Prévia do material em texto

INFORMÁTICA 
PROF. DANILO VILANOVA 
 
CAPÍTULO 5 SEGURANÇA DA INFORMAÇÃO 
 
No capítulo anterior, vimos inúmeros tipos de malwares, 
golpes e ataques que existem. Todos eles são ameaças que 
visam explorar um vulnerabilidade e obter vantagem, 
capturar informações ou provocar perdas. A segurança da 
informação está diretamente relacionada com proteção de 
um conjunto de informações, no sentido de preservar o valor 
que possuem para um indivíduo ou uma organização. Nesse 
sentido observe alguns conceitos importantes. 
 
CONCEITOS IMPORTANTES NA SEGURANÇA DA 
INFORMAÇÃO 
• Ativo: conjunto de bens e direitos de um indivíduo ou 
organização que possui valor e/ou faz parte de seu 
patrimônio. Nesse contexto os dados e informações são 
ativos. 
• Ameaças: normalmente são fatores externos que 
podem causar algum dano a informação. Quando a 
ameaça é ativa é porque ela foi concretizada e gerou um 
incidente. Quando -ela é passiva, quer dizer que ocorreu 
mas não se concretizou, ou não gerou um incidente. 
• Vulnerabilidades: Todo e qualquer fator ou situação 
que possa causar dano aos dados e aos serviços. Brechas 
na segurança e na proteção dos dados e sistemas. 
Alguns tipos de vulnerabilidades que existem são: Física 
(Ex.: goteira), Natural (Ex.: terremoto), Hardware (Ex.: 
gerador não suporta queda de energia), Software (Ex.: 
programa com brecha de segurança), Humana (Ex.: 
falhas humanas; senha fácil). 
 
 
 
 
PRINCÍPIOS BÁSICOS DE SEGURANÇA DA 
INFORMAÇÃO 
Os princípios básicos de segurança da informação cobrados 
em prova são cinco: Confidencialidade, Integridade, 
Disponibilidade, Autenticidade e Não repúdio 
(irretratabilidade). Porém os mais citados são os três 
primeiros. 
 
Como lembrar dos princípios básicos da S.I.? 
Pense na mulher mais preocupada com 
segurança do mundo: CIDA. 
 
 
 
 
HACKER x CRACKER 
Hacker 
Especialistas em informática e segurança da informação. Os 
hackers utilizam todo o seu conhecimento para melhorar 
softwares de forma legal e nunca invadem um sistema com 
o intuito de causar danos. 
 
Cracker 
Especialistas em informática e segurança da informação. Os 
crackers têm como prática a quebra da segurança de um 
software e usam seu conhecimento de forma ilegal, 
portanto, são vistos como criminosos. 
 
PROGRAMAS E TÉCNICAS QUE AJUDAM A PROTEGER 
Antivírus 
Os antivírus são programas de computador que ajudam a 
proteger computadores e sistemas contra os vírus de 
computador. Os antivírus dedicam-se à prevenção da entrada 
dos vírus no computador, à detecção da contaminação do 
sistema por vírus e à remoção dos vírus quando da sua 
detecção. 
IMPORTANTE: os software antivírus e as definições de vírus 
precisam estar atualizados. 
Antispyware 
O uso do software antispyware pode ajudá-lo a proteger seu 
computador contra programas espiões (spywares) e outros 
possíveis softwares indesejados. A maioria dos Antivírus 
possui proteção contra spyware integrada. 
 
