Sumário
Arquivos Digitais ................................................................................... 5
Navegação Segura ................................................................................. 6
O que Significa Segurança?.................................................................... 6
Princípios da Segurança da Informação ................................................. 8
Vulnerabilidades de Segurança ............................................................ 13
Ameaças à Segurança .......................................................................... 14
Risco .................................................................................................... 14
Ciclo da Segurança .............................................................................. 15
Noções de Vírus, Worms e outras Pragas virtuais – AMEAÇAS à
Segurança da Informação!!.................................................................. 16
Golpes na Internet ............................................................................... 33
Ataques na Internet............................................................................. 35
Spams .................................................................................................. 39
Cookies ................................................................................................ 40
Códigos Móveis .................................................................................... 40
Janelas de Pop-up................................................................................ 41
Plug-ins, Complementos e Extensões .................................................. 41
Links Patrocinados............................................................................... 41
Banners de Propaganda ....................................................................... 42
Programas de Distribuição de Arquivos (P2P) ..................................... 42
Compartilhamento de Recursos ........................................................... 42
Procedimentos de Segurança ............................................................... 43
Procedimentos de Backup (Cópia de segurança) ................................. 48
Noções sobre Criptografia.................................................................... 54
Hashes Criptográficos .......................................................................... 58
Assinatura Digital ................................................................................ 60
Entendendo os Componentes da Infraestrutura de Chaves Públicas
(ICP) ................................................................................................... 61
Certificado Digital ................................................................................ 62
Certificação Digital .............................................................................. 65
Arquivos Digitais
Os arquivos possuem extensões. Extensões são códigos, normalmente de três
caracteres, “indicativos” do formato do arquivo. São separadas do nome do
arquivo por um ponto (.). A extensão de um arquivo informa a “família”, ou seja,
o tipo de arquivo. Todos os arquivos de um determinado tipo possuem a mesma
extensão. Como exemplo, em LivroPatrícia.doc, temos o nome de arquivo
LivroPatrícia e a extensão é .doc.
Confidencialidade
Integridade
Disponibilidade
A CONFIDENCIALIDADE busca
proteção contra exposição não autorizada.
Acesso somente por pessoas autorizadas.
Exemplo: o número do seu cartão de crédito só poderá ser conhecido por você
e pela loja em que é usado. Se esse número for descoberto por alguém mal
intencionado, o prejuízo causado pela perda de confidencialidade poderá ser
elevado, já que poderão se fazer passar por você para realizar compras pela
Internet, proporcionando-lhe prejuízos financeiros e uma grande dor de
cabeça.
A INTEGRIDADE busca
proteção contra codificação não autorizada.
Modificação somente pelas partes devidamente autorizadas.
A DISPONIBILIDADE busca
Vulnerabilidades de Segurança
Vulnerabilidade é uma fragilidade que poderia ser explorada por uma ameaça
para concretizar um ataque.
Não há uma receita ou lista padrão de vulnerabilidades. Esta deve ser levantada
junto a cada organização ou ambiente. Sempre se deve ter em mente o que
precisa ser protegido e de quem precisa ser protegido de acordo com as ameaças
existentes. Podemos citar, como exemplo inicial, uma análise de ambiente em
uma sala de servidores de conectividade e Internet com a seguinte descrição: a
sala dos servidores não possui controle de acesso físico. Eis a
vulnerabilidade detectada nesse ambiente.
Uma vez instalados, os códigos maliciosos passam a ter acesso aos dados
armazenados no computador e podem executar ações em nome dos usuários, de
acordo com as permissões de cada usuário.
-vírus,
-worms,
-bots,
-cavalos de troia (trojans),
-spyware,
-keylogger,
-screenlogger,
-ransomwares,
-backdoors,
-rootkits,
-bolware, etc.
Bots (“Robôs”)
Nesse ponto, cabe destacar um termo que já foi cobrado várias vezes
em prova pela banca! Trata-se do significado de botnet, junção da
contração das palavras robot (bot) e network (net).
• quando o controlador deseja que uma ação seja realizada, ele envia às
máquinas zumbis os comandos a serem executados, usando, por
exemplo, redes do tipo P2P ou servidores centralizados;
Spyware
Trata-se de um programa espião (spy em
inglês = espião), que tem por finalidade
monitorar as atividades de um sistema e
enviar as informações coletadas para
terceiros.
Rootkit
Tipo de malware cuja principal intenção é se camuflar, para assegurar a sua
presença no computador comprometido, impedindo que seu código seja
encontrado por qualquer antivírus. Isto é possível por que esta aplicação tem
a capacidade de interceptar as solicitações feitas ao sistema operacional,
podendo alterar o seu resultado.
O invasor, após instalar o rootkit, terá acesso privilegiado ao computador
previamente comprometido, sem precisar recorrer novamente aos métodos
utilizados na realização da invasão, e suas atividades serão escondidas do
responsável e/ou dos usuários do computador.
Um rootkit pode fornecer programas com as mais diversas funcionalidades.
Dentre eles, merecem destaque:
programas para esconder atividades e informações deixadas pelo invasor,
tais como arquivos, diretórios, processos etc.;
backdoors, para assegurar o acesso futuro do invasor ao computador
comprometido;
programas para remoção de evidências em arquivos de logs;
Trackware
São programas que rastreiam a
atividade do sistema, reúnem
informações do sistema ou rastreiam
os hábitos do usuário, retransmitindo essas informações a
organizações de terceiros.
