Baixe o app para aproveitar ainda mais
Prévia do material em texto
WBA0454_v1.0 SEGURANÇA EM REDES DE COMPUTADORES APRENDIZAGEM EM FOCO 2 APRESENTAÇÃO DA DISCIPLINA Autoria: José Eugênio de Mira Leitura crítica: Italo Diego Teotonio Seja bem-vindo à disciplina de Segurança em redes de computadores! Os computadores e a internet nos presentearam com um mundo repleto de novidades, que permitem formas inteiramente novas de trabalhar, estudar e se relacionar. As redes sociais nos tornaram mais próximos, os sistemas de compra on-line permitiram o surgimento de novas formas de negócio e nunca se compartilharam tantas informações e habilidades por meio da internet. E isso só é possível graças às redes de computadores. Porém, como com grandes poderes vêm grandes responsabilidades, nunca nossos dados estiveram tão expostos, e nossa preocupação com as informações e a segurança só aumenta. Assim também é a situação das empresas, que devem, a cada dia, aumentar o seu investimento em uma área que surgiu muito recentemente: a segurança da informação. Quando você acessa o seu banco on-line, você se sente seguro? E se caso algo venha a acontecer? Como reagir e como se prevenir? Em nossa disciplina, vamos conhecer as vulnerabilidades e principais formas de ataques nas redes de computadores, e as ameaças humanas e computacionais a qual estamos expostos. Você também vai aprender a atuar na prevenção e reação a ataques cibernéticos, identificando falhas e ameaças que podem se converter em incidentes. Vai saber também como atuar na garantia de privacidade e segurança no fluxo de informações das organizações, protegendo a confidencialidade, a integridade e mantendo a disponibilidade dos dados. E aí, você está pronto? 3 INTRODUÇÃO Olá, aluno (a)! A Aprendizagem em Foco visa destacar, de maneira direta e assertiva, os principais conceitos inerentes à temática abordada na disciplina. Além disso, também pretende provocar reflexões que estimulem a aplicação da teoria na prática profissional. Vem conosco! TEMA 1 Arquitetura de redes e protocolos ______________________________________________________________ Autoria: José Eugênio de Mira Leitura crítica: Italo Diego Teotonio 5 DIRETO AO PONTO A função de uma rede de computadores é a interligação de diferentes dispositivos por meio de diferentes tipos de meios de comunicação e com a utilização de diversos programas, que podem ter funções tão diferentes quanto enviar uma mensagem de um smartphone ou controlar uma abertura de precisão de um dispositivo de controle em um acelerador de partículas. Como é possível coordenar tanta informação em sistemas tão dinâmicos? Para isso, é essencial que conheçamos as arquiteturas utilizadas e seus protocolos, bem como os equipamentos de rede que permitem a implementação desses elementos. Se uma rede de computadores fosse uma empresa de entregas, a topologia seria a distribuição dos centros de distribuição e coleta de produtos, as diferentes frotas utilizadas e os postos de reabastecimento. Já os protocolos seriam os processos de endereçamento dos pacotes, as regras de recebimento e entrega desses pacotes e as rotas utilizadas. Além disso, os correios, por exemplo, utilizam diferentes sistemas de identificação de rotas e alguns códigos internacionais para rastreio e o CEP para identificação das ruas, de forma análoga ao que acontece com um endereço IP, que simplifica e sistematiza o endereço de uma determinada residência em uma cidade e estado. 6 Figura 1 – Comparativo de CEP e IP Fonte: elaborada pelo autor. Dividimos ainda as redes de acordo com a sua extensão/dimensão geográfica, ou seja, o seu tamanho e de que forma estão distribuídas: • LAN: Local Area Network ou rede de área local (em um prédio ou escritório). • MAN: Metropolitan Area Network ou rede de área metropolitana (interligando dois pontos em uma cidade ou entre cidades próximas). • WAN: Wide Area Network ou rede de área ampla, interligando diferentes pontos no mundo, como países ou continentes. Diferentes equipamentos de rede têm utilizações específicas de acordo com a rede utilizada e com o meio físico ao qual se conectam. Os meios físicos mais utilizados são os que transmitem com sinais elétricos, como, por exemplo, os cabos de par trançado e os cabos coaxiais utilizados pelas operadoras. A transmissão de fibra ótica, que utiliza cabos de vidro ou acrílico para transmitir altas frequências utilizando a luz, como as que são utilizadas nos backbones (espinhas-dorsais) das empresas de telefonia, provedores de internet e também para conexão de antenas de 7 telefonia, casas e escritórios nas regiões urbanas. Por fim, as transmissões por meio de ondas eletromagnéticas com antenas que são utilizadas tanto em longas distâncias como no caso do WiMax, 3G e 4G como também nas redes locais com o uso do Wi- Fi. • Modem: converte sinais digitais em pulsos analógicos para transmissão de dados de longa distância. • Switch: interligação de rede local, conecta os dispositivos (estações ou hosts) em uma mesma rede. • Roteador: interliga redes diferentes e estabelece rotas de configuração estática para a propagação de pacotes ou rotas geradas automaticamente ou dinamicamente para a retransmissão dos dados em redes locais, na internet ou entre ambas. Além disso, temos nas redes os servidores, que são estações que possuem um hardware e software normalmente mais robustos e têm como função oferecer serviços de rede para os outros computadores, como armazenar dados ou rodar programas. Esses diferentes equipamentos se organizam em uma estrutura hierárquica que chamamos normalmente de modelo de camadas, em que se comunicam com os protocolos/equipamentos da camada diretamente acima ou abaixo, permitindo, assim, que um programador crie um programa que funcione em rede (na internet, por exemplo) sem que, para isso, precise conhecer os detalhes da transmissão dos dados do provedor, por exemplo. Tudo que ele precisa é entender como enviar esses dados para o sistema operacional, e os equipamentos e protocolos abaixo dele na hierarquia se encarregarão do resto. Na Figura 2, podemos observar como são estruturados esses modelos e suas nomenclaturas. 