Firewall 
*** Muito cobrado em provas de concurso! *** 
Firewall é um software ou um hardware que serve para deixar 
seu computador mais seguro. Funciona como uma barreira 
que verifica informações vindas da internet ou de uma rede 
(controla o tráfego de dados) e, em seguida, joga essas 
informações fora ou permite que elas passem pelo 
Ameaças
•Exploram as...
Vulnerabilidades
•Expondo os...
Ativos
•Provoca perda de...
Confidencialidade, 
Integridade e 
Disponibilidade
•Gerando...
Incidentes de 
segurança
•devem limitados por...
Medidas de segurança
•para impedir...
•Confidencialidade
•Garantir que a informação seja 
acessada apenas por quem tem 
autorização. Garantir o sigilo. 
C
•Integridade
•Garantir que a informação não 
seja alterada. Ou seja alterada 
apenas por pessoa autorizada.
I
•Disponibilidade
•Garantir que os usuários 
autorizados tenham a informação 
disponível quando necessário.
D
•Autenticidade
•Garantir a identidade ou autoria 
do manuseio da informação.A
•Não repúdio/irretratabilidade
•Garantir que um usuário não 
possa negar que realizou uma 
ação.
*
 
 2 
computador. Assim, oferece uma defesa contra crackers ou 
programas mal intencionados, que tentam conectar seu 
computador sem permissão. 
 
 
O firewall não detecta ou remove vírus, para 
isso é necessário instalar um antivírus em seu 
computador. 
Dentre os ataques que podem ser 
neutralizados por um firewall, incluem-se os 
ataques de crackers, worms, ping of death, 
etc. 
 
Backup 
 
 
O Backup é uma cópia de segurança. Algumas bancas de 
concurso podem referir-se a ele como becape. 
Ter cópias da informação garante que, caso haja perda, os 
dados poderão ser recuperados. Assim, o backup garante 
a Disponibilidade. 
As cópias de segurança não devem ser feitas no mesmo 
disco ou mesma unidade de armazenamento. O ideal é usar 
outra unidade de armazenamento como backup. 
 
Veja na tabela a seguir os tipos de backup. 
 
TIPO FUNÇÃO 
Backup de 
cópia 
(não marca) 
Um backup de cópia copia todos os 
arquivos selecionados, mas NÃO os 
marca como arquivos que passaram por 
backup. 
Backup diário 
(não marca) 
Um backup diário copia todos os 
arquivos selecionados que foram 
modificados no dia de execução do 
backup diário. NÃO sinaliza o arquivo 
como copiado. 
Backup 
Normal 
(marca) 
Um backup normal copia todos os 
arquivos selecionados. E, SIM, sinaliza-
os como copiados. 
Backup 
diferencial 
(não marca) 
Um backup diferencial copia arquivos 
criados ou alterados desde o último 
backup normal ou incremental. Após 
copiá-los NÃO sinaliza como tendo feito 
backup. 
Restauração: a restauração de arquivos 
e pastas exigirá o último backup normal 
e o último backup diferencial. 
Backup 
incremental 
(marca) 
Um backup incremental copia somente 
os arquivos criados ou alterados desde o 
último backup normal ou incremental. 
Após a cópia, SIM, sinaliza os arquivos 
como já tendo sido copiados. 
Restauração: exigirá o último normal e 
todos os incrementais. 
Espelhamento 
O espelhamento é um backup 
automático feito por hardware, em 
tempo real. Backup quente. 
 
Backup Diferencial é cumulativo. A cada dia a quantidade de 
informações para serem copiadas aumenta. Isso acontece 
propositalmente porque após realizar a cópia o backup 
diferencial não sinaliza os arquivos com tendo sido copiados. 
Logo, no dia seguinte ele copiará todos os arquivos alterados 
desde o último normal, incluindo o dia anterior. Veja gráfico: 
 
Figura 1 Backup Diferencial 
O Backup incremental copia os arquivos alterados e depois 
sinaliza-os como copiados. Logo, no dia seguinte eles não 
serão copiados novamente. A quantidade de informação a ser 
copiada diariamente não é crescente, nem cumulativa. 
 
 
Figura 2 Backup Incremental 
 Backup Incremental x Backup Diferencial 
 
 
 
 
 
 
 
CRIPTOGRAFIA 
Criptografia (do grego kryptós, "escondido", e gráphein, 
"escrita") é uma forma sistemática utilizada para esconder a 
informação na forma de um texto ou mensagem 
incompreensível. Essa codificação é executada por um 
programa de computador que realiza um conjunto de 
operações matemáticas, inserindo uma chave secreta na 
mensagem. O emissor do documento envia o texto cifrado, 
que será reprocessado pelo receptor, transformando-o, 
novamente, em texto legível, igual ao emitido, desde que 
tenha a chave correta. 
 
 3 
 
Quais são os tipos de criptografia existentes? 
• Simétrica (criptografia de chave única) 
• Assimétrica (criptografia de chave pública) 
 
DICA 01: Em toda questão de Criptografia de Chaves Pública e Privada 
a mensagem SEMPRE será codificada através da Chave Pública do 
Destinatário e “quebrada” através da Chave Privada deste mesmo 
Destinatário. 
DICA 02: Nas questões de Assinatura Digital a mensagem SEMPRE 
será codificada através da Chave Privada do Remetente. 
Característica esta que garante a Autenticidade e o Não-Repúdio do 
ato ou informação. 
 
CRIPTOGRAFIA SIMÉTRICA 
Existem dois tipos de criptografia:simétrica e assimétrica. A 
criptografia simétrica é baseada em algoritmos que 
dependem de uma mesma chave, denominada chave 
secreta, que é usada tanto no processo de cifrar quanto no 
de decifrar o texto. Para a garantia da integridade da 
informação transmitida é imprescindível que apenas o 
emissor e o receptor conheçam a chave. O problema da 
criptografia simétrica é a necessidade de compartilhar a 
chave secreta com todos que precisam ler a mensagem, 
possibilitando a alteração do documento por qualquer das 
partes. 
 
 
CRIPTOGRAFIA ASSIMÉTRICA 
A criptografia assimétrica utiliza um par de chaves diferentes 
entre si, que se relacionam matematicamente por meio de 
um algoritmo, de forma que o texto cifrado por uma chave, 
apenas seja decifrado pela outra do mesmo par. As duas 
chaves envolvidas na criptografia assimétrica são 
denominadas chave pública e chave privada. A chave pública 
pode ser conhecida pelo público em geral, enquanto que a 
chave privada somente deve ser de conhecimento de seu 
titular. 
 
 
FUNÇÃO HASH 
Algoritmo de dispersão que mapeia dados de comprimento 
variável para dados de comprimento fixo. Método para 
transformar dados de tal forma que o resultado seja (quase) 
exclusivo. Além disso, funções usadas em criptografia 
garantem que não é possível a partir de um valor de hash 
retornar à informação original. 
Com essa função é possível criar um resumo criptográfico de 
uma mensagem. De tal forma que, caso alterem apenas uma 
letra, um novo resumo feito a partir da mensagem e a 
comparação dele com o resumo original comprovarão que 
houve alteração. 
Assim, podemos dizer que a função HASH garante a 
Integridade de uma informação. 
 
 
CERTIFICAÇÃO DIGITAL 
A certificação digital engloba os certificados digitais, as 
assinaturas digitais, as autoridades certificadoras e de 
registro, o controle de chaves públicas e privadas e a 
infraestrutura brasileira para tudo isso. 
 
 
ICP-BRASIL 
Infra-estrutura de Chaves Públicas oficial brasileira. Refere-
se a estrutura do Sistema Nacional de Certificação Digital 
(Lei 11419/2006). 
AC-RAIZ 
A Autoridade Certificadora Raiz da ICP-Brasil (AC-Raiz) é a 
primeira autoridade da cadeia de certificação. No Brasil é o 
ITI (Instituto Nacional de Tecnologia da Informação). 
Executa as Políticas de Certificados e normas técnicas e 
operacionais aprovadas pelo Comitê Gestor da ICP-Brasil. 
Portanto, compete à AC-Raiz emitir, expedir, distribuir, 
revogar e gerenciar os certificados das autoridades 
certificadoras de nível imediatamente subsequente ao seu. 
A AC-Raiz também está encarregada de emitir a lista de 
certificados revogados (LCR) e de fiscalizar e auditar as 
Autoridades Certificadoras (ACs), Autoridades de Registro 
(ARs) e demais prestadores de serviço habilitados na ICP-
Brasil. 
 