As informações reunidas por esses programas não são confidenciais nem
identificáveis. Os programas de trackware são instalados com o consentimento
do usuário e também podem estar contidos em pacotes de outro software
instalado pelo usuário.
Bolware
É um malware que infecta computadores e realiza a falsificação de dados de
boletos bancários, realizando determinadas mudanças no documento,
alterando muitas vezes a conta em que o valor será depositado, criando
problemas para o usuário que - sem saber - perde o valor do pagamento
realizado, como também para as empresas que iriam receber o pagamento.
Golpes na Internet
Geralmente, não é uma tarefa simples atacar e fraudar dados em um servidor de
uma instituição bancária ou comercial. Então, atacantes têm concentrado seus
esforços na exploração de fragilidades dos usuários, para realizar fraudes
comerciais e bancárias através da Internet.
A seguir, apresentamos alguns dos principais golpes aplicados na Internet,
que podem ser cobrados em provas, portanto, atenção!
Pharming
O Pharming é uma técnica que utiliza o sequestro ou a "contaminação"
do servidor DNS (Domain Name Server) para levar os usuários a um
site falso, alterando o DNS do site de destino. O sistema também pode
redirecionar os usuários para sites autênticos através de proxies controlados,
que podem ser usados para monitorar e interceptar a digitação.
Os sites falsificados coletam números de cartões de crédito, nomes de contas,
senhas e números de documentos. Isso é feito através da exibição de um pop-
up para roubar a informação antes de levar o usuário ao site real. O programa
mal-intencionado usa um certificado auto-assinado para fingir a autenticação
e induzir o usuário a acreditar nele o bastante para inserir seus dados pessoais
no site falsificado. Outra forma de enganar o usuário é sobrepor a barra de
endereço e status de navegador para
induzi-lo a pensar que está no site legítimo e inserir suas informações.
Nesse contexto, programas criminosos podem ser instalados nos PCs
dos consumidores para roubar diretamente as suas informações. Na
maioria dos casos, o usuário não sabe que está infectado, percebendo apenas
Ataques na Internet
A seguir, destacamos algumas das técnicas utilizadas nos ataques, que podem
ser cobradas na sua prova.
Note que “as informações capturadas por esta técnica são armazenadas na
forma como trafegam, ou seja, informações que trafegam criptografadas
apenas serão úteis ao atacante se ele conseguir
decodificá-las” (CertBr,2012).
Mesmo que o atacante não consiga descobrir a sua senha, você pode ter
problemas ao acessar a sua conta caso ela tenha sofrido um ataque de força
bruta, pois muitos sistemas bloqueiam as contas quando várias tentativas de
acesso sem sucesso são realizadas (Certbr,2012).
substituições óbvias de caracteres, como trocar "a" por "@" e "o" por "0"';
sequências numéricas e de teclado, como "123456", "qwert" e "1qaz2wsx";
informações pessoais, de conhecimento prévio do atacante ou coletadas na
Internet em redes sociais e blogs, como nome, sobrenome, datas e
números de documentos.
Spams
São mensagens de correio eletrônico não autorizadas ou não solicitadas,
sendo um dos grandes responsáveis pela propagação de códigos
maliciosos, disseminação de golpes e venda ilegal de produtos.
O spam não é propriamente uma ameaça à segurança, mas é um portador
comum delas. São spams, por exemplo, os e-mails falsos que recebemos como
sendo de órgãos como Receita Federal ou Tribunal Superior Eleitoral. Nesse caso,
os spams costumam induzir o usuário a instalar um dos malwares que vimos
anteriormente.
Os spammers (indivíduos que enviam spams) utilizam diversas técnicas para
coletar os endereços de e-mail, desde a compra de bancos de dados até a
produção de suas próprias listas, geradas a partir de (CERTBR, 2013):
ataques de dicionário: consistem em formar endereços de e-mail a partir
de listas de nomes de pessoas, de palavras presentes em dicionários e/ou
da combinação de caracteres alfanuméricos;
códigos maliciosos: muitos códigos maliciosos são projetados para varrer
o computador infectado em busca de endereços de e-mail que,
posteriormente, são repassados para os spammer;
harvesting: consiste em coletar endereços de e-mail por meio de
varreduras em páginas Web e arquivos de listas de discussão, entre outros.
Janelas de Pop-up
Aparecem automaticamente e sem permissão do usuário, sobrepondo a janela do
navegador Web, após o acesso a um determinado site.
Certbr (2013) destaca alguns riscos que podem ser ocasionados nesse
contexto:
apresentar mensagens indesejadas, contendo propagandas ou conteúdo
impróprio;
apresentar links, que podem redirecionar a navegação para uma página falsa
ou induzi-lo a instalar códigos maliciosos.
Links Patrocinados
O link patrocinado é um formato de anúncio publicitário pago, oferecido
por diversas ferramentas de busca como: Google, Yahoo, Bing. Um
anunciante que queira fazer propaganda de um produto ou site paga para
o site de busca apresentar o link em destaque (vide figura seguinte) quando
palavras específicas são pesquisadas. Quando se clica em
um link patrocinado, o site de busca recebe do anunciante um valor
previamente combinado.
