Segurança da Informação

Prévia do material em texto

NOÇÕES DE TECNOLOGIA 
DA INFORMAÇÃO
Segurança da Informação
Livro Eletrônico
Presidente: Gabriel Granjeiro
Vice-Presidente: Rodrigo Calado
Diretor Pedagógico: Erico Teixeira
Diretora de Produção Educacional: Vivian Higashi
Gerência de Produção de Conteúdo: Magno Coimbra
Coordenadora Pedagógica: Élica Lopes
Todo o material desta apostila (incluídos textos e imagens) está protegido por direitos autorais 
do Gran Cursos Online. Será proibida toda forma de plágio, cópia, reprodução ou qualquer 
outra forma de uso, não autorizada expressamente, seja ela onerosa ou não, sujeitando-se o 
transgressor às penalidades previstas civil e criminalmente.
CÓDIGO:
230630557946
FABRÍCIO MELO
Pós-graduado em Gestão de Redes. Especialista em concursos públicos desde 2005. 
Com mais de 70 cursos na área de Informática, suas aulas se destacam pela excelente 
didática voltada para conhecimentos práticos aplicados às questões mais recentes 
de provas de concursos públicos.
 
O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
3 de 130www.grancursosonline.com.br
NOÇÕES DE TECNOLOGIA DA INFORMAÇÃO
Segurança da Informação
Fabrício Melo
SUMÁRIO
Apresentação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
Segurança da Informação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Introdução . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Princípios da Segurança da Informação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Políticas de Segurança . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Malwares (Códigos Maliciosos) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
Golpes Virtuais . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80
Ataques Virtuais . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
Boatos Virtuais . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
Outros Malwares . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90
Resumo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94
Questões de Concurso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119
Gabarito . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122
Gabarito Comentado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123
 
O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
4 de 130www.grancursosonline.com.br
NOÇÕES DE TECNOLOGIA DA INFORMAÇÃO
Segurança da Informação
Fabrício Melo
APRESENTAÇÃOAPRESENTAÇÃO
Seja bem-vindo(a)!
Hoje, iniciaremos nossa aula sobre Segurança da Informação.
A aula é baseada na cartilha do Cert.Br e normas ABNT NBR ISO/IEC 27002:2013, fontes 
constantes das principais bancas do Brasil.
Também escolhi, através de um minucioso estudo, questões que irão suprir as necessidades 
para sua aprovação.
Quero pedir um favor: avalie nossa aula! É rápido e fácil! Deixe também sugestões de 
melhoria, ficarei extremamente feliz com o seu feedback e trabalharei para torná-la cada 
vez melhor. Tenho muito a aprender e você pode me ajudar nisso, pode ser? Muito obrigado.
 
O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
5 de 130www.grancursosonline.com.br
NOÇÕES DE TECNOLOGIA DA INFORMAÇÃO
Segurança da Informação
Fabrício Melo
SEGURANÇA DA INFORMAÇÃOSEGURANÇA DA INFORMAÇÃO
INTRODUÇÃOINTRODUÇÃO
A segurança da informação é um conjunto de princípios, técnicas, protocolos, normas e 
regras que visam garantir um melhor nível de confiabilidade. Tudo isso se tornou necessário 
com a grande troca de informações entre os computadores (transações financeiras e até 
uma simples conversação em salas de bate-papo) e principalmente pela vulnerabilidade 
oferecida pelos sistemas.
Muito cuidado com os termos impossível, absoluto, ilimitado etc., pois são termos que não 
se encaixam em segurança da informação, já que a segurança nunca será absoluta!
PRINCÍPIOS DA SEGURANÇA DA INFORMAÇÃOPRINCÍPIOS DA SEGURANÇA DA INFORMAÇÃO
Aluno(a), para alcançarmos o objetivo de aprender toda essa parte de segurança, é 
necessário conhecer primeiramente os princípios básicos que a norteiam. São eles:
• Confidencialidade: é a garantia de que os dados serão acessados apenas por usuários 
autorizados. Geralmente, restringe o acesso.
• Integridade: é a garantia de que a mensagem não foi alterada durante a transmissão, 
ou seja, é a garantia da exatidão e completeza da informação.
• Disponibilidade: é a garantia de que um sistema estará disponível para solicitações 
a qualquer momento.
• Autenticidade: é a garantia de que os dados fornecidos são verdadeiros ou de que 
o usuário é legítimo.
• Conformidade (legalidade): a segurança da informação também deve assegurar que 
seus processos obedeçam às leis e normas.
A junção de todos esses princípios gera a confiabilidade do sistema.
O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
6 de 130www.grancursosonline.com.br
NOÇÕES DE TECNOLOGIA DA INFORMAÇÃO
Segurança da Informação
Fabrício Melo
Alguns autores citam um sexto princípio:
• Não repúdio (irretratabilidade): é a garantia de que uma pessoa não consiga negar 
um ato ou documento de sua autoria. Essa garantia é condição necessária para a 
validade jurídica de documentos e transações digitais. Só se pode garantir o não 
repúdio quando houver autenticidade e integridade (ou seja, quando for possível 
determinar quem mandou a mensagem e garantir que ela não foi alterada).
001. 001. (CEBRASPE/SEFAZ-RS/AUDITOR/2019) Para o estabelecimento de padrões de segurança, 
um dos princípios críticos é a necessidade de se verificar a legitimidade de uma comunicação, 
de uma transação ou de um acesso a algum serviço. Esse princípio refere-se à
a) confidencialidade.
b) autenticidade.
c) integridade.
d) conformidade.
e) disponibilidade.
Legitimidade = autenticidade.
Letra b.
O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgaçãoou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
7 de 130www.grancursosonline.com.br
NOÇÕES DE TECNOLOGIA DA INFORMAÇÃO
Segurança da Informação
Fabrício Melo
002. 002. (CEBRASPE/TJ-RR/ANALISTA/2015) Julgue o item.
Disponibilidade é a propriedade do sistema, ou de componentes do sistema, que garante que 
ele (sistema ou componente) e as informações nele contidas sejam acessíveis e utilizáveis 
por usuário ou entidade devidamente autorizados.
Conceito do princípio da disponibilidade.
Certo.
003. 003. (CONSULPLAN/TJ-MG/TÉCNICO/2017) Segurança da informação é o mecanismo de 
proteção de um conjunto de informações com o objetivo de preservar o valor que elas 
possuem para uma pessoa ou organização. Está correto o que se afirma sobre princípios 
básicos de segurança da informação, EXCETO:
a) Disponibilidade garante que a informação esteja sempre disponível.
b) Integridade garante a exatidão da informação.
c) Confidencialidade garante que a informação seja acessada somente por pessoas 
autorizadas.
d) Não repúdio garante que a informação é autêntica e que a pessoa recebeu a informação.
A questão cobrou autenticidade da informação.
Letra d.
004. 004. (CEBRASPE/MMA/ANALISTA/2014) Julgue o item.
O nobreak, equipamento programado para ser acionado automaticamente na falta de 
energia elétrica, oferece disponibilidade e segurança aos computadores.
