Escolha uma das opções e acesse esse e outros materiais sem bloqueio. 🤩
Cadastre-se ou realize login
Ao continuar, você aceita os Termos de Uso e Política de Privacidade
Escolha uma das opções e acesse esse e outros materiais sem bloqueio. 🤩
Cadastre-se ou realize login
Ao continuar, você aceita os Termos de Uso e Política de Privacidade
Escolha uma das opções e acesse esse e outros materiais sem bloqueio. 🤩
Cadastre-se ou realize login
Ao continuar, você aceita os Termos de Uso e Política de Privacidade
Escolha uma das opções e acesse esse e outros materiais sem bloqueio. 🤩
Cadastre-se ou realize login
Ao continuar, você aceita os Termos de Uso e Política de Privacidade
Escolha uma das opções e acesse esse e outros materiais sem bloqueio. 🤩
Cadastre-se ou realize login
Ao continuar, você aceita os Termos de Uso e Política de Privacidade
Escolha uma das opções e acesse esse e outros materiais sem bloqueio. 🤩
Cadastre-se ou realize login
Ao continuar, você aceita os Termos de Uso e Política de Privacidade
Escolha uma das opções e acesse esse e outros materiais sem bloqueio. 🤩
Cadastre-se ou realize login
Ao continuar, você aceita os Termos de Uso e Política de Privacidade
Escolha uma das opções e acesse esse e outros materiais sem bloqueio. 🤩
Cadastre-se ou realize login
Ao continuar, você aceita os Termos de Uso e Política de Privacidade
Escolha uma das opções e acesse esse e outros materiais sem bloqueio. 🤩
Cadastre-se ou realize login
Ao continuar, você aceita os Termos de Uso e Política de Privacidade
Escolha uma das opções e acesse esse e outros materiais sem bloqueio. 🤩
Cadastre-se ou realize login
Ao continuar, você aceita os Termos de Uso e Política de Privacidade
Prévia do material em texto
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 1 de 144
AULA 12: Segurança da Informação
SUMÁRIO PÁGINA
1. Proteção a redes de computadores 2
1.1 Considerações iniciais 2
1.2 Ameaças 4
1.3 Criptografia 19
1.4 Backup 40
1.5 VPN 41
1.6 Firewall 45
1.7 Outras boas práticas de segurança da informação 51
Exercícios 57
Considerações Finais 112
Exercícios 113
Gabarito 143
Olá amigos e amigas! Que bom estarmos juntos novamente!
Particularmente, gosto de encerrar o curso com o o assunto de hoje,
Segurança da Informação. Criptografia e ameaças trazem muitos
conceitos e ideias que estão mais envolvidos com o nosso dia a dia do que
a gente pensa.
Podemos começar?
Observação importante: este curso é protegido por direitos
autorais (copyright), nos termos da Lei 9.610/98, que altera,
atualiza e consolida a legislação sobre direitos autorais e dá
outras providências.
Grupos de rateio e pirataria são clandestinos, violam a lei e
prejudicam os professores que elaboram os cursos. Valorize o
trabalho de nossa equipe adquirindo os cursos honestamente
através do site Estratégia Concursos ;-)
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 2 de 144
SEGURANÇA DA INFORMAÇÃO
1. PROTEÇÃO A REDES DE COMPUTADORES
1.1 Considerações iniciais
Nos dias atuais, a informação trafega pela rede mundial de
computadores, ou simplesmente Internet. Nesse ambiente convivem
elementos bem e mal intencionados. Por causa disso, diversos recursos
para proteger a informação e as redes de computadores precisam ser
empregados.
A norma ISO 27002 ressalta que a informação é um ativo muito
valioso para uma organização. Diferentemente de outros ativos, ela pode
ser impressa, escrita em papel, armazenada em via eletrônica, ou até
mesmo conversada. Isto posto, ela deve ser protegida com adequação.
Nesse contexto, a segurança da informação é um conjunto de
controles, nos quais se incluem políticas, processos, funções de software
e hardware e estruturas organizacionais, aplicados com o intuito de
proteger a informação dos vários tipos de ameaças, para garantir a
continuidade do negócio em caso de desastre, maximizar o ROI e as
oportunidades de negócio.
Destaque para a tríade da segurança da informação:
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 3 de 144
Segundo a norma:
Confidencialidade: Garantia de que o acesso à informação seja
obtido somente por pessoas autorizadas.
Integridade: Salvaguarda da exatidão e completeza da informação
e dos métodos de processamento.
Disponibilidade: Garantia de que os usuários autorizados obtenham
acesso à informação e aos ativos correspondentes sempre que necessário.
1) (CESPE – TCU – Auditor - Tecnologia da Informação - 2015)
Confidencialidade é a garantia de que somente pessoas autorizadas tenham
acesso à informação, ao passo que integridade é a garantia de que os usuários
autorizados tenham acesso, sempre que necessário, à informação e aos ativos
correspondentes.
Errado! O conceito de confidencialidade está correto, mas o segundo conceito é
o de disponibilidade. Integridade é a garantia que a informação não foi
alterada, e permanece íntegra.
Para Laureano e Moraes (Segurança Como Estratégia de Gestão da
Informação), as informações se classificam como pública, interna,
confidencial, secreta.
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 4 de 144
• Pública: Informação que pode vir a público sem maiores
consequências danosas ao funcionamento normal da empresa, e cuja
integridade não é vital.
• Interna: O acesso livre a este tipo de informação deve ser evitado,
embora as consequências do uso não autorizado não sejam por demais
sérias. Sua integridade é importante, mesmo que não seja vital.
• Confidencial: Informação restrita aos limites da empresa, cuja
divulgação ou perda pode levar a desequilíbrio operacional, e
eventualmente, a perdas financeiras ou de confiabilidade perante o cliente
externo.
• Secreta: Informação crítica para as atividades da empresa, cuja
integridade deve ser preservada a qualquer custo e cujo acesso deve ser
restrito a um número reduzido de pessoas. A segurança desse tipo de
informação é vital para a companhia.
1.2 Ameaças
A Internet é um cesto cheio dos mais diversos tipos de golpes e
ameaças. Para facilitar o entendimento do cidadão (e a cobrança em
concursos, rs), esses golpes e ameaças recebem uma série de
classificações. Vejamos:
1.2.1 Malware
Oriundo da expressão “Malicious Software”, Malware são programas
desenvolvidos para executar atividades maliciosas em um computador.
Lato sensu, até mesmo programas legítimos que, em virtude de falhas em
seu código, causam danos, podem ser classificados como malware. Os
principais tipos de malware são:
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 5 de 144
Vírus: um vírus de computador é um programa capaz de se replicar
e opera sem o consentimento do usuário, se espalhando ao se anexar
a outros programas. Outras variedades de vírus são os vírus de boot
capazes de danificar áreas responsáveis por carregar o sistema
operacional e os vírus de macro que podem causar alterações em
documentos. Alguns vírus apenas se replicam, outros podem trazer danos
maiores como corromper arquivos, sobrecarregar uma rede e levar uma
máquina a ser formatada.
Vírus simples
Um vírus simples, que só se replica e é fácil de ser detectado. Se um
usuário executa um vírus, esse vírus pode tomar conta do computador da
vítima e se anexar em outro arquivo, e, depois que ele se espalha, o
devolve o controle para o programa hospedeiro, que funciona
normalmente. O vírus pode se replicar inúmeras vezes, mas nunca se
modifica, logo, o antivírus pode facilmente localizá-lo por uma sequência
de bits característica. Essa sequência também é chamada de assinatura
do vírus.
Vírus encriptado
A ideia do vírus encriptado é esconder esta assinatura fixa,
embaralhando o vírus, para que este não seja detectado por um antivírus.
Um vírus encriptado consiste de uma rotina de decriptação e um
corpo encriptado que, ao ser executado, inicia a fase de decriptação. Após
esta fase, o corpo do vírus toma conta da máquina, se espalhando da
mesma forma que um vírus simples, mas com o diferencial de encriptar o
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 6 de 144
corpo do vírus com uma nova chave de encriptação, dificultando a
detecção por assinaturas de vírus. No entanto, a rotina de decriptação
continua a ser a mesma, logo, os antivírus passaram a checar por
sequências de bytes que identificassem a rotina de decriptação.
Vírus Polimórficos
Os vírus polimórficos são capazes de criar uma nova variante a cada
execução e diferentemente dos vírus encriptados que encriptam apenas o
código do vírus e permanecem com a mesma rotina de decriptação, os
vírus polimórficos alteram tanto a rotina de encriptação quanto a rotina
de decriptação, o que dificulta a detecção.
Em uma variante de um vírus polimórfico o módulo de decriptação
aparece em claro e o corpodo vírus aparece encriptado. No corpo do
vírus estão presentes a rotina do vírus em si e um módulo de mutação
responsável por gerar o módulo de encriptação e um novo módulo de
decriptação que terá uma nova chave, visto que o módulo de encriptação
foi alterado. Sendo assim, ao infectar um arquivo, o vírus apresentará um
novo módulo de encriptação e um novo corpo.
Em geral, para realizar a detecção dessas ameaças os softwares
antivírus fazem a decriptação do vírus usando um emulador ou realizam
uma análise de padrão do corpo do vírus, visto que o código muda, mas a
semântica não. O processo de emulação é também chamado de sandbox
e é capaz de detectar o vírus caso o código decriptado permaneça o
mesmo.
Vírus Metamórficos
Os vírus polimórficos podem apresentar problemas durante as suas
mutações e podem até demorar a serem detectados, mas na maioria das
vezes são detectados devido ao baixo número de vírus polimórficos
eficientes.
Os desenvolvedores de vírus implementam novos códigos para
dificultar o trabalho do pesquisador. O W32/Apparition foi o primeiro vírus
de 32 bits a não utilizar decriptadores polimórficos para realizar
mutações, ele possuía seu código decompilado e quando encontrava um
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 7 de 144
compilador compilava o código. O vírus inseria e removia código
desnecessário ao código fonte e se recompilava. Dessa forma uma nova
geração do vírus parecia completamente diferente das anteriores. Esse
tipo de técnica pode ser mais destrutiva em ambientes baseados em Unix,
onde os compiladores C são instalados junto com o sistema.
Os vírus metamórficos são capazes de mudar o próprio corpo, por
não possuir um decriptador ou um corpo de vírus constante, mas são
capazes de criar novas gerações diferentes. Eles possuem um corpo único
que carregava dados como código. Os vírus metamórficos evitam gerar
instâncias parecidas com a anterior.
Vírus de macro
Os vírus de macro vinculam suas macros a modelos de documentos e
a outros arquivos de modo que, quando um aplicativo carrega o arquivo e
executa as instruções nele contidas, as primeiras instruções executadas
serão as do vírus.
Vírus de macro são parecidos com outros vírus em vários aspectos:
são códigos escritos para que, sob certas condições, este código se
"reproduz", fazendo uma cópia dele mesmo. Como outros vírus, eles
podem ser escritos para causar danos, apresentar uma mensagem ou
fazer qualquer coisa que um programa possa fazer.
2) (CESPE – TJ/SE – Analista Judiciário – Análise de Sistemas - 2014)
Vírus são programas que podem apagar arquivos importantes armazenados no
computador, podendo ocasionar, até mesmo, a total inutilização do sistema
operacional.
Correto.
Ainda cabe trazer a classificação de vírus segundo a CERT.BR:
Vírus propagado por e-mail: recebido como um arquivo anexo a
um e-mail cujo conteúdo tenta induzir o usuário a clicar sobre este
arquivo, fazendo com que seja executado. Quando entra em ação, infecta
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 8 de 144
arquivos e programas e envia cópias de si mesmo para os e-mails
encontrados nas listas de contatos gravadas no computador.
Vírus de script: escrito em linguagem de script, como VBScript e
JavaScript, e recebido ao acessar uma página Web ou por e-mail, como
um arquivo anexo ou como parte do próprio e-mail escrito em formato
HTML. Pode ser automaticamente executado, dependendo da
configuração do navegador Web e do programa leitor de e-mails do
usuário.
Vírus de macro: tipo específico de vírus de script, escrito em
linguagem de macro, que tenta infectar arquivos manipulados por
aplicativos que utilizam esta linguagem como, por exemplo, os que
compõe o Microsoft Office (Excel, Word e PowerPoint, entre outros).
Vírus de telefone celular: vírus que se propaga de celular para
celular por meio da tecnologia bluetooth ou de mensagens MMS
(Multimedia Message Service). A infecção ocorre quando um usuário
permite o recebimento de um arquivo infectado e o executa. Após infectar
o celular, o vírus pode destruir ou sobrescrever arquivos, remover ou
transmitir contatos da agenda, efetuar ligações telefônicas e drenar a
carga da bateria, além de tentar se propagar para outros celulares.
E mais algumas classificações:
Vírus de Boot: Vírus que se infecta na área de inicialização dos
disquetes e de discos rígidos (são vírus bem antigos, rs). Essa área é
onde se encontram arquivos essenciais ao sistema. Os vírus de boot
costumam ter alto poder de destruição, impedindo, inclusive, que o
usuário entre no micro.
Vírus de Programa: infectam - normalmente - os arquivos
executáveis, com extensão .EXE e .COM, e algumas outras extensões,
como .OVL e .DLL.
Vírus Multipartite: misto dos vírus de Boot e de Programas. Eles
infectam ambos: arquivos de programas e setores de boot, o que os
tornam muito mais eficazes na tarefa de se espalhar, contaminando
outros arquivos e/ou discos, mas também mais difíceis de serem
detectados e removidos.
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 9 de 144
Vírus Stealth (Vírus Invisíveis): um dos mais complexos da
atualidade, cuja principal característica é a inteligência. Emprega técnicas
para evitar sua detecção durante a varredura de programas antivírus,
como, por exemplo, temporariamente se auto remover da memória.
E prossigamos com outros malwares!
Worm (importante!): worms são programas autorreplicantes,
passando de um sistema a outro, sem, necessariamente, utilizar um
arquivo hospedeiro. Além disso, pode causar danos sem a ativação pelo
usuário, diferentemente dos vírus.
O worm é executado ou
não é?
Todo programa em um computador precisa ser executado.
Um worm, para se autorreplicar, precisa estar em execução.
O que difere o worm de um vírus, por exemplo, é que,
enquanto o vírus é executado por uma ação explícita do
usuário (como um clique duplo no arquivo malicioso), o
worm explora vulnerabilidades existentes ou falhas na
configuração de softwares instalados em computadores.
Ex: execução do arquivo infectado autorun.inf em um
pendrive. O computador que está configurado para
executar automaticamente esse arquivo em mídias
removíveis pode ser contaminado apenas com a inserção
do pendrive no computador. O arquivo malicioso será
executado, mesmo que o usuário “não tenha feito nada”.
Compreendeu?
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 10 de 144
Para Fixar
Vírus Worm
Programa ou parte de um
programa de computador
Programa
Propaga-se inserindo cópias de si
mesmo e se tornando parte de
outros programas e arquivos
Propaga - se automaticamente
pelas redes, enviando copias de si
mesmo de computador para
computador
Depende da execução do programa
ou arquivo hospedeiro para ser
ativado
Execução direta de suas cópias ou
pela exploração automática de
vulnerabilidades existentes em
programas instalados em
computadores
3) (CESPE – FUB – Conhecimentos Básicos - 2015) Vírus é um programa
autossuficiente capaz de se propagar automaticamente pelas redes enviando
cópias de si mesmo de um computador para outro.
Errado! Descrição bem didática de worm. Vírus não são auto propagáveis pela
rede, enviando cópias de si mesmo.
Bot e Botnet: Bot é um programa que dispões de mecanismoscom
o invasor que permite que ele seja controlado remotamente. Propaga-se
de maneira similar ao worm.
O computador infectado por um bot pode ser chamado de zumbi,
pois pode ser controlado remotamente, sem o conhecimento do dono. Por
exemplo, zumbis podem ser utilizados para realizar ataques DDos e para
envio de spam.
Botnet é o nome dado a uma rede de Bots.
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 11 de 144
Spyware: Spyware é um programa que monitora atividades de um
sistema e envia a terceiros. Podem ser keyloggers, do tipo que captura o
que o usuário digita; screenloggers, do tipo que registra os movimentos
de mouse de um usuário, ou adwares, daqueles que mostram
propagandas para o usuário.
Backdoor: É um programa que permite o retorno de um invasor a
um computador comprometido. Ele deixa “portas abertas” em programas
instalados na máquina, permitindo o acesso remoto futuro na máquina.
Cavalo de Tróia: programas impostores, arquivos que se passam
por um programa desejável, mas que, na verdade, são prejudiciais, pois
executam mais funções além daquelas que aparentemente ele foi
projetado. Contêm códigos maliciosos que, quando ativados, causam a
perda ou até mesmo o roubo de dados. Não se replicam.
Hijacker: é uma variação de Cavalo de Tróia que modifica a página
inicial do navegador e, muitas vezes, também abrem pop-ups
indesejados. O objetivo é vender os cliques que o usuário faz nessas
páginas, o que gera lucro para o criador do hijacker.
Rootkit: É um conjunto de programas e técnicas que esconde e
assegura a presença de um invasor ou código malicioso em um
computador comprometido. O objetivo do rootkit não é obter acesso
privilegiado, mas mantê-lo, apagando vestígios da invasão.
Segue, abaixo, uma tabela com características das principais
ameaças, pelo Comitê Gestor de Internet do Brasil (CGI.br):
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 12 de 144
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 13 de 144
4) (CESPE – TJ/SE – Analista Judiciário – Análise de Sistemas - 2014)
Cavalo de Troia, também conhecido como trojan, é um programa malicioso que,
assim como os worms, possui instruções para autorreplicação.
Errado! Trojans não são autorreplicantes! Worms são...
Continuemos com outros tipos de ameaças!
Trapdoors: Trapdoors são mecanismos escondidos em softwares,
são falhas de programação gerada pelo próprio Programador, para em um
futuro, conseguir obter acesso e explorar o sistema. O termo Trapdoor
soa e chega a parecer bastante parecido com o backdoor, mas a diferença
pode ser explicada.
Enquanto o backdoor é instalado na máquina da vítima sem que a mesma
saiba, para obter acesso ao seu sistema, o Trapdoor é desenvolvido pelo
próprio programador ao deixar uma falha em seu próprio programa para
explorá-la futuramente, quando seu software estiver em uso em um
determinado lugar (empresa, consultoria, máquinas caseiras, etc).
Scan: Busca minuciosa em redes, para identificar computadores
ativos e coletar informações sobre eles.
Email spoofing (falsificação de email): Envio de email
modificando dados do cabeçalho, para ludibriar o destinatário, quanto a
remetente, principalmente. Utilizado em spams e phishings.
Sniffing (interceptação de tráfego): é uma técnica que baseia-se
na interceptação de tráfego entre computadores, por meio de sniffers.
Defacement (desfiguração de página): é um ataque que consiste
em alterar o conteúdo de uma página Web de um site. Não raro, alguns
sites de órgãos públicos sofrem esse tipo de ataque, no qual os invasores
trocam a página principal do site por uma página própria, com alguma
mensagem radical.
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 14 de 144
SQL Injection (Injeção de SQL): é um ataque baseado na
inserção maliciosa de comandos ou consultas SQL em uma aplicação Web.
O objetivo é fazer a aplicação executar comandos indesejados ou permitir
o acesso a dados não autorizados.
Cross-Site Scripting - XSS: é um ataque no qual uma aplicação
recebe dados não confiáveis e os envia ao navegador sem validação ou
filtro adequados. Esse tipo de ataque permite aos atacantes executarem
scripts no navegador da vítima que podem “sequestrar” sessões do
usuário, desfigurar sites ou redirecionar o usuário para sites maliciosos.
Cross-Site Request Forgery: Força a vítima, que possui uma
sessão ativa em um navegador, a enviar uma requisição HTTP forjada,
incluindo o cookie da sessão da vítima e qualquer outra informação de
autenticação incluída na sessão, a uma aplicação web vulnerável. Esta
falha permite ao atacante forçar o navegador da vítima a criar requisições
que a aplicação vulnerável aceite como requisições legítimas realizadas
pela vítima. Ao contrário do XSS, o Cross-Site Request Forgery explora a
confiança da aplicação web no usuário que está conectado.
IP Spoofing: Mascaramento do endereço de pacotes IP por meio de
endereços de remetentes falsificados.
Port Scanning Attack: Os hackers enviam mensagens para
múltiplas portas e aguardam resposta. A depender das respostas, o
invasor saberá se a porta está disponível ou não para invasão. De fato,
este procedimento é muito utilizado pela própria segurança, em buscas de
fraquezas nos servidores.
Session Hijacking: Consiste em de explorar ou controlar uma
sessão de comunicação TCP/IP válida entre computadores sem o
conhecimento ou permissão dos donos dos mesmos. O session hijacking
normalmente implica explorar o mecanismo que controla a conexão entre
um servidor web e um navegador, o que se conhece como "token de
sessão". Este token consiste em uma cadeia de caracteres que um
servidor web envia para um cliente que se autentica. Ao prever ou roubar
o token de sessão, um atacante pode obter acesso ao servidor e dispor
dos mesmos recursos que o usuário comprometido.
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 15 de 144
Buffer Overflow: Consiste no transbordamento de memória, ao se
escrever mais dados do que a capacidade do buffer, o que pode
sobrescrever a memória adjacente. Um invasor pode utilizar essa técnica
para travar intencionalmente uma aplicação, tomar o controle sobre ela
e/ou ganhar privilégios em um sistema.
Advanced Persistent Threat: Invasores profissionais permanecem
em uma rede por muito tempo sem serem detectados, com o objetivo de
obter acesso crescente, e capturar informações. Podem usar phising,
engenharia social, backdoor ou qualquer outro artifício para manter-se
operando.
Flooding ou DoS: é uma forma de ataque de negação de serviço
(também conhecido como Denial of Service - DoS) em sistemas
computadorizados, na qual o atacante envia uma seqüência de
requisições para um sistema-alvo visando uma sobrecarga direta na
camada de transporte e indireta na camada de aplicação do modelo OSI.
Sua variante é o DdoS (Distributed Denial of Service).
Este é o tipo de ataque do qual ouvimos falar recentemente na mídia.
Lembra, em 2013, daquele grupo que anunciou ataques a bancos e
órgãos públicos no Brasil? Eles anunciavam o ataque, anunciavam o alvo,
e o site era derrubado.
Isso acontece porque os ataques do tipo Distributed Denial of
Service, ou ataquesdistribuídos de negação de serviço, são os de
mais difícil defesa.
Um ataque de negação de serviço (DoS), é uma tentativa em
tornar os recursos de um sistema indisponíveis para seus utilizadores.
Alvos típicos são servidores web, e o ataque tenta tornar as páginas
hospedadas indisponíveis na rede. Não se trata de uma invasão do
sistema, mas sim da sua invalidação por sobrecarga. Os ataques de
negação de serviço são feitos geralmente de duas formas:
Forçar o sistema vítima a reinicializar ou consumir todos os
recursos (como memória ou processamento por exemplo) de forma
que ele não pode mais fornecer seu serviço.
Obstruir a mídia de comunicação entre os utilizadores e o
sistema vítima de forma a não comunicarem-se adequadamente.
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 16 de 144
Em um ataque distribuído de negação de serviço, um computador
mestre (denominado "Master") pode ter sob seu comando até milhares
de computadores ("Zombies" - zumbis). Neste caso, as tarefas de ataque
de negação de serviço são distribuídas a um "exército" de máquinas
escravizadas.
O ataque consiste em fazer com que os Zumbis (máquinas
infectadas e sob comando do Mestre) se preparem para acessar um
determinado recurso em um determinado servidor em uma mesma hora
de uma mesma data. Passada essa fase, na determinada hora, todos os
zumbis (ligados e conectados à rede) acessarão ao mesmo recurso do
mesmo servidor. Como servidores web possuem um número limitado de
usuários que pode atender simultaneamente ("slots"), o grande e
repentino número de requisições de acesso esgota esse número de slot,
fazendo com que o servidor não seja capaz de atender a mais nenhum
pedido.
Destaco ainda que todo ataque de DDoS foi precedido de alguma
outra forma de ataque. As máquinas “zumbis”, ou escravas, são
máquinas de usuários comuns que se deixaram infectar anteriormente por
algum malware (bots).
Por fim, é interessante destacar que os ataques DDos podem ter três
naturezas:
1) Ataques volumétricos: Tentativa de consumir a largura de
banda, seja dentro da rede/serviço alvo ou entre a rede/serviço
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 17 de 144
alvo e o resto da internet. Esses ataques servem simplesmente
para causar congestionamento.
2) Ataques de exaustão de estado do TCP: Esses ataques tentam
consumir as tabelas de estado de conexão que estão presentes
em diversos componentes de infraestrutura, tais como
balanceadores de carga, firewalls e os próprios servidores de
aplicativos. Até mesmo dispositivos de alta capacidade capazes de
manter o estado de milhões de conexões podem ser derrubados
por estes ataques.
3) Ataques na camada de aplicação: Esse tem como alvo algum
aspecto de um aplicativo ou serviço na Camada-7. São os
mais fatais tipos de ataques, já que podem ser muito efetivos com
apenas uma máquina de ataque gerando uma baixa taxa de
tráfego (isto faz com que esses ataques sejam bastante difíceis de
detectar e mitigar de forma ativa). Estes ataques têm prevalecido
nos últimos três ou quatro anos, e ataques simples de inundação
da camada de aplicação (inundação HTTP GET etc.) têm sido um
dos mais comuns ataques DDoS vistos.
5) (CESPE – TCU – Auditor - Tecnologia da Informação - 2015) Os
ataques DDoS de camada de aplicação são caracterizados por explorar aspectos
de arquitetura das aplicações e dos serviços para obstruir a comunicação; além
disso, são difíceis de detectar e podem ser efetivos com poucas máquinas e
taxas de tráfego não muito altas.
Correto.
Hoax: são mensagens que possuem conteúdo alarmante ou falso.
Podem ser fotos polêmicas, correntes, pirâmides. Além disso, também
podem conter códigos maliciosos.
Phishing: também chamado de scam, é o tipo de fraude no qual um
golpista tenta obter dados pessoais e financeiros. Normalmente, é
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 18 de 144
realizado por mensagens eletrônicas que tentam se passar por alguma
Instituição conhecida, compelindo o destinatário a entrar em um site
(falso) para o fornecimento de dados pessoais.
Phishing: quem nunca recebeu um email desses?
Uma variação do Phising é o chamado Pharming. Nele, o serviço
DNS (Domain Name System, ou domínio de nomes do sistema) do
navegador Web é corrompido, redirecionando o usuário para um site
falso, mesmo quando ele digita o nome de um site verdadeiro.
Spear Phishing: Outra variação do Phishing, mas o remetente se
passa por alguém que você conhece, um amigo ou uma empresa com a
qual você mantém relacionamento.
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 19 de 144
1.2.2 Engenharia Social
A engenharia social compreende práticas utilizadas para obter acesso
a informações importantes ou sigilosas em organizações ou sistemas por
meio da enganação ou exploração da confiança das pessoas.
Para isso, o golpista pode se passar por outra pessoa, assumir outra
personalidade, fingir que é um profissional de determinada área,
podendo, inclusive, criar falsos relacionamentos de amizade para obter
informações estratégicas de uma organização.
É uma forma de entrar em organizações que não necessita da força
bruta ou de erros em máquinas. Explora as falhas de segurança das
próprias pessoas que, quando não treinadas para esses ataques, podem
ser facilmente manipuladas. Via de regra, o engenheiro social busca obter
a confiança da vítima, com o objetivo de extrair informações privilegiadas.
A engenharia social é combatida com o treinamento e a
conscientização das pessoas.
1.3 Criptografia
Criptografia é o estudo dos princípios e técnicas pelas quais
a informação pode ser transformada da sua forma original para outra
ilegível, de forma que possa ser conhecida apenas por seu destinatário, o
que a torna difícil de ser lida por alguém não autorizado. Assim sendo, só
o receptor da mensagem pode ler a informação com facilidade. É um
ramo da Matemática, parte da Criptologia.
