05 Informatica PDF

Noções de Informática em Teoria e Exercícios Comentados
p/ MP/RJ – Foco: FGV e Similares – Turma: 10

Aula 05 – Arquivos Digitais e Navegação Segura - Profa. Patrícia Quintão
Sumário
Arquivos Digitais ................................................................................... 5
Navegação Segura ................................................................................. 6
O que Significa Segurança?.................................................................... 6
Princípios da Segurança da Informação ................................................. 8
Vulnerabilidades de Segurança ............................................................ 13
Ameaças à Segurança .......................................................................... 14
Risco .................................................................................................... 14
Ciclo da Segurança .............................................................................. 15
Noções de Vírus, Worms e outras Pragas virtuais – AMEAÇAS à
Segurança da Informação!!.................................................................. 16
Golpes na Internet ............................................................................... 33
Ataques na Internet............................................................................. 35
Spams .................................................................................................. 39
Cookies ................................................................................................ 40
Códigos Móveis .................................................................................... 40
Janelas de Pop-up................................................................................ 41
Plug-ins, Complementos e Extensões .................................................. 41
Links Patrocinados............................................................................... 41
Banners de Propaganda ....................................................................... 42
Programas de Distribuição de Arquivos (P2P) ..................................... 42
Compartilhamento de Recursos ........................................................... 42
Procedimentos de Segurança ............................................................... 43
Procedimentos de Backup (Cópia de segurança) ................................. 48
Noções sobre Criptografia.................................................................... 54
Hashes Criptográficos .......................................................................... 58
Assinatura Digital ................................................................................ 60
Entendendo os Componentes da Infraestrutura de Chaves Públicas
(ICP) ................................................................................................... 61
Certificado Digital ................................................................................ 62
Certificação Digital .............................................................................. 65
www.pontodosconcursos.com.br | Profa. Patrícia Lima Quintão 3

Aplicativos para Segurança .................................................................. 67

Autenticação ........................................................................................ 75
Memorex .............................................................................................. 79
Questões de Provas Comentadas ......................................................... 83
Referências Bibliográficas.................................................................. 113
Lista de Questões Apresentadas nesta Aula ....................................... 114
Gabarito ............................................................................................. 124
Acompanhe a Evolução do seu Aproveitamento ................................. 125

Arquivos Digitais
Os arquivos possuem extensões. Extensões são códigos, normalmente de três
caracteres, “indicativos” do formato do arquivo. São separadas do nome do
arquivo por um ponto (.). A extensão de um arquivo informa a “família”, ou seja,
o tipo de arquivo. Todos os arquivos de um determinado tipo possuem a mesma
extensão. Como exemplo, em LivroPatrícia.doc, temos o nome de arquivo
LivroPatrícia e a extensão é .doc.
A seguir, destacamos as extensões dos principais tipos de arquivos digitais em

uso no nosso cotidiano. São elas:
.pdf Portable document file.
• Arquivo do adobe acrobat. Para criar um arquivo .pdf,
precisamos de programas específicos como o Adobe Acrobat
(desenvolvido e vendido pela empresa Adobe), ou poderemos
fazer uso do BROffice, LibreOffice, etc.
.doc Documento do Microsoft Word.
.docx Documento do Microsoft Word 2007.
.dot Arquivo de Modelo do programa Word (usado para criar DOCs a
partir dele).
.xls Pasta de trabalho do Microsoft Excel.
.xlsx Pasta de trabalho do Microsoft Excel 2007/2010 e 2013.
.xlt Arquivo de Modelo do programa Excel (usado para criar XLSs a
partir dele).
.ppt Arquivo de apresentação de slides do Microsoft Powerpoint.
• Podem ser alterados por completo.
• A apresentação é aberta no modo Normal
.pptx Apresentação de slides do Microsoft Powerpoint 2007/2010 e
2013.
• Podem ser alterados por completo.
• A apresentação é aberta no modo Normal.
.pps Apresentação de slides do Microsoft Powerpoint. A apresentação
é aberta no modo de Apresentação de slides.
.ppsx Apresentação de slides do Microsoft Powerpoint 2007/2010 e
2013. A apresentação é aberta no modo de Apresentação de
slides.
.txt Arquivo de texto puro.
.mdb Arquivo de banco de dados feito pelo programa Microsoft Access.
.exe Arquivo executável.
.zip Arquivo ZIPADO. Seu conteúdo é, na realidade, um ou mais
.rar arquivos “prensados” para ocupar um número menor de bytes.
.rtf Rich text file.
• Documentos de texto que admitem formatação (negrito, itálico,
sublinhado, alteração de fonte, etc.). Além disso, podem
receber tabelas, figuras, marcadores, dentre outros.
• É “quase” um documento do Word.

uma organização e, consequentemente, necessita ser adequadamente

protegida.
A informação pode existir em diversas formas: pode ser impressa ou escrita em

papel, armazenada eletronicamente, transmitida pelo correio ou por meios
eletrônicos, apresentada em filmes ou falada em conversas. Dessa definição,
podemos depreender que a informação é um bem, um patrimônio a ser
preservado para uma empresa e que tem importância aos negócios. Devido a
essa importância, deve ser oferecida proteção adequada, ou seja, a proteção
deve ser proporcional à importância que determinada informação tem
para uma empresa.
Soluções pontuais isoladas não resolvem toda a problemática associada à

segurança da informação. Segurança se faz em pedaços, porém todos eles
integrados, como se fossem uma corrente.
Segurança se faz protegendo todos os elos da corrente, ou seja, todos

os ativos (físicos, tecnológicos e humanos) que compõem seu negócio.
Afinal, o poder de proteção da corrente está diretamente associado ao
elo mais fraco!
Princípios da Segurança da Informação

A segurança da informação busca proteger os ativos de uma empresa ou
indivíduo com base na preservação de alguns princípios. Vamos ao estudo de
cada um deles.
Os três princípios considerados centrais ou principais, mais comumente

cobrados em provas, são: a Confidencialidade, a Integridade e a
Disponibilidade. Eles formam aquilo que chamamos de pirâmide ou tríade da
Segurança da Informação (É possível encontrar a sigla CID, para fazer
menção a esses princípios!).
Confidencialidade
Integridade
Disponibilidade
Figura. Mnemônico CID

 Confidencialidade (ou sigilo): é a garantia de que a informação não

será conhecida por quem não deve. O acesso às informações deve ser
limitado, ou seja, somente as pessoas explicitamente autorizadas
podem acessá-las. Perda de confidencialidade significa perda de segredo. Se
uma informação for confidencial, ela será secreta e deverá ser guardada com
segurança, e não divulgada para pessoas sem a devida autorização para
acessá-la.
A CONFIDENCIALIDADE busca
proteção contra exposição não autorizada.
Acesso somente por pessoas autorizadas.
Exemplo: o número do seu cartão de crédito só poderá ser conhecido por você
e pela loja em que é usado. Se esse número for descoberto por alguém mal
intencionado, o prejuízo causado pela perda de confidencialidade poderá ser
elevado, já que poderão se fazer passar por você para realizar compras pela
Internet, proporcionando-lhe prejuízos financeiros e uma grande dor de
cabeça.
 Integridade: destaca que a informação deve ser mantida na condição em que

foi liberada pelo seu proprietário, garantindo a sua proteção contra mudanças
intencionais, indevidas ou acidentais. Em outras palavras, é a garantia de
que a informação que foi armazenada é a que será recuperada!
A INTEGRIDADE busca
proteção contra codificação não autorizada.
Modificação somente pelas partes devidamente autorizadas.
A quebra de integridade pode ser considerada sob dois aspectos:
1. alterações nos elementos que suportam a informação - são feitas

alterações na estrutura física e lógica em que uma informação
está armazenada. Por exemplo, quando são alteradas as configurações
de um sistema para ter acesso a informações restritas;
2. alterações do conteúdo dos documentos.

 Ex1.: Imagine que alguém invada o notebook que está sendo

utilizado para realizar a sua declaração do Imposto de Renda deste
ano, e, momentos antes de você enviá-la para a Receita Federal a
mesma é alterada sem o seu consentimento! Neste caso, a
informação não será transmitida da maneira adequada, o que quebra
o princípio da integridade;
 Ex2: Alteração de sites por hackers (vide a figura seguinte, retirada

de http://www.fayerwayer.com.br/2013/06/site-do-governo-
brasileiro-e-hackeado/). Acesso em jul. 2013.
Figura. Website UNICEF, que teve seu conteúdo alterado indevidamente

em jun. 2013.
 Disponibilidade: é a garantia de que a informação deve estar disponível,

sempre que seus usuários (pessoas e empresas autorizadas)
necessitarem, não importando o motivo. Em outras palavras, é a garantia
que a informação sempre poderá ser acessada!
A DISPONIBILIDADE busca
acesso disponível às entidades autorizadas

sempre que necessário.

Vulnerabilidades de Segurança
Vulnerabilidade é uma fragilidade que poderia ser explorada por uma ameaça
para concretizar um ataque.
Outro conceito bastante comum para o termo:
Vulnerabilidade é uma evidência ou fragilidade que eleva o grau de exposição

dos ativos que sustentam o negócio, aumentando a probabilidade de sucesso pela
investida de uma ameaça.
Ainda, trata-se de falha no projeto, implementação ou configuração de

software ou sistema operacional que, quando explorada por um
atacante, resulta na violação da segurança de um computador.
O conhecimento do maior número de vulnerabilidades possíveis permite à equipe
de segurança tomar medidas para proteção, evitando assim ataques e
consequentemente perda de dados.
Não há uma receita ou lista padrão de vulnerabilidades. Esta deve ser levantada
junto a cada organização ou ambiente. Sempre se deve ter em mente o que
precisa ser protegido e de quem precisa ser protegido de acordo com as ameaças
existentes. Podemos citar, como exemplo inicial, uma análise de ambiente em
uma sala de servidores de conectividade e Internet com a seguinte descrição: a
sala dos servidores não possui controle de acesso físico. Eis a
vulnerabilidade detectada nesse ambiente.
Outros exemplos de vulnerabilidades:
 ambientes com informações sigilosas com acesso não controlado;

 falta de mecanismos de monitoramento e controle (auditoria);
 inexistência de políticas de segurança;
 ausência de recursos para combate a incêndios;
 hardware sem o devido acondicionamento e proteção;
 falta de atualização de software e hardware;
 ausência de pessoal capacitado para a segurança;
 instalações prediais fora do padrão; etc.

Certbr (2012) destaca algumas das diversas maneiras como os códigos

maliciosos (malwares) podem infectar ou comprometer um computador.
São elas:
 por meio da exploração de vulnerabilidades (falhas de segurança), existentes

nos programas instalados;
 por meio da auto-execução de mídias removíveis infectadas,

como pen-drives;
 pelo acesso a páginas da Web maliciosas, com a utilização de navegadores

vulneráveis;
 por meio da ação direta de atacantes que, após invadirem o computador,

incluem arquivos contendo códigos maliciosos;
 pela execução de arquivos previamente infectados, obtidos em anexos de

mensagens eletrônicas, via mídias removíveis, em páginas Web ou
diretamente de outros computadores (através do compartilhamento de
recursos).
Uma vez instalados, os códigos maliciosos passam a ter acesso aos dados
armazenados no computador e podem executar ações em nome dos usuários, de
acordo com as permissões de cada usuário.
São espécies de malware:
-vírus,
-worms,
-bots,
-cavalos de troia (trojans),
-spyware,
-keylogger,
-screenlogger,
-ransomwares,
-backdoors,
-rootkits,
-bolware, etc.

 Bots (“Robôs”)
De modo similar ao worm, é um

programa capaz de se propagar
automaticamente, explorando
vulnerabilidades existentes ou falhas na
configuração de software instalado em
um computador.
Adicionalmente ao worm, dispõe de

mecanismos de comunicação com o invasor, permitindo que o bot seja
controlado remotamente. Os bots esperam por comandos de um hacker,
podendo manipular os sistemas infectados, sem o conhecimento do usuário.
Segundo CertBr (2012), a comunicação entre o invasor e o computador pelo

bot pode ocorrer via canais de IRC, servidores Web e redes do tipo P2P, entre
outros meios. Ao se comunicar, o invasor pode enviar instruções para que
ações maliciosas sejam executadas, como desferir ataques, furtar dados do
computador infectado e enviar spam.
Nesse ponto, cabe destacar um termo que já foi cobrado várias vezes
em prova pela banca! Trata-se do significado de botnet, junção da
contração das palavras robot (bot) e network (net).
Uma rede infectada por bots é denominada de botnet (também

conhecida como rede zumbi), sendo composta geralmente por milhares
desses elementos maliciosos, que ficam residentes nas máquinas,
aguardando o comando de um invasor.
Figura. Botnet (Symantec,2014)

Quanto mais zumbis (Zombie Computers) participarem da botnet, mais

potente ela será. Um invasor que tenha controle sobre uma botnet pode
utilizá-la para:
• coletar informações de um grande número de computadores;
• “clicar” em anúncios e gerar receitas fraudulentas;
• enviar spam em grande escala;
• hospedar sites de phishing;
• iniciar ataques de negação de serviço que impedem o uso de serviços

online etc.
Botnets fornecem aos criminosos cibernéticos capacidade de processamento e

conectividade de Internet em escala gigantesca. É desse modo que eles são
capazes de enviar milhões de e-mails de spam ou infectar milhões de PCs por
hora (Symantec, 2014).
O esquema simplificado apresentado a seguir destaca o funcionamento básico

de uma botnet (CERT.br, 2012):
• o atacante propaga um tipo específico de bot, com a intenção de infectar

e conseguir a maior quantidade possível de máquinas zumbis;
• essas máquinas zumbis ficam então à disposição do atacante, agora seu

controlador, à espera dos comandos a serem executados;
• quando o controlador deseja que uma ação seja realizada, ele envia às
máquinas zumbis os comandos a serem executados, usando, por
exemplo, redes do tipo P2P ou servidores centralizados;
• as máquinas zumbis executam então os comandos recebidos, durante o

período predeterminado pelo controlador;
• quando a ação é encerrada, as máquinas zumbis voltam a ficar à espera

dos próximos comandos a serem executados.

Figura. Um spam contendo um código malicioso conhecido como Cavalo

de Troia. Ao passar o mouse sobre o link, veja que o site mostrado não
é da Vivo. O usuário será infectado se clicar no link e executar o anexo.
Uma das características do Cavalo de Troia (trojan horse) é que ele

facilita ação de outros ataques!
O cavalo de troia não é um vírus, pois não se duplica e não se dissemina

como os vírus. Na maioria das vezes, ele irá instalar programas para
possibilitar que um invasor tenha controle total sobre um computador.
Estes programas podem permitir que o invasor:
 veja e copie ou destrua todos os arquivos armazenados no computador;

 faça a instalação de keyloggers ou screenloggers (descubra todas as senhas
digitadas pelo usuário);
 realize o furto de senhas e outras informações sensíveis, como números de
cartões de crédito;
 faça a inclusão de backdoors, para permitir que um atacante tenha total
controle sobre o computador; formate o disco rígido do computador, etc.
Exemplos comuns de Cavalos de Troia são programas que você recebe ou
obtém de algum site e que parecem ser apenas cartões virtuais animados,
álbuns de fotos de alguma celebridade, jogos, protetores de tela, entre outros.
Enquanto estão sendo executados, estes programas podem ao mesmo tempo

enviar dados confidenciais para outro computador, instalar backdoors, alterar

informações, apagar arquivos ou formatar o disco rígido.
Há diferentes tipos de trojans, classificados de acordo com as ações

maliciosas que costumam executar ao infectar um computador. Alguns
desses tipos apontados por Certbr (2012) são:
 Trojan Downloader: instala outros códigos maliciosos, obtidos de sites na
Internet.
 Trojan Dropper: instala outros códigos maliciosos, embutidos no próprio
código do trojan.
 Trojan Backdoor: inclui backdoors, possibilitando o acesso remoto do
atacante ao computador.
 Trojan DoS: instala ferramentas de negação de serviço e as utiliza para
desferir ataques.
 Trojan Destrutivo: altera/apaga arquivos e diretórios, formata o disco
rígido e pode deixar o computador fora de operação.
 Trojan Clicker: redireciona a navegação do usuário para sites específicos,
com o objetivo de aumentar a quantidade de acessos a estes sites ou
apresentar propagandas.
 Trojan Proxy: instala um servidor de proxy, possibilitando que o
computador seja utilizado para navegação anônima e para envio de spam.
 Trojan Spy: instala programas spyware e os utiliza para coletar
informações sensíveis, como senhas e números de cartão de crédito, e
enviá-las ao atacante.
 Trojan Banker: coleta dados bancários do usuário, através da instalação
de programas spyware que são ativados nos acessos aos sites de Internet
Banking. É similar ao Trojan Spy, porém com objetivos mais específicos.
 Spyware
Trata-se de um programa espião (spy em
inglês = espião), que tem por finalidade
monitorar as atividades de um sistema e
enviar as informações coletadas para
terceiros.

Screenloggers (Copia as telas acessadas!)