Nobreak é um estabilizador que possui uma bateria para manter energizados os equipamentos 
por um período de tempo que pode variar de acordo com seu modelo. Com isso, o nobreak 
gera disponibilidade do sistema e segurança aos computadores. Exemplo: estabilizar a 
energia para que o computador não receba uma carga alta o bastante para queimá-lo.
Certo.
005. 005. (CEBRASPE/BRB/ESCRITURÁRIO/2010) Julgue o item.
Confidencialidade, um dos princípios básicos da segurança da informação, tem como 
característica garantir que uma informação não seja alterada durante o seu trânsito entre 
o emissor e o destinatário.
O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
8 de 130www.grancursosonline.com.br
NOÇÕES DE TECNOLOGIA DA INFORMAÇÃO
Segurança da Informação
Fabrício Melo
Muito cuidado para não confundir o princípio da confidencialidade com o da integridade. 
Nem tudo que se altera, visualiza. E nem tudo que se visualiza, altera. São princípios muito 
próximos: confidencialidade (ACESSO) e integridade (ALTERAÇÃO).
Errado.
006. 006. (IADES/CRF-TO/TÉCNICO/2019) Considerando-se os requisitos ou princípios básicos 
de segurança, assinale a alternativa que melhor descreve o requisito Autorização.
a) Verifica se uma entidade é realmente o que diz ser.
b) Protege as informações contra alterações não autorizadas.
c) Evita que uma entidade negue que foi ela quem executou determinada ação.
d) Permite que uma entidade se identifique.
e) Determina as ações que uma entidade pode executar.
a) Errada. Autenticidade.
b) Errada. Integridade.
c) Errada. Não repúdio.
d) Errada. Autenticidade.
Letra e.
007. 007. (CEBRASPE/DPU/ANALISTA/2016) Julgue o item.
Integridade, confidencialidade e disponibilidade da informação, conceitos fundamentais 
de segurança da informação, são adotados na prática, nos ambientes tecnológicos, a partir 
de um conjunto de tecnologias como, por exemplo, criptografia, autenticação de usuários 
e equipamentos redundantes.
Atenção com esse tipo de questão. Citou três princípios e logo depois três exemplos, 
percebeu? Então, precisamos analisar se os exemplos se encaixam com os princípios.
Integridade: autenticação de usuários (senha, biometria, assinatura digital, certificado 
digital etc.).
Confidencialidade: criptografia.
Disponibilidade: equipamentos redundantes (backup físico – equipamentos reservas).
Certo.
O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
9 de 130www.grancursosonline.com.br
NOÇÕES DE TECNOLOGIA DA INFORMAÇÃO
Segurança da Informação
Fabrício Melo
POLÍTICAS DE SEGURANÇAPOLÍTICAS DE SEGURANÇA
De acordo com a cartilha de segurança do CERT.BR, a política de segurança define os direitos 
e as responsabilidades de cada um em relação à segurança dos recursos computacionais 
que utiliza e as penalidades as quais está sujeito, caso não a cumpra. É considerada um 
importante mecanismo de segurança, tanto para as instituições como para os usuários, pois 
com ela é possível deixar claro o comportamento esperado de cada um. Dessa forma, casos 
de mau comportamento que estejam previstos na política podem ser tratados de forma 
adequada pelas partes envolvidas. O objetivo das políticas de segurança é a prevenção. 
Lembre-se daquela tradicional frase: prevenir é melhor do que remediar!
A política de segurança pode conter outras políticas específicas, tais como:
• Política de senhas: define as regras sobre o uso de senhas nos recursos computacionais, 
como tamanho mínimo e máximo, regra de formação e periodicidade de troca.
• Política de backup: define as regras sobre a realização de cópias de segurança, como 
tipo de mídia utilizada, período de retenção e frequência de execução.
• Política de privacidade: define como são tratadas as informações pessoais, sejam 
elas de clientes, usuários ou funcionários.
• Política de confidencialidade: define como são tratadas as informações institucionais, 
ou seja, se elas podem ser repassadas a terceiros.
• Política de uso aceitável (PUA) ou Acceptable Use Policy (AUP): também chamada 
de Termo de Uso ou Termo de Serviço, define as regras de uso dos recursos 
computacionais, os direitos e as responsabilidades de quem os utiliza e as situações 
que são consideradas abusivas.
008. 008. (FGV/SEFAZ-BA/AGENTE DE TRIBUTOS ESTADUAIS/2022) Com relação às políticas de 
segurança da informação, analise as afirmativas a seguir.
I – Política de senhas: define o conjunto de regras do uso de senhas em uma rede, bem como 
recursos computacionais que fazem parte na mesma. Entre as informações contidas na 
política estão a periodicidade da troca de senha, o tamanho mínimo e máximo e a composição.
II – Política de backup: define regras específicas da realização das cópias de segurança, como 
os tipos de mídia a serem utilizado no backup, a frequência de execução (diária, semanal, 
mensal) e o período de retenção das cópias.
III – Política de privacidade online: são regras sociais que não contemplam como as informações 
pessoais serão tratadas, sejam elas de usuários, clientes, funcionários e fornecedores.
Está correto o que se afirma em
O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
10 de 130www.grancursosonline.com.br
NOÇÕES DE TECNOLOGIA DA INFORMAÇÃO
Segurança da Informação
Fabrício Melo
a) I, somente.
b) I e II, somente.
c) I e III, somente.
d) II e III, somente.
e) I, II e III.
O item III está errado porque nega que a política de privacidade trata as informações pessoais.
Letra b.
009. 009. (IADES/SES-DF/TÉCNICO/2014) No que se refere à política de segurança, é correto 
afirmar que ela serve para definir
a) os direitos e as responsabilidades de cada um em relação à segurança dos recursos 
computacionais utilizados e as penalidades às quais se está sujeito, caso não seja cumprida.
b) as regras acerca do uso de senhas nos recursos computacionais,como tamanho mínimo 
e máximo, regra de formação e periodicidade de troca.
c) as regras quanto à realização de cópias de segurança, como tipo de mídia utilizada, 
período de retenção e frequência de execução.
d) como são tratadas as informações institucionais, ou seja, se podem ser repassadas a 
terceiros.
d) as regras de uso dos recursos computacionais, os direitos e as responsabilidades de quem 
os utiliza e as situações que são consideradas abusivas.
É característica da IADES cobrar a opção MAIS certa.
b) Errada. Política de senhas.
c) Errada. Política de backup.
d) Errada. Política de confidencialidade.
e) Errada. Política de uso aceitável (PUA).
Letra a.
010. 010. (ESAF/ANAC/TÉCNICO/2016) É objetivo da política de segurança de informações
a) impedir a segregação de funções.
b) aparelhar a organização com um sistema capaz de assegurar a inviolabilidade dos ativos 
de informações.
c) aparelhar a organização com um sistema capaz de assegurar acesso aos ativos de 
informações, de acordo com os interesses dos usuários.