8 Figura 2 – Modelo de camada OSI e TCP/IP Fonte: elaborada pelo autor. Além daqueles descritos acima, o access point é um equipamento de rede importantíssimo, pois é o responsável por conectar equipamentos wireless (protocolo 802.11) nas redes Ethernet locais (802.3). Embora o padrão de rede sem fio não seja novo, passou a ser utilizado em larga escala apenas recentemente graças ao desenvolvimento de novos componentes que permitiram um uso mais prolongado, confiável e seguro dessas redes. Atualmente, existem equipamentos que são híbridos, como, por exemplo, os roteadores que atuam como access points ou modems das operadoras que oferecem serviço como DHCP e DNS (típico dos servidores de rede) e atuam ainda como switch e roteador. Referências bibliográficas SOUZA, L. B. Redes de computadores: guia total. São Paulo: Érica, 2009. 9 TANENBAUM, A. S.; WHETERHALL, D. Redes de computadores. São Paulo: Pearson Prentice Hall, 2011. PARA SABER MAIS O desenvolvimento das redes de computadores atendeu às necessidades do mercado e de instituições que lidavam com uma quantidade cada vez maior de dados e queriam utilizá-los para produzir informação para tomada de decisão gerencial. Imagine um banco realizando uma análise de cada uma das agências para descobrir onde havia maior potencial de empréstimos ou uma indústria analisando centenas de planilhas de vendas para tentar descobrir uma tendência de vendas? Redes de computadores permitiram a centralização desses dados ao mesmo tempo que reduziam custos ao possibilitar o compartilhamento dessas informações entre diferentes estações. A história da internet, no entanto, tem um passado militarizado. Foi um projeto do governo dos Estados Unidos no final dos anos 1960 que, por meio da sua Agência de Pesquisas Avançadas, pretendiadotar de inteligência computacional as centrais de comunicação telefônica para se proteger no caso de um ataque da União Soviética. A Arpanet surgiu como resultado desses esforços, e era uma rede que interligava bases militares e universidades por meio de um sistema de rotas dinâmicas, de maneira que, se uma rota fosse interrompida, os IMPs (os roteadores da época) podiam encontrar uma nova rota. Já no começo dos anos 1970, a rede interligava as principais universidades do país e começou a se transformar em uma rede acadêmica utilizada por cientistas para trocarem informações. 10 Lorem ipsum dolor sit amet Autoria: Nome do autor da disciplina Leitura crítica: Nome do autor da disciplina Figura 3 – Arpanet nos Estados Unidos nos anos 1970 Fonte: commons.wikimedia.org (Creative Commons). Apesar de já existir nos anos 1970 e 1980, a internet só se tornaria popular no início dos anos 1990, quando a integração de outras redes de outros países e a invenção do computador pessoal intensificou o interesse e o uso da comunicação mediada por computadores, surgindo, então, as primeiras aplicações pessoais e comerciais da internet. Nos anos 1990, a popularização do protocolo de hipertexto (o HTTP, desenvolvido pelo chefe do CERN Tim Berners-Lee) em conjunto com o uso das URLs e dos documentos em HTML deram a cara para a internet do jeito que nós a conhecemos hoje, a World Wide Web. No Brasil, sua primeira conexão foi realizada pelo LNCC no Rio de Janeiro com a Faculdade de Maryland 1988 e pela Fapesp na rede BitNET. 11 Referências bibliográficas BERNERS-LEE, T. Original proposal for CERN. World Wide Web Consortium. 1986. Disponível em: https://w3.org/History/1989/ proposal.html. Acesso em: abr. 2020. CIRIACO, D. A história da conexão. TecMundo, 6 ago. 2009. Disponível em: https://www.tecmundo.com.br/banda-larga/2543- a-historia-da-conexao.htm. Acesso em: abr. 2020. TEORIA EM PRÁTICA Você é chamado em uma empresa para analisar uma reclamação dos funcionários ao utilizar o sistema on-line. Porém, quando realiza o acesso a partir do escritório, percebe que existe uma grande demora no carregamento do sistema, com alguns travamentos, problemas ao imprimir os relatórios e chamados, diferente de outras empresas em que você implantou o mesmo sistema. Além disso, percebe que as pessoas usam os computadores do escritório o tempo todo, ouvindo e assistindo vídeos em alta resolução, fazendo downloads e trocando e-mails pessoais. Não existe nenhuma política de uso da rede wireless, que tem a sua senha impressa em um papel colado na recepção. Sabendo disso, o que você poderia propor para melhorar esse cenário e resolver o problema de acesso ao sistema on-line? Para conhecer a resolução comentada proposta pelo professor, acesse a videoaula deste Teoria em Prática no ambiente de aprendizagem. 12 LEITURA FUNDAMENTAL Indicação 1 Andrew S. Tanenbaum é um dos autores mais importantes do século para a área de Tecnologia da Informação, sendo autor de diversos livros sobre arquitetura de sistemas operacionais e redes. Seus livros e seus estudos fundamentam ementários de cursos de TI e redes no mundo todo. Bacharel pelo MIT e doutor por Berkley, foi o criador do Minix, um sistema operacional educacional que serviria de base para o Linux. No capítulo 1 deste livro, junto com seu colega Weterhall eles exploram a história das redes de computadores e explicam de forma pormenorizada o sistema de camadas e conceitos complexos como primitivas de serviço e protocolos não orientados à conexão de forma simples e didática. Para realizar a leitura, acesse a Biblioteca Virtual da Kroton, use o recurso Biblioteca Virtual 3.0/Pearson e busque pelo autor Tanenbaum. TANENBAUM, A. S.; WHETERHALL, D. Redes de computadores. São Paulo: Pearson Prentice Hall, 2011. Cap. 01, p. 01-52. Indicação 2 Sistemas modernos de comunicação wireless é um livro denso e técnico, apropriado para quem deseja conhecer profundamente as minúcias dos sistemas de comunicação sem fio por meio de ondas eletromagnéticas. Recomendamos a leitura do capítulo 7, em que os autores se debruçam sobre as características das arquiteturas wireless mais utilizadas no mundo, como as de Indicações de leitura 13 telefonia e Wi-Fi. Para realizar a leitura, acesse a Biblioteca Virtual da Kroton e use o recurso minhabiblioteca.com.br e busque pelo tema “wireless”. HAYKIN, S.; MOHER, M. Sistemas modernos de comunicações wireless. Tradução de Glayson Eduardo de Figueiredo, José Lucimar do Nascimento. Porto Alegre: Bookman, 2008. Cap. 7, p. 464-493. QUIZ Prezado aluno, as questões do Quiz têm como propósito a verificação de leitura dos itens Direto ao Ponto, Para Saber Mais, Teoria em Prática e Leitura Fundamental, presentes neste Aprendizagem em Foco. Para as avaliações virtuais e presenciais, as questões serão elaboradas a partir de todos os itens do Aprendizagem em Foco e dos slides usados para a gravação das videoaulas, além de questões de interpretação com embasamento no cabeçalho da questão. 