ainda está um pouco quadrado?
Pois imagine o Certificado Digital como uma cédula de identidade,

emitida por um cartório. A gente às vezes não precisa ir em um cartório
pra provar que a gente é a gente mesmo? Mesma coisa aqui!
Veja essa tela abaixo, por meio da qual um usuário entra em sua conta
no site do Banco do Brasil (repare no CADEADO VERDE):
Prof. Victor Dalton

Isso acontece porque a emissão de certificados é paga (como se
cartório fosse, rs), e nem todos aderem às Autoridades Certificadoras. Na
prática, isso quer dizer que a comunicação com a outra parte é segura,
mas não há Autoridade Certificadora garantindo que a outra parte é idônea.
Ou seja, é possível trocar informações de maneira segura com uma parte
mal intencionada. Nesses casos, confiar no outro lado fica por conta e risco
do usuário, e não da Autoridade Certificadora.
Em um certificado digital, poderão ser encontradas as seguintes

informações:
− versão e número de série do certificado.

− dados que identificam quem emitiu o certificado (assinatura da
AC).
− dados que identificam o dono do certificado (nome, registro civil).
− validade do certificado.
− chave pública do dono do certificado (a chave privada fica apenas
com o dono).
− algoritmo de assinatura.
− versão e número de série do certificado.
− requerente do Certificado.
(CESPE – ANTAQ – Analista Administrativo – Infraestrutura de TI - 2014)

Para a utilização de criptografia assimétrica, a distribuição das chaves públicas é
comumente realizada por meio de certificado digital, que contém o nome do
usuário e a sua chave pública, sendo a autenticidade dessas informações garantida
por assinatura digital de uma terceira parte confiável, denominada Autoridade
Certificadora.
Correto. A Autoridade Certificadora garante a autenticidade do dono do

Certificado e, ao fornecer a chave pública, garante que somente o dono do
certificado pode decifrar as mensagens que lhe forem enviadas.
Prof. Victor Dalton

1.3.6 A ICP - Brasil
Falando em Autoridade Certificadora, a ICP-Brasil é um conjunto de

entidades governamentais ou de iniciativa privada, padrões técnicos e
regulamentos, elaborados para suportar um sistema criptográfico com base
em certificados digitais e visa assegurar as transações entre titulares de
certificados digitais e detentores de chaves públicas, no Brasil.
Para assegurar que uma determinada chave pertence a você é

necessário que uma Autoridade Certificadora (AC) confira sua identidade e
seus respectivos dados. Ela será a entidade responsável pela emissão,
suspensão, renovação ou revogação de seu certificado digital, além de ser
obrigada a manter sempre disponível a Lista de Certificados Revogados
(CRL).
A ICP–Brasil é formada por uma Autoridade Certificadora Raiz (AC

RAIZ) que é representada pelo Instituto Nacional de Tecnologia da
Informação (ITI), sendo este órgão responsável pela autentificação das
demais Autoridades Certificadoras, além de executar atividades de
fiscalização e auditoria das AC e Autoridades de Registro (AR) para que
possa certificar-se de que a entidade está seguindo todas as Políticas de
Certificação.
Vejamos mais alguns conceitos relevantes sobre a ICP Brasil:
AC - Raiz
A Autoridade Certificadora Raiz da ICP-Brasil (AC-Raiz) é a primeira

autoridade da cadeia de certificação. Executa as Políticas de Certificados e
normas técnicas e operacionais aprovadas pelo Comitê Gestor da ICP-
Brasil. Portanto, compete à AC-Raiz emitir, expedir, distribuir, revogar
e gerenciar os certificados das autoridades certificadoras de nível
imediatamente subsequente ao seu.
A AC-Raiz também está encarregada de emitir a lista de certificados

revogados (LCR) e de fiscalizar e auditar as Autoridades Certificadoras
(ACs), Autoridades de Registro (ARs) e demais prestadores de serviço
habilitados na ICP-Brasil. Além disso, verifica se as ACs estão atuando em
Prof. Victor Dalton

conformidade com as diretrizes e normas técnicas estabelecidas pelo
Comitê Gestor da ICP-Brasil.
AC - Autoridade Certificadora
Uma Autoridade Certificadora (AC) é uma entidade, pública ou privada,

subordinada à hierarquia da ICP-Brasil, responsável por emitir, distribuir,
renovar, revogar e gerenciar certificados digitais. Tem a
responsabilidade de verificar se o titular do certificado possui a chave
privada que corresponde à chave pública que faz parte do certificado. Cria
e assina digitalmente o certificado do assinante, onde o certificado emitido
pela AC representa a declaração da identidade do titular, que possui um
par único de chaves (pública/privada).
Cabe também à AC emitir listas de certificados revogados (LCR) e
manter registros de suas operações sempre obedecendo às práticas
definidas na Declaração de Práticas de Certificação (DPC). Além de
estabelecer e fazer cumprir, pelas Autoridades Registradoras (ARs) a ela
vinculadas, as políticas de segurança necessárias para garantir a
autenticidade da identificação realizada.
AR – Autoridade de Registro
Uma Autoridade de Registro (AR) é responsável pela interface entre o

usuário e a Autoridade Certificadora. Vinculada a uma AC, tem por objetivo
o recebimento, validação, encaminhamento de solicitações de
emissão ou revogação de certificados digitais e identificação, de
forma presencial, de seus solicitantes. É responsabilidade da AR
manter registros de suas operações. Pode estar fisicamente localizada em
uma AC ou ser uma entidade de registro remota.
Prof. Victor Dalton

Errado! A autoridade de registro não emite certificados, ela faz o “meio de campo”
entre a autoridade certificadora (esta sim emite certificados e listas de
certificados revogados) e o usuário. A AR pode estar fisicamente localizada em
uma AC ou ser uma entidade de registro remota.
1.3.7 Tipos de Certificação Digital
Na ICP-Brasil estão previstos dez tipos de certificado. São duas séries

de certificados. A série A (A1, A2, A3 e A4) reúne os certificados de
assinatura digital, utilizados na confirmação de identidade na Web,
em e-mail, em redes privadas virtuais (VPN) e em documentos
eletrônicos com verificação da integridade de suas informações.
Também certificados de assinatura digital, certificados do tipo T3 e
T4 somente podem ser emitidos para equipamentos das Autoridades de
Carimbo do Tempo (ACTs) credenciadas na ICP-Brasil.
A série S (S1, S2, S3 e S4), por sua vez, reúne os certificados de

sigilo, que são utilizados na codificação de documentos, de bases de
dados, de mensagens e de outras informações eletrônicas sigilosas. Os dez
tipos são diferenciados pelo uso, pelo nível de segurança e pela validade.
Nos certificados do tipo A1 e S1, as chaves privadas ficam

armazenadas no próprio computador do usuário. Nos tipos A2, A3, A4, S2,
S3 e S4, as chaves privadas e as informações referentes ao seu certificado
ficam armazenadas em um hardware criptográfico – cartão inteligente
(smart card) ou cartão de memória (token USB ou pen drive). Para acessar
essas informações, ainda, é necessária a digitação de senha no momento
crítico da transação.
Tipos T3 e T4 são para hardware específico das Autoridades de

Carimbo do Tempo, cuja finalidade é provar a sua existência em
determinado período, em qualquer documento ou transação eletrônica,
baseando-se na hora oficial brasileira fornecida pelo Observatório Nacional.
Prof. Victor Dalton

A verificação em duas etapas está sendo cada vez mais utilizada em
nosso cotidiano.
Cito como exemplo o gmail, que tem trabalhado com senha (o que
você sabe) + envio de mensagem para o seu telefone (o que você tem).
Certamente você já precisou se autenticar em algum lugar utilizando
procedimento similar.
Verificação em duas etapas.
1.4 Backup
A informação mais importante a respeito de backup fica na norma ISO

27002, a qual afirma que as mídias de backup devem ficar situadas a
uma distância segura da mídia e dos sistemas originais, para que
danos causados por um desastre no site principal não afetem
também o backup. Questões de prova em cima dessa ideia são
frequentes.
Além disso, podemos destacar que os backups podem ser realizados

de três formas diferentes. São elas:
Backup Incremental: realiza um backup dos arquivos que foram

alterados ou novos desde o último backup, de qualquer tipo. Em suma, é
um backup de atualização.
Prof. Victor Dalton

Backup Diferencial: realiza um backup dos arquivos que foram
alterados desde o último backup completo. É um backup intermediário
entre o incremental e o completo.
Backup Completo (normal): como o próprio nome diz, todos os

arquivos e pastas na unidade sofrem o backup, ou seja, é criada uma cópia
de segurança para todos esses arquivos.
Onde gravar os backups: você pode usar mídias (como CD, DVD,
pen-drive, disco de Blu-ray e disco rígido interno ou externo) ou armazena-
los remotamente (online ou off-site). A escolha depende do programa de
backup que está sendo usado e de questões como capacidade de
armazenamento, custo e confiabilidade. Um CD, DVD ou Blu-ray pode
bastar para pequenas quantidades de dados, um pen-drive pode ser
indicado para dados constantemente modificados, ao passo que um disco
rígido pode ser usado para grandes volumes que devam perdurar.
Quais arquivos copiar: apenas arquivos confiáveis e que tenham

importância para você devem ser copiados. Arquivos de programas que
podem ser reinstalados, geralmente, não precisam ser copiados. Fazer
cópia de arquivos desnecessários pode ocupar espaço inutilmente e
dificultar a localização dos demais dados. Muitos programas de backup já
possuem listas de arquivos e diretórios recomendados, você pode optar por
aceitá-las ou criar suas próprias listas.
Com que periodicidade devo realiza-los: depende da frequência

com que você cria ou modifica arquivos. Arquivos frequentemente
modificados podem ser copiados diariamente ao passo que aqueles pouco
alterados podem ser copiados semanalmente ou mensalmente.
1.5 VPN
Uma Rede Privada Virtual (Virtual Private Network – VPN),

como o próprio nome sugere, é uma forma de conectar dois computadores
utilizando uma rede pública, como a Internet.
Prof. Victor Dalton

Como a Internet é uma rede pública, é preciso criar alguns
mecanismos de segurança para que as informações trocadas entre os
computadores de uma VPN não possam ser lidas por outras pessoas.
A proteção mais utilizada é a criptografia, pois essa garante que os

dados transmitidos por um dos computadores da rede sejam os mesmo que
as demais máquinas irão receber.
Depois de criptografados, os dados são então encapsulados e

transmitidos pela Internet, utilizando o protocolo de tunelamento, até
encontrar seu destino.
Os principais protocolos de tunelamento são os seguintes:
PPTP (Point-to-Point Tunneling Protocol) é um protocolo de nível

2desenvolvido pela Microsoft, 3Com, Ascend, EUA Robotics e ECI
Telematics.
L2F (Layer Two Forwarding) é um protocolo de nível 2 desenvolvido

pela Cisco, Northern Telecom e Shiva. Está hoje quase obsoleto.
Prof. Victor Dalton

L2TP (Layer Two Tunneling Protocol) é o resultado dos trabalhos
do IETF (RFC 2661) para fazer convergir as funcionalidades de PPTP e de
L2F. Trata-se assim de um protocolo de nível 2 que se apoia em PPP.
IPSec é um protocolo de nível 3, procedente dos trabalhos do IETF,

permitindo transportar dados calculados para as redes IP. Vejamos um
pouco mais sobre este protocolo, o mais conhecido.
O IPsec define dois protocolos de segurança designados de Cabeçalho

de Autenticação (AH) (RFC 2402) e Encapsulating Security Payload (ESP)
(RFC 2406). Cada protocolo define o seu próprio formato para o cabeçalho
IPsec no pacote IPsec. Ambos os protocolos usam o conceito de uma
Associação de Segurança (AS). Por isso, as SAs podem ser do tipo AH ou
ESP. Note-se que uma SA não pode ser em simultâneo do tipo AH e ESP.
Adicionalmente, quer o AH quer o ESP suportam os modos transporte e
túnel.
O AH proporciona integridade e autenticação, usando algoritmos de

chave partilhada como o MD5 e o SHA-1. O AH não proporciona
confidencialidade.
O ESP proporciona confidencialidade e, opcionalmente, integridade e

autenticação. Para a confidencialidade o ESP suporta algoritmos de
encriptação por chave partilhada tais como o DES e o 3-DES. Tal como o
AH o ESP suporta os algoritmos MD5 e SHA-1 para integridade e
autenticação.
Prof. Victor Dalton

Embora esteja na camada IP, o IPSec é orientado a conexões -
Uma “conexão” no contexto do IPSec é chamada de associação de
segurança, ou AS (security association). Tal conexão é simplex, e tem um
identificador de segurança associado a ela.
Pode ser usado no modo de transporte, em que todo pacote IP,

incluindo o cabeçalho, é encapsulado no corpo de um novo pacote
IP com um cabeçalho IP completamente novo. – Este é o modo
tunelamento. No modo de transporte, o cabeçalho IPSec é inserido logo
após o cabeçalho IP.
1.6 Firewall
O Firewall, segundo Nakamura, em seu livro Segurança de Redes

em Ambientes Cooperativos, pode ser definido como um “ponto entre
duas ou mais redes, que pode ser um componente ou conjunto de
componentes, por onde passa todo o tráfego, permitindo que o controle, a
autenticação e os registros de todo o tráfego sejam realizados”. Além disso,
“pode ser definido como um grupo de sistemas que reforça a política de
acesso entre duas redes, e, portanto, pode ser visto como uma
implementação da política de segurança.”
Prof. Victor Dalton