Há dois tipos principais de chaves criptográficas: chaves
simétricas e chaves assimétricas. Uma informação não-cifrada que é
enviada de uma pessoa (ou organização) para outra é chamada de "texto
claro" (plaintext). Cifragem é o processo de conversão de um texto claro
para um código cifrado e decifragem é o processo contrário, de
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 20 de 144
recuperar o texto original a partir de um texto cifrado. A criptografia
moderna é basicamente formada pelo estudo dos algoritmos
criptográficos que podem ser implementados em computadores.
Segundo Nakamura, a criptografia possui quatro propriedades, ou
objetivos, para a proteção da informação, a saber:
Confidencialidade (privacidade) – sigilo entre as partes
envolvidas
Integridade – a informação não sofrer alterações
Autenticação (do remetente) – poder saber quem é o remetente
Não-repúdio – o remetente não poder negar a autoria da
mensagem
1.3.1 Conceitos relacionados
Uma técnica clássica de criptografia é a esteganografia.
Esteganografia (do grego "escrita escondida") é o estudo e uso das
técnicas para ocultar a existência de uma mensagem dentro de outra,
uma forma de segurança por obscurantismo. Emoutras palavras,
esteganografia é o ramo particular da criptologia que consiste em fazer
com que uma forma escrita seja camuflada em outra a fim de mascarar o
seu verdadeiro sentido.
Interessante frisar a diferença entre criptografia e esteganografia.
Enquanto a primeira oculta o significado da mensagem, a segunda oculta
a existência da mensagem.
Veja abaixo um exemplo clássico de esteganografia.
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 21 de 144
Mensagem inocente, não?
E essa mensagem? Continua inocente?
Nos dias atuais, é possível empregar a esteganografia em mensagens
de áudio, texto, vídeos, imagens... enfim, qualquer tipo de mídia que
possa carregar informação.
Uma outra ideia relacionada à criptografia é a chamada cifra de
César.
A cifra de César é uma das formas mais simples de criptografia.
Quem já teve infância certamente já trocou bilhetes “criptografados” na
escola, usando a famosa regrinha do +1, -1, +2, etc. Por exemplo,
escrevendo CASA como DBTB ou BZRZ. Esta é a cifra de César.
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 22 de 144
A cifragem de César se baseia no deslocamento dos caracteres do
alfabeto.
Outros conceitos interessantes dizem a respeito da engenharia
reversa da criptografia. Uma parte interessada em quebrar uma
mensagem cifrada pode lançar mão de dois recursos, a saber:
Criptoanálise: os ataques criptoanalíticos contam com a natureza
do algoritmo e talvez mais algum conhecimento das características gerais
do texto claro, ou ainda algumas amostras do texto claro e texto cifrado.
O objetivo é deduzir o texto em claro ou a chave utilizada. A criptoanálise
pode ser considerada o oposto da criptologia, que é a arte de criar
mensagens cifradas.
Ataque por força bruta: o atacante experimenta cada chave
possível em um trecho de texto cifrado, até obter uma tradução inteligível
para o texto claro. Na média, metade de todas as chaves possíveis
precisam ser testadas para se obter sucesso.
Logo, percebe-se uma diferença clara entre a criptoanálise e a força
bruta.
Criptografar e decriptografar mensagens é um “jogo de gato e rato”.
Veremos mais sobre esse jogo, à medida que nos aprofundarmos no
assunto.
1.3.2 Criptografia simétrica e assimétrica (importante!)
Diferenciar algoritmos de chave simétrica e assimétrica é importante,
e não é difícil!
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 23 de 144
Os algoritmos de chave simétrica são uma classe
de algoritmos para a criptografia, que usam chaves criptográficas
relacionadas para as operações de cifragem e decifragem. A operação de
chave simétrica é mais simples, pois pode existir uma única chave entre
as operações. A chave, na prática, representa um segredo, partilhado
entre duas ou mais partes, que podem ser usadas para manter um canal
confidencial de informação. Usa-se uma única chave, partilhada por
ambos os interlocutores, na premissa de que esta é conhecida apenas por
eles. Resumindo, a mesma chave usava pra criptografar é a mesma
utilizada para decriptografar.
Criptografia com chave simétrica.
Os algoritmos de chave assimétrica, por sua vez, trabalham com
chaves distintas para a cifragem e decifragem. Normalmente utilizam o conceito
de chave pública e chave privada, no qual a chave pública do destinatário é
utilizada para a criptografia da informação, e apenas a chave privada consegue
realizar a decifragem. Requer o emprego de algoritmos complexos, como a
utilização de números primos extensos.
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 24 de 144
Criptografia assimétrica
Veja a comunicação acima. Thiago vai enviar uma mensagem para
Fábio. Assim sendo, Thiago utiliza a chave pública de Fábio para
criptografar a mensagem. Estando a mensagem cifrada, ela pode trafegar
por um canal inseguro (ex: Internet) com certa tranquilidade, pois apenas
Fábio poderá decifrar a mensagem, já que apenas ele possui a chave
privada, e nunca divulgou para ninguém.
O inconveniente da chave simétrica, por ser única, é que o meio pelo
qual trafegam as mensagens não pode ser o mesmo meio pelo qual a
chave é compartilhada, lógico. Portanto, distribuir a chave é um
inconveniente. Atualizar a chave é um inconveniente. Se existe um meio
mais seguro para compartilhar a chave, porque não utilizá-lo para o
próprio fluxo de dados?
Além disso, gerenciar as chaves também pode ser um problema.
Afinal, para comunicar-se com muitos destinatários diferentes, o ideal é
que se tenha uma chave para cada destinatário diferente.
Por outro lado, as chaves simétricas são as mais recomendadas para
o trâmite de grandes volumes de dados, já que seu processamento é mais
rápido.
Já a chave assimétrica, teoricamente mais segura, requer algoritmos
complexos para o seu devido emprego, logo, não é difícil imaginar que
performance seja um gargalo neste sistema.
Como contrapartida, uma única chave pública pode ser distribuída
livremente, já que apenas a chave privada, nunca divulgada, consegue
decifrar a mensagem.
Essas diferenças merecem um comparativo, não é mesmo?
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 25 de 144
CHAVE SIMÉTRICA CHAVE ASSIMÉTRICA
Chaves Única Pública (divulgada livremente)
Privada(secreta)
Funcionamento Mesma chave cifra e
decifra
Chave pública cifra a mensagem e
chave privada decifra
Processamento Veloz Lento
Gerenciamento
das chaves
Complicado, uma
chave para cada
usuário
Simples, basta divulgar a chave
pública
Ataques de
força bruta
São perigosos São ineficazes (números primos
muito grandes)
6) (CESPE – ANTAQ – Analista Administrativo – Infraestrutura de TI -
2014) Na criptografia simétrica, a mesma chave compartilhada entre emissor e
receptor é utilizada tanto para cifrar quanto para decifrar um documento. Na
criptografia assimétrica, utiliza-se um par de chaves distintas, sendo a chave
pública do receptor utilizada pelo emissor para cifrar o documento a ser enviado;
posteriormente, o receptor utiliza sua chave privada para decifrar o documento.
Correto. Explicação bem didática de ambas as criptografias.
1.3.3 Principais algoritmos
Hora de vermos alguns algoritmos.
DES (Data Encryption Standard) - DES é tipo de cifra em bloco,
ou seja, um algoritmo que toma uma string (“pedaço” de texto) de
tamanho fixo de um texto plano e a transforma, através de uma série de
complicadas operações, em um texto cifrado de mesmo tamanho. No caso
do DES, o tamanho do bloco é 64 bits. DES também usa uma chave para
personalizar a transformação, de modo que a decifragem somente é
possível, teoricamente, por aqueles que conhecem a chave particular
utilizada para criptografar. A chave consiste nominalmente de 64 bits,
porém somente 56 deles são realmente utilizados pelo algoritmo. Os oito
bits restantes são utilizados para verificar a paridade e depois são
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 26 de 144
descartados, portanto o tamanho efetivo da chave é de 56 bits, e assim é
citado o tamanho de sua chave.
O DES, por ser um algoritmo simétrico,utiliza a mesma chave para
a decriptografia, aplicando-se as subchaves na sequência inversa. É um
algoritmo relativamente vulnerável a ataques de força bruta, nos dias
atuais.
O 3-DES é uma versão melhorada do DES, na qual os dados são
encriptados com a primeira chave, decifrados com a segunda chave e
finalmente encriptados novamente com uma terceira chave. Isto faz o
3DES ser mais lento que o DES original, porém em contrapartida oferece
maior segurança.
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 27 de 144
AES (Advanced Encryption Standard) – Também conhecido como
Rjindael, o AES foi um algoritmo “provocado” pelo governo
norteamericano, em virtude da necessidade de substituição do DES, cuja
vida útil se aproximava do fim. Ele também é simétrico, usa um tamanho
de bloco de 128 bits e admite chaves de 128, 192 e 256 bits.
IDEA (International Data Encryption Algorithm) – algoritmo
desenvolvido na Suíça, em 1990. Simétrico, usa chave de 128 bits.
RSA – O RSA é um algoritmo assimétrico de chave pública, conforme
exemplo mostrado anteriormente. Ele utiliza números primos muito
grandes.
RC4 – O RC4 não é uma técnica de blocos, ele trabalha em fluxo
contínuo de entrada e saída de bytes. A chave pode ter de 1 até 2048
bits, mas é comum a utilização com chave de 40 ou 128 bits.
MD-5 (Message Digest Algorithm 5) - É um algoritmo de hash de
128 bits unidirecional desenvolvido pela RSA Data Security, Inc., e muito
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 28 de 144
utilizado por softwares com protocolo ponto-a-ponto na verificação de
integridade de arquivos e logins. Atualmente, a comunidade de segurança
considera o MD5 como um algoritmo quebrado, embora ainda seja
utilizado nos dias atuais.
SHA-1 (Secure Hash Algorithm 1) - A família de SHA (Secure
Hash Algorithm) está relacionada com as funções criptográficas e
verificação de integridade de dados. A função mais usada nesta família, a
SHA-1, é usada numa grande variedade de aplicações e protocolos de
segurança, incluindo TLS, SSL, PGP, SSH, S/MIME e IPSec. SHA-1 foi
considerado o sucessor do MD5.
O SHA-1 processa os dados de entrada em blocos de 512 bits e gera
um sumário de mensagens de 160 bits.
DSS (Digital Signature Standard) – O DSS é um padrão de
assinatura digital utiliza um algoritmo que foi projetado apenas para
oferecer a função de assinatura digital (o DSA). Diferentemente do RSA,
ele não pode ser usado para a criptografia ou troca de chave. Apesar
disso, é uma técnica de chave pública. O DSS também utiliza o algoritmo
SHA-1 para a geração do hash.
DSA (Digital Signature Algorithm) – O DSA é o algoritmo do
DSS para assinatura digital, baseado na dificuldade de se calcular
logaritmos discretos. Ele trabalha com três parâmetros públicos, que
podem ser comuns a um grupo de usuários. Um número primo q de 160
bits, um número p entre 512 a 1024 bits, de modo que q divida (p -1), e
g, que será igual a h elevado a [(p-1)/q], em que h é menor que p -1 e (g
mod q) > 1. h é a chave secreta a ser utilizada pelo assinante.
7) (CESPE – TCU – Auditor - Tecnologia da Informação - 2015) No
algoritmo AES, a cifra de decriptografia é idêntica à cifra de criptografia, assim
como a sequência de transformações para a decriptografia é a mesma para a
criptografia, o que pode ser considerado uma vantagem, já que apenas um único
módulo de software ou firmware é necessário para aplicações que exigem tanto
criptografia quanto decriptografia.
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 29 de 144
Errado! Embora o AES realmente seja um algoritmo simétrico, isso não é uma
vantagem, mas sim uma vulnerabilidade. Algoritmos assimétricos são mais
seguros.
1.3.1 Assinatura digital
Analisar assinatura digital é a continuação natural da criptografia
assimétrica. Por enquanto, ainda estamos no “mundo das ideias”, mas
já traremos esses conceitos para o nosso dia a dia. Peço sua paciência!
Você deve ter percebido que a criptografia baseada em chave
assimétrica garante a confidencialidade da mensagem, pois, apenas o
destinatário da mesma consegue decifrá-la. Até aí tudo bem, mas quem
garante que a mensagem realmente está vindo daquele emissor?
Afinal de contas, qualquer um pode enviar uma mensagem para
Fábio. A chave pública de Fábio é pública, não é mesmo?
É nesse contexto que entra a assinatura digital. Ela garantirá a
autenticidade do remetente e a integridade da mensagem. Vamos ver
como?
Assinatura digital baseada em Chave Pública
A assinatura digital requer que emissores e receptores conheçam as
chaves públicas uns dos outros. Assim, quando a entidade emissora quer
enviar uma mensagem assinada digitalmente a outra entidade, aquela
terá que cifrar a mensagem com a sua chave privada e, em seguida,
cifrar o resultado com a chave pública da entidade receptora. Por sua vez,
a entidade receptora ao receber a mensagem terá que decifrá-la primeiro
com a sua chave privada e de seguida decifrar este resultado com a
chave pública da entidade emissora.
O receptor pode provar a recepção de qualquer mensagem através
do criptograma resultante da decifragem com a sua chave privada. Note-
se que ele consegue decifrá-lo mas nunca conseguiria produzi-lo uma vez
que desconhece a chave privada do emissor.
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 30 de 144
Este método de assinatura digital tem todas as vantagens dos
algoritmos de chave pública nomeadamente a sua impossibilidade de
decifragem por outros, pelo menos em tempo útil.
Figura – assinatura digital baseada em chave pública
Entendeu a jogada?
Se, além de cifrar a mensagem com a chave pública de Fábio, Thiago
cifrar também com sua própria chave privada, Fábio não só conseguirá
ler a mensagem, como também garantirá que a mensagem realmente é
de Thiago, pois a chave pública de Thiago também decifra mensagens
cifradas pela chave privada de Thiago.
Veja também outros dois tipos de assinatura digital:
Assinatura digital baseada em Chave Secreta
Esta aproximação requer a existência de uma autoridade central que
sabe tudo e em quem todos confiam. Cada entidade escolhe uma chave
secreta e a repassa à autoridade central. Desta forma só autoridade
central e a própria entidade têm conhecimento da sua chave secreta.
Quando uma entidade quer enviar uma mensagem assinada digitalmente
à outra, terá que a cifrar, com a sua chave secreta, e enviá-la à
autoridade central. A mensagem passará pela autoridade central que a
decifrará com a chave secreta da entidade emissora. A esta mensagem
será concatenada uma estampilha que só a autoridade central consegue
gerar e decifrar. O resultado será cifrado com a chave secreta da entidade
receptora e enviado. Desta forma, o receptor pode provar a recepção de
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 31 de 144
qualquer mensagem através da estampilha recebida (só a autoridade
central consegue produzir uma).
Assinatura digital baseada em funções de hash (importante!)
Uma das críticas que se podem fazer à aproximações apresentadas
anteriormente é que elas juntam duas funções distintas: autenticação e
privacidade. Muitas vezes, é necessária a autenticação, mas não existe
qualquerinteresse de privacidade. Uma vez que a cifragem de uma
mensagem com criptografia de chaves públicas é normalmente lenta, é
frequentemente desejável enviar uma mensagem assinada digitalmente
sem preocupação de que ela seja lida por outros. Desta forma não será
necessário cifrar toda a mensagem.
Este esquema baseia-se nas funções de sentido único (one-way hash
functions) e tem como base a cifragem de uma parte, arbitrariamente
longa, da mensagem, obtendo como resultado o chamado message-
digest(resumo). Esse resumo possui tamanho fixo, independentemente
do tamanho da mensagem.
Desta forma, a entidade emissora terá que gerar o message-digest e
cifrá-lo (assiná-lo) com a sua chave privada.
De seguida poderá enviar a mensagem (cifrada ou não) concatenada
com a sua assinatura. A entidade receptora decifrará a assinatura com a
chave pública da entidade emissora (previamente publicada) e verificará
se o message-digest é o esperado. Como pode ser facilmente percebido,
as entidades comunicantes devem assegurar-se que conhecem as
verdadeiras chaves públicas umas das outras e não quaisquer outras
ilegalmente publicadas, a troco da segurança do sistema poder ficar
comprometido. Para garantir isso, i.e., para fazer a distribuição de chaves
públicas de forma segura, usa-se o conceito de certificado, um objeto que
contém a chave pública de uma dada entidade assinada digitalmente por
uma entidade de confiança, conhecida por autoridade certificadora (CA).
Figura – assinatura digital baseada em funções de hash
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 32 de 144
Estamos evoluindo! Primeiro, você entendeu como a mensagem é
enviada de uma forma segura. Segundo, você entendeu como garantir a
assinatura do remetente. Agora podemos fazer mais uma pergunta.
Quem garante que aquele emissor realmente é legítimo? Ou
seja, quem garante a Fábio que o Thiago realmente é o Thiago, e não
alguém se passando por Thiago?
A dica foi dada na última modalidade de assinatura digital. É hora de
estudarmos o Certificado Digital.
1.3.4 Certificado digital
Um certificado digital normalmente é usado para ligar uma
entidade a uma chave pública. Para garantir digitalmente, no caso de uma
Infraestrutura de Chaves Públicas (ICP), o certificado é assinado pela
Autoridade Certificadora (AC) que o emitiu e no caso de um modelo de
Teia de Confiança (Web of Trust), o certificado é assinado pela própria
entidade e assinado por outros que dizem confiar naquela entidade. Em
ambos os casos as assinaturas contidas em um certificado são
atestamentos feitos por uma entidade que diz confiar nos dados contidos
naquele certificado.
O certificado digital oferece garantias de:
Autenticidade - o receptor deverá poder confirmar a
assinatura do emissor;
Integridade - garantia de que o conteúdo da transação não
foi alterado;
Não-repúdio - garantia de que quem executou a transação
não pode negar que foi ele mesmo que executou;
Ainda está um pouco quadrado?
Pois imagine o Certificado Digital como uma cédula de identidade,
emitida por um cartório. A gente às vezes não precisa ir em um cartório
pra provar que a gente é a gente mesmo? Mesma coisa aqui!
Veja essa tela abaixo, por meio da qual um usuário entra em sua
conta no site do Banco do Brasil (repare no CADEADO VERDE):
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 33 de 144
Esta é uma típica comunicação de duas partes que usa criptografia
assimétrica. Uma parte é VOCÊ, cliente, e a outra é o BANCO.
Em telas cuja informação é sensível, como os dados bancários de um
cliente, o fornecedor de um serviço crítico, no caso, o BANCO, oferece
um canal seguro de comunicação, protegido por criptografia. Mas VOCÊ,
no caso o seu navegador, precisa ter certeza que realmente está trocando
mensagens com o BANCO. Para isso, o banco, ao entrar nesse canal
seguro, lhe envia um CERTIFICADO DIGITAL, mostrando quem ele é,
qual a criptografia que usa, lhe enviando a chave pública dele, e
informando qual a AUTORIDADE CERTIFICADORA que emitiu o
Certificado dele.
VOCÊ, então, por meio de seu navegador de internet, verifica se a
autoridade certificadora dele realmente é de confiança (como se um
cartório fosse). Nas configurações avançadas de seu navegador, é
possível verificar estes certificados. Segue abaixo uma tela do Google
Chrome, que mostra isso:
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 34 de 144
Nem pense em modificar essas configurações! Seu navegador
pode ficar vulnerável!
Sendo o Certificado Digital realmente emitido por uma Autoridade
Certificadora de confiança, o CADEADO VERDE aparece na sua tela,
mostrando que sua comunicação, a partir daquele momento, será segura.
Viu como a criptografia faz parte do seu dia a dia?
P.S.: Você já deve ter entrado em sites, inclusive de órgãos públicos,
e ter se deparado com mensagens do tipo :”Este Certificado não foi
verificado. Deseja continuar?” , conforme imagem abaixo:
Tela vermelha de fundo, cadeado “cortado”, ou em vermelho, e
alguma mensagem do tipo “continue por sua conta e risco”.
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 35 de 144
Isso acontece porque a emissão de certificados é paga (como se
cartório fosse, rs), e nem todos aderem às Autoridades Certificadoras. Na
prática, isso quer dizer que a comunicação com a outra parte é segura,
mas não há Autoridade Certificadora garantindo que a outra parte é
idônea. Ou seja, é possível trocar informações de maneira segura com
uma parte mal intencionada. Nesses casos, confiar no outro lado fica por
conta e risco do usuário, e não da Autoridade Certificadora.
Em um certificado digital, poderão ser encontradas as seguintes
informações:
− versão e número de série do certificado.
− dados que identificam quem emitiu o certificado (assinatura da
AC).
− dados que identificam o dono do certificado (nome, registro civil).
− validade do certificado.
− chave pública do dono do certificado (a chave privada fica apenas
com o dono).
− algoritmo de assinatura.
− versão e número de série do certificado.
− requerente do Certificado.
8) (CESPE – ANTAQ – Analista Administrativo – Infraestrutura de TI -
2014) Para a utilização de criptografia assimétrica, a distribuição das chaves
públicas é comumente realizada por meio de certificado digital, que contém o
nome do usuário e a sua chave pública, sendo a autenticidade dessas
informações garantida por assinatura digital de uma terceira parte confiável,
denominada Autoridade Certificadora.
Correto. A Autoridade Certificadora garante a autenticidade do dono do
Certificado e, ao fornecer a chave pública, garante que somente o dono do
certificado pode decifrar as mensagens que lhe forem enviadas.
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 36 de 144
1.3.5 A ICP - Brasil
Falando em Autoridade Certificadora, a ICP-Brasil é um conjunto de
entidades governamentais ou de iniciativa privada, padrões técnicos e
regulamentos, elaborados para suportar um sistema criptográfico com
base em certificados digitais e visa assegurar as transações entre titulares
de certificados digitais e detentores de chaves públicas, no Brasil.
Para assegurarque uma determinada chave pertence a você é
necessário que uma Autoridade Certificadora (AC) confira sua identidade
e seus respectivos dados. Ela será a entidade responsável pela emissão,
suspensão, renovação ou revogação de seu certificado digital, além de ser
obrigada a manter sempre disponível a Lista de Certificados Revogados
(CRL).
A ICP–Brasil é formada por uma Autoridade Certificadora Raiz (AC
RAIZ) que é representada pelo Instituto Nacional de Tecnologia da
Informação (ITI), sendo este órgão responsável pela autentificação das
demais Autoridades Certificadoras, além de executar atividades de
fiscalização e auditoria das AC e Autoridades de Registro (AR) para que
possa certificar-se de que a entidade está seguindo todas as Políticas de
Certificação.
Vejamos mais alguns conceitos relevantes sobre a ICP Brasil:
AC - Raiz
A Autoridade Certificadora Raiz da ICP-Brasil (AC-Raiz) é a primeira
autoridade da cadeia de certificação. Executa as Políticas de Certificados e
normas técnicas e operacionais aprovadas pelo Comitê Gestor da ICP-
Brasil. Portanto, compete à AC-Raiz emitir, expedir, distribuir,
revogar e gerenciar os certificados das autoridades certificadoras
de nível imediatamente subsequente ao seu.
A AC-Raiz também está encarregada de emitir a lista de certificados
revogados (LCR) e de fiscalizar e auditar as Autoridades Certificadoras
(ACs), Autoridades de Registro (ARs) e demais prestadores de serviço
habilitados na ICP-Brasil. Além disso, verifica se as ACs estão atuando em
conformidade com as diretrizes e normas técnicas estabelecidas pelo
Comitê Gestor da ICP-Brasil.
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 37 de 144
AC - Autoridade Certificadora
Uma Autoridade Certificadora (AC) é uma entidade, pública ou
privada, subordinada à hierarquia da ICP-Brasil, responsável por emitir,
distribuir, renovar, revogar e gerenciar certificados digitais. Tem a
responsabilidade de verificar se o titular do certificado possui a chave
privada que corresponde à chave pública que faz parte do certificado. Cria
e assina digitalmente o certificado do assinante, onde o certificado
emitido pela AC representa a declaração da identidade do titular, que
possui um par único de chaves (pública/privada).
Cabe também à AC emitir listas de certificados revogados (LCR) e
manter registros de suas operações sempre obedecendo às práticas
definidas na Declaração de Práticas de Certificação (DPC). Além de
estabelecer e fazer cumprir, pelas Autoridades Registradoras (ARs) a ela
vinculadas, as políticas de segurança necessárias para garantir a
autenticidade da identificação realizada.
AR – Autoridade de Registro
Uma Autoridade de Registro (AR) é responsável pela interface entre o
usuário e a Autoridade Certificadora. Vinculada a uma AC, tem por
objetivo o recebimento, validação, encaminhamento de solicitações
de emissão ou revogação de certificados digitais e identificação,
de forma presencial, de seus solicitantes. É responsabilidade da AR
manter registros de suas operações. Pode estar fisicamente localizada em
uma AC ou ser uma entidade de registro remota.
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 38 de 144
9) (CESPE – ANTAQ – Analista Administrativo – Infraestrutura de TI -
2014) Para a obtenção da chave pública de uma AC, utiliza-se um esquema de
gerenciamento de chaves públicas, denominado infraestrutura de chaves
públicas (ICP). No Brasil, a ICP-Brasil é organizada de forma hierárquica, em que
uma AC raiz certifica outras ACs e, posteriormente, estas, bem como a AC raiz,
emitem certificados para os usuários finais.
Errado! 90% da sentença está correta. O único equívoco foi insinuar que a AC
raiz também emite certificados aos usuários finais. Ela emite somente para as
outras ACs imediatamente abaixo do seu nível.
10) (CESPE – TCU – Auditor - Tecnologia da Informação - 2015) A
autoridade de registro, além de ser a emissora de certificados e listas de
revogação de certificados, é um componente obrigatório nas PKI e está
associada ao registro das autoridades certificadoras.
Dica do professor: perceba que a Autoridade de Registro NÃO EMITE
Certificados Digitais.
Embora uma entidade precise ir a uma AR para obter o seu Certificado
Digital, quem emitirá o certificado será a AC. A AR apenas faz o meio de
campo entre a entidade e a AC.
Ainda, perceba que ninguém emite Certificados diretamente com a AC-
Raiz, apenas as autoridades Certificadoras imediatamente abaixo de seu
nível na hierarquia.
Conheça a hierarquia resumida da ICP Brasil em:
http://www.iti.gov.br/images/icp-
brasil/estrutura/2014/atualizacao12/Estrutura_da_ICP-Brasil_-
_site.pdf
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 39 de 144
Errado! A autoridade de registro não emite certificados, ela faz o “meio de
campo” entre a autoridade certificadora (esta sim emite certificados e listas
de certificados revogados) e o usuário. A AR pode estar fisicamente localizada
em uma AC ou ser uma entidade de registro remota.
1.3.6 Tipos de Certificação Digital
Na ICP-Brasil estão previstos dez tipos de certificado. São duas
séries de certificados. A série A (A1, A2, A3 e A4) reúne os certificados
de assinatura digital, utilizados na confirmação de identidade na
Web, em e-mail, em redes privadas virtuais (VPN) e em
documentos eletrônicos com verificação da integridade de suas
informações.
Também certificados de assinatura digital, certificados do tipo T3 e
T4 somente podem ser emitidos para equipamentos das Autoridades de
Carimbo do Tempo (ACTs) credenciadas na ICP-Brasil.
A série S (S1, S2, S3 e S4), por sua vez, reúne os certificados de
sigilo, que são utilizados na codificação de documentos, de bases de
dados, de mensagens e de outras informações eletrônicas sigilosas. Os
dez tipos são diferenciados pelo uso, pelo nível de segurança e pela
validade.
Nos certificados do tipo A1 e S1, as chaves privadas ficam
armazenadas no próprio computador do usuário. Nos tipos A2, A3, A4,
S2, S3 e S4, as chaves privadas e as informações referentes ao seu
certificado ficam armazenadas em um hardware criptográfico – cartão
inteligente (smart card) ou cartão de memória (token USB ou pen drive).
Para acessar essas informações, ainda, é necessária a digitação de senha
no momento crítico da transação.