1. O conceito de arquitetura de rede refere-se à maneira como as redes de computadores são organizadas em relação às suas características físicas e a maneira como seus equipamentos são conectados (hardware de rede), bem como à organização de seus softwares e regras que estes devem seguir para permitir a comunicação entre diferentes dispositivos. Os trechos supracitados referem-se especificamente a: 14 a. Arquitetura de rede e sistemas operacionais. b. Topologia e protocolos. c. Protocolos e topologia. d. Hardware e software. e. Equipamentos de rede e protocolos. 2. Redes podem ser classificadas de acordo com as suas dimensões e distribuição geográfica. As ____ são as redes locais de curta distância, enquanto as ____ são as redes de longa distância que interligam países e até continentes. A alternativa que preenche corretamente as lacunas é: a. LANs; MANs. b. PANs; MANs. c. LANs; PANs. d. WANs; LANs. e. LANs; WANs. GABARITO Questão 1 - Resposta B Resolução: arquitetura de redes são as características gerais da rede, sendo o conceito de topologia de rede relacionado às características físicas da rede, enquanto protocolos são suas regras gerais de organização para que os programas possam se comunicar. Questão 2 - Resposta E Resolução: LANs – Local Area Network são redes de área local (em um prédio ou escritório) e WANs – Wide Area 15 Network são redes de área ampla, interligando diferentes pontos no mundo, como países ou continentes. TEMA 2 Princípios da segurança da informação e criptografia ______________________________________________________________ Autoria: José Eugênio de Mira Leitura crítica: Italo Diego Teotonio 17 DIRETO AO PONTO Os três pilares que sustentam a segurança da informação são diferentes, mas complementares entre si, por isso a importância da compreensão sobre como eles se articulam. Ora, não parece tão difícil assim manter uma informação confidencial e íntegra. Para isso bastaria que ela fosse gravada em um sistema à prova de leitura e de erros, armazenada em um cofre ao qual ninguém tem a combinação e jogada no meio do mar em um ponto desconhecido. A informação estaria íntegra e confidencial por muito tempo, porém, completamente inacessível, ou seja, inútil. O verdadeiro desafio na segurança da informação é permitir que a informação esteja ao mesmo tempo completa, em segredo, mas disponível quando for solicitada, mesmo que seja solicitada muitas vezes e de forma simultânea ou dentro de um curto espaço de tempo. As métricas utilizadas pelas instituições para equilibrar custos e investimentos em um plano de gestão da segurança da informação deve levar em conta os ativos existentes e as medidas de proteção para ele. Imagine uma situação em que você tem um carro e deseja fazer um seguro para ele. A cotação do seguro não pode, em nenhuma hipótese, ultrapassar o valor do veículo, correto? Para isso, leva-se em contaprincipalmente duas métricas: qual o valor de mercado do carro, e qual o risco de ele ser efetivamente roubado ou sofrer um sinistro? Um veículo com alto valor de mercado e com alto risco de roubo certamente terá um valor de seguro maior. Essa análise, no entanto, não leva em conta efeitos colaterais, como o custo psicológico de um roubo ou danos pessoais causados por um sinistro. Por isso, em uma análise de risco, existem dois grupos principais: a análise quantitativa de risco e a análise qualitativa de riscos. 18 Importante também é compreendermos a relação que existe entre os pilares discutidos e as diferentes ferramentas utilizadas para a implementação de uma política de segurança da informação. Podemos relacionar o pilar da confidencialidade com os sistemas criptográficos e para proteção de dados em transações de rede, como é o caso da criptografia de chave pública, assim como com a segurança de acesso físico e lógico a dados confidenciais em um servidor. De maneira semelhante, podemos fazer uma relação entre integralidade (e autenticidade) com os sistemas de hashing, bem como a proteção de banco de dados em servidores seguros. Quando se trata de disponibilidade, no entanto, as ferramentas utilizadas seriam aquelas relacionadas à continuidade do negócio e recuperação de desastre, como, por exemplo, sistemas de backup e uma recuperação após uma invasão em um servidor ou um ataque de disponibilidade (DOS ou Denial of Service, ou seja, negação de serviço). A criptografia tem uma história longa, sempre associada com a importância do sigilo das informações em um contexto de guerra, por exemplo, conforme nos mostra a linha do tempo abaixo. Figura 1 – Linha do tempo da criptografia Fonte: elaborada pelo autor. Embora padrões como o DES (Data Encriptyon Standard), desenvolvido nos anos 1970, e o 3DES tenham sido largamente 19 utilizados, atualmente, o AES, ou Advanced Encryption Standard, é o algoritmo criptográfico de chave simétrica mais utilizado. Desenvolvido por Vincent Rijmen e Joan Daemen (origem da sigla Rijndael) em um concurso, foi adotado pelo Governo dos Estados Unidos e ainda hoje é utilizado, como, por exemplo, na criptografia de controle de acesso a redes sem fio, a WPA2 (Wi-Fi Protected Access). O desenvolvimento de processadores mais potentes permitiu que as criptografias de chave pública como o RSA passassem a ser utilizadas de forma mais ampla, embora, normalmente, seu uso se dê apenas durante a troca das chaves, ou seja, durante o processo de autenticação (o envio de uma senha ou a conexão em uma rede), uma chave é enviada utilizando a criptografia de chave pública. Após, o conteúdo do site ou que trafega na rede é criptografado com a chave simétrica que foi enviada durante a troca. Isso permite um importante equilíbrio entre confidencialidade e disponibilidade. A utilização da criptografia de forma apropriada e eficiente é essencial para sua utilização. Por exemplo, compras realizadas de forma on-line só se tornaram realmente populares com a adoção de mecanismos que permitiam a troca de informações entre clientes e vendedores de forma segura para ambos. A adoção em massa do HTTPS (Hipertext Transfer Protocolo Secure) foi essencial, portanto, para isso. HTTPS é a sigla que identifica o uso do protocolo HTTP usado sobre o protocolo seguro SSL, que, por sua vez, utiliza a criptografia RSA para proceder à troca de certificados seguros, ou seja, uma troca de identificações que indica que a transmissão está sendo realizada por duas partes identificáveis, sem que haja ninguém intermediando a comunicação de forma que possa roubar os dados. 