O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
11 de 130www.grancursosonline.com.br
NOÇÕES DE TECNOLOGIA DA INFORMAÇÃO
Segurança da Informação
Fabrício Melo
d) impossibilitar quaisquer alterações das bases de dados existentes.
e) aparelhar a organização com um sistema capaz de assegurar a disponibilidade dos ativos 
de informações.
a) Errada. A segregação de funções é necessária em qualquer sistema computacional. Já 
imaginou um atendente ter os mesmos privilégios de acesso que o diretor no sistema de 
uma empresa?
b) Certa. Se estou assegurando uma inviolabilidade, estou PREVENINDO para que o sistema 
não seja invadido, violado e se torne indisponível.
c) Errada. Princípio da disponibilidade. A disponibilidade seria a consequência da inviolabilidade, 
e não a causa ou objetivo.
d) Errada. A base de dados precisa sofrer alterações de acordo com as atualizações do 
sistema.
e) Errada. Mesma abordagem da letra c (disponibilidade).
Letra b.
As políticas de segurança podem conter outras políticas específicas:
• Acesso físico – propriedades físicas, segurança física (cadeado e até um extintor de 
incêndio).
• Acesso lógico – propriedades lógicas, segurança do sistema (antivírus, firewall etc.).
• Rastreadores de acessos – monitoramento total de um sistema.
Existem três grupos de autenticação de usuários: aquilo que você é (biometria), aquilo 
que você possui (token, assinatura digital, cartões de senhas etc.) e aquilo que você sabe 
(senhas, perguntas secretas etc.).
SENHAS
De acordo com as indicações da cartilha do Cert.br:
Uma senha boa, bem elaborada, é aquela que é difícil de ser descoberta (forte) e fácil de 
ser lembrada. Não convém que você crie uma senha forte se, quando for usá-la, não consiga 
recordá-la. Também não é interessante que você crie uma senha fácil de ser lembrada se 
ela puder ser facilmente descoberta por um atacante.
Alguns elementos que você não deve usar na elaboração de suas senhas são:
• Qualquer tipo de dado pessoal: evite nomes, sobrenomes, contas de usuário, números 
de documentos, placas de carros, números de telefones e datas (estes dados podem ser 
facilmente obtidos e usados por pessoas que queiram tentar se autenticar como você).
O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
12 de 130www.grancursosonline.com.br
NOÇÕES DE TECNOLOGIA DA INFORMAÇÃO
Segurança da Informação
Fabrício Melo
• Sequências de teclado: evite senhas associadas à proximidade entre os caracteres 
no teclado, como “1qaz2wsx” e “QwerTAsdfG”, pois são bastante conhecidas e podem 
ser facilmente observadas ao serem digitadas.
• Qualquer data que possa estar relacionada a você: a data de seu aniversário ou de 
seus familiares.
• Palavras que façam parte de listas: evite palavras presentes em listas publicamente 
conhecidas, como nomes de músicas, times de futebol, personagens de filmes, 
dicionários de diferentes idiomas etc. Existem programas que tentam descobrir 
senhas combinando e testando estas palavras, portanto, não devem ser usadas.
Alguns elementos que você deve usar na elaboração de suas senhas são:
• Números aleatórios: quanto mais ao acaso forem os números usados melhor, 
principalmente em sistemas que aceitem exclusivamente caracteres numéricos.
• Grande quantidade de caracteres: quanto mais longa for a senha, mais difícil será 
descobri-la. Apesar de senhas longas parecerem, a princípio, difíceis de serem digitadas, 
com o uso frequente elas acabam sendo facilmente memorizadas.
• Diferentes tipos de caracteres: quanto mais “bagunçada” for a senha, mais difícil 
será descobri-la. Procure misturar caracteres, como números, sinais de pontuação e 
letras maiúsculas e minúsculas. O uso de sinais de pontuação pode dificultar bastante 
que a senha seja descoberta, sem necessariamente torná-la difícil de ser lembrada.
Algumas dicas práticas que você pode usar na elaboração de boas senhas são:
• Selecione caracteres de uma frase: baseie-se em uma frase e selecione a primeira, 
a segunda ou a última letra de cada palavra.
EXEMPLO
com a frase “O Cravo brigou com a Rosa debaixo de uma sacada” você pode gerar a senha 
“?OCbcaRddus” (o sinal de interrogação foi colocado no início para acrescentar um símbolo 
à senha).
• Utilize uma frase longa: escolha uma frase longa que faça sentido para você, que 
seja fácil de ser memorizada e que, se possível, tenha diferentes tipos de caracteres. 
Evite citações comuns (como ditados populares) e frases que possam ser diretamente 
ligadas a você (como o refrão de sua música preferida).
EXEMPLO
Se quando criança você sonhava em ser astronauta, pode usar como senha “1 dia ainda verei 
os anéis de Saturno!!!”.
O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
13 de 130www.grancursosonline.com.br
NOÇÕES DE TECNOLOGIA DA INFORMAÇÃO
Segurança da Informação
Fabrício Melo
• Faça substituições de caracteres: invente um padrão de substituição baseado, 
por exemplo, na semelhança visual (“w” e “vv”) ou de fonética (“ca” e “k”) entre os 
caracteres. Crie o seu próprio padrão, pois algumas trocas já são bastante óbvias.
EXEMPLO
Duplicando as letras “s” e “r”, substituindo “o” por “0” (número zero) e usando a frase “Sol, 
astro-rei do Sistema Solar” você pode gerar a senha “SS0l, asstrr0-rrei d0 SSisstema SS0larr”.
Existem serviços que permitem que você teste a complexidade de uma senha e que, 
de acordo com critérios, podem classificá-la como sendo, por exemplo, muito fraca, fraca, 
forte ou muito forte. Ao usar esses serviços é importante ter em mente que mesmo que 
uma senha tenha sido classificada como muito forte, pode ser que ela não seja uma boa 
senha caso contenha dados pessoais que não são de conhecimento do serviço, mas que 
podem ser de conhecimento de um atacante.
• Em roteadores sem fio (WI-FI), utilizar algoritmos de senhas mais seguros.
WEP (Wired Equivalent Privacy), Wi-Fi Protected Access (WPA) e Wi-Fi Protected Access II 
(WPA2) são os principais algoritmos de segurança que podemos configurar em uma rede sem fio.
O WEP é o mais antigo e é vulnerável por ter várias falhas de segurança descobertas. 
WPA melhorou a segurança, mas agora também é considerada vulnerável à intrusão. WPA2, 
evoluçãoda WPA, atualmente é a mais usada, embora já tenha sido lançado o padrão WPA3.
TOKEN
É um sistema gerador de senhas utilizado para garantir a segurança de uma autenticação 
e evitar fraudes. Seu diferencial é que as senhas geradas param de funcionar depois de um 
determinado tempo.
Considerado uma senha descartável, o Token deixa de ser válido depois de alguns 
segundos, o que garante a sua segurança.
O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
14 de 130www.grancursosonline.com.br
NOÇÕES DE TECNOLOGIA DA INFORMAÇÃO
Segurança da Informação
Fabrício Melo
Quando fazemos alguma transação em nossa conta bancária, seja por aplicativo ou 
site, é comum o banco pedir essa senha para que possa validar o processo. Então, esse é 
o Token, um sistema que pede uma senha de seis dígitos que precisa ser gerada na hora, 
totalmente diferente da senha que usamos em nosso cartão ou para acessar a conta. O 
Token faz parte do grupo “aquilo que você possui”.