Tipos T3 e T4 são para hardware específico das Autoridades de
Carimbo do Tempo, cuja finalidade é provar a sua existência em
determinado período, em qualquer documento ou transação eletrônica,
baseando-se na hora oficial brasileira fornecida pelo Observatório
Nacional.
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 40 de 144
Tipo de
certificado
Chave criptográfica
Validade máxima
(anos)*
Tamanho da
chave (bits)
Processo de
geração Mídia armazenadora
A1 e S1 1024 Software Arquivo 1
A2 e S2 1024 Sofware
Smart card ou token, sem capacidade
de geração de chave 2
A3 e S3 1024 Hardware
Smart card ou token, com capacidade
de geração de chave 5
A4 e S4 2048 Hardware
Smart card ou token, com capacidade
de geração de chave 3
T3 1024 Hardware
Hardware criptográfico aprovado
pelo CG da ICP-Brasil 5
T4 2048 Hardware
Hardware criptográfico aprovado
pelo CG da ICP-Brasil 3
*observação: a partir de 5 de julho de 2012, qualquer certificado emitido por AC de 1º ou 2º
nívelpode ter validade de até 5 anos.
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 41 de 144
1.4 Backup
A informação mais importante a respeito de backup fica na norma
ISO 27002, a qual afirma que as mídias de backup devem ficar
situadas a uma distância segura da mídia e dos sistemas originais,
para que danos causados por um desastre no site principal não
afetem também o backup. Questões de prova em cima dessa ideia são
frequentes.
Além disso, podemos destacar que os backups podem ser realizados
de três formas diferentes. São elas:
Backup Incremental: realiza um backup dos arquivos que foram
alterados ou novos desde o último backup, de qualquer tipo. Em suma, é
um backup de atualização.
Backup Diferencial: realiza um backup dos arquivos que foram
alterados desde o último backup completo. É um backup intermediário
entre o incremental e o completo.
Backup Completo: como o próprio nome diz, todos os arquivos e
pastas na unidade sofrem o backup, ou seja, é criada uma cópia de
segurança para todos esses arquivos.
Onde gravar os backups: você pode usar mídias (como CD, DVD,
pen-drive, disco de Blu-ray e disco rígido interno ou externo) ou
armazena-los remotamente (online ou off-site). A escolha depende do
programa de backup que está sendo usado e de questões como
capacidade de armazenamento, custo e confiabilidade. Um CD, DVD ou
Blu-ray pode bastar para pequenas quantidades de dados, um pen-drive
pode ser indicado para dados constantemente modificados, ao passo que
um disco rígido pode ser usado para grandes volumes que devam
perdurar.
Quais arquivos copiar: apenas arquivos confiáveis e que tenham
importância para você devem ser copiados. Arquivos de programas que
podem ser reinstalados, geralmente, não precisam ser copiados. Fazer
cópia de arquivos desnecessários pode ocupar espaço inutilmente e
dificultar a localização dos demais dados. Muitos programas de backup já
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 42 de 144
possuem listas de arquivos e diretórios recomendados, você pode optar
por aceitá-las ou criar suas próprias listas.
Com que periodicidade devo realiza-los: depende da frequência
com que você cria ou modifica arquivos. Arquivos frequentemente
modificados podem ser copiados diariamente ao passo que aqueles pouco
alterados podem ser copiados semanalmente ou mensalmente.
1.5 VPN
Uma Rede Privada Virtual (Virtual Private Network – VPN),
como o próprio nome sugere, é uma forma de conectar dois
computadores utilizando uma rede pública, como a Internet.
Como a Internet é uma rede pública, é preciso criar alguns
mecanismos de segurança para que as informações trocadas entre os
computadores de uma VPN não possam ser lidas por outras pessoas.
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 43 de 144
A proteção mais utilizada é a criptografia, pois essa garante que os
dados transmitidos por um dos computadores da rede sejam os mesmo
que as demais máquinas irão receber.
Depois de criptografados, os dados são então encapsulados e
transmitidos pela Internet, utilizando o protocolo de tunelamento, até
encontrar seu destino.
Os principais protocolos de tunelamento são os seguintes:
PPTP (Point-to-Point Tunneling Protocol) é um protocolo de
nível 2desenvolvido pela Microsoft, 3Com, Ascend, EUA Robotics e ECI
Telematics.
L2F (Layer Two Forwarding) é um protocolo de nível 2
desenvolvido pela Cisco, Northern Telecom e Shiva. Está hoje quase
obsoleto.
L2TP (Layer Two Tunneling Protocol) é o resultado dos trabalhos
do IETF (RFC 2661) para fazer convergir as funcionalidades de PPTP e de
L2F. Trata-se assim de um protocolo de nível 2 que se apoia em PPP.
IPSec é um protocolo de nível 3, procedente dos trabalhos do IETF,
permitindo transportar dados calculados para as redes IP. Vejamos um
pouco mais sobre este protocolo, o mais conhecido.
O IPsec define dois protocolos de segurança designados de
Cabeçalho de Autenticação (AH) (RFC 2402) e Encapsulating Security
Payload (ESP) (RFC 2406). Cada protocolo define o seu próprio formato
para o cabeçalho IPsec no pacote IPsec. Ambos os protocolos usam o
conceito de uma Associação de Segurança (AS). Por isso, as SAs podem
ser do tipo AH ou ESP. Note-se que uma SA não pode ser em simultâneo
do tipo AH e ESP. Adicionalmente, quer o AH quer o ESP suportam os
modos transporte e túnel.
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 44 de 144
O AH proporciona integridade e autenticação, usando algoritmos de
chave partilhada como o MD5 e o SHA-1. O AH não proporciona
confidencialidade.
O ESP proporciona confidencialidade e, opcionalmente, integridade e
autenticação. Para a confidencialidade o ESP suporta algoritmos de
encriptação por chave partilhada tais como o DES e o 3-DES. Tal como o
AH o ESP suporta os algoritmos MD5 e SHA-1 para integridade e
autenticação.
Aparentemente O ESP fornece todas as funcionalidades do AH, o que
o tornaria desnecessário. Contudo existe uma diferença entre a
integridade e autenticação fornecidas pelo AH e pelo ESP.
Cabeçalho IP original
AH TCP Dados
|------------------------------------------Testa a integridade ----------------------------------------------|
Cabeçalho IP original ESP TCP Dados
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 45 de 144
|-------------------------- Testa a integridade -----------------------------|
|--------------------- Encriptado ----------------------|
O ESP não testa a integridade da totalidade do pacote IP, deixando
de fora o cabeçalho. O AH testa a totalidade do pacote IPsec, incluindo o
cabeçalho IP (tecnicamente alguns campos do cabeçalho são sujeitos a
alterações durante o transito não podendo por isso o AH proteger estes
valores).
Por essa razão se for importante o controlo da integridade do
cabeçalho do pacote IP podem ser usados em conjunto o ESP e o AH. Isto
implica, como já foi dito, ter o dobro das SAs, uma vez que uma SA pode
implementar o ESP ou o AH mas não ambos.
O IPSec independe do algoritmo utilizado. – verdade. O IPSec
permite a escolha do algoritmo de criptografia a ser empregado, inclusive
nenhum (sem segurança).
Embora esteja na camada IP, o IPSec é orientado a conexões
- Uma “conexão” no contexto do IPSec é chamada de associação de
segurança, ou AS (security association). Tal conexão é simplex, e tem um
identificador de segurança associado a ela.
Pode ser usado no modo de transporte, em que todo pacote
IP, incluindo o cabeçalho, é encapsulado no corpo de um novo
pacote IP com um cabeçalho IP completamente novo. – Este é o
modo tunelamento. No modo de transporte, o cabeçalho IPSec é inserido
logo após o cabeçalho IP.
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 46 de 144
1.6 Firewall
O Firewall, segundo Nakamura, em seu livro Segurança de Redes
em Ambientes Cooperativos,pode ser definido como um “ponto entre
duas ou mais redes, que pode ser um componente ou conjunto de
componentes, por onde passa todo o tráfego, permitindo que o controle,
a autenticação e os registros de todo o tráfego sejam realizados”. Além
disso, “pode ser definido como um grupo de sistemas que reforça a
política de acesso entre duas redes, e, portanto, pode ser visto como uma
implementação da política de segurança.”
Na prática, firewalls são utilizados para:
Registrar tentativas de acesso indevidas a um computador ou
rede;
Bloquear o envio de informações coletadas por invasores e
códigos maliciosos;
Bloquear tentativas de invasão e exploração de
vulnerabilidades, identificando a origem das tentativas;
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 47 de 144
Analisar continuamente o conteúdo das conexões, filtrando
códigos maliciosos e barrando a comunicação entre um invasor
e um código malicioso já instalado;
Evitar que um código malicioso já instalado se propague,
impedindo que vulnerabilidades em outros computadores
sejam exploradas.
Vejamos alguns termos relacionados a firewall:
Proxy: Sistemas que atuam como gateway entre duas redes,
“obrigando” que determinado fluxo de dados passe por ele. Facilita o
controle e gerenciamento de conteúdo na rede.
Bastion Hosts: equipamentos em que são instalados serviços a
serem oferecidos para internet. Por serem máquinas com contato direto
com o exterior, os bastion hosts devem ser servidores fortificados,
executando somente o mínimo de serviços que devem oferecer. Via de
regra, os Bastion Hosts ficam em zonas desmilitarizadas (DMZs).
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 48 de 144
Zona Desmilitarizada (DMZ): Rede que fica entre a rede interna,
que deve ser protegida, e a externa, por possuir um conjunto de serviços
cujo interesse da organização é a divulgação para o público externo. Em
caso de ataques aos Bastion Hosts, a rede interna continua protegida.
A DMZ precisa ser isolada do restante da rede porque suas regras de
proteção precisam ser mais “frouxas” do que as regras para a rede
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 49 de 144
interna, uma vez que os Bastion Hosts podem (e devem) receber acessos
externos.
1.6.1 Tipos de Arquitetura de Firewall
As arquiteturas de um Firewall, via de regra, são definidas de acordo
com o porte e as necessidades da organização que o implanta. As três
arquiteturas clássicas são as seguintes:
Dual-Homed Host Architecture: nesta, um único proxy separando
a rede interna da rede externa, conforme a figura abaixo.
É uma estrutura mais econômica, por ser simples. Por outro lado,
falta transparência ao usuário que não sabe como o acesso externo é
realizado. Além disso, o host dual-homed é um único ponto de falha, e o
risco da rede reside nele.
Screened Host Architecture: é composto por um filtro de pacotes
e um Bastion Host.
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 50 de 144
Nele, as regras para o acesso à rede externa podem ser implantadas
via Bastion Host, ou filtro de pacotes, ou ambos (o que é chamado de
firewall híbrido).
É uma arquitetura mais “madura” que a dual-homed. Entretanto,
caso o Bastion Host seja comprometido, o invasor já estará na rede
interna.
Screened Subnet Architecture: acrescenta a DMZ à rede, por
meio de filtros externo e interno.
O que diferencia a Screened Subnet da Dual-Homed é que os
roteadores interno e externo, vistos na figura acima, funcionarão como
verdadeiros filtros de pacotes. O filtro de pacote externo, um pouco
menos rígido, permite o acesso externo aos serviços disponibilizados pela
empresa, na DMZ; o interno, altamente rigoroso, permite apenas que as
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 51 de 144
respostas das requisições e serviços permitidos aos usuários internos
entrem na rede interna.
1.6.2 IPS e IDS
Sistemas de Detecção de Intrusos (IDS) são sistemas que
monitoram atividades em redes de computadores, capazes de detectar
atividades suspeitas. Configura-se uma solução passiva.
Sistemas de Prevenção de Intrusos (IPS), por sua vez, são
sistemas que implementam regras e políticas para o tráfego de uma rede,
capazes de prevenir e combater ataques. É uma solução ativa!
1.6.3 Recomendações para firewall
Cuidados a serem tomados:
• antes de obter um firewall pessoal, verifique a procedência e
certifique-se de que o fabricante é confiável;
• certifique-se de que o firewall instalado esteja ativo;
• configure seu firewall para registrar a maior quantidade de
informações possíveis (desta forma, e possível detectar tentativas de
invasão ou rastrear as conexões de um invasor).
As configurações do firewall dependem de cada fabricante. De forma
geral, a mais indicada é:
• liberar todo trafego de saída do seu computador (ou seja,
permitir que seu computador acesse outros computadores e serviços) e;
• bloquear todo trafego de entrada ao seu computador (ou seja,
impedir que seu computador seja acessado por outros computadores e
serviços) e liberar as conexões conforme necessário, de acordo com
os programas usados.
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 52 de 144
11) (CESPE – TJ/AC – Técnico em Informática - 2012) Sistemas de
prevenção à intrusão (IPS) e sistemas de detecção de intrusão (IDS) são
sistemas concebidos com os mesmos propósitos. A diferença entre eles
encontra-se no público-alvo. Enquanto os IPS são sistemas voltados para os
usuários domésticos, os IDS focam as grandes redes corporativas.
Errado! A diferença básica entre um Intrusion Detection System (IDS) para
um Intrusion Prevention System (IPS) é que os sistemas de prevenção são
ativos, enquanto os sistemas de detecção são passivos. Enquanto o IDS
informa sobre um potencial ataque, o IPS promove tentativas de parar o ataque.
Um outro grande avanço sobre o IDS é que o IPS tem a capacidade de prevenir
invasões com “assinaturas” conhecidas, mas também pode impedir alguns
ataques não conhecidos, devido a sua base de dados de “comportamentos” de
ataques genéricos. Visto como uma combinação de IDS e de uma “camada de
aplicação Firewall” para proteção, o IPS geralmente é considerado a geração
seguinte do IDS.
1.7 Outras boas práticas de segurança da informação
A seguir, veremos mais algumas boas práticas se segurança da
informação na utilização de equipamentos tecnológicos. São boas dicas
tanto para o seu dia-a-dia, bem como podem cair em prova!
SENHAS FRACA E FORTES
Segundo a Cartilha CERT.BR, uma senha boa, bem elaborada, é
aquela que é difícil de ser descoberta (forte) e fácil de ser lembrada.
Alguns elementos que não se deve usar na elaboração de suas
senhas:
Qualquer tipo de dado pessoal: evite nomes, sobrenomes, contas
de usuário, números de documentos, placas de carros, números de
telefones e datas (estes dados podem ser facilmente obtidos e usados por
pessoas que queiram tentar se autenticar como você).
91824207425
Informática para Polícia Federal 2016Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 53 de 144
Sequencias de teclado: evite senhas associadas a proximidade
entre os caracteres no teclado, como “1qaz2wsx” e “QwerTAsdfG”, pois
são bastante conhecidas e podem ser facilmente observadas ˜ ao serem
digitadas.
Palavras que façam parte de listas: evite palavras presentes em
listas publicamente conhecidas, como nomes de músicas, times de
futebol, personagens de filmes, dicionários de diferentes idiomas, etc.
Existem programas que tentam descobrir senhas combinando e testando
estas palavras e que, portanto, não devem ser usadas.
Alguns elementos que devem ser usados na elaboração de suas
senhas são:
Numeros aleatórios: quanto mais ao acaso forem os números
usados melhor, principalmente em sistemas que aceitem exclusivamente
caracteres numéricos.
Grande quantidade de caracteres: quanto mais longa for a senha
mais difícil será descobri-la. Apesar de senhas longas parecerem, a
princípio, difíceis de serem digitadas, com o uso frequente elas acabam
sendo digitadas facilmente.
Diferentes tipos de caracteres: quanto mais “bagunçada” for a
senha mais difícil será descobri-la. Procure misturar caracteres, como
números, sinais de pontuação e letras maiúsculas e minúsculas. O uso de
sinais de pontuação pode dificultar bastante que a senha seja descoberta,
sem necessariamente torna-la difícil de ser lembrada.
Porém, apenas o próprio usuário será capaz de produzir uma senha
boa. Não existe gabarito!
FERRAMENTAS ANTIMALWARE
Ferramentas antimalware são aquelas que procuram detectar e,
então, anular ou remover os códigos maliciosos de um computador.
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 54 de 144
Antivírus, antispyware, antirootkit e antitrojan são exemplos de
ferramentas deste tipo.
Entre as diferentes ferramentas existentes, a que engloba a maior
quantidade de funcionalidades e o antivírus. Apesar de inicialmente eles
terem sido criados para atuar especificamente sobre vírus, com o passar
do tempo, passaram também a englobar as funcionalidades dos demais
programas, fazendo com que alguns deles caíssem em desuso.
Os antivírus comerciais, em sua maioria podem funcionar por:
- Método de assinaturas: vírus conhecidos possuem assinaturas,
ou seja, um “pedaço” de arquivo conhecido, que quando identificado
acusa a presença do vírus;
- Busca algorítmica: se o arquivo possui um conjunto de instruções
peculiar, é reconhecido como vírus;
- Sensoriamento heurístico: útil para vírus desconhecidos, analisa
o “comportamento” do programa, para identificá-lo como vírus;
- Emulação: útil para detectar vírus polimórficos, ele decriptografa o
vírus, analisa o código e reconhece o agente malicioso.
Portanto, os antivírus possuem várias técnicas para analisar o
conteúdo dos arquivos. Quem não conhece, tende a achar que os
antivírus apenas reconhecem vírus que já existem e, na verdade,
acabamos de ver que é bem mais do que isso.
Cuidados a serem tomados:
• tenha um antimalware instalado em seu computador
(programas online, apesar de bastante úteis, exigem que seu computador
esteja conectado à Internet para que funcionem corretamente e podem
conter funcionalidades reduzidas);
• utilize programas online quando suspeitar que o antimalware local
esteja desabilitado/comprometido ou quando necessitar de uma segunda
opinião (quiser confirmar o estado de um arquivo que já foi verificado
pelo antimalware local);
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 55 de 144
• configure o antimalware para verificar toda e qualquer extensão de
arquivo;
• configure o antimalware para verificar automaticamente arquivos
anexados aos e-mails e obtidos pela Internet;
• configure o antimalware para verificar automaticamente os discos
rígidos e as unidades removíveis (como pen-drives, CDs, DVDs e discos
externos);
• mantenha o arquivo de assinaturas sempre atualizado
(configure o antimalware para atualizá-lo automaticamente pela rede, de
preferência diariamente);
• mantenha o antimalware sempre atualizado, com a versão
mais recente e com todas as atualizações existentes aplicadas;
• evite executar simultaneamente diferentes programas
antimalware (eles podem entrar em conflito, afetar o desempenho do
computador e interferir na capacidade de detecção um do outro);
• crie um disco de emergência e o utilize-o quando desconfiar que o
antimalware instalado está desabilitado/comprometido ou que o
comportamento do computador está estranho (mais lento, gravando ou
lendo o disco rígido com muita frequência, etc.).
USO SEGURO DA INTERNET
Ao usar navegadores Web:
• mantenha-o atualizado, com a versao mais recente e com todas as
atualizações aplicadas;
• configure-o para verificar automaticamente atualizações, tanto dele
próprio como de complementos que estejam instalados;
• permita a execução de programas Java e JavaScript, porém
assegure-se de utilizar complementos, como o NoScript (disponível para
alguns navegadores), para liberar gradualmente a execução, conforme
necessário, e apenas em sites confiáveis;
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 56 de 144
• permita que programas ActiveX sejam executados apenas quando
vierem de sites conhecidos e confiáveis;
• seja cuidadoso ao usar cookies caso deseje ter mais privacidade;
• caso opte por permitir que o navegador grave as suas senhas,
tenha certeza de cadastrar uma chave mestra e de jamais esquecê-la
(para que somente com a chave mestra seja possível visualizar as outras
senhas salvas pelo navegador);
Ao usar programas leitores de e-mails:
• mantenha-o atualizado, com a versão mais recente e com as todas
atualizações aplicadas;
• configure-o para verificar automaticamente atualizações, tanto dele
próprio como de complementos que estejam instalados;
• não utilize-o como navegador Web (desligue o modo de
visualização no formato HTML);
• seja cuidadoso ao usar cookies caso deseje ter mais privacidade;
• seja cuidadoso ao clicar em links presentes em e-mails (se você
realmente quiser acessar a página do link, digite o endereço diretamente
no seu navegador Web);
• desconfie de arquivos anexados a mensagem mesmo que tenham
sido enviados por pessoas ou instituições conhecidas (o endereço do
remetente pode ter sido falsificado e o arquivo anexo pode estar
infectado);
• antes de abrir um arquivo anexado a mensagem tenha certeza de
que ele não apresenta riscos, verificando-o com ferramentas
antimalware;
• verifique se seu sistema operacional está configurado para mostrar
a extensão dos arquivos anexados;
• desligue as opções que permitem abrir ou executar
automaticamente arquivos ou programas anexados as mensagens;
• desligue as opções de execução de JavaScript e de programas
Java;
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 57 de 144
• habilite, se possível, opções para marcar mensagens suspeitas de
serem fraude;
• use sempre criptografia para conexão entre seu leitor de e-mails e
os servidores de e-mail do seu provedor;
Finda essa “enxurrada” de conhecimento, que tal uma bateria de
exercícios para consolidar o conhecimento?
91824207425
Informática para Polícia Federal 2016
Prof Victor Daltonʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 58 de 144
EXERCÍCIOS COMENTADOS CESPE
1ª Questão) (CESPE – ANATEL – Analista Administrativo – Suporte e
Infraestrutura de TI - 2014) Para que a criptografia de chave pública seja
considerada segura, uma das premissas é que o conhecimento do algoritmo, o
conhecimento de uma das chaves e a disponibilidade de amostras de texto
cifrado sejam, em conjunto, insuficientes para determinar a outra chave.
Correto. Mesmo conhecendo o algoritmo e uma das chaves, normalmente
a pública, é matematicamente inviável descobrir a chave privada para decifrar
uma mensagem. Consolidados estes conceitos, a criptografia de chave pública é
segura.
2ª Questão) (CESPE – ANATEL – Analista Administrativo – Suporte e
Infraestrutura de TI - 2014) A assinatura eletrônica vinculada a um
certificado emitido no âmbito da ICP-Brasil tem função específica e restrita de
determinar a não violação do conteúdo de um documento assinado
eletronicamente, e não conduz à presunção de autenticidade do emissor do
documento subscrito.
Errado! Um certificado válido emitido no âmbito da ICP-Brasil também
assegura a autenticidade do emissor do documento.
(CESPE – ANTAQ – Analista Administrativo – Infraestrutura de TI -
2014) No que diz respeito aos fundamentos de criptografia e certificação digital,
julgue os itens subsecutivos. Nesse contexto, considere que a sigla AC, sempre
que utilizada, se refira a autoridade certificadora.
3 Para a obtenção da chave pública de uma AC, utiliza-se um esquema de
gerenciamento de chaves públicas, denominado infraestrutura de chaves
públicas (ICP). No Brasil, a ICP-Brasil é organizada de forma hierárquica, em que
uma AC raiz certifica outras ACs e, posteriormente, estas, bem como a AC raiz,
emitem certificados para os usuários finais.
Errado! 90% da sentença está correta. O único equívoco foi insinuar que a
AC raiz também emite certificados aos usuários finais. Ela emite somente para
as outras ACs imediatamente abaixo do seu nível.
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 59 de 144
4 Cada certificado digital emitido por uma AC é específico para determinado
usuário final e pode ser revogado a qualquer momento pela respectiva AC.
Correto.
5 Na criptografia simétrica, a mesma chave compartilhada entre emissor e
receptor é utilizada tanto para cifrar quanto para decifrar um documento. Na
criptografia assimétrica, utiliza-se um par de chaves distintas, sendo a chave
pública do receptor utilizada pelo emissor para cifrar o documento a ser enviado;
posteriormente, o receptor utiliza sua chave privada para decifrar o documento.
Correto. Explicação bem didática de ambas as criptografias.
6 A utilização adequada dos mecanismos de criptografia permite que se
descubra qualquer alteração em um documento por partes não autorizadas, o
que garante a confidencialidade do documento.
Errado! A garantia de não alteração de um documento se relaciona com o
princípio da integridade. Confidencialidade é a garantia de que a informação
será acessada somente por quem de direito.
7 Para a utilização de criptografia assimétrica, a distribuição das chaves
públicas é comumente realizada por meio de certificado digital, que contém o
nome do usuário e a sua chave pública, sendo a autenticidade dessas
informações garantida por assinatura digital de uma terceira parte confiável,
denominada Autoridade Certificadora.
Correto. A Autoridade Certificadora garante a autenticidade do dono do
Certificado e, ao fornecer a chave pública, garante que somente o dono do
certificado pode decifrar as mensagens que lhe forem enviadas.
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 60 de 144
(CESPE – ANTAQ – Analista Administrativo – Infraestrutura de TI -
2014) Julgue os itens a seguir, relativos aos ataques em redes e aplicações
corporativas.
8 Um ataque de SQL injection tenta explorar as características da
linguagem SQL, principalmente do interpretador de comandos SQL, podendo
danificar as informações armazenadas em um servidor, sem, entretanto,
conseguir quebrar a confidencialidade desse conteúdo.
Errado! O ataque SQL tanto pode danificar as informações de um servidor
quanto extraí-las. Ao extrair informações, viola-se a confidencialidade do
conteúdo.
9 O ataque cross-site scripting, executado quando um servidor web inclui,
nos dados de uma página web enviada para um usuário legítimo, um conjunto
de dados que tenham sido previamente recebidos de um usuário malicioso,
permite que se roube de um usuário legítimo senhas, identificadores de sessões
e cookies.
Correto.
10 Em um ataque de DDoS, que objetiva deixar inacessível o recurso
computacional para os usuários legítimos, um computador mestre controla
milhares de computadores zumbis que acessam um sistema ao mesmo tempo
(um servidor web, por exemplo), com o objetivo de esgotar seus recursos.
Correto. O DDoS, em virtude da aparência legítima de requisições de
acesso, é uma das formas de ataque mais difíceis de serem combatidas.
(CESPE – SUFRAMA – Analista de Sistemas - 2014) No que se refere à
segurança da informação, julgue os itens a seguir.
11 Para averiguar a integridade de um arquivo de computador a ser
transmitido por um meio inseguro, pode-se gerar um hash antes da transmissão
e verificar o hash após a transmissão.
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 61 de 144
Correto. O hash, ao ser verificado após a transmissão, garante a
autenticidade do remetente e a integridade da mensagem.
12 A utilização de algoritmos de criptografia garante a disponibilidade e a
autenticidade de informações em ambientes de tecnologia da informação.
Errado! A criptografia não se relaciona diretamente com a
disponibilidade da informação. Disponibilidade é o acesso à informação quando
deseja-se acessá-la. Isto é garantido por meio de infraestrutura, permissões de
acesso... enfim, por outros meios.
(CESPE – TCDF – Analista de Administração Pública - Sistemas de TI
- 2014) Acerca de criptografia e da infraestrutura de chave pública, julgue os
itens subsecutivos.
13 A assinatura digital é gerada por criptografia assimétrica mediante a
utilização de uma chave pública para codificar a mensagem.
Errado! Na assinatura digital, utiliza-se a chave privada para assinar a
mensagem. Assim, por meio da chave pública, constata-se a autenticidade do
autor da mensagem.
14 A técnica de criptografia de chave única utiliza a mesma chave para
criptografar e descriptografar uma mensagem.
Correto. Esta é a criptografia simétrica.
15 A lista de certificados revogados (LCR) de uma infraestrutura de chaves
públicas deve ser emitida pela autoridade certificadora, que também é
responsável por emitir e gerenciar certificados digitais.
Correto. Responsabilidades da AC.
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 62 de 144
(CESPE – TJ/SE – Analista Judiciário – Análise de Sistemas - 2014)
Em relação à segurança e à proteção de informações na Internet, julgue os itens
subsequentes.
16 Cavalo de Troia, também conhecido como trojan, é um programa
malicioso que, assim como os worms, possui instruções para autorreplicação.
Errado! Trojans não são autorreplicantes! Worms são...
17 Spyware é um programaou dispositivo que monitora as atividades de
um sistema e transmite a terceiros informações relativas a essas atividades, sem
o consentimento do usuário. Como exemplo, o keylogger é um spyware capaz de
armazenar as teclas digitadas pelo usuário no teclado do computador.