• certifique-se de que o firewall instalado esteja ativo;
• configure seu firewall para registrar a maior quantidade de
informações possíveis (desta forma, e possível detectar tentativas de
invasão ou rastrear as conexões de um invasor).
As configurações do firewall dependem de cada fabricante. De forma

geral, a mais indicada é:
• liberar todo trafego de saída do seu computador (ou seja, permitir
que seu computador acesse outros computadores e serviços) e;
• bloquear todo trafego de entrada ao seu computador (ou seja,
impedir que seu computador seja acessado por outros computadores e
serviços) e liberar as conexões conforme necessário, de acordo com
os programas usados.
(CESPE – TJ/AC – Técnico em Informática - 2012) Sistemas de prevenção à

intrusão (IPS) e sistemas de detecção de intrusão (IDS) são sistemas concebidos
com os mesmos propósitos. A diferença entre eles encontra-se no público-alvo.
Enquanto os IPS são sistemas voltados para os usuários domésticos, os IDS focam
as grandes redes corporativas.
Errado! A diferença básica entre um Intrusion Detection System (IDS) para

um Intrusion Prevention System (IPS) é que os sistemas de prevenção são
ativos, enquanto os sistemas de detecção são passivos. Enquanto o IDS informa
sobre um potencial ataque, o IPS promove tentativas de parar o ataque. Um outro
grande avanço sobre o IDS é que o IPS tem a capacidade de prevenir invasões
com “assinaturas” conhecidas, mas também pode impedir alguns ataques não
conhecidos, devido a sua base de dados de “comportamentos” de ataques
genéricos. Visto como uma combinação de IDS e de uma “camada de aplicação
Firewall” para proteção, o IPS geralmente é considerado a geração seguinte do
IDS.
Prof. Victor Dalton

1.7 Outras boas práticas de segurança da informação
A seguir, veremos mais algumas boas práticas se segurança da

informação na utilização de equipamentos tecnológicos. São boas dicas
tanto para o seu dia-a-dia, bem como podem cair em prova! 
SENHAS FRACAS E FORTES
Segundo a Cartilha CERT.BR, uma senha boa, bem elaborada, é aquela

que é difícil de ser descoberta (forte) e fácil de ser lembrada.
Alguns elementos que não se deve usar na elaboração de suas senhas:
Qualquer tipo de dado pessoal: evite nomes, sobrenomes, contas

de usuário, números de documentos, placas de carros, números de
telefones e datas (estes dados podem ser facilmente obtidos e usados por
pessoas que queiram tentar se autenticar como você).
Sequencias de teclado: evite senhas associadas a proximidade entre

os caracteres no teclado, como “1qaz2wsx” e “QwerTAsdfG”, pois são
bastante conhecidas e podem ser facilmente observadas ˜ ao serem
digitadas.
Palavras que façam parte de listas: evite palavras presentes em

listas publicamente conhecidas, como nomes de músicas, times de futebol,
personagens de filmes, dicionários de diferentes idiomas, etc. Existem
programas que tentam descobrir senhas combinando e testando estas
palavras e que, portanto, não devem ser usadas.
Alguns elementos que devem ser usados na elaboração de suas senhas

são:
Numeros aleatórios: quanto mais ao acaso forem os números

usados melhor, principalmente em sistemas que aceitem exclusivamente
caracteres numéricos.
Grande quantidade de caracteres: quanto mais longa for a senha

mais difícil será descobri-la. Apesar de senhas longas parecerem, a
Prof. Victor Dalton

princípio, difíceis de serem digitadas, com o uso frequente elas acabam
sendo digitadas facilmente.
Diferentes tipos de caracteres: quanto mais “bagunçada” for a

senha mais difícil será descobri-la. Procure misturar caracteres, como
números, sinais de pontuação e letras maiúsculas e minúsculas. O uso de
sinais de pontuação pode dificultar bastante que a senha seja descoberta,
sem necessariamente torna-la difícil de ser lembrada.
Porém, apenas o próprio usuário será capaz de produzir uma senha

boa. Não existe gabarito!
FERRAMENTAS ANTIMALWARE
Ferramentas antimalware são aquelas que procuram detectar e, então,

anular ou remover os códigos maliciosos de um computador. Antivírus,
antispyware, antirootkit e antitrojan são exemplos de ferramentas deste
tipo.
Entre as diferentes ferramentas existentes, a que engloba a maior

quantidade de funcionalidades e o antivírus. Apesar de inicialmente eles
terem sido criados para atuar especificamente sobre vírus, com o passar
do tempo, passaram também a englobar as funcionalidades dos demais
programas, fazendo com que alguns deles caíssem em desuso.
Os antivírus comerciais, em sua maioria podem funcionar por:
- Método de assinaturas: vírus conhecidos possuem assinaturas, ou

seja, um “pedaço” de arquivo conhecido, que quando identificado acusa a
presença do vírus;
- Busca algorítmica: se o arquivo possui um conjunto de instruções

peculiar, é reconhecido como vírus;
- Sensoriamento heurístico: útil para vírus desconhecidos, analisa

o “comportamento” do programa, para identificá-lo como vírus;
Prof. Victor Dalton

- Emulação: útil para detectar vírus polimórficos, ele decriptografa o
vírus, analisa o código e reconhece o agente malicioso.
Portanto, os antivírus possuem várias técnicas para analisar o

conteúdo dos arquivos. Quem não conhece, tende a achar que os antivírus
apenas reconhecem vírus que já existem e, na verdade, acabamos de ver
que é bem mais do que isso.
Cuidados a serem tomados:
• tenha um antimalware instalado em seu computador (programas

online, apesar de bastante úteis, exigem que seu computador esteja
conectado à Internet para que funcionem corretamente e podem conter
funcionalidades reduzidas);
• utilize programas online quando suspeitar que o antimalware local

esteja desabilitado/comprometido ou quando necessitar de uma segunda
opinião (quiser confirmar o estado de um arquivo que já foi verificado pelo
antimalware local);
• configure o antimalware para verificar toda e qualquer extensão de

arquivo;
• configure o antimalware para verificar automaticamente arquivos

anexados aos e-mails e obtidos pela Internet;
• configure o antimalware para verificar automaticamente os discos

rígidos e as unidades removíveis (como pen-drives, CDs, DVDs e discos
externos);
• mantenha o arquivo de assinaturas sempre atualizado

(configure o antimalware para atualizá-lo automaticamente pela rede, de
preferência diariamente);
• mantenha o antimalware sempre atualizado, com a versão mais

recente e com todas as atualizações existentes aplicadas;
• evite executar simultaneamente diferentes programas

antimalware (eles podem entrar em conflito, afetar o desempenho do
computador e interferir na capacidade de detecção um do outro);
• crie um disco de emergência e o utilize-o quando desconfiar que o

antimalware instalado está desabilitado/comprometido ou que o
Prof. Victor Dalton

comportamento do computador está estranho (mais lento, gravando ou
lendo o disco rígido com muita frequência, etc.).
USO SEGURO DA INTERNET
Ao usar navegadores Web:
• mantenha-o atualizado, com a versao mais recente e com todas as

atualizações aplicadas;
• configure-o para verificar automaticamente atualizações, tanto dele

próprio como de complementos que estejam instalados;
• permita a execução de programas Java e JavaScript, porém

assegure-se de utilizar complementos, como o NoScript (disponível para
alguns navegadores), para liberar gradualmente a execução, conforme
necessário, e apenas em sites confiáveis;
• permita que programas ActiveX sejam executados apenas quando

vierem de sites conhecidos e confiáveis;
• seja cuidadoso ao usar cookies caso deseje ter mais privacidade;
• caso opte por permitir que o navegador grave as suas senhas, tenha
certeza de cadastrar uma chave mestra e de jamais esquecê-la (para que
somente com a chave mestra seja possível visualizar as outras senhas
salvas pelo navegador);
Ao usar programas leitores de e-mails:
• mantenha-o atualizado, com a versão mais recente e com as todas

atualizações aplicadas;
• configure-o para verificar automaticamente atualizações, tanto dele

próprio como de complementos que estejam instalados;
• não utilize-o como navegador Web (desligue o modo de visualização

no formato HTML);
• seja cuidadoso ao usar cookies caso deseje ter mais privacidade;
Prof. Victor Dalton

• seja cuidadoso ao clicar em links presentes em e-mails (se você
realmente quiser acessar a página do link, digite o endereço diretamente
no seu navegador Web);
• desconfie de arquivos anexados a mensagem mesmo que tenham

sido enviados por pessoas ou instituições conhecidas (o endereço do
remetente pode ter sido falsificado e o arquivo anexo pode estar infectado);
• antes de abrir um arquivo anexado a mensagem tenha certeza de

que ele não apresenta riscos, verificando-o com ferramentas antimalware;
• verifique se seu sistema operacional está configurado para mostrar

a extensão dos arquivos anexados;
• desligue as opções que permitem abrir ou executar automaticamente

arquivos ou programas anexados as mensagens;
• desligue as opções de execução de JavaScript e de programas Java;
• habilite, se possível, opções para marcar mensagens suspeitas de

serem fraude;
• use sempre criptografia para conexão entre seu leitor de e-mails e

os servidores de e-mail do seu provedor;
(CESPE – INSS – Técnico de Seguro Social - 2016) A infecção de um

computador por vírus enviado via correio eletrônico pode se dar quando se abre
arquivo infectado que porventura esteja anexado à mensagem eletrônica
recebida.
Se o usuário ABRE um arquivo com vírus, a execução do arquivo infectado aciona

o vírus. Correta!
Finda essa “enxurrada” de conhecimento, que tal uma bateria de

exercícios para consolidar o conhecimento?
Prof. Victor Dalton

EXERCÍCIOS COMENTADOS CESPE
1. (CESPE – FUB – Nível Superior - 2016) Firewall é um recurso

utilizado para restringir alguns tipos de permissões previamente
configuradas, a fim de aumentar a segurança de uma rede ou de
um computador contra acessos não autorizados.
O firewall bloqueia portas com o objetivo de aumentar a segurança

dos computadores da rede, contra tráfego não autorizado e invasões.
Correto.
2. (CESPE – FUB – Auxiliar de Administração - 2016) A

utilização de firewalls em uma rede visa impedir acesso indevido
dentro da própria rede e também acessos oriundos da Internet.
O firewall bloqueia portas com o objetivo de aumentar a segurança

dos computadores da rede, contra tráfego não autorizado e invasões.
Correto.
3. (CESPE – FUB – Nível Médio - 2016) Enquanto estiver

conectado à Internet, um computador não será infectado por
worms, pois este tipo de praga virtual não é transmitido pela rede
de computadores.
A principal característica dos worms é a propagação automática pelas

redes de computadores. Errado.
Prof. Victor Dalton

4. (CESPE – ANVISA – Técnico Administrativo - 2016) Códigos
maliciosos podem ter acesso aos dados armazenados no
computador e executar ações em nome dos usuários, de acordo com
as permissões de operação de cada um destes.
Afirmativa genérica e correta.
5. (CESPE – ANVISA – Técnico Administrativo - 2016) A

configuração mais indicada de um firewall pessoal consiste no
bloqueio de todo tráfego de saída do computador e na liberação de
conexões pontuais e específicas do tráfego de entrada, à medida
que isso se fizer necessário.
Conceito invertido! O padrão é você bloquear todo tráfego de entrada

(para evitar invasões), e liberar o tráfego de saída, à medida que se faz
necessário. Item errado.
6. (CESPE – ANVISA – Técnico Administrativo - 2016) Situação

hipotética: em uma empresa na qual o procedimento de becape
corporativo de correio eletrônico é executado diariamente às 23h,
um empregado da empresa apagou e removeu da lixeira, às 17 h 55
mim de determinado dia, um email que chegou à sua caixa postal
às 14 h 27 min desse mesmo dia. Assertiva: Nessa situação, o email
que foi apagado e removido da lixeira poderá ser recuperado na
manhã do dia seguinte nos dados armazenados pelo becape
corporativo.
Esta me parece mais uma questão de raciocínio lógico do que de

informática, rs. Ora, se um arquivo chegou e foi excluído, inclusive da
lixeira no mesmo dia, não será possível recuperá-lo no becape corporativo,
que acontece somente à noite. Item errado.
Prof. Victor Dalton

7. (CESPE – DPU – Analista - 2016) Malwares são mecanismos
utilizados para evitar que técnicas invasivas, como phishing e
spams, sejam instaladas nas máquinas de usuários da internet.
Questão completamente errada. Malware é o nome “gênero” para as

mais diversas espécies de programas maliciosos para computador. Além
disso, phishing não é um programa que pode ser instalado no computador
do usuário, mas sim um nome dado a um tipo de ataque que tem por
finalidade extrair dados da vítima.
8. (CESPE – DPU – Analista - 2016) Integridade,

confidencialidade e disponibilidade da informação, conceitos
fundamentais de segurança da informação, são adotados na
prática, nos ambientes tecnológicos, a partir de um conjuntos de
tecnologias como, por exemplo, criptografia, autenticação de
usuários e equipamentos redundantes.
Os exemplos citados estão alinhados aos princípios fundamentais de

segurança da informação citados. Equipamentos redundantes garantem a
disponibilidade dos recursos, enquanto a autenticação e a criptografia, em
conjunto, podem garantir a integridade e a confidencialidade dos dados.
Correto.
9. (CESPE – INSS – Técnico de Seguro Social - 2016) A infecção

de um computador por vírus enviado via correio eletrônico pode se
dar quando se abre arquivo infectado que porventura esteja
anexado à mensagem eletrônica recebida.
Se o usuário ABRE um arquivo com vírus, a execução do arquivo

infectado aciona o vírus. Correta!
Prof. Victor Dalton

10. (CESPE – TCU – Auditor - Tecnologia da Informação -
2015) Confidencialidade é a garantia de que somente pessoas
autorizadas tenham acesso à informação, ao passo que integridade
é a garantia de que os usuários autorizados tenham acesso, sempre
que necessário, à informação e aos ativos correspondentes.
O conceito de confidencialidade está correto, mas o segundo conceito

é o de disponibilidade. Integridade é a garantia que a informação não foi
alterada, e permanece íntegra. Errado!