Atualmente, alguns bancos utilizam o ITOKEN, Token na forma de um software embutido 
no próprio app (aplicativo) do banco que utilizamos em nossos smartphones.
BIOMETRIA
• Física: digital, íris, veias da palma da mão, face, odor etc.;
• Comportamental: voz, caminhado, ass. digitalizada e digitação.
A biometria faz parte do grupo “aquilo que você é”.
AUTENTICAÇÃO DE DOIS FATORES
A verificação ou autenticação em duas etapas (two-factor authentication, também 
chamada de aprovação de login, verificação ou autenticação em dois fatores ou, ainda, 
verificação ou autenticação em dois passos), adiciona uma segunda camada de proteção 
no acesso a uma conta, dificultando que ela seja indevidamente acessada, mesmo com o 
conhecimento da senha. É um recurso opcional oferecido por diversos serviços de Internet, 
como Webmail, redes sociais, Internet Banking e de armazenamento em nuvem.
O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
15 de 130www.grancursosonline.com.br
NOÇÕES DE TECNOLOGIA DA INFORMAÇÃO
Segurança da Informação
Fabrício Melo
Na verificação em duas etapas são utilizados dois passos de checagem, ou seja, é feita 
uma dupla verificação. Adicionando uma segunda etapa de verificação fica mais difícil a 
invasão de uma conta de usuário. Mesmo que um atacante venha a descobrir uma senha, 
isoladamente, ela não será suficiente para que ele consiga acessar a conta. O atacante 
necessitará executar a segunda etapa, o que tornará a invasão mais difícil de ser realizada.
O IOS (sistema que equipa os dispositivos móveis da Apple) utiliza o aplicativo SENHAS, 
que pode gerar um código de verificação temporário que servirá como uma autenticação 
em dois passos.
011. 011. (FGV/PGM/TÉCNICO EM PROCURADORIA/2023) Julia usa senhas fortes em suas 
contas digitais, mas quer elevar o seu nível de segurança. Para isso, consultou o técnico 
de informática Matheus que a orientou a adicionar uma segunda camada de proteção no 
acesso às suas contas. Assim, mesmo que o atacante descubra sua senha, ele precisará de 
outras informações para invadir sua conta.
Matheus completou dizendo: “Escolha o método que considerar mais prático e seguro, 
como: usar um aplicativo de celular para gerar códigos de verificação; ou receber códigos 
por mensagem de texto ou voz.”
O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
16 de 130www.grancursosonline.com.br
NOÇÕES DE TECNOLOGIA DA INFORMAÇÃO
Segurança da Informação
Fabrício Melo
A proteção sugerida por Matheus é o(a):
a) Antispam;
b) Firewall pessoal;
c) Certificado digital;
d) Gerenciador de senha;
e) Verificação em duas etapas.
Aluno(a), geralmente uma SEGUNDA CAMADA DE PROTEÇÃO em nossas contas é a implantação 
de uma VERIFICAÇÃO EM DUAS ETAPAS que aumenta consideravelmente o nível de segurança, 
pois se tivermos a conta burlada na primeira etapa, dificilmente será também na segunda.
Letra e.
012. 012. (CEBRASPE/SEPLAGEDUC/ANALISTA/2009) Julgue o item.
O controle de acesso físico é uma das formas de se evitar que usuários tenham acesso aos 
discos, pastas e arquivos de uma máquina conectada em rede, por meio de acesso remoto 
não autorizado, realizado a partir de outra rede de computador.
Acesso a partir de outra rede não será impedido por meio de controle físico. Acesso remoto 
será impedido por meio de controles lógicos.
Errado.
013. 013. (CEBRASPE/TRT/TÉCNICO/2013) Julgue o item.
Os mecanismos utilizados para a segurança da informação consistem em controles físicos 
e controles lógicos. Os controles físicos constituem barreiras de hardware, enquanto os 
lógicos são implementados por meio de softwares.
Controles físicos não constituem barreiras de hardware, mas sim barreiras físicas. Exemplos: 
porta, parede, cadeado, catraca etc. Lembrando que em uma barreira física pode existir um 
hardware, exemplo: uma porta com um leitor biométrico. Já os controles lógicos realmente 
são implementados por meio de softwares.
Errado.
014. 014. (QUADRIX/CFO/ANALISTA/2017) Julgue o item.
Um dos procedimentos adotados pelas organizações em relação à segurança da informação 
refere-se ao monitoramento das áreas sensíveis que podem ser exploradas pelos invasores, 
O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
17 de 130www.grancursosonline.com.br
NOÇÕES DE TECNOLOGIA DA INFORMAÇÃO
Segurança da Informação
Fabrício Melo
como, por exemplo, o monitoramento do uso das redes sociais usadas pelos funcionários, 
meio que pode permitir o vazamento de informações.
Imagine aquele funcionário que gosta de postar fotos sobre o seu local de trabalho onde 
aparecem a estrutura interna da organização, sistema computacional, sala de telemetria, 
rotina de trabalhos etc. Pode ser um prato cheio para os invasores conhecerem a organização 
e gerar ataques e invasões.
Certo.
015. 015. (FCC/TRT-14/ANALISTA/2018) Crime cibernético é todo crime que é executado online 
e inclui, por exemplo, o roubo de informações no meio virtual. Uma recomendação correta 
de segurança aos usuários da internet para se proteger contra a variedade de crimes 
cibernéticos é
a) usar a mesma senha (composta por letras maiúsculas e minúsculas, números e símbolos) 
em todos os sites com conteúdo de acesso restrito, mantendo esta senha protegida em 
um aplicativo de gerenciamento de senhas.
b) manter os softwares atualizados, exceto os sistemas operacionais, pois estes já possuem 
mecanismos de segurança como firewall, antivírus e antispyware.
c) gerenciar as configurações de mídias sociais para manter a maior parte das informações 
pessoais e privadas bloqueadas.
d) proteger a rede wireless com senha que utiliza criptografia Wired Equivalent Privacy − 
WEP ou com uma Virtual Protect Network − VPN.
e) usar uma suíte de segurança para a internet com serviços como firewall, blockwall e 
antivírus, como o LibreOffice Security Suit.
Por serem extensões das nossas vidas, o cuidado com as mídias sociais é imprescindível.
Letra c.
016. 016. (QUADRIX/CRP-2/ASSISTENTE/2018) A política de uso aceitável normalmente faz parteda política de segurança da informação das organizações e é disponibilizada na página web 
ou no momento em que o funcionário passa a ter acesso aos recursos computacionais. 
Sendo assim, consiste em uma situação que geralmente não é considerada como de uso 
abusivo, ou seja, que não infringe a política de uso aceitável, o(a)
a) compartilhamento de senhas.
b) uso de senha fácil de ser descoberta.