AUTORIDADE CERTIFICADORA - AC 
Uma Autoridade Certificadora (AC) é uma entidade, pública 
ou privada, subordinada à hierarquia da ICP-Brasil, 
responsável por emitir, distribuir, renovar, revogar e 
gerenciar certificados digitais. Tem a responsabilidade de 
verificar se o titular do certificado possui a chave privada que 
corresponde à chave pública que faz parte do certificado. Cria 
e assina digitalmente o certificado do assinante, onde o 
certificado emitido pela AC representa a declaração da 
identidade do titular, que possui um par único de chaves 
(pública/privada). 
Exemplos de Autoridades Certificadoras no Brasil... 
• SERPRO 
• Caixa Econômica Federal 
• Receita Federal do Brasil 
• SERASA Experian 
• CERTISIGN 
ICP-Brasil
AC Raiz
AC
AR AR
AC
AR AR
 
 4 
• Casa da Moeda do Brasil 
• Imprensa Oficial do Estado de São Paulo 
• AC JUS (Judiciário) 
• AC PR (Presidência da República) 
• VALID Certificadora Digital 
• SOLUTI CERTIFICAÇÃO DIGITAL 
 
 
AUTORIDADE DE REGISTRO - AR 
Uma Autoridade de Registro (AR) é responsável pela 
interface entre o usuário e a Autoridade Certificadora. 
Vinculada a uma AC, tem por objetivo o recebimento, 
validação, encaminhamento de solicitações de emissão ou 
revogação de certificados digitais e identificação, de forma 
presencial, de seus solicitantes. É responsabilidade da AR 
manter registros de suas operações. 
 
CERTIFICADO DIGITAL 
Usa criptografia assimétrica. Garante três princípios: 
Integridade, Confidencialidade e Autenticidade. - ICA. 
Exemplo prático: imagine uma pessoa acessando o site de 
um banco e tendo que digitar as informações pessoais na 
página. Essas informações serão enviadas ao servidor do 
banco por meio da internet (meio inseguro). Para garantir 
que os dados do usuário sejam mantidos em sigilo será 
necessário criptografa-los. Na página acessada deve ter um 
certificado digital. Todo certificado digital possui uma 
chave pública. Essa chave pública irá criptografar os dados 
do usuário e, estes, só poderão ser lidos pelo detentor da 
chave privada, nesse caso o banco. Assim, quando os dados 
forem enviados pela internet, mesmo que haja interceptação, 
será mantida a confidencialidade. 
 
1.1. Como funciona a certificação digital? 
Bem, O certificado digital é um registro eletrônico que 
contém um conjunto de dados que distingue uma pessoa ou 
instituição e associa a ela uma chave pública. Esse registro 
pode estar armazenado em um computador ou em outra 
mídia, como um token ou smart card. Podemos comparar 
um certificado digital com o CNPJ de uma empresa ou o CPF 
de uma pessoa, por exemplo. Cada um deles contém um 
conjunto de informações que identificam a instituição ou a 
pessoa e a entidade responsável pela emissão e pela 
veracidade dos dados. No caso do certificado digital, a 
entidade responsável pela emissão e pela veracidade dos 
dados é a Autoridade Certificadora (AC). 
Algumas das principais informações encontradas em um 
certificado digital são: 
• Dados que identificam o dono certificado. 
• Nome da Autoridade Certificadora (AC) que emitiu 
o certificado. 
• Versão, número de série e o período de validade do 
certificado. 
• A assinatura digital da AC. 
• Chave pública do dono do certificado. 
Um certificado digital pode ser emitido para pessoas, 
empresas, equipamentos ou serviços na rede (por exemplo, 
um site Web) e pode ser homologado para diferentes usos, 
como confidencialidade e assinatura digital. Exemplo: um 
certificado digital pode ser emitido para que um 
Na prática, o certificado digital ICP-Brasil funciona como 
uma identidade virtual que permite a identificação segura e 
inequívoca do autor de uma mensagem ou transação feita 
em meios eletrônicos, como a web. Esse documento 
eletrônico é gerado e assinado por uma terceira parte 
confiável, ou seja, uma Autoridade Certificadora - AC que, 
seguindo regras estabelecidas pelo Comitê Gestor da ICP-
Brasil, associa uma entidade (pessoa, processo, servidor) a 
um par de chaves criptográficas. Os certificados contém os 
dados de seu titular conforme detalhado na Política de 
Segurança de cada Autoridade Certificadora. 
 
Figura - O CERTIFICADO DIGITAL USA CRIPTOGRAFIA 
ASSIMÉTRICA. OS DADOS SÃO CRIPTOGRAFAS COM A 
CHAVE PÚBLICA DO DESTINATÁRIO. 
 
 1.5 Quais as principais informações que constam em 
um certificado digital? 
As principais informações que constam em um certificado 
digital são: chave pública do titular; nome e endereço de e-
mail; período de validade do certificado; nome da Autoridade 
Certificadora - AC que emitiu o certificado; número de série 
do certificado digital; assinatura digital da AC. 
 
1.6 Qualquer pessoa pode obter um certificado digital? 
Sim. Qualquer pessoa pode solicitar às Autoridades 
Certificadoras um Certificado Digital. 
 
ASSINATURA DIGITAL 
Usa criptografia assimétrica. Garante três princípios: 
Integridade, Não repúdio e Autenticidade. - INA. 
O conteúdo da mensagem não é criptografado, por isso NÃO 
se garante a confidencialidade. O resumo da mensagem, 
SIM, é criptografado. 
Exemplo prático: A mensagem é assinada digitalmente (1) 
quando a chave privada gera um código único a ser 
reconhecidopela chave público, (2) Calcula-se o resumo 
criptográfico (hash) da mensagem e o anexa (no rodapé). 
Quando a mensagem chegar ao destino, o receptor usará a 
chave pública para: (1) verificar se o código gerado para 
assinar digitalmente o documento corresponde a chave 
privada esperada, (2) a chave pública irá calcular o hash 
(resumo criptográfico) e com o resultado calculado irá 
comparar com hash que veio junto com a mensagem. Se os 
hashs forem iguais a mensagem não foi alterada. Se os hashs 
forem diferentes, houve alteração da mensagem. 
 
1.2. O que é assinatura digital? 
A técnica permite não só verificar a autoria do documento, 
como estabelece também uma “imutabilidade lógica” de seu 
conteúdo, pois qualquer alteração do documento, como por 
exemplo a inserção de mais um espaço entre duas palavras, 
invalida a assinatura. 
 
A assinatura digital consiste na criação de um código, através 
da utilização de uma chave privada, de modo que a pessoa 
ou a entidade que receber uma mensagem contendo esse 
código possa verificar se o remetente é mesmo quem diz ser 
e identificar qualquer mensagem que possa ter sido 
modificada. Sendo assim, a assinatura digital permite 
comprovar a autenticidade e a integridade de uma 
informação. A assinatura digital baseia-se no fato de que 
Maria (Remetente) 
Chave privada de Maria 
João (Destinatário/Receptor) 
Chave pública de Maria 
 
 5 
apenas o dono conhece a chave privada e que, se ela foi 
usada para codificar uma informação, então apenas seu dono 
poderia ter feito isso. A verificação da assinatura é feita com 
o uso da chave pública, pois, se o texto foi codificado com a 
chave privada, somente a chave pública correspondente pode 
decodificá-lo. 
 
Níveis de Assinatura Digital... 
• 1º Nível: “algo que você saiba...” 
 Senha 
• 2º Nível: “algo que você tenha...” 
 Token ou Smart Card 
• 3º Nível: “algo que você é...” 
 Biometria (Digitais, Íris dos Olhos, Fala, Face)