20 Figura 2 – Comunicação utilizando SSL Fonte: elaborada pelo autor. Percebemos na Figura 2 como o processo de troca de chaves e criptografia de uma conexão segura parece simples, no entanto, uma grande infraestrutura é necessária para isso. Além de uma conexão à internet veloz e eficiente (as chaves têm um timestamp, ou seja, uma data de validade), é preciso que o servidor tenha capacidade de processamento para atender à demanda de criptografia de vários clientes simultaneamente, além de estar com a sincronia de data e hora igual à dos clientes; caso sejam diferentes, a conexão não será realizada. Atualmente, o SSL está sendo totalmente substituído pelo TLS (Transport Secure Layer), que fornece opções de criptografia mais fortes que seu antecessor. Embora seja mais utilizado em navegadores web (onde podemos observar um pequeno cadeado na barra de endereços quando em uso), o SSL e o TLS podem ser utilizados por diversos outros aplicativos para estabelecer conexões seguras e confiáveis. 21 Referências bibliográficas GONÇALVES, A. O que é SSL/TSL e HTTS? Hostinger Tutoriais, 27 jun. 2019. Disponível em: https://www.hostinger.com.br/tutoriais/ o-que-e-ssl-tls-https/. Acesso em: jun. 2020. STALLINGS, W. Criptografia e segurança de redes. 4. ed. São Paulo: Pearson Prentice Hall, 2008. PARA SABER MAIS Talvez você ainda tenha dúvidas sobre criptografia de chave pública, chave privada, hashing e outros termos que utilizamos aqui. Que tal uma descrição visual desses processos e como eles funcionam na prática? Importante compreendermos que o processo de uso de hashing e de assinatura digital dependem, principalmente, da existência prévia de uma chave pública e chave privada geradas por uma das partes. Normalmente, essas chaves são geradas pelas instituições (empresas ou sites) que garantem a originalidade da transação, uma vez que a autenticidade das chaves públicas é reconhecida pelas CA (certification authority, ou autoridade de certificação) como a Receita Federal e os Correios. Mas também podem ser geradas por pessoas ou empresas para uso interno. É comum sua utilização para a identificação de servidores Linux, por exemplo. Imagine a seguinte situação (Figuras 3 a 5): Léia deseja enviar uma importante mensagem para Luke, porém, precisa garantir que ela não seja lida por outras pessoas. Para garantir isso, Luke gera suas chaves pública e privada, e envia sua chave pública para Léia. Mesmo que alguém intercepte a chave, ela não dá acesso ao processo de decriptografia. 22 Figura 3 – Enviando a chave pública Fonte: elaborada pelo autor. O passo seguinte consiste em Léia criptografar suas mensagens utilizando a chave pública de Luke, e então enviar sua mensagem. Figura 4 - Criptografando e enviando a mensagem Fonte: elaborada pelo autor. Uma vez que somente Luke possui a chave privada, mesmo que um vilão interceptasse a mensagem ou a chave, ele não conseguiria saber o seu conteúdo. 23 Figura 5 – Decriptografia e interceptação da mensagem Fonte: elaborada pelo autor. E se alguém tentasse confundir Léia respondendo para ela a mensagem como se fosse Luke? Para evitar isso, Luke pode usar o sistema de hashing: Luke gera o hash do texto, junto de sua chave privada, o criptografa com a chave pública de Léia e envia junto com a mensagem. Ao decriptografar a chave e realizar o hash do texto original, Léia consegue saber tanto que a mensagem não foi alterada quanto que foi enviada por Luke. Referências bibliográficas GONÇALVES, A. O que é SSL/TSL e HTTPS? Hostinger Tutoriais, 27 jun. 2019. Disponível em: https://www.hostinger.com.br/tutoriais/ o-que-e-ssl-tls-https/. Acesso em: abr. 2020. MORAES, A. F. de. Segurança em redes: 1. ed. São Paulo: Érica, 2010. 24 TEORIA EM PRÁTICA Hora de colocar em prática tudo que aprendeu até agora. Imagine que sua empresa está passando por um processo de implantação de um plano de segurança da informação. Para isso, algumas etapas devem ser cumpridas. Uma delas consiste em garantir que todos os documentos em PDF gerados dentro da empresa e enviados pela internet sejam certificados com uma assinatura eletrônica ou certificado digital. Além disso, é necessário garantir que todas as informações enviadas pela rede Wi-Fi da empresa sejam seguras, sem a possibilidade de que pessoascapturem e descubram o conteúdo de dados que trafegam nessa rede. E então, o que você faria para atender a essas duas demandas desse plano de segurança? Finalizou o desafio proposto no Teoria em Prática? Então agora é hora de conhecer a resolução comentada proposta pelo professor. Assista ao vídeo a seguir! (Conteúdo para o aluno, não alterar). Para conhecer a resolução comentada proposta pelo professor, acesse a videoaula deste Teoria em Prática no ambiente de aprendizagem. LEITURA FUNDAMENTAL Indicação 1 Autor de vários livros na área, Alexandre Fernandes de Moraes traz nesta sua excelente obra um compilado preciso e de muita qualidade sobre vários conceitos importantíssimos da área de Indicações de leitura 25 Segurança da Informação. Em uma linguagem clara e acessível, no capítulo 3, ele explica de forma objetiva vários conceitos que vimos aqui. Para realizar a leitura, acesse a plataforma Minha Biblioteca, disponível na Biblioteca Virtual da Kroton, e busque pelo título. MORAES, A. F. de. Segurança em redes: 1. ed. São Paulo: Érica, 2010. Cap. 3, p. 71-102. Indicação 2 Prático e de leitura fácil, este livro aborda de forma clara as políticas e abordagens de gerenciamento da segurança de informação, com foco nas certificações ISO 27.001 e 27.002. Para realizar a leitura, acesse a plataforma Biblioteca Virtual 3.0/ Pearson, disponível na Biblioteca Virtual da Kroton HINTZBERGEN, J.; HINTZBERGEN, K.; SMULDERS, A.; BAARS, H. Fundamentos de segurança da informação: com base na ISO 27.001 e ISO 27.002. Rio de Janeiro: Brasport, 2018. QUIZ Prezado aluno, as questões do Quiz têm como propósito a verificação de leitura dos itens Direto ao Ponto, Para Saber Mais, Teoria em Prática e Leitura Fundamental, presentes neste Aprendizagem em Foco. Para as avaliações virtuais e presenciais, as questões serão elaboradas a partir de todos os itens do Aprendizagem em Foco e dos slides usados para a gravação das videoaulas, 26 além de questões de interpretação com embasamento no cabeçalho da questão. 1. Embora alguns autores utilizem uma lista mais completa que incluem itens como autenticidade e não repúdio, os três pilares reconhecidos da segurança da informação são: a. Confidencialidade, integridade e acesso remoto. b. Integridade, disponibilidade e gerenciamento de risco. c. Vulnerabilidade, integridade e confidencialidade. d. Confidencialidade, integridade e disponibilidade. e. Vulnerabilidade, integridade e confidencialidade. 2. Enquanto a criptografia de _________ utiliza uma chave única no processo de embaralhamento dos dados, a criptografia de _____________ utiliza um processo matemático unidirecional. Assinale a alternativa que complete corretamente as lacunas: a. Chave simétrica; chave pública. b. Chave pública; chave simétrica. c. Chave pública; chave privada. d. Chave assimétrica; chave simétrica. e. Chave privada; chave pública. 27 GABARITO Questão 1 - Resposta D Resolução: acesso remoto não é um item de segurança da informação, e sim uma ferramenta se suporte. Vulnerabilidade é um termo relativo aos riscos de um sistema e gerenciamento de risco é o processo de levantamento e identificação dos riscos . Questão 2 - Resposta A Resolução: criptografia de chave simétrica utiliza a mesma chave no processo de criptografia e decriptografia, enquanto a de chave pública possui duas chaves: a de chave pública e a privada, que só é conhecida pelo proprietário. TEMA 3 Ameaças, vulnerabilidades e ataques ______________________________________________________________ Autoria: José Eugênio de Mira Leitura crítica: Italo Diego Teotonio 29 DIRETO AO PONTO Em segurança da informação, chamamos de ameaça tudo aquilo que coloca em risco o valor de um determinado ativo. Existem ameaças ativas, que agem alterando dados, ou passivas, que, apesar de não alterarem os dados, podem torná-los vulneráveis. Sobre a origem das ameaças, podemos classificá-las em: • Intencionais: surgidas de agentes internos ou externos, como espiões industriais, hackers e funcionários mal intencionados. • Não intencionais: resultantes de falta de treinamento adequado ou falha na comunicação sobre as regras de segurança da informação. • Relacionadas a equipamentos: como falhas fortuitas ou de operação no hardware ou software. • Eventos naturais: são fáceis de detectar, porém podem causar muito dano, como inundações e enchentes. Tratamos as ameaças como algo que explora uma vulnerabilidade de um determinado ativo. Entre as ameaças, temos as não humanas e as humanas, como os hackers. Abaixo, uma breve definição de alguns tipos de hackers e suas características. 30 Figura 1 – Tipos de hackers e suas características Fonte: elaborada pelo autor. Além das ferramentas tecnológicas e das habilidades técnicas, os hackers podem se aproveitar de falhas humanas comportamentais e de treinamento para conseguir informações privilegiadas, enganando ou manipulando pessoas de uma corporação, para que acreditem que elas são outras pessoas ou pertencem a determinada empresa ou equipe. Chamamos isso de engenharia social, e é uma técnica que não fica ultrapassada, pois não depende de equipamentos ou softwares mais modernos, aproveitando-se do que chamamos de elo mais fraco da corrente, ou seja, o elemento humano. Importante mencionar a diferença entre ameaça e vulnerabilidade e sua relação. A ameaça é um elemento constante, como uma 31 pessoa que deseja invadir um sistema ou um evento natural que pode ocorrer a qualquer momento. Já a vulnerabilidade seria uma fraqueza ou ponto fraco de um ativo que pode ser explorado por uma ameaça, gerando um incidente de segurança de informação. Figura 2 – Relação entre ameaça e vulnerabilidade Fonte: elaborada pelo autor. Segundo a definição de Nakamura (2016, p. 78), “ameaças podem ser interpretadas como técnicas de ataque ou consequências de um ataque”. Muitas vezes, essas ameaças se realizam graças à ação intencional ou não intencional, provocada por malware, um acrônimo para malicious software, nome dado para o conjunto de softwares que podem prejudicar o funcionamento de computadores e sistemas. Figura 3 – Tipos mais comuns de malware Fonte: https://cartilha.cert.br/malware/. Acesso em: 14 jul. 2020. 32 Atualmente, um dos malwares que se tornou conhecido é o Ransonware, um tipo de ataque que encripta os dados do disco do alvo, que recebe, então, uma mensagem pedindo que um valor seja pago, em criptomoedas, para que os arquivos possam ser resgatados (ransom significa resgate). Quando os ataques são perpetuados, seus objetivos podem ser ideológicos, comerciais (como no caso de espionagem industrial), pessoais, para autoafirmação ou demonstração de habilidade ou, mais comuns, para a obtenção de vantagens pessoais financeiras, como o roubo de informações (que posteriormente serão vendidas) ou obtenção de acesso a dados bancários. Existem os ataques que exploram objetivamente a rede em que os computadores estão conectados, coletando dados e enviando informações falsas, por exemplo. Outros têm como objetivo penetrar um sistema, como no caso dos ataques de força bruta, enquanto alguns usam um ataque em massa para tornar os sistemas indisponíveis, como no caso dos ataques de negação de serviço (DoS ou DDoS). Assim, compreendemos a diferença entre ameaças e vulnerabilidades, sua relação, bem como os diferentes tipos de ameaças representadas pelos malwares e por pessoas mal intencionadas ou despreparadas e o risco que elas representam para a segurança da informação. Referências bibliográficas CENTRO DE ESTUDOS, RESPOSTA E TRATAMENTO DE INCIDENTES DE SEGURANÇA NO BRASIL – CERT.BR.. Cartilha de segurança para internet. 2012. Disponível em: http://cartilha.cert.br/. Acesso em: abr. 2020. 33 NAKAMURA, E. T. Segurança da informação e de redes. Londrina: Editora e Distribuidora Educacional S.A., 2016. PARA SABER MAIS A variedade e metodologia explorada peloshackers e crackers para o ataque e invasão dos sistemas é muito ampla e extremamente dinâmica, uma vez que os sistemas de segurança têm de se adaptar para se proteger, constantemente. Algumas ferramentas que já foram populares no passado, hoje em dia, simplesmente não funcionam mais. No entanto, existem diversos softwares que são utilizados como ferramentas para explorar vulnerabilidade e realizar ataques em sistemas desprotegidos. Kali Linux é uma distribuição Linux baseada no Debian, voltado principalmente para editorias de segurança e testes de invasão, também conhecidos como pentests (penetration tests, ou testes de penetração). Dispõe de diversas ferramentas pré-instaladas para ataques de força bruta (como o John the Ripper e o THC Hydra), scanning (Nmap e Nessus, scanners de rede) e ataque e exploração de sites web como o Vega e o Nikto2, que realiza uma série de testes e verificações de segurança. Outra ferramenta semelhante é o Pentoo, baseado na distribuição Gentoo. O Netcat é conhecido como canivete suíço das invasões em redes baseadas em TCP/IP, por conter uma grande quantidade de funcionalidades para se conectar a servidores e serviços de rede, de forma direta ou reversa, acessar informações de serviços DNS e até explorar falhas em acesso de linha de comando em terminais Linux. Como atualmente, graças ao uso dos roteadores locais, os IPs locais são protegidos, sua gama de atuação foi limitada. 34 Metasploit Framework é um conjunto de ferramentas de análise e exploração dos exploits, que são vulnerabilidades expostas na internet com detalhes sobre como proceder para realizar a sua invasão, em uma base de dados conhecida como CVE (Common Vulnerabilities and Exposures ou vulnerabilidades e exposições comuns). O Metasploit é um projeto de código aberto criado em 2003 para unificar módulos e interfaces que facilitassem o acesso e a exploração dessas falhas por meio de uma API amigável (Aplication Programming Interface), que centraliza e simplifica sua utilização. Trata-se de uma ferramenta extremamente robusta e poderosa, de uso profissional. Kismet e Aindump-ng são duas ferramentas muito populares de descoberta e invasão de redes sem fio e que, embora não sejam recentes, ainda são largamente utilizadas, por conta da grande quantidade de redes sem fio inseguras existentes. O Kismet (desenvolvido por Mike Kershaw) é uma ferramenta de descoberta de redes, realizando varreduras por meio do monitoramento do processo de conexão de clientes autorizados, por exemplo. Sua interface é simples e intuitiva, ao contrário do airdump, que também é utilizado na descoberta, mas por meio de uma linha de comando. Ambos necessitam acessar a placa de rede em modo monitor (promíscuo, ou seja, capaz de receber pacotes de todos os equipamentos da rede), o que significa que nem todas as placas de rede sem fio podem ser utilizadas com esses softwares. Outas ferramentas utilizadas em ofensivas contra redes sem fio são o Airplay (para ataques de negação de serviço) e o Wireshark (para coletas de dados de pacotes da rede). Um ataque contra a criptografia da rede pode ser realizado após a captura de uma grande quantidade de pacotes, com o uso do Aircrack-ng, por exemplo. Ataques contra criptografia WEP (que não é considerada segura há muitos anos) e WPA podem ser realizadas, embora esta última seja bem mais complexa. Ataques do tipo também podem 35 ser realizados com o Fern WiFi, que explora, inclusive, o acesso automático por meio do WPS (Wi-Fi Protected Setup). Referências bibliográficas FRAGA, B. Técnicas de invasão. São Paulo: Labrador, 2018. MCCLURE, S. Hackers expostos: segredos e soluções para a segurança de redes. Porto Alegre: Bookman, 2014. [Recurso eletrônico. TEORIA EM PRÁTICA Sua empresa está preocupada com potenciais ameaças que poderiam gerar incidentes de segurança da informação, e sabendo de sua experiência, pede que mapeie essas ameaças e faça um relatório. Você tem conhecimento que sua empresa possui alguns servidores locais desatualizados, instalados em uma sala comum, computadores com senhas fracas e alguns com sistemas operacionais crackeados e sem antivírus. É de seu conhecimento também que a rede tem todos os computadores conectados em um roteador, ao qual todos os funcionários têm acesso físico direto, e a sua senha é compartilhada. Quais seriam as principais ameaças que você apontaria em seu relatório? Para conhecer a resolução comentada proposta pelo professor, acesse a videoaula deste Teoria em Prática no ambiente de aprendizagem. 36 LEITURA FUNDAMENTAL Indicação 1 Stuart McClure trabalha com segurança da informação há mais de 25 anos, tendo atuado na McAfee/Intel. Atualmente, é CEO da Cylance, especializada em serviços de segurança. Este livro foi escrito por meio de um esforço liderado por ele para mapear e expor estratégias e ferramentas hackers. Para realizar a leitura, acesse a plataforma Minha Biblioteca, por meio da Biblioteca Virtual da Kroton, e busque pelo título da obra. MCCLURE, S. Hackers expostos: segredos e soluções para a segurança de redes. Porto Alegre: Bookman, 2014. [Recurso eletrônico. Indicação 2 Brasileiro, Bruno Fraga é um hacker White Hat, idealizador do projeto “Técnicas de invasão” e professor. Este livro mostra as técnicas utilizadas com exemplos práticos passo a passo para realizá-las em ambientes de testes ou reais. Para realizar a leitura, acesse a plataforma Biblioteca Virtual 3.0/Pearson, disponível na Biblioteca Virtual da Kroton. FRAGA, B. Técnicas de invasão. São Paulo: Labrador, 2018. Indicações de leitura 37 QUIZ Prezado aluno, as questões do Quiz têm como propósito a verificação de leitura dos itens Direto ao Ponto, Para Saber Mais, Teoria em Prática e Leitura Fundamental, presentes neste Aprendizagem em Foco. Para as avaliações virtuais e presenciais, as questões serão elaboradas a partir de todos os itens do Aprendizagem em Foco e dos slides usados para a gravação das videoaulas, além de questões de interpretação com embasamento no cabeçalho da questão. 1. O termo hacker designa alguém que procura manipular sistemas para realizar funções diferentes das que foi projetado. Chamamos de cracker o hacker que: a. Utiliza os sistemas de forma ética para encontrar falhas. b. Pode ou não denunciar falhas ou vulnerabilidades no sistema quando as encontra. c. Ataca e destrói dados, muitas vezes para benefício próprio. d. Usa ferramentas simples e prontas. e. Usa as ferramentas hackers em função de alguma ideologia. 2. O malware conhecido como WannaCry atacou mais de 230 mil sistemas no ano de 2017, provocando prejuízos para diversas empresas e organizações. Chamamos de Ransomware o malware que: a. Replica-se automaticamente por meio da rede, ocupando seus recursos. 38 b. Encripta dados e exige um resgate para disponibilizá-los. c. Recebe comandos remotos do atacante. d. É utilizado para se manter o controle do alvo após o ataque. e. Cumpre uma função legítima ao mesmo tempo que infecta o sistema. GABARITO Questão 1 - Resposta C Resolução: crackers ou Black Hats não agem de acordo com a lei, invadindo e destruindo dados. Questão 2 - Resposta B Resolução: Ransonware é um tipo de ataque que encripta os dados do disco do alvo, cobrando um resgate por eles. TEMA 4 Ferramentas de segurança e recuperação de desastre ______________________________________________________________ Autoria: José Eugênio de Mira Leitura crítica: Italo Diego Teotonio 40 DIRETO AO PONTO A gestão de ativos em segurança da informação é o controle da responsabilidade, localização e mudanças de todos os itens que possuem valor para o negócio, no contexto de dados. Existem os ativos tangíveis, como equipamentos, programas, códigos e pessoas; e os intangíveis, como, por exemplo, a reputação ou a imagem da empresa com o público, know-how, entre outros. O controle desses ativos garante a prevenção e que se minimizem as perdasem caso de incidentes de segurança. A gestão eficiente passa por ferramentas de segurança, sistemas de recuperação de incidentes, controle de acesso e segurança física dos ativos. Para a segurança dos ativos digitais, parte essencial do processo é a autenticação do usuário, que é o reconhecimento da identidade de quem tenta acessar o sistema, como a utilização de uma senha, um token ou a identificação por biometria. Figura 1 – Fatores de autenticação Fonte: elaborada pelo autor. 41 Além disso, a segurança física dos ambientes onde os ativos são armazenados também é fator determinante para garantir a sua integridade. Atualmente, ambientes seguros, como empresas que armazenam informações sensíveis e datacenters, são protegidos por anéis de segurança, que vão desde cercas e portarias para limitar o acesso externo, passando por controles internos monitorados com câmeras, até áreas restritas com sensores de vibração, detecção de movimentos e acesso limitado por cartões magnéticos e senhas pessoais ou biometria. Já os sistemas de prevenção a incidentes mais comuns são os firewalls e outras ferramentas, como os detectores de intrusão. Um firewall é um equipamento que intermedia o contato de uma rede interna com a rede externa, como a internet, controlando os pacotes de dados que são trocados entre as duas redes e as conexões que são estabelecidas. Firewalls também podem atuar como controle de saída, para evitar acessos potencialmente perigosos (sites com falhas de segurança) ou mesmo em desacordo com a política da empresa (sites de jogos ou redes sociais, por exemplo). Atualmente, as políticas gerenciais comprovam que as restrições tendem a ser menos eficientes do que políticas de conscientização, porém, a limitação de determinados acessos pode ser utilizada também para restrições mais objetivas, como, por exemplo, controlar o consumo de banda. Além disso, é possível realizar o log (registro) de acesso dos usuários, quais sites ou serviços acessam e quanto tempo gastam. 42 Figura 2 – Firewall e lista de acesso Fonte: elaborada pelo autor. Existem firewalls que realizam apenas a leitura do cabeçalho do pacote, analisando a porta utilizada (endereço NAT, ou network address translation) na camada de transporte, que pode indicar qual a aplicação de origem e de destino do pacote, e seu endereço de origem e destino (endereço IP) na camada de rede. Dessa forma, apenas as aplicações ou conexões conhecidas são admitidas pelo firewall, por meio de um conjunto de regras. De acordo com Moraes (2010, p. 161), eles podem ser simples, “como um roteador que filtra pacotes com base em uma ACL (Access Control List) ou lista de controle de acessos, ou complexo, filtrando e analisando os pacotes até́ a camada de aplicação”. Existem também os firewalls proxy, que intermedeiam todo o tráfego de rede, separando totalmente as redes internas e externas. Algumas ferramentas analisam o tráfego de rede e procuram por anormalidades, como os sistemas IDS/IPS. Exemplo disso seria um ataque DDoS, realizado como acesso legítimo de diversos equipamentos simultaneamente. Existem IDS do tipo host, que analisam atividades anormais em servidores, como acesso a determinado tipo de arquivos, alterações de permissão de usuário, e do tipo de rede, que analisa comportamento incomum na rede, como tráfego excessivo de um determinado tipo de pacote. O IPS é mais parecido com um firewall, pois não só analisa, mas também 43 canaliza todo o tráfego que monitora. O sistema de sandbox une um ambiente de virtualização com detecção de ameaças, enviando arquivos para serem testados em um ambiente seguro antes de permitir sua replicação para os computadores da empresa. Existem ainda sistemas do tipo UTM e NGFW. A principal diferença é que, nos sistemas do tipo UTM, há monitoramento ativo de arquivos de forma centralizada e sistemas de proxy. Por conta disso, os NGFW funcionam melhor com tráfego pesado de dados, enquanto os do tipo UTM podem ser melhor aplicados em ambientes de pequeno e médio negócio, com menos tráfego, mas atuação mais abrangente. Uma vez que haja um incidente, um sistema de backup seguro e eficiente pode garantir a integridade das cópias de segurança dos arquivos e sistemas, que devem ser, de preferência, armazenados em local seguro e fisicamente separados. Além disso, é importante a manutenção de um ambiente de testes para verificar a integridades desses backups, como uma máquina virtual. Manter um equipamento, como um servidor, pré-configurado com cópias de arquivos recentes e de sistemas críticos, pode ser uma opção. Algumas empresas possuem ambientes inteiros prontos para entrar em operação em caso de um incidente ou desastre. Cópias em fitas de backup, unidades magnéticas externas ou mesmo mídias óticas devem ser guardadas em local seguro e, se possível, geograficamente distante do ambiente onde estão os servidores de arquivos e de sistema. Lembre-se de que a função do backup é a integridade dos dados, então quanto mais cópias e quanto mais segura elas estiverem, melhor. Algumas empresas de armazenamento, inclusive, já possuem serviços específicos para backup. Lembre-se de que o backup e o armazenamento na nuvem são diferentes, sendo que o primeiro tem uma periodicidade menor e acesso limitado aos administradores. A continuidade do negócio é fator essencial após 44 um incidente de segurança. A imagem da empresa e seus lucros serão potencialmente mais afetados quanto maior o tempo que se leve para restaurar os sistemas e o status do sistema após o ocorrido. Dessa forma, deve existir um plano claro de recuperação após o ocorrido, o Plano de Continuidade do Negócio (BCP) e um Plano de Recuperação de Desastres (DRP). Referências bibliográficas HINTZBERGEN, Jule, HINTZBERGEN, Kees., SMULDERS, André. BAARS, Hans. Fundamentos de Segurança da Informação: com base na ISO 270001 e ISO 27002. Rio de Janeiro: Brasport, 2018 MORAES, Alexandre Fernandes de. Segurança em Redes: 1. ed. -- São Paulo: Érica, 2010. PARA SABER MAIS Mais do que apenas a autenticação utilizando uma senha ou um token, os sistemas de segurança de dados modernos possuem mecanismos que unem soluções de autenticação, permissão e auditoria para controlar por quem, como, quando e onde as informações são utilizadas. Chamadas de soluções do tipo AAA, elas possuem uma visão mais abrangente do processo de utilização dos dados e atualmente não são utilizadas somente em sistemas de segurança da informação, mas também por provedores de internet e administradores de rede, para analisar características do tráfego e oferecer serviços, realizar cobranças ou mesmo monitorar o consumo dos dados. A sigla AAA significa authentication, authorization and accounting, que podem ser traduzidas como autenticação, autorização e auditoria. 45 Autenticação é o processo de verificação de credenciais apresentadas pelo usuário, como as senhas, apresentação de tokens e biometria. Sua função é analisar quem está utilizando a informação. Já a autorização diz respeito a quem pode e onde tais informações podem ser utilizadas. Esse sistema pode identificar, por exemplo, que o usuário fez acesso de um computador pessoal de um local não autorizado, como, por exemplo, de casa. É o sistema de autorização também que controla quais dados podem ser acessados por quais usuários, bem como quais deles têm permissões para modificar os dados. Já os sistemas de auditoria controlam quando foi realizado o acesso e sobre quais circunstâncias, ligando os dados dos outros dois itens entre si. Imagine, por exemplo, um gerente de banco que realizou um acesso a uma conta de um cliente a partir de um computador pessoal fora do horário de expediente. A auditoria pode ser utilizada para verificar se houve algum pedido por parte desse cliente para que o acesso fosse realizado. A auditoria também analisa se os acessos foram realizados por pessoas com autorização para tal e ajuda adirimir essas falhas. Segundo Galvão (2015), a auditoria de sistemas é um processo realizado para avaliar o sistema de segurança da informação de uma organização. Ainda segundo a autora, é por meio de verificações das informações armazenadas em meio digital que “é averiguado se os requisitos de segurança foram cumpridos ou não”. Soluções do tipo AAA podem ser integradas com aplicações corporativas de autenticação. Essas aplicações têm um banco de dados que centraliza e sistematiza a autenticação e as permissões do usuário, além de gerar informações de log sobre o acesso. Duas das soluções mais populares são a autenticação Radius e a Kerberos. De acordo com Moraes (2015), a primeira foi desenvolvida em 1996 para atender a necessidades de autenticação de usuários em ambiente de redes, para 46 autenticação de sistemas de arquivos baseados em NAS (Network Attached Storage). É uma solução de código aberto muito popular. Já a Kerberos é a autenticação nativa dos sistemas Windows Server e funciona com um sistema de tíquete de validação quando o usuário realiza o login. Ambas são utilizadas também para controle de acesso em redes sem fio. Referências bibliográficas GALVÃO, M. C. (Org.). Fundamentos em segurança da informação. São Paulo: Pearson Education do Brasil, 2015. MORAES, A. F. de. Firewalls: segurança no controle de acesso. São Paulo: Érica, 2015. TEORIA EM PRÁTICA Sua companhia está passando por um processo de aquisição, e a direção solicitou para o TI algumas providências para um processo de auditoria que será realizado. Entre essas providências, está um relatório sobre os ativos da área de TI, tangíveis e intangíveis, bem como o estado da segurança desses ativos. Além disso, foram solicitados relatórios sobre o processo de tratamento de incidentes, os sistemas operacionais instalados e seus aplicativos, bem como seus acessos diários e níveis de permissão. Quais os passos para investigar e fornecer essas informações e onde e como elas podem ser obtidas? Para conhecer a resolução comentada proposta pelo professor, acesse a videoaula deste Teoria em Prática no ambiente de aprendizagem. 47 LEITURA FUNDAMENTAL Indicação 1 Esta obra é indicada para aqueles que desejam conhecer mais sobre sistemas de firewall e seu funcionamento. Possui capítulos dedicados ao funcionamento e à configuração de plataformas específicas do mercado. Para realizar a leitura, acesse a plataforma Minha Biblioteca, por meio da plataforma Biblioteca Virtual da Kroton, e busque pelo título da obra. MORAES, A. F. de. Firewalls: segurança no controle de acesso. São Paulo: Érica, 2015. Indicação 2 Obra abrangente sobre diferentes aspectos da certificação de segurança da informação ISO 27.001 e 27.002. Os capítulos 16 e 17 tratam exclusivamente da gestão de incidentes e gestão da continuidade do negócio. Para realizar a leitura, acesse a plataforma Biblioteca Virtual 3.0/Pearson, disponível na Biblioteca Virtual da Kroton. HINTZBERGEN, J.; HINTZBERGEN, K.; SMULDERS, A.; BAARS, H. Fundamentos de segurança da informação: com base na ISO 27.001 e ISO 27.002. Rio de Janeiro: Brasport, 2018. Capítulos 16 e 17, p. 141-155. Indicações de leitura 48 QUIZ Prezado aluno, as questões do Quiz têm como propósito a verificação de leitura dos itens Direto ao Ponto, Para Saber Mais, Teoria em Prática e Leitura Fundamental, presentes neste Aprendizagem em Foco. Para as avaliações virtuais e presenciais, as questões serão elaboradas a partir de todos os itens do Aprendizagem em Foco e dos slides usados para a gravação das videoaulas, além de questões de interpretação com embasamento no cabeçalho da questão. 1. São exemplos de sistemas de autenticação utilizados, baseados em algo que o usuário sabe e algo que o usuário tem, respectivamente: a. Cartões de banco e senhas. b. Tokens e leitores de impressão digital. c. Senhas e biometria. d. Senhas e cartões magnéticos. e. Cartão de banco e biometria. 2. Nos sistemas AAA, a autenticação garante a identidade do usuário, enquanto o sistema de autorização controla o que ele pode fazer. Já os sistemas de auditoria: a. Controlam registros de acesso do usuário. b. Controlam a emissão de cartões. c. Controlam a movimentação financeira. d. Controlam o tempo de trabalho do usuário na empresa. 49 e. Controlam as permissões de arquivos. GABARITO Questão 1 - Resposta D Resolução: são exemplos de sistemas de autenticação, baseados em algo que o usuário sabe, as senhas, e em algo que o usuário tem, os cartões magnéticos. Questão 2 - Resposta A Resolução: nos sistemas AAA, a auditoria é responsável por controlar os registros de acesso do usuário nos sistemas e arquivos. BONS ESTUDOS! Apresentação da disciplina Introdução TEMA 1 Direto ao ponto Para saber mais Teoria em prática Leitura fundamental Quiz Gabarito TEMA 2 Direto ao ponto TEMA 3 Direto ao ponto TEMA 4 Direto ao ponto Botão TEMA 5: TEMA 2: Botão 158: Botão TEMA4: Inicio 2: Botão TEMA 6: TEMA 3: Botão 159: Botão TEMA5: Inicio 3: Botão TEMA 7: TEMA 4: Botão 160: Botão TEMA6: Inicio 4: Botão TEMA 8: TEMA 5: Botão 161: Botão TEMA7: Inicio 5:
Compartilhar