O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
18 de 130www.grancursosonline.com.br
NOÇÕES DE TECNOLOGIA DA INFORMAÇÃO
Segurança da Informação
Fabrício Melo
c) distribuição não autorizada de material protegido por direitos autorais.
d) divulgação de informações confidenciais.
e) envio de mensagens com objetivo de difamar alguém.
Observe que a questão pediu exemplo de USO ABUSIVO. Uma senha fraca não é um exemplo 
de uso abusivo.
Desde que seja documentado nas políticas de segurança, é legal o monitoramento da rede 
e do sistema computacional da empresa. Caso o colaborador quebre alguma regra, poderá 
ser demitido por justa causa.
Letra b.
017. 017. (FGV/TCE-SE/MÉDICO/2015) Considere as seguintes escolhas que Maria fez para sua 
senha pessoal:
+ + TeleFoNe + +
10121978
Segredo # $ & %
Telefone = Mudo
= SeGREdo!
Dessas senhas, a mais fraca é a:
a) primeira;
b) segunda;
c) terceira;
d) quarta;
e) quinta.
Observe que Maria utilizou uma data na segunda opção: 10/12/1978. Usou apenas números 
e repetiu o número 1 três vezes.
Letra b.
018. 018. (FEPESE/PC-SC/ESCRIVÃO/2017) Vários problemas de segurança surgiram a partir 
do crescimento das redes. Como exemplo destes problemas temos roubo de senhas e 
interrupção de serviços até problemas de personificação, onde uma pessoa faz-se passar 
por outra para obter acesso privilegiado. Surgiu então a necessidade do aprimoramento 
do processo de autenticação, que consiste na verificação da identidade dos usuários.
Com relação a este assunto são realizadas as seguintes afirmativas:
O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
19 de 130www.grancursosonline.com.br
NOÇÕES DE TECNOLOGIA DA INFORMAÇÃO
Segurança da Informação
Fabrício Melo
1. A verificação ou autenticação em duas etapas (two-factor authentication, também 
chamada de aprovação de login, verificação ou autenticação em dois fatores ou, ainda, 
verificação ou autenticação em dois passos) adiciona uma segunda camada de proteção 
no acesso a uma conta, dificultando que ela seja indevidamente acessada, mesmo com o 
conhecimento da senha. É um recurso opcional oferecido por diversos serviços de Internet, 
como Webmail, redes sociais, Internet Banking e de armazenamento em nuvem.
2. Na verificação em duas etapas são utilizados dois passos de checagem, ou seja, é feita 
uma dupla verificação. Adicionando uma segunda etapa de verificação fica mais difícil a 
invasão de uma conta de usuário. Mesmo que um atacante venha a descobrir uma senha 
ela, isoladamente, não será suficiente para que ele consiga acessar a conta. O atacante 
necessitará executar a segunda etapa, o que tornará a invasão mais difícil de ser realizada.
3. Existem três grupos básicos de mecanismos de autenticação, que se utilizam de: aquilo 
que você é (informações biométricas, como a sua impressão digital, a palma da sua mão, a 
sua voz e o seu olho), aquilo que apenas você possui (como seu cartão de senhas bancárias e 
um token gerador de senhas) e, normalmente, aquilo que apenas você sabe (como perguntas 
de segurança e suas senhas).
a) É correta apenas a afirmativa 1.
b) É correta apenas a afirmativa 2.
c) São corretas apenas as afirmativas 1 e 3.
d) São corretas apenas as afirmativas 2 e 3.
e) São corretas as afirmativas 1, 2 e 3.
1. Certa. É muito comum hoje a senha de 2 (dois) fatores.
2. Certa. Essa afirmativa complementa a primeira com mais detalhes.
3. Certa. Exemplifica os três grupos básicos de autenticação de usuários.
Letra e.
019. 019. (FCC/BANESE/ESCRITURÁRIO/2012) Uma técnica biométrica para controle de acesso 
que apresenta característica de natureza comportamental é a de reconhecimento
a) da face.
b) da impressão digital.
c) de voz.
d) do DNA.
e) da íris.
O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
20 de 130www.grancursosonline.com.br
NOÇÕES DE TECNOLOGIA DA INFORMAÇÃO
Segurança da Informação
Fabrício Melo
Cuidado com este tipo de questão! Foi abordado o conhecimento dos diferentes tipos 
de biometria. Lembramos que a biometria física é aquela que não sofre alterações por 
comportamento (analisa apenas as características físicas) e a biometria comportamental 
é aquela que analisa algo de natureza comportamental de uma pessoa (algo que possa 
mudar de acordo com o comportamento).
a) Errada. Face – física.
b) Errada. Impressão digital – física.
c) Certa. Voz – comportamental.
d) Errada. DNA – laboratório.
e) Errada. Íris – física.
Letra c.
POLÍTICA DE MESA LIMPA
A política de mesa limpa e tela limpa impõem práticas relacionadas a assegurar que 
informações sensíveis, tanto em formato digital quanto físico, e ativos (e.g., notebooks, 
celulares, tablets etc.) não sejam deixados desprotegidos em espaços de trabalho pessoais 
ou públicos quando não estão em uso, ou quando alguém deixa sua área de trabalho, seja 
por um curto período de tempo ou ao final do dia.
De acordo com a ABNT NBR ISO/IEC 27002:2013:
Controle
Convém que sejam adotadas uma política de mesa limpa para papéis e mídias de 
armazenamento removíveis e uma política de tela limpa para os recursos de processamento 
da informação.
O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
21 de 130www.grancursosonline.com.br
NOÇÕES DE TECNOLOGIA DA INFORMAÇÃO
Segurança da Informação
Fabrício Melo
Diretrizes para implementação
Convém que uma política de mesa limpa e tela protegida leve em consideração a 
classificação da informação, requisitos contratuais e legais, e o risco correspondente e 
aspectos culturais da organização.
Convém que as seguintes diretrizes sejam consideradas:
a) que as informações do negócio sensíveis ou críticas, por exemplo, em papel ou em 
mídia de armazenamento eletrônicas, sejam guardadas em lugar seguro (idealmente 
em um cofre, armário ou outras formas de mobília de segurança), quando não em uso, 
especialmente quando o escritório estiver desocupado;
b) que os computadores e terminais sejam mantidos desligados ou protegidos com 
mecanismo de travamento de tela e teclados controlados por senha, token ou mecanismo 
de autenticação similar, quando sem monitoração, e protegidos por tecla de bloqueio, 
senhas ou outros controles, quando não usados;
c) que seja evitado o uso não autorizado de fotocopiadoras e de outra tecnologia de 
reprodução (por exemplo, scanners, máquinas fotográficas digitais);
d) que os documentos que contêm informação sensível ou classificada sejam removidos 
de impressoras imediatamente.
Informações adicionais
Uma política de mesa limpa e tela protegida reduz o risco de acesso não autorizado, 
perda e dano da informação durantee fora do horário normal de trabalho. Cofres e outras 
formas de recursos de armazenamento seguro também podem proteger informações 
armazenadas contra desastres como incêndio, terremoto, enchente ou explosão.