Segundo Certbr (2013), o anunciante geralmente possui uma página Web - com
acesso via conta de usuário e senha - para poder interagir com o site de busca,
alterar configurações, verificar acessos e fazer pagamentos. Este tipo de conta é
bastante visado por atacantes, com o intuito de criar redirecionamentos para
páginas de phishing ou contendo códigos maliciosos e representa o principal
risco relacionado a links patrocinados.
Banners de Propaganda
Caso você tenha uma página Web, é possível disponibilizar um espaço nela para
que o serviço de publicidade apresente banners de seus clientes. Quanto mais a
sua página é acessada e quanto mais cliques são feitos nos banners por
intermédio dela, mais você pode vir a ser remunerado.
Um golpe decorrente desse ambiente é o malvertising (junção de "malicious"
(malicioso) e "advertsing" (propaganda)). Nesse tipo de golpe são criados
anúncios maliciosos e, por meio de serviços de publicidade, eles são
apresentados em diversas páginas Web. Geralmente, o serviço de
publicidade é induzido a acreditar que se trata de um anúncio legítimo e, ao
aceitá-lo, intermedia a apresentação e faz com que ele seja mostrado em diversas
páginas.
Compartilhamento de Recursos
Ao fazer um compartilhamento de recursos do seu computador, como diretórios,
discos, e impressoras, com outros usuários, pode estar permitindo:
o acesso não autorizado a recursos ou informações sensíveis;
que seus recursos sejam usados por atacantes, caso não sejam
definidas senhas para controle de acesso ou sejam usadas senhas
facilmente descobertas.
Procedimentos de Segurança
Diante desse grande risco, uma série de procedimentos, considerados como
“boas práticas de segurança” podem ser implementados para salvaguardar os
ativos (que é o que a segurança da informação busca proteger) da organização
(CertBR, 2006).
Como podemos reduzir o volume de spam que chega até nossas caixas
postais?
A resposta é bem simples! Basta navegar de forma consciente na rede. Este
conselho é o mesmo que recebemos para zelar pela nossa segurança no trânsito
ou ao entrar e sair de nossas casas.
A seguir destacamos as principais dicas que foram reportadas pelo CertBr (2012)
para que os usuários da Internet desfrutem dos recursos e benefícios da rede,
com segurança:
Preservar as informações pessoais, tais como: endereços de e-mail, dados
pessoais e, principalmente, cadastrais de bancos, cartões de crédito e senhas.
Um bom exercício é pensar que ninguém forneceria seus dados
pessoais a um estranho na rua, ok? Então, por que liberá-la na
Internet?
Ter, sempre que possível, e-mails separados para assuntos pessoais,
profissionais, para as compras e cadastros on-line. Certos usuários mantêm
um e-mail somente para assinatura de listas de discussão.
No caso das promoções da Internet, geralmente, será necessário preencher
formulários. Ter um e-mail para cadastros on-line é uma boa prática
para os usuários com o perfil descrito. Ao preencher o cadastro, procure
desabilitar as opções de recebimento de material de divulgação do site e de
seus parceiros, pois justamente nesse item é que muitos usuários atraem
spam, inadvertidamente!
*Vírus
Instale e mantenha atualizado um bom programa antivírus;
atualize as assinaturas do antivírus, de preferência diariamente;
configure o antivírus para verificar os arquivos obtidos pela Internet, discos
rígidos (HDs), flexíveis (disquetes) e unidades removíveis, como CDs, DVDs
e pen drives;
desabilite no seu programa leitor de e-mails a auto-execução de arquivos
anexados às mensagens;
não execute ou abra arquivos recebidos por e-mail ou por outras fontes,
mesmo que venham de pessoas conhecidas. Caso seja necessário abrir o
arquivo, certifique-se que ele foi verificado pelo programa antivírus;
utilize na elaboração de documentos formatos menos suscetíveis à
propagação de vírus, tais como RTF, PDF ou PostScript etc.
* Worms, bots e botnets
Siga todas as recomendações para prevenção contra vírus listadas no item
anterior;
mantenha o sistema operacional e demais softwares sempre atualizados;
aplique todas as correções de segurança (patches) disponibilizadas pelos
fabricantes, para corrigir eventuais vulnerabilidades existentes nos
softwares utilizados;
instale um firewall pessoal, que em alguns casos pode evitar que uma
vulnerabilidade existente seja explorada (observe que o firewall não
corrige as vulnerabilidades!!) ou que um worm ou bot se propague.
Métodos de Backup
Existem, basicamente, dois métodos de Backup.
Atributos de Arquivos
São informações associadas a arquivos e pastas.
Definem o comportamento do sistema de arquivos.
Podem ser acessados através das propriedades (Alt+Enter ou clique com
botão direito do mouse no ícone do arquivo ou pasta pelo Windows).
Ao clicar com o botão direito do mouse no ícone de um arquivo do Windows, e
selecionar a opção Propriedades; em seguida, guia Geral -> Avançados, será
exibida uma caixa “o arquivo está pronto para ser arquivado”, marcada como
padrão (No Windows XP, leia-se arquivo morto).