Correto.
18 Vírus são programas que podem apagar arquivos importantes
armazenados no computador, podendo ocasionar, até mesmo, a total
inutilização do sistema operacional.
Correto.
19 Um tipo específico de phishing, técnica utilizada para obter informações
pessoais ou financeiras de usuários da Internet, como nome completo, CPF,
número de cartão de crédito e senhas, é o pharming, que redireciona a
navegação do usuário para sítios falsos, por meio da técnica DNS cache
poisoning.
Correto.
(CESPE – TJ/SE – Analista Judiciário – Suporte Técnico em
Infraestrutura - 2014) Considerando que as técnicas associadas à criptografia
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 63 de 144
são comumente empregadas para se atingir requisitos de segurança, julgue os
itens a seguir.
20 Em sistemas de uso prático, são usadas as técnicas simétricas e as
assimétricas combinadas.
Correto. É normal a utilização da criptografia assimétrica para trocar a
chave simétrica, quando estabelecidas sessões curtas de comunicação (como,
por exemplo, o acesso a um site com certificado).
21 A confidencialidade pode ser obtida pelo uso da criptografia simétrica e
da assimétrica.
Correto. Criptografia, em primeiro lugar, preocupa-se com a
confidencialidade da informação.
22 Em conjunto com as funções de resumo criptográfico (hash), a
criptografia simétrica proporciona autenticidade.
Errado! Seria a criptografia assimétrica.
23 A criptografia assimétrica proporciona o não repúdio, não
proporcionando, porém, a autenticidade.
Errado! O não-repúdio é um conceito que vai além da autenticidade.
Autenticade é você saber quem enviou, não-repúdio é o autor não poder negar
que foi ele quem enviou. Caso os instrumentos criptográficos assegurem o não-
repúdio, a autenticidade automaticamente é assegurada.
24 As funções de resumo criptográfico oferecem garantia probabilística de
inforjabilidade.
Correto. Inforjabilidade é a impossibilidade de falsificação. O hash
assegura garantia probabilística de inforjabilidade, na medida em que é
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 64 de 144
matematicamente improvável adulterar uma mensagem de modo a produzir
exatamente o mesmo hash da mensagem original.
(CESPE – TJ/AC – Técnico em Informática - 2012) Julgue os itens a
seguir, a respeito de aplicativos usados no combate a pragas virtuais.
25 O antispyware é um software que se destina especificamente a detectar
e remover spywares, enquanto o antivírus é uma ferramenta que permite
detectar e remover alguns programas maliciosos, o que inclui certos tipos de
spywares.
Correto.
26 Por serem de difícil detecção, os worms só podem ser combatidos por
ferramentas específicas para esse fim, que se denominam antiworms.
Errado! Worms são combatidos com firewall, que impedem sua
propagação pela rede.
27 Sistemas de prevenção à intrusão (IPS) e sistemas de detecção de
intrusão (IDS) são sistemas concebidos com os mesmos propósitos. A diferença
entre eles encontra-se no público-alvo. Enquanto os IPS são sistemas voltados
para os usuários domésticos, os IDS focam as grandes redes corporativas.
Errado! A diferença básica entre um Intrusion Detection System (IDS)
para um Intrusion Prevention System (IPS) é que os sistemas de prevenção
são ativos, enquanto os sistemas de detecção são passivos. Enquanto o IDS
informa sobre um potencial ataque, o IPS promove tentativas de parar o ataque.
Um outro grande avanço sobre o IDS é que o IPS tem a capacidade de prevenir
invasões com “assinaturas” conhecidas, mas também pode impedir alguns
ataques não conhecidos, devido a sua base de dados de “comportamentos” de
ataques genéricos. Visto como uma combinação de IDS e de uma “camada de
aplicação Firewall” para proteção, o IPS geralmente é considerado a geração
seguinte do IDS.
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 65 de 144
28 As ferramentas antispam permitem combater o recebimento de
mensagens consideradas spam e, em geral, baseiam-se na análise do conteúdo
das mensagens.
Correto. As ferramentas antispam costumam integrar os webmails e os
aplicativos comerciais de email, como Outlook e Thunderbird.
29 O recurso de segurança denominado firewall pode ser implementado por
software ou por hardware.
Correto. Além dos aplicativos Firewall, existem soluções comerciais de
hardware, de grandes fabricantes comerciais.
Firewall da CISCO
30 O firewall é configurado pelo seu fabricante para que proteja uma rede
local de computadores, com base no perfil dos usuários dessa rede.
Errado! O firewall deve ser configurado pelo administrador da rede, com
base nas necessidades da organização. Se os usuários da rede desejarem utilizar
torrent, por exemplo, e isso for contrário ao interesse da organização, o firewall
pode ser configurado para não permitir a utilização dessas portas.
31 O uso de programas antivírus continuamente atualizados é uma prática
suficiente para se evitar que um worm contamine um computador.
Errado! Worms não se instalam em arquivos, portanto, não são
encontrados por antivírus.
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 66 de 144
(CESPE – CNJ – Técnico Judiciário: Programação de Sistemas -
2013) Com relação a conceitos de segurança da informação, julgue os itens a
seguir.
32 Vírus de macro infectam arquivos criados por softwares que utilizam
linguagem de macro, como as planilhas eletrônicas Excel e os documentos de
texto Word. Os danos variam de alterações nos comandos do aplicativo à perda
total das informações.
Correto. Por isso que Excel e Word sempre perguntam ao usuário se ele
deseja “Habilitar Macros”, quando abre algum arquivo que possua esse recurso.
33 Vírus de script registram ações dos usuários e são gravados no
computador quando da utilização de um pendrive infectado.
Errado! Vírus de script são comandos maliciosos inseridos em scripts de
páginas web. Quem registra ações dos usuários são os keyloggers, ou os
mouseloggers. Eles são ativados quando uma página maliciosa é aberta.
34 A utilização de sistemas biométricos dispensa a segurança de dados de
forma isolada, uma vez que o acesso é mais restrito em decorrência do alto
controle de erro, não havendo necessidade de intervenção do programador no
testamento dos dados.
Errado! Sistemas com biometria, como, por exemplo, uma catraca, exige
segurança na tramitação dos seus dados, bem como pode exigir o teste e a
verificação de eventuais erros, por parte do programador.
35 A proteção aos recursos computacionais inclui desde aplicativos e
arquivos de dados até utilitários e o próprio sistema operacional.
Correto. Lembrando, ainda, que até mesmo a proteção física das
instalações fazem parte das medidas de segurança de um sistema.
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 67 de 144
36 Para aumentar a segurança de um programa, deve-se evitaro uso de
senhas consideradas frágeis, como o próprio nome e identificador de usuário,
sendo recomendada a criação de senhas consideradas fortes, ou seja, aquelas
que incluem, em sua composição, letras (maiúsculas e minúsculas), números e
símbolos embaralhados, totalizando, preferencialmente, mais de seis caracteres.
Correto.
37 O princípio da autenticidade é garantido quando o acesso à informação
é concedido apenas a pessoas explicitamente autorizadas.
Errado! Esse é o princípio da confidencialidade. O princípio da
autenticidade é aquele no qual é possível atestar que a entidade emissora da
mensagem realmente é quem diz ser.
(CESPE – MPE/PI – Técnico Ministerial – Informática - 2011) Julgue
os itens a seguir, a respeito de segurança da informação.
38 O firewall do Windows tem funcionalidades apropriadas que possibilitam
o bloqueio de algumas solicitações de conexão ao computador pessoal de um
usuário.
Correto. Quando não existe nenhum firewall instalado no computador, o
firewall do Windows é ativo e permite uma série de configurações.
39 (CESPE – TJDFT – Técnico Judiciário Área Administrativa - 2013)
Backdoor é uma forma de configuração do computador para que ele engane os
invasores, que, ao acessarem uma porta falsa, serão automaticamente
bloqueados.
Errado! Backdoor é uma falha de segurança que pode existir em um
programa de computador ou sistema operacional, que pode permitir a invasão
do sistema.
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 68 de 144
(CESPE – ANAC – Analista Administrativo: Cargo 4 –2012) Julgue os
próximos itens, relativos aos conceitos sobre criptografias, algoritmos simétricos
e assimétricos de criptografia.
40 O algoritmo RSA, baseado na construção de chaves públicas e privadas,
utiliza números primos, e, quanto maior for o número primo escolhido, mais
seguro será o algoritmo.
Certa. O RSA é um algoritmo de chave assimétrica, e sua segurança está
diretamente relacionada à dificuldade de decifrar grandes números primos.
41 A técnica utilizada para esconder uma mensagem secreta dentro de
uma maior, de modo que não se possa discernir a presença ou o conteúdo da
mensagem oculta é denominada estenografia.
Errada. Esteganografia. A cara do CESPE.
42 O DES (data encryption standard) triplo utiliza, exatamente, por três
vezes o algoritmo DES, além de uma mesma chave de 56 bits para criptografar
mensagens.
Errada. Opa! O 3-DES realmente usa o algoritmo DES 3 vezes, mas ele
usa três chaves diferentes, e não a mesma chave. Lembro ainda que a chave
possui 64bits, sendo 56 bits efetivamente utilizados no algoritmo e 8 bits de
paridade.
Acerca de certificação digital, julgue os próximos itens.
43 A Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil) é uma cadeia
hierárquica e de confiança que viabiliza a emissão de certificados digitais para a
identificação virtual do cidadão no Brasil, conforme os padrões e normas
estipulados pela CERTISIGN, à qual se subordina hierarquicamente em nível
mundial.
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 69 de 144
Errada. A ICP-Brasil é subordinada à Presidência da República, e a
CERTISIGN é uma autoridade certificadora de 1º nível, diretamente subordinada
à AC-Raiz. Veja mais em http://www.iti.gov.br/index.php/icp-brasil/estrutura.
44 Assim como pessoas físicas, as micro e pequenas empresas também
podem comprovar sua identidade no meio virtual, realizar transações comerciais
e financeiras com validade jurídica, participar de pregões eletrônicos e trocar
mensagens no mundo virtual com segurança e agilidade com o e-CPF Simples.
Certa. O e-CPF é a versão eletrônica do CPF para a pessoa física, enquanto
o e-CPF Simples é a versão para as micro e pequenas empresas.
(CESPE – ANCINE – Analista Administrativo: Área 2 –2013) Julgue os
próximos itens, acerca de segurança da informação.
45 No que tange à autenticação, a confiabilidade trata especificamente da
proteção contra negação, por parte das entidades envolvidas em uma
comunicação, de ter participado de toda ou parte desta comunicação.
Errada. Trata-se do não-repúdio.
46 A assinatura digital, que é uma unidade de dados originada de uma
transformação criptográfica, possibilita que um destinatário da unidade de dados
comprove a origem e a integridade dessa unidade e se proteja contra
falsificação.
Certa.
(CESPE – BACEN – Analista - Área 2 –2013) A respeito de fundamentos
de assinatura digital e certificado digital, julgue os itens subsequentes.
47 A autoridade certificadora é responsável por divulgar informações caso
o certificado por ela emitido não seja mais confiável.
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 70 de 144
Certa. Quando um certificado perde a validade ou a sua confiabilidade, é
responsabilidade da autoridade certificadora revogá-lo.
48 O uso de assinatura digital objetiva comprovar a autenticidade e a
integridade de uma informação, sendo a integridade garantida mediante a
codificação de todo o conteúdo referente à assinatura.
Errada. As funções de hash servem justamente para não precisar codificar
toda a mensagem, mas sim um resumo dela.
(CESPE – SERPRO – Analista – Desenvolvimento de Sistemas –
2013) Acerca dos requisitos de segurança da informação, julgue os itens a
seguir.
49 Um ataque à infraestrutura de conectividade de um banco à Internet,
interrompendo o acesso a seus serviços de home banking, afeta a
disponibilidade.
Certa. Se a informação deixa de estar disponível, é a disponibilidade a
característica afetada.
50 O furto de um notebook que contenha prontuários e resultados de
exames dos pacientes de um médico afeta a confiabilidade das informações.
Errada. Nesse caso, a confidencialidade será afetada, uma vez que esta
informação estará de posse de pessoas não autorizadas a acessar a informação.
Ainda, se esses prontuários estivessem somente nesse notebook, a
disponibilidade também seria afetada.
(CESPE – SERPRO – Analista – Desenvolvimento de Sistemas –
2013) Julgue os itens a seguir, referentes à criptografia e assinatura e
certificação digitais.
51 Um certificado digital consiste na cifração do resumo criptográfico de
uma chave pública com a utilização da chave privada de uma autoridade
certificadora.
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 71 de 144
Errada. Um certificado digital pode ter a chave pública de uma entidade
cifrada com a chave privada da Autoridade Certificadora. Assim, ao decifrar a
chave pública da entidade usando a chave pública da AC, existe a confiança na
procedência da chave.
52 Uma assinatura digital consiste na cifração do resumo criptográfico de
uma mensagem ou arquivo, com o uso da chave privada de quem assina.
Certa.
(CESPE – CNPQ – Cargo 1 - 2011) Sistemas de segurança da informação
são frequentemente comparados a uma corrente com muitos elos que
representam os componentes desenvolvidos, tais como equipamento, software,
protocolos de comunicação de dados, e outros, incluindo o usuário humano. Na
literatura sobre segurança da informação, o usuário humano é frequentemente
referenciado como o elo mais fraco.
Internet: <www.cienciasecognicao.org> (com adaptações).
Tendo como referência o texto acima, julgue os próximos itens, referentes
ao comportamento do usuário quanto à segurança da informação.53 A fim de se preservar a integridade, a confidencialidade e a
autenticidade das informações corporativas, é necessário que os empregados e
os contratados do órgão sejam treinados, de forma que se conscientizem da
importância da segurança da informação e se familiarizem com os
procedimentos adequados na ocorrência de incidentes de segurança.
Correto. De nada adianta a utilização das mais complexas tecnologias para
a proteção da informação se as pessoas responsáveis por sua segurança são mal
treinadas e/ou mal orientadas.
54 O fato de pesquisa de Alan S. Brown (Generating and Remembering
Passwords – 2004) mostrar que mais da metade dos entrevistados guardavam
cópias escritas de suas senhas confirma que o usuário humano é “o elo mais
fraco” do processo de segurança da informação, situação que é compensada pela
utilização combinada de firewalls, anti-vírus ou pela utilização dos UPP (user
protectors passwords).
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 72 de 144
Errado! Como afirmado no item anterior, não existe “compensação” para a
falha humana. Firewalls e antivírus não protegem a máquina de um acesso
indevido realizado por um intruso que apoderou-se da senha de um usuário,
porque estava escrita em um papel, ou por qualquer outro motivo. UPP (user
protectors passwords) não existe.
(CESPE – MPE/PI – Cargos 1 a 5 e 7 a 9 - 2011) Julgue os itens a
seguir, relacionados à segurança da informação.
55 Caso computadores estejam conectados apenas a uma rede local, sem
acesso à Internet, a instalação de firewall em cada computador da rede é
suficiente para evitar a contaminação por vírus de um computador dessa rede.
Errado! O CESPE não se cansa de repetir essa ideia. Firewalls não
impedem a contaminação por vírus! Além do mais, não há necessidade de
instalação de Firewalls em cada computador da empresa. Firewalls devem ser
instalados em pontos da rede que sejam vulneráveis, como, por exemplo, no
proxy que fornece o acesso à Internet, ou nos pontos que fornecem acesso à
rede sem fio (wireless).
(CESPE – SESA/ES – Todos os cargos - 2011) Acerca dos conceitos e
aplicações de Internet e intranet, organização e segurança de informações,
julgue os itens a seguir.
56 O certificado digital é uma das tecnologias que permite identificar se um
sítio de informações é reconhecido pelos registradores de domínio da Internet,
se seu endereço é válido e se é garantida a segurança dos usuários que
baixarem arquivos gerados por certificados autoassinados.
Errado! O Certificado Digital é, na prática, um arquivo de computador
que contém um conjunto de informações referentes a entidade para o qual o
certificado foi emitido (seja uma empresa, pessoa física ou computador) mais a
chave pública referente à chave privada que acredita-se ser de posse
unicamente da entidade especificada no certificado.
Voltando à questão, ela até começa correta, uma vez que o Certificado
Digital, como consequência, valida o site que está sendo acessado como
legítimo. Mas “garantida a segurança dos usuários que baixarem arquivos
gerados por certificados autoassinados” é um erro. Certificados que não são
assinados por autoridades certificadoras são perigosos, pois podem ser utilizados
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 73 de 144
para fins maliciosos. Recomendo a leitura de http://cartilha.cert.br/criptografia/
para complementar seus estudos, caso você ainda tenha dúvidas.
57 Uma das formas de se aplicar o conceito de disponibilidade da
informação é por meio da realização de cópias de segurança, que contribuem
para a restauração dos dados ao seu ponto original (de quando foi feita a cópia),
o que reduz as chances de perda de informação em situações de panes, roubos,
queda de energia, entre outras.
Correto. Disponibilidade da informação relaciona-se com a informação
estar sempre disponível, quando necessário. Logo, a criação de cópias de
segurança é um procedimento que colabora com a manutenção desse princípio.
(CESPE – SSP/CE – Cargos 1 a 5 e 7 a 9 - 2012) Julgue os itens que se
seguem, referentes a segurança da informação.
58 O antivírus, para identificar um vírus, faz uma varredura no código do
arquivo que chegou e compara o seu tamanho com o tamanho existente na
tabela de alocação de arquivo do sistema operacional. Caso encontre algum
problema no código ou divergência de tamanho, a ameaça é bloqueada.
Errada! O antivírus compara o código de um arquivo com padrões
maliciosos conhecidos, em sua base de dados. Por isso a importância de manter
os antivírus sempre atualizados, de modo que ele saiba reconhecer os vírus mais
novos.
(CESPE – SEGER/ES – Todos os cargos - 2010) Considerando que, em
uma intranet, os servidores web estejam configurados para uso de certificados
digitais, julgue os itens subsequentes.
59 Entre as características de um certificado digital inclui-se a existência de
um emissor, do prazo de validade e de uma assinatura digital.
Correto. O emissor do certificado é a Autoridade Certificadora. O prazo de
validade é o período para o qual o certificado tem valor e a assinatura digital é
um recurso que permite a assinatura de uma mensagem pelo emissor. Ela é
feita com a chave privada do emissor, e, ao utilizar a chave pública para
decifrar, é verificada a autenticidade do emissor, bem como a integridade da
mensagem enviada.
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 74 de 144
60 O uso do protocolo https assegura que as informações trafegadas
utilizem certificados digitais.
Correto. Sites com https utilizam certificados digitais. Atenção: sites cujos
certificados foram assinados por autoridades certificadoras possuem um cadeado
exibido pelo navegador de Internet. Em caso de certificados autoassinados, o
navegador de internet emite um aviso, e pergunta se você deseja continuar
navegando pelo referido site.
(CESPE – Assembleia Legislativa/CE – Cargo 10 - 2011) Em relação a
segurança da informação e procedimentos de segurança, julgue os seguintes
itens.
61 Worms são programas que se espalham em uma rede, criam cópias
funcionais de si mesmo e infectam outros computadores.
Certo. Os worms são autorreplicantes.
62 ELIMINAR
63 O adware, tipo de firewall que implementa segurança de acesso às
redes de computadores que fazem parte da Internet, evita que essas redes
sejam invadidas indevidamente.
Errado! Adware não é firewall! É um malware, relacionado à publicidade.
(CESPE – Corpo de Bombeiros /DF – Todas as áreas - 2011) Julgue
os itens a seguir, relacionados a conceitos de sistema operacional, aplicativos e
procedimentos de Internet e intranet e segurança da informação.
64 Phishing é um programa utilizado para combater spyware, adware e
keyloggers, entre outros programas espiões.
Errado! Phishing é uma fraude virtual que normalmente chega por e-mail,
com a tentativa de convencer o usuário de que ele precisa preencher um
formulário com seus dados ou clicar em um determinado link para baixar um
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 75 de 144
arquivo, que na verdade é um vírus, e o site, se acessado, roubará todos os
dados digitados.
65 Os procedimentos de backup devem ser executados com frequência
para se evitar a perda de dados. Uma ação recomendável é manter uma cópia
das informações críticas em localdiferente do computador em que essas
informações se encontrem.
Correto. A norma ISO 27002 recomenda esse tipo de procedimento.
(CESPE – Câmara dos Deputados 2012 – Analista Legislativo:
Técnica Legislativa - 2012) Acerca de noções de vírus de computador e
técnicas de segurança da informação, julgue os itens que se seguem.
66 O termo Spam, consiste de emails não solicitados que são enviados,
normalmente, apenas para uma única pessoa e têm sempre conteúdo comercial.
Essa mensagem não transporta vírus de computador ou links na Internet.
Errado! Inverta tudo. Spam é um tipo de email enviado em massa, pode
ter conteúdo comercial, pornográfico, bancário, etc. Ainda, pode transportar
vírus ou indicar links maliciosos na internet.
67 A finalidade do uso de certificados digitais em páginas na Internet, por
meio de HTTPS, é evitar que o conteúdo total dos dados de camada de
aplicação, se capturados durante o tráfego, sejam identificados por quem o
capturou.
Certo. Com HTTPS, o conteúdo é enviado de maneira criptografada,
utilizando os princípios de chave pública e privada.
68 O termo phishing designa a técnica utilizada por um fraudador para
obter dados pessoais de usuários desavisados ou inexperientes, ao empregar
informações que parecem ser verdadeiras com o objetivo de enganar esses
usuários.
Correto.
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 76 de 144
(CESPE – ANAC – Técnico em Regulação áreas 1,3 e 4 - 2012) Com
relação aos conceitos de segurança da informação, julgue os itens subsequentes.
69 Um firewall pessoal é uma opção de ferramenta preventiva contra
worms.
Correto. Worms procuram replicar-se pela rede sem conhecimento do
usuário. Uma computador com firewall pode impedir a propagação de worms,
bem como o seu recebimento.
70 Com o certificado digital que é emitido pelo próprio titular do certificado,
podem-se realizar transações seguras com qualquer empresa que ofereça
serviços pela Internet.
Errado! Certificados autoassinados podem pertencer a sites maliciosos.
Lembre-se disso!
(CESPE – FNDE – Técnico em Financiamento e Execução de
Programas e Projetos Educacionais - 2012) Julgue o próximo item, relativos
à segurança da informação.
71 Trojans ou cavalos de troia são programas capazes de multiplicar-se
mediante a infecção de outros programas maiores. Eles não têm o objetivo de
controlar o sistema, porém tendem a causar efeitos indesejados. Já os worms
causam efeitos altamente destrutivos e irreparáveis. Ao contrário dos trojans, os
worms utilizam o email como principal canal de disseminação, mas não possuem
a capacidade de produzir cópias de si mesmos ou de algumas de suas partes.
Errado! Os conceitos de worms e trojans estão invertidos, no começo. Os
Worms se multiplicam, enquanto os Trojans podem ter efeitos altamente
destrutivos. Trojans podem ser enviados por email, mas esse é o ponto forte dos
Worms, que, além disso, produzem cópias de si mesmo, ou de algumas partes.
(CESPE – FNDE – Especialista em Financiamento e Execução de
Programas e Projetos Educacionais - 2012) Julgue os itens subsecutivos,
referentes a conceitos de segurança da informação.
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 77 de 144
72 Como forma de garantir a disponibilidade de informação mantida em
meios eletrônicos, deve-se fazer o becape de arquivos dos dados originais.
Normalmente, sempre que o procedimento de becape é executado, o sistema
operacional do equipamento faz uma cópia da totalidade dos dados em meio de
armazenamento distinto do utilizado para guarda dos dados originais.
Errado! Apenas a parte final. O Sistema Operacional, por padrão, faz
backup no próprio disco rígido. Para fazer backup em outra mídia, é necessário a
intervenção do usuário.
73 Embora sejam considerados programas espiões, os spywares também
são desenvolvidos por empresas com o objetivo de coletar legalmente
informações acessíveis de usuários.
Correto. Quando você autoriza a Microsoft, ou outra empresa, a enviar
dados de maneira anônima para “ajudar a aprimorar o software”, tal tarefa é
realizada por um spyware.
74 Para proteger um computador contra os efeitos de um worm, pode-se
utilizar, como recurso, um firewall pessoal.
Correto. O firewall ajuda a proteger contra worms, pois fecha portas que
eles utilizam para se reproduzir, pela rede.
(CESPE – Câmara dos Deputados – Analista Legislativo: Técnico em
Material e Patrimônio - 2012) Julgue os itens que se seguem, acerca de
procedimentos e conceitos de segurança da informação.
75 Para garantir que os computadores de uma rede local não sofram
ataques vindos da Internet, é necessária a instalação de firewalls em todos os
computadores dessa rede.
Errado! Para proteger uma rede de computadores de ataques oriundos da
Internet, basta a instalação de um firewall no computador que realiza o Proxy
da rede, ou seja, o computador que centraliza o acesso externo da rede.
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 78 de 144
76 Ao se realizar um procedimento de backup de um conjunto arquivos e
pastas selecionados, é possível que o conjunto de arquivos e pastas gerado por
esse procedimento ocupe menos espaço de memória que aquele ocupado pelo
conjunto de arquivos e pastas de que se fez o backup.
Correto. O backup pode empregar algum método de compressão,
diminuindo o espaço em disco ocupado originalmente.
77 Os worms, assim como os vírus, infectam computadores, mas,
diferentemente dos vírus, eles não precisam de um programa hospedeiro para
se propagar.
Correto. Worms se reproduzem sem a necessidade de um programa
hospedeiro.
(CESPE – TRE/RJ – Conhecimentos Básicos cargos 1 a 7 – 2012) A
respeito de segurança da informação, julgue os itens subsequentes.
78 É possível executar um ataque de desfiguração (defacement) — que
consiste em alterar o conteúdo da página web de um sítio — aproveitando-se da
vulnerabilidade da linguagem de programação ou dos pacotes utilizados no
desenvolvimento de aplicação web.
Correto. Os ataques de defacement são aqueles que modificam sites
legítimos. Sites de instituições públicas são alvos constantes desse tipo de
invasão, utilizada por grupos hackers para fazer protestos de cunho político.
79 Nos procedimentos de backup, é recomendável que as mídias do backup
sejam armazenadas no mesmo local dos dados de origem, a fim de tornar a
recuperação dos dados mais rápida e eficiente.
Errado! Preconiza-se guardar as mídias de backup em local distinto dos
dados de origem, para evitar que ambos sejam atingidos por um mesmo
desastre, como um incêndio ou roubo.
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 79 de 144
(CESPE – TJ/AC – Técnico em Informática - 2012) No que se refere a
procedimentos de segurança, julgue os seguintes itens.
80 A execução dos procedimentos de segurança da informação
estabelecida em uma empresa compete ao comitê responsável pela gestão da
segurança da informação.
Errado! A execução dos procedimentos de segurança da informação é de
responsabilidade de TODOS, da diretoria executiva ao estagiário mais novo da
organização.
81 A atualização automática on-line do sistema operacional é uma prática
que garante que o computador não sofrerá infecção por bots.
Errado! Atualizar o sistema operacional certamente colabora para a
correção defalhas de segurança. Mas garantir é um verbo muito forte, e que
não se aplica à questão.
82 Para garantir a confidencialidade de informações críticas de uma
empresa, devem ser estabelecidos procedimentos não só para a guarda e
disponibilização dessas informações, mas também para o seu descarte.
Correto. Confidencialidade diz respeito à garantia que somente as pessoas
autorizadas podem visualizar a informação. E, naturalmente, medidas devem ser
tomadas desde a geração da informação até o seu descarte. Documento sigiloso
na lixeira, sem triturar, pode ser facilmente lido, não é mesmo?
(CESPE – TJDFT – Técnico Judiciário Área Administrativa - 2013)
Acerca de redes de computadores e segurança da informação, julgue os itens
subsequentes.
83 Autenticidade é um critério de segurança para a garantia do
reconhecimento da identidade do usuário que envia e recebe uma informação
por meio de recursos computacionais.
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 80 de 144
Correto. E a consequência natural da autenticidade é o não-repúdio, que
é a impossibilidade do autor negar a autoria de sua mensagem.
84 Nobreak é um equipamento que mantém, durante determinado tempo,
em caso de falta de energia elétrica na rede, o funcionamento de computadores
que a ele estiverem conectados.
Correto. O estabilizador, por sua vez, apenas gerencia pequenos desvios
de tensão na eletricidade, pois não possui bateria para manter a energia em
caso de queda na rede elétrica.
85 Nas empresas, um mesmo endereço IP é, geralmente, compartilhado
por um conjunto de computadores, sendo recomendável, por segurança, que dez
computadores, no máximo, tenham o mesmo endereço IP.
Errado! Primeiro, vamos destrinchar alguns conceitos. Todo computador,
em uma rede, possui um único endereço IP. Entretanto, nem sempre o endereço
IP dessa rede será o endereço IP que você possuirá perante a internet. Se você
estiver conectado em uma rede corporativa, ou mesmo estiver em uma rede
comum, com um roteador, poderá fazer essa verificação. Em seu computador,
verifique as propriedades de conexão da sua rede, em uma tela similar a esta
(exemplo para Windows):
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 81 de 144
Ao clicar no botão “Detalhes”, dentre várias informações, você poderá ver o
Endereço IPv4, que é o seu endereço IP em sua rede interna, e o Gateway
Padrão, que é o endereço IP da sua porta de acesso à Internet.
Nesse tipo de rede, o Gateway realiza uma operação chamada Network
Address Translation (NAT). Na prática, isso quer dizer que o Gateway (ou o
seu roteador) adota um outro endereço IP, de forma a identificá-lo unicamente
em toda a internet.
Mas por que isso acontece? Para que não haja necessidade de um IP
distinto para cada máquina dentro de uma rede interna. Tente verificar você
mesmo: acesse www.meuenderecoip.com no seu nevegador de internet, e esse
site te dirá o endereço IP que você é visto na internet. Será o endereço IP da
internet do seu roteador, ou do seu gateway. E se você puder fazer o mesmo
teste em outro computador vizinho, na mesma rede, vai verificar que o endereço
IP na internet será o mesmo, apesar das propriedades da rede local mostrarem
diferentes endereços de rede interna.
Logo, a questão está correta? Não, pois não existe esse limite de dez
computadores por roteador, ou gateway. Teoricamente não existe limite, mas,
na prática, as empresas fazem um balanceamento de carga nos seus gateways,
pois a rede pode ficar congestionada se muitas máquinas utilizarem um único
gateway, dependendo do tipo de demanda que as máquinas fazem da internet
(se é pra ver emails, realizar videoconferências, baixar arquivos muito grandes,
cada uso exige a internet de uma forma diferente).
86 A criptografia, mecanismo de segurança auxiliar na preservação da
confidencialidade de um documento, transforma, por meio de uma chave de
codificação, o texto que se pretende proteger.
Correto. Definição de criptografia.
87 (CESPE – TCU – Auditor - Tecnologia da Informação - 2015)
Confidencialidade é a garantia de que somente pessoas autorizadas tenham
acesso à informação, ao passo que integridade é a garantia de que os usuários
autorizados tenham acesso, sempre que necessário, à informação e aos ativos
correspondentes.
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 82 de 144
Errado! O conceito de confidencialidade está correto, mas o segundo
conceito é o de disponibilidade. Integridade é a garantia que a informação não
foi alterada, e permanece íntegra.
88 (CESPE – TCU – Auditor - Tecnologia da Informação - 2015) No
algoritmo AES, a cifra de decriptografia é idêntica à cifra de criptografia, assim
como a sequência de transformações para a decriptografia é a mesma para a
criptografia, o que pode ser considerado uma vantagem, já que apenas um único
módulo de software ou firmware é necessário para aplicações que exigem tanto
criptografia quanto decriptografia.
Errado! Embora o AES realmente seja um algoritmo simétrico, isso não é
uma vantagem, mas sim uma vulnerabilidade. Algoritmos assimétricos são mais
seguros.
89 (CESPE – TCU – Auditor - Tecnologia da Informação - 2015) A
autoridade de registro, além de ser a emissora de certificados e listas de
revogação de certificados, é um componente obrigatório nas PKI e está
associada ao registro das autoridades certificadoras.
Errado! A autoridade de registro não emite certificados, ela faz o “meio de
campo” entre a autoridade certificadora (esta sim emite certificados e listas
de certificados revogados) e o usuário. A AR pode estar fisicamente localizada
em uma AC ou ser uma entidade de registro remota.
90(CESPE – TCU – Auditor - Tecnologia da Informação - 2015) Os
ataques DDoS de camada de aplicação são caracterizados por explorar aspectos
de arquitetura das aplicações e dos serviços para obstruir a comunicação; além
disso, são difíceis de detectar e podem ser efetivos com poucas máquinas e
taxas de tráfego não muito altas.
Correto. Não basta mais saber o que é um ataque DDos. É preciso
diferenciar o ataque na Camada de Aplicação (supracitado), o ataque de
Exaustão de Tabelas de Estado e o Ataque Volumétrico.
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 83 de 144
91 (CESPE – FUB – Conhecimentos Básicos - 2015) Vírus é um
programa autossuficiente capaz de se propagar automaticamente pelas redes
enviando cópias de si mesmo de um computador para outro.
Errado! Descrição bem didática de worm. Vírus não são auto propagáveis
pela rede, enviando cópias de si mesmo.
92 (CESPE – FUB – Nível Intermediário - 2015) Certificado digital de
email é uma forma de garantir que a mensagem enviada possui, em anexo, a
assinatura gráfica do emissor da mensagem.
Errado! O Certificado digital de email é um arquivo que assegura ao
destinatário do email que o remetente é legítimo. Essa “assinatura gráfica” é
ficção do examinador para confundir o candidato.
93 (CESPE – FUB – Nível Intermediário - 2015) A fim de evitar a
infecção de um computador por vírus, deve-se primeiramente instalar uma
versão atualizada de um antivírus, e somente depois abrir os arquivos suspeitos
anexados a emails.
Errado! Atenção! Não é porque você tem antivírus instalado é que você
pode abrir arquivos suspeitos. Pode ser que o antivírus não identifique o vírus e
você sejacontaminado do mesmo jeito. NÃO SE RECOMENDA EM HIPÓTESE
NENHUMA abrir arquivos suspeitos.
94 (CESPE – FUB – Conhecimentos Básicos exceto cargo 2 - 2015) A
função da autoridade certificadora é emitir certificado digital de usuários da
Internet.
Correto. Uma Autoridade Certificadora (AC) é uma entidade, pública ou
privada, subordinada à hierarquia da ICP-Brasil, responsável por emitir,
distribuir, renovar, revogar e gerenciar certificados digitais. Tem a
responsabilidade de verificar se o titular do certificado possui a chave privada
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 84 de 144
que corresponde à chave pública que faz parte do certificado. Cria e assina
digitalmente o certificado do assinante, onde o certificado emitido pela AC
representa a declaração da identidade do titular, que possui um par único de
chaves (pública/privada).
95 (CESPE – FUB – Conhecimentos Básicos exceto cargo 2 - 2015) O
phishing é um procedimento que possibilita a obtenção de dados sigilosos de
usuários da Internet, em geral, por meio de falsas mensagens de email.
Correto. O phishing normalmente é o primeiro passo para aplicar alguma
fraude financeira no usuário que cai nele. Via de regra, o objetivo é ter acesso a
dados bancários do usuário para tal finalidade.
EXERCÍCIOS COMENTADOS OUTRAS BANCAS
1ª Questão) (ESAF – Superintendência de Seguros Privados –
Tecnologia da Informação – 2010) Por política de segurança entende-se
a) política planejada, válida para os setores críticos da organização, com
regras o mais claro e simples possível, e estrutura gerencial de fiscalização
dessa política, claramente sustentada pela alta hierarquia da área de
informática.
b) política elaborada, implantada e em contínuo processo de revisão, válida
para toda a organização, com regras o mais claro e simples possível, e estrutura
gerencial e material de suporte a essa política, claramente sustentada pela alta
hierarquia.
c) política e diretrizes de implantação, em contínuo processo de
desenvolvimento, fiscalizada por toda a organização, com regras criptografadas
e estrutura matricial e material de priorização dessa política, claramente
sustentada pela alta hierarquia.
d) política elaborada, implantada e imune a revisões, válida para toda a
organização, com estrutura gerencial de regras de formalização individualizada
dessa política nas unidades organizacionais, claramente sustentada pelos
gestores do nível operacional.
e) o conjunto de diretrizes e metas elaboradas, implantadas e em contínuo
processo de revisão, válidas para os responsáveis pela segurança, com técnicas
criptográficas o mais claro e simples possível, e estrutura gerencial e material de
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 85 de 144
terceirização de procedimentos, sustentada pela alta hierarquia, quando
possível.
A ESAF extraiu essa definição de um parágrafo grifado na página 24 do
livro do Caruso, Segurança em Informática e de Informações. Esse livro não nos
será necessário.
A norma ISO 27002 define a Segurança da Informação como “a proteção
da informação de vários tipos de ameaças para garantir a continuidade no
negócio, minimizar o risco ao negócio, maximizar o retorno sobre os
investimentos e as oportunidades de negócio”.
Ainda, esta mesma norma diz que o objetivo da política da segurança da
informação é “prover uma orientação e apoio da direção para a segurança da
informação de acordo com os requisitos do negócio e com as leis e
regulamentações relevantes”, e que “convém que a direção estabeleça uma
política clara, alinhada com os objetivos do negócio e demonstre apoio e
comprometimento com a segurança da informação por meio da publicação e
manutenção de uma política de segurança da informação para toda a
organização.”
Sendo conhecedor esta definição e entendendo o intuito dela, veja que
podemos trabalhar as alternativas por eliminação:
a)a alternativa “a” fala em política apenas para os setores críticos da
organização. Segurança da informação é preocupação de TODOS! Eliminada;
c)Política ”com regras criptografadas”? Estamos falando de políticas,
diretrizes, alto nível. Eliminada;
d)Política “imune a revisões”. Nem precisa continuar lendo;
e)Nesta os erros estão um pouco mais velados. Fala em “terceirização de
procedimentos” e em suporte “quando possível”. Na pior das hipóteses, dá pra
ficar em dúvida entre a letra e) e a letra b), e uma observação mais atenta nos
conduzirá à resposta correta.
Ao longo das questões de Segurança da Informação, você constatará que o
bom-senso pode ser um forte aliado na resolução deste tipo de questão.
Confirmando, letra b).
2ª Questão) (FCC – TRT 24ª Região – Analista Judiciário – Tecnologia
da Informação – 2011 - adaptada) Considere:
I. Garantia de que o acesso à informação seja obtido somente por pessoas
autorizadas.
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 86 de 144
II. Salvaguarda da exatidão e completeza da informação e dos métodos de
processamento.
III. Garantia de que os usuários autorizados obtenham acesso à informação
e aos ativos correspondentes sempre que necessário.
Na ISO/IEC 17799(27002), I, II e III correspondem, respectivamente, a
a) disponibilidade, integridade e confiabilidade.
b) confiabilidade, integridade e distributividade.
c) confidencialidade, integridade e disponibilidade.
d) confidencialidade, confiabilidade e disponibilidade.
e) integridade, confiabilidade e disponibilidade.
Preciso falar sobre isso?
Segundo a norma:
Confidencialidade: Garantia de que o acesso à informação seja obtido
somente por pessoas autorizadas.
Integridade: Salvaguarda da exatidão e completeza da informação e dos
métodos de processamento.
Disponibilidade: Garantia de que os usuários autorizados obtenham
acesso à informação e aos ativos correspondentes sempre que necessário.
Sem mistérios, pessoal. Alternativa c).
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 87 de 144
3ª Questão) (FCC – SEFAZ/SP – Agente Fiscal de Rendas – 2013) Um
dos recursos básicos utilizados na segurança da informação é a criptografia que
tem como objetivo assegurar a
a) consistência.
b) disponibilidade.
c) integridade.
d) privacidade.
e) legalidade.
Nessa questão vou chiar um pouco.
Segundo Nakamura, e eu já falei isso antes, a criptografia possui quatro
propriedades, ou objetivos, para a proteção da informação, a saber:
Confidencialidade (privacidade) – sigilo entre as partes envolvidas
Integridade – a informação não sofrer alterações
Autenticação (do remetente) – poder saber quem é o remetente
Não-repúdio – o remetente não poder negar a autoria da mensagem
Se nós fôssemos hierarquizar essas propriedades, provavelmente a
privacidade é a mais importante delas.
Mas, pra mim, a questão seria passível de anulação por colocar tanto
privacidade como integridade entre as alternativas. Por eliminação, eu
marcaria a alternativa d), mas continuo achando que essa questão deveria ter
sido anulada.
4ª Questão) (FCC – Banco Central do Brasil – Analista Área 1 – 2006)
NÃO é uma cifra de César resultante da criptografia sobre uma mesma
mensagem:
a) F H Q W U D O.
b) K M V C W J Q.
c) E G P V T C N.
d) I K T Z X G R.
e) G I R X V E P.
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12Prof. Victor Dalton
www.estrategiaconcursos.com.br 88 de 144
Eu simplesmente adoro esta questão, pois não vejo forma mais inteligente
de se cobrar o conhecimento a respeito da cifra de César.
Quem já teve infância já trocou bilhetes “criptografados” na escola, usando
a famosa regrinha do +1, -1, +2, etc. Por exemplo, escrevendo CASA como
DBTB ou BZRZ. Esta é a cifra de César.
Pois bem, sem conhecer a mensagem original, o que podemos fazer é
tomar uma alternativa como referência e compará-la com as demais.
Escolhendo a alternativa c) como referência, comparo-a uma a uma com as
outras. EGPVTCN + 1 vira FHQWUDO (letra a), +1 vira GIRXVEP (letra e), + 2
vira IKTZXGR (letra d), e +2 vira KMVBZIT. Logo, a alternativa b) está errada.
5ª Questão) (FCC – Banco Central do Brasil – Analista Área 1 – 2006)
Em uma criptografia, o conceito de força bruta significa uma técnica para
a) eliminar todas as redundâncias na cifra.
b) tornar complexa a relação entre a chave e a cifra.
c) acrescentar aleatoriedade aos dados, tornando maior o caos.
d) quebrar uma criptografia simétrica por meio de busca exaustiva da
chave.
e) ocultar uma determinada informação para torná-la imperceptível.
Já vimos que a engenharia reversa da criptografia se desenvolve de duas
formas:
Criptoanálise: os ataques criptoanalíticos contam com a natureza do
algoritmo e talvez mais algum conhecimento das características gerais do texto
claro, ou ainda algumas amostras do texto claro e texto cifrado. O objetivo é
deduzir o texto em claro ou a chave utilizada. A criptoanálise pode ser
considerada o oposto da criptologia, que é a arte de criar mensagens cifradas.
Ataque por força bruta: o atacante experimenta cada chave possível em
um trecho de texto cifrado, até obter uma tradução inteligível para o texto claro.
Na média, metade de todas as chaves possíveis precisam ser testadas para se
obter sucesso.
Alternativa d).
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 89 de 144
6ª Questão) (ESAF – Auditor de Finanças e Controle – Infraestrutura
de TI – 2012) Comparando a criptografia simétrica com a assimétrica, observa-
se que
a) a primeira possui o problema do gerenciamento de chaves, ao passo que
a segunda possui o problema da complexidade binária.
b) a primeira possui o problema da privacidade da chave universal, ao
passo que a segunda possui o problema da criação e distribuição de chaves.
c) a primeira possui o problema da distribuição e gerenciamento de chaves,
ao passo que a segunda possui o problema do desempenho.
d) a primeira possui o problema do desempenho em redes sem fio, ao
passo que a segunda possui o problema do desempenho em ambientes
corporativos.
e) a primeira possui o problema do desempenho, ao passo que a segunda
possui o problema da geração de chaves.
Revisando:
Os algoritmos de chave simétrica são uma classe de algoritmos para
a criptografia, que usam chaves criptográficas relacionadas para as operações
de cifragem e decifragem.
Criptografia com chave simétrica.
Os algoritmos de chave assimétrica, por sua vez, trabalham com
chaves distintas para a cifragem e decifragem. Normalmente utilizam o conceito
de chave pública e chave privada, no qual a chave pública do destinatário é
utilizada para a criptografia da informação, e apenas a chave privada consegue
realizar a decifragem. Requer o emprego de algoritmos complexos, como a
utilização de números primos extensos.
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 90 de 144
Criptografia assimétrica
CHAVE SIMÉTRICA CHAVE ASSIMÉTRICA
Chaves Única Pública (divulgada livremente)
Privada(secreta)
Funcionamento Mesma chave cifra e
decifra
Chave pública cifra a mensagem e
chave privada decifra
Processamento Veloz Lento
Gerenciamento
das chaves
Complicado, uma
chave para cada
usuário
Simples, basta divulgar a chave
pública
Ataques de
força bruta
São perigosos São ineficazes (números primos
muito grandes)
Lembrou?
Portanto, nossa resposta correta é a letra c).
7ª Questão) (FCC – MPE/MA – Analista Ministerial – Segurança da
Informação – 2013) Considere:
I. Utiliza uma mesma chave tanto para codificar como para decodificar
informações, sendo usada principalmente para garantir a confidencialidade dos
dados.
II. Utiliza duas chaves distintas: uma pública, que pode ser livremente
divulgada, e uma privada. Quando uma informação é codificada com uma das
chaves, somente a outra chave do par pode decodificá-la.
Os itens acima descrevem, respectivamente,
a) assinatura digital e função de resumo.
b) método de espalhamento e PKI.
c) função de resumo e assinatura digital.
d) criptografia de chave simétrica e de chave assimétrica.
e) criptografia de chave pública e método de espalhamento
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 91 de 144
Associação mental imediata: criptografia de chave simétrica e
assimétrica.
Alternativa d).
8ª Questão) (FCC – TRT 11ª Região – Analista Judiciário – Tecnologia
da Informação - 2012) Corresponde a uma função de hash criptográfico, a um
algoritmo de criptografia simétrica e a um algoritmo de chave pública,
respectivamente,
a) SHA-1, DES e RSA.
b) MD5, Diffie-Hellman e RSA.
c) 3DES, MD5 e RC5.
d) AES, SHA-1 e RC6.
e) Diffie-Hellman, MD5 e DES.
Revisando:
DES (Data Encryption Standard) – simétrico.
3-DES (Triple DES) – simétrico, até 3 chaves.
AES (Advanced Encryption Standard) – simétrico, mais avançado da
categoria, usa um tamanho de bloco de 128 bits e admite chaves de 128, 192 e
256 bits.
RSA – assimétrico de chave pública, números primos muito grandes.
MD-5 (Message Digest Algorithm 5) - algoritmo de hash, verifica
integridade de dados.
SHA-1 (Secure Hash Algorithm 1) – algoritmo de hash, sucede o MD5.
Questões sobre algoritmos costumam ser bastante objetivas. As bancas
não costumam se aprofundar a nível matemático neles, uma vez que tornaria a
questão demasiadamente longa e complexa.
Resposta certa, alternativa a).
9ª Questão) (FCC – TRT 6ª Região – Analista Judiciário – Tecnologia
da Informação – 2012) A respeito de algoritmos criptográficos, é correto
afirmar que
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 92 de 144
a) AES é um exemplo de criptografia de chave assimétrica.
b) SHA1 é um exemplo de algoritmo de criptografia com aplicações que não
são criptográficas como, por exemplo, a verificação de integridade de dados.
c) RSA é um exemplo de criptografia de chave simétrica.
d) DES é considerado mais seguro que AES, porque este último é suscetível
a "ataques de força bruta".
e) AES é considerado mais seguro que DES, porque este último utiliza
chaves assimétricas.
Não se pode deixar ser confundido pelas alternativas. Cada alternativa
apresenta uma informação incorreta, com exceção da letra b).
10ª Questão) (FCC – TJ/PE – Analista Judiciário – Analista de
Suporte – 2012) O padrão de criptografia que é uma cifra simétrica de bloco
que usa um tamanho de bloco de 128 bits e um tamanho de chave de 128, 192
ou 256 bits é conhecido como:
a) PKCS#7.
b) SHA 1.
c) RSA.
d) DES.
e) AES.
Quando o conhecimento está fresco na cabeça, a questão chega a parecer
boba. O desafio é levar esse conhecimento fresco para o dia da prova.
Alternativa e).
11ª Questão)(Cesgranrio- BNDES – Analista de Suporte de Sistemas
–2010) Um usuário mal-intencionado obteve, além do tipo de algoritmo
utilizado na criptografia, a chave pública de João, quando este iniciou uma
comunicação criptografada (algoritmo assimétrico) com Marcela. De posse dessa
chave pública e do algoritmo, o usuário mal-intencionado
a) pode ler o conteúdo das mensagens enviadas de João a Marcela, mas
não o inverso.
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 93 de 144
b) pode ler o conteúdo das mensagens enviadas de Marcela a João, mas
não o inverso.
c) não tem acesso ao conteúdo das mensagens de posse desses itens.
d) consegue obter a chave privada a partir de ataques de dicionário.
e) consegue obter a chave privada utilizando ataques de SQL Injection.
De imediato, percebe-se que a questão exige, mais do que saber se o
candidato decorou os conceitos, é possível avaliar com precisão se ele sabe o
funcionamento das chaves. Vamos lá:
Quando um usuário mal-intencionado obtém a chave pública de alguém, ele
NADA pode fazer. No máximo, poderá verificar a assinatura digital. Ah, mas ele
também o tipo de algoritmo utilizado na criptografia. E daí? Suponha que o tipo
seja a utilização de números primos muito grandes. Se ele não souber o número
primo da chave privada, continuará sem acesso a informação alguma. Para
conseguir ler a mensagem endereçada a alguém é necessário ter a chave
privada desse alguém. E as alternativas d) e e) não fazem sentido algum.
Resposta certa: letra c).
12ª Questão) (FCC – MPE/MA – Analista Ministerial – Segurança da
Informação – 2013) Uma assinatura digital é um recurso de segurança cujo
objetivo é
a) identificar um usuário apenas por meio de uma senha.
b) identificar um usuário por meio de uma senha, associada a um token.
c) garantir a autenticidade de um documento.
d) criptografar um documento assinado eletronicamente.
e) ser a versão eletrônica de uma cédula de identidade.
Não tem erro: assinatura serve para a verificação do remetente, simples
assim.
Alternativa c).
13ª Questão (ESAF – Auditor de Finanças e Controle –
Infraestrutura de TI – 2012) Com relação ao processo de verificação de
assinatura digital, tem-se que o algoritmo de assinatura digital é aplicado sobre
a assinatura digital recebida, usando a chave pública do remetente, o que
resulta no resumo criptográfico da mensagem; em seguida, o algoritmo de hash
é aplicado na mensagem recebida. A assinatura digital é válida se
a) os dois resumos obtidos forem simétricos.
b) os dois certificados digitais forem iguais.
c) o resumo obtido na recepção for o hash do resumo original.
d) os dois resumos obtidos forem iguais.
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 94 de 144
e) as chaves públicas forem diferentes.
Analisar assinatura digital é a continuação natural da criptografia de chave
pública. Lembrando que são três as formas de assinaturas digitais:
Assinatura digital baseada em Chave Secreta
Quando uma entidade quer enviar uma mensagem assinada digitalmente à
outra, terá que a cifrar, com a sua chave secreta, e enviá-la à autoridade
central. A mensagem passará pela autoridade central que a decifrará com a
chave secreta da entidade emissora. A esta mensagem será concatenada uma
estampilha que só a autoridade central consegue gerar e decifrar. O resultado
será cifrado com a chave secreta da entidade receptora e enviado. Desta forma,
o receptor pode provar a recepção de qualquer mensagem através da
estampilha recebida (só a autoridade central consegue produzir uma).
Assinatura digital baseada em Chave Pública
Esta aproximação requer que o a entidade emissora saiba a chave pública
da entidade receptora e esta saiba as chaves públicas da primeira, que em
princípio são diferentes. Assim, quando a entidade emissora quer enviar uma
mensagem assinada digitalmente a outra entidade, aquela terá que cifrar a
mensagem com a sua chave privada e, em seguida, cifrar o resultado com a
chave pública da entidade receptora. Por sua vez, a entidade receptora ao
Assinatura digital baseada em funções de hash
Este esquema baseia-se nas funções de sentido único (one-way hash
functions) e tem como base a cifragem de uma parte, arbitrariamente longa, da
mensagem, obtendo como resultado o chamado message-digest(resumo).
Desta forma, a entidade emissora terá que gerar o message-digest e cifrá-
lo (assiná-lo) com a sua chave privada.
De seguida poderá enviar a mensagem (cifrada ou não) concatenada com a
sua assinatura. A entidade receptora decifrará a assinatura com a chave pública
da entidade emissora (previamente publicada) e verificará se o message-digest
é o esperado.
Percebe-se que o processo de verificação de assinatura digital cobrado na
questão é o terceiro; e os message-digests (resumos) obtidos devem ser iguais
para que a assinatura digital seja verdadeira.
Resposta certa: letra d).
14ª Questão) (FCC – MPE/MA – Analista Ministerial – Segurança da
Informação – 2013) A assinatura digital permite comprovar a ...... e a
integridade de uma informação, ou seja, que ela foi realmente gerada por quem
diz e que ela não foi alterada. A assinatura digital baseia-se no fato de que
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 95 de 144
apenas o dono conhece a chave privada, garantindo deste modo que apenas ele
possa ter efetuado a operação.
A lacuna é preenchida corretamente por
a) confidencialidade.
b) velocidade.
c) robustez.
d) autenticidade.
e) criptografia.
Mais do mesmo... alternativa d).
15ª Questão) (ESAF – Auditor de Finanças e Controle –
Infraestrutura de TI – 2008) Em assinaturas digitais, a chave criptográfica
usada para a verificação da autenticidade de um dado emissor por um receptor é
a chave
a) privada do emissor.
b) pública do emissor.
c) pública do receptor.
d) privada do receptor.
e) simétrica compartilhada entre emissor e receptor.
Uma questão bacana para raciocinar em cima do que falamos sobre
assinatura digital!
A assinatura digital funciona de maneira “oposta” ao envio da mensagem.
Se E (emissor) envia uma mensagem para R(receptor), E utiliza a chave pública
de R para criptografar sua mensagem, e R usa a sua chave privada para decifrá-
la. Quanto à assinatura da mensagem, E usa a sua chave privada para assinar,
enquanto R usará a chave pública de E para verificar a assinatura.
Portanto, a resposta é a letra b).
16ª Questão) (FCC – TRT/2ª Região – Técnico Judiciário – Tecnologia
da Informação – 2013) Um código anexado ou logicamente associado a uma
mensagem eletrônica que permite, de forma única e exclusiva, a comprovação
da autoria de um determinado conjunto de dados é:
a) uma autoridade certificadora;
b) uma trilha de auditoria;
c) uma chave simétrica;
d) uma assinatura digital;
e) um certificado digital.
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 96 de 144
Comprovar autoria? Isso parece.... alternativa d).
17ª Questão) (FCC – MPE/MA – Analista Ministerial – Segurança da
Informação – 2013) Um certificado digital pode ser comparado a um
documento de identidade, por exemplo, ao passaporte, no qual constam dados
pessoais e a identificação de quem o emitiu. No caso do passaporte, a entidade
responsável pela emissão e pela veracidade dos dados é a Polícia Federal.
No caso do certificado digital esta entidade é a
a) Autoridade Certificadora.
b)Unidade de Registro de Domínios.
c) Autoridade de Registro.
d) Comissão Regional de Registros.
e) Federação de Segurança.
Relembrando:
Um certificado digital normalmente é usado para ligar uma entidade a uma
chave pública. Para garantir digitalmente, no caso de uma Infraestrutura de
Chaves Públicas (ICP), o certificado é assinado pela Autoridade Certificadora
(AC). Não é mesmo?
Alternativa a).
18ª Questão) (FGV – Senado - Analista de Sistemas – 2012 – 1ª
aplicação) Um certificado digital é um arquivo eletrônico que identifica quem é
o seu titular, pessoa física ou jurídica, ou seja, é um documento eletrônico de
identidade. Quando são realizadas transações, de forma presencial, muitas
vezes é solicitada uma identificação, por meio de um registro que comprove
identidade. Na Internet, quando as transações são feitas de forma eletrônica, o
Certificado Digital surge como forma de garantir a identidade das partes
envolvidas. Entre os fatores garantidos pela Certificação Digital, dois são
descritos a seguir:
I. É a garantia de que somente o titular do Certificado poderia ter
realizado determinada operação.
II. É a garantia de que as informações trocadas nas transações
eletrônicas não foram alteradas no caminho que percorreram. Esses
fatores são conhecidos, respectivamente, por:
a) Não-repúdio e Privacidade nas transações
b) Não-repúdio e Integridade das mensagens
c) Confidencialidade e Integridade das mensagens
d) Autenticidade e Integridade das mensagens
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 97 de 144
e) Autenticidade e Privacidade nas transações
O bom desse enunciado é que ele já começa definindo o que é o Certificado
Digital. Continuando:
O certificado digital oferece garantias de:
Autenticidade - o receptor deverá poder confirmar a assinatura do
emissor;
Integridade - garantia de que o conteúdo da transação não foi
alterado;
Não-repúdio - garantia de que quem executou a transação não
pode negar que foi ele mesmo que executou;
Eu não vou desperdiçar nem o meu e nem o seu tempo, porque esta
questão é polêmica! O Item II você já sabe que é integridade, mas o I é
autenticidade ou não-repúdio?
De antemão, já digo que o gabarito é não-repúdio. Eu não vou ficar
defendendo a banca (mesmo porque não é a FGV a nossa avaliadora).
Entretanto, acho muito importante que você entenda a diferença entre
autenticidade e não-repúdio.
Autenticidade e não-repúdio são complementares. Enquanto, na
autenticidade, o receptor consegue confirmar a assinatura do emissor, o não-
repúdio é a consequência lógica, na qual o emissor não pode negar a sua
autoria. Então, no item I, creio que o “somente o titular” é que direciona a
resposta para o não-repúdio, ao invés da autencididade. Espero que você não
esqueça essa ideia!
Resposta certa, letra b).
19ª Questão) (FCC – MPE/MA – Analista Ministerial – Segurança da
Informação – 2013) De forma geral, os dados básicos que compõem um
certificado digital são:
− versão e número de série do certificado.
− dados que identificam quem emitiu o certificado.
− dados que identificam o dono do certificado.
É INCORRETO dizer que dentre estes dados também se inclua:
a) validade do certificado.
b) chave privada do dono do certificado.
c) chave pública do dono do certificado.
d) algoritmo de assinatura.
e) requerente.
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 98 de 144
Nesta questão, vemos uma série de elementos que compõem o certificado
digital. A alternativa que eu espero que você não somente tenha achado errado,
mas achado um absurdo, é a alternativa b). A chave privada NUNCA É
REVELADA!
20ª Questão) (FCC – Câmara dos Deputados – Analista de
Informática – 2007) Um certificado digital é:
I – Um arquivo eletrônico que contém a identificação de uma pessoa ou
instituição.
II – Equivalente ao RG ou CPF de uma pessoa.
III – O mesmo que uma assinatura digital.
Está correto o que consta em:
a) I apenas;
b) III apenas;
c) I e II apenas;
d) I e III apenas;
e) I, II e III.
O certificado digital não é a assinatura digital! A assinatura é um código
que acompanha uma mensagem, que comprova a autoria da mensagem. O
certificado, por sua vez, pode ser comparado a um documento, que assegura a
legitimidade do autor da mensagem. Tranquilo?
Alternativa c).
21ª Questão) (FCC – INFRAERO – Analista de Sistemas – Rede e
Suporte – 2011) Em relação à assinatura digital, é INCORRETO afirmar:
a) Quando um usuário usa a chave pública do emitente para decifrar uma
mensagem, ele confirma que foi aquele emitente e somente aquele emitente
quem enviou a mensagem, portanto, a assinatura é autêntica.
b) O documento assinado não pode ser alterado: se houver qualquer
alteração no texto criptografado este só poderá ser restaurado com o uso da
chave pública do emitente.
c) A assinatura não pode ser forjada, pois somente o emitente conhece sua
chave secreta.
d) A assinatura é uma função do documento e não pode ser transferida
para outro documento, portanto, ela não é reutilizável.
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 99 de 144
e) O usuário destinatário não precisa de nenhuma ajuda do usuário
emitente para reconhecer sua assinatura e o emitente não pode negar ter
assinado o documento, portanto, a assinatura não pode ser repudiada.
A assinatura digital acompanha cada mensagem enviada pelo remetente.
Se o conteúdo muda, a assinatura também muda, e somente a chave privada
do remetente pode realizar essa modificação.
Portanto, a alternativa b) está errada.
22ª Questão) (ESAF – Analista de Finanças e Controle –
Infraestrutura de TI – 2012) Infraestrutura de Chave Pública é o conjunto de
hardware,software, pessoas, políticas e procedimentos necessários para
a) instanciar, transmitir, apagar, publicar e revogar certificados digitais.
b) montar, validar perante a Polícia Federal, distribuir e apagar certificados
digitais.
c) criar, gerenciar, armazenar, distribuir e revogar certificados digitais.
d) criar, instanciar, armazenar, restaurar e publicar certificados digitais.
e) montar, gerenciar, armazenar, restaurar e publicar certificados digitais.
Pessoal, vocês podem estar vendo uma questão de conteúdo, mas eu vejo
apenas uma questão de lógica.
A ICP-Brasil é um conjunto de entidades governamentais ou de iniciativa
privada, padrões técnicos e regulamentos, elaborados para suportar um sistema
criptográfico com base em certificados digitais e visa assegurar as transações
entre titulares de certificados digitais e detentores de chaves públicas.
Para assegurar que uma determinada chave pertence a você é necessário
que uma Autoridade Certificadora (AC) confira sua identidade e seus
respectivos dados. Ela será a entidade responsável pela emissão, suspensão,
renovação ou revogação de seu certificado digital, além de ser obrigada a
manter sempre disponível a Lista de Certificados Revogados (CRL).
A ICP–Brasil é formada por uma Autoridade Certificadora Raiz (AC RAIZ)
que é representada pelo Instituto Nacional de Tecnologia da Informação (ITI),
sendo este órgão responsável pela autentificação das demais Autoridades
Certificadoras, além de executar atividades de fiscalização e auditoria das AC e
Autoridades de Registro (AR) para que possa certificar-se de que a entidade está
seguindo todas as Políticas de Certificação.
Ok,ok, sabemos o que é ICP-Brasil. Porém, eu DUVIDO que você decore
quais são os verbos das ações que a ICP realiza. Como falei antes, a questãonão é de conteúdo, é de lógica!
Diante de tantos verbos confusos, eu faria esta questão da seguinte forma:
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 100 de 144
Dentre as várias coisas que a ICP faz, uma que eu tenho certeza é que ela
revoga os certificados (mesmo porque eles possuem prazo de validade, e
necessitam de renovação). Logo, descartei as letras b), d) e e).
A letra a) cita verbos como “apagar”, “instanciar”, “transmitir”, enquanto a
letra c) cita “gerenciar” e “distribuir”, verbos muito mais sensatos para
referenciar órgãos governamentais. Não estou certo?
Sim, estou. Letra c).
23ª Questão) (FCC – TRT 24ª Região – Analista Judiciário –
Tecnologia da Informação - 2011) Consiste em uma chave pública mais um
ID de usuário do proprietário da chave, com o bloco inteiro assinado por um
terceiro que tenha credibilidade. A definição é de
a) assinatura digital e o terceiro referido corresponde ao signatário
recebedor da mensagem.
b) criptografia assimétrica e o terceiro referido corresponde ao signatário
recebedor da mensagem.
c) criptografia simétrica e o proprietário referido corresponde a uma
autoridade certificadora.
d) certificado de chave pública e o terceiro referido corresponde a uma
autoridade certificadora.
e) assinatura de chave pública e o proprietário referido corresponde a uma
autoridade certificadora.
Quanto ao terceiro com credibilidade, creio que não haja dúvidas de sua
parte que estamos falando da autoridade certificadora. Já a chave pública mais
um ID de usuário do proprietário da chave trata-se do próprio certificado.
Resposta certa, alternativa d).
24ª Questão) (FCC – SEFAZ/SP – Agente Fiscal de Rendas – 2013)
Para responder às próximas questões, considere o diagrama abaixo. Ele
representa uma estrutura típica de redes de computadores instalada em uma
pequena organização.
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 101 de 144
O dispositivo identificado pela letra A tem por função bloquear os acessos
indevidos provenientes da Internet para a rede local (LAN), por meio da
verificação do endereço (IP), é conhecido como
a) anti-vírus.
b) bridge.
c) firewall.
d) gateway.
e) server.
Dispenso comentários. Alternativa c).
25ª Questão) (FCC – SEFAZ/SP – Agente Fiscal de Rendas – 2013) O
dispositivo identificado pela letra E é um servidor de páginas Web de divulgação
das informações públicas da corporação com o objetivo de realizar uma ampla
propaganda, sendo desejável que qualquer acesso às páginas seja permitido. Na
arquitetura de redes, a região ou o local em que o dispositivo de letra E está
instalado denomina-se
a) DMZ.
b) MAN.
c) PKC.
d) VLAN.
e) WAN.
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 102 de 144
A Zona Desmilitarizada é a rede que fica entre a rede interna, que deve
ser protegida, e a externa, por possuir um conjunto de serviços cujo interesse
da organização é a divulgação para o público externo.
A DMZ precisa ser isolada do restante da rede porque suas regras de
proteção precisam ser mais “frouxas” do que as regras para a rede interna, uma
vez que os Bastion Hosts podem (e devem) receber acessos externos.
Resposta certa, alternativa a).
26ª Questão) (FCC – TRT/12ª Região – Analista Judiciário –
Tecnologia da Informação – 2013) Luiza trabalha em uma empresa com 500
funcionários. A empresa tem centenas de computadores com placas de rede
conectando-os. A empresa também tem uma ou mais conexões de alta
velocidade com a internet. Luiza foi contratada para evitar que um hacker possa
sondar esses computadores, tentar estabelecer conexões FTP com eles, fazer
conexões telnet e assim por diante. Ainda, se um funcionário cometer um erro e
deixar uma vulnerabilidade na segurança, Luiza deve evitar que os hackers
possam chegar nessa máquina e explorar essa fraqueza.
Para evitar esta situação de risco, Luiza deve instalar na rede um
a) sistema de criptografia assimétrica.
b) firewall em cada conexão com a internet.
c) filtro de conteúdo de e-mails.
d) poderoso antivírus.
e) sistema de criptografia simétrica.
Mais do mesmo. Alternativa b). Antivírus, criptografia, filtro de emails....
nada disso impede exploração de vulnerabilidades e tentativas de ataques
hackers.
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 103 de 144
27ª Questão) (FCC – ISS/SP – Auditor-Fiscal Tributário Municipal I –
Tecnologia da Informação – 2012) São algumas das medidas de prevenção
contra a infecção ou proliferação de vírus:
I. Desabilitar no programa leitor de e-mails a autoexecução de arquivos
anexados às mensagens.
II. Procurar utilizar, na elaboração de documentos, formatos menos
suscetíveis à propagação de vírus, tais como RTF, PDF ou PostScript.
III. Procurar não utilizar, no caso de arquivos comprimidos, o formato
executável.
IV. Não executar ou abrir arquivos recebidos por e-mail ou por outras
fontes antes de certificar-se de que esses arquivos foram verificados pelo
programa antivírus.
Está correto o que se afirma em
a) I, II e III, apenas.
b) I, II, III e IV.
c) I e III, apenas.
d) II, apenas.
e) II e III, apenas.
Tudo acima está correto. Alternativa b).
28ª Questão) (FCC – Banco Central do Brasil – Analista Área 1 –
2006) Um código malicioso que se altera em tamanho e aparência cada vez que
infecta um novo programa é um vírus do tipo
a) de boot.
b) de macro.
c) parasita.
d) camuflado.
e) polimórfico.
Revendo os tipos de vírus:
Vírus simples - só se replica é e fácil de ser detectado.
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 104 de 144
Vírus encriptado - esconde a assinatura fixa do vírus, embaralhando o
vírus.
Vírus Polimórficos - capazes de criar uma nova variante a cada execução.
Vírus Metamórficos - capazes de mudar o próprio corpo, evitam gerar
instâncias parecidas com a anterior.
Vírus de macro - vinculam suas macros a modelos de documentos e a
outros arquivos.
Dentre as alternativas, só podemos marcar a alternativa e).
29ª Questão) (Cesgranrio - BNDES - Analista de Suporte de Sistemas
–2010) Um conjunto de computadores está sendo utilizado para tirar de
operação um serviço de determinado órgão público. Essa situação configura o
ataque do tipo
a) Replay.
b) SQL Injection.
c) XSS.
d) Buffer Overflow.
e) DDoS.
Já falamos sobre isso! Você se lembra?
Um ataque de negação de serviço (DoS), é uma tentativa em tornar os
recursos de um sistema indisponíveis para seus utilizadores. Alvos típicos são
servidores web, e o ataque tenta tornar as páginas hospedadas indisponíveis na
rede. Não se trata de uma invasão do sistema, mas sim da sua invalidação por
sobrecarga. Os ataques de negação de serviço são feitos geralmente de duas
formas:
Forçar o sistema vítima a reinicializar ou consumir todos os
recursos (como memória ou processamento por exemplo) de forma que
ele não pode mais fornecer seu serviço.
Obstruir a mídia de comunicação entre os utilizadores e o sistema
vítima de forma a não comunicarem-se adequadamente.
Em um ataque distribuído de negação de serviço, um computador mestre
(denominado "Master") pode ter sob seu comando até milhares de
computadores ("Zombies" - zumbis). Neste caso, as tarefas deataque de
negação de serviço são distribuídas a um "exército" de máquinas escravizadas.
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 105 de 144
O ataque consiste em fazer com que os Zumbis (máquinas infectadas e
sob comando do Mestre) se preparem para acessar um determinado recurso em
um determinado servidor em uma mesma hora de uma mesma data. Passada
essa fase, na determinada hora, todos os zumbis (ligados e conectados à rede)
acessarão ao mesmo recurso do mesmo servidor. Como servidores web possuem
um número limitado de usuários que pode atender simultaneamente ("slots"), o
grande e repentino número de requisições de acesso esgota esse número de
slot, fazendo com que o servidor não seja capaz de atender a mais nenhum
pedido.
Destaco ainda que todo ataque de DDoS foi precedido de alguma outra
forma de ataque. As máquinas “zumbis”, ou escravas, são máquinas de usuários
comuns que se deixaram infectar anteriormente por algum malware, como um
bot.
Sendo assim, a resposta é a letra e).
30ª Questão) (FCC – MPE/AP – Técnico Ministerial – Informática -
2012) Códigos maliciosos (malwares) são programas que objetivam executar
ações danosas e atividades maliciosas em um computador. Neste contexto
encontram-se bots e botnets, sobre os quais é correto afirmar:
a) Botnet é um software malicioso de monitoramento de rede que tem a
função de furtar dados que transitam pela rede e, normalmente, tornar a rede
indisponível disparando uma grande carga de dados direcionados ao servidor da
rede.
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 106 de 144
b) Bot é um programa que dispõe de mecanismos de comunicação com o
invasor e possui um processo de infecção e propagação igual ao do vírus, ou
seja, não é capaz de se propagar automaticamente.
c) Um computador infectado por um bot costuma ser chamado de attack
base, pois serve de base para o atacante estabelecer suas ações maliciosas.
Também pode ser chamado de spam host, pois o bot instalado tem o objetivo de
enviar infinitamente spams para a caixa de e-mail de quem é vítima do ataque.
d) A comunicação entre o invasor e o computador infectado pelo bot pode
ocorrer exclusivamente via redes do tipo P2P. Ao se comunicar, o invasor pode
enviar instruções para que ações maliciosas sejam executadas, como desferir
ataques, furtar dados do computador infectado e enviar spam.
e) Algumas das ações maliciosas que costumam ser executadas por
intermédio de botnets são: ataques de negação de serviço, propagação de
códigos maliciosos, coleta de informações de um grande número de
computadores, envio de spam e camuflagem da identidade do atacante.
Relembrando:
Bot e Botnet: Bot é um programa que dispões de mecanismos com o
invasor que permite que ele seja controlado remotamente. Propaga-se de
maneira similar ao worm.
O computador infectado por um bot pode ser chamado de zumbi, pois
pode ser controlado remotamente, sem o conhecimento do dono. Por exemplo,
zumbis podem ser utilizados para realizar ataques DDos e para envio de spam.
Botnet é o nome dado a uma rede de Bots.
Agora, analisemos as alternativas:
a) Quem furta dados que trafegam por uma rede são os sniffers, e quem
indisponibiliza uma rede são os ataques DoS ou DDoS.
b) Quase tudo certo, mas o bot pode se propagar automaticamente,
semelhante a um worm;
c) Errado. Uma máquina atacada por um bot é uma máquina zumbi, e
caso ela venha a ser um spam host, seu objetivo é mandar spams para
outros, e não para si mesmo;
d) Não há exclusividade para redes P2P. Pode ser via canais de IRC,
servidores Web, P2P, entre outros. Errada;
e) Correta. Uma máquina zumbi pode ser utilizada para diversos fins,
como os exemplificados.
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 107 de 144
31ª Questão) (FCC – TST – Analista Judiciário – Tecnologia da
Informação - 2012) Vírus de computador e outros programas maliciosos
(Malwares) agem de diferentes formas para infectar e provocar danos em
computadores. O Malware que age no computador capturando as ações e as
informações do usuário é denominado
a) Cavalo de Troia.
b) Keyloggers.
c) Backdoors.
d) Spyware.
e) Worm.
Capturando informações e ações do usuário, ou seja, espionando o usuário:
spyware. Keyloggers são um subtipo de spyware, logo, a alternativa d) é a
mais abrangente.
32ª Questão) (FCC – TRT/6ª Região – Técnico Judiciário – Tecnologia
da Informação - 2012) Considere:
Em relação a malwares e com base na notícia apresentada, é correto
afirmar:
a) Trata-se de uma notícia alarmista e falsa, pois os computadores Mac
são imunes a este tipo de ataque.
b) Caso seja fornecida a senha, o usuário perderá sua máquina, pois o
Flashback irá destruir o disco rígido.
c) Certamente empresas especializadas podem oferecer soluções para
desinfectar as máquinas Mac.
d) Dificilmente uma empresa, mesmo especializada, conseguirá oferecer
soluções de desinfecção para máquinas Mac.
e) A Apple certamente irá à falência depois de uma notícia como esta.
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 108 de 144
Questão mais de bom senso do que de conhecimento, não?
Alternativa c).
33ª Questão) (FCC – TRT/6ª Região – Técnico Judiciário – Tecnologia
da Informação - 2012) O termo malware é uma denominação genérica para
designar software projetado para causar danos a quem o executa. Software
assim pode ganhar acesso a um computador através dos seguintes meios,
EXCETO
a) um arquivo .mp3 que infecta o sistema ao ser tocado.
b) um arquivo .doc que infecta o sistema ao ser aberto no editor.
c) uma extensão do navegador que infecta o sistema ao ser executada.
d) um programa executável que infecta o sistema ao ser executado.
e) uma arquivo .xls que infecta o sistema ao ser aberto.
Arquivos de música, como mp3, ou de imagens, como jpg, png, não
contêm vírus. Plugins de navegador, programas executáveis ou documentos,
esses sim estão sujeitos a malware.
Alternativa a).
34ª Questão) (FCC – MPE/PE – Analista Ministerial – Informática -
2012) Sobre Cavalo de Tróia, é correto afirmar:
a) Consiste em um conjunto de arquivos .bat que não necessitam ser
explicitamente executados.
b) Contém um vírus, por isso, não é possível distinguir as ações realizadas
como consequência da execução do Cavalo de Tróia propriamente dito, daquelas
relacionadas ao comportamento de um vírus.
c) Não é necessário que o Cavalo de Tróia seja executado para que ele se
instale em um computador. Cavalos de Tróia vem anexados a arquivos
executáveis enviados por e-mail.
d) Não instala programas no computador, pois seu único objetivo não é
obter o controle sobre o computador, mas sim replicar arquivos de propaganda
por e-mail.
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 109 de 144
e) Distingue-se de um vírus ou de um worm por não infectar outros
arquivos, nem propagar cópias de si mesmo automaticamente.
Esse é um dos tipos mais importantes!
Cavalo de Tróia: programas impostores, arquivos que se passam por um
programa desejável, mas que, na verdade, são prejudiciais, pois executam mais
funções além daquelas que aparentemente ele foi projetado. Contêm códigos
maliciosos que, quando ativados, causam a perdaou até mesmo o roubo de
dados. Não se replicam.
Portanto, a alternativa e) é a única correta.
35ª Questão) (FUNCAB – MPE/RO – Analista – Suporte de
Informática - 2012) Os programas keyloggers e screenloggers são
considerados programas do tipo:
a) adware
b) cavalo de troia.
c) spyware
d) worms
e) hoaxes
Spyware. Simples assim.
Alternativa c).
36ª Questão) (FCC – TRT/14ª Região – Analista Judiciário –
Tecnologia da Informação - 2011) Analise as seguintes características de
software:
I. Especificamente projetado para apresentar propagandas, quer por
intermédio de um browser quer por meio de algum outro programa instalado.
II. Monitorar atividades de um sistema e enviar as informações coletadas
para terceiros.
De acordo com cgi.br, I e II são tipos de software categorizados,
respectivamente, como
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 110 de 144
a) Trojan e worm.
b) adware e worm.
c) adware e spyware.
d) spyware e trojan.
e) phishing e spam.
Falou em propaganda, pensou adware (ad – advertising);
Falou em espionar pensou spyware.
Alternativa c).
37ª Questão) (FCC – MPE/AM – Agente de Apoio – Manutenção e
Suporte de Informática - 2013) Com relação à utilização correta de
ferramentas antimalware, considere:
I. É aconselhável utilizar programas antimalware on-line quando se
suspeitar que o antimalware local esteja desabilitado ou comprometido ou
quando se necessitar de uma segunda verificação.
II. Devem ser configuradas para verificar apenas arquivos executáveis, pois
são os únicos que podem conter vírus e outros tipos de malware.
III. Deve-se evitar executar simultaneamente diferentes programas
antimalware, pois eles podem entrar em conflito, afetar o desempenho do
computador e interferir na capacidade de detecção um do outro.
IV. Não é recomendável ter um antimalware instalado no computador, pois
os programas on-line além de serem mais eficientes, são suficientes para
proteger o computador.
Está correto o que se afirma APENAS em
a) I, II e III.
b) III e IV.
c) I e III.
d) II e IV.
e) I.
Analisemos as assertivas:
I. Perfeitamente razoável, e cópia da cartilha da Cert.br. Correto.
II. Opa! Diversas extensões, além do .exe, podem conter malwares,
como plug-ins, complementos e extensões para navegadores wen,
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 111 de 144
documentos, enfim.... A Cert.br recomenda que o antimalware deve
verificar TODA E QUALQUER extensão de arquivo. Errada!
III. Correto. Também é cópia da cartilha.
IV. Precisa comentar? Errada!
Portanto, nossa resposta correta é a alternativa c).
38ª Questão) (FCC – MPE/CE – Analista Ministerial – Ciências da
Computação - 2013) Há diferentes tipos de vírus. Alguns procuram
permanecer ocultos, infectando arquivos do disco e executando uma série de
atividades sem o conhecimento do usuário. Há outros que permanecem inativos
durante certos períodos, entrando em atividade apenas em datas específicas.
Alguns dos tipos de vírus mais comuns são apresentados nas afirmativas abaixo.
Assinale o que NÃO se trata de um vírus.
a) Propaga-se de celular para celular por meio de bluetooth ou de
mensagens MMS. A infecção ocorre quando um usuário permite o recebimento
de um arquivo infectado e o executa. Após infectar o celular, pode destruir ou
sobrescrever arquivos, remover ou transmitir contatos da agenda, efetuar
ligações telefônicas e drenar a carga da bateria.
b) Recebido como um arquivo anexo a um e-mail, que tenta induzir o
usuário a clicar sobre este arquivo para que seja executado. Quando entra em
ação, infecta arquivos e programas e envia cópias de si mesmo para os e-mails
encontrados nas listas de contatos gravadas no computador.
c) Escrito em linguagem de script, recebido ao acessar uma página web ou
por e-mail, como um arquivo anexo ou parte do próprio e-mail escrito em HTML.
Pode ser automaticamente executado, dependendo da configuração do browser
e do leitor de e-mails do usuário.
d) Escrito em linguagem de macro e tenta infectar arquivos manipulados
por aplicativos que utilizam esta linguagem como, por exemplo, os que
compõem o Microsoft Office.
e) Após infectar um computador, tenta se propagar e continuar o processo
de infecção. Para isso, necessita identificar os computadores alvos para os quais
tentará se copiar, o que pode ser feito efetuando uma varredura na rede e
identificando os computadores ativos.
Para esta questão, até o enunciado a FCC copiou da cartilha da Cert.br.
Interessante chamar a atenção para essa questão, pois ela mostra uma outra
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 112 de 144
forma de classificar os tipos de vírus, segundo a cartilha. Vejamos as
alternativas:
a) É o chamado vírus de telefone celular.
b) Vírus propagado por email.
c) Vírus de script.
d) Vírus de macro.
e) Worm! Achamos quem não é vírus.
39ª Questão) (FCC – MPE/CE – Analista Ministerial – Ciências da
Computação - 2013) Ataques costumam ocorrer na Internet com diversos
objetivos, visando diferentes alvos e usando variadas técnicas. Analise os
exemplos e descrições abaixo.
1. Pode ser realizado por diversos meios, como pela geração de grande
tráfego de dados para uma rede, ocupando toda a banda disponível e tornando
indisponível qualquer acesso a computadores ou serviços desta rede.
2. Uma pessoa recebe um e-mail, em nome de um site de comércio
eletrônico ou de uma instituição financeira, que tenta induzi-la a clicar em um
link. Ao fazer isto, é direcionada para uma página web falsa, semelhante ao site
que realmente deseja acessar, no qual são solicitados os dados pessoais e
financeiros da pessoa.
3. Consiste em alterar campos do cabeçalho de um e-mail, de forma a
aparentar que ele foi enviado de uma determinada origem quando, na verdade,
foi enviado de outra. Esta técnica é possível devido a características do protocolo
SMTP que permitem que campos do cabeçalho sejam falsificados.
A associação entre a descrição e o tipo de ataque é expressa correta, e
respectivamente, em
a) 1-flood 2-rootkit 3-spyware
b) 1-DoS 2-phishing 3-spoofing
c) 1-DoS 2-adware 3-rootkit
d) 1-adware 2-DoS 3-spyware
e) 1-spyware 2-rootkit 3-DoS
Analisemos as assertivas:
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 113 de 144
1. É o ataque de negação de serviço, ou DoS;
2. É a “pescaria” (de leigos), ou phishing;
3. É o disfarce do remetente, ou spoofing.
Portanto, nossa alternativa correta é a letra b).
CONSIDERAÇÕES FINAIS
E finalmente encerramos!
E então, concorda comigo? A gente começa a ver criptografia como quem
não quer nada, e descobre que a utilizamos com bastante frequência. Quando
acessamos o homebanking, fazemos uma compra online... repare no cadeado ao
lado do “https”. Temos ali criptografia assimétrica, assinatura digital,
certificado digital... tudo no nosso dia a dia.
E os spams, que incomodam (e muito) nossa caixa de emails? Tentativas
diárias de phishing, quem não passa por isso? Tem algum worm no seu
computador?
Já deu uma olhada na lista de aplicativos instalada em seu PC? Não existe,
nessa lista, nenhum aplicativo que você não conheça, ou não sabe para que
serve? Pode ser um Cavalo de Tróia!