As instituições financeiras desenvolveram os
teclados virtuais para evitar que os keyloggers
pudessem capturar informações sensíveis de
usuários. Então, foram desenvolvidas formas mais
avançadas de keyloggers, também conhecidas
como screenloggers capazes de: armazenar a
posição do cursor e a tela apresentada no monitor,
nos momentos em que o mouse é clicado, ou
armazenar a região que circunda a posição onde o
mouse é clicado. Normalmente, o keylogger vem como parte de um programa
spyware ou cavalo de troia. Desta forma, é necessário que este programa seja
executado para que o keylogger se instale em um computador. Geralmente,
tais programas vêm anexados a e-mails ou estão disponíveis em sites na
Internet. Existem ainda programas leitores de e-mails que podem estar
configurados para executar automaticamente arquivos anexados às
mensagens. Neste caso, o simples fato de ler uma mensagem é suficiente para
que qualquer arquivo anexado seja executado.
Adware (Advertising software) (Exibe propagandas!)

Projetado especificamente para apresentar
propagandas. Este tipo de programa
geralmente não prejudica o computador. Cert.Br
(2103) destaca que ele pode ser usado para fins
legítimos, quando incorporado a programas e
serviços, como forma de patrocínio ou retorno
financeiro para quem desenvolve programas
livres ou presta serviços gratuitos. Quando o seu
uso é feito de forma maliciosa, pode abrir uma
janela do navegador apontando para páginas de
cassinos, vendas de remédios, páginas pornográficas, etc. Também as
propagandas apresentadas podem ser direcionadas, de acordo com a
navegação do usuário e sem que este saiba que tal monitoramento está sendo
realizado.

 Backdoors (Abre portas!)

Normalmente, um atacante procura
garantir uma forma de retornar a um
computador comprometido, sem precisar
recorrer aos métodos utilizados na
realização da invasão. Na maioria dos
casos, também é intenção do atacante
poder retornar ao computador
comprometido sem ser notado. A esses
programas que permitem o retorno de um invasor a um computador
comprometido, utilizando serviços criados ou modificados para este
fim, dá-se o nome de backdoor.
A forma usual de inclusão de um backdoor consiste na disponibilização de um
novo serviço ou substituição de um determinado serviço por uma versão
alterada, normalmente possuindo recursos que permitam acesso remoto
(através da Internet). Pode ser incluído por um invasor ou através de um
cavalo de troia. Programas de administração remota, como BackOrifice,
NetBus, Sub-Seven, VNC e Radmin, se mal configurados ou utilizados sem o
consentimento do usuário, também podem ser classificados como backdoors.
 Rootkit
Tipo de malware cuja principal intenção é se camuflar, para assegurar a sua
presença no computador comprometido, impedindo que seu código seja
encontrado por qualquer antivírus. Isto é possível por que esta aplicação tem
a capacidade de interceptar as solicitações feitas ao sistema operacional,
podendo alterar o seu resultado.
O invasor, após instalar o rootkit, terá acesso privilegiado ao computador
previamente comprometido, sem precisar recorrer novamente aos métodos
utilizados na realização da invasão, e suas atividades serão escondidas do
responsável e/ou dos usuários do computador.
Um rootkit pode fornecer programas com as mais diversas funcionalidades.
Dentre eles, merecem destaque:
 programas para esconder atividades e informações deixadas pelo invasor,
tais como arquivos, diretórios, processos etc.;
 backdoors, para assegurar o acesso futuro do invasor ao computador
comprometido;
 programas para remoção de evidências em arquivos de logs;

 sniffers, para capturar informações na rede onde o computador está

localizado, como por exemplo senhas que estejam
trafegando em claro, ou seja, sem qualquer método
de criptografia; scanners, para mapear potenciais
vulnerabilidades em outros computadores.
 Bomba Lógica (Logic Bomb)

Programa em que o código malicioso é executado quando ocorre um
evento predefinido (como uma data que está se aproximando ou quando
uma determinada palavra ou sequência de caracteres é digitada no teclado
pelo usuário). Uma ação de uma bomba lógica seria, por exemplo, fazer com
que determinadas informações de um banco de dados sejam removidas numa
determinada data.
As bombas lógicas são difíceis de detectar porque são frequentemente
instaladas por quem tem autorização no sistema, seja pelo usuário
devidamente autorizado ou por um administrador. Alguns tipos de vírus são
considerados bombas lógicas, uma vez que têm um circuito de disparo
planejado por hora e data.
 Trackware
São programas que rastreiam a
atividade do sistema, reúnem
informações do sistema ou rastreiam
os hábitos do usuário, retransmitindo essas informações a
organizações de terceiros.
As informações reunidas por esses programas não são confidenciais nem
identificáveis. Os programas de trackware são instalados com o consentimento
do usuário e também podem estar contidos em pacotes de outro software
instalado pelo usuário.
 Bolware
É um malware que infecta computadores e realiza a falsificação de dados de
boletos bancários, realizando determinadas mudanças no documento,
alterando muitas vezes a conta em que o valor será depositado, criando
problemas para o usuário que - sem saber - perde o valor do pagamento
realizado, como também para as empresas que iriam receber o pagamento.

Golpes na Internet
Geralmente, não é uma tarefa simples atacar e fraudar dados em um servidor de
uma instituição bancária ou comercial. Então, atacantes têm concentrado seus
esforços na exploração de fragilidades dos usuários, para realizar fraudes
comerciais e bancárias através da Internet.
A seguir, apresentamos alguns dos principais golpes aplicados na Internet,
que podem ser cobrados em provas, portanto, atenção!
 Furto de identidade (Identity theft)

É o ato pelo qual uma pessoa tenta se passar por outra, atribuindo-se uma
falsa identidade, com o objetivo de obter vantagens indevidas.
Alguns casos de furto de identidade podem ser considerados como crime
contra a fé pública, tipificados como falsa identidade.
 Phishing (também conhecido como Phishing scam, ou apenas scam)

É um tipo de fraude eletrônica projetada para roubar informações
particulares que sejam valiosas para cometer um roubo ou fraude
posteriormente. O golpe de phishing é realizado por uma pessoa mal-
intencionada através da criação de um website falso e/ou do envio de uma
mensagem eletrônica falsa, geralmente um e-mail ou recado através
de scrapbooks como no sítio Orkut, entre outros exemplos.
Utilizando de pretextos falsos, tenta enganar o receptor da mensagem e
induzi-lo a fornecer informações sensíveis (números de cartões de crédito,
senhas, dados de contas bancárias, etc.).
As duas figuras seguintes apresentam “iscas” (e-mails) utilizadas em golpes
de phishing, uma envolvendo o Banco de Brasil e a outra o Serasa.
Figura. Isca de Phishing Relacionada ao Banco do Brasil

Figura. Isca de Phishing Relacionada ao SERASA

A palavra phishing (de fishing) vem de uma analogia criada pelos
fraudadores, em que “iscas” (e-mails) são usadas para “pescar”
informações sensíveis (senhas e dados financeiros, por exemplo) de
usuários da Internet.
Atualmente, este termo vem sendo utilizado também para se referir aos seguintes
casos:
 mensagem que procura induzir o usuário à instalação de códigos
maliciosos, projetados para furtar dados pessoais e financeiros;
 mensagem que, no próprio conteúdo, apresenta formulários para o
preenchimento e envio de dados pessoais e financeiros de usuários.
 Pharming
O Pharming é uma técnica que utiliza o sequestro ou a "contaminação"
do servidor DNS (Domain Name Server) para levar os usuários a um
site falso, alterando o DNS do site de destino. O sistema também pode
redirecionar os usuários para sites autênticos através de proxies controlados,
que podem ser usados para monitorar e interceptar a digitação.
Os sites falsificados coletam números de cartões de crédito, nomes de contas,
senhas e números de documentos. Isso é feito através da exibição de um pop-
up para roubar a informação antes de levar o usuário ao site real. O programa
mal-intencionado usa um certificado auto-assinado para fingir a autenticação
e induzir o usuário a acreditar nele o bastante para inserir seus dados pessoais
no site falsificado. Outra forma de enganar o usuário é sobrepor a barra de
endereço e status de navegador para
induzi-lo a pensar que está no site legítimo e inserir suas informações.
Nesse contexto, programas criminosos podem ser instalados nos PCs
dos consumidores para roubar diretamente as suas informações. Na
maioria dos casos, o usuário não sabe que está infectado, percebendo apenas

uma ligeira redução na velocidade do computador ou falhas de funcionamento

atribuídas a vulnerabilidades normais de software.
Ataques na Internet
Ataque, segundo a norma ISO/IEC 27000 (2009) é a tentativa de destruir,

expor, alterar, inutilizar, roubar ou obter acesso não autorizado, ou fazer
uso não autorizado de um ativo.
Os ataques costumam ocorrer na Internet com diversas motivações (financeiras,

ideológicas, comerciais, etc.), tendo-se em vista diferentes alvos e usando
variadas técnicas. “Qualquer serviço, computador ou rede que seja acessível via
Internet pode ser alvo de um ataque, assim como qualquer computador com
acesso à Internet pode participar de um ataque” (CertBr,2012).
A seguir, destacamos algumas das técnicas utilizadas nos ataques, que podem
ser cobradas na sua prova.
 Interceptação de Tráfego (Sniffing)

Processo de captura das informações da rede por meio de um software
de escuta de rede (conhecido como sniffer, farejador ou ainda
capturador de pacote), capaz de interpretar as informações
transmitidas no meio físico.
Segundo o CertBr (2012), essa técnica pode ser utilizada de forma:
o Legítima: por administradores de redes, para detectar problemas,

analisar desempenho e monitorar atividades maliciosas relativas aos
computadores ou redes por eles administrados.
o Maliciosa: por atacantes, para capturar informações sensíveis, como
senhas, números de cartão de crédito e o conteúdo de arquivos
confidenciais que estejam trafegando por meio de conexões inseguras,
ou seja, sem criptografia.
Note que “as informações capturadas por esta técnica são armazenadas na
forma como trafegam, ou seja, informações que trafegam criptografadas
apenas serão úteis ao atacante se ele conseguir
decodificá-las” (CertBr,2012).

 Ataque de Força bruta (Brute force)

Força bruta consiste em adivinhar, por tentativa e erro, um nome de usuário
e senha e, assim, executar processos e acessar sites, computadores e serviços
em nome e com os mesmos privilégios deste usuário (Certbr,2012). Este é um
método muito poderoso para descoberta de senhas, no entanto é
extremamente lento porque cada combinação consecutiva de caracteres é
comparada. Ex: aaa, aab, aac ..... aaA, aaB, aaC... aa0, aa1, aa2, aa3... aba,
aca, ada...
Qualquer computador, equipamento de rede ou serviço que seja acessível via
Internet, com um nome de usuário e uma senha, pode ser alvo de um ataque
de força bruta. Dispositivos móveis, que estejam protegidos por senha, além
de poderem ser atacados pela rede, também podem ser alvo deste tipo de
ataque caso o atacante tenha acesso físico a eles (Certbr,2012).
Se um atacante tiver conhecimento do seu nome de usuário e da sua senha

ele pode efetuar ações maliciosas em seu nome como, por exemplo
(Certbr,2012):
 trocar a sua senha, dificultando que você acesse novamente o site ou

computador invadido;
 invadir o serviço de e-mail que você utiliza e ter acesso ao conteúdo das
suas mensagens e à sua lista de contatos, além de poder enviar mensagens
em seu nome;
 acessar a sua rede social e enviar mensagens aos seus seguidores contendo
códigos maliciosos ou alterar as suas opções de privacidade;
 invadir o seu computador e, de acordo com as permissões do seu usuário,
executar ações, como apagar arquivos, obter informações confidenciais e
instalar códigos maliciosos.
Mesmo que o atacante não consiga descobrir a sua senha, você pode ter
problemas ao acessar a sua conta caso ela tenha sofrido um ataque de força
bruta, pois muitos sistemas bloqueiam as contas quando várias tentativas de
acesso sem sucesso são realizadas (Certbr,2012).
Apesar dos ataques de força bruta poderem ser realizados manualmente, na

grande maioria dos casos, eles são realizados com o uso de ferramentas
automatizadas facilmente obtidas na Internet e que permitem tornar o ataque
bem mais efetivo (Certbr,2012).
As tentativas de adivinhação costumam ser baseadas em (Certbr,2012):
 dicionários de diferentes idiomas e que podem ser facilmente obtidos na

Internet;
 listas de palavras comumente usadas, como personagens de filmes e
nomes de times de futebol;

 substituições óbvias de caracteres, como trocar "a" por "@" e "o" por "0"';
 sequências numéricas e de teclado, como "123456", "qwert" e "1qaz2wsx";
 informações pessoais, de conhecimento prévio do atacante ou coletadas na
Internet em redes sociais e blogs, como nome, sobrenome, datas e
números de documentos.
Um ataque de força bruta, dependendo de como é realizado, pode resultar em

um ataque de negação de serviço, devido à sobrecarga produzida pela grande
quantidade de tentativas realizadas em um pequeno período de tempo
(Certbr,2012).
 Pichação ou Desfiguração de página (Defacement)

É uma técnica que consiste em alterar o conteúdo da página Web de
um site. Dentre as vulnerabilidades (falhas de segurança) que podem ser
exploradas nesse tipo de ataque, podemos citar: erros da aplicação Web ou
no servidor de aplicação Web, etc.
Finalizando, cabe destacar a importância da proteção de seus dados, fazendo uso

dos mecanismos de proteção disponíveis e mantendo o seu computador
atualizado e livre de códigos maliciosos. Todo o cuidado é pouco, para que
você não seja a próxima vítima!
Spams
São mensagens de correio eletrônico não autorizadas ou não solicitadas,
sendo um dos grandes responsáveis pela propagação de códigos
maliciosos, disseminação de golpes e venda ilegal de produtos.
O spam não é propriamente uma ameaça à segurança, mas é um portador
comum delas. São spams, por exemplo, os e-mails falsos que recebemos como
sendo de órgãos como Receita Federal ou Tribunal Superior Eleitoral. Nesse caso,
os spams costumam induzir o usuário a instalar um dos malwares que vimos
anteriormente.
Os spammers (indivíduos que enviam spams) utilizam diversas técnicas para
coletar os endereços de e-mail, desde a compra de bancos de dados até a
produção de suas próprias listas, geradas a partir de (CERTBR, 2013):
 ataques de dicionário: consistem em formar endereços de e-mail a partir
de listas de nomes de pessoas, de palavras presentes em dicionários e/ou
da combinação de caracteres alfanuméricos;
 códigos maliciosos: muitos códigos maliciosos são projetados para varrer
o computador infectado em busca de endereços de e-mail que,
posteriormente, são repassados para os spammer;
 harvesting: consiste em coletar endereços de e-mail por meio de
varreduras em páginas Web e arquivos de listas de discussão, entre outros.

 componentes (ou controles) ActiveX: Certbr (2013) destaca que o

navegador Web, pelo esquema de certificados digitais, verifica a
procedência de um componente ActiveX antes de recebê-lo. Ao aceitar o
certificado, o componente é executado e pode efetuar qualquer tipo de
ação, desde enviar um arquivo pela Internet até instalar programas (que
podem ter fins maliciosos) em seu computador.
Janelas de Pop-up
Aparecem automaticamente e sem permissão do usuário, sobrepondo a janela do
navegador Web, após o acesso a um determinado site.
Certbr (2013) destaca alguns riscos que podem ser ocasionados nesse
contexto:
 apresentar mensagens indesejadas, contendo propagandas ou conteúdo
impróprio;
 apresentar links, que podem redirecionar a navegação para uma página falsa
ou induzi-lo a instalar códigos maliciosos.
Plug-ins, Complementos e Extensões

São programas geralmente desenvolvidos por terceiros e que você pode
instalar em seu navegador Web ou leitor de e-mails para prover
funcionalidades extras.
Apesar de grande parte desses programas serem confiáveis, há a chance de
existir programas especificamente criados para executar atividades maliciosas ou
que, devido a erros de implementação, possam executar ações danosas em seu
computador (Certbr,2013).
Links Patrocinados
O link patrocinado é um formato de anúncio publicitário pago, oferecido
por diversas ferramentas de busca como: Google, Yahoo, Bing. Um
anunciante que queira fazer propaganda de um produto ou site paga para
o site de busca apresentar o link em destaque (vide figura seguinte) quando
palavras específicas são pesquisadas. Quando se clica em
um link patrocinado, o site de busca recebe do anunciante um valor
previamente combinado.
Segundo Certbr (2013), o anunciante geralmente possui uma página Web - com
acesso via conta de usuário e senha - para poder interagir com o site de busca,
alterar configurações, verificar acessos e fazer pagamentos. Este tipo de conta é
bastante visado por atacantes, com o intuito de criar redirecionamentos para
páginas de phishing ou contendo códigos maliciosos e representa o principal
risco relacionado a links patrocinados.

Banners de Propaganda
Caso você tenha uma página Web, é possível disponibilizar um espaço nela para
que o serviço de publicidade apresente banners de seus clientes. Quanto mais a
sua página é acessada e quanto mais cliques são feitos nos banners por
intermédio dela, mais você pode vir a ser remunerado.
Um golpe decorrente desse ambiente é o malvertising (junção de "malicious"
(malicioso) e "advertsing" (propaganda)). Nesse tipo de golpe são criados
anúncios maliciosos e, por meio de serviços de publicidade, eles são
apresentados em diversas páginas Web. Geralmente, o serviço de
publicidade é induzido a acreditar que se trata de um anúncio legítimo e, ao
aceitá-lo, intermedia a apresentação e faz com que ele seja mostrado em diversas
páginas.
Programas de Distribuição de Arquivos (P2P)

Permitem que os usuários compartilhem arquivos entre si. Exemplos: Kazaa,
Gnutella e BitTorrent. O uso desses programas pode ocasionar: acessos
indevidos a diretórios e arquivos se mal configurado, obtenção de arquivos
maliciosos por meio dos arquivos distribuídos nesses ambientes, violação
de direitos autorais (com distribuição não autorizada de arquivos de música,
filmes, textos ou programas protegidos pela lei de direitos autorais).
Compartilhamento de Recursos
Ao fazer um compartilhamento de recursos do seu computador, como diretórios,
discos, e impressoras, com outros usuários, pode estar permitindo:
 o acesso não autorizado a recursos ou informações sensíveis;
 que seus recursos sejam usados por atacantes, caso não sejam
definidas senhas para controle de acesso ou sejam usadas senhas
facilmente descobertas.

Procedimentos de Segurança
Diante desse grande risco, uma série de procedimentos, considerados como
“boas práticas de segurança” podem ser implementados para salvaguardar os
ativos (que é o que a segurança da informação busca proteger) da organização
(CertBR, 2006).
Como podemos reduzir o volume de spam que chega até nossas caixas
postais?
A resposta é bem simples! Basta navegar de forma consciente na rede. Este
conselho é o mesmo que recebemos para zelar pela nossa segurança no trânsito
ou ao entrar e sair de nossas casas.
A seguir destacamos as principais dicas que foram reportadas pelo CertBr (2012)
para que os usuários da Internet desfrutem dos recursos e benefícios da rede,
com segurança:
 Preservar as informações pessoais, tais como: endereços de e-mail, dados
pessoais e, principalmente, cadastrais de bancos, cartões de crédito e senhas.
Um bom exercício é pensar que ninguém forneceria seus dados
pessoais a um estranho na rua, ok? Então, por que liberá-la na
Internet?
 Ter, sempre que possível, e-mails separados para assuntos pessoais,
profissionais, para as compras e cadastros on-line. Certos usuários mantêm
um e-mail somente para assinatura de listas de discussão.
No caso das promoções da Internet, geralmente, será necessário preencher
formulários. Ter um e-mail para cadastros on-line é uma boa prática
para os usuários com o perfil descrito. Ao preencher o cadastro, procure
desabilitar as opções de recebimento de material de divulgação do site e de
seus parceiros, pois justamente nesse item é que muitos usuários atraem
spam, inadvertidamente!
 Não ser um "clicador compulsivo", ou seja, o usuário deve procurar controlar

a curiosidade de verificar sempre a indicação de um site em um
e-mail suspeito de spam. Pensar, analisar as características do e-mail e
verificar se não é mesmo um golpe ou código malicioso.
 Não ser um "caça-brindes", "papa-liquidações" ou
"destruidor-de-promoções", rs! Ao receber e-mails sobre brindes, promoções
ou descontos, reserve um tempo para analisar o e-mail, sua procedência e
verificar no site da empresa as informações sobre a promoção em questão.
Vale lembrar que os sites das empresas e instituições financeiras têm mantido
alertas em destaque sobre os golpes envolvendo seus serviços. Assim, a visita
ao site da empresa pode confirmar a promoção ou alertá-lo sobre o golpe que
acabou de receber por e-mail!

 Ferramentas de combate ao spam (anti-spams) são geralmente

disponibilizadas do lado dos servidores de e-mail, filtrando as mensagens que
são direcionadas à nossa caixa postal. Importante que se tenha um filtro anti-
spam instalado, ou ainda, usar os recursos anti-spam oferecidos por seu
provedor de acesso.
 Além do anti-spam, existem outras ferramentas bastante importantes para o
usuário da rede: anti-spyware, firewall pessoal e antivírus, estudadas nesta
aula.
Cuidados com Contas e Senhas

 Uma senha pode ser descoberta ao ser usada em computadores
infectados; ao ser usada em sites falsos; por meio de tentativas de
adivinhação; ao ser capturada enquanto trafega na rede, sem estar
criptografada; por meio do acesso ao arquivo onde a senha foi armazenada
caso ela não tenha sido gravada de forma criptografada; com o uso de técnicas
de engenharia social, como forma a persuadi-lo a entregá-la voluntariamente;
pela observação da movimentação dos seus dedos no teclado ou dos cliques
do mouse em teclados virtuais (CERT.BR,2012).
 Uma senha boa, bem elaborada, é aquela que é difícil de ser
descoberta (forte) e fácil de ser lembrada. Não convém que você crie
uma senha forte se, quando for usá-la, não conseguir
recordá-la. Também não convém que você crie uma senha fácil de ser
lembrada se ela puder ser facilmente descoberta por um atacante.
 Alguns elementos que você não deve usar na elaboração de suas senhas
são: qualquer tipo de dado pessoal (jamais utilizar como senha seu nome,
sobrenomes, números de documentos, placas de carros, números de
telefones, datas que possam ser relacionadas com você, etc.); sequências
de teclado; palavras que façam parte de listas.
 Alguns elementos que você deve usar na elaboração de suas senhas são:
números aleatórios; grande quantidade de caracteres; diferentes tipos
de caracteres (CERT.BR,2013).
Mais dicas:
o crie uma senha que contenha pelo menos oito caracteres, compostos de
letras, números e símbolos.
o utilize uma senha diferente para cada serviço (por exemplo, uma senha
para o banco, outra para acesso à rede corporativa da sua empresa,
outra para acesso a seu provedor de Internet etc.);
o altere a senha com frequência;
o crie tantos usuários com privilégios normais, quantas forem as pessoas
que utilizam seu computador;

o utilize o usuário Administrator (ou root) somente quando for

estritamente necessário.
Cuidados com Malware

O combate a códigos maliciosos poderá envolver uma série de ações, como:
 instalação de ferramentas antivírus e antispyware no computador,
lembrando de mantê-las atualizadas frequentemente. A banca pode citar
ferramentas antimalware nesse contexto também;
 não realizar abertura de arquivos suspeitos recebidos por e-mail;
 fazer a instalação de patches de segurança e atualizações corretivas de
softwares e do sistema operacional quando forem disponibilizadas
(proteção contra worms e bots), etc.
*Vírus
 Instale e mantenha atualizado um bom programa antivírus;
 atualize as assinaturas do antivírus, de preferência diariamente;
 configure o antivírus para verificar os arquivos obtidos pela Internet, discos
rígidos (HDs), flexíveis (disquetes) e unidades removíveis, como CDs, DVDs
e pen drives;
 desabilite no seu programa leitor de e-mails a auto-execução de arquivos
anexados às mensagens;
 não execute ou abra arquivos recebidos por e-mail ou por outras fontes,
mesmo que venham de pessoas conhecidas. Caso seja necessário abrir o
arquivo, certifique-se que ele foi verificado pelo programa antivírus;
 utilize na elaboração de documentos formatos menos suscetíveis à
propagação de vírus, tais como RTF, PDF ou PostScript etc.
* Worms, bots e botnets
 Siga todas as recomendações para prevenção contra vírus listadas no item
anterior;
 mantenha o sistema operacional e demais softwares sempre atualizados;
 aplique todas as correções de segurança (patches) disponibilizadas pelos
fabricantes, para corrigir eventuais vulnerabilidades existentes nos
softwares utilizados;
 instale um firewall pessoal, que em alguns casos pode evitar que uma
vulnerabilidade existente seja explorada (observe que o firewall não
corrige as vulnerabilidades!!) ou que um worm ou bot se propague.

*Cavalos de troia, backdoors, keyloggers e spywares

 Siga todas as recomendações para prevenção contra vírus, worms e bots;
 instale um firewall pessoal, que em alguns casos pode evitar o acesso a
um backdoor já instalado em seu computador etc.;
 utilize pelo menos uma ferramenta anti-spyware e mantê-la sempre
atualizada.
Cuidados com o seu dispositivo móvel

Ao usar seu dispositivo móvel (CERT.BR,2012):
 se disponível, instale um programa antimalware antes de instalar qualquer
tipo de aplicação, principalmente aquelas desenvolvidas por terceiros;
 mantenha o sistema operacional e as aplicações instaladas sempre com a
versão mais recente e com todas as atualizações aplicadas;
 fique atento às notícias veiculadas no site do fabricante, principalmente as
relacionadas à segurança;
 seja cuidadoso ao instalar aplicações desenvolvidas por terceiros, como
complementos, extensões e plug-ins;
 seja cuidadoso ao usar aplicativos de redes sociais, principalmente os
baseados em geolocalização, pois isto pode comprometer a sua privacidade
Ao acessar redes (CERT.BR,2013):

 seja cuidadoso ao usar redes Wi-Fi públicas;
 mantenha interfaces de comunicação, como bluetooth, infravermelho e
Wi-Fi, desabilitadas e somente as habilite quando for necessário;
 configure a conexão bluetooth para que seu dispositivo não seja identificado
(ou "descoberto") por outros dispositivos (em muitos aparelhos esta opção
aparece como "Oculto" ou "Invisível").
 Proteja seu dispositivo móvel e os dados nele armazenados (CERT.BR,2013):
o mantenha as informações sensíveis sempre em formato criptografado;
o faça backups periódicos dos dados nele gravados;
o mantenha controle físico sobre ele, principalmente em locais de risco
(procure não deixá-lo sobre a mesa e cuidado com bolsos e bolsas
quando estiver em ambientes públicos);
o use conexão segura sempre que a comunicação envolver dados
confidenciais;
o não siga links recebidos por meio de mensagens eletrônicas;

o cadastre uma senha de acesso que seja bem elaborada e, se possível,

configure-o para aceitar senhas complexas (alfanuméricas);
o configure-o para que seja localizado e bloqueado remotamente, por
meio de serviços de geolocalização (isso pode ser bastante útil em casos
de perda ou furto);
o configure-o, quando possível, para que os dados sejam apagados após
um determinado número de tentativas de desbloqueio sem sucesso (use
esta opção com bastante cautela, principalmente se você tiver filhos e
eles gostarem de "brincar" com o seu dispositivo).
Elaboração de uma Política de Segurança com o objetivo de solucionar

ou minimizar as vulnerabilidades encontradas na organização.
Nesse contexto, destacamos os principais itens necessários para uma boa política
de segurança:
 possuir instalações físicas adequadas que ofereçam o mínimo necessário para
garantia da integridade dos dados;
 controle de umidade, temperatura e pressão;
 sistema de aterramento projetado para suportar as descargas elétricas,
extintores de incêndio adequados para equipamentos elétricos/eletrônicos;
 uso adequado de equipamentos de proteção e segurança tais como: UPS (“no-
break”), filtro de linha, estabilizador de tensão;
 manutenção do computador, limpeza e política da boa utilização;
 utilização de sistemas operacionais que controlem o acesso de usuários e que
possuem um nível de segurança bem elaborado, juntamente com o controle
de senhas;
 utilização de sistemas de proteção de uma rede de computadores, tais como
Firewall (sistema que filtra e monitora as ações na rede);
 software antivírus atualizado constantemente;
 sistema de criptografia (ferramenta que garante a segurança em todo
ambiente computacional que precise de sigilo em relação às informações que
manipula). No envio de mensagens uma mensagem é criptografada e se for
interceptada dificilmente poderá ser lida, somente o destinatário possuir o
código necessário;
 treinamento e conscientização de funcionários para diminuir as falhas
humanas;
 realização de backups (cópia de segurança para salvaguardar os dados,
geralmente mantida em CDs, DVDs, fitas magnéticas, pendrives, etc.,
para que possam ser restaurados em caso de perda dos dados
originais).

individuais, grupos de arquivos ou todos os arquivos

incluídos no backup.
Imagem Cópia de todos os dados de um dispositivo de
armazenamento (CD, DVD, HD).
Arquivamento Mover dados que não são mais usados (dados históricos)
para outro lugar, mas que ainda podem ser acessados em
caso de necessidade.
Backup Off Abrange a replicação de dados de backup em um local
Site geograficamente separado do local dos sistemas de
produção, além de fazer backup pela rede remota
(WAN). Motivações para o backup off-site incluem
recuperação de desastres, consolidação de operações de
backup e economia.
Métodos de Backup
Existem, basicamente, dois métodos de Backup.
Atributos de Arquivos
 São informações associadas a arquivos e pastas.
 Definem o comportamento do sistema de arquivos.
 Podem ser acessados através das propriedades (Alt+Enter ou clique com
botão direito do mouse no ícone do arquivo ou pasta pelo Windows).
Ao clicar com o botão direito do mouse no ícone de um arquivo do Windows, e
selecionar a opção Propriedades; em seguida, guia Geral -> Avançados, será
exibida uma caixa “o arquivo está pronto para ser arquivado”, marcada como
padrão (No Windows XP, leia-se arquivo morto).

Em uma pasta irá aparecer a caixa “Pasta pronta para arquivamento”,

conforme ilustrado nas figuras seguintes.
Figura. Atributos de arquivos, no Windows 7.
Figura. Windows XP.
Figura. Atributos de uma pasta no Windows 7

A tela seguinte destaca opção de “arquivo morto” obtida ao clicar com o botão
direito do mouse no arquivo intitulado lattes.pdf, do meu computador que possui
o sistema operacional Windows Vista.

Assim temos:
 Quando um arquivo/pasta está com o atributo marcado, significa que
ele deverá ser copiado no próximo backup.
 Se estiver desmarcado, significa que, provavelmente, já foi feito um backup
deste arquivo.
Técnicas (Tipos) de Backup

As principais técnicas (tipos) de Backup, que podem ser combinadas com
os mecanismos de backup on-line e off-line, estão listadas a seguir:
**NORMAL (TOTAL ou GLOBAL)
 COPIA TODOS os arquivos e pastas selecionados.
 DESMARCA o atributo de arquivamento (arquivo morto): limpa os
marcadores.
 Caso necessite restaurar o backup normal, você só precisa da cópia mais
recente.
 Normalmente, este backup é executado quando você cria um conjunto de
backup pela 1ª vez.
 Agiliza o processo de restauração, pois somente um backup será restaurado.
**INCREMENTAL
 Copia somente os arquivos CRIADOS ou ALTERADOS desde o último
backup normal ou incremental.
 O atributo de arquivamento (arquivo morto) É DESMARCADO: limpa os
marcadores.

**DIFERENCIAL
 Copia somente os arquivos CRIADOS ou ALTERADOS desde o último
backup normal ou incremental.
 O atributo de arquivamento (arquivo morto) NÃO É ALTERADO: não limpa
os marcadores.
**CÓPIA (AUXILIAR ou SECUNDÁRIA)

 Faz o backup de arquivos e pastas selecionados.
os marcadores!
**DIÁRIO
 Copia todos os arquivos e pastas selecionados que foram ALTERADOS
DURANTE O DIA da execução do backup.
os marcadores!

Plano de segurança para a política de backup

É importante estabelecer uma política de backup que obedeça a critérios bem
definidos sobre a segurança da informação envolvida, levando-se em
consideração os serviços que estarão disponíveis; quem pode acessar (perfis de
usuários) as informações; como realizar o acesso (acesso remoto, local, senhas,
etc.); o que fazer em caso de falha; quais os mecanismos de segurança
(antivírus), dentre outros.
Em suma, o objetivo principal dos backups é garantir a disponibilidade
da informação. Por isso a política de backup é um processo relevante no
contexto de segurança dos dados.
Noções sobre Criptografia

A palavra criptografia é composta dos termos gregos KRIPTOS (secreto, oculto,
ininteligível) e GRAPHO (escrita, escrever). Trata-se de um conjunto de conceitos
e técnicas que visa codificar uma informação de forma que somente o
emissor e o receptor possam acessá-la.
Terminologia básica sobre Criptografia:
 Mensagem ou texto: informação que se deseja proteger. Esse texto
quando em sua forma original, ou seja, a ser transmitido, é chamado de
texto puro ou texto claro.
 Remetente ou emissor: pessoa ou serviço que envia a mensagem.
 Destinatário ou receptor: pessoa ou serviço que receberá a mensagem.
 Encriptação: processo em que um texto puro passa, transformando-se em
texto cifrado.
 Desencriptação: processo de recuperação de um texto puro a partir de
um texto cifrado.
 Canal de comunicação: é o meio utilizado para a troca de informações.
 Criptografar: ato de encriptar um texto puro, assim como,
descriptografar é o ato de desencriptar um texto cifrado.
 Chave: informação que o remetente e o destinatário possuem e que será
usada para criptografar e descriptografar um texto ou mensagem.
Criptografia = arte e ciência de manter mensagens seguras.

Criptoanálise = arte e ciência de quebrar textos cifrados.
Criptologia = combinação da criptografia + criptoanálise.

Criptografia de Chave Simétrica (também chamada de Criptografia de

Chave Única, ou Criptografia Privada, ou Criptografia Convencional ou
Criptografia de Chave Secreta)
Utiliza APENAS UMA chave para encriptar e decriptar as mensagens.
Assim, como só utiliza UMA chave, obviamente ela deve ser compartilhada entre
o remetente e o destinatário da mensagem.
Para ilustrar os sistemas simétricos, podemos usar a
imagem de um cofre, que só pode ser fechado e aberto com
uso de UMA chave. Esta pode ser, por exemplo, uma
combinação de números. A mesma combinação abre e
fecha o cofre.
Para criptografar uma mensagem, usamos a chave
(fechamos o cofre) e para decifrá-la utilizamos a mesma
chave (abrimos o cofre).
Na criptografia simétrica (ou de chave única) tanto o emissor quanto o

receptor da mensagem devem conhecer a chave utilizada. Ambos fazem
uso da MESMA chave, isto é, uma ÚNICA chave é usada na codificação e
na decodificação da informação.
A figura seguinte ilustra o processo de criptografia baseada em uma única chave,

ou seja, a chave que cifra uma mensagem é utilizada para posteriormente
decifrá-la.
As principais vantagens dos algoritmos simétricos são:

 rapidez: um polinômio simétrico encripta um texto longo em milésimos de

segundos;
 chaves pequenas: uma chave de criptografia de 128 bits torna um algoritmo
simétrico praticamente impossível de ser quebrado.
A maior desvantagem da criptografia simétrica é que a chave utilizada para

encriptar é IGUAL à chave que decripta. Quando um grande número de pessoas
tem conhecimento da chave, a informação deixa de ser um segredo.
O uso de chaves simétricas também faz com que sua utilização não seja adequada
em situações em que a informação é muito valiosa. Para começar, é necessário
usar uma grande quantidade de chaves caso muitas pessoas estejam envolvidas.
Ainda, há o fato de que tanto o emissor quanto o receptor precisam conhecer a
chave usada.
A transmissão dessa chave de um para o outro pode não ser tão segura e cair
em "mãos erradas", fazendo com que a chave possa ser interceptada e/ou
alterada em trânsito por um inimigo.
Existem vários algoritmos que usam chaves simétricas, como: o DES (Data
Encryption Standard), o IDEA (International Data Encryption Algorithm), e o RC
(Ron's Code ou Rivest Cipher):
 DES (Data Encryption Standard): criado pela IBM em 1977, faz uso de
chaves de 56 bits. Isso corresponde a 72 quadrilhões de combinações (256
= 72.057.594.037.927.936). É um valor absurdamente alto, mas não para
um computador potente. Em 1997, ele foi quebrado por técnicas de "força
bruta" (tentativa e erro) em um desafio promovido na internet;
 IDEA (International Data Encryption Algorithm): criado em 1991 por
James Massey e Xuejia Lai, o IDEA é um algoritmo que faz uso de chaves
de 128 bits e que tem uma estrutura semelhante ao DES;
 RC (Ron's Code ou Rivest Cipher): criado por Ron Rivest na empresa
RSA Data Security, esse algoritmo é muito utilizado em e-mails e faz uso
de chaves que vão de 8 a 1024 bits. Possui várias versões: RC2, RC4, RC5
e RC6. Essencialmente, cada versão difere da outra por trabalhar com
chaves maiores.
Há ainda outros algoritmos conhecidos, como o AES (Advanced Encryption
Standard) - que é baseado no DES, o 3DES, o Twofish e sua variante Blowfish,
por exemplo.
Criptografia de Chave ASSimétrica (também chamada de Criptografia

de Chave Pública)
Os algoritmos de criptografia assimétrica (criptografia de chave pública)
utilizam DUAS chaves DIFERENTES, uma PÚBLICA (que pode ser distribuída)

e uma PRIVADA (pessoal e intransferível). Assim, nesse método cada pessoa

ou entidade mantém duas chaves: uma pública, que pode ser divulgada
livremente, e outra privada, que deve ser mantida em segredo pelo seu dono.
As mensagens codificadas com a chave pública só podem ser decodificadas com
a chave privada correspondente.
Do ponto de vista do custo computacional, os sistemas simétricos

apresentam melhor desempenho que os sistemas assimétricos, e isso já
foi cobrado em provas várias vezes!
A figura seguinte ilustra o princípio da criptografia utilizando chave assimétrica.
Também conhecida como "Criptografia de Chave Pública", a técnica de
criptografia por Chave Assimétrica trabalha com DUAS chaves: uma
denominada privada e outra denominada pública. Nesse método, uma
pessoa deve criar uma chave de codificação e enviá-la a quem for mandar
informações a ela. Essa é a chave pública. Outra chave deve ser criada para a
decodificação. Esta – a chave privada – é secreta.
Para entender melhor, imagine o seguinte: o USUÁRIO-A criou uma chave pública
e a enviou a vários outros sites. Quando qualquer desses sites quiser enviar uma
informação criptografada ao USUÁRIO-A deverá utilizar a chave pública deste.
Quando o USUÁRIO-A receber a informação, apenas será possível extraí-la com

o uso da chave privada, que só o USUÁRIO-A tem. Caso o USUÁRIO-A queira

enviar uma informação criptografada a outro site, deverá conhecer sua chave
pública.
Entre os algoritmos que usam chaves assimétricas têm-se o RSA (o mais
conhecido), o DSA (Digital Signature Algorithm), o Schnorr (praticamente usado
apenas em assinaturas digitais) e Diffie-Hellman.
Figura. Mapa mental relacionado à Criptografia ASSimétrica
Hashes Criptográficos
 Hash é uma função matemática que recebe uma mensagem de entrada e
gera como resultado um número finito de caracteres (“dígitos verificadores”).
 É uma função unidirecional. A figura seguinte ilustra alguns exemplos de uso
da função hash:

Figura. Exemplos de Saídas da Função
 Não é possível reconstituir a mensagem a partir do hash.

 Pode ser feita em um sentido e não no outro – como a relação entre as
chaves em um sistema de criptografia assimétrica.
 Alguns algoritmos de hash: MD4, MD5, SHA-1, SHA-256, TIGER, etc.
CERT.BR (2013) destaca que “uma função de resumo (hash) é um método

criptográfico que, quando aplicado sobre uma informação, independentemente
do tamanho que ela tenha, gera um resultado único e de tamanho fixo, chamado
hash”.
Usamos o hash (resumo da mensagem ou message digest em inglês) quando
precisamos garantir a integridade de determinada informação; realizar
armazenamento seguro de senhas; garantir a integridade de arquivos, etc.
CERT.BR (2013) destaca o uso do hash para vários propósitos, como por
exemplo:
 verificar a integridade de um arquivo armazenado no computador ou em
backups;
 verificar a integridade de um arquivo obtido da Internet (nesse caso, alguns
sites, além do arquivo em si, disponibilizam o hash correspondente, para
que o usuário verifique se o arquivo foi corretamente transmitido e
gravado). Você pode utilizar uma ferramenta como a listada na tela
seguinte para calcular o hash do arquivo e, quando julgar necessário, gerar
novamente este valor. Se os dois hashes forem iguais podemos concluir
que o arquivo não foi alterado. Caso contrário, temos aí um forte indício de
que o arquivo esteja corrompido ou que foi modificado durante a
transmissão;

Figura. Geração do hash do arquivo “hash.exe”.
 gerar assinaturas digitais.
HASH (Message Digest – Resumo de Mensagem): Método matemático

“UNIDIRECIONAL”, ou seja, só pode ser executado em um único sentido (ex.:
você envia uma mensagem com o hash, e este não poderá ser alterado, mas
apenas conferido pelo destinatário). Utilizado para garantir a “integridade” (não
alteração) de dados durante uma transferência.
Assinatura Digital
O glossário criado pela ICP Brasil destaca que a Assinatura Digital é um código
anexado ou logicamente associado a uma mensagem eletrônica que
permite de forma única e exclusiva a comprovação da autoria de um
determinado conjunto de dados (um arquivo, um e-mail ou uma
transação).
A assinatura digital comprova que a pessoa criou ou concorda com um documento
assinado digitalmente, como a assinatura de próprio punho comprova a autoria
de um documento escrito.
Stallings (2008) destaca que a assinatura digital é um mecanismo de
AUTENTICAÇÃO que permite ao criador de uma mensagem anexar um código
que atue como uma assinatura.
Em outras palavras, a assinatura digital consiste na criação de um
código, através da utilização de uma chave privada, de modo que a
pessoa ou entidade que receber uma mensagem contendo este código
possa verificar se o remetente é mesmo quem diz ser e identificar
qualquer mensagem que possa ter sido modificada.

A verificação da assinatura é feita com o uso da chave pública, pois se o texto

foi codificado com a chave privada, somente a chave pública
correspondente pode decodificá-lo (CERT.BR,2013).
CERT.BR (2013) destaca que “para contornar a baixa eficiência característica da
criptografia de chaves assimétricas, a codificação é feita sobre o hash e não
sobre o conteúdo em si, pois é mais rápido codificar o hash (que possui tamanho
fixo e reduzido) do que a informação toda”.
A assinatura é formada tomando o hash (Message Digest – Resumo de
Mensagem) da mensagem e criptografando-o com a chave privada do
criador.
Assim, a assinatura digital fornece uma prova inegável de que uma mensagem
veio do emissor. Para verificar esse requisito, uma assinatura deve ter as
seguintes propriedades:
 autenticidade: o receptor (destinatário de uma mensagem) pode
confirmar que a assinatura foi feita pelo emissor;
 integridade: qualquer alteração da mensagem faz com que a assinatura
seja invalidada;
 não repúdio (irretratabilidade): o emissor (aquele que assinou
digitalmente a mensagem) não pode negar que foi o autor da mensagem,
ou seja, não pode dizer mais tarde que a sua assinatura foi falsificada.
É importante ressaltar que a segurança do método baseia-se no fato de que a
chave privada é conhecida apenas pelo seu dono. Também é importante
ressaltar que o fato de assinar uma mensagem não significa gerar uma
mensagem sigilosa. Para o exemplo anterior, se José quisesse assinar a
mensagem e ter certeza de que apenas Maria teria acesso a seu conteúdo, seria
preciso codificá-la com a chave pública de Maria, depois de assiná-la.
Entendendo os Componentes da Infraestrutura de Chaves Públicas

(ICP)
PKI (Public Key Infrastrusture) é a infraestrutura de chaves públicas

(ICP). A ICP-Brasil é um exemplo de PKI.
Uma Infraestrutura de Chaves Públicas (ICP) envolve um processo colaborativo
entre várias entidades: autoridade certificadora (AC), autoridade de registro
(AR), repositório de certificados e o usuário final.
Autoridade Certificadora (AC)

Vamos ao exemplo da carteira de motorista. Se pensarmos em um certificado
como uma carteira de motorista, a Autoridade Certificadora opera como um tipo
de órgão de licenciamento. Em uma ICP, a AC emite, gerencia e revoga os
certificados para uma comunidade de usuários finais. A AC assume a tarefa
de autenticação de seus usuários finais e então assina digitalmente as

Quanto maior o número do certificado, maior o nível de segurança de seu

par de chaves.
Certificação Digital
Atividade de reconhecimento em meio eletrônico que se caracteriza pelo
estabelecimento de uma relação única, exclusiva e intransferível entre
uma chave de criptografia e uma pessoa física, jurídica, máquina ou
aplicação. Esse reconhecimento é inserido em um Certificado Digital, por
uma Autoridade Certificadora.
Para se fazer a certificação de uma assinatura digital, é necessária uma

infraestrutura que valide o certificado para as demais entidades. Para
isso, existem dois modelos de certificação que podem ser utilizados. São eles:
 Modelo de malha de confiança: baseado na criação de uma rede em que
as entidades pertencentes devem confiar umas nas outras. Cada vez que um
usuário obtém a chave pública de outro usuário, ele pode verificar a assinatura
digital da chave obtida por meio das demais entidades, garantindo a certeza
de que a chave é a verdadeira. Nesse modelo, a confiança é controlada
pelo próprio usuário. Além disso, a confiança não é transitiva, ou seja, se
uma entidade A confia em B e B confia em C, isso não significa
necessariamente que A confia em C. Esse modelo é utilizado no software PGP,
que faz a certificação de mensagens eletrônicas.
 Modelo hierárquico: baseado na montagem de uma hierarquia de
Autoridades Certificadoras (ACs). As ACs certificam os usuários e existe uma
autoridade certificadora raiz (AC-Raiz) que faz a certificação de todas as ACs
de sua jurisdição. Nesse modelo, os certificados digitais precisam da
assinatura digital de uma AC para ser válido. Caso alguma entidade duvide de
sua validade, basta consultar na AC para verificar se o certificado não foi
revogado. Caso haja dúvida da validade do certificado da AC, basta conferir
na AC-Raiz, que, em regra, possui um certificado assinado por si mesmo e é
mantida por uma entidade governamental. Esse é o modelo utilizado para a
montagem de Infraestruturas de Chaves Públicas (ICPs).
A seguir, destacamos alguns cuidados extraídos de Cert.Br (2013) a

serem tomados para proteger os seus dados, e utilizar de forma
adequada a certificação digital.
Proteja seus dados (CERT.BR, 2013):
 utilize criptografia sempre que, ao enviar uma mensagem, quiser assegurar-

se que somente o destinatário possa lê-la;
 utilize assinaturas digitais sempre que, ao enviar uma mensagem, quiser
assegurar ao destinatário que foi você quem a enviou e que o conteúdo não
foi alterado;

 só envie dados sensíveis após certificar-se de que está usando uma conexão
segura;
 utilize criptografia para conexão entre seu leitor de e-mails e os servidores de
e-mail do seu provedor;
 cifre o disco do seu computador e dispositivos removíveis, como disco externo
e pen-drive. Assim, em caso de perda ou furto do equipamento, seus dados
não poderão ser indevidamente acessados;
 verifique o hash, quando possível, dos arquivos obtidos pela Internet.
Seja cuidadoso com as suas chaves e certificados (CERT.BR, 2013):
 utilize chaves de tamanho adequado. Quanto maior a chave, mais resistente

ela será a ataques de força bruta;
 não utilize chaves secretas óbvias;
 certifique-se de não estar sendo observado ao digitar suas chaves e senhas
de proteção;
 utilize canais de comunicação seguros quando compartilhar chaves secretas;
 armazene suas chaves privadas com algum mecanismo de proteção, como por
exemplo senha, para evitar que outra pessoa faça uso indevido delas;
 preserve suas chaves. Procure fazer backups e mantenha-os em local seguro
(se você perder uma chave secreta ou privada, não poderá decifrar as
mensagens que dependiam de tais chaves);
 tenha muito cuidado ao armazenar e utilizar suas chaves em computadores
potencialmente infectados ou comprometidos, como em LAN houses,
cybercafés, stands de eventos, etc.;
 se suspeitar que outra pessoa teve acesso à sua chave privada (por exemplo,
porque perdeu o dispositivo em que ela estava armazenada ou porque alguém
acessou indevidamente o computador onde ela estava guardada), solicite
imediatamente a revogação do certificado junto à AC que o emitiu.
Seja cuidadoso ao aceitar um certificado digital (CERT.BR, 2013):
 mantenha seu sistema operacional e navegadores Web atualizados (além disto

contribuir para a segurança geral do seu computador, também serve para
manter as cadeias de certificados sempre atualizadas);
 mantenha seu computador com a data correta. Além de outros benefícios, isto
impede que certificados válidos sejam considerados não confiáveis e, de forma
contrária, que certificados não confiáveis sejam considerados válidos;
 ao acessar um site Web, observe os símbolos indicativos de conexão segura e
leia com atenção eventuais alertas exibidos pelo navegador;
 caso o navegador não reconheça o certificado como confiável, apenas prossiga
com a navegação se tiver certeza da idoneidade da instituição e da integridade
do certificado, pois, do contrário, poderá estar aceitando um certificado falso,
criado especificamente para cometer fraudes.

Figura. Interface do Avast! Free Antivírus
Figura. Interface do Avast para Android

Veja mais http://www.techtudo.com.br/noticias/noticia/2015/03/avast-ou-avg-
veja-qual-e-o-antivirus-mais-completo-para-android.html
Avira
Exemplos de edições:
 Avira Free Antivírus,
 Avira Antivírus Security, etc.

Figura. Tela do Avira Free Antivirus
Figura. Avira para celular Android

Veja mais: http://www.techtudo.com.br/dicas-e-tutoriais/noticia/2015/03/veja-
5-dicas-para-usar-e-configurar-o-antivirus-avira-no-seu-computador.html
Panda
Exemplos de edições:
 Panda Cloud Antivírus,
 Panda Free Antivírus, etc.

Figura. Tela do antivírus Panda
Figura. Panda Cloud Antivírus => Usa a "nuvem de Internet" como

recurso para proteger o computador do usuário.
Bitdefender
Exemplo: Bitdefender Antivírus, etc.

Figura. Interface do Bitdefender Antivírus.
Kaspersky
Exemplo de edições:
 Kaspersky Anti-Virus,
 Kaspersky Security for Android, etc.
Figura. Interface do Kaspersky Antivírus.
Veja mais:
http://brazil.kaspersky.com/
http://www.baixaki.com.br/download/kaspersky-anti-virus.htm
Outros
A lista de aplicativos comerciais não se esgota aqui. Outras opções: TrendMicro
Antivírus, F-Secure Antivírus, McAfee Antivírus, etc.

Figura.DMZ
Autenticação
Em segurança da informação, a autenticação é um
processo que busca verificar a identidade digital do
usuário de um sistema no momento em que ele
requisita um log in (acesso) em um programa ou
computador.
Considerações sobre as ferramentas de autenticação
 Senhas:
Senhas são utilizadas no processo de verificação da identidade do usuário
(log in), assegurando que este é realmente quem diz ser. Geralmente,
quando o usuário é cadastrado, a senha é criptografada antes de ser armazenada
(não recomendado pois permite acesso à senha, caso haja quebra do sistema
utilizado) ou se armazena o hash da senha (opção recomendada, pois impede o
acesso a senha que gerou o hash).
Para garantir uma boa segurança às senhas utilizadas, são definidas
algumas regras básicas:
 jamais utilizar palavras que façam parte de dicionários, nem utilizar
informações pessoais sobre o usuário (data de nascimento, parte do nome,
etc.);
 uma boa senha deve ter pelo menos oito caracteres, de preferência com
letras, números e símbolos;
 a senha deve ser simples de digitar e fácil de lembrar;
 usar uma senha diferente para cada sistema utilizado;
 tentar misturar letras maiúsculas, minúsculas, números e sinais de
pontuação;
 trocar as senhas a cada dois ou três meses, e sempre que houver
desconfiança de que alguém descobriu a senha.
No trabalho, deve haver outros cuidados para a proteção do sigilo da

senha, como:
 se certificar de não estar sendo observado ao digitar a sua senha;

 não fornecer sua senha para qualquer pessoa, em hipótese alguma;

 não utilize computadores de terceiros (por exemplo, em LAN houses,
cybercafés, etc.) em operações que necessitem utilizar suas senhas;
 certificar-se de que seu provedor disponibiliza serviços criptografados,
principalmente para aqueles que envolvam o fornecimento de uma senha.
No caso do usuário Administrador (ou root), devem ser tomados alguns

cuidados especiais, uma vez que ele detém todos os privilégios em um
computador:
 utilizar o usuário Administrador apenas quando for necessário, ou seja para
realizar comandos que os usuários comuns não sejam capazes de fazer;
 elaborar uma senha para o usuário Administrator, com uma segurança
maior que a exigida pelo usuário comum;
 criar tantos usuários com privilégios normais, quantas forem as pessoas
que utilizam seu computador, para substituir o uso do usuário Administrator
em tarefas rotineiras.
 One-time passwords:
One-time passwords são senhas de uso único. A senha a ser utilizada pode
ser definida de acordo com o horário ou a quantidade
de acessos, de forma que não seja possível a
reutilização de uma senha. Esse sistema garante
maior segurança, e é usado em sistemas de alta
criticidade, como transações bancárias. Entretanto, o
problema desse sistema é a dificuldade de
administração, uma vez que é preciso o uso de ferramentas adicionais para
guardar as senhas, como, por exemplo, tokens de segurança usados por bancos
(Token OTP).
 Smart Cards:
Smart Cards são cartões que possuem um microchip embutido para o
armazenamento e processamento de informações. O acesso às
informações, geralmente, é feito por meio de uma senha (Código PIN) e há um
número limitado de tentavas de acesso sem sucesso. Caso estoure esse limite, o
cartão é bloqueado, e só é reativado por meio de um outro código (Código PUK),
que também tem um número limitado de
tentativas de acesso. Caso estoure esse outro
limite, o cartão é inutilizado.
Fonte:
http://br.bing.com/images/search?q=%e2%80%a2%09Smart+Cards&FORM=H

DRSC2#view=detail&id=6178033F6B024D4A8F5A90FE6E3FC86F696D9BFD&sel
ectedIndex=4
 Token USB:
O token USB é um dispositivo alternativo ao uso do
Smart Card, para armazenamento de um par de
chaves públicas. Eles armazenam as chaves privadas e os
certificados digitais de um usuário de uma ICP, e possuem
suporte para vários algoritmos de criptografia como o RSA,
DES e 3DES. Esses tokens implementam funções básicas de
criptografia com objetivo de impedir o acesso direto à chave
privada de um usuário.
Modos de Autenticação
A autenticação, em regra, depende de um ou mais modos ou fatores de

autenticação, listados a seguir:
Algo que o usuário Geralmente são usados meios biométricos, como
É impressão digital, padrão retinal, padrão de voz,
reconhecimento de assinatura, reconhecimento facial.
Algo que o usuário São utilizados objetos específicos como cartões de
TEM identificação, smart cards, tokens USB.
Algo que o usuário São utilizadas senhas fixas, one-time passwords,
CONHECE sistemas de desafio-resposta.
ONDE o usuário Quando o acesso a sistemas só pode ser realizado em
ESTÁ uma máquina específica, cujo acesso é restrito.
Autenticação Forte
Autenticação forte consiste na autenticação por mais de um modo, ou seja, da

combinação de mais de uma maneira de autenticação. Um exemplo disso
são as transações de saque num caixa rápido. Em regra, se utiliza:
 algo que você tem: um cartão da conta bancária; e
 algo que você sabe: a senha do cartão.
Processos do Controle de Acesso
Na segurança da informação, os processos ou serviços que compõem o controle

do acesso dos usuários são:
 Identificação e Autenticação: A identificação e autenticação fazem parte

de um processo de dois passos que determina quem pode acessar

determinado sistema. Na identificação, o usuário diz ao sistema quem ele

é (normalmente por meio do login). Na autenticação, a identidade é
verificada através de uma credencial (uma senha) fornecida pelo usuário.
 Autorização: Após o usuário ser autenticado, o processo de autorização

determina o que ele pode fazer no sistema.
 Auditoria (Accounting): faz a coleta da informação relacionada à

utilização, pelos usuários, dos recursos de um sistema. Esta informação
pode ser utilizada para gerenciamento, planejamento, cobrança,
responsabilização do usuário, etc.
Protocolos de Autenticação
Para a autenticação de usuários por meio de conexões via Internet, foram

desenvolvidos diversos protocolos que permitem a sua realização de maneira
segura, de forma a:
 impedir a captura da chave secreta por meio de uma escuta de rede
(eavesdropping);
 evitar ataques de reprodução (replay attack), ou seja, aqueles em que
um atacante repete uma mensagem anterior de um usuário, fazendo se
passar por ele. Os protocolos de autenticação mais comuns são o Kerberos
e o RADIUS.

Mapa Mental sobre Malware. Fonte: Quintão (2015).

Assim, terminamos a parte teórica da nossa aula. Vamos praticar agora!
Aproveitem!

Item A. Item Errado. (.doc) é uma extensão utilizada para documentos do editor
de texto Microsoft Word. A partir da versão do Word 2007, o padrão de extensão
é (.docx).
Item B. Item errado. (.xml), do inglês eXtensible Markup Language, é uma

extensão de arquivo criado com linguagem XML, que pode ser utilizada para
compartilhar informações entre diferentes computadores e aplicações.
Item C. Item errado. (.mso) é um arquivo do programa Microsoft FrontPage.
Item D. Item errado. (.ppt) indica arquivo de apresentação de slides do

PowerPoint. A partir da versão do Powerpoint 2007, o padrão de extensão é
(.pptx).
Item E. Item correto. (.xlsx) indica planilha do Microsoft Excel 2007 e superiores.
Gabarito: letra E.
3- (FGV/2015/TCE-SE/Médico) Considere as seguintes escolhas que Maria

fez para sua senha pessoal:
+ + TeleFoNe + +
10121978
Segredo # $ & %
Telefone = Mudo
= SeGREdo !
Dessas senhas, a mais fraca é a:

a) primeira;
b) segunda;
c) terceira;
d) quarta;
e) quinta.
Comentários



são: qualquer tipo de dado pessoal (jamais utilizar como senha seu nome
de usuário, nome verdadeiro, nome de sua empresa, sobrenomes, números
de documentos, placas de carros, números de telefones, datas que possam
ser relacionadas com você como a sua data de nascimento, etc.); sequências
de teclado; palavras que façam parte de listas, caracteres repetidos.
Mais dicas:
o crie uma senha que contenha pelo menos oito caracteres,
compostos de letras, números e símbolos.
o utilize uma senha diferente para cada serviço (por exemplo, uma
senha para o banco, outra para acesso à rede corporativa da sua
empresa, outra para acesso a seu provedor de Internet etc.);
 A combinação de letras maiúsculas e minúsculas, números e símbolos como,
por exemplo, !, #, * é bem-vinda!
Das senhas listadas a mais fraca é a segunda, pois indica uma data de
aniversário, fácil de ser obtida!
Gabarito: letra B.
4- (FGV/2015/Câmara Municipal de Caruaru - PE/Técnico Legislativo)

No que diz respeito à segurança da informação, o firewall é
a) um aplicativo que tem por objetivo melhorar o desempenho da CPU de um

microcomputador.
b) um recurso que busca impedir o acesso indesejado de hackers às redes de

computadores.

c) um programa antivírus que visa a proteger os microcomputadores de pragas

virtuais.
d) uma técnica de autenticação empregada no acesso dos usuários às redes de

computadores.
e) um vírus cibernético que atua na coleta de senhas de internautas que acessam

sites de bancos.
Comentários
De acordo com o glossário do ICP-Brasil, firewall é um conjunto formado por

hardware, software e uma política de acesso instalado entre redes,
com o propósito de segurança. Trata-se de um recurso que tem como
função controlar o tráfego entre duas ou mais redes, com necessidades
de segurança distintas, prevenir ou reduzir ataques ou invasões às bases
de dados corporativas, a uma (ou algumas) das redes, que normalmente
têm informações e recursos que não devem estar disponíveis
aos usuários da(s) outra(s) rede(s).
Por fim, cabe destacar que o firewall ajuda a impedir o acesso indesejado de
hackers ou programas mal-intencionados ao seu computador pela Internet ou por
uma rede e a letra B é a resposta da questão!
Você Sabia! Qual a diferença entre Crackers e Hackers?
Um é do bem e o outro do mal?
 O termo hacker ganhou, junto à opinião pública influenciada pelos meios de

comunicação, uma conotação negativa, que nem sempre corresponde à
realidade!
 Os hackers, por sua definição geral, são aqueles que utilizam seus
conhecimentos para invadir sistemas, não com o intuito de causar danos às
vítimas, mas sim como um desafio às suas habilidades. Eles invadem os
sistemas, capturam ou modificam arquivos para provar sua capacidade e
depois compartilham suas proezas com os colegas. Não têm a intenção de
prejudicar, mas sim de apenas demonstrar que conhecimento é poder.
Exímios programadores e conhecedores dos segredos que envolvem as redes

e os computadores, eles geralmente não gostam de ser confundidos com
crackers.

 Os crackers são elementos que invadem sistemas para roubar informações e

causar danos às vítimas. O termo crackers também é uma denominação
utilizada para aqueles que decifram códigos e destroem proteções de software.
 Atualmente, a imprensa mundial atribui qualquer incidente de segurança a

hackers, em seu sentido genérico. A banca, nessa questão, também
considerou o termo dessa forma. A palavra cracker não é vista nas
reportagens, a não ser como cracker de senhas, que é um software utilizado
para descobrir senhas ou decifrar mensagens cifradas.
Gabarito: letra B.
5- (FGV/2015/Câmara Municipal de Caruaru - PE/Técnico Legislativo) O

termo backup refere-se à geração de cópias de segurança, com a finalidade
de garantir a integridade dos dados armazenados em discos rígidos. Em caso
de pane, um disco rígido pode ser substituído por outro e mediante o uso dos
dispositivos utilizados no backup, os dados podem ser recuperados para a
situação original.
Por suas características, além do HD, dois outros dispositivos de entrada e

saída de dados podem ser utilizados nessa tarefa. Assinale a opção que os
indica.
a) DVD-RW e pendrive.
b) Pendrive e scanner.
c) Scanner e BLU-RAY.
d) BLU-RAY e plotter.
e) Plotter e DVD-RW.
Comentários
Utilizaremos as memórias secundárias (uma memória do tipo permanente que

não se apaga quando o computador está desligado, ou seja, é não-volátil), que
tem uma alta capacidade de armazenamento, e um custo muito mais baixo que
o da memória principal. Incluem-se, nesta categoria, por exemplo, os
discos rígidos, DVDs, Pendrives, Blu-Rays etc.
Vamos aos demais itens dessa questão:

Plotter ou  É uma impressora especializada

Lutter para desenho vectorial.
 Destina-se a imprimir desenhos
em grandes dimensões, com
elevada qualidade, como, por
exemplo, plantas
arquitetônicas, etc.
Scanner  Equipamento responsável por digitalizar imagens,
fotos e textos impressos para o computador.
Assim, conforme visto a seguir, a letra A é a resposta da questão!
Gabarito: letra A.
6- (FGV/2013/MPE-MS/ANALISTA (INFORMÁTICA)) Em relação à

Segurança na Internet, assinale a afirmativa correta.
(A) Envio de SPAM não é considerado incidente de segurança pelo Cert.br
(B) Para preservar a privacidade dos atacados, CSIRTs não disponibilizam
estatísticas dos incidentes tratados.
(C) Ataques de phishing não podem ser detectados via honeypots.
(D) Se as senhas forem mudadas frequentemente pelo usuário, o tamanho
delas passa a ser irrelevante em termos de segurança.
(E) Os incidentes de segurança nas redes brasileiras devem ser reportados
ao Cert.br, que é mantido pelo NIC.br.

Comentários
Item A. Item errado. Cert.br (Centro de Estudos, Resposta e Tratamento de
Incidentes de Segurança no Brasil) destaca um incidente de segurança como
qualquer evento adverso, confirmado ou sob suspeita, relacionado a
segurança de sistemas de computação ou de redes de computadores.
Exemplos de incidentes: tentativa de uso ou acesso não autorizado a sistemas
ou dados, tentativa de tornar serviços indisponíveis, desrespeito à política de
segurança (envio de spam, etc.).
Item B. Item errado, já que o Cert.br mantém estatísticas sobre notificações de
incidentes a ele reportados. Cabe destacar que essas notificações são voluntárias
e refletem os incidentes ocorridos em redes que espontaneamente os notificaram
ao Cert.br. Vide exemplo de uma dessas estatísticas a seguir:
Fonte: http://www.cert.br/stats/incidentes/
Item C. Item errado. Um honeypot é um recurso computacional de
segurança, devidamente monitorado, que é dedicado a ser sondado,
atacado ou comprometido e pode ser usado para o estudo de spam,
ataque de phishing, dentre outros.
Item D. Item errado. O tamanho da senha sempre é muito importante!! Quanto
mais longa for a senha mais difícil será para a sua descoberta.
Item E. Item correto. Os incidentes de segurança nas redes brasileiras devem ser
reportados ao Centro de Estudos, Resposta e Tratamento de Incidentes de
Segurança no Brasil (Cert.br), mantido pelo Núcleo de Informação e Coordenação
do Ponto BR (NIC.br).
Gabarito: letra E.

7- (FUNCAB/2012/MPE-RO/Técnico - Oficial de Diligências) Para criar

uma senha forte no seu aplicativo de correio eletrônico, algumas
recomendações devem ser adotadas na composição da senha, EXCETO:
a) utilizar pelo menos oito caracteres.
b) não usar seu nome de usuário, nome verdadeiro ou o nome da sua

empresa.
c) não usar palavras completas.
d) usar uma senha muito diferente das senhas anteriores e não usar a
mesma senha para todas as suas contas.
e) evitar combinação de letras maiúsculas e minúsculas, números e símbolos

como, por exemplo, !, #, *.
Comentários
são: qualquer tipo de dado pessoal (jamais utilizar como senha seu nome
de usuário, nome verdadeiro, nome de sua empresa, sobrenomes, números
de documentos, placas de carros, números de telefones, datas que possam
ser relacionadas com você, etc.); sequências de teclado; palavras que
façam parte de listas.
Mais dicas:
o crie uma senha que contenha pelo menos oito caracteres,
compostos de letras, números e símbolos.
o utilize uma senha diferente para cada serviço (por exemplo, uma
senha para o banco, outra para acesso à rede corporativa da sua
empresa, outra para acesso a seu provedor de Internet etc.);


 A combinação de letras maiúsculas e minúsculas, números e símbolos como,
por exemplo, !, #, * é bem-vinda!
Gabarito: letra E.
8- (ACAFE/2009/MPE-SC/Analista do Ministério Público) Com relação ao

acesso a Redes de Computadores e Conceitos de Proteção e Segurança,
todas as alternativas estão corretas, exceto a:
a) Para acessar um site na World Wide Web o usuário deve preencher o campo
Endereço de seu navegador com a URL (Uniform Resource Locator) desejada,
por exemplo, http://www.google.com.br
b) O acesso a sites que exigem que os dados trafeguem de modo seguro faz
uso do protocolo FTP (File Transfer Protocol), que possui recursos nativos de
criptografia.
c) Os navegadores possuem recursos para aumentar ou diminuir a segurança

no acesso a sites. Um exemplo é o bloqueio de cookies, que são pequenos
arquivos utilizados pelos sites para armazenar informações sobre o usuário e
sua navegação.
d) A Internet, rede de alcance mundial, pode ser considerada um ambiente

hostil, no qual pessoas mal intencionadas em vários lugares do mundo podem
virtualmente realizar tentativas de invasão para obtenção de informações ou
parada de serviços específicos.
e) Para ajudar a proteger sua conta de acesso à rede é importante que o

usuário faça a troca de sua senha periodicamente.
Comentários
Item a. Item correto. URL (Uniform Resource Locator) é o endereço da página
(como http://www.google.com.br), que permite aos computadores encontrarem
o que o usuário busca, de maneira uniforme. Para acessar um site na World Wide
Web o usuário deve preencher o campo Endereço de seu navegador com a URL
desejada. Em alguns casos, um hacker pode enviar uma mensagem com menção
a uma URL, que aponta para algum link inadequado. Ao clicar nesse link, o
usuário será encaminhado para uma página diferente da que ele realmente
esperava, e nem sempre o usuário irá observar essa modificação no endereço da
URL. Portanto, toda atenção é primordial para que você não seja a próxima vítima
dos golpes da Internet.

Item b. Item errado. O acesso a sites que exigem que os dados trafeguem de
modo seguro faz uso do protocolo HTTPS (HTTP seguro), que possui recursos
nativos de criptografia. O HTTPS é usado para realizar o acesso a sites (como de
bancos on-line e de compras) com transferência criptografada de dados.
Item c. Item correto. Os navegadores possuem recursos que permitem aumentar

ou diminuir a segurança no acesso a sites. Um deles é o bloqueio de cookies, que
são pequenos arquivos que são instalados em seu computador durante a
navegação, permitindo que os sites (servidores) obtenham
determinadas informações. É isto que permite que alguns sites o
cumprimentem pelo nome, saibam quantas vezes você o visitou, etc.
Item d. Item correto. Todo cuidado é pouco, quando se utiliza a Internet, que
pode ser considerada um ambiente hostil, no qual pessoas mal intencionadas de
qualquer parte do mundo podem virtualmente realizar tentativas de invasão para
obtenção de informações ou paralização de serviços específicos das organizações.
Item e. Item correto. Para ajudar a proteger sua conta de acesso à rede é
importante que o usuário faça a troca de sua senha periodicamente. Uma senha
boa, bem elaborada, é aquela que é difícil de ser descoberta (forte) e
fácil de ser lembrada. Não convém que você crie uma senha forte se,
quando for usá-la, não conseguir
Gabarito: letra B.
9- (FGV/2008/SEFAZ-RJ/Fiscal de Rendas) Analise os casos descritos a

seguir, referentes a fraudes envolvendo o comércio eletrônico e Internet
Banking.
I. O usuário recebe um e-mail de um suposto funcionário da instituição que
mantém o site de comércio eletrônico ou de um banco, que persuade o usuário
a fornecer informações sensíveis, como senhas de acesso ou número de
cartões de crédito.
II. Um hacker compromete o DNS do provedor do usuário, de modo que todos
os acessos a um site de comércio eletrônico ou Internet Banking são
redirecionados para uma página Web falsificada, semelhante ao site
verdadeiro, com o objetivo de o atacante monitorar todas as ações do usuário,
como a digitação de sua senha bancária. Nesta situação, normalmente o
usuário deve aceitar um novo certificado (que não corresponde ao site
verdadeiro), e o endereço mostrado no browser do usuário é diferente do
endereço correspondente ao site verdadeiro.
III. O usuário recebe um e-mail, cujo remetente é o gerente do seu banco e
que contém uma mensagem que solicita a execução pelo usuário de um
programa anexo ao e-mail recebido, a título de obter acesso mais rápido às
informações mais detalhadas em sua conta bancária.

IV. O usuário utiliza computadores de terceiros para acessar sites de comércio

eletrônico ou de Internet Banking, possibilitando o monitoramento de suas
ações, incluindo a digitação de senhas ou número de cartões de crédito, por
meio de programas especificamente projetados para esse fim.
Constituem exemplos de fraudes resultantes de Engenharia Social os casos

identificados em:
(A) I e II.
(B) I e III.
(C) II e III.
(D) II e IV.
(E) III e IV.
Comentários
Engenharia Social é uma técnica em que o atacante (se fazendo passar por
outra pessoa) utiliza-se de meios, como uma ligação telefônica ou e-mail, para
PERSUADIR o usuário a fornecer informações ou realizar determinadas ações.
Exemplo: algum desconhecido liga para a sua casa e diz ser do suporte técnico
do seu provedor de acesso. Nesta ligação ele informa que sua conexão com a
Internet está apresentando algum problema e, então, solicita sua senha para
corrigi-lo. Caso a senha seja fornecida por você, este “suposto técnico” poderá
realizar uma infinidade de atividades maliciosas com a sua conta de acesso à
Internet e, portanto, relacionando tais atividades ao seu nome.
Vamos à resolução da questão:
Item I. A descrição envolve o uso da engenharia social, já que alguém (via

e-mail neste caso, poderia ser por telefone!) faz uso da persuasão, da
ingenuidade ou confiança do usuário, para obter informações como número do
cartão de crédito e senha do usuário. O item I é VERDADEIRO.
Item II. Nesse caso, como não houve contato entre o hacker e a vítima, o golpe
não pode ser configurado como engenharia social. O golpe em destaque é
intitulado Pharming (também conhecido como DNS Poisoining -
“envenamento de DNS”). O item II é FALSO.
É isso mesmo pessoal!! Muita atenção neste tipo de golpe! O enunciado do item
II o descreve claramente, e gostaria de complementar ....

O Pharming é um tipo de golpe bem mais elaborado que o Phishing, pois envolve
algum tipo de redirecionamento da vítima para sites fraudulentos, através de
alterações nos serviços de resolução de nomes (DNS).
Lembre-se de que no Pharming o servidor DNS do provedor do usuário

é comprometido, de modo que todos os acessos a um site de comércio
eletrônico ou Internet Banking são redirecionados para uma página Web
falsificada, semelhante ao site verdadeiro, com o objetivo de o atacante
monitorar todas as ações do usuário, como a digitação de sua senha bancária.
Exemplo: pode envolver alteração, no servidor DNS, do endereço IP associado ao

endereço www.bradesco.com.br para que aponte para um site réplica do banco
Bradesco.
Item III. Novamente, o usuário recebe uma mensagem do suposto gerente do
banco, induzindo-o a executar um programa qualquer. O item III é
VERDADEIRO.
Item IV. Não há engenharia social neste caso. O item IV é FALSO.

Gabarito: letra B.
10- (FCC/TRT - 16ª REGIÃO (MA/Técnico Judiciário – Tecnologia da

Informação/2014) Os certificados usados para confirmação da identidade
na web, correio eletrônico, transações online, redes privadas virtuais,
transações eletrônicas, informações eletrônicas, cifração de chaves de sessão
e assinatura de documentos com verificação da integridade de suas
informações, são os Certificados de Assinatura Digital
a) A1, A2, A3 e A4.
b) SHA-0, SHA-1, SHA-256 e SHA-512.
c) B1, B2, B3, B4 e B5.
d) S1, S2, S3 e S4.
e) SHA-32, SHA-64, SHA-128 e SHA-256.
Comentários
A ICP-Brasil definiu os tipos de certificados válidos. Foram definidos 8 tipos
diferentes, divididos entre:
 Certificados de assinatura (só assina): A1, A2, A3 e A4;
 Certificados de sigilo (assina e criptografa): S1, S2, S3 e S4.
Quanto maior o número do certificado, maior o nível de segurança de seu
par de chaves.

Vejas as características que tornam as versões de ambas as categorias diferentes

entre si (Infowester, em http://www.infowester.com/assincertdigital.php):
 A1 e S1: geração das chaves é feita por software; chaves de tamanho
mínimo de 1024 bits; armazenamento em dispositivo de armazenamento
(como um HD); validade máxima de um ano;
 A2 e S2: geração das chaves é feita por software; chaves de tamanho
mínimo de 1024 bits; armazenamento em cartão inteligente (com chip) ou
token (dispositivo semelhante a um pendrive); validade máxima de dois
anos;
 A3 e S3: geração das chaves é feita por hardware; chaves de tamanho
mínimo de 1024 bits; armazenamento em cartão inteligente ou token;
validade máxima de três anos;
 A4 e S4: geração das chaves é feita por hardware; chaves de tamanho
mínimo de 2048 bits; armazenamento em cartão inteligente ou token;
validade máxima de três anos.
Os certificados A1 e A3 são os mais utilizados, sendo que o primeiro é
geralmente armazenado no computador do solicitante, enquanto que o segundo
é guardado em cartões inteligentes (smartcards) ou tokens protegidos por senha.
Gabarito: letra A.
11- (FGV/2007/Fiscal de Rendas/ICMS-RJ) As afirmativas a seguir

apresentam vulnerabilidades relacionadas ao uso de sistemas de informação,
à exceção de uma. Assinale-a.
(A) acesso não-autorizado a banco de dados
(B) instalação não-autorizada de softwares
(C) falhas de firewall que protegem as redes
(D) destruição autorizada de hardware e dados
(E) ataques vindos do ambiente externo
Comentários
Uma vulnerabilidade é uma fragilidade (falha) que, ao ser explorada
permite uma ação indesejada no ambiente computacional, quer seja um
sistema operacional, um aplicativo ou uma rede de uma empresa.
Dentre as alternativas da questão, somente a letra D não é considerada uma
vulnerabilidade, já que a destruição do hardware e dos dados foi autorizada pelos
gestores responsáveis pelo equipamento. Isso ocorre por exemplo quando se
permite destruir um equipamento obsoleto.

O acesso não autorizado a banco de dados consiste numa vulnerabilidade, pois

abre possibilidade para pessoas não autorizadas danificarem o banco ou
utilizarem os dados que ali estão para fins indevidos.
A vulnerabilidade de uma falha no firewall consiste na abertura de possibilidade
de prejuízos diversos à rede e recursos de informação, como, por exemplo, a falta
de proteção da rede para entrada de vírus.
A instalação não autorizada de softwares pode comprometer a configuração de
sistemas, a execução de outros softwares e pode possibilitar a instalação de
softwares sem licenças.
Por fim, ataques vindos do ambiente externo são uma forma de vulnerabilidade
que qualquer sistema possui, pois qualquer sistema, por mais seguro que seja,
não é 100% seguro. Ataques maliciosos de pessoas de fora podem sempre
acontecer e constituem uma vulnerabilidade para os sistemas.
Gabarito: letra D.
12- (FGV/2009/MEC/Gerente de Segurança) Com relação à Gestão da

Segurança da Informação, dois itens podem ser visualizados na janela do
browser, o que significa que as informações transmitidas entre o browser e o
site visitado estão sendo criptografadas e são visualizados por uma sigla no
endereço do site e pela existência de um cadeado, que apresenta uma
determinada característica.
A sigla e a característica são:
(A) https://, e “cadeado aberto” na barra de status, na parte inferior da janela
do browser
(B) https://, e “cadeado fechado” na barra de status, na parte inferior da
janela do browser.
(C) wwws://, e “cadeado fechado” na barra de status, na parte superior da
janela do browser.
(D) http://, e “cadeado fechado” na barra de segurança, na parte superior da
janela do browser.
(E) wwws//, e “cadeado aberto” na barra de segurança, na parte superior da
janela do browser.
Comentários
Existem pelo menos dois itens que podem ser visualizados na janela do seu
browser, e que significam que as informações transmitidas entre o browser e o
site visitado estão sendo criptografadas:
1. O primeiro pode ser visualizado no local em que o endereço do site é
digitado. O endereço deve começar com https:// (diferente do http:// nas

conexões normais), onde o s antes do sinal de dois-pontos indica que o

endereço em questão é de um site com conexão segura e, portanto, os
dados serão criptografados antes de serem enviados. A Figura 1 apresenta
o primeiro item, indicando uma conexão segura, observado nos browsers
Firefox e Internet Explorer, respectivamente.
Figura 1. https - identificando site com conexão segura (CERTBR, 2006)

Alguns browsers podem incluir outros sinais na barra de digitação do
endereço do site, que indicam que a conexão é segura. No Firefox, por
exemplo, o local em que o endereço do site é digitado muda de cor, ficando
amarelo, e apresenta um cadeado fechado do lado direito.
2. O segundo item a ser visualizado corresponde a algum desenho ou sinal,
indicando que a conexão é segura. Normalmente, o desenho mais adotado
nos browsers recentes é de um "cadeado fechado", apresentado na barra
de status, na parte inferior da janela do browser (se o cadeado estiver
aberto, a conexão não é segura).
A Figura 2 apresenta desenhos dos cadeados fechados, indicando conexões
seguras, que podem ser observados nas barras de status nos browsers
Firefox e Internet Explorer, respectivamente.
Figura 2. Cadeado identificando site com conexão segura (CERTBR,

2006).
Ao clicar sobre o cadeado, será exibida uma tela que permite verificar as
informações referentes ao certificado emitido para a instituição que mantém o
site, bem como informações sobre o tamanho da chave utilizada para criptografar
os dados.
É muito importante que você verifique se a chave utilizada para criptografar as
informações a serem transmitidas entre seu browser e o site é de no mínimo 128
bits. Chaves menores podem comprometer a segurança dos dados a serem
transmitidos.
Outro fator muito importante é que a verificação das informações do certificado
deve ser feita clicando única e exclusivamente no cadeado exibido na barra status
do browser. Atacantes podem tentar forjar certificados, incluindo o desenho de
um cadeado fechado no conteúdo da página. A figura 3 ilustra esta situação no
browser Firefox.

Figura 3. Cadeado forjado (CERTBR, 2006).

Compare as barras de status do browser Firefox nas Figuras 2 e 3. Observe que
na Figura 3 não é apresentado um cadeado fechado dentro da barra de status,
indicando que a conexão não é segura.
É extremamente importante que o usuário verifique algumas
informações contidas no certificado. Um exemplo de um certificado, emitido
para um site de uma instituição é mostrado a seguir.
O usuário deve, então, verificar se o certificado foi emitido para o site da

instituição que ele deseja acessar. As seguintes informações devem ser
checadas:
 o endereço do site;
 o nome da instituição (dona do certificado);
 o prazo de validade do certificado.
Alguns exemplos típicos do uso de certificados digitais são:
 quando você acessa um site com conexão segura, como por exemplo o
acesso a sua conta bancária pela Internet, é possível checar se o site
apresentado é realmente da instituição que diz ser, através da verificação
de seu certificado digital;
 quando você consulta seu banco pela Internet, este tem que se assegurar
de sua identidade antes de fornecer informações sobre a conta;
 quando você envia um e-mail importante, seu aplicativo de e-mail pode
utilizar seu certificado para assinar "digitalmente" a mensagem, de modo a
assegurar ao destinatário que o e-mail é seu e que não foi adulterado entre
o envio e o recebimento.
Gabarito: letra B.

13- (FGV/2010/SEFAZ-RJ/Fiscal de Rendas) A assinatura digital visa dar

garantia de integridade e autenticidade a arquivos eletrônicos, comprova que
a mensagem ou arquivo não foi alterado e que foi assinado pela entidade ou
pessoa que possui a chave privada e o certificado digital correspondente,
utilizados na assinatura.
A assinatura digital emprega chaves criptográficas definidas como um
conjunto de bits baseado em um determinado algoritmo capaz de cifrar e
decifrar informações que, para isso, utiliza chaves simétricas ou chaves
assimétricas. A esse respeito, analise as afirmativas a seguir.
I. Chaves simétricas são simples e nelas o emissor e o receptor utilizam a
mesma chave para cifrar e decifrar uma informação, acarretando riscos
menores, diminuindo consideravelmente as possibilidades de extravio ou
fraudes. É por esta razão que chaves públicas são utilizadas em assinaturas
digitais.
II. Chaves assimétricas funcionam com duas chaves: a chave privada e a
chave pública. Nesse esquema, uma pessoa ou uma organização deve utilizar
uma chave de codificação e disponibilizá-la a quem for mandar informações a
ela. Essa é a chave pública. Uma outra chave deve ser usada pelo receptor da
informação para o processo de decodificação: é a chave privada, que é sigilosa
e individual. As chaves são geradas de forma conjunta, portanto, uma está
associada à outra.
III. A assinatura digital funciona da seguinte forma: é necessário que o
emissor tenha um documento eletrônico e a chave pública do destinatário. Por
meio de algoritmos apropriados, o documento é então cifrado de acordo com
esta chave pública. O receptor usará então sua chave privada correspondente
para decifrar o documento. Se qualquer bit deste for alterado, a assinatura
será deformada, invalidando o arquivo.
Assinale:
a) se somente a afirmativa I estiver correta.
b) se somente as afirmativas I e II estiverem corretas.
c) se somente as afirmativas I e III estiverem corretas.
d) se somente as afirmativas II e III estiverem corretas.
e) se todas as afirmativas estiverem corretas.
Comentários
O item I está errado porque afirma que os riscos são menores ao se utilizar
chaves simétricas, o que não é verdade. Como existe apenas uma chave, ela
deverá ser conhecida por todos os destinatários, aumentando o risco de extravio
ou fraudes.
Gabarito: letra D.

14- (FGV/SEFAZ-MS/Analista de Tecnologia da Informação/2006) No

que diz respeito à segurança, um programa permite a monitoração e registra
a passagem de dados entre as interfaces de rede instaladas no computador.
Os dados coletados são usados para obtenção de detalhes úteis para solução
de problemas em rede, quando usado com boas intenções pelo administrador
do sistema, ou para ataques ao sistema, quando usado pelo cracker para obter
nomes/senhas e outros detalhes úteis para espionagem. Para sistemas Linux,
os softwares mais conhecidos desse programa são tcpdump e ethereal. Esse
programa é conhecido por:
(A) Hoax.
(B) Strobe.
(C) Sniffer.
(D) NetBus.
(E) Backdoor.
Comentários
Por padrão, os computadores (pertencentes à mesma rede) escutam e
respondem somente pacotes endereçados a eles. Entretanto, é possível utilizar
um software que coloca a interface num estado chamado de modo promíscuo.
Nessa condição o computador pode monitorar e capturar os dados trafegados
através da rede, não importando o seu destino legítimo.
Os programas responsáveis por capturar os pacotes de rede são
chamados de Sniffers, Farejadores ou ainda Capturadores de Pacote. Eles
exploram o fato do tráfego dos pacotes das aplicações TCP/IP não utilizar nenhum
tipo de cifragem nos dados. Dessa maneira um sniffer atua na rede farejando
pacotes na tentativa de encontrar certas informações, como nomes de usuários,
senhas ou qualquer outra informação transmitida que não esteja criptografada.
A dificuldade no uso de um sniffer é que o atacante precisa instalar o programa
em algum ponto estratégico da rede, como entre duas máquinas, (com o tráfego
entre elas passando pela máquina com o farejador) ou em uma rede local com a
interface de rede em modo promíscuo.
Sniffing é:
o processo de captura das informações da rede por meio de um
software de escuta de rede (conhecido como sniffer, farejador ou
ainda capturador de pacote), capaz de interpretar as informações
transmitidas no meio físico.
Gabarito: letra C.

Figura. Isca de Phishing Relacionada ao SERASA

A palavra phishing (de fishing) vem de uma analogia criada pelos
fraudadores, em que “iscas” (e-mails) são usadas para “pescar”
informações sensíveis (senhas e dados financeiros, por exemplo) de
usuários da Internet.
Atualmente, este termo vem sendo utilizado também para se referir aos seguintes
casos:
 mensagem que procura induzir o usuário à instalação de códigos
maliciosos, projetados para furtar dados pessoais e financeiros;
 mensagem que, no próprio conteúdo, apresenta formulários para o
preenchimento e envio de dados pessoais e financeiros de usuários.
Gabarito: item errado.
16- (FUNCAB/PRF/Agente Administrativo - 01 / 2014 ) Alguns termos

relacionados com conceitos básicos de segurança da informação estão
disponibilizados na coluna I. Estabeleça a correta correspondência com os
seus significados, disponibilizados na coluna II.
Coluna I
1. VPN
2. DMZ
3. IDS
4. RoBOT
5. Hijacker
Coluna II
( ) ambiente criado para proteger a rede interna gerando um perímetro de
segurança entre a rede interna e a Internet.
( ) programa que pode ser utilizado para controlar computadores e comandar

ataques de negação de serviço.

Deve-se observar que isso o torna um potencial gargalo para o tráfego de dados
e, caso não seja dimensionado corretamente, poderá causar atrasos e diminuir a
performance da rede.
Os firewalls são implementados, em regra, em dispositivos que fazem a
separação da rede interna e externa, chamados de estações guardiãs (bastion
hosts). Quando o bastion host cai, a conexão entre a rede interna e externa
deixa de funcionar.
As principais funcionalidades oferecidas pelos firewalls são:
 regular o tráfego de dados entre uma rede local e a rede externa não confiável,
por meio da introdução de filtros para pacotes ou aplicações;
 impedir a transmissão e/ou recepção de acessos nocivos ou não autorizados
dentro de uma rede local;
 mecanismo de defesa que restringe o fluxo de dados entre redes, podendo
criar um “log” do tráfego de entrada e saída da rede;
 proteção de sistemas vulneráveis ou críticos, ocultando informações de rede
como nome de sistemas, topologia da rede, identificações dos usuários etc.
Resumindo, o FIREWALL não faz filtragem de malwares! Ele atua no controle de
acesso, controle do tráfego, proteção de portas e filtragem de pacotes.
Gabarito: letra B.
18- (FUNCAB/2014/PM-MT/Soldado da Polícia Militar) Alguns conceitos

relacionados à segurança da informação estão disponibilizados na Coluna I.
Faça a correta correspondência com seus significados dispostos na
Coluna II .
Coluna I
1. Spyware
2. Adware
3. Engenharia Social
4. Backdoor
5. Phishing
Coluna II
( ) Técnica que visa enganar um usuário induzindo-o a clicar em um link que o

levará a uma página clonada ou a um arquivo malicioso.
( ) Software que insere propagandas em outros programas.
( ) Brecha inserida pelo próprio programador de um sistema para uma invasão.
( ) Técnica utilizada para obter informações preciosas com base em uma relação

19- (FCC/MPU/2007/Analista Banco de Dados) No que diz respeito

exclusivamente à segurança das conexões em rede local wireless, pode-se
associar o termo
A. Centrino.
B. WLAN.
C. Hotspot.
D. WPA.
E. IEEE 802.11.
Comentários
Centrino É uma plataforma para computadores
portáteis da Intel que cobre uma combinação particular
de CPU, chipset e placa wireless.
WLAN Wireless LAN, ou LAN sem fio.
Hotspot Local público onde é possível (por meio de pagamento

ou não) acessar a Internet através de uma rede Wi-Fi.
Há hotspots em hotéis, restaurantes, aeroportos,
hospitais, etc.
WPA Protocolo de segurança, que é uma evolução do
WEP.
Nota:
WEP (Wired Equivalent Privacy) foi a primeira
tentativa de se criar um protocolo eficiente de proteção
de redes Wi-Fi.
WPA (Wi-Fi Protected Access) /WEP2: é um WEP
melhorado.
IEEE 802.11 Padrão para redes Lan Sem Fio.
WPA é a melhor escolha para a resposta da questão.

Gabarito: letra D.
20- (FUNCAB/2012/SEAD-PB/Técnico Administrativo) Ao mesmo tempo

que a Internet se tornou um canal on-line para realizar negócios, também

c) Hyperlink. d) Download. e) Upload.
Comentários
Download é o processo de transferir arquivos de um computador remoto (que
pode estar próximo ou do outro lado do mundo) para o computador do usuário,
através da rede. Você deverá informar o local em que os arquivos serão
armazenados no seu computador.
Gabarito: letra D.
22- (IBFC/Câmara Municipal de Franca/Advogado/2012) Estaremos

navegando num site seguro quando aparece no início do nome do site
os caracteres:
a) ftp://
b) http://
c) tcp://
d) https://
Comentários
O HTTPS é um protocolo dotado de segurança, sendo muito utilizado em acesso
remoto a sites de bancos e instituições financeiras. Então, no início do nome de
um site seguro aparecerá https://.
Gabarito: letra D.
23- (FCC/TRE-TO/Analista Judiciário – Judiciária/2011-02) Uma das

formas de proteger o sigilo da informação que trafega na Internet é:
a) não fazer os downloads em notebooks.
b) não responder e-mails que chegam "com cópia oculta".
c) mandar e-mails somente a pessoas da lista pessoal.

d) não usar a opção "com cópia para" do correio eletrônico.
e) a criptografia
Comentários
Ao enviar informações sigilosas via Internet deve-se utilizar de um sistema que
faça a codificação (chave, cifra), de modo que somente as máquinas que
conhecem o código consigam decifrá-lo. É a criptografia, portanto, a medida de

segurança a ser adotada para resguardar o sigilo da informação que trafega pela
Internet.
Gabarito: letra E.
24- (FCC/TRE-RS/Analista Judiciário- Área administrativa/2010) A

WEB permite que cada documento na rede tenha um endereço único,
indicando os nomes dos arquivos, diretório e servidor, bem como o método
pelo qual ele deve ser requisitado. Esse endereço é chamado de: URL.
Comentários
URL (Uniform Resource Locator) é um endereço de um determinado recurso na
Internet. São utilizados pelos navegadores para localizar recursos. Um recurso
pode ser uma página web, uma imagem, um arquivo de áudio etc. Um URL é
formado pelo protocolo de aplicação seguido do nome do domínio e, se for o caso,
de informações de localização do recurso (nome de pastas e arquivos). Como
exemplo de URL, podemos destacar http://www.pontodosconcursos.com.br.
Gabarito: item correto.
25- (FCC/TRT-MS - Técnico Judiciário-TI/2004) O HTTPS é um protocolo

dotado de segurança, sendo muito utilizado em acesso remoto a sites de
bancos e instituições financeiras.
Comentários
O HTTPS (HyperText Transfer Protocol Secure – ou HTTP Seguro) é usado para
realizar o acesso a páginas (como de bancos on-line e de compras) com
transferência criptografada de dados. O HTTPS nada mais é do que a junção dos
protocolos HTTP e SSL (HTTP over SSL). Os protocolos SSL/TLS são protocolos
de segurança, baseados em chave pública, usados pelos servidores e
navegadores da Web para autenticação mútua, integridade das mensagens e
confidencialidade.
Julgue os quatro itens seguintes, a respeito de Internet e intranet.

26- (Elaboração Própria) SafeSearch ajuda a evitar que provedores de
conteúdo de sites da web coletem informações sobre os sites que você visita,
dando-nos a opção de permitir ou bloquear tal conteúdo.
Comentários

Os filtros do SafeSearch do Google permitem alterar as configurações do seu

navegador (browser) a fim de impedir que sites com conteúdos adultos
apareçam em seus resultados de pesquisa.
A Filtragem InPrivate ajuda a evitar que provedores de conteúdo de sites da
web coletem informações sobre os sites que você visita, dando opção de
permitir/bloquear tal conteúdo. (Evita coleta de perfil do usuário!).
27- (Elaboração Própria) A navegação InPrivate impede que o Internet

Explorer armazene dados sobre a sessão de navegação do usuário.
Comentários
A Navegação InPrivate impede que qualquer outra pessoa veja quais páginas
você visitou e o que você procurou na Web. Informações afetadas: Cookies,
Arquivos de Internet Temporários, Histórico, Dados de formulário e senhas, etc.
28- (CESPE/TJ-PB/Juiz Leigo/2013) No que se refere a ferramentas e

aplicativos de busca e pesquisa, julgue o item seguinte. [As ferramentas de
busca possibilitam que se encontrem páginas indexadas, ou não, em qualquer
sítio da Internet, sendo suficiente que a página a ser listada em uma busca
por palavra-chave esteja disponível publicamente].
Comentários
As ferramentas de busca possibilitam que se encontrem páginas já indexadas,

caso contrário elas não irão aparecer na pesquisa. Um bom exemplo disso é a
Deep Web (Deepnet, Web Invisível, Undernet ou Web oculta) que não
aparece no Google.

Referências Bibliográficas
Notas de aula da disciplina Noções de Informática, profa Patrícia Lima
Quintão. 2016.
QUINTÃO, PATRÍCIA LIMA. Informática-FCC-Questões Comentadas e
Organizadas por Assunto, 3ª. Edição. Ed. Gen/Método, 2014.
QUINTÃO, PATRÍCIA LIMA. 1001 Questões Comentadas de Informática -
Cespe, 1ª. Edição. Ed. Gen/Método, 2015.
BARRERE, Eduardo. Notas de Aula, 2011.
Curso Cisco, CCNA Exploration v. 4.0, 2010.
Redes de Computadores, de Andrew S. Tanenbaum, 4ª. edição, 2003.
Redes de Computadores e a Internet, por James F. Kurose e Keith W. Ross,
2010.
Interligação de Redes com TCP/IP, por Douglas E. Comer.
TCP/IP Illustrated – Vol. 1, por W. Richard Stevens.
ALBUQUERQUE, F. TCP/IP – Internet: Protocolos & Tecnologias. 3 ed. Rio
de Janeiro: Axcel Books do Brasil Editora Ltda. 2001.
Blog de Redes. Disponível em: http://www.redesbr.com/
GTA/UFRJ. Disponível em: http://www.gta.ufrj.br/.
PROJETOS DE REDES. Disponível em: http://www.projetoderedes.com.br/.
RNP. Disponível em: http://www.rnp.br/.
TELECO. Disponível em: http://www.teleco.com.br/.
TECMUNDO. Disponível em: http://www.tecmundo.com.br/conexao/1955-o-
que-e-intranet-e-extranet-.htm#ixzz2feq5kTib
www.pontodosconcursos.com.br | Profa. Patrícia Lima Quintão

113
Lista de Questões Apresentadas nesta Aula

1- (FGV/2015/SSP-AM/Assistente Operacional) Na gravação de novos
documentos/planilhas no Windows, os aplicativos MS Word 2010, MS Excel
2010, LibreOffice Calc 4.2 e LibreOffice Writer 4.2 usam como extensões de
arquivo preferenciais, respectivamente:
a) docx xls odt odf
b) docx xml odf pdf
c) docx xlsx ods odt
d) doc xls pdf odx
e) doc xls doc odt
2- (FUNIVERSA/2013/MinC/Técnico em Contabilidade) O Microsoft Office

2007 inovou em muitos aspectos se comparado às versões anteriores desse
pacote de aplicativos. Tecnicamente, uma mudança significativa foi o uso de
um novo formato de arquivo, com base no padrão XML. Assinale a alternativa
que apresenta um exemplo de nome e extensão de arquivo gerado, por
padrão, pelo aplicativo Excel, do Microsoft Office 2007/2010/2013.
a) carta.doc b) arquivo.xml c) exemplo.mso
d) nome.ppt e) documento.xlsx
3- (FGV/2015/TCE-SE/Médico) Considere as seguintes escolhas que Maria

fez para sua senha pessoal:
+ + TeleFoNe + +
10121978
Segredo # $ & %
Telefone = Mudo
= SeGREdo !
Dessas senhas, a mais fraca é a:

a) primeira;
b) segunda;
c) terceira;
d) quarta;

114
e) quinta.
4- (FGV/2015/Câmara Municipal de Caruaru - PE/Técnico Legislativo)

No que diz respeito à segurança da informação, o firewall é
a) um aplicativo que tem por objetivo melhorar o desempenho da CPU de um

microcomputador.
b) um recurso que busca impedir o acesso indesejado de hackers às redes de

computadores.
c) um programa antivírus que visa a proteger os microcomputadores de pragas

virtuais.
d) uma técnica de autenticação empregada no acesso dos usuários às redes de

computadores.
e) um vírus cibernético que atua na coleta de senhas de internautas que acessam

sites de bancos.
5- (FGV/2015/Câmara Municipal de Caruaru - PE/Técnico Legislativo) O

termo backup refere-se à geração de cópias de segurança, com a finalidade
de garantir a integridade dos dados armazenados em discos rígidos. Em caso
de pane, um disco rígido pode ser substituído por outro e mediante o uso dos
dispositivos utilizados no backup, os dados podem ser recuperados para a
situação original.
Por suas características, além do HD, dois outros dispositivos de entrada e

saída de dados podem ser utilizados nessa tarefa. Assinale a opção que os
indica.

115
6- (FGV/2013/MPE-MS/ANALISTA (INFORMÁTICA)) Em relação à

Segurança na Internet, assinale a afirmativa correta.
(A) Envio de SPAM não é considerado incidente de segurança pelo Cert.br
(B) Para preservar a privacidade dos atacados, CSIRTs não disponibilizam
estatísticas dos incidentes tratados.
(C) Ataques de phishing não podem ser detectados via honeypots.
(D) Se as senhas forem mudadas frequentemente pelo usuário, o tamanho
delas passa a ser irrelevante em termos de segurança.
(E) Os incidentes de segurança nas redes brasileiras devem ser reportados
ao Cert.br, que é mantido pelo NIC.br.
7- (FUNCAB/2012/MPE-RO/Técnico - Oficial de Diligências) Para criar

uma senha forte no seu aplicativo de correio eletrônico, algumas
recomendações devem ser adotadas na composição da senha, EXCETO:
a) utilizar pelo menos oito caracteres.
b) não usar seu nome de usuário, nome verdadeiro ou o nome da sua

empresa.
c) não usar palavras completas.
d) usar uma senha muito diferente das senhas anteriores e não usar a
mesma senha para todas as suas contas.
e) evitar combinação de letras maiúsculas e minúsculas, números e símbolos

como, por exemplo, !, #, *.
8- (ACAFE/2009/MPE-SC/Analista do Ministério Público) Com relação ao

acesso a Redes de Computadores e Conceitos de Proteção e Segurança,
todas as alternativas estão corretas, exceto a:
a) Para acessar um site na World Wide Web o usuário deve preencher o campo
Endereço de seu navegador com a URL (Uniform Resource Locator) desejada,
por exemplo, http://www.google.com.br
b) O acesso a sites que exigem que os dados trafeguem de modo seguro faz
uso do protocolo FTP (File Transfer Protocol), que possui recursos nativos de
criptografia.

116
c) Os navegadores possuem recursos para aumentar ou diminuir a segurança

no acesso a sites. Um exemplo é o bloqueio de cookies, que são pequenos
arquivos utilizados pelos sites para armazenar informações sobre o usuário e
sua navegação.
d) A Internet, rede de alcance mundial, pode ser considerada um ambiente

hostil, no qual pessoas mal intencionadas em vários lugares do mundo podem
virtualmente realizar tentativas de invasão para obtenção de informações ou
parada de serviços específicos.
e) Para ajudar a proteger sua conta de acesso à rede é importante que o

usuário faça a troca de sua senha periodicamente.
9- (FGV/2008/SEFAZ-RJ/Fiscal de Rendas) Analise os casos descritos a

seguir, referentes a fraudes envolvendo o comércio eletrônico e Internet
Banking.
I. O usuário recebe um e-mail de um suposto funcionário da instituição que
mantém o site de comércio eletrônico ou de um banco, que persuade o usuário
a fornecer informações sensíveis, como senhas de acesso ou número de
cartões de crédito.
II. Um hacker compromete o DNS do provedor do usuário, de modo que todos
os acessos a um site de comércio eletrônico ou Internet Banking são
redirecionados para uma página Web falsificada, semelhante ao site
verdadeiro, com o objetivo de o atacante monitorar todas as ações do usuário,
como a digitação de sua senha bancária. Nesta situação, normalmente o
usuário deve aceitar um novo certificado (que não corresponde ao site
verdadeiro), e o endereço mostrado no browser do usuário é diferente do
endereço correspondente ao site verdadeiro.
III. O usuário recebe um e-mail, cujo remetente é o gerente do seu banco e
que contém uma mensagem que solicita a execução pelo usuário de um
programa anexo ao e-mail recebido, a título de obter acesso mais rápido às
informações mais detalhadas em sua conta bancária.
IV. O usuário utiliza computadores de terceiros para acessar sites de comércio
eletrônico ou de Internet Banking, possibilitando o monitoramento de suas
ações, incluindo a digitação de senhas ou número de cartões de crédito, por
meio de programas especificamente projetados para esse fim.
Constituem exemplos de fraudes resultantes de Engenharia Social os casos

identificados em:
(A) I e II.
(B) I e III.

117
(C) II e III.
(D) II e IV.
(E) III e IV.
10- (FCC/TRT - 16ª REGIÃO (MA/Técnico Judiciário – Tecnologia da

Informação/2014) Os certificados usados para confirmação da identidade
na web, correio eletrônico, transações online, redes privadas virtuais,
transações eletrônicas, informações eletrônicas, cifração de chaves de sessão
e assinatura de documentos com verificação da integridade de suas
informações, são os Certificados de Assinatura Digital
a) A1, A2, A3 e A4.
b) SHA-0, SHA-1, SHA-256 e SHA-512.
c) B1, B2, B3, B4 e B5.
d) S1, S2, S3 e S4.
e) SHA-32, SHA-64, SHA-128 e SHA-256.
11- (FGV/2007/Fiscal de Rendas/ICMS-RJ) As afirmativas a seguir

apresentam vulnerabilidades relacionadas ao uso de sistemas de informação,
à exceção de uma. Assinale-a.
(A) acesso não-autorizado a banco de dados
(B) instalação não-autorizada de softwares
(C) falhas de firewall que protegem as redes
(D) destruição autorizada de hardware e dados
(E) ataques vindos do ambiente externo
12- (FGV/2009/MEC/Gerente de Segurança) Com relação à Gestão da

Segurança da Informação, dois itens podem ser visualizados na janela do
browser, o que significa que as informações transmitidas entre o browser e o
site visitado estão sendo criptografadas e são visualizados por uma sigla no
endereço do site e pela existência de um cadeado, que apresenta uma
determinada característica.
A sigla e a característica são:
(A) https://, e “cadeado aberto” na barra de status, na parte inferior da janela
do browser
(B) https://, e “cadeado fechado” na barra de status, na parte inferior da
janela do browser.

118
(C) wwws://, e “cadeado fechado” na barra de status, na parte superior da

janela do browser.
(D) http://, e “cadeado fechado” na barra de segurança, na parte superior da
janela do browser.
(E) wwws//, e “cadeado aberto” na barra de segurança, na parte superior da
janela do browser.
13- (FGV/2010/SEFAZ-RJ/Fiscal de Rendas) A assinatura digital visa dar

garantia de integridade e autenticidade a arquivos eletrônicos, comprova que
a mensagem ou arquivo não foi alterado e que foi assinado pela entidade ou
pessoa que possui a chave privada e o certificado digital correspondente,
utilizados na assinatura.
A assinatura digital emprega chaves criptográficas definidas como um
conjunto de bits baseado em um determinado algoritmo capaz de cifrar e
decifrar informações que, para isso, utiliza chaves simétricas ou chaves
assimétricas. A esse respeito, analise as afirmativas a seguir.
I. Chaves simétricas são simples e nelas o emissor e o receptor utilizam a
mesma chave para cifrar e decifrar uma informação, acarretando riscos
menores, diminuindo consideravelmente as possibilidades de extravio ou
fraudes. É por esta razão que chaves públicas são utilizadas em assinaturas
digitais.
II. Chaves assimétricas funcionam com duas chaves: a chave privada e a
chave pública. Nesse esquema, uma pessoa ou uma organização deve utilizar
uma chave de codificação e disponibilizá-la a quem for mandar informações a
ela. Essa é a chave pública. Uma outra chave deve ser usada pelo receptor da
informação para o processo de decodificação: é a chave privada, que é sigilosa
e individual. As chaves são geradas de forma conjunta, portanto, uma está
associada à outra.
III. A assinatura digital funciona da seguinte forma: é necessário que o
emissor tenha um documento eletrônico e a chave pública do destinatário. Por
meio de algoritmos apropriados, o documento é então cifrado de acordo com
esta chave pública. O receptor usará então sua chave privada correspondente
para decifrar o documento. Se qualquer bit deste for alterado, a assinatura
será deformada, invalidando o arquivo.
Assinale:
a) se somente a afirmativa I estiver correta.
b) se somente as afirmativas I e II estiverem corretas.
c) se somente as afirmativas I e III estiverem corretas.
d) se somente as afirmativas II e III estiverem corretas.

119
e) se todas as afirmativas estiverem corretas.

14- (FGV/SEFAZ-MS/Analista de Tecnologia da Informação/2006) No
que diz respeito à segurança, um programa permite a monitoração e registra
a passagem de dados entre as interfaces de rede instaladas no computador.
Os dados coletados são usados para obtenção de detalhes úteis para solução
de problemas em rede, quando usado com boas intenções pelo administrador
do sistema, ou para ataques ao sistema, quando usado pelo cracker para obter
nomes/senhas e outros detalhes úteis para espionagem. Para sistemas Linux,
os softwares mais conhecidos desse programa são tcpdump e ethereal. Esse
programa é conhecido por:
(A) Hoax.
(B) Strobe.
(C) Sniffer.
(D) NetBus.
(E) Backdoor.
15- (FUNCAB/PM-RO/Primeiro Tenente/Psiquiatra/ 2014) A Internet é

um sistema global de redes interligadas de computadores que utilizam
protocolos de comunicação para conectar usuários no mundo inteiro.
Julgue a afirmação a seguir. [Os crimes mais usuais na rede incluem o
envio de e-mails com falsos pedidos de atualização de dados bancários e
senhas, conhecidos como DDoS.]
16- (FUNCAB/PRF/Agente Administrativo - 01 / 2014 ) Alguns termos

relacionados com conceitos básicos de segurança da informação estão
disponibilizados na coluna I. Estabeleça a correta correspondência com os
seus significados, disponibilizados na coluna II.
Coluna I
1. VPN
2. DMZ
3. IDS
4. RoBOT
5. Hijacker
Coluna II
( ) ambiente criado para proteger a rede interna gerando um perímetro de
segurança entre a rede interna e a Internet.

120
( ) programa que pode ser utilizado para controlar computadores e comandar

ataques de negação de serviço.
( ) utilização do método de tunelamento que oferece conectividade de rede

em longa distância.
( ) sistema de detecção de intrusos.
( ) programa ou script que contamina os registros de navegadores.
A sequência correta é:
a) 1 3,2 4 e 5.
b) 1 5,2 3 e 4.
c) 2 4,1 3 e 5.
d) 3 5,1 2 e 4.
e) 2 5,1 3 e 4.
17- (FUNCAB/PRF/Agente Administrativo - 01/2014) São

funcionalidades específicas e intrínsecas ao firewall:
a) proteção de portas, eliminação de malwares, controle de tráfego e

filtragem de pacotes.
b) controle de acesso, controle do tráfego, proteção de portas e filtragem de

pacotes.
c) controle do tráfego, proteção de portas, eliminação de malwares e

controle de acesso.
d) eliminação de malwares, controle de acesso, filtragem de pacotes e

controle do tráfego.
e) filtragem de pacotes, proteção de portas, controle de acesso e eliminação

de malwares.

121
18- (FUNCAB/2014/PM-MT/Soldado da Polícia Militar) Alguns conceitos

relacionados à segurança da informação estão disponibilizados na Coluna I.
Faça a correta correspondência com seus significados dispostos na
Coluna II .
Coluna I
1. Spyware
2. Adware
3. Engenharia Social
4. Backdoor
5. Phishing
Coluna II
( ) Técnica que visa enganar um usuário induzindo-o a clicar em um link que o

levará a uma página clonada ou a um arquivo malicioso.
( ) Software que insere propagandas em outros programas.
( ) Brecha inserida pelo próprio programador de um sistema para uma invasão.
( ) Técnica utilizada para obter informações preciosas com base em uma relação
de confiança.
( ) Programa espião.
A sequência correta é:
a) 3, 1, 5, 2, 4.
b) 3, 2, 4, 5, 1.
c) 3, 1, 4, 5, 2.
d) 5,1,4,3,2.
e) 5, 2, 4, 3, 1.
19- (FCC/MPU/2007/Analista Banco de Dados) No que diz respeito

exclusivamente à segurança das conexões em rede local wireless, pode-se
associar o termo
A. Centrino.
B. WLAN.
C. Hotspot.

122
D. WPA.
E. IEEE 802.11.
20- (FUNCAB/2012/SEAD-PB/Técnico Administrativo) Ao mesmo tempo

que a Internet se tornou um canal on-line para realizar negócios, também
viabilizou a propagação de códigos maliciosos, como os listados abaixo,
EXCETO:
a) Vírus. b) Worm. c) Spam. d) Trojan.

e) Spyware.
21- (FUNCAB/2012/SEAD-PB/Técnico Administrativo) O recurso que

permite transferir um arquivo da Internet para um computador ou para um
dispositivo de armazenamento de dados é chamado de:
a) Recuperar fontes. b) Print.
c) Hyperlink. d) Download. e) Upload.
22- (IBFC/Câmara Municipal de Franca/Advogado/2012) Estaremos

navegando num site seguro quando aparece no início do nome do site
os caracteres:
a) ftp://
b) http://
c) tcp://
d) https://
23- (FCC/TRE-TO/Analista Judiciário – Judiciária/2011-02) Uma das

formas de proteger o sigilo da informação que trafega na Internet é:
a) não fazer os downloads em notebooks.
b) não responder e-mails que chegam "com cópia oculta".
c) mandar e-mails somente a pessoas da lista pessoal.
d) não usar a opção "com cópia para" do correio eletrônico.
e) a criptografia

123
24- (FCC/TRE-RS/Analista Judiciário- Área administrativa/2010) A

WEB permite que cada documento na rede tenha um endereço único,
indicando os nomes dos arquivos, diretório e servidor, bem como o método
pelo qual ele deve ser requisitado. Esse endereço é chamado de: URL.
25- (FCC/TRT-MS - Técnico Judiciário-TI/2004) O HTTPS é um protocolo
dotado de segurança, sendo muito utilizado em acesso remoto a sites de
bancos e instituições financeiras.
Julgue os quatro itens seguintes, a respeito de Internet e intranet.

26- (Elaboração Própria) SafeSearch ajuda a evitar que provedores de
conteúdo de sites da web coletem informações sobre os sites que você visita,
dando-nos a opção de permitir ou bloquear tal conteúdo.
27- (Elaboração Própria) A navegação InPrivate impede que o Internet

Explorer armazene dados sobre a sessão de navegação do usuário.
28- (CESPE/TJ-PB/Juiz Leigo/2013) No que se refere a ferramentas e

aplicativos de busca e pesquisa, julgue o item seguinte. [As ferramentas de
busca possibilitam que se encontrem páginas indexadas, ou não, em qualquer
sítio da Internet, sendo suficiente que a página a ser listada em uma busca
por palavra-chave esteja disponível publicamente].
Gabarito
1. Letra E. 13. Letra D.
2. Letra E. 14. Letra C.
3. Letra B. 15. Item errado.
4. Letra B. 16. Letra C.
5. Letra A. 17. Letra B.
6. Letra E. 18. Letra E.
7. Letra E. 19. Letra D.
8. Letra B. 20. Letra C.
9. Letra B. 21. Letra D.
10. Letra A. 22. Letra D.
11. Letra D. 23. Letra E.
12. Letra B. 24. Item correto.

124

05 Informatica PDF

Diunggah oleh

Informasi Dokumen

Judul Asli

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

05 Informatica PDF

Diunggah oleh

Hak Cipta:

Format Tersedia

Noções de Informática em Teoria e Exercícios Comentados

p/ MP/RJ – Foco: FGV e Similares – Turma: 10

www.pontodosconcursos.com.br | Profa. Patrícia Lima Quintão 3

Aplicativos para Segurança .................................................................. 67

www.pontodosconcursos.com.br | Profa. Patrícia Lima Quintão 4

A seguir, destacamos as extensões dos principais tipos de arquivos digitais em

www.pontodosconcursos.com.br | Profa. Patrícia Lima Quintão 5

uma organização e, consequentemente, necessita ser adequadamente

A informação pode existir em diversas formas: pode ser impressa ou escrita em

Soluções pontuais isoladas não resolvem toda a problemática associada à

Segurança se faz protegendo todos os elos da corrente, ou seja, todos

Princípios da Segurança da Informação

Os três princípios considerados centrais ou principais, mais comumente

Figura. Mnemônico CID

www.pontodosconcursos.com.br | Profa. Patrícia Lima Quintão 8

 Confidencialidade (ou sigilo): é a garantia de que a informação não

 Integridade: destaca que a informação deve ser mantida na condição em que

A quebra de integridade pode ser considerada sob dois aspectos:

1. alterações nos elementos que suportam a informação - são feitas

2. alterações do conteúdo dos documentos.

www.pontodosconcursos.com.br | Profa. Patrícia Lima Quintão 9

 Ex1.: Imagine que alguém invada o notebook que está sendo

 Ex2: Alteração de sites por hackers (vide a figura seguinte, retirada

Figura. Website UNICEF, que teve seu conteúdo alterado indevidamente

 Disponibilidade: é a garantia de que a informação deve estar disponível,

acesso disponível às entidades autorizadas

www.pontodosconcursos.com.br | Profa. Patrícia Lima Quintão 10

Outro conceito bastante comum para o termo:

Vulnerabilidade é uma evidência ou fragilidade que eleva o grau de exposição

Ainda, trata-se de falha no projeto, implementação ou configuração de

Outros exemplos de vulnerabilidades:

 ambientes com informações sigilosas com acesso não controlado;

www.pontodosconcursos.com.br | Profa. Patrícia Lima Quintão 13

Certbr (2012) destaca algumas das diversas maneiras como os códigos

 por meio da exploração de vulnerabilidades (falhas de segurança), existentes

 por meio da auto-execução de mídias removíveis infectadas,

 pelo acesso a páginas da Web maliciosas, com a utilização de navegadores

 por meio da ação direta de atacantes que, após invadirem o computador,

 pela execução de arquivos previamente infectados, obtidos em anexos de

São espécies de malware:

www.pontodosconcursos.com.br | Profa. Patrícia Lima Quintão 17

De modo similar ao worm, é um

Adicionalmente ao worm, dispõe de

Segundo CertBr (2012), a comunicação entre o invasor e o computador pelo

Uma rede infectada por bots é denominada de botnet (também

Figura. Botnet (Symantec,2014)

www.pontodosconcursos.com.br | Profa. Patrícia Lima Quintão 23

Quanto mais zumbis (Zombie Computers) participarem da botnet, mais

• coletar informações de um grande número de computadores;

• “clicar” em anúncios e gerar receitas fraudulentas;

• enviar spam em grande escala;

• hospedar sites de phishing;

• iniciar ataques de negação de serviço que impedem o uso de serviços

Botnets fornecem aos criminosos cibernéticos capacidade de processamento e

O esquema simplificado apresentado a seguir destaca o funcionamento básico

• o atacante propaga um tipo específico de bot, com a intenção de infectar

• essas máquinas zumbis ficam então à disposição do atacante, agora seu

• as máquinas zumbis executam então os comandos recebidos, durante o

• quando a ação é encerrada, as máquinas zumbis voltam a ficar à espera

www.pontodosconcursos.com.br | Profa. Patrícia Lima Quintão 24

Figura. Um spam contendo um código malicioso conhecido como Cavalo

Uma das características do Cavalo de Troia (trojan horse) é que ele

O cavalo de troia não é um vírus, pois não se duplica e não se dissemina