Assim temos:
Quando um arquivo/pasta está com o atributo marcado, significa que
ele deverá ser copiado no próximo backup.
Se estiver desmarcado, significa que, provavelmente, já foi feito um backup
deste arquivo.
**INCREMENTAL
Copia somente os arquivos CRIADOS ou ALTERADOS desde o último
backup normal ou incremental.
O atributo de arquivamento (arquivo morto) É DESMARCADO: limpa os
marcadores.
**DIFERENCIAL
Copia somente os arquivos CRIADOS ou ALTERADOS desde o último
backup normal ou incremental.
O atributo de arquivamento (arquivo morto) NÃO É ALTERADO: não limpa
os marcadores.
**DIÁRIO
Copia todos os arquivos e pastas selecionados que foram ALTERADOS
DURANTE O DIA da execução do backup.
O atributo de arquivamento (arquivo morto) NÃO É ALTERADO: não limpa
os marcadores!
Para entender melhor, imagine o seguinte: o USUÁRIO-A criou uma chave pública
e a enviou a vários outros sites. Quando qualquer desses sites quiser enviar uma
informação criptografada ao USUÁRIO-A deverá utilizar a chave pública deste.
Quando o USUÁRIO-A receber a informação, apenas será possível extraí-la com
Hashes Criptográficos
Hash é uma função matemática que recebe uma mensagem de entrada e
gera como resultado um número finito de caracteres (“dígitos verificadores”).
É uma função unidirecional. A figura seguinte ilustra alguns exemplos de uso
da função hash:
Assinatura Digital
O glossário criado pela ICP Brasil destaca que a Assinatura Digital é um código
anexado ou logicamente associado a uma mensagem eletrônica que
permite de forma única e exclusiva a comprovação da autoria de um
determinado conjunto de dados (um arquivo, um e-mail ou uma
transação).
A assinatura digital comprova que a pessoa criou ou concorda com um documento
assinado digitalmente, como a assinatura de próprio punho comprova a autoria
de um documento escrito.
Stallings (2008) destaca que a assinatura digital é um mecanismo de
AUTENTICAÇÃO que permite ao criador de uma mensagem anexar um código
que atue como uma assinatura.
Em outras palavras, a assinatura digital consiste na criação de um
código, através da utilização de uma chave privada, de modo que a
pessoa ou entidade que receber uma mensagem contendo este código
possa verificar se o remetente é mesmo quem diz ser e identificar
qualquer mensagem que possa ter sido modificada.
Certificação Digital
Atividade de reconhecimento em meio eletrônico que se caracteriza pelo
estabelecimento de uma relação única, exclusiva e intransferível entre
uma chave de criptografia e uma pessoa física, jurídica, máquina ou
aplicação. Esse reconhecimento é inserido em um Certificado Digital, por
uma Autoridade Certificadora.
só envie dados sensíveis após certificar-se de que está usando uma conexão
segura;
utilize criptografia para conexão entre seu leitor de e-mails e os servidores de
e-mail do seu provedor;
cifre o disco do seu computador e dispositivos removíveis, como disco externo
e pen-drive. Assim, em caso de perda ou furto do equipamento, seus dados
não poderão ser indevidamente acessados;
verifique o hash, quando possível, dos arquivos obtidos pela Internet.
Avira
Exemplos de edições:
Avira Free Antivírus,
Avira Antivírus Security, etc.
Panda
Exemplos de edições:
Panda Cloud Antivírus,
Panda Free Antivírus, etc.
Bitdefender
Exemplo: Bitdefender Antivírus, etc.
Kaspersky
Exemplo de edições:
Kaspersky Anti-Virus,
Kaspersky Security for Android, etc.
Veja mais:
http://brazil.kaspersky.com/
http://www.baixaki.com.br/download/kaspersky-anti-virus.htm
Outros
A lista de aplicativos comerciais não se esgota aqui. Outras opções: TrendMicro
Antivírus, F-Secure Antivírus, McAfee Antivírus, etc.
Figura.DMZ
Autenticação
Em segurança da informação, a autenticação é um
processo que busca verificar a identidade digital do
usuário de um sistema no momento em que ele
requisita um log in (acesso) em um programa ou
computador.
Senhas:
Senhas são utilizadas no processo de verificação da identidade do usuário
(log in), assegurando que este é realmente quem diz ser. Geralmente,
quando o usuário é cadastrado, a senha é criptografada antes de ser armazenada
(não recomendado pois permite acesso à senha, caso haja quebra do sistema
utilizado) ou se armazena o hash da senha (opção recomendada, pois impede o
acesso a senha que gerou o hash).
Para garantir uma boa segurança às senhas utilizadas, são definidas
algumas regras básicas:
jamais utilizar palavras que façam parte de dicionários, nem utilizar
informações pessoais sobre o usuário (data de nascimento, parte do nome,
etc.);
uma boa senha deve ter pelo menos oito caracteres, de preferência com
letras, números e símbolos;
a senha deve ser simples de digitar e fácil de lembrar;
usar uma senha diferente para cada sistema utilizado;
tentar misturar letras maiúsculas, minúsculas, números e sinais de
pontuação;
trocar as senhas a cada dois ou três meses, e sempre que houver
desconfiança de que alguém descobriu a senha.
One-time passwords:
One-time passwords são senhas de uso único. A senha a ser utilizada pode
ser definida de acordo com o horário ou a quantidade
de acessos, de forma que não seja possível a
reutilização de uma senha. Esse sistema garante
maior segurança, e é usado em sistemas de alta
criticidade, como transações bancárias. Entretanto, o
problema desse sistema é a dificuldade de
administração, uma vez que é preciso o uso de ferramentas adicionais para
guardar as senhas, como, por exemplo, tokens de segurança usados por bancos
(Token OTP).
Smart Cards:
Smart Cards são cartões que possuem um microchip embutido para o
armazenamento e processamento de informações. O acesso às
informações, geralmente, é feito por meio de uma senha (Código PIN) e há um
número limitado de tentavas de acesso sem sucesso. Caso estoure esse limite, o
cartão é bloqueado, e só é reativado por meio de um outro código (Código PUK),
que também tem um número limitado de
tentativas de acesso. Caso estoure esse outro
limite, o cartão é inutilizado.
Fonte:
http://br.bing.com/images/search?q=%e2%80%a2%09Smart+Cards&FORM=H
DRSC2#view=detail&id=6178033F6B024D4A8F5A90FE6E3FC86F696D9BFD&sel
ectedIndex=4
Token USB:
O token USB é um dispositivo alternativo ao uso do
Smart Card, para armazenamento de um par de
chaves públicas. Eles armazenam as chaves privadas e os
certificados digitais de um usuário de uma ICP, e possuem
suporte para vários algoritmos de criptografia como o RSA,
DES e 3DES. Esses tokens implementam funções básicas de
criptografia com objetivo de impedir o acesso direto à chave
privada de um usuário.
Modos de Autenticação
Autenticação Forte
Protocolos de Autenticação
Item A. Item Errado. (.doc) é uma extensão utilizada para documentos do editor
de texto Microsoft Word. A partir da versão do Word 2007, o padrão de extensão
é (.docx).
Item E. Item correto. (.xlsx) indica planilha do Microsoft Excel 2007 e superiores.
Gabarito: letra E.
+ + TeleFoNe + +
10121978
Segredo # $ & %
Telefone = Mudo
= SeGREdo !
Comentários
Das senhas listadas a mais fraca é a segunda, pois indica uma data de
aniversário, fácil de ser obtida!
Gabarito: letra B.
Comentários
Por fim, cabe destacar que o firewall ajuda a impedir o acesso indesejado de
hackers ou programas mal-intencionados ao seu computador pela Internet ou por
uma rede e a letra B é a resposta da questão!
Os hackers, por sua definição geral, são aqueles que utilizam seus
conhecimentos para invadir sistemas, não com o intuito de causar danos às
vítimas, mas sim como um desafio às suas habilidades. Eles invadem os
sistemas, capturam ou modificam arquivos para provar sua capacidade e
depois compartilham suas proezas com os colegas. Não têm a intenção de
prejudicar, mas sim de apenas demonstrar que conhecimento é poder.
Gabarito: letra B.
a) DVD-RW e pendrive.
b) Pendrive e scanner.
c) Scanner e BLU-RAY.
d) BLU-RAY e plotter.
e) Plotter e DVD-RW.
Comentários
a) DVD-RW e pendrive.
b) Pendrive e scanner.
c) Scanner e BLU-RAY.
d) BLU-RAY e plotter.
e) Plotter e DVD-RW.
Gabarito: letra A.
Comentários
Item A. Item errado. Cert.br (Centro de Estudos, Resposta e Tratamento de
Incidentes de Segurança no Brasil) destaca um incidente de segurança como
qualquer evento adverso, confirmado ou sob suspeita, relacionado a
segurança de sistemas de computação ou de redes de computadores.
Exemplos de incidentes: tentativa de uso ou acesso não autorizado a sistemas
ou dados, tentativa de tornar serviços indisponíveis, desrespeito à política de
segurança (envio de spam, etc.).
Item B. Item errado, já que o Cert.br mantém estatísticas sobre notificações de
incidentes a ele reportados. Cabe destacar que essas notificações são voluntárias
e refletem os incidentes ocorridos em redes que espontaneamente os notificaram
ao Cert.br. Vide exemplo de uma dessas estatísticas a seguir:
Fonte: http://www.cert.br/stats/incidentes/
Item C. Item errado. Um honeypot é um recurso computacional de
segurança, devidamente monitorado, que é dedicado a ser sondado,
atacado ou comprometido e pode ser usado para o estudo de spam,
ataque de phishing, dentre outros.
Item D. Item errado. O tamanho da senha sempre é muito importante!! Quanto
mais longa for a senha mais difícil será para a sua descoberta.
Item E. Item correto. Os incidentes de segurança nas redes brasileiras devem ser
reportados ao Centro de Estudos, Resposta e Tratamento de Incidentes de
Segurança no Brasil (Cert.br), mantido pelo Núcleo de Informação e Coordenação
do Ponto BR (NIC.br).
Gabarito: letra E.
d) usar uma senha muito diferente das senhas anteriores e não usar a
mesma senha para todas as suas contas.