Ainda, deixo a dica abaixo para a Cartilha de Segurança para Internet,
do Centro de Estudos, Respostas e Tratamento de Incidentes deSegurança do Brasil (Cert.br). Grande parte da nossa aula de hoje veio daqui,
e as bancas também costumam extrair suas questões de prova dela.
http://cartilha.cert.br/livro/cartilha-seguranca-internet.pdf
Até o edital!
Victor Dalton
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 114 de 144
LISTA DE EXERCÍCIOS CESPE
1ª Questão) (CESPE – ANATEL – Analista Administrativo – Suporte e
Infraestrutura de TI - 2014) Para que a criptografia de chave pública seja
considerada segura, uma das premissas é que o conhecimento do algoritmo, o
conhecimento de uma das chaves e a disponibilidade de amostras de texto
cifrado sejam, em conjunto, insuficientes para determinar a outra chave.
2ª Questão) (CESPE – ANATEL – Analista Administrativo – Suporte e
Infraestrutura de TI - 2014) A assinatura eletrônica vinculada a um
certificado emitido no âmbito da ICP-Brasil tem função específica e restrita de
determinar a não violação do conteúdo de um documento assinado
eletronicamente, e não conduz à presunção de autenticidade do emissor do
documento subscrito.
(CESPE – ANTAQ – Analista Administrativo – Infraestrutura de TI -
2014) No que diz respeito aos fundamentos de criptografia e certificação digital,
julgue os itens subsecutivos. Nesse contexto, considere que a sigla AC, sempre
que utilizada, se refira a autoridade certificadora.
3 Para a obtenção da chave pública de uma AC, utiliza-se um esquema de
gerenciamento de chaves públicas, denominado infraestrutura de chaves
públicas (ICP). No Brasil, a ICP-Brasil é organizada de forma hierárquica, em que
uma AC raiz certifica outras ACs e, posteriormente, estas, bem como a AC raiz,
emitem certificados para os usuários finais.
4 Cada certificado digital emitido por uma AC é específico para determinado
usuário final e pode ser revogado a qualquer momento pela respectiva AC.
5 Na criptografia simétrica, a mesma chave compartilhada entre emissor e
receptor é utilizada tanto para cifrar quanto para decifrar um documento. Na
criptografia assimétrica, utiliza-se um par de chaves distintas, sendo a chave
pública do receptor utilizada pelo emissor para cifrar o documento a ser enviado;
posteriormente, o receptor utiliza sua chave privada para decifrar o documento.
6 A utilização adequada dos mecanismos de criptografia permite que se
descubra qualquer alteração em um documento por partes não autorizadas, o
que garante a confidencialidade do documento.
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 115 de 144
7 Para a utilização de criptografia assimétrica, a distribuição das chaves
públicas é comumente realizada por meio de certificado digital, que contém o
nome do usuário e a sua chave pública, sendo a autenticidade dessas
informações garantida por assinatura digital de uma terceira parte confiável,
denominada Autoridade Certificadora.
(CESPE – ANTAQ – Analista Administrativo – Infraestrutura de TI -
2014) Julgue os itens a seguir, relativos aos ataques em redes e aplicações
corporativas.
8 Um ataque de SQL injection tenta explorar as características da
linguagem SQL, principalmente do interpretador de comandos SQL, podendo
danificar as informações armazenadas em um servidor, sem, entretanto,
conseguir quebrar a confidencialidade desse conteúdo.
9 O ataque cross-site scripting, executado quando um servidor web inclui,
nos dados de uma página web enviada para um usuário legítimo, um conjunto
de dados que tenham sido previamente recebidos de um usuário malicioso,
permite que se roube de um usuário legítimo senhas, identificadores de sessões
e cookies.
10 Em um ataque de DDoS, que objetiva deixar inacessível o recurso
computacional para os usuários legítimos, um computador mestre controla
milhares de computadores zumbis que acessam um sistema ao mesmo tempo
(um servidor web, por exemplo), com o objetivo de esgotar seus recursos.
(CESPE – SUFRAMA – Analista de Sistemas - 2014) No que se refere à
segurança da informação, julgue os itens a seguir.
11 Para averiguar a integridade de um arquivo de computador a ser
transmitido por um meio inseguro, pode-se gerar um hash antes da transmissão
e verificar o hash após a transmissão.
12 A utilização de algoritmos de criptografia garante a disponibilidade e a
autenticidade de informações em ambientes de tecnologia da informação.
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 116 de 144
(CESPE – TCDF – Analista de Administração Pública - Sistemas de TI
- 2014) Acerca de criptografia e da infraestrutura de chave pública, julgue os
itens subsecutivos.
13 A assinatura digital é gerada por criptografia assimétrica mediante a
utilização de uma chave pública para codificar a mensagem.
14 A técnica de criptografia de chave única utiliza a mesma chave para
criptografar e descriptografar uma mensagem.
15 A lista de certificados revogados (LCR) de uma infraestrutura de chaves
públicas deve ser emitida pela autoridade certificadora, que também é
responsável por emitir e gerenciar certificados digitais.
(CESPE – TJ/SE – Analista Judiciário – Análise de Sistemas - 2014)
Em relação à segurança e à proteção de informações na Internet, julgue os itens
subsequentes.
16 Cavalo de Troia, também conhecido como trojan, é um programa
malicioso que, assim como os worms, possui instruções para autorreplicação.
17 Spyware é um programa ou dispositivo que monitora as atividades de
um sistema e transmite a terceiros informações relativas a essas atividades, sem
o consentimento do usuário. Como exemplo, o keylogger é um spyware capaz de
armazenar as teclas digitadas pelo usuário no teclado do computador.
18 Vírus são programas que podem apagar arquivos importantes
armazenados no computador, podendo ocasionar, até mesmo, a total
inutilização do sistema operacional.
19 Um tipo específico de phishing, técnica utilizada para obter informações
pessoais ou financeiras de usuários da Internet, como nome completo, CPF,
número de cartão de crédito e senhas, é o pharming, que redireciona a
navegação do usuário para sítios falsos, por meio da técnica DNS cache
poisoning.
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 117 de 144
(CESPE – TJ/SE – Analista Judiciário – Suporte Técnico em
Infraestrutura - 2014) Considerando que as técnicas associadas à criptografia
são comumente empregadas para se atingir requisitos de segurança, julgue os
itens a seguir.
20 Em sistemas de uso prático, são usadas as técnicas simétricas e as
assimétricas combinadas.
21 A confidencialidade pode ser obtida pelo uso da criptografia simétrica e
da assimétrica.
22 Em conjunto com as funções de resumo criptográfico (hash), a
criptografia simétrica proporciona autenticidade.
23 A criptografia assimétrica proporciona o não repúdio, não
proporcionando, porém, a autenticidade.
24 As funções de resumo criptográfico oferecem garantia probabilística de
inforjabilidade.
(CESPE – TJ/AC – Técnico em Informática - 2012) Julgue os itens a
seguir, a respeito de aplicativos usados no combate a pragas virtuais.
25 O antispyware é um software que se destina especificamente a detectar
e remover spywares, enquanto o antivírus é uma ferramenta que permite
detectar e remover alguns programas maliciosos, o que inclui certos tipos de
spywares.
26 Por serem de difícil detecção, os worms só podem ser combatidospor
ferramentas específicas para esse fim, que se denominam antiworms.
27 Sistemas de prevenção à intrusão (IPS) e sistemas de detecção de
intrusão (IDS) são sistemas concebidos com os mesmos propósitos. A diferença
entre eles encontra-se no público-alvo. Enquanto os IPS são sistemas voltados
para os usuários domésticos, os IDS focam as grandes redes corporativas.
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 118 de 144
28 As ferramentas antispam permitem combater o recebimento de
mensagens consideradas spam e, em geral, baseiam-se na análise do conteúdo
das mensagens.
29 O recurso de segurança denominado firewall pode ser implementado por
software ou por hardware.
30 O firewall é configurado pelo seu fabricante para que proteja uma rede
local de computadores, com base no perfil dos usuários dessa rede.
31 O uso de programas antivírus continuamente atualizados é uma prática
suficiente para se evitar que um worm contamine um computador.
(CESPE – CNJ – Técnico Judiciário: Programação de Sistemas -
2013) Com relação a conceitos de segurança da informação, julgue os itens a
seguir.
32 Vírus de macro infectam arquivos criados por softwares que utilizam
linguagem de macro, como as planilhas eletrônicas Excel e os documentos de
texto Word. Os danos variam de alterações nos comandos do aplicativo à perda
total das informações.
33 Vírus de script registram ações dos usuários e são gravados no
computador quando da utilização de um pendrive infectado.
34 A utilização de sistemas biométricos dispensa a segurança de dados de
forma isolada, uma vez que o acesso é mais restrito em decorrência do alto
controle de erro, não havendo necessidade de intervenção do programador no
testamento dos dados.
35 A proteção aos recursos computacionais inclui desde aplicativos e
arquivos de dados até utilitários e o próprio sistema operacional.
36 Para aumentar a segurança de um programa, deve-se evitar o uso de
senhas consideradas frágeis, como o próprio nome e identificador de usuário,
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 119 de 144
sendo recomendada a criação de senhas consideradas fortes, ou seja, aquelas
que incluem, em sua composição, letras (maiúsculas e minúsculas), números e
símbolos embaralhados, totalizando, preferencialmente, mais de seis caracteres.
37 O princípio da autenticidade é garantido quando o acesso à informação
é concedido apenas a pessoas explicitamente autorizadas.
(CESPE – MPE/PI – Técnico Ministerial – Informática - 2011) Julgue
os itens a seguir, a respeito de segurança da informação.
38 O firewall do Windows tem funcionalidades apropriadas que possibilitam
o bloqueio de algumas solicitações de conexão ao computador pessoal de um
usuário.
39 (CESPE – TJDFT – Técnico Judiciário Área Administrativa - 2013)
Backdoor é uma forma de configuração do computador para que ele engane os
invasores, que, ao acessarem uma porta falsa, serão automaticamente
bloqueados.
(CESPE – ANAC – Analista Administrativo: Cargo 4 –2012) Julgue os
próximos itens, relativos aos conceitos sobre criptografias, algoritmos simétricos
e assimétricos de criptografia.
40 O algoritmo RSA, baseado na construção de chaves públicas e privadas,
utiliza números primos, e, quanto maior for o número primo escolhido, mais
seguro será o algoritmo.
41 A técnica utilizada para esconder uma mensagem secreta dentro de
uma maior, de modo que não se possa discernir a presença ou o conteúdo da
mensagem oculta é denominada estenografia.
42 O DES (data encryption standard) triplo utiliza, exatamente, por três
vezes o algoritmo DES, além de uma mesma chave de 56 bits para criptografar
mensagens.
Acerca de certificação digital, julgue os próximos itens.
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 120 de 144
43 A Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil) é uma cadeia
hierárquica e de confiança que viabiliza a emissão de certificados digitais para a
identificação virtual do cidadão no Brasil, conforme os padrões e normas
estipulados pela CERTISIGN, à qual se subordina hierarquicamente em nível
mundial.
44 Assim como pessoas físicas, as micro e pequenas empresas também
podem comprovar sua identidade no meio virtual, realizar transações comerciais
e financeiras com validade jurídica, participar de pregões eletrônicos e trocar
mensagens no mundo virtual com segurança e agilidade com o e-CPF Simples.
(CESPE – ANCINE – Analista Administrativo: Área 2 –2013) Julgue os
próximos itens, acerca de segurança da informação.
45 No que tange à autenticação, a confiabilidade trata especificamente da
proteção contra negação, por parte das entidades envolvidas em uma
comunicação, de ter participado de toda ou parte desta comunicação.
46 A assinatura digital, que é uma unidade de dados originada de uma
transformação criptográfica, possibilita que um destinatário da unidade de dados
comprove a origem e a integridade dessa unidade e se proteja contra
falsificação.
(CESPE – BACEN – Analista - Área 2 –2013) A respeito de fundamentos
de assinatura digital e certificado digital, julgue os itens subsequentes.
47 A autoridade certificadora é responsável por divulgar informações caso
o certificado por ela emitido não seja mais confiável.
48 O uso de assinatura digital objetiva comprovar a autenticidade e a
integridade de uma informação, sendo a integridade garantida mediante a
codificação de todo o conteúdo referente à assinatura.
(CESPE – SERPRO – Analista – Desenvolvimento de Sistemas –
2013) Acerca dos requisitos de segurança da informação, julgue os itens a
seguir.
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 121 de 144
49 Um ataque à infraestrutura de conectividade de um banco à Internet,
interrompendo o acesso a seus serviços de home banking, afeta a
disponibilidade.
50 O furto de um notebook que contenha prontuários e resultados de
exames dos pacientes de um médico afeta a confiabilidade das informações.
(CESPE – SERPRO – Analista – Desenvolvimento de Sistemas –
2013) Julgue os itens a seguir, referentes à criptografia e assinatura e
certificação digitais.
51 Um certificado digital consiste na cifração do resumo criptográfico de
uma chave pública com a utilização da chave privada de uma autoridade
certificadora.
52 Uma assinatura digital consiste na cifração do resumo criptográfico de
uma mensagem ou arquivo, com o uso da chave privada de quem assina.
(CESPE – CNPQ – Cargo 1 - 2011) Sistemas de segurança da informação
são frequentemente comparados a uma corrente com muitos elos que
representam os componentes desenvolvidos, tais como equipamento, software,
protocolos de comunicação de dados, e outros, incluindo o usuário humano. Na
literatura sobre segurança da informação, o usuário humano é frequentemente
referenciado como o elo mais fraco.
Internet: <www.cienciasecognicao.org> (com adaptações).
Tendo como referência o texto acima, julgue os próximos itens, referentes
ao comportamento do usuário quanto à segurança da informação.
53 A fim de se preservar a integridade, a confidencialidade e a
autenticidade das informações corporativas, é necessário que os empregados e
os contratados do órgão sejam treinados, de forma que se conscientizem da
importância da segurança da informação e se familiarizem com os
procedimentos adequadosna ocorrência de incidentes de segurança.
54 O fato de pesquisa de Alan S. Brown (Generating and Remembering
Passwords – 2004) mostrar que mais da metade dos entrevistados guardavam
cópias escritas de suas senhas confirma que o usuário humano é “o elo mais
fraco” do processo de segurança da informação, situação que é compensada pela
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 122 de 144
utilização combinada de firewalls, anti-vírus ou pela utilização dos UPP (user
protectors passwords).
(CESPE – MPE/PI – Cargos 1 a 5 e 7 a 9 - 2011) Julgue os itens a
seguir, relacionados à segurança da informação.
55 Caso computadores estejam conectados apenas a uma rede local, sem
acesso à Internet, a instalação de firewall em cada computador da rede é
suficiente para evitar a contaminação por vírus de um computador dessa rede.
(CESPE – SESA/ES – Todos os cargos - 2011) Acerca dos conceitos e
aplicações de Internet e intranet, organização e segurança de informações,
julgue os itens a seguir.
56 O certificado digital é uma das tecnologias que permite identificar se um
sítio de informações é reconhecido pelos registradores de domínio da Internet,
se seu endereço é válido e se é garantida a segurança dos usuários que
baixarem arquivos gerados por certificados autoassinados.
57 Uma das formas de se aplicar o conceito de disponibilidade da
informação é por meio da realização de cópias de segurança, que contribuem
para a restauração dos dados ao seu ponto original (de quando foi feita a cópia),
o que reduz as chances de perda de informação em situações de panes, roubos,
queda de energia, entre outras.
(CESPE – SSP/CE – Cargos 1 a 5 e 7 a 9 - 2012) Julgue os itens que se
seguem, referentes a segurança da informação.
58 O antivírus, para identificar um vírus, faz uma varredura no código do
arquivo que chegou e compara o seu tamanho com o tamanho existente na
tabela de alocação de arquivo do sistema operacional. Caso encontre algum
problema no código ou divergência de tamanho, a ameaça é bloqueada.
(CESPE – SEGER/ES – Todos os cargos - 2010) Considerando que, em
uma intranet, os servidores web estejam configurados para uso de certificados
digitais, julgue os itens subsequentes.
59 Entre as características de um certificado digital inclui-se a existência de
um emissor, do prazo de validade e de uma assinatura digital.
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 123 de 144
60 O uso do protocolo https assegura que as informações trafegadas
utilizem certificados digitais.
(CESPE – Assembleia Legislativa/CE – Cargo 10 - 2011) Em relação a
segurança da informação e procedimentos de segurança, julgue os seguintes
itens.
61 Worms são programas que se espalham em uma rede, criam cópias
funcionais de si mesmo e infectam outros computadores.
62 O dropbox, ferramenta de backup disponibilizada na Internet, permite
que sejam feitos backups somente do tipo diferencial.
63 O adware, tipo de firewall que implementa segurança de acesso às
redes de computadores que fazem parte da Internet, evita que essas redes
sejam invadidas indevidamente.
(CESPE – Corpo de Bombeiros /DF – Todas as áreas - 2011) Julgue
os itens a seguir, relacionados a conceitos de sistema operacional, aplicativos e
procedimentos de Internet e intranet e segurança da informação.
64 Phishing é um programa utilizado para combater spyware, adware e
keyloggers, entre outros programas espiões.
65 Os procedimentos de backup devem ser executados com frequência
para se evitar a perda de dados. Uma ação recomendável é manter uma cópia
das informações críticas em local diferente do computador em que essas
informações se encontrem.
(CESPE – Câmara dos Deputados 2012 – Analista Legislativo:
Técnica Legislativa - 2012) Acerca de noções de vírus de computador e
técnicas de segurança da informação, julgue os itens que se seguem.
66 O termo Spam, consiste de emails não solicitados que são enviados,
normalmente, apenas para uma única pessoa e têm sempre conteúdo comercial.
Essa mensagem não transporta vírus de computador ou links na Internet.
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 124 de 144
67 A finalidade do uso de certificados digitais em páginas na Internet, por
meio de HTTPS, é evitar que o conteúdo total dos dados de camada de
aplicação, se capturados durante o tráfego, sejam identificados por quem o
capturou.
68 O termo phishing designa a técnica utilizada por um fraudador para
obter dados pessoais de usuários desavisados ou inexperientes, ao empregar
informações que parecem ser verdadeiras com o objetivo de enganar esses
usuários.
(CESPE – ANAC – Técnico em Regulação áreas 1,3 e 4 - 2012) Com
relação aos conceitos de segurança da informação, julgue os itens subsequentes.
69 Um firewall pessoal é uma opção de ferramenta preventiva contra
worms.
70 Com o certificado digital que é emitido pelo próprio titular do certificado,
podem-se realizar transações seguras com qualquer empresa que ofereça
serviços pela Internet.
(CESPE – FNDE – Técnico em Financiamento e Execução de
Programas e Projetos Educacionais - 2012) Julgue o próximo item, relativos
à segurança da informação.
71 Trojans ou cavalos de troia são programas capazes de multiplicar-se
mediante a infecção de outros programas maiores. Eles não têm o objetivo de
controlar o sistema, porém tendem a causar efeitos indesejados. Já os worms
causam efeitos altamente destrutivos e irreparáveis. Ao contrário dos trojans, os
worms utilizam o email como principal canal de disseminação, mas não possuem
a capacidade de produzir cópias de si mesmos ou de algumas de suas partes.
(CESPE – FNDE – Especialista em Financiamento e Execução de
Programas e Projetos Educacionais - 2012) Julgue os itens subsecutivos,
referentes a conceitos de segurança da informação.
72 Como forma de garantir a disponibilidade de informação mantida em
meios eletrônicos, deve-se fazer o becape de arquivos dos dados originais.
Normalmente, sempre que o procedimento de becape é executado, o sistema
operacional do equipamento faz uma cópia da totalidade dos dados em meio de
armazenamento distinto do utilizado para guarda dos dados originais.
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 125 de 144
73 Embora sejam considerados programas espiões, os spywares também
são desenvolvidos por empresas com o objetivo de coletar legalmente
informações acessíveis de usuários.
74 Para proteger um computador contra os efeitos de um worm, pode-se
utilizar, como recurso, um firewall pessoal.
(CESPE – Câmara dos Deputados – Analista Legislativo: Técnico em
Material e Patrimônio - 2012) Julgue os itens que se seguem, acerca de
procedimentos e conceitos de segurança da informação.
75 Para garantir que os computadores de uma rede local não sofram
ataques vindos da Internet, é necessária a instalação de firewalls em todos os
computadores dessa rede.
76 Ao se realizar um procedimento de backup de um conjunto arquivos e
pastas selecionados, é possível que o conjunto de arquivos e pastas gerado por
esse procedimento ocupe menos espaço de memória que aquele ocupado pelo
conjunto de arquivos e pastas de que se fez o backup.
77 Os worms, assim como os vírus, infectam computadores, mas,
diferentemente dos vírus, eles não precisam de um programa hospedeiro parase propagar.
(CESPE – TRE/RJ – Conhecimentos Básicos cargos 1 a 7 – 2012) A
respeito de segurança da informação, julgue os itens subsequentes.
78 É possível executar um ataque de desfiguração (defacement) — que
consiste em alterar o conteúdo da página web de um sítio — aproveitando-se da
vulnerabilidade da linguagem de programação ou dos pacotes utilizados no
desenvolvimento de aplicação web.
79 Nos procedimentos de backup, é recomendável que as mídias do backup
sejam armazenadas no mesmo local dos dados de origem, a fim de tornar a
recuperação dos dados mais rápida e eficiente.
(CESPE – TJ/AC – Técnico em Informática - 2012) No que se refere a
procedimentos de segurança, julgue os seguintes itens.
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 126 de 144
80 A execução dos procedimentos de segurança da informação
estabelecida em uma empresa compete ao comitê responsável pela gestão da
segurança da informação.
81 A atualização automática on-line do sistema operacional é uma prática
que garante que o computador não sofrerá infecção por bots.
82 Para garantir a confidencialidade de informações críticas de uma
empresa, devem ser estabelecidos procedimentos não só para a guarda e
disponibilização dessas informações, mas também para o seu descarte.
(CESPE – TJDFT – Técnico Judiciário Área Administrativa - 2013)
Acerca de redes de computadores e segurança da informação, julgue os itens
subsequentes.
83 Autenticidade é um critério de segurança para a garantia do
reconhecimento da identidade do usuário que envia e recebe uma informação
por meio de recursos computacionais.
84 Nobreak é um equipamento que mantém, durante determinado tempo,
em caso de falta de energia elétrica na rede, o funcionamento de computadores
que a ele estiverem conectados.
85 Nas empresas, um mesmo endereço IP é, geralmente, compartilhado
por um conjunto de computadores, sendo recomendável, por segurança, que dez
computadores, no máximo, tenham o mesmo endereço IP.
86 A criptografia, mecanismo de segurança auxiliar na preservação da
confidencialidade de um documento, transforma, por meio de uma chave de
codificação, o texto que se pretende proteger.
87 (CESPE – TCU – Auditor - Tecnologia da Informação - 2015)
Confidencialidade é a garantia de que somente pessoas autorizadas tenham
acesso à informação, ao passo que integridade é a garantia de que os usuários
autorizados tenham acesso, sempre que necessário, à informação e aos ativos
correspondentes.
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 127 de 144
88 (CESPE – TCU – Auditor - Tecnologia da Informação - 2015) No
algoritmo AES, a cifra de decriptografia é idêntica à cifra de criptografia, assim
como a sequência de transformações para a decriptografia é a mesma para a
criptografia, o que pode ser considerado uma vantagem, já que apenas um único
módulo de software ou firmware é necessário para aplicações que exigem tanto
criptografia quanto decriptografia.
89 (CESPE – TCU – Auditor - Tecnologia da Informação - 2015) A
autoridade de registro, além de ser a emissora de certificados e listas de
revogação de certificados, é um componente obrigatório nas PKI e está
associada ao registro das autoridades certificadoras.
90 (CESPE – TCU – Auditor - Tecnologia da Informação - 2015) Os
ataques DDoS de camada de aplicação são caracterizados por explorar aspectos
de arquitetura das aplicações e dos serviços para obstruir a comunicação; além
disso, são difíceis de detectar e podem ser efetivos com poucas máquinas e
taxas de tráfego não muito altas.
91 (CESPE – FUB – Conhecimentos Básicos - 2015) Vírus é um
programa autossuficiente capaz de se propagar automaticamente pelas redes
enviando cópias de si mesmo de um computador para outro.
92 (CESPE – FUB – Nível Intermediário - 2015) Certificado digital de
email é uma forma de garantir que a mensagem enviada possui, em anexo, a
assinatura gráfica do emissor da mensagem.
93 (CESPE – FUB – Nível Intermediário - 2015) A fim de evitar a
infecção de um computador por vírus, deve-se primeiramente instalar uma
versão atualizada de um antivírus, e somente depois abrir os arquivos suspeitos
anexados a emails.
94 (CESPE – FUB – Conhecimentos Básicos exceto cargo 2 - 2015) A
função da autoridade certificadora é emitir certificado digital de usuários da
Internet.
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 128 de 144
95 (CESPE – FUB – Conhecimentos Básicos exceto cargo 2 - 2015) O
phishing é um procedimento que possibilita a obtenção de dados sigilosos de
usuários da Internet, em geral, por meio de falsas mensagens de email.
LISTA DE EXERCÍCIOS OUTRAS BANCAS
1ª Questão) (ESAF – Superintendência de Seguros Privados –
Tecnologia da Informação – 2010) Por política de segurança entende-se
a) política planejada, válida para os setores críticos da organização, com
regras o mais claro e simples possível, e estrutura gerencial de fiscalização
dessa política, claramente sustentada pela alta hierarquia da área de
informática.
b) política elaborada, implantada e em contínuo processo de revisão, válida
para toda a organização, com regras o mais claro e simples possível, e estrutura
gerencial e material de suporte a essa política, claramente sustentada pela alta
hierarquia.
c) política e diretrizes de implantação, em contínuo processo de
desenvolvimento, fiscalizada por toda a organização, com regras criptografadas
e estrutura matricial e material de priorização dessa política, claramente
sustentada pela alta hierarquia.
d) política elaborada, implantada e imune a revisões, válida para toda a
organização, com estrutura gerencial de regras de formalização individualizada
dessa política nas unidades organizacionais, claramente sustentada pelos
gestores do nível operacional.
e) o conjunto de diretrizes e metas elaboradas, implantadas e em contínuo
processo de revisão, válidas para os responsáveis pela segurança, com técnicas
criptográficas o mais claro e simples possível, e estrutura gerencial e material de
terceirização de procedimentos, sustentada pela alta hierarquia, quando
possível.
2ª Questão) (FCC – TRT 24ª Região – Analista Judiciário – Tecnologia
da Informação – 2011 - adaptada) Considere:
I. Garantia de que o acesso à informação seja obtido somente por pessoas
autorizadas.
II. Salvaguarda da exatidão e completeza da informação e dos métodos de
processamento.
III. Garantia de que os usuários autorizados obtenham acesso à informação
e aos ativos correspondentes sempre que necessário.
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 129 de 144
Na ISO/IEC 17799(27002), I, II e III correspondem, respectivamente, a
a) disponibilidade, integridade e confiabilidade.
b) confiabilidade, integridade e distributividade.
c) confidencialidade, integridade e disponibilidade.
d) confidencialidade, confiabilidade e disponibilidade.
e) integridade, confiabilidade e disponibilidade.
3ª Questão) (FCC – SEFAZ/SP – Agente Fiscal de Rendas – 2013) Um
dos recursos básicos utilizados na segurança da informação é a criptografia que
tem como objetivo assegurar a
a) consistência.
b) disponibilidade.
c) integridade.
d) privacidade.
e) legalidade.
4ª Questão) (FCC – Banco Central do Brasil – Analista Área 1 – 2006)
NÃO é uma cifra de César resultante da criptografia sobre umamesma
mensagem:
a) F H Q W U D O.
b) K M V C W J Q.
c) E G P V T C N.
d) I K T Z X G R.
e) G I R X V E P.