Considerar o uso de impressoras com função de código PIN, permitindo dessa forma 
que os requerentes sejam os únicos que podem pegar suas impressões, e apenas quando 
estiverem próximos às impressoras.
020. 020. (INSTITUTO AOCP/MJ-SP/ANALISTA/2020) Os riscos de segurança relacionados a danos, 
furto ou espionagem podem variar consideravelmente de um local para outro, e convém que 
sejam levados em conta para determinar os controles mais apropriados. Considerando o 
exposto, assinale a alternativa que apresenta uma ação relacionada à Política de “mesa limpa”.
a) Convém que seja evitado o uso não autorizado de máquinas fotográficas digitais.
b) Convém recuperar chaves perdidas ou corrompidas
c) Convém manter política de realizar cópias de segurança.
O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
22 de 130www.grancursosonline.com.br
NOÇÕES DE TECNOLOGIA DA INFORMAÇÃO
Segurança da Informação
Fabrício Melo
d) Convém efetuar a conexão de serviços de rede ou aplicações automaticamente.
e) Convém que os documentos que contêm informação sensível nunca sejam impressos.
“Convém que seja evitado o uso não autorizado de fotocopiadoras e de outra tecnologia 
de reprodução (por exemplo, scanners, máquinas fotográficas digitais);” Fonte: ABNT NBR 
ISO/IEC 27002:2013.
Letra a.
FIREWALL
O firewall pode ser um filtro, sistema, dispositivo, hardware/software, mecanismo que 
filtra a entrada e saída de pacotes (TCP/UDP) na rede e tentativas de invasão. Age através 
de regras específicas que irão filtrar o tráfego da rede para impedir o que não é autorizado 
a entrar e/ou sair de uma rede interna para a rede externa (internet).
Não confundir firewall com antivírus. São ferramentas distintas que operam juntas em um 
sistema de defesa, mas não fazem a mesma coisa.
O antivírus age com um banco de dados de malwares. Ao analisar o sistema e um deles 
for detectado, o antivírus tentará eliminá-lo.
O firewall não tem capacidade de detectar um malware, porém, se o examinador 
afirmar que um firewall é capaz de impedir a entrada de malwares em uma rede, pode 
marcar CERTO. O Firewall não sabe que o pacote que está entrando e/ou saindo contém o 
malware, certo? Porém, se o pacote que contém o malware cair nas regras do firewall, não 
entrará na rede local.
Geralmente, o firewall pessoal (firewall do Windows) é um software; e um firewall de rede 
(usado em redes de empresas) é um hardware, incluindo em seu sistema proxy e criptografia 
como auxiliares.
O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
23 de 130www.grancursosonline.com.br
NOÇÕES DE TECNOLOGIA DA INFORMAÇÃO
Segurança da Informação
Fabrício Melo
A grande “pegadinha” das bancas é confundir FIREWALL X ANTIVÍRUS X PROXY (mesmo 
sendo conhecido como um Firewall de aplicação). Veremos à frente.
Quando bem configurado, o firewall pessoal pode ser capaz de:
• registrar as tentativas de acesso aos serviços habilitados no seu computador;
• bloquear o envio para terceiros de informações coletadas por invasores e códigos 
maliciosos;
• bloquear as tentativas de invasão e de exploração de vulnerabilidades do seu 
computador e possibilitar a identificação das origens destas tentativas;
• analisar continuamente o conteúdo das conexões, filtrando diversos tipos de códigos 
maliciosos e barrando a comunicação entre um invasor e um código malicioso já 
instalado;
• evitar que um código malicioso já instalado seja capaz de se propagar, impedindo que 
vulnerabilidades em outros computadores sejam exploradas.
Alguns sistemas operacionais possuem firewall pessoal integrado. Caso o sistema instalado 
em seu computador não possua um ou você não queira usá-lo, há diversas opções disponíveis 
(pagas ou gratuitas). Você também pode optar por um antimalware com funcionalidades 
de firewall pessoal integradas.
As configurações do firewall dependem de cada fabricante. De forma geral, a mais 
indicada é:
• liberar todo tráfego de saída do seu computador (ou seja, permitir que seu computador 
acesse outros computadores e serviços) e;
• bloquear todo tráfego de entrada ao seu computador (ou seja, impedir que seu 
computador seja acessado por outros computadores e serviços) e liberar as conexões 
conforme necessário, de acordo com os programas usados.
O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
24 de 130www.grancursosonline.com.br
NOÇÕES DE TECNOLOGIA DA INFORMAÇÃO
Segurança da Informação
Fabrício Melo
Além do Firewall pessoal, temos:
Filtro de Pacotes
Todo o conteúdo que trafega na Internet carrega um conjunto de informações que 
servem para indicar o caminho que o pacote deve seguir, como um endereço.
O filtro de pacotes utiliza essas informações para definir quando um pacote deve seguir 
adiante ou não.
Esse tipo de firewall baseia suas decisões no endereço IP (Internet Protocol) do pacote 
e no número de porta.
O endereço IP, referente ao protocolo IP da camada de rede do Modelo OSI, indica 
exatamente a qual rede e a qual equipamento se destina aquele pacote, enquanto o número 
de porta, referente a Camada de aplicação do modelo OSI, indica a qual aplicação está 
vinculada a informação. Dessa forma, o firewall é capaz de saber, sem precisar examinar 
o conteúdo, para qual equipamento aquele pacote se destina e a qual aplicação ele está 
vinculado (por exemplo, determina se é um e-mail, uma página web ou uma chamada 
do Skype).
As duas configurações mais extremas para esse tipo de firewall são:
• Aceitar tudo que não está explicitamente negado;
• Negar tudo que não está explicitamente autorizado.
Filtro de Pacotes com Controle de Estado (Stateful)
Esse tipo de firewall monitora a conexão entre dois dispositivos do início ao fim e, além 
das regras baseadas no endereço IP previamente configuradas, leva em conta a origem da 
interação entre eles. Ou seja, uma vez que um dispositivo interno inicia a conexão solicitando 
alguma informação de um servidor externo, o firewall rastreia a conexão e aguarda por uma 
resposta daquele servidor específico destinado ao dispositivo que iniciou a conexão e a 
uma porta específica. Uma vez que essas informações estão corretas, a entrada do pacote 
é autorizada, mesmo que não haja uma regra específica autorizando aquele endereço IP.
O Firewall contém ferramentas auxiliares, são elas:
• IDS – Intrusion Detection System: um IDS é uma ferramenta utilizada para monitorar 
o tráfego da rede, detectar e alertar sobre ataques e tentativas de acessos indevidos. 
Na grande maioria das vezes, não bloqueia uma ação, mas verifica se esta é ou não 
uma ameaça para um segmento de rede. A vantagem de se utilizar um IDS é que ele 
não interfere no fluxo de tráfego da rede.
• IPS – Intrusion Prevention System: como complemento do IDS, temos o IPS, que 
tem a capacidade de identificar uma intrusão, analisar a relevância do evento/risco 
e bloquear determinados eventos, fortalecendo, assim, a tradicional técnica de 
detecção de intrusos.