Comentários
Uma senha boa, bem elaborada, é aquela que é difícil de ser
descoberta (forte) e fácil de ser lembrada. Não convém que você crie
uma senha forte se, quando for usá-la, não conseguir
recordá-la. Também não convém que você crie uma senha fácil de ser
lembrada se ela puder ser facilmente descoberta por um atacante.
Alguns elementos que você não deve usar na elaboração de suas senhas
são: qualquer tipo de dado pessoal (jamais utilizar como senha seu nome
de usuário, nome verdadeiro, nome de sua empresa, sobrenomes, números
de documentos, placas de carros, números de telefones, datas que possam
ser relacionadas com você, etc.); sequências de teclado; palavras que
façam parte de listas.
Alguns elementos que você deve usar na elaboração de suas senhas são:
números aleatórios; grande quantidade de caracteres; diferentes tipos
de caracteres (CERT.BR,2013).
Mais dicas:
o crie uma senha que contenha pelo menos oito caracteres,
compostos de letras, números e símbolos.
o utilize uma senha diferente para cada serviço (por exemplo, uma
senha para o banco, outra para acesso à rede corporativa da sua
empresa, outra para acesso a seu provedor de Internet etc.);
o altere a senha com frequência;
o crie tantos usuários com privilégios normais, quantas forem as pessoas
que utilizam seu computador;
Gabarito: letra E.
a) Para acessar um site na World Wide Web o usuário deve preencher o campo
Endereço de seu navegador com a URL (Uniform Resource Locator) desejada,
por exemplo, http://www.google.com.br
b) O acesso a sites que exigem que os dados trafeguem de modo seguro faz
uso do protocolo FTP (File Transfer Protocol), que possui recursos nativos de
criptografia.
Comentários
Item a. Item correto. URL (Uniform Resource Locator) é o endereço da página
(como http://www.google.com.br), que permite aos computadores encontrarem
o que o usuário busca, de maneira uniforme. Para acessar um site na World Wide
Web o usuário deve preencher o campo Endereço de seu navegador com a URL
desejada. Em alguns casos, um hacker pode enviar uma mensagem com menção
a uma URL, que aponta para algum link inadequado. Ao clicar nesse link, o
usuário será encaminhado para uma página diferente da que ele realmente
esperava, e nem sempre o usuário irá observar essa modificação no endereço da
URL. Portanto, toda atenção é primordial para que você não seja a próxima vítima
dos golpes da Internet.
Item b. Item errado. O acesso a sites que exigem que os dados trafeguem de
modo seguro faz uso do protocolo HTTPS (HTTP seguro), que possui recursos
nativos de criptografia. O HTTPS é usado para realizar o acesso a sites (como de
bancos on-line e de compras) com transferência criptografada de dados.
Item d. Item correto. Todo cuidado é pouco, quando se utiliza a Internet, que
pode ser considerada um ambiente hostil, no qual pessoas mal intencionadas de
qualquer parte do mundo podem virtualmente realizar tentativas de invasão para
obtenção de informações ou paralização de serviços específicos das organizações.
Item e. Item correto. Para ajudar a proteger sua conta de acesso à rede é
importante que o usuário faça a troca de sua senha periodicamente. Uma senha
boa, bem elaborada, é aquela que é difícil de ser descoberta (forte) e
fácil de ser lembrada. Não convém que você crie uma senha forte se,
quando for usá-la, não conseguir
recordá-la. Também não convém que você crie uma senha fácil de ser
lembrada se ela puder ser facilmente descoberta por um atacante.
Gabarito: letra B.
(A) I e II.
(B) I e III.
(C) II e III.
(D) II e IV.
(E) III e IV.
Comentários
Engenharia Social é uma técnica em que o atacante (se fazendo passar por
outra pessoa) utiliza-se de meios, como uma ligação telefônica ou e-mail, para
PERSUADIR o usuário a fornecer informações ou realizar determinadas ações.
Exemplo: algum desconhecido liga para a sua casa e diz ser do suporte técnico
do seu provedor de acesso. Nesta ligação ele informa que sua conexão com a
Internet está apresentando algum problema e, então, solicita sua senha para
corrigi-lo. Caso a senha seja fornecida por você, este “suposto técnico” poderá
realizar uma infinidade de atividades maliciosas com a sua conta de acesso à
Internet e, portanto, relacionando tais atividades ao seu nome.
Item II. Nesse caso, como não houve contato entre o hacker e a vítima, o golpe
não pode ser configurado como engenharia social. O golpe em destaque é
intitulado Pharming (também conhecido como DNS Poisoining -
“envenamento de DNS”). O item II é FALSO.
É isso mesmo pessoal!! Muita atenção neste tipo de golpe! O enunciado do item
II o descreve claramente, e gostaria de complementar ....
O Pharming é um tipo de golpe bem mais elaborado que o Phishing, pois envolve
algum tipo de redirecionamento da vítima para sites fraudulentos, através de
alterações nos serviços de resolução de nomes (DNS).
Comentários
A ICP-Brasil definiu os tipos de certificados válidos. Foram definidos 8 tipos
diferentes, divididos entre:
Certificados de assinatura (só assina): A1, A2, A3 e A4;
Certificados de sigilo (assina e criptografa): S1, S2, S3 e S4.
Quanto maior o número do certificado, maior o nível de segurança de seu
par de chaves.
Comentários
Uma vulnerabilidade é uma fragilidade (falha) que, ao ser explorada
permite uma ação indesejada no ambiente computacional, quer seja um
sistema operacional, um aplicativo ou uma rede de uma empresa.
Dentre as alternativas da questão, somente a letra D não é considerada uma
vulnerabilidade, já que a destruição do hardware e dos dados foi autorizada pelos
gestores responsáveis pelo equipamento. Isso ocorre por exemplo quando se
permite destruir um equipamento obsoleto.
Comentários
Existem pelo menos dois itens que podem ser visualizados na janela do seu
browser, e que significam que as informações transmitidas entre o browser e o
site visitado estão sendo criptografadas:
1. O primeiro pode ser visualizado no local em que o endereço do site é
digitado. O endereço deve começar com https:// (diferente do http:// nas
Comentários
O item I está errado porque afirma que os riscos são menores ao se utilizar
chaves simétricas, o que não é verdade. Como existe apenas uma chave, ela
deverá ser conhecida por todos os destinatários, aumentando o risco de extravio
ou fraudes.
Gabarito: letra D.
Comentários
Por padrão, os computadores (pertencentes à mesma rede) escutam e
respondem somente pacotes endereçados a eles. Entretanto, é possível utilizar
um software que coloca a interface num estado chamado de modo promíscuo.
Nessa condição o computador pode monitorar e capturar os dados trafegados
através da rede, não importando o seu destino legítimo.
Os programas responsáveis por capturar os pacotes de rede são
chamados de Sniffers, Farejadores ou ainda Capturadores de Pacote. Eles
exploram o fato do tráfego dos pacotes das aplicações TCP/IP não utilizar nenhum
tipo de cifragem nos dados. Dessa maneira um sniffer atua na rede farejando
pacotes na tentativa de encontrar certas informações, como nomes de usuários,
senhas ou qualquer outra informação transmitida que não esteja criptografada.
A dificuldade no uso de um sniffer é que o atacante precisa instalar o programa
em algum ponto estratégico da rede, como entre duas máquinas, (com o tráfego
entre elas passando pela máquina com o farejador) ou em uma rede local com a
interface de rede em modo promíscuo.
Sniffing é:
o processo de captura das informações da rede por meio de um
software de escuta de rede (conhecido como sniffer, farejador ou
ainda capturador de pacote), capaz de interpretar as informações
transmitidas no meio físico.
Gabarito: letra C.
Coluna II
( ) ambiente criado para proteger a rede interna gerando um perímetro de
segurança entre a rede interna e a Internet.
Deve-se observar que isso o torna um potencial gargalo para o tráfego de dados
e, caso não seja dimensionado corretamente, poderá causar atrasos e diminuir a
performance da rede.
Os firewalls são implementados, em regra, em dispositivos que fazem a
separação da rede interna e externa, chamados de estações guardiãs (bastion
hosts). Quando o bastion host cai, a conexão entre a rede interna e externa
deixa de funcionar.
As principais funcionalidades oferecidas pelos firewalls são:
regular o tráfego de dados entre uma rede local e a rede externa não confiável,
por meio da introdução de filtros para pacotes ou aplicações;
impedir a transmissão e/ou recepção de acessos nocivos ou não autorizados
dentro de uma rede local;
mecanismo de defesa que restringe o fluxo de dados entre redes, podendo
criar um “log” do tráfego de entrada e saída da rede;
proteção de sistemas vulneráveis ou críticos, ocultando informações de rede
como nome de sistemas, topologia da rede, identificações dos usuários etc.
Resumindo, o FIREWALL não faz filtragem de malwares! Ele atua no controle de
acesso, controle do tráfego, proteção de portas e filtragem de pacotes.
Gabarito: letra B.
Coluna I
1. Spyware
2. Adware
3. Engenharia Social
4. Backdoor
5. Phishing
Coluna II
Comentários
Centrino É uma plataforma para computadores
portáteis da Intel que cobre uma combinação particular
de CPU, chipset e placa wireless.
WLAN Wireless LAN, ou LAN sem fio.
Nota:
WEP (Wired Equivalent Privacy) foi a primeira
tentativa de se criar um protocolo eficiente de proteção
de redes Wi-Fi.
WPA (Wi-Fi Protected Access) /WEP2: é um WEP
melhorado.
Comentários
Download é o processo de transferir arquivos de um computador remoto (que
pode estar próximo ou do outro lado do mundo) para o computador do usuário,
através da rede. Você deverá informar o local em que os arquivos serão
armazenados no seu computador.
Gabarito: letra D.
Comentários
O HTTPS é um protocolo dotado de segurança, sendo muito utilizado em acesso
remoto a sites de bancos e instituições financeiras. Então, no início do nome de
um site seguro aparecerá https://.
Gabarito: letra D.
Comentários
Ao enviar informações sigilosas via Internet deve-se utilizar de um sistema que
faça a codificação (chave, cifra), de modo que somente as máquinas que
conhecem o código consigam decifrá-lo. É a criptografia, portanto, a medida de
segurança a ser adotada para resguardar o sigilo da informação que trafega pela
Internet.
Gabarito: letra E.
Comentários
URL (Uniform Resource Locator) é um endereço de um determinado recurso na
Internet. São utilizados pelos navegadores para localizar recursos. Um recurso
pode ser uma página web, uma imagem, um arquivo de áudio etc. Um URL é
formado pelo protocolo de aplicação seguido do nome do domínio e, se for o caso,
de informações de localização do recurso (nome de pastas e arquivos). Como
exemplo de URL, podemos destacar http://www.pontodosconcursos.com.br.
Gabarito: item correto.
Comentários
O HTTPS (HyperText Transfer Protocol Secure – ou HTTP Seguro) é usado para
realizar o acesso a páginas (como de bancos on-line e de compras) com
transferência criptografada de dados. O HTTPS nada mais é do que a junção dos
protocolos HTTP e SSL (HTTP over SSL). Os protocolos SSL/TLS são protocolos
de segurança, baseados em chave pública, usados pelos servidores e
navegadores da Web para autenticação mútua, integridade das mensagens e
confidencialidade.
Gabarito: item correto.
Comentários
Comentários
A Navegação InPrivate impede que qualquer outra pessoa veja quais páginas
você visitou e o que você procurou na Web. Informações afetadas: Cookies,
Arquivos de Internet Temporários, Histórico, Dados de formulário e senhas, etc.
Gabarito: item correto.
Comentários
Referências Bibliográficas
Notas de aula da disciplina Noções de Informática, profa Patrícia Lima
Quintão. 2016.
QUINTÃO, PATRÍCIA LIMA. Informática-FCC-Questões Comentadas e
Organizadas por Assunto, 3ª. Edição. Ed. Gen/Método, 2014.
QUINTÃO, PATRÍCIA LIMA. 1001 Questões Comentadas de Informática -
Cespe, 1ª. Edição. Ed. Gen/Método, 2015.
BARRERE, Eduardo. Notas de Aula, 2011.
Curso Cisco, CCNA Exploration v. 4.0, 2010.
Redes de Computadores, de Andrew S. Tanenbaum, 4ª. edição, 2003.
Redes de Computadores e a Internet, por James F. Kurose e Keith W. Ross,
2010.
Interligação de Redes com TCP/IP, por Douglas E. Comer.
TCP/IP Illustrated – Vol. 1, por W. Richard Stevens.
ALBUQUERQUE, F. TCP/IP – Internet: Protocolos & Tecnologias. 3 ed. Rio
de Janeiro: Axcel Books do Brasil Editora Ltda. 2001.
Blog de Redes. Disponível em: http://www.redesbr.com/
GTA/UFRJ. Disponível em: http://www.gta.ufrj.br/.
PROJETOS DE REDES. Disponível em: http://www.projetoderedes.com.br/.
RNP. Disponível em: http://www.rnp.br/.
TELECO. Disponível em: http://www.teleco.com.br/.
TECMUNDO. Disponível em: http://www.tecmundo.com.br/conexao/1955-o-
que-e-intranet-e-extranet-.htm#ixzz2feq5kTib
d) nome.ppt e) documento.xlsx
+ + TeleFoNe + +
10121978
Segredo # $ & %
Telefone = Mudo
= SeGREdo !
e) quinta.
a) DVD-RW e pendrive.
b) Pendrive e scanner.
c) Scanner e BLU-RAY.
d) BLU-RAY e plotter.
e) Plotter e DVD-RW.
d) usar uma senha muito diferente das senhas anteriores e não usar a
mesma senha para todas as suas contas.
a) Para acessar um site na World Wide Web o usuário deve preencher o campo
Endereço de seu navegador com a URL (Uniform Resource Locator) desejada,
por exemplo, http://www.google.com.br
b) O acesso a sites que exigem que os dados trafeguem de modo seguro faz
uso do protocolo FTP (File Transfer Protocol), que possui recursos nativos de
criptografia.
(A) I e II.
(B) I e III.
(C) II e III.
(D) II e IV.
(E) III e IV.
Coluna II
( ) ambiente criado para proteger a rede interna gerando um perímetro de
segurança entre a rede interna e a Internet.
A sequência correta é:
a) 1 3,2 4 e 5.
b) 1 5,2 3 e 4.
c) 2 4,1 3 e 5.
d) 3 5,1 2 e 4.
e) 2 5,1 3 e 4.
Coluna I
1. Spyware
2. Adware
3. Engenharia Social
4. Backdoor
5. Phishing
Coluna II
A sequência correta é:
a) 3, 1, 5, 2, 4.
b) 3, 2, 4, 5, 1.
c) 3, 1, 4, 5, 2.
d) 5,1,4,3,2.
e) 5, 2, 4, 3, 1.
D. WPA.
E. IEEE 802.11.
Gabarito
1. Letra E. 13. Letra D.
2. Letra E. 14. Letra C.
3. Letra B. 15. Item errado.
4. Letra B. 16. Letra C.
5. Letra A. 17. Letra B.
6. Letra E. 18. Letra E.
7. Letra E. 19. Letra D.
8. Letra B. 20. Letra C.
9. Letra B. 21. Letra D.
10. Letra A. 22. Letra D.
11. Letra D. 23. Letra E.
12. Letra B. 24. Item correto.