5ª Questão) (FCC – Banco Central do Brasil – Analista Área 1 – 2006)
Em uma criptografia, o conceito de força bruta significa uma técnica para
a) eliminar todas as redundâncias na cifra.
b) tornar complexa a relação entre a chave e a cifra.
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 130 de 144
c) acrescentar aleatoriedade aos dados, tornando maior o caos.
d) quebrar uma criptografia simétrica por meio de busca exaustiva da
chave.
e) ocultar uma determinada informação para torná-la imperceptível.
6ª Questão) (ESAF – Auditor de Finanças e Controle – Infraestrutura
de TI – 2012) Comparando a criptografia simétrica com a assimétrica, observa-
se que
a) a primeira possui o problema do gerenciamento de chaves, ao passo que
a segunda possui o problema da complexidade binária.
b) a primeira possui o problema da privacidade da chave universal, ao
passo que a segunda possui o problema da criação e distribuição de chaves.
c) a primeira possui o problema da distribuição e gerenciamento de chaves,
ao passo que a segunda possui o problema do desempenho.
d) a primeira possui o problema do desempenho em redes sem fio, ao
passo que a segunda possui o problema do desempenho em ambientes
corporativos.
e) a primeira possui o problema do desempenho, ao passo que a segunda
possui o problema da geração de chaves.
7ª Questão) (FCC – MPE/MA – Analista Ministerial – Segurança da
Informação – 2013) Considere:
I. Utiliza uma mesma chave tanto para codificar como para decodificar
informações, sendo usada principalmente para garantir a confidencialidade dos
dados.
II. Utiliza duas chaves distintas: uma pública, que pode ser livremente
divulgada, e uma privada. Quando uma informação é codificada com uma das
chaves, somente a outra chave do par pode decodificá-la.
Os itens acima descrevem, respectivamente,
a) assinatura digital e função de resumo.
b) método de espalhamento e PKI.
c) função de resumo e assinatura digital.
d) criptografia de chave simétrica e de chave assimétrica.
e) criptografia de chave pública e método de espalhamento
8ª Questão) (FCC – TRT 11ª Região – Analista Judiciário – Tecnologia
da Informação - 2012) Corresponde a uma função de hash criptográfico, a um
algoritmo de criptografia simétrica e a um algoritmo de chave pública,
respectivamente,
a) SHA-1, DES e RSA.
b) MD5, Diffie-Hellman e RSA.
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 131 de 144
c) 3DES, MD5 e RC5.
d) AES, SHA-1 e RC6.
e) Diffie-Hellman, MD5 e DES.
9ª Questão) (FCC – TRT 6ª Região – Analista Judiciário – Tecnologia
da Informação – 2012) A respeito de algoritmos criptográficos, é correto
afirmar que
a) AES é um exemplo de criptografia de chave assimétrica.
b) SHA1 é um exemplo de algoritmo de criptografia com aplicações que não
são criptográficas como, por exemplo, a verificação de integridade de dados.
c) RSA é um exemplo de criptografia de chave simétrica.
d) DES é considerado mais seguro que AES, porque este último é suscetível
a "ataques de força bruta".
e) AES é considerado mais seguro que DES, porque este último utiliza
chaves assimétricas.
10ª Questão) (FCC – TJ/PE – Analista Judiciário – Analista de
Suporte – 2012) O padrão de criptografia que é uma cifra simétrica de bloco
que usa um tamanho de bloco de 128 bits e um tamanho de chave de 128, 192
ou 256 bits é conhecido como:
a) PKCS#7.
b) SHA 1.
c) RSA.
d) DES.
e) AES.
11ª Questão)(Cesgranrio - BNDES – Analista de Suporte de Sistemas
–2010) Um usuário mal-intencionado obteve, além do tipo de algoritmo
utilizado na criptografia, a chave pública de João, quando este iniciou uma
comunicação criptografada (algoritmo assimétrico) com Marcela. De posse dessa
chave pública e do algoritmo, o usuário mal-intencionado
a) pode ler o conteúdo das mensagens enviadas de João a Marcela, mas
não o inverso.
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 132 de 144
b) pode ler o conteúdo das mensagens enviadas de Marcela a João, mas
não o inverso.
c) não tem acesso ao conteúdo das mensagens de posse desses itens.
d) consegue obter a chave privada a partir de ataques de dicionário.
e) consegue obter a chave privada utilizando ataques de SQL Injection.
12ª Questão) (FCC – MPE/MA – Analista Ministerial – Segurança da
Informação – 2013) Uma assinatura digital é um recurso de segurança cujo
objetivo é
a) identificar um usuário apenas por meio de uma senha.
b) identificar um usuário por meio de uma senha, associada a um token.
c) garantir a autenticidade de um documento.
d) criptografar um documento assinado eletronicamente.
e) ser a versão eletrônica de uma cédula de identidade.
13ª Questão (ESAF – Auditor de Finanças e Controle –
Infraestrutura de TI – 2012) Com relação ao processo de verificação de
assinatura digital, tem-se que o algoritmo de assinatura digital é aplicado sobre
a assinatura digital recebida, usando a chave pública do remetente, o que
resulta no resumo criptográfico da mensagem; em seguida, o algoritmo de hash
é aplicado na mensagem recebida. A assinatura digital é válida se
a) os dois resumos obtidos forem simétricos.
b) os dois certificados digitais forem iguais.
c) o resumo obtido na recepção for o hash do resumo original.
d) os dois resumos obtidos forem iguais.
e) as chaves públicas forem diferentes.
14ª Questão) (FCC – MPE/MA – Analista Ministerial – Segurança da
Informação – 2013) A assinatura digital permite comprovar a ...... e a
integridade de uma informação, ou seja, que ela foi realmente gerada por quem
diz e que ela não foi alterada. A assinatura digital baseia-se no fato de que
apenas o dono conhece a chave privada, garantindo deste modo que apenas ele
possa ter efetuado a operação.
A lacuna é preenchida corretamente por
a) confidencialidade.
b) velocidade.
c) robustez.
d) autenticidade.
e) criptografia.
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 133 de 144
15ª Questão) (ESAF – Auditor de Finanças e Controle –
Infraestrutura de TI – 2008) Em assinaturas digitais, a chave criptográfica
usada para a verificação da autenticidade de um dado emissor por um receptor é
a chave
a) privada do emissor.
b) pública do emissor.
c) pública do receptor.
d) privada do receptor.
e) simétrica compartilhada entre emissor e receptor.
16ª Questão) (FCC – TRT/2ª Região – Técnico Judiciário – Tecnologia
da Informação – 2013) Um código anexado ou logicamente associado a uma
mensagem eletrônica que permite, de forma única e exclusiva, a comprovação
da autoria de um determinado conjunto de dados é:
a) uma autoridade certificadora;
b) uma trilha de auditoria;
c) uma chave simétrica;
d) uma assinatura digital;
e) um certificado digital.
17ª Questão) (FCC – MPE/MA – Analista Ministerial – Segurança da
Informação – 2013) Um certificado digital pode ser comparado a um
documento de identidade, por exemplo, ao passaporte, no qual constam dados
pessoais e a identificação de quem o emitiu. No caso do passaporte, a entidade
responsável pela emissão e pela veracidade dos dados é a Polícia Federal.
No caso do certificado digital esta entidade é a
a) Autoridade Certificadora.
b) Unidade de Registro de Domínios.
c) Autoridade de Registro.
d) Comissão Regional de Registros.e) Federação de Segurança.
18ª Questão) (FGV – Senado - Analista de Sistemas – 2012 – 1ª
aplicação) Um certificado digital é um arquivo eletrônico que identifica quem é
o seu titular, pessoa física ou jurídica, ou seja, é um documento eletrônico de
identidade. Quando são realizadas transações, de forma presencial, muitas
vezes é solicitada uma identificação, por meio de um registro que comprove
identidade. Na Internet, quando as transações são feitas de forma eletrônica, o
Certificado Digital surge como forma de garantir a identidade das partes
envolvidas. Entre os fatores garantidos pela Certificação Digital, dois são
descritos a seguir:
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 134 de 144
I. É a garantia de que somente o titular do Certificado poderia ter
realizado determinada operação.
II. É a garantia de que as informações trocadas nas transações
eletrônicas não foram alteradas no caminho que percorreram. Esses
fatores são conhecidos, respectivamente, por:
a) Não-repúdio e Privacidade nas transações
b) Não-repúdio e Integridade das mensagens
c) Confidencialidade e Integridade das mensagens
d) Autenticidade e Integridade das mensagens
e) Autenticidade e Privacidade nas transações
19ª Questão) (FCC – MPE/MA – Analista Ministerial – Segurança da
Informação – 2013) De forma geral, os dados básicos que compõem um
certificado digital são:
− versão e número de série do certificado.
− dados que identificam quem emitiu o certificado.
− dados que identificam o dono do certificado.
É INCORRETO dizer que dentre estes dados também se inclua:
a) validade do certificado.
b) chave privada do dono do certificado.
c) chave pública do dono do certificado.
d) algoritmo de assinatura.
e) requerente.
20ª Questão) (FCC – Câmara dos Deputados – Analista de
Informática – 2007) Um certificado digital é:
I – Um arquivo eletrônico que contém a identificação de uma pessoa ou
instituição.
II – Equivalente ao RG ou CPF de uma pessoa.
III – O mesmo que uma assinatura digital.
Está correto o que consta em:
a) I apenas;
b) III apenas;
c) I e II apenas;
d) I e III apenas;
e) I, II e III.
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 135 de 144
21ª Questão) (FCC – INFRAERO – Analista de Sistemas – Rede e
Suporte – 2011) Em relação à assinatura digital, é INCORRETO afirmar:
a) Quando um usuário usa a chave pública do emitente para decifrar uma
mensagem, ele confirma que foi aquele emitente e somente aquele emitente
quem enviou a mensagem, portanto, a assinatura é autêntica.
b) O documento assinado não pode ser alterado: se houver qualquer
alteração no texto criptografado este só poderá ser restaurado com o uso da
chave pública do emitente.
c) A assinatura não pode ser forjada, pois somente o emitente conhece sua
chave secreta.
d) A assinatura é uma função do documento e não pode ser transferida
para outro documento, portanto, ela não é reutilizável.
e) O usuário destinatário não precisa de nenhuma ajuda do usuário
emitente para reconhecer sua assinatura e o emitente não pode negar ter
assinado o documento, portanto, a assinatura não pode ser repudiada.
22ª Questão) (ESAF – Analista de Finanças e Controle –
Infraestrutura de TI – 2012) Infraestrutura de Chave Pública é o conjunto de
hardware,software, pessoas, políticas e procedimentos necessários para
a) instanciar, transmitir, apagar, publicar e revogar certificados digitais.
b) montar, validar perante a Polícia Federal, distribuir e apagar certificados
digitais.
c) criar, gerenciar, armazenar, distribuir e revogar certificados digitais.
d) criar, instanciar, armazenar, restaurar e publicar certificados digitais.
e) montar, gerenciar, armazenar, restaurar e publicar certificados digitais.
23ª Questão) (FCC – TRT 24ª Região – Analista Judiciário –
Tecnologia da Informação - 2011) Consiste em uma chave pública mais um
ID de usuário do proprietário da chave, com o bloco inteiro assinado por um
terceiro que tenha credibilidade. A definição é de
a) assinatura digital e o terceiro referido corresponde ao signatário
recebedor da mensagem.
b) criptografia assimétrica e o terceiro referido corresponde ao signatário
recebedor da mensagem.
c) criptografia simétrica e o proprietário referido corresponde a uma
autoridade certificadora.
d) certificado de chave pública e o terceiro referido corresponde a uma
autoridade certificadora.
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 136 de 144
e) assinatura de chave pública e o proprietário referido corresponde a uma
autoridade certificadora.
24ª Questão) (FCC – SEFAZ/SP – Agente Fiscal de Rendas – 2013)
Para responder às próximas questões, considere o diagrama abaixo. Ele
representa uma estrutura típica de redes de computadores instalada em uma
pequena organização.
O dispositivo identificado pela letra A tem por função bloquear os acessos
indevidos provenientes da Internet para a rede local (LAN), por meio da
verificação do endereço (IP), é conhecido como
a) anti-vírus.
b) bridge.
c) firewall.
d) gateway.
e) server.
25ª Questão) (FCC – SEFAZ/SP – Agente Fiscal de Rendas – 2013) O
dispositivo identificado pela letra E é um servidor de páginas Web de divulgação
das informações públicas da corporação com o objetivo de realizar uma ampla
propaganda, sendo desejável que qualquer acesso às páginas seja permitido. Na
arquitetura de redes, a região ou o local em que o dispositivo de letra E está
instalado denomina-se
a) DMZ.
b) MAN.
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 137 de 144
c) PKC.
d) VLAN.
e) WAN.
26ª Questão) (FCC – TRT/12ª Região – Analista Judiciário –
Tecnologia da Informação – 2013) Luiza trabalha em uma empresa com 500
funcionários. A empresa tem centenas de computadores com placas de rede
conectando-os. A empresa também tem uma ou mais conexões de alta
velocidade com a internet. Luiza foi contratada para evitar que um hacker possa
sondar esses computadores, tentar estabelecer conexões FTP com eles, fazer
conexões telnet e assim por diante. Ainda, se um funcionário cometer um erro e
deixar uma vulnerabilidade na segurança, Luiza deve evitar que os hackers
possam chegar nessa máquina e explorar essa fraqueza.
Para evitar esta situação de risco, Luiza deve instalar na rede um
a) sistema de criptografia assimétrica.
b) firewall em cada conexão com a internet.
c) filtro de conteúdo de e-mails.
d) poderoso antivírus.
e) sistema de criptografia simétrica.
27ª Questão) (FCC – ISS/SP – Auditor-Fiscal Tributário Municipal I –
Tecnologia da Informação – 2012) São algumas das medidas de prevenção
contra a infecção ou proliferação de vírus:
I. Desabilitar no programa leitor de e-mails a autoexecução de arquivos
anexados às mensagens.
II. Procurar utilizar, na elaboração de documentos, formatos menos
suscetíveis à propagação de vírus, tais como RTF, PDF ou PostScript.
III. Procurar não utilizar, no caso de arquivos comprimidos, o formato
executável.
IV. Não executar ou abrir arquivos recebidos por e-mail ou por outras
fontes antes de certificar-se de que esses arquivos foram verificados pelo
programa antivírus.
Está correto o que se afirma em
a) I, II e III, apenas.
b) I, II, III e IV.
c) I e III, apenas.
d) II, apenas.
e) II e III, apenas.
91824207425
Informática para Polícia Federal 2016
Prof Victor Daltonʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 138 de 144
28ª Questão) (FCC – Banco Central do Brasil – Analista Área 1 –
2006) Um código malicioso que se altera em tamanho e aparência cada vez que
infecta um novo programa é um vírus do tipo
a) de boot.
b) de macro.
c) parasita.
d) camuflado.
e) polimórfico.
29ª Questão) (Cesgranrio - BNDES - Analista de Suporte de Sistemas
–2010) Um conjunto de computadores está sendo utilizado para tirar de
operação um serviço de determinado órgão público. Essa situação configura o
ataque do tipo
a) Replay.
b) SQL Injection.
c) XSS.
d) Buffer Overflow.
e) DDoS.
30ª Questão) (FCC – MPE/AP – Técnico Ministerial – Informática -
2012) Códigos maliciosos (malwares) são programas que objetivam executar
ações danosas e atividades maliciosas em um computador. Neste contexto
encontram-se bots e botnets, sobre os quais é correto afirmar:
a) Botnet é um software malicioso de monitoramento de rede que tem a
função de furtar dados que transitam pela rede e, normalmente, tornar a rede
indisponível disparando uma grande carga de dados direcionados ao servidor da
rede.
b) Bot é um programa que dispõe de mecanismos de comunicação com o
invasor e possui um processo de infecção e propagação igual ao do vírus, ou
seja, não é capaz de se propagar automaticamente.
c) Um computador infectado por um bot costuma ser chamado de attack
base, pois serve de base para o atacante estabelecer suas ações maliciosas.
Também pode ser chamado de spam host, pois o bot instalado tem o objetivo de
enviar infinitamente spams para a caixa de e-mail de quem é vítima do ataque.
d) A comunicação entre o invasor e o computador infectado pelo bot pode
ocorrer exclusivamente via redes do tipo P2P. Ao se comunicar, o invasor pode
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 139 de 144
enviar instruções para que ações maliciosas sejam executadas, como desferir
ataques, furtar dados do computador infectado e enviar spam.
e) Algumas das ações maliciosas que costumam ser executadas por
intermédio de botnets são: ataques de negação de serviço, propagação de
códigos maliciosos, coleta de informações de um grande número de
computadores, envio de spam e camuflagem da identidade do atacante.
31ª Questão) (FCC – TST – Analista Judiciário – Tecnologia da
Informação - 2012) Vírus de computador e outros programas maliciosos
(Malwares) agem de diferentes formas para infectar e provocar danos em
computadores. O Malware que age no computador capturando as ações e as
informações do usuário é denominado
a) Cavalo de Troia.
b) Keyloggers.
c) Backdoors.
d) Spyware.
e) Worm.
32ª Questão) (FCC – TRT/6ª Região – Técnico Judiciário – Tecnologia
da Informação - 2012) Considere:
Em relação a malwares e com base na notícia apresentada, é correto
afirmar:
a) Trata-se de uma notícia alarmista e falsa, pois os computadores Mac
são imunes a este tipo de ataque.
b) Caso seja fornecida a senha, o usuário perderá sua máquina, pois o
Flashback irá destruir o disco rígido.
c) Certamente empresas especializadas podem oferecer soluções para
desinfectar as máquinas Mac.
d) Dificilmente uma empresa, mesmo especializada, conseguirá oferecer
soluções de desinfecção para máquinas Mac.
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 140 de 144
e) A Apple certamente irá à falência depois de uma notícia como esta.
33ª Questão) (FCC – TRT/6ª Região – Técnico Judiciário – Tecnologia
da Informação - 2012) O termo malware é uma denominação genérica para
designar software projetado para causar danos a quem o executa. Software
assim pode ganhar acesso a um computador através dos seguintes meios,
EXCETO
a) um arquivo .mp3 que infecta o sistema ao ser tocado.
b) um arquivo .doc que infecta o sistema ao ser aberto no editor.
c) uma extensão do navegador que infecta o sistema ao ser executada.
d) um programa executável que infecta o sistema ao ser executado.
e) uma arquivo .xls que infecta o sistema ao ser aberto.
34ª Questão) (FCC – MPE/PE – Analista Ministerial – Informática -
2012) Sobre Cavalo de Tróia, é correto afirmar:
a) Consiste em um conjunto de arquivos .bat que não necessitam ser
explicitamente executados.
b) Contém um vírus, por isso, não é possível distinguir as ações realizadas
como consequência da execução do Cavalo de Tróia propriamente dito, daquelas
relacionadas ao comportamento de um vírus.
c) Não é necessário que o Cavalo de Tróia seja executado para que ele se
instale em um computador. Cavalos de Tróia vem anexados a arquivos
executáveis enviados por e-mail.
d) Não instala programas no computador, pois seu único objetivo não é
obter o controle sobre o computador, mas sim replicar arquivos de propaganda
por e-mail.
e) Distingue-se de um vírus ou de um worm por não infectar outros
arquivos, nem propagar cópias de si mesmo automaticamente.
35ª Questão) (FUNCAB – MPE/RO – Analista – Suporte de
Informática - 2012) Os programas keyloggers e screenloggers são
considerados programas do tipo:
a) adware
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 141 de 144
b) cavalo de troia.
c) spyware
d) worms
e) hoaxes
36ª Questão) (FCC – TRT/14ª Região – Analista Judiciário –
Tecnologia da Informação - 2011) Analise as seguintes características de
software:
I. Especificamente projetado para apresentar propagandas, quer por
intermédio de um browser quer por meio de algum outro programa instalado.
II. Monitorar atividades de um sistema e enviar as informações coletadas
para terceiros.
De acordo com cgi.br, I e II são tipos de software categorizados,
respectivamente, como
a) Trojan e worm.
b) adware e worm.
c) adware e spyware.
d) spyware e trojan.
e) phishing e spam.
37ª Questão) (FCC – MPE/AM – Agente de Apoio – Manutenção e
Suporte de Informática - 2013) Com relação à utilização correta de
ferramentas antimalware, considere:
I. É aconselhável utilizar programas antimalware on-line quando se
suspeitar que o antimalware local esteja desabilitado ou comprometido ou
quando se necessitar de uma segunda verificação.
II. Devem ser configuradas para verificar apenas arquivos executáveis, pois
são os únicos que podem conter vírus e outros tipos de malware.
III. Deve-se evitar executar simultaneamente diferentes programas
antimalware, pois eles podem entrar em conflito, afetar o desempenho do
computador e interferir na capacidade de detecção um do outro.
IV. Não é recomendável ter um antimalware instalado no computador, pois
os programas on-line além de serem mais eficientes, são suficientes para
proteger o computador.
Está correto o que se afirma APENAS em
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 142 de 144
a) I, II e III.
b) III e IV.
c) I e III.
d) II e IV.
e) I.
38ª Questão) (FCC – MPE/CE – Analista Ministerial – Ciências da
Computação - 2013) Há diferentes tipos de vírus. Alguns procuram
permanecer ocultos, infectando arquivos do disco e executando uma série de
atividades sem o conhecimento do usuário. Há outros que permanecem inativos
durante certos períodos, entrando em atividade apenas em datas específicas.
Alguns dos tipos de vírus mais comuns são apresentados nas afirmativas abaixo.
Assinale o que NÃO se trata de um vírus.
a) Propaga-sede celular para celular por meio de bluetooth ou de
mensagens MMS. A infecção ocorre quando um usuário permite o recebimento
de um arquivo infectado e o executa. Após infectar o celular, pode destruir ou
sobrescrever arquivos, remover ou transmitir contatos da agenda, efetuar
ligações telefônicas e drenar a carga da bateria.
b) Recebido como um arquivo anexo a um e-mail, que tenta induzir o
usuário a clicar sobre este arquivo para que seja executado. Quando entra em
ação, infecta arquivos e programas e envia cópias de si mesmo para os e-mails
encontrados nas listas de contatos gravadas no computador.
c) Escrito em linguagem de script, recebido ao acessar uma página web ou
por e-mail, como um arquivo anexo ou parte do próprio e-mail escrito em HTML.
Pode ser automaticamente executado, dependendo da configuração do browser
e do leitor de e-mails do usuário.
d) Escrito em linguagem de macro e tenta infectar arquivos manipulados
por aplicativos que utilizam esta linguagem como, por exemplo, os que
compõem o Microsoft Office.
e) Após infectar um computador, tenta se propagar e continuar o processo
de infecção. Para isso, necessita identificar os computadores alvos para os quais
tentará se copiar, o que pode ser feito efetuando uma varredura na rede e
identificando os computadores ativos.
39ª Questão) (FCC – MPE/CE – Analista Ministerial – Ciências da
Computação - 2013) Ataques costumam ocorrer na Internet com diversos
objetivos, visando diferentes alvos e usando variadas técnicas. Analise os
exemplos e descrições abaixo.
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 143 de 144
1. Pode ser realizado por diversos meios, como pela geração de grande
tráfego de dados para uma rede, ocupando toda a banda disponível e tornando
indisponível qualquer acesso a computadores ou serviços desta rede.
2. Uma pessoa recebe um e-mail, em nome de um site de comércio
eletrônico ou de uma instituição financeira, que tenta induzi-la a clicar em um
link. Ao fazer isto, é direcionada para uma página web falsa, semelhante ao site
que realmente deseja acessar, no qual são solicitados os dados pessoais e
financeiros da pessoa.
3. Consiste em alterar campos do cabeçalho de um e-mail, de forma a
aparentar que ele foi enviado de uma determinada origem quando, na verdade,
foi enviado de outra. Esta técnica é possível devido a características do protocolo
SMTP que permitem que campos do cabeçalho sejam falsificados.
A associação entre a descrição e o tipo de ataque é expressa correta, e
respectivamente, em
a) 1-flood 2-rootkit 3-spyware
b) 1-DoS 2-phishing 3-spoofing
c) 1-DoS 2-adware 3-rootkit
d) 1-adware 2-DoS 3-spyware
e) 1-spyware 2-rootkit 3-DoS
91824207425
Informática para Polícia Federal 2016
Prof Victor Dalton ʹ Aula 12
Prof. Victor Dalton
www.estrategiaconcursos.com.br 144 de 144
GABARITO CESPE
1.c 2.e 3.e 4.c 5.c 6.e 7.c 8.e 9.c 10.c
11.c 12.e 13.e 14.c 15.c 16.e 17.c 18.c 19.c 20.c
21.c 22.e 23.e 24.c 25.c 26.e 27.e 28.c 29.c 30.e
31.e 32.c 33.e 34.e 35.c 36.c 37.e 38.c 39.e 40.c
41.e 42.e 43.e 44.c 45.e 46.c 47.c 48.e 49.c 50.e
51.c 52.c 53.c 54.e 55.e 56.e 57.c 58.e 59.c 60.c
61.c 62.e 63.e 64.e 65.c 66.e 67.c 68.c 69.c 70.e
71.e 72.e 73.c 74.c 75.e 76.c 77.c 78.c 79.e 80.e
81.e 82.c 83.c 84.c 85.e 86.c 87.e 88.e 89.e 90.c
91.e 92.e 93.e 94.e 95.e
GABARITO OUTRAS BANCAS
1.b 2.c 3.d 4.b 5.d 6.c 7.d 8.a 9.b 10.e
11.c 12.c 13.d 14.d 15.b 16.d 17.a 18.b 19.b 20.c
21.b 22.c 23.d 24.c 25.a 26.b 27.b 28.e 29.e 30.e
31.d 32.c 33.a 34.e 35.c 36.c 37.c 38.e 39.b
91824207425Mais conteúdos dessa disciplina
(31)994408961- RESOLVIDO- Atividade pratica Gestao de eventos- (31)994408961- RESOLVIDO- Atividade pratica Gestao de eventos
- Mapa Mental - PowerPoint Básico
- Revisão Segurança de Software
- Qual é a diferença entre o Minitab e o EXCEL? A O EXCEL é um software, e o Minitab não B No Minitab, todas as colunas precisam ter o mesmo número de l
- qual not book com estas especificações Processador (CPU) Intel Core i7/i9 ou AMD Ryzen 7/9 de última geração (priorize alta frequência), Memória RAM 3
- Relacione as leituras em polegadas e suas frações na escala tipo “sem encosto” da figura. Depois, selecione a alternativa que expressa os comprimentos
- Para garantir a qualidade dos equipamentos de imagem, são realizados testes periódicos que permitem avaliar se o sistema está operando corretamente. N
- Em um sistema de processamento paralelo utilizando OpenMP, um programador deseja dividir um loop grande entre múltiplos processadores para acelerar...
- A utilização da radiografia digital modificou a rotina dos serviços de imagem, principalmente pela forma mais eficiente de produção e gerenciamento do
- O multímetro digital é uma ferramenta essencial para engenheiros e técnicos, oferecendo uma ampla gama de funcionalidades em um dispositivo compact...
- COMO FAZER No ato da contratação deverá ser apresentada declaração de que possui conhecimentos em sistema operacional Windows, navegação na Internet,
- Muitas organizações estão migrando de um sistema de remuneração baseado em cargos para um sistema baseado em competências. Uma das características imp
- Uma impressora que utiliza a tecnologia de impacto é a impressora? A. Térmica. B. Laser. C. InkJet. D. Matricial. E. À cera.
- Antes de realizar o mandrilamento dos alojamentos dos pinos (buchas de bielas), foi solicitado a você realizar um procedimento que consiste em corrigi
- Considerando o MS-WORD 2007 em sua instalação padrão, o ato de realizar três cliques rápidos e consecutivos com o botão esquerdo do mouse (configur...
- A segurança na internet é essencial para proteger dispositivos e informações contra ameaças digitais. Em relação aos diferentes tipos de malware, i...
- Questão Discursiva- NORMALIZAÇÃO DOCUMENTÁRIA
- CONGRESSO INTELIGÊNCIA ARTIFICIAL - RELATÓRIO