2015) A autoridade de registro, além de ser a emissora de
certificados e listas de revogação de certificados, é um componente
obrigatório nas PKI e está associada ao registro das autoridades
certificadoras.
A autoridade de registro não emite certificados, ela faz o “meio de

campo” entre a autoridade certificadora (esta sim emite certificados e
listas de certificados revogados) e o usuário. A AR pode estar fisicamente
localizada em uma AC ou ser uma entidade de registro remota. Errado!
12. (CESPE – FUB – Conhecimentos Básicos - 2015) Vírus é

um programa autossuficiente capaz de se propagar
automaticamente pelas redes enviando cópias de si mesmo de um
computador para outro.
Descrição bem didática de worm. Vírus não são auto propagáveis pela
rede, enviando cópias de si mesmo. Errado!
Prof. Victor Dalton

13. (CESPE – FUB – Nível Intermediário - 2015) Certificado
digital de email é uma forma de garantir que a mensagem enviada
possui, em anexo, a assinatura gráfica do emissor da mensagem.
O Certificado digital de email é um arquivo que assegura ao

destinatário do email que o remetente é legítimo. Essa “assinatura gráfica”
é ficção do examinador para confundir o candidato. Errado!
14. (CESPE – FUB – Nível Intermediário - 2015) A fim de

evitar a infecção de um computador por vírus, deve-se
primeiramente instalar uma versão atualizada de um antivírus, e
somente depois abrir os arquivos suspeitos anexados a emails.
Atenção! Não é porque você tem antivírus instalado é que você pode
abrir arquivos suspeitos. Pode ser que o antivírus não identifique o vírus e
você seja contaminado do mesmo jeito. NÃO SE RECOMENDA EM HIPÓTESE
NENHUMA abrir arquivos suspeitos. Errado!
15. (CESPE – FUB – Conhecimentos Básicos exceto cargo 2 -

2015) A função da autoridade certificadora é emitir certificado
digital de usuários da Internet.
Uma Autoridade Certificadora (AC) é uma entidade, pública ou privada,

subordinada à hierarquia da ICP-Brasil, responsável por emitir, distribuir,
renovar, revogar e gerenciar certificados digitais. Tem a
responsabilidade de verificar se o titular do certificado possui a chave
privada que corresponde à chave pública que faz parte do certificado. Cria
e assina digitalmente o certificado do assinante, onde o certificado emitido
pela AC representa a declaração da identidade do titular, que possui um
par único de chaves (pública/privada). Correto.
Prof. Victor Dalton

2015) O phishing é um procedimento que possibilita a obtenção de
dados sigilosos de usuários da Internet, em geral, por meio de
falsas mensagens de email.
O phishing normalmente é o primeiro passo para aplicar alguma fraude

financeira no usuário que cai nele. Via de regra, o objetivo é ter acesso a
dados bancários do usuário para tal finalidade. Correto.
17. (CESPE – STJ – Técnico Judiciário - 2015) Atualmente,

um dos procedimentos de segurança mais adotados pelos sítios é
chamado de captcha. As captchas mais conhecidas são as imagens
distorcidas de um código alfanumérico. Esse mecanismo é
considerado bastante seguro, mas não impede totalmente que
alguns programas automatizados preencham formulários na Web
como se fossem uma pessoa realizando, por exemplo, um cadastro
em um sítio de compras.
Comentário: Polêmica! A meu ver, A assertiva não apresenta

incorreções. Temos três sentenças:
Atualmente, um dos procedimentos de segurança mais adotados pelos

sítios é chamado de captcha. - Verdade, o captcha (Completely
Automated Public Turing Test to Tell Computers and Humans
Apart - teste de Turing público completamente automatizado para
diferenciação entre computadores e humanos) é um recurso comum em
sites, em locais que exigem interação humana com preenchimento de
formulários. Visualize um exemplo de captcha em
http://www.receita.fazenda.gov.br/Aplicacoes/Atrjo/ConsRest/Atual.a
pp/paginas/index.asp. Assim como no site da Receita Federal, órgãos
públicos e sites de empresas adotam este procedimento corriqueiro de
segurança para assegurarem que estão lidando com um humano, e não
com um robô.
As captchas mais conhecidas são as imagens distorcidas de um código

alfanumérico. - Também verdade. Existem outros tipos de captchas, como
Prof. Victor Dalton

os captchas matemáticos ou com imagens, mas os alfanuméricos
realmente são os mais tradicionais.
Esse mecanismo é considerado bastante seguro, mas não impede

totalmente que alguns programas automatizados preencham formulários
na Web como se fossem uma pessoa realizando, por exemplo, um cadastro
em um sítio de compras. - Também verdadeiro. De uma forma genérica,
não existe mecanismo 100% seguro, e para o captcha isto não é
diferente. Existem softwares de reconhecimento ótico de caracteres (OCR)
que tentam identificar o conteúdo do captcha e burlá-lo. [ATUALIZAÇÃO]
Em pesquisas na internet, encontrei algumas correntes que garantem ser
impossível que um bot burle um site com captcha, estando aí o erro da
questão. Nunca se diz nunca em segurança da informação, mas TALVEZ o
erro esteja aqui.
Enfim, entendo que a sentença está correta, mas o gabarito final da

banca foi Errado.
18. (CESPE – TCU – Técnico Federal de Controle Externo -

2015) Um dos procedimentos de segurança quanto à navegação na
Internet é sair das páginas que exigem autenticação por meio dos
botões ou links destinados para esse fim, como, por exemplo, Sair,
Desconectar, Logout etc., e não simplesmente fechar o browser.
Por meio desse procedimento, nós garantimos que a “sessão” foi

encerrada tanto do lado do usuário quanto do lado do servidor. Relaxar
neste procedimento pode fazer que um terceiro malicioso reabra a janela
fechada em seu navegador logo após você sair do computador, por
exemplo, ou mesmo sofrer um ataque mais elaborado como session
hijacking, por exemplo. Correto.

2015) O vírus do tipo stealth, o mais complexo da atualidade, cuja
principal característica é a inteligência, foi criado para agir de
forma oculta e infectar arquivos do Word e do Excel. Embora seja
capaz de identificar conteúdos importantes nesses tipos de
arquivos e, posteriormente, enviá-los ao seu criador, esse vírus não
Prof. Victor Dalton

consegue empregar técnicas para evitar sua detecção durante a
varredura de programas antivírus.
O vírus stealth, realmente o mais complexo da atualidade, emprega

técnicas para evitar sua detecção durante a varredura de programas
antivírus, como, por exemplo, temporariamente se auto remover da
memória. São os vírus de macro que infectam arquivos do Word/Excel.
Errado!

2015) O firewall é capaz de proteger o computador tanto de
ataques de crackers quanto de ataques de vírus.
Esta questão é uma das mais polêmicas da história recente CESPE. De

fato, o firewall protege o computador de ataques oriundos da rede (o que
incluem ataques de crackers). Porém, vírus são arquivos que infectam o
computador de forma local. Um firewall nada pode fazer contra um arquivo
que já esteja dentro de uma máquina, ou que venha de um pendrive, por
exemplo.
Porém, a banca considerou a questão como correta, mesmo após os

recursos. Uma visão “benevolente” é afirmar que o firewall é “capaz” de
proteger de um ataque de vírus quando ele vem pela rede.
Eu NÃO CONCORDO com essa abordagem, pois uma coisa é um

arquivo malicioso vem pela rede, outra coisa é quando ele ataca um
computador. O vírus é vírus apenas quando ele é executado. Enfim, fica
aqui a polêmica...
21. (CESPE – MPE/PI – Cargos 1 a 5 e 7 a 9 - 2011) Caso

computadores estejam conectados apenas a uma rede local, sem
acesso à Internet, a instalação de firewall em cada computador da
rede é suficiente para evitar a contaminação por vírus de um
computador dessa rede.
Prof. Victor Dalton

O CESPE costuma repetir essa ideia. Firewalls não impedem a
contaminação por vírus! Além do mais, não há necessidade de instalação
de Firewalls em cada computador da empresa. Firewalls devem ser
instalados em pontos da rede que sejam vulneráveis, como, por exemplo,
no proxy que fornece o acesso à Internet, ou nos pontos que fornecem
acesso à rede sem fio (wireless). Errado!
22. (CESPE – MP/ENAP – Técnico Federal de Controle

Externo - 2015) Trackwares são programas que rastreiam a
atividade do sistema, reúnem informações do sistema ou rastreiam
os hábitos do usuário, retransmitindo essas informações a
organizações de terceiros.
Trackwares são programas que rastreiam a atividade do sistema,

reúnem informações do sistema ou rastreiam os hábitos do usuário,
retransmitindo essas informações a organizações de terceiros. As
informações obtidas por esses programas não são confidenciais nem
identificáveis. Os programas de trackware são instalados com o
consentimento do usuário e também podem estar contidos em pacotes de
outro software instalado pelo usuário. Grandes empresas como Microsoft,
Google e Apple sugerem a instalação de trackwares o tempo todo para o
usuário.
Você já se deparou com alguma mensagem do tipo “Deseja enviar seus

dados anonimamente à XXX, para que possamos continuar melhorando
nosso software”? Então. Trackware. Correto.
23. (CESPE – TJDFT – Analista Judiciário - 2015) Para que se

utilize o firewall do Windows, mecanismo que auxilia contra
acessos não autorizados, a instalação de um equipamento de
hardware na máquina é desnecessária.
Existem firewalls de software e outros que combinam hardware e

software. O Windows Firewall não exige hardware adicional para funcionar,
sendo ferramenta integrante do Windows. Correto.
Prof. Victor Dalton

24. (CESPE – TJDFT – Analista Judiciário - 2015) Vírus do

tipo boot, quando instalado na máquina do usuário, impede que o
sistema operacional seja executado corretamente.
Vírus de boot são perigosíssimos, pois eles podem impedir até mesmo
que o sistema operacional seja inicializado. Correto.
25. (CESPE – TJDFT – Analista Judiciário - 2015) Na

segurança da informação, controles físicos são soluções
implementadas nos sistemas operacionais em uso nos
computadores para garantir, além da disponibilidade das
informações, a integridade e a confidencialidade destas.
Em segurança da informação, controles físicos dizem respeito à

segurança aplicada às instalações. Como, por exemplo, uma sala com um
segurança na frente, que só deixa passar pessoas com determinados
crachás, ou mesmo uma porta que só abra com biometria, por meio da
impressão digital da pessoa com nível de autorização para entrar lá.
Errado.
26. (CESPE – TJDFT – Analista Judiciário - 2015) As

entidades denominadas certificadoras são entidades reconhecidas
pela ICP Brasil (Infraestrutura de Chaves Públicas) e autorizadas a
emitir certificados digitais para usuários ou instituições que
desejam utilizá-los.
Autoridades Certificadoras são responsáveis pela emissão de

certificados digitais. Correto.
27. (CESPE – TJDFT – Analista Judiciário - 2015) Uma virtual

private network é um tipo de rede privada dedicada exclusivamente
Prof. Victor Dalton

para o tráfego de dados seguros e que precisa estar segregada dos
backbones públicos da Internet. Em outras palavras, ela dispensa a
infraestrutura das redes comuns.
Uma rede privada virtual é uma rede privativa “tunelada” dentro da

própria internet. Ou seja, essa rede não está segregada da internet. Pelo
contrário, utiliza a mesma estrutura das redes comuns. Porém, seu acesso
é exclusivo aos integrantes da VPN. Errado.
28. (CESPE – TRE/RS – Técnico - 2015) Para garantir a

segurança da informação, é suficiente instalar e manter atualizados
antivírus.
Uma utilização segura do computador pode ser tão ou mais importante

do que apenas ter antivírus atualizados. Errada.
29. (CESPE – TRE/RS – Técnico - 2015) Não há diferença —

seja conceitual, seja prática — entre worms e vírus; ambos são
arquivos maliciosos que utilizam a mesma forma para infectar
outros computadores.
Para Fixar
Vírus Worm
outros programas e arquivos
Prof. Victor Dalton

mesmo de computador para
computador
computadores
Errada.
30. (CESPE – TRE/RS – Técnico - 2015) Rootkits é um

arquivo que infecta o computador sem causar maiores danos, ainda
que implique a pichação da tela inicial do navegador.
Rootkit é um conjunto de programas e técnicas que esconde e

assegura a presença de um invasor ou código malicioso em um
computador comprometido. O objetivo do rootkit não é obter acesso
privilegiado, mas mantê-lo, apagando vestígios da invasão. Causa danos
SIM. Errada.
31. (CESPE – TRE/RS – Técnico - 2015) A segurança da

informação em uma organização depende integralmente de a sua
área de tecnologia optar pela adoção de recursos de segurança
atualizados, como firewall e antivírus.
Procedimentos de segurança adequados também são muito

importantes quando falamos de segurança da informação. De nada adianta
um firewall se a pessoa, por telefone, passa informações indevidas a
terceiros, por exemplo. Errada.
32. (CESPE – TRE/RS – Técnico - 2015) Em segurança da

informação, denominam-se engenharia social as práticas utilizadas
para obter acesso a informações importantes ou sigilosas sem
Prof. Victor Dalton

necessariamente utilizar falhas no software, mas, sim, mediante
ações para ludibriar ou explorar a confiança das pessoas.
A engenharia social compreende práticas utilizadas para obter

acesso a informações importantes ou sigilosas em organizações ou
sistemas por meio da enganação ou exploração da confiança das pessoas.
Para isso, o golpista pode se passar por outra pessoa, assumir outra
personalidade, fingir que é um profissional de determinada área, podendo,
inclusive, criar falsos relacionamentos de amizade para obter informações
estratégicas de uma organização. É uma forma de entrar em organizações
que não necessita da força bruta ou de erros em máquinas. Explora as
falhas de segurança das próprias pessoas que, quando não treinadas para
esses ataques, podem ser facilmente manipuladas. Correto.
33. (CESPE – ANATEL – Analista Administrativo – Suporte e

Infraestrutura de TI - 2014) Para que a criptografia de chave
pública seja considerada segura, uma das premissas é que o
conhecimento do algoritmo, o conhecimento de uma das chaves e
a disponibilidade de amostras de texto cifrado sejam, em conjunto,
insuficientes para determinar a outra chave.
Mesmo conhecendo o algoritmo e uma das chaves, normalmente a

pública, é matematicamente inviável descobrir a chave privada para
decifrar uma mensagem. Consolidados estes conceitos, a criptografia de
chave pública é segura. Correto.

Infraestrutura de TI - 2014) A assinatura eletrônica vinculada a um
certificado emitido no âmbito da ICP-Brasil tem função específica e
restrita de determinar a não violação do conteúdo de um
documento assinado eletronicamente, e não conduz à presunção de
autenticidade do emissor do documento subscrito.
Um certificado válido emitido no âmbito da ICP-Brasil também

assegura a autenticidade do emissor do documento. Errado!
Prof. Victor Dalton

(CESPE – ANTAQ – Analista Administrativo – Infraestrutura de

TI - 2014) No que diz respeito aos fundamentos de criptografia e
certificação digital, julgue os itens subsecutivos. Nesse contexto, considere
que a sigla AC, sempre que utilizada, se refira a autoridade certificadora.
35. Para a obtenção da chave pública de uma AC, utiliza-se

um esquema de gerenciamento de chaves públicas, denominado
infraestrutura de chaves públicas (ICP). No Brasil, a ICP-Brasil é
organizada de forma hierárquica, em que uma AC raiz certifica
outras ACs e, posteriormente, estas, bem como a AC raiz, emitem
certificados para os usuários finais.
90% da sentença está correta. O único equívoco foi insinuar que a AC

raiz também emite certificados aos usuários finais. Ela emite somente para
as outras ACs imediatamente abaixo do seu nível. Errado!
36. Cada certificado digital emitido por uma AC é específico

para determinado usuário final e pode ser revogado a qualquer
momento pela respectiva AC.
Correto.
37. Na criptografia simétrica, a mesma chave compartilhada

entre emissor e receptor é utilizada tanto para cifrar quanto para
decifrar um documento. Na criptografia assimétrica, utiliza-se um
par de chaves distintas, sendo a chave pública do receptor utilizada
pelo emissor para cifrar o documento a ser enviado;
posteriormente, o receptor utiliza sua chave privada para decifrar
o documento.
Explicação bem didática de ambas as criptografias. Correto.
Prof. Victor Dalton

38. A utilização adequada dos mecanismos de criptografia
permite que se descubra qualquer alteração em um documento por
partes não autorizadas, o que garante a confidencialidade do
documento.
A garantia de não alteração de um documento se relaciona com o

princípio da integridade. Confidencialidade é a garantia de que a
informação será acessada somente por quem de direito. Errado!
39. Para a utilização de criptografia assimétrica, a

distribuição das chaves públicas é comumente realizada por meio
de certificado digital, que contém o nome do usuário e a sua chave
pública, sendo a autenticidade dessas informações garantida por
assinatura digital de uma terceira parte confiável, denominada
Autoridade Certificadora.
A Autoridade Certificadora garante a autenticidade do dono do

Certificado e, ao fornecer a chave pública, garante que somente o dono do
certificado pode decifrar as mensagens que lhe forem enviadas. Correto.
40. (CESPE – ANTAQ – Analista Administrativo –

Infraestrutura de TI - 2014) O ataque cross-site scripting,
executado quando um servidor web inclui, nos dados de uma
página web enviada para um usuário legítimo, um conjunto de
dados que tenham sido previamente recebidos de um usuário
malicioso, permite que se roube de um usuário legítimo senhas,
identificadores de sessões e cookies.
Correto.

Infraestrutura de TI - 2014) Em um ataque de DDoS, que objetiva
deixar inacessível o recurso computacional para os usuários
legítimos, um computador mestre controla milhares de
Prof. Victor Dalton

computadores zumbis que acessam um sistema ao mesmo tempo
(um servidor web, por exemplo), com o objetivo de esgotar seus
recursos.
O DDoS, em virtude da aparência legítima de requisições de acesso, é

uma das formas de ataque mais difíceis de serem combatidas. Correto.
42. (CESPE – SUFRAMA – Analista de Sistemas - 2014) Para

averiguar a integridade de um arquivo de computador a ser
transmitido por um meio inseguro, pode-se gerar um hash antes da
transmissão e verificar o hash após a transmissão.
O hash, ao ser verificado após a transmissão, garante a

autenticidade do remetente e a integridade da mensagem. Correto.
43. (CESPE – SUFRAMA – Analista de Sistemas - 2014) A

utilização de algoritmos de criptografia garante a disponibilidade e
a autenticidade de informações em ambientes de tecnologia da
informação.
A criptografia não se relaciona diretamente com a disponibilidade da

informação. Disponibilidade é o acesso à informação quando deseja-se
acessá-la. Isto é garantido por meio de infraestrutura, permissões de
acesso... enfim, por outros meios. Errado!
44. (CESPE – TCDF – Analista de Administração Pública -

Sistemas de TI - 2014) A assinatura digital é gerada por criptografia
assimétrica mediante a utilização de uma chave pública para
codificar a mensagem.
Prof. Victor Dalton

Na assinatura digital, utiliza-se a chave privada para assinar a
mensagem. Assim, por meio da chave pública, constata-se a autenticidade
do autor da mensagem. Errado!

Sistemas de TI - 2014) A técnica de criptografia de chave única
utiliza a mesma chave para criptografar e descriptografar uma
mensagem.
Esta é a criptografia simétrica. Correto.

Sistemas de TI - 2014) A lista de certificados revogados (LCR) de
uma infraestrutura de chaves públicas deve ser emitida pela
autoridade certificadora, que também é responsável por emitir e
gerenciar certificados digitais.
Responsabilidades da AC. Correto.
47. (CESPE – TJ/SE – Analista Judiciário – Análise de

Sistemas - 2014) Cavalo de Troia, também conhecido como trojan,
é um programa malicioso que, assim como os worms, possui
instruções para autorreplicação.
Trojans não são autorreplicantes! Worms são... Errado!

Sistemas - 2014) Spyware é um programa ou dispositivo que
monitora as atividades de um sistema e transmite a terceiros
informações relativas a essas atividades, sem o consentimento do
usuário. Como exemplo, o keylogger é um spyware capaz de
armazenar as teclas digitadas pelo usuário no teclado do
computador.
Prof. Victor Dalton

Correto.

Sistemas - 2014) Vírus são programas que podem apagar arquivos
importantes armazenados no computador, podendo ocasionar, até
mesmo, a total inutilização do sistema operacional.
Correto.

Sistemas - 2014) Um tipo específico de phishing, técnica utilizada
para obter informações pessoais ou financeiras de usuários da
Internet, como nome completo, CPF, número de cartão de crédito e
senhas, é o pharming, que redireciona a navegação do usuário para
sítios falsos, por meio da técnica DNS cache poisoning.
Correto.
51. (CESPE – TJ/SE – Analista Judiciário – Suporte Técnico

em Infraestrutura - 2014) Em sistemas de uso prático, são usadas
as técnicas simétricas e as assimétricas combinadas.
É normal a utilização da criptografia assimétrica para trocar a chave

simétrica, quando estabelecidas sessões curtas de comunicação (como, por
exemplo, o acesso a um site com certificado). Correto.

em Infraestrutura - 2014) A confidencialidade pode ser obtida pelo
uso da criptografia simétrica e da assimétrica.
Prof. Victor Dalton

Criptografia, em primeiro lugar, preocupa-se com a
confidencialidade da informação. Correto.

em Infraestrutura - 2014) Em conjunto com as funções de resumo
criptográfico (hash), a criptografia simétrica proporciona
autenticidade.
Seria a criptografia assimétrica. Errado!

em Infraestrutura - 2014) A criptografia assimétrica proporciona o
não repúdio, não proporcionando, porém, a autenticidade.
O não-repúdio é um conceito que vai além da autenticidade.

Autenticade é você saber quem enviou, não-repúdio é o autor não poder
negar que foi ele quem enviou. Caso os instrumentos criptográficos
assegurem o não-repúdio, a autenticidade automaticamente é assegurada.
Errado!

em Infraestrutura - 2014) As funções de resumo criptográfico
oferecem garantia probabilística de inforjabilidade.
Inforjabilidade é a impossibilidade de falsificação. O hash assegura

garantia probabilística de inforjabilidade, na medida em que é
matematicamente improvável adulterar uma mensagem de modo a
produzir exatamente o mesmo hash da mensagem original. Correto.
56. (CESPE – TJ/AC – Técnico em Informática - 2012) O

antispyware é um software que se destina especificamente a
detectar e remover spywares, enquanto o antivírus é uma
Prof. Victor Dalton

ferramenta que permite detectar e remover alguns programas
maliciosos, o que inclui certos tipos de spywares.
Correto.
57. (CESPE – TJ/AC – Técnico em Informática - 2012) Por

serem de difícil detecção, os worms só podem ser combatidos por
ferramentas específicas para esse fim, que se denominam
antiworms.
Worms são combatidos com firewall, que impedem sua propagação

pela rede. Errado!
58. (CESPE – TJ/AC – Técnico em Informática - 2012)

Sistemas de prevenção à intrusão (IPS) e sistemas de detecção de
intrusão (IDS) são sistemas concebidos com os mesmos
propósitos. A diferença entre eles encontra-se no público-alvo.
Enquanto os IPS são sistemas voltados para os usuários
domésticos, os IDS focam as grandes redes corporativas.
A diferença básica entre um Intrusion Detection System (IDS)

para um Intrusion Prevention System (IPS) é que os sistemas de
prevenção são ativos, enquanto os sistemas de detecção são passivos.
Enquanto o IDS informa sobre um potencial ataque, o IPS promove
tentativas de parar o ataque. Um outro grande avanço sobre o IDS é que
o IPS tem a capacidade de prevenir invasões com “assinaturas” conhecidas,
mas também pode impedir alguns ataques não conhecidos, devido a sua
base de dados de “comportamentos” de ataques genéricos. Visto como uma
combinação de IDS e de uma “camada de aplicação Firewall” para proteção,
o IPS geralmente é considerado a geração seguinte do IDS. Errado!
59. (CESPE – TJ/AC – Técnico em Informática - 2012) As

ferramentas antispam permitem combater o recebimento de
Prof. Victor Dalton

mensagens consideradas spam e, em geral, baseiam-se na análise
do conteúdo das mensagens.
As ferramentas antispam costumam integrar os webmails e os

aplicativos comerciais de email, como Outlook e Thunderbird. Correto.

recurso de segurança denominado firewall pode ser implementado
por software ou por hardware.
Além dos aplicativos Firewall, existem soluções comerciais de

hardware, de grandes fabricantes comerciais. Correto.
Firewall da CISCO

firewall é configurado pelo seu fabricante para que proteja uma
rede local de computadores, com base no perfil dos usuários dessa
rede.
O firewall deve ser configurado pelo administrador da rede, com base

nas necessidades da organização. Se os usuários da rede desejarem utilizar
torrent, por exemplo, e isso for contrário ao interesse da organização, o
firewall pode ser configurado para não permitir a utilização dessas portas.
Errado!
Prof. Victor Dalton

62. (CESPE – TJ/AC – Técnico em Informática - 2012) O uso
de programas antivírus continuamente atualizados é uma prática
suficiente para se evitar que um worm contamine um computador.
Worms não se instalam em arquivos, portanto, não são encontrados

por antivírus. Errado!
63. (CESPE – CNJ – Técnico Judiciário: Programação de

Sistemas - 2013) Vírus de macro infectam arquivos criados por
softwares que utilizam linguagem de macro, como as planilhas
eletrônicas Excel e os documentos de texto Word. Os danos variam
de alterações nos comandos do aplicativo à perda total das
informações.
Por isso que Excel e Word sempre perguntam ao usuário se ele deseja
“Habilitar Macros”, quando abre algum arquivo que possua esse recurso.
Correto.

Sistemas - 2013) Vírus de script registram ações dos usuários e são
gravados no computador quando da utilização de um pendrive
infectado.
Vírus de script são comandos maliciosos inseridos em scripts de

páginas web. Quem registra ações dos usuários são os keyloggers, ou os
mouseloggers. Eles são ativados quando uma página maliciosa é aberta.
Errado!

Sistemas - 2013) A utilização de sistemas biométricos dispensa a
segurança de dados de forma isolada, uma vez que o acesso é mais
restrito em decorrência do alto controle de erro, não havendo
necessidade de intervenção do programador no testamento dos
dados.
Prof. Victor Dalton

Sistemas com biometria, como, por exemplo, uma catraca, exige

segurança na tramitação dos seus dados, bem como pode exigir o teste e
a verificação de eventuais erros, por parte do programador. Errado!

Sistemas - 2013) A proteção aos recursos computacionais inclui
desde aplicativos e arquivos de dados até utilitários e o próprio
sistema operacional.
Lembrando, ainda, que até mesmo a proteção física das instalações

faz parte das medidas de segurança de um sistema. Correto.

Sistemas - 2013) Para aumentar a segurança de um programa,
deve-se evitar o uso de senhas consideradas frágeis, como o
próprio nome e identificador de usuário, sendo recomendada a
criação de senhas consideradas fortes, ou seja, aquelas que
incluem, em sua composição, letras (maiúsculas e minúsculas),
números e símbolos embaralhados, totalizando, preferencialmente,
mais de seis caracteres.
Correto.

Sistemas - 2013) O princípio da autenticidade é garantido quando
o acesso à informação é concedido apenas a pessoas explicitamente
autorizadas.
Esse é o princípio da confidencialidade. O princípio da

autenticidade é aquele no qual é possível atestar que a entidade emissora
da mensagem realmente é quem diz ser. Errado!
Prof. Victor Dalton

69. (CESPE – MPE/PI – Técnico Ministerial – Informática -
2011) O firewall do Windows tem funcionalidades apropriadas que
possibilitam o bloqueio de algumas solicitações de conexão ao
computador pessoal de um usuário.
Quando não existe nenhum firewall instalado no computador, o firewall

do Windows é ativo e permite uma série de configurações. Correto.
70. (CESPE – TJDFT – Técnico Judiciário Área Administrativa

- 2013) Backdoor é uma forma de configuração do computador para
que ele engane os invasores, que, ao acessarem uma porta falsa,
serão automaticamente bloqueados.
Backdoor é uma falha de segurança que pode existir em um programa

de computador ou sistema operacional, que pode permitir a invasão do
sistema. Errado!
71. (CESPE – ANAC – Analista Administrativo: Cargo 4 –

2012) O algoritmo RSA, baseado na construção de chaves públicas
e privadas, utiliza números primos, e, quanto maior for o número
primo escolhido, mais seguro será o algoritmo.
O RSA é um algoritmo de chave assimétrica, e sua segurança está

diretamente relacionada à dificuldade de decifrar grandes números primos.
Certa.

2012) A técnica utilizada para esconder uma mensagem secreta
dentro de uma maior, de modo que não se possa discernir a
presença ou o conteúdo da mensagem oculta é denominada
estenografia.
Prof. Victor Dalton

Esteganografia. A cara do CESPE. Errada.

2012) O DES (data encryption standard) triplo utiliza, exatamente,
por três vezes o algoritmo DES, além de uma mesma chave de 56
bits para criptografar mensagens.
Opa! O 3-DES realmente usa o algoritmo DES 3 vezes, mas ele usa
três chaves diferentes, e não a mesma chave. Lembro ainda que a chave
possui 64bits, sendo 56 bits efetivamente utilizados no algoritmo e 8 bits
de paridade. Errada.

2012) A Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil) é
uma cadeia hierárquica e de confiança que viabiliza a emissão de
certificados digitais para a identificação virtual do cidadão no
Brasil, conforme os padrões e normas estipulados pela CERTISIGN,
à qual se subordina hierarquicamente em nível mundial.
A ICP-Brasil é subordinada à Presidência da República, e a CERTISIGN

é uma autoridade certificadora de 1º nível, diretamente subordinada à AC-
Raiz. Veja mais em http://www.iti.gov.br/index.php/icp-brasil/estrutura.
Errada.

2012) Assim como pessoas físicas, as micro e pequenas empresas
também podem comprovar sua identidade no meio virtual, realizar
transações comerciais e financeiras com validade jurídica,
participar de pregões eletrônicos e trocar mensagens no mundo
virtual com segurança e agilidade com o e-CPF Simples.
O e-CPF é a versão eletrônica do CPF para a pessoa física, enquanto o

e-CPF Simples é a versão para as micro e pequenas empresas. Certa.
Prof. Victor Dalton

76. (CESPE – ANCINE – Analista Administrativo: Área 2 –
2013) No que tange à autenticação, a confiabilidade trata
especificamente da proteção contra negação, por parte das
entidades envolvidas em uma comunicação, de ter participado de
toda ou parte desta comunicação.
Trata-se do não-repúdio. Errada.

2013) A assinatura digital, que é uma unidade de dados originada
de uma transformação criptográfica, possibilita que um
destinatário da unidade de dados comprove a origem e a
integridade dessa unidade e se proteja contra falsificação.
Certa.
78. (CESPE – BACEN – Analista - Área 2 –2013) A autoridade

certificadora é responsável por divulgar informações caso o
certificado por ela emitido não seja mais confiável.
Quando um certificado perde a validade ou a sua confiabilidade, é

responsabilidade da autoridade certificadora revogá-lo. Certa.
79. (CESPE – BACEN – Analista - Área 2 –2013) O uso de

assinatura digital objetiva comprovar a autenticidade e a
integridade de uma informação, sendo a integridade garantida
mediante a codificação de todo o conteúdo referente à assinatura.
As funções de hash servem justamente para não precisar codificar toda

a mensagem, mas sim um resumo dela. Errada.
Prof. Victor Dalton

80. (CESPE – SERPRO – Analista – Desenvolvimento de
Sistemas –2013) Um ataque à infraestrutura de conectividade de
um banco à Internet, interrompendo o acesso a seus serviços de
home banking, afeta a disponibilidade.
Se a informação deixa de estar disponível, é a disponibilidade a

característica afetada. Certa.

Sistemas –2013) O furto de um notebook que contenha prontuários
e resultados de exames dos pacientes de um médico afeta a
confiabilidade das informações.
Nesse caso, a confidencialidade será afetada, uma vez que esta

informação estará de posse de pessoas não autorizadas a acessar a
informação. Ainda, se esses prontuários estivessem somente nesse
notebook, a disponibilidade também seria afetada. Errada.

Sistemas –2013) Uma assinatura digital consiste na cifração do
resumo criptográfico de uma mensagem ou arquivo, com o uso da
chave privada de quem assina.
Certa.
(CESPE – CNPQ – Cargo 1 - 2011) Sistemas de segurança da

informação são frequentemente comparados a uma corrente com muitos
elos que representam os componentes desenvolvidos, tais como
equipamento, software, protocolos de comunicação de dados, e outros,
incluindo o usuário humano. Na literatura sobre segurança da informação,
o usuário humano é frequentemente referenciado como o elo mais fraco.
Internet: <www.cienciasecognicao.org> (com adaptações).
Prof. Victor Dalton

Tendo como referência o texto acima, julgue os próximos itens,
referentes ao comportamento do usuário quanto à segurança da
informação.
83. A fim de se preservar a integridade, a confidencialidade

e a autenticidade das informações corporativas, é necessário que
os empregados e os contratados do órgão sejam treinados, de
forma que se conscientizem da importância da segurança da
informação e se familiarizem com os procedimentos adequados na
ocorrência de incidentes de segurança.
De nada adianta a utilização das mais complexas tecnologias para a

proteção da informação se as pessoas responsáveis por sua segurança são
mal treinadas e/ou mal orientadas. Correto.
84. O fato de pesquisa de Alan S. Brown (Generating and

Remembering Passwords – 2004) mostrar que mais da metade dos
entrevistados guardavam cópias escritas de suas senhas confirma
que o usuário humano é “o elo mais fraco” do processo de
segurança da informação, situação que é compensada pela
utilização combinada de firewalls, anti-vírus ou pela utilização dos
UPP (user protectors passwords).
Como afirmado no item anterior, não existe “compensação” para a

falha humana. Firewalls e antivírus não protegem a máquina de um acesso
indevido realizado por um intruso que apoderou-se da senha de um
usuário, porque estava escrita em um papel, ou por qualquer outro motivo.
UPP (user protectors passwords) não existe. Errado!
85. (CESPE – SESA/ES – Todos os cargos - 2011) O

certificado digital é uma das tecnologias que permite identificar se
um sítio de informações é reconhecido pelos registradores de
domínio da Internet, se seu endereço é válido e se é garantida a
segurança dos usuários que baixarem arquivos gerados por
certificados autoassinados.
Prof. Victor Dalton

O Certificado Digital é, na prática, um arquivo de computador que

contém um conjunto de informações referentes a entidade para o qual o
certificado foi emitido (seja uma empresa, pessoa física ou computador)
mais a chave pública referente à chave privada que acredita-se ser de
posse unicamente da entidade especificada no certificado.
Voltando à questão, ela até começa correta, uma vez que o Certificado
Digital, como consequência, valida o site que está sendo acessado como
legítimo. Mas “garantida a segurança dos usuários que baixarem arquivos
gerados por certificados autoassinados” é um erro. Certificados que não
são assinados por autoridades certificadoras são perigosos, pois podem ser
utilizados para fins maliciosos. Recomendo a leitura de
http://cartilha.cert.br/criptografia/ para complementar seus estudos, caso
você ainda tenha dúvidas. Errado!
86. (CESPE – SESA/ES – Todos os cargos - 2011) Uma das

formas de se aplicar o conceito de disponibilidade da informação é
por meio da realização de cópias de segurança, que contribuem
para a restauração dos dados ao seu ponto original (de quando foi
feita a cópia), o que reduz as chances de perda de informação em
situações de panes, roubos, queda de energia, entre outras.
Disponibilidade da informação relaciona-se com a informação estar

sempre disponível, quando necessário. Logo, a criação de cópias de
segurança é um procedimento que colabora com a manutenção desse
princípio. Correto.
87. (CESPE – SSP/CE – Cargos 1 a 5 e 7 a 9 - 2012) O

antivírus, para identificar um vírus, faz uma varredura no código do
arquivo que chegou e compara o seu tamanho com o tamanho
existente na tabela de alocação de arquivo do sistema operacional.
Caso encontre algum problema no código ou divergência de
tamanho, a ameaça é bloqueada.
O antivírus compara o código de um arquivo com padrões maliciosos

conhecidos, em sua base de dados. Por isso a importância de manter os
Prof. Victor Dalton
antivírus sempre atualizados, de modo que ele saiba reconhecer os vírus
mais novos. Errada!
88. (CESPE – SEGER/ES – Todos os cargos - 2010) Entre as

características de um certificado digital inclui-se a existência de um
emissor, do prazo de validade e de uma assinatura digital.
O emissor do certificado é a Autoridade Certificadora. O prazo de

validade é o período para o qual o certificado tem valor e a assinatura
digital é um recurso que permite a assinatura de uma mensagem pelo
emissor. Ela é feita com a chave privada do emissor, e, ao utilizar a chave
pública para decifrar, é verificada a autenticidade do emissor, bem como a
integridade da mensagem enviada. Correto.
89. (CESPE – SEGER/ES – Todos os cargos - 2010) O uso do

protocolo https assegura que as informações trafegadas utilizem
certificados digitais.
Sites com https utilizam certificados digitais. Atenção: sites cujos

certificados foram assinados por autoridades certificadoras possuem um
cadeado exibido pelo navegador de Internet. Em caso de certificados
autoassinados, o navegador de internet emite um aviso, e pergunta se você
deseja continuar navegando pelo referido site. Correto.
90. (CESPE – Assembleia Legislativa/CE – Cargo 10 - 2011)

Worms são programas que se espalham em uma rede, criam cópias
funcionais de si mesmo e infectam outros computadores.
Os worms são autorreplicantes. Certo.

O adware, tipo de firewall que implementa segurança de acesso às
Prof. Victor Dalton

redes de computadores que fazem parte da Internet, evita que
essas redes sejam invadidas indevidamente.
Adware não é firewall! É um malware, relacionado à publicidade.

Errado!
92. (CESPE – Corpo de Bombeiros /DF – Todas as áreas -

2011) Phishing é um programa utilizado para combater spyware,
adware e keyloggers, entre outros programas espiões.
Phishing é uma fraude virtual que normalmente chega por e-mail,

com a tentativa de convencer o usuário de que ele precisa preencher um
formulário com seus dados ou clicar em um determinado link para baixar
um arquivo, que na verdade é um vírus, e o site, se acessado, roubará
todos os dados digitados. Errado!

2011) Os procedimentos de backup devem ser executados com
frequência para se evitar a perda de dados. Uma ação recomendável
é manter uma cópia das informações críticas em local diferente do
computador em que essas informações se encontrem.
A norma ISO 27002 recomenda esse tipo de procedimento. Correto.
94. (CESPE – Câmara dos Deputados 2012 – Analista

Legislativo: Técnica Legislativa - 2012) O termo Spam, consiste de
emails não solicitados que são enviados, normalmente, apenas para
uma única pessoa e têm sempre conteúdo comercial. Essa
mensagem não transporta vírus de computador ou links na
Internet.
Prof. Victor Dalton

Inverta tudo. Spam é um tipo de email enviado em massa, pode ter
conteúdo comercial, pornográfico, bancário, etc. Ainda, pode transportar
vírus ou indicar links maliciosos na internet. Errado!

Legislativo: Técnica Legislativa - 2012) A finalidade do uso de
certificados digitais em páginas na Internet, por meio de HTTPS, é
evitar que o conteúdo total dos dados de camada de aplicação, se
capturados durante o tráfego, sejam identificados por quem o
capturou.
Com HTTPS, o conteúdo é enviado de maneira criptografada, utilizando

os princípios de chave pública e privada. Certo.

Legislativo: Técnica Legislativa - 2012) O termo phishing designa a
técnica utilizada por um fraudador para obter dados pessoais de
usuários desavisados ou inexperientes, ao empregar informações
que parecem ser verdadeiras com o objetivo de enganar esses
usuários.
Correto.
97. (CESPE – ANAC – Técnico em Regulação áreas 1,3 e 4 -

2012) Um firewall pessoal é uma opção de ferramenta preventiva
contra worms.
Worms procuram replicar-se pela rede sem conhecimento do usuário.

Uma computador com firewall pode impedir a propagação de worms, bem
como o seu recebimento. Correto.

2012) Com o certificado digital que é emitido pelo próprio titular do
Prof. Victor Dalton

certificado, podem-se realizar transações seguras com qualquer
empresa que ofereça serviços pela Internet.
Certificados autoassinados podem pertencer a sites maliciosos.

Lembre-se disso! Errado!
99. (CESPE – FNDE – Técnico em Financiamento e Execução

de Programas e Projetos Educacionais - 2012) Trojans ou cavalos
de troia são programas capazes de multiplicar-se mediante a
infecção de outros programas maiores. Eles não têm o objetivo de
controlar o sistema, porém tendem a causar efeitos indesejados. Já
os worms causam efeitos altamente destrutivos e irreparáveis. Ao
contrário dos trojans, os worms utilizam o email como principal
canal de disseminação, mas não possuem a capacidade de produzir
cópias de si mesmos ou de algumas de suas partes.
Os conceitos de worms e trojans estão invertidos, no começo. Os

Worms se multiplicam, enquanto os Trojans podem ter efeitos altamente
destrutivos. Trojans podem ser enviados por email, mas esse é o ponto
forte dos Worms, que, além disso, produzem cópias de si mesmo, ou de
algumas partes. Errado!
100. (CESPE – FNDE – Especialista em Financiamento e

Execução de Programas e Projetos Educacionais - 2012) Como
forma de garantir a disponibilidade de informação mantida em
meios eletrônicos, deve-se fazer o becape de arquivos dos dados
originais. Normalmente, sempre que o procedimento de becape é
executado, o sistema operacional do equipamento faz uma cópia da
totalidade dos dados em meio de armazenamento distinto do
utilizado para guarda dos dados originais.
Apenas a parte final. O Sistema Operacional, por padrão, faz backup

no próprio disco rígido. Para fazer backup em outra mídia, é necessário a
intervenção do usuário. Errado!
Prof. Victor Dalton

Execução de Programas e Projetos Educacionais - 2012) Embora
sejam considerados programas espiões, os spywares também são
desenvolvidos por empresas com o objetivo de coletar legalmente
informações acessíveis de usuários.
Quando você autoriza a Microsoft, ou outra empresa, a enviar dados

de maneira anônima para “ajudar a aprimorar o software”, tal tarefa é
realizada por um spyware legítimo, chamado também de trackware.
Correto.

Execução de Programas e Projetos Educacionais - 2012) Para
proteger um computador contra os efeitos de um worm, pode-se
utilizar, como recurso, um firewall pessoal.
O firewall ajuda a proteger contra worms, pois fecha portas que eles
utilizam para se reproduzir, pela rede. Correto.
103. (CESPE – Câmara dos Deputados – Analista Legislativo:

Técnico em Material e Patrimônio - 2012) Para garantir que os
computadores de uma rede local não sofram ataques vindos da
Internet, é necessária a instalação de firewalls em todos os
computadores dessa rede.
Para proteger uma rede de computadores de ataques oriundos da

Internet, basta a instalação de um firewall no computador que realiza o
Proxy da rede, ou seja, o computador que centraliza o acesso externo da
rede. Errado!

Técnico em Material e Patrimônio - 2012) Ao se realizar um
procedimento de backup de um conjunto arquivos e pastas
selecionados, é possível que o conjunto de arquivos e pastas gerado
Prof. Victor Dalton

por esse procedimento ocupe menos espaço de memória que aquele
ocupado pelo conjunto de arquivos e pastas de que se fez o backup.
O backup pode empregar algum método de compressão, diminuindo o

espaço em disco ocupado originalmente. Correto.

Técnico em Material e Patrimônio - 2012) Os worms, assim como
os vírus, infectam computadores, mas, diferentemente dos vírus,
eles não precisam de um programa hospedeiro para se propagar.
Worms se reproduzem sem a necessidade de um programa

hospedeiro. Correto.
Para Fixar
Vírus Worm
outros programas e arquivos mesmo de computador para
computador
computadores
Prof. Victor Dalton

106. (CESPE – TRE/RJ – Conhecimentos Básicos cargos 1 a 7
– 2012) É possível executar um ataque de desfiguração
(defacement) — que consiste em alterar o conteúdo da página web
de um sítio — aproveitando-se da vulnerabilidade da linguagem de
programação ou dos pacotes utilizados no desenvolvimento de
aplicação web.
Os ataques de defacement são aqueles que modificam sites

legítimos. Sites de instituições públicas são alvos constantes desse tipo de
invasão, utilizada por grupos hackers para fazer protestos de cunho
político. Correto.

– 2012) Nos procedimentos de backup, é recomendável que as
mídias do backup sejam armazenadas no mesmo local dos dados de
origem, a fim de tornar a recuperação dos dados mais rápida e
eficiente.
Preconiza-se guardar as mídias de backup em local distinto dos dados

de origem, para evitar que ambos sejam atingidos por um mesmo desastre,
como um incêndio ou roubo. Errado!
108. (CESPE – TJ/AC – Técnico em Informática - 2012) A

execução dos procedimentos de segurança da informação
estabelecida em uma empresa compete ao comitê responsável pela
gestão da segurança da informação.
A execução dos procedimentos de segurança da informação é de

responsabilidade de TODOS, da diretoria executiva ao estagiário mais novo
da organização. Errado!

atualização automática on-line do sistema operacional é uma
Prof. Victor Dalton

prática que garante que o computador não sofrerá infecção por
bots.
Atualizar o sistema operacional certamente colabora para a correção

de falhas de segurança. Mas garantir é um verbo muito forte, e que não se
aplica à questão. Errado!
110. (CESPE – TJ/AC – Técnico em Informática - 2012) Para

garantir a confidencialidade de informações críticas de uma
empresa, devem ser estabelecidos procedimentos não só para a
guarda e disponibilização dessas informações, mas também para o
seu descarte.
Confidencialidade diz respeito à garantia que somente as pessoas

autorizadas podem visualizar a informação. E, naturalmente, medidas
devem ser tomadas desde a geração da informação até o seu descarte.
Documento sigiloso na lixeira, sem triturar, pode ser facilmente lido, não é
mesmo? Correto.

- 2013) Autenticidade é um critério de segurança para a garantia
do reconhecimento da identidade do usuário que envia e recebe
uma informação por meio de recursos computacionais.
Autenticidade é um critério de segurança para a garantia do

reconhecimento da identidade somente do usuário que envia uma
informação por meio de recursos computacionais. Errado!

- 2013) Nas empresas, um mesmo endereço IP é, geralmente,
compartilhado por um conjunto de computadores, sendo
recomendável, por segurança, que dez computadores, no máximo,
tenham o mesmo endereço IP.
Prof. Victor Dalton

Primeiro, vamos destrinchar alguns conceitos. Todo computador, em
uma rede, possui um único endereço IP. Entretanto, nem sempre o
endereço IP dessa rede será o endereço IP que você possuirá perante a
internet. Se você estiver conectado em uma rede corporativa, ou mesmo
estiver em uma rede comum, com um roteador, poderá fazer essa
verificação. Em seu computador, verifique as propriedades de conexão da
sua rede, em uma tela similar a esta (exemplo para Windows):
Ao clicar no botão “Detalhes”, dentre várias informações, você poderá

ver o Endereço IPv4, que é o seu endereço IP em sua rede interna, e o
Gateway Padrão, que é o endereço IP da sua porta de acesso à Internet.
Nesse tipo de rede, o Gateway realiza uma operação chamada

Network Address Translation (NAT). Na prática, isso quer dizer que o
Gateway (ou o seu roteador) adota um outro endereço IP, de forma a
identificá-lo unicamente em toda a internet.
Mas por que isso acontece? Para que não haja necessidade de um IP
distinto para cada máquina dentro de uma rede interna. Tente verificar
você mesmo: acesse www.meuenderecoip.com no seu nevegador de
internet, e esse site te dirá o endereço IP que você é visto na internet. Será
o endereço IP da internet do seu roteador, ou do seu gateway. E se você
puder fazer o mesmo teste em outro computador vizinho, na mesma rede,
vai verificar que o endereço IP na internet será o mesmo, apesar das
propriedades da rede local mostrarem diferentes endereços de rede
interna.
Logo, a questão está correta? Não, pois não existe esse limite de dez
computadores por roteador, ou gateway. Teoricamente não existe limite,
Prof. Victor Dalton
mas, na prática, as empresas fazem um balanceamento de carga nos seus
gateways, pois a rede pode ficar congestionada se muitas máquinas
utilizarem um único gateway, dependendo do tipo de demanda que as
máquinas fazem da internet (se é pra ver emails, realizar
videoconferências, baixar arquivos muito grandes, cada uso exige a
internet de uma forma diferente). Errado!

- 2013) A criptografia, mecanismo de segurança auxiliar na
preservação da confidencialidade de um documento, transforma,
por meio de uma chave de codificação, o texto que se pretende
proteger.
Definição de criptografia. Correto.
Prof. Victor Dalton

CONSIDERAÇÕES FINAIS
E finalmente encerramos!
E então, concorda comigo? A gente começa a ver criptografia como

quem não quer nada, e descobre que a utilizamos com bastante frequência.
Quando acessamos o homebanking, fazemos uma compra online... repare
no cadeado ao lado do “https”. Temos ali criptografia assimétrica,
assinatura digital, certificado digital... tudo no nosso dia a dia.
E os spams, que incomodam (e muito) nossa caixa de emails?

Tentativas diárias de phishing, quem não passa por isso? Tem algum
worm no seu computador?
Já deu uma olhada na lista de aplicativos instalada em seu PC? Não

existe, nessa lista, nenhum aplicativo que você não conheça, ou não sabe
para que serve? Pode ser um Cavalo de Tróia!
Ainda, deixo a dica abaixo para a Cartilha de Segurança para

Internet, do Centro de Estudos, Respostas e Tratamento de
Incidentes de Segurança do Brasil (Cert.br). Grande parte da nossa
aula de hoje veio daqui, e as bancas também costumam extrair suas
questões de prova dela.
http://cartilha.cert.br/livro/cartilha-seguranca-internet.pdf
Até o edital!
Victor Dalton
Prof. Victor Dalton

LISTA DE EXERCÍCIOS CESPE
1. (CESPE – FUB – Nível Superior - 2016) Firewall é um recurso

utilizado para restringir alguns tipos de permissões previamente
configuradas, a fim de aumentar a segurança de uma rede ou de
um computador contra acessos não autorizados.
2. (CESPE – FUB – Auxiliar de Administração - 2016) A

utilização de firewalls em uma rede visa impedir acesso indevido
dentro da própria rede e também acessos oriundos da Internet.
3. (CESPE – FUB – Nível Médio - 2016) Enquanto estiver

conectado à Internet, um computador não será infectado por
worms, pois este tipo de praga virtual não é transmitido pela rede
de computadores.
4. (CESPE – ANVISA – Técnico Administrativo - 2016) Códigos

maliciosos podem ter acesso aos dados armazenados no
computador e executar ações em nome dos usuários, de acordo com
as permissões de operação de cada um destes.
5. (CESPE – ANVISA – Técnico Administrativo - 2016) A

configuração mais indicada de um firewall pessoal consiste no
bloqueio de todo tráfego de saída do computador e na liberação de
conexões pontuais e específicas do tráfego de entrada, à medida
que isso se fizer necessário.
Prof. Victor Dalton

6. (CESPE – ANVISA – Técnico Administrativo - 2016) Situação
hipotética: em uma empresa na qual o procedimento de becape
corporativo de correio eletrônico é executado diariamente às 23h,
um empregado da empresa apagou e removeu da lixeira, às 17 h 55
mim de determinado dia, um email que chegou à sua caixa postal
às 14 h 27 min desse mesmo dia. Assertiva: Nessa situação, o email
que foi apagado e removido da lixeira poderá ser recuperado na
manhã do dia seguinte nos dados armazenados pelo becape
corporativo.
7. (CESPE – DPU – Analista - 2016) Malwares são mecanismos

utilizados para evitar que técnicas invasivas, como phishing e
spams, sejam instaladas nas máquinas de usuários da internet.
8. (CESPE – DPU – Analista - 2016) Integridade,

confidencialidade e disponibilidade da informação, conceitos
fundamentais de segurança da informação, são adotados na
prática, nos ambientes tecnológicos, a partir de um conjuntos de
tecnologias como, por exemplo, criptografia, autenticação de
usuários e equipamentos redundantes.
9. (CESPE – INSS – Técnico do Seguro Social - 2016) A infecção

de um computador por vírus enviado via correio eletrônico pode se
dar quando se abre arquivo infectado que porventura esteja
anexado à mensagem eletrônica recebida.

2015) Confidencialidade é a garantia de que somente pessoas
autorizadas tenham acesso à informação, ao passo que integridade
é a garantia de que os usuários autorizados tenham acesso, sempre
que necessário, à informação e aos ativos correspondentes.

2015) A autoridade de registro, além de ser a emissora de
Prof. Victor Dalton

certificados e listas de revogação de certificados, é um componente
obrigatório nas PKI e está associada ao registro das autoridades
certificadoras.
12. (CESPE – FUB – Conhecimentos Básicos - 2015) Vírus é

um programa autossuficiente capaz de se propagar
automaticamente pelas redes enviando cópias de si mesmo de um
computador para outro.
13. (CESPE – FUB – Nível Intermediário - 2015) Certificado

digital de email é uma forma de garantir que a mensagem enviada
possui, em anexo, a assinatura gráfica do emissor da mensagem.
14. (CESPE – FUB – Nível Intermediário - 2015) A fim de

evitar a infecção de um computador por vírus, deve-se
primeiramente instalar uma versão atualizada de um antivírus, e
somente depois abrir os arquivos suspeitos anexados a emails.

2015) A função da autoridade certificadora é emitir certificado
digital de usuários da Internet.

2015) O phishing é um procedimento que possibilita a obtenção de
dados sigilosos de usuários da Internet, em geral, por meio de
falsas mensagens de email.
17. (CESPE – STJ – Técnico Judiciário - 2015) Atualmente,

um dos procedimentos de segurança mais adotados pelos sítios é
chamado de captcha. As captchas mais conhecidas são as imagens
distorcidas de um código alfanumérico. Esse mecanismo é
considerado bastante seguro, mas não impede totalmente que
alguns programas automatizados preencham formulários na Web
Prof. Victor Dalton

como se fossem uma pessoa realizando, por exemplo, um cadastro
em um sítio de compras.

2015) Um dos procedimentos de segurança quanto à navegação na
Internet é sair das páginas que exigem autenticação por meio dos
botões ou links destinados para esse fim, como, por exemplo, Sair,
Desconectar, Logout etc., e não simplesmente fechar o browser.

2015) O vírus do tipo stealth, o mais complexo da atualidade, cuja
principal característica é a inteligência, foi criado para agir de
forma oculta e infectar arquivos do Word e do Excel. Embora seja
capaz de identificar conteúdos importantes nesses tipos de
arquivos e, posteriormente, enviá-los ao seu criador, esse vírus não
consegue empregar técnicas para evitar sua detecção durante a
varredura de programas antivírus.

2015) O firewall é capaz de proteger o computador tanto de
ataques de crackers quanto de ataques de vírus.
21. (CESPE – MPE/PI – Cargos 1 a 5 e 7 a 9 - 2011) Caso

computadores estejam conectados apenas a uma rede local, sem
acesso à Internet, a instalação de firewall em cada computador da
rede é suficiente para evitar a contaminação por vírus de um
computador dessa rede.
22. (CESPE – MP/ENAP – Técnico Federal de Controle

Externo - 2015) Trackwares são programas que rastreiam a
atividade do sistema, reúnem informações do sistema ou rastreiam
os hábitos do usuário, retransmitindo essas informações a
organizações de terceiros.
Prof. Victor Dalton

23. (CESPE – TJDFT – Analista Judiciário - 2015) Para que se

utilize o firewall do Windows, mecanismo que auxilia contra
acessos não autorizados, a instalação de um equipamento de
hardware na máquina é desnecessária.
24. (CESPE – TJDFT – Analista Judiciário - 2015) Vírus do

tipo boot, quando instalado na máquina do usuário, impede que o
sistema operacional seja executado corretamente.
25. (CESPE – TJDFT – Analista Judiciário - 2015) Na

segurança da informação, controles físicos são soluções
implementadas nos sistemas operacionais em uso nos
computadores para garantir, além da disponibilidade das
informações, a integridade e a confidencialidade destas.
26. (CESPE – TJDFT – Analista Judiciário - 2015) As

entidades denominadas certificadoras são entidades reconhecidas
pela ICP Brasil (Infraestrutura de Chaves Públicas) e autorizadas a
emitir certificados digitais para usuários ou instituições que
desejam utilizá-los.
27. (CESPE – TJDFT – Analista Judiciário - 2015) Uma virtual

private network é um tipo de rede privada dedicada exclusivamente
para o tráfego de dados seguros e que precisa estar segregada dos
backbones públicos da Internet. Em outras palavras, ela dispensa a
infraestrutura das redes comuns.
28. (CESPE – TRE/RS – Técnico - 2015) Para garantir a

segurança da informação, é suficiente instalar e manter atualizados
antivírus.
Prof. Victor Dalton

29. (CESPE – TRE/RS – Técnico - 2015) Não há diferença —
seja conceitual, seja prática — entre worms e vírus; ambos são
arquivos maliciosos que utilizam a mesma forma para infectar
outros computadores.
30. (CESPE – TRE/RS – Técnico - 2015) Rootkits é um

arquivo que infecta o computador sem causar maiores danos, ainda
que implique a pichação da tela inicial do navegador.
31. (CESPE – TRE/RS – Técnico - 2015) A segurança da

informação em uma organização depende integralmente de a sua
área de tecnologia optar pela adoção de recursos de segurança
atualizados, como firewall e antivírus.
32. (CESPE – TRE/RS – Técnico - 2015) Em segurança da

informação, denominam-se engenharia social as práticas utilizadas
para obter acesso a informações importantes ou sigilosas sem
necessariamente utilizar falhas no software, mas, sim, mediante
ações para ludibriar ou explorar a confiança das pessoas.

Infraestrutura de TI - 2014) Para que a criptografia de chave
pública seja considerada segura, uma das premissas é que o
conhecimento do algoritmo, o conhecimento de uma das chaves e
a disponibilidade de amostras de texto cifrado sejam, em conjunto,
insuficientes para determinar a outra chave.

Infraestrutura de TI - 2014) A assinatura eletrônica vinculada a um
certificado emitido no âmbito da ICP-Brasil tem função específica e
restrita de determinar a não violação do conteúdo de um
documento assinado eletronicamente, e não conduz à presunção de
autenticidade do emissor do documento subscrito.
Prof. Victor Dalton

(CESPE – ANTAQ – Analista Administrativo – Infraestrutura de
TI - 2014) No que diz respeito aos fundamentos de criptografia e
certificação digital, julgue os itens subsecutivos. Nesse contexto, considere
que a sigla AC, sempre que utilizada, se refira a autoridade certificadora.
35. Para a obtenção da chave pública de uma AC, utiliza-se

um esquema de gerenciamento de chaves públicas, denominado
infraestrutura de chaves públicas (ICP). No Brasil, a ICP-Brasil é
organizada de forma hierárquica, em que uma AC raiz certifica
outras ACs e, posteriormente, estas, bem como a AC raiz, emitem
certificados para os usuários finais.
36. Cada certificado digital emitido por uma AC é específico

para determinado usuário final e pode ser revogado a qualquer
momento pela respectiva AC.
37. Na criptografia simétrica, a mesma chave compartilhada

entre emissor e receptor é utilizada tanto para cifrar quanto para
decifrar um documento. Na criptografia assimétrica, utiliza-se um
par de chaves distintas, sendo a chave pública do receptor utilizada
pelo emissor para cifrar o documento a ser enviado;
posteriormente, o receptor utiliza sua chave privada para decifrar
o documento.
38. A utilização adequada dos mecanismos de criptografia

permite que se descubra qualquer alteração em um documento por
partes não autorizadas, o que garante a confidencialidade do
documento.
39. Para a utilização de criptografia assimétrica, a

distribuição das chaves públicas é comumente realizada por meio
de certificado digital, que contém o nome do usuário e a sua chave
pública, sendo a autenticidade dessas informações garantida por
assinatura digital de uma terceira parte confiável, denominada
Autoridade Certificadora.
Prof. Victor Dalton

Infraestrutura de TI - 2014) O ataque cross-site scripting,
executado quando um servidor web inclui, nos dados de uma
página web enviada para um usuário legítimo, um conjunto de
dados que tenham sido previamente recebidos de um usuário
malicioso, permite que se roube de um usuário legítimo senhas,
identificadores de sessões e cookies.

Infraestrutura de TI - 2014) Em um ataque de DDoS, que objetiva
deixar inacessível o recurso computacional para os usuários
legítimos, um computador mestre controla milhares de
computadores zumbis que acessam um sistema ao mesmo tempo
(um servidor web, por exemplo), com o objetivo de esgotar seus
recursos.
42. (CESPE – SUFRAMA – Analista de Sistemas - 2014) Para

averiguar a integridade de um arquivo de computador a ser
transmitido por um meio inseguro, pode-se gerar um hash antes da
transmissão e verificar o hash após a transmissão.
43. (CESPE – SUFRAMA – Analista de Sistemas - 2014) A

utilização de algoritmos de criptografia garante a disponibilidade e
a autenticidade de informações em ambientes de tecnologia da
informação.

Sistemas de TI - 2014) A assinatura digital é gerada por criptografia
assimétrica mediante a utilização de uma chave pública para
codificar a mensagem.

Sistemas de TI - 2014) A técnica de criptografia de chave única
utiliza a mesma chave para criptografar e descriptografar uma
mensagem.
Prof. Victor Dalton


Sistemas de TI - 2014) A lista de certificados revogados (LCR) de
uma infraestrutura de chaves públicas deve ser emitida pela
autoridade certificadora, que também é responsável por emitir e
gerenciar certificados digitais.

Sistemas - 2014) Cavalo de Troia, também conhecido como trojan,
é um programa malicioso que, assim como os worms, possui
instruções para autorreplicação.

Sistemas - 2014) Spyware é um programa ou dispositivo que
monitora as atividades de um sistema e transmite a terceiros
informações relativas a essas atividades, sem o consentimento do
usuário. Como exemplo, o keylogger é um spyware capaz de
armazenar as teclas digitadas pelo usuário no teclado do
computador.

Sistemas - 2014) Vírus são programas que podem apagar arquivos
importantes armazenados no computador, podendo ocasionar, até
mesmo, a total inutilização do sistema operacional.

Sistemas - 2014) Um tipo específico de phishing, técnica utilizada
para obter informações pessoais ou financeiras de usuários da
Internet, como nome completo, CPF, número de cartão de crédito e
senhas, é o pharming, que redireciona a navegação do usuário para
sítios falsos, por meio da técnica DNS cache poisoning.

em Infraestrutura - 2014) Em sistemas de uso prático, são usadas
as técnicas simétricas e as assimétricas combinadas.
Prof. Victor Dalton

em Infraestrutura - 2014) A confidencialidade pode ser obtida pelo
uso da criptografia simétrica e da assimétrica.

em Infraestrutura - 2014) Em conjunto com as funções de resumo
criptográfico (hash), a criptografia simétrica proporciona
autenticidade.

em Infraestrutura - 2014) A criptografia assimétrica proporciona o
não repúdio, não proporcionando, porém, a autenticidade.

em Infraestrutura - 2014) As funções de resumo criptográfico
oferecem garantia probabilística de inforjabilidade.

antispyware é um software que se destina especificamente a
detectar e remover spywares, enquanto o antivírus é uma
ferramenta que permite detectar e remover alguns programas
maliciosos, o que inclui certos tipos de spywares.
57. (CESPE – TJ/AC – Técnico em Informática - 2012) Por

serem de difícil detecção, os worms só podem ser combatidos por
ferramentas específicas para esse fim, que se denominam
antiworms.
58. (CESPE – TJ/AC – Técnico em Informática - 2012)

Sistemas de prevenção à intrusão (IPS) e sistemas de detecção de
intrusão (IDS) são sistemas concebidos com os mesmos
propósitos. A diferença entre eles encontra-se no público-alvo.
Prof. Victor Dalton

Enquanto os IPS são sistemas voltados para os usuários
domésticos, os IDS focam as grandes redes corporativas.
59. (CESPE – TJ/AC – Técnico em Informática - 2012) As

ferramentas antispam permitem combater o recebimento de
mensagens consideradas spam e, em geral, baseiam-se na análise
do conteúdo das mensagens.

recurso de segurança denominado firewall pode ser implementado
por software ou por hardware.

firewall é configurado pelo seu fabricante para que proteja uma
rede local de computadores, com base no perfil dos usuários dessa
rede.
62. (CESPE – TJ/AC – Técnico em Informática - 2012) O uso

de programas antivírus continuamente atualizados é uma prática
suficiente para se evitar que um worm contamine um computador.

Sistemas - 2013) Vírus de macro infectam arquivos criados por
softwares que utilizam linguagem de macro, como as planilhas
eletrônicas Excel e os documentos de texto Word. Os danos variam
de alterações nos comandos do aplicativo à perda total das
informações.

Sistemas - 2013) Vírus de script registram ações dos usuários e são
gravados no computador quando da utilização de um pendrive
infectado.
Prof. Victor Dalton

Sistemas - 2013) A utilização de sistemas biométricos dispensa a
segurança de dados de forma isolada, uma vez que o acesso é mais
restrito em decorrência do alto controle de erro, não havendo
necessidade de intervenção do programador no testamento dos
dados.

Sistemas - 2013) A proteção aos recursos computacionais inclui
desde aplicativos e arquivos de dados até utilitários e o próprio
sistema operacional.

Sistemas - 2013) Para aumentar a segurança de um programa,
deve-se evitar o uso de senhas consideradas frágeis, como o
próprio nome e identificador de usuário, sendo recomendada a
criação de senhas consideradas fortes, ou seja, aquelas que
incluem, em sua composição, letras (maiúsculas e minúsculas),
números e símbolos embaralhados, totalizando, preferencialmente,
mais de seis caracteres.

Sistemas - 2013) O princípio da autenticidade é garantido quando
o acesso à informação é concedido apenas a pessoas explicitamente
autorizadas.
69. (CESPE – MPE/PI – Técnico Ministerial – Informática -

2011) O firewall do Windows tem funcionalidades apropriadas que
possibilitam o bloqueio de algumas solicitações de conexão ao
computador pessoal de um usuário.

- 2013) Backdoor é uma forma de configuração do computador para
que ele engane os invasores, que, ao acessarem uma porta falsa,
serão automaticamente bloqueados.
Prof. Victor Dalton


2012) O algoritmo RSA, baseado na construção de chaves públicas
e privadas, utiliza números primos, e, quanto maior for o número
primo escolhido, mais seguro será o algoritmo.

2012) A técnica utilizada para esconder uma mensagem secreta
dentro de uma maior, de modo que não se possa discernir a
presença ou o conteúdo da mensagem oculta é denominada
estenografia.

2012) O DES (data encryption standard) triplo utiliza, exatamente,
por três vezes o algoritmo DES, além de uma mesma chave de 56
bits para criptografar mensagens.

2012) A Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil) é
uma cadeia hierárquica e de confiança que viabiliza a emissão de
certificados digitais para a identificação virtual do cidadão no
Brasil, conforme os padrões e normas estipulados pela CERTISIGN,
à qual se subordina hierarquicamente em nível mundial.

2012) Assim como pessoas físicas, as micro e pequenas empresas
também podem comprovar sua identidade no meio virtual, realizar
transações comerciais e financeiras com validade jurídica,
participar de pregões eletrônicos e trocar mensagens no mundo
virtual com segurança e agilidade com o e-CPF Simples.

2013) No que tange à autenticação, a confiabilidade trata
Prof. Victor Dalton

especificamente da proteção contra negação, por parte das
entidades envolvidas em uma comunicação, de ter participado de
toda ou parte desta comunicação.

2013) A assinatura digital, que é uma unidade de dados originada
de uma transformação criptográfica, possibilita que um
destinatário da unidade de dados comprove a origem e a
integridade dessa unidade e se proteja contra falsificação.
78. (CESPE – BACEN – Analista - Área 2 –2013) A autoridade

certificadora é responsável por divulgar informações caso o
certificado por ela emitido não seja mais confiável.
79. (CESPE – BACEN – Analista - Área 2 –2013) O uso de

assinatura digital objetiva comprovar a autenticidade e a
integridade de uma informação, sendo a integridade garantida
mediante a codificação de todo o conteúdo referente à assinatura.

Sistemas –2013) Um ataque à infraestrutura de conectividade de
um banco à Internet, interrompendo o acesso a seus serviços de
home banking, afeta a disponibilidade.

Sistemas –2013) O furto de um notebook que contenha prontuários
e resultados de exames dos pacientes de um médico afeta a
confiabilidade das informações.

Sistemas –2013) Uma assinatura digital consiste na cifração do
resumo criptográfico de uma mensagem ou arquivo, com o uso da
chave privada de quem assina.
Prof. Victor Dalton

(CESPE – CNPQ – Cargo 1 - 2011) Sistemas de segurança da
informação são frequentemente comparados a uma corrente com muitos
elos que representam os componentes desenvolvidos, tais como
equipamento, software, protocolos de comunicação de dados, e outros,
incluindo o usuário humano. Na literatura sobre segurança da informação,
o usuário humano é frequentemente referenciado como o elo mais fraco.
Internet: <www.cienciasecognicao.org> (com adaptações).
Tendo como referência o texto acima, julgue os próximos itens,

referentes ao comportamento do usuário quanto à segurança da
informação.
83. A fim de se preservar a integridade, a confidencialidade

e a autenticidade das informações corporativas, é necessário que
os empregados e os contratados do órgão sejam treinados, de
forma que se conscientizem da importância da segurança da
informação e se familiarizem com os procedimentos adequados na
ocorrência de incidentes de segurança.
84. O fato de pesquisa de Alan S. Brown (Generating and

Remembering Passwords – 2004) mostrar que mais da metade dos
entrevistados guardavam cópias escritas de suas senhas confirma
que o usuário humano é “o elo mais fraco” do processo de
segurança da informação, situação que é compensada pela
utilização combinada de firewalls, anti-vírus ou pela utilização dos
UPP (user protectors passwords).
85. (CESPE – SESA/ES – Todos os cargos - 2011) O

certificado digital é uma das tecnologias que permite identificar se
um sítio de informações é reconhecido pelos registradores de
domínio da Internet, se seu endereço é válido e se é garantida a
segurança dos usuários que baixarem arquivos gerados por
certificados autoassinados.
86. (CESPE – SESA/ES – Todos os cargos - 2011) Uma das

formas de se aplicar o conceito de disponibilidade da informação é
Prof. Victor Dalton
por meio da realização de cópias de segurança, que contribuem
para a restauração dos dados ao seu ponto original (de quando foi
feita a cópia), o que reduz as chances de perda de informação em
situações de panes, roubos, queda de energia, entre outras.
87. (CESPE – SSP/CE – Cargos 1 a 5 e 7 a 9 - 2012) O

antivírus, para identificar um vírus, faz uma varredura no código do
arquivo que chegou e compara o seu tamanho com o tamanho
existente na tabela de alocação de arquivo do sistema operacional.
Caso encontre algum problema no código ou divergência de
tamanho, a ameaça é bloqueada.
88. (CESPE – SEGER/ES – Todos os cargos - 2010) Entre as

características de um certificado digital inclui-se a existência de um
emissor, do prazo de validade e de uma assinatura digital.
89. (CESPE – SEGER/ES – Todos os cargos - 2010) O uso do

protocolo https assegura que as informações trafegadas utilizem
certificados digitais.

Worms são programas que se espalham em uma rede, criam cópias
funcionais de si mesmo e infectam outros computadores.

O adware, tipo de firewall que implementa segurança de acesso às
redes de computadores que fazem parte da Internet, evita que
essas redes sejam invadidas indevidamente.

2011) Phishing é um programa utilizado para combater spyware,
adware e keyloggers, entre outros programas espiões.
Prof. Victor Dalton


2011) Os procedimentos de backup devem ser executados com
frequência para se evitar a perda de dados. Uma ação recomendável
é manter uma cópia das informações críticas em local diferente do
computador em que essas informações se encontrem.

Legislativo: Técnica Legislativa - 2012) O termo Spam, consiste de
emails não solicitados que são enviados, normalmente, apenas para
uma única pessoa e têm sempre conteúdo comercial. Essa
mensagem não transporta vírus de computador ou links na
Internet.

Legislativo: Técnica Legislativa - 2012) A finalidade do uso de
certificados digitais em páginas na Internet, por meio de HTTPS, é
evitar que o conteúdo total dos dados de camada de aplicação, se
capturados durante o tráfego, sejam identificados por quem o
capturou.

Legislativo: Técnica Legislativa - 2012) O termo phishing designa a
técnica utilizada por um fraudador para obter dados pessoais de
usuários desavisados ou inexperientes, ao empregar informações
que parecem ser verdadeiras com o objetivo de enganar esses
usuários.

2012) Um firewall pessoal é uma opção de ferramenta preventiva
contra worms.
Prof. Victor Dalton

2012) Com o certificado digital que é emitido pelo próprio titular do
certificado, podem-se realizar transações seguras com qualquer
empresa que ofereça serviços pela Internet.
99. (CESPE – FNDE – Técnico em Financiamento e Execução

de Programas e Projetos Educacionais - 2012) Trojans ou cavalos
de troia são programas capazes de multiplicar-se mediante a
infecção de outros programas maiores. Eles não têm o objetivo de
controlar o sistema, porém tendem a causar efeitos indesejados. Já
os worms causam efeitos altamente destrutivos e irreparáveis. Ao
contrário dos trojans, os worms utilizam o email como principal
canal de disseminação, mas não possuem a capacidade de produzir
cópias de si mesmos ou de algumas de suas partes.

Execução de Programas e Projetos Educacionais - 2012) Como
forma de garantir a disponibilidade de informação mantida em
meios eletrônicos, deve-se fazer o becape de arquivos dos dados
originais. Normalmente, sempre que o procedimento de becape é
executado, o sistema operacional do equipamento faz uma cópia da
totalidade dos dados em meio de armazenamento distinto do
utilizado para guarda dos dados originais.

Execução de Programas e Projetos Educacionais - 2012) Embora
sejam considerados programas espiões, os spywares também são
desenvolvidos por empresas com o objetivo de coletar legalmente
informações acessíveis de usuários.

Execução de Programas e Projetos Educacionais - 2012) Para
proteger um computador contra os efeitos de um worm, pode-se
utilizar, como recurso, um firewall pessoal.
Prof. Victor Dalton

Técnico em Material e Patrimônio - 2012) Para garantir que os
computadores de uma rede local não sofram ataques vindos da
Internet, é necessária a instalação de firewalls em todos os
computadores dessa rede.

Técnico em Material e Patrimônio - 2012) Ao se realizar um
procedimento de backup de um conjunto arquivos e pastas
selecionados, é possível que o conjunto de arquivos e pastas gerado
por esse procedimento ocupe menos espaço de memória que aquele
ocupado pelo conjunto de arquivos e pastas de que se fez o backup.

Técnico em Material e Patrimônio - 2012) Os worms, assim como
os vírus, infectam computadores, mas, diferentemente dos vírus,
eles não precisam de um programa hospedeiro para se propagar.

– 2012) É possível executar um ataque de desfiguração
(defacement) — que consiste em alterar o conteúdo da página web
de um sítio — aproveitando-se da vulnerabilidade da linguagem de
programação ou dos pacotes utilizados no desenvolvimento de
aplicação web.

– 2012) Nos procedimentos de backup, é recomendável que as
mídias do backup sejam armazenadas no mesmo local dos dados de
origem, a fim de tornar a recuperação dos dados mais rápida e
eficiente.

execução dos procedimentos de segurança da informação
estabelecida em uma empresa compete ao comitê responsável pela
gestão da segurança da informação.
Prof. Victor Dalton

atualização automática on-line do sistema operacional é uma
prática que garante que o computador não sofrerá infecção por
bots.
110. (CESPE – TJ/AC – Técnico em Informática - 2012) Para

garantir a confidencialidade de informações críticas de uma
empresa, devem ser estabelecidos procedimentos não só para a
guarda e disponibilização dessas informações, mas também para o
seu descarte.

- 2013) Autenticidade é um critério de segurança para a garantia
do reconhecimento da identidade do usuário que envia e recebe
uma informação por meio de recursos computacionais.

- 2013) Nas empresas, um mesmo endereço IP é, geralmente,
compartilhado por um conjunto de computadores, sendo
recomendável, por segurança, que dez computadores, no máximo,
tenham o mesmo endereço IP.

- 2013) A criptografia, mecanismo de segurança auxiliar na
preservação da confidencialidade de um documento, transforma,
por meio de uma chave de codificação, o texto que se pretende
proteger.
Prof. Victor Dalton

GABARITO CESPE
1 C 24 C 47 E 70 E 93 C
2 C 25 E 48 C 71 C 94 E
3 E 26 C 49 C 72 E 95 C
4 C 27 E 50 C 73 E 96 C
5 E 28 E 51 C 74 E 97 C
6 E 29 E 52 C 75 C 98 E
7 E 30 E 53 E 76 E 99 E
8 C 31 E 54 E 77 C 100 E
9 C 32 C 55 C 78 C 101 C
10 E 33 C 56 C 79 E 102 C
11 E 34 E 57 E 80 C 103 E
12 E 35 E 58 E 81 E 104 C
13 E 36 C 59 C 82 C 105 C
14 E 37 C 60 C 83 C 106 C
15 C 38 E 61 E 84 E 107 E
16 C 39 C 62 E 85 E 108 E
17 E* 40 C 63 C 86 C 109 E
18 C 41 C 64 E 87 E 110 C
19 E 42 C 65 E 88 C 111 E
20 C* 43 E 66 C 89 C 112 E
21 E 44 E 67 C 90 C 113 C
22 C 45 C 68 E 91 E
23 C 46 C 69 C 92 E
Prof. Victor Dalton


Aula 08 SEGURANÇA DA INFORMAÇAO PDF

Diunggah oleh

Informasi Dokumen

Deskripsi Asli:

Judul Asli

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Aula 08 SEGURANÇA DA INFORMAÇAO PDF

Diunggah oleh

Hak Cipta:

Format Tersedia

Noções de Informática p/ MPU

Analista - Direito e Técnico Administração

Confidencialidade: Garantia de que o acesso à informação seja

Integridade: Salvaguarda da exatidão e completeza da informação e

Disponibilidade: Garantia de que os usuários autorizados obtenham

(CESPE – TCU – Auditor - Tecnologia da Informação - 2015)

Errado! O conceito de confidencialidade está correto, mas o segundo conceito é

Além da famosa tríade, a resolução do TCU nº 229, de 2009 define

Criticidade: Atributo da segurança da informação que define a

Prazo de retenção: Período em que os dados ficarão retidos,

Autenticidade - Garante que a informação ou o usuário da mesma é

Prof. Victor Dalton

Legalidade. Garante a legalidade (jurídica) da informação; a

Privacidade. Foge do aspecto de confidencialidade, pois uma

Auditoria. Rastreabilidade dos diversos passos de um negócio ou

Para Laureano e Moraes (Segurança Como Estratégia de Gestão da

• Pública: Informação que pode vir a público sem maiores

• Interna: O acesso livre a este tipo de informação deve ser evitado,

• Confidencial: Informação restrita aos limites da empresa, cuja

• Secreta: Informação crítica para as atividades da empresa, cuja

Prof. Victor Dalton

A Internet é um cesto cheio dos mais diversos tipos de golpes e

Oriundo da expressão “Malicious Software”, Malware são programas

Vírus: um vírus de computador é um programa capaz de se replicar e

Um vírus simples, que só se replica e é fácil de ser detectado. Se um

A ideia do vírus encriptado é esconder esta assinatura fixa,

Os vírus polimórficos são capazes de criar uma nova variante a cada

Em uma variante de um vírus polimórfico o módulo de decriptação

Prof. Victor Dalton

Em geral, para realizar a detecção dessas ameaças os softwares

Os vírus polimórficos podem apresentar problemas durante as suas

Os desenvolvedores de vírus implementam novos códigos para

Os vírus metamórficos são capazes de mudar o próprio corpo, por não

Prof. Victor Dalton

(CESPE – TJ/SE – Analista Judiciário – Análise de Sistemas - 2014) Vírus

Ainda cabe trazer a classificação de vírus segundo a CERT.BR:

Vírus propagado por e-mail: recebido como um arquivo anexo a um

Vírus de script: escrito em linguagem de script, como VBScript e

Vírus de macro: tipo específico de vírus de script, escrito em

Prof. Victor Dalton

E mais algumas classificações:

Vírus de Boot: Vírus que se infecta na área de inicialização dos

Vírus de Programa: infectam - normalmente - os arquivos

Vírus Multipartite: misto dos vírus de Boot e de Programas. Eles

Vírus Stealth (Vírus Invisíveis): um dos mais complexos da

E prossigamos com outros malwares!

Worm (importante!): worms são programas autorreplicantes,

Prof. Victor Dalton

Todo programa em um computador precisa ser executado.

Prof. Victor Dalton

Rootkit: É um conjunto de programas e técnicas que esconde e

Segue, abaixo, uma tabela com características das principais ameaças,

Prof. Victor Dalton

SQL Injection (Injeção de SQL): é um ataque baseado na inserção

Cross-Site Scripting - XSS: é um ataque no qual uma aplicação

Cross-Site Request Forgery: Força a vítima, que possui uma sessão

IP Spoofing: Mascaramento do endereço de pacotes IP por meio de

Port Scanning Attack: Os hackers enviam mensagens para múltiplas

Session Hijacking: Consiste em de explorar ou controlar uma sessão

Prof. Victor Dalton

Advanced Persistent Threat: Invasores profissionais permanecem

Flooding ou DoS: é uma forma de ataque de negação de serviço