O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00,vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
25 de 130www.grancursosonline.com.br
NOÇÕES DE TECNOLOGIA DA INFORMAÇÃO
Segurança da Informação
Fabrício Melo
IPS é uma ferramenta com inteligência na maneira de trabalhar, pois reúne componentes 
que fazem com que ele se torne um repositório de logs e técnicas avançadas de alertas 
e respostas, voltadas exclusivamente a tornar o ambiente computacional cada vez mais 
seguro sem perder o grau de disponibilidade que uma rede deve ter.
O IPS usa a capacidade de detecção do IDS junto com a capacidade de bloqueio de 
um firewall, notificando e bloqueando de forma eficaz qualquer tipo de ação suspeita ou 
indevida. É uma das ferramentas de segurança de maior abrangência, uma vez que seu 
poder de alertar e bloquear age em diversos pontos de uma arquitetura de rede.
021. 021. (IDIB/PREF. PLANALTINA-GO/TÉCNICO/2018) Acerca dos conhecimentos de Firewall, 
marque a alternativa incorreta acerca de seu funcionamento.
a) Controla o tráfego de uma rede.
b) Previne o acesso não autorizado a uma rede de computadores.
c) Determina qual conteúdo é autorizado a circular em uma rede.
d) Substitui a utilização de antivírus.
O Firewall não substitui o antivírus e nem o antivírus substitui o firewall.
Letra d.
022. 022. (QUADRIX/CFO-DF/TÉCNICO/2017) Julgue o item a seguir.
A instalação de um firewall na rede de uma organização é suficiente para proteger a empresa 
de ameaças.
Seria ótimo se o firewall fosse a solução de todos os nossos problemas, concorda? 
Infelizmente, não é! Precisamos ter toda a infraestrutura citada na aula para proteger o 
sistema computacional de uma empresa.
Errado.
023. 023. (CEBRASPE/BRB/ADVOGADO/2010) Julgue o item a seguir.
O firewall, mecanismo que auxilia na proteção de um computador, permite ou impede que 
pacotes IP, TCP e UDP possam entrar ou sair da interface de rede do computador.
O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
26 de 130www.grancursosonline.com.br
NOÇÕES DE TECNOLOGIA DA INFORMAÇÃO
Segurança da Informação
Fabrício Melo
Resumo do conceito de firewall.
Certo.
024. 024. (CEBRASPE/PM-AL/SOLDADO/2017) Julgue o item a seguir.
Firewalls são dispositivos com capacidade ilimitada de verificação da integridade dos dados 
em uma rede, pois conseguem controlar todos os dados que nela trafegam.
Capacidade ILIMITADA? Se fosse ilimitada, todos os nossos problemas de segurança iriam 
acabar aqui.
Errado.
025. 025. (CEBRASPE/ANVISA/TÉCNICO/2016) Julgue o item a seguir.
A configuração mais indicada de um firewall pessoal consiste no bloqueio de todo tráfego 
de saída do computador e na liberação de conexões pontuais e específicas do tráfego de 
entrada, à medida que isso se fizer necessário.
O conceito está invertido. De acordo com a cartilha de segurança da informação do CERT.
BR, a configuração mais indicada de um firewall pessoal é: bloqueio de todo o tráfego de 
entrada e liberação de todo o tráfego de saída.
Errado.
026. 026. (IADES/SEAP-DF/ARQUIVOLOGIA/2014) Firewall é um software ou um hardware que 
verifica informações provenientes da internet, ou de uma rede, e as bloqueia ou permite 
que elas cheguem ao seu computador, dependendo das configurações do firewall.
Disponível em: <http://windows.microsoft.com/pt-br/windows/whatis-firewall#1TC=windows-7>, 
com adaptações.
A partir da informação apresentada, do conceito e das funcionalidades do firewall, assinale 
a alternativa correta.
a) A correta configuração de um firewall dispensa outros dispositivos de segurança.
b) Um firewall apresenta as mesmas funcionalidades de um antivírus.
c) Um firewall pode ajudar a impedir que hackers tenham acesso ao computador.
d) Um firewall evita que o computador onde esteja instalado receba softwares mal-
intencionados, mas não pode impedir que esse tipo de arquivo seja enviado desse computador.
e) Um firewall que faz parte de um sistema operacional já vem pré-configurado e não se 
permite alterar essa configuração inicial.
O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
27 de 130www.grancursosonline.com.br
NOÇÕES DE TECNOLOGIA DA INFORMAÇÃO
Segurança da Informação
Fabrício Melo
a) Errada. Nenhum dispositivo de segurança dispensa qualquer outro. A segurança depende 
da união de todos eles.
b) Errada. O firewall não apresenta as mesmas funcionalidades de um antivírus, são 
ferramentas distintas.
c) Certa. Não só hackers, mas qualquer acesso que não esteja autorizado a entrar ou sair 
da rede.
d) Errada. O firewall PODE impedir e, se PODE impedir a entrada, PODE impedir a saída.
e) Errada. Pode alterar a configuração a qualquer momento. No Windows, alteramos pelo 
Painel de Controle.
Letra c.
027. 027. (CEBRASPE/TJDFT/ANALISTA/2015) Julgue o item.
Para que se utilize o firewall do Windows, mecanismo que auxilia contra acessos não 
autorizados, a instalação de um equipamento de hardware na máquina é desnecessária.
Mesmo existindo na forma de hardware, não quer dizer que um firewall não funcione somente 
por meio de software. O firewall do Windows é na forma de software e não precisamos 
instalar nada para fazê-lo funcionar.
Certo.
028. 028. (CEBRASPE/IBRAM/ADMINISTRADOR/2009) Julgue o item a seguir.
O firewall é indicado para filtrar o acesso a determinado computador ou rede de computadores, 
por meio da atribuição de regras específicas que podem negar o acesso de usuários não 
autorizados, assim como de vírus e outras ameaças, ao ambiente computacional.
A grande pegadinha do CEBRASPE foi envolver o termo “vírus” no item. Muitos não pensam 
duas vezes e já marcam ERRADO, mas cuidado, o examinador afirmou que o firewall PODE 
negar a entrada de vírus. Realmente PODE, desde que o pacote contaminado caia nas 
políticas de filtragem da ferramenta.
Certo.
O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
28 de 130www.grancursosonline.com.br
NOÇÕES DE TECNOLOGIA DA INFORMAÇÃO
Segurança da Informação
Fabrício Melo
029. 029. (CEBRASPE/TCU/TÉCNICO/2015) Julgue o item a seguir.
O firewall é capaz de proteger o computador tanto de ataques de crackers quanto de 
ataques de vírus.
Observe a palavra mágica: CAPAZ. O termo CAPAZ significa que PODE proteger, e não 
necessariamente irá proteger.
Professor, qual a diferença do Hacker para o Cracker? A resposta estará em alguns tópicos 
à frente.
Certo.
ANTIVÍRUS
Procuram detectar e, então, anular ou remover os códigos maliciosos de um computador. 
Não detecta somente vírus, mas também outros tipos de malwares (worm, trojan, 
spyware etc.).
O antivírus pode agir das seguintes formas: assinatura/banco de dados (uma lista 
de assinaturas é usada na procura dessas pragas conhecidas); heurística (baseia-se nas 
estruturas, instruções e características que o código malicioso possui) e comportamento 
(baseia-se no comportamento apresentado pelo código malicioso quando executado). 
Esses são alguns dos métodos mais comuns.
Além das funções básicas (detectar, anular e remover códigos maliciosos), também 
podem apresentar outras funcionalidades integradas, como a possibilidade de colocar o 
arquivo em quarentena (área que o antivírususa para guardar arquivos contaminados que 
ainda não foram limpos), geração de discos de emergência e firewall pessoal.
Principais antivírus:
030. 030. (CEBRASPE/DPF/ESCRIVÃO/2018) Julgue o item a seguir.
O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
29 de 130www.grancursosonline.com.br
NOÇÕES DE TECNOLOGIA DA INFORMAÇÃO
Segurança da Informação
Fabrício Melo
Os aplicativos de antivírus com escaneamento de segunda geração utilizam técnicas 
heurísticas para identificar códigos maliciosos.
Os antivírus antigos apenas detectavam malwares em cima de suas bases de dados. Os 
atuais possuem a técnica de heurística: analisa e compara o comportamento do arquivo. Se 
o arquivo apresentar um comportamento anormal em relação à sua função, essa execução 
será bloqueada e avisada ao usuário.
Certo.
As gerações dos Antivírus:
• Primeira Geração: escaneadores simples;
• Segunda Geração: escaneadores heurísticos;
• Terceira Geração: armadilhas de atividade;
• Quarta Geração: proteção total.
031. 031. (CEBRASPE/SEPLAGEDUC/MONITOR/2009) Julgue o item.
Os programas de antivírus são utilizados para detectar e eliminar vírus de computador que 
já tenham uma vacina equivalente, assim como manter em quarentena vírus que ainda não 
possuem vacina.
Exatamente! Se conhece a praga, remove. Se não tem a vacina, quarentena.
Certo.
032. 032. (CEBRASPE/STF/TÉCNICO/2013) Julgue o item.
Antivírus modernos e atualizados podem detectar worms se sua assinatura for conhecida.
Qualquer praga virtual pode ser conhecida por um antivírus moderno.
Certo.
033. 033. (QUADRIX/CRQ-18/TÉCNICO/2016) Os antivírus e antispywares são categorias de 
softwares utilizados para proteger o computador de malwares ou “pragas virtuais”. Sobre 
eles é correto afirmar que:
O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
30 de 130www.grancursosonline.com.br
NOÇÕES DE TECNOLOGIA DA INFORMAÇÃO
Segurança da Informação
Fabrício Melo
a) são capazes de detectar todos os malwares existentes.
b) ou se utiliza um antivírus ou um antispyware, mas nunca os dois no mesmo computador.
c) antivírus não detecta nem remove vírus existentes no conteúdo de pen drives.
d) antivírus não detecta vírus advindos da internet.
e) não é aconselhável usar vários antivírus diferentes em um mesmo computador.
O Antivírus é desenvolvido com as assinaturas dos vírus. Se instalarmos dois antivírus no 
mesmo computador, um irá ler a base de dados do outro e acusar a presença de pragas 
vírus, gerando um conflito entre os dois.
Letra e.
034. 034. (IADES/ELETROBRAS/MÉDICO/2015) Os arquivos de computador podem ser contaminados 
por vírus. A forma mais comum de contaminação ocorre por meio de mensagens eletrônicas 
(e-mail). Para evitar contaminações e realizar a recuperação de arquivos contaminados, 
são utilizados os programas antivírus. A esse respeito, é correto afirmar que a área de 
armazenamento em que os programas antivírus costumam guardar os arquivos contaminados 
de um computador denomina-se
a) lixeira.
b) disco rígido.
c) pasta spam.
d) área de trabalho.
e) quarentena.
Por mais que pareça estranho, “quarentena” é a resposta certa.
Letra e.
035. 035. (CEBRASPE/TRE-RJ/TÉCNICO/2012) Julgue o item a seguir.
Recomenda-se utilizar antivírus para evitar phishing-scam, um tipo de golpe no qual se 
tenta obter dados pessoais e financeiros de um usuário.
O CEBRASPE tem o costume de associar a eficácia dos antivírus aos golpes praticados na 
internet (estudaremos mais à frente). O golpe de phishing-scam consiste no golpista enviar 
O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
31 de 130www.grancursosonline.com.br
NOÇÕES DE TECNOLOGIA DA INFORMAÇÃO
Segurança da Informação
Fabrício Melo
e-mails, sites, mensagens falsas às vítimas para coletar dados pessoais delas. Portanto, o 
antivírus não seria muito eficaz, pois depende mais da vontade do usuário em passar dados 
pessoais do que de uma varredura do antivírus.
Errado.
PROXY
Conhecido como Firewall de aplicação, é o intermediário entre o usuário e o nosso 
servidor web. Desempenha a função de conexão do computador (local) à rede externa/
pública (internet). Como os endereços locais do computador (IPs privados) não são válidos 
para acessos à internet, cabe ao proxy enviar a solicitação do endereço local para o servidor, 
traduzindo e repassando-a para o nosso computador.
Todos os pedidos feitos ao servidor (o site que nós queremos acessar) passarão pelo 
seu proxy. Ao chegar ao site, o IP (Internet Protocol/Protocolo de Internet) do proxy fica 
registrado no cache do seu destino, e não o nosso. É pelo IP que os hackers/crackers 
conseguem invadir computadores, portanto deve-se manter o nível de segurança do seu 
gateway (porta de ligação com o proxy) seguro.
O proxy ajuda na aceleração do acesso à internet, na necessidade de uma boa velocidade 
na hora de navegar. O registro da página acessada fica guardado na sua cache. Com este 
arquivo já gravado, o próximo acesso fica muito mais rápido, uma vez que não será necessário 
refazer o primeiro pedido ao destino.
Outra função interessante do proxy é o bloqueio do acesso a serviços que utilizamos na 
internet. Caso, na sua faculdade ou trabalho, você não consiga acessar o Facebook, Instagram 
ou WhatsApp, provavelmente é o servidor proxy que está impedindo o acesso. O servidor 
proxy reverso pode fazer o mesmo, mas das conexões externas para os dispositivos internos.
036. 036. (CEBRASPE/DPF/ESCRIVÃO/2018) Julgue o item a seguir.
O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
32 de 130www.grancursosonline.com.br
NOÇÕES DE TECNOLOGIA DA INFORMAÇÃO
Segurança da Informação
Fabrício Melo
Um firewall implementa uma política de controle de comportamento para determinar que 
tipos de serviços de Internet podem ser acessados na rede.
Tipos de serviços que podem ser acessados = proxy.
Errado.
037. 037. (CESGRANRIO/PETROBRAS/ANALISTA/2010) Em uma empresa, um dos maiores 
problemas de segurança consiste no acesso a páginas web não autorizadas, por parte 
dos funcionários. Uma diretriz de segurança foi estabelecida pelos gestores da empresa 
para controlar esses acessos indevidos à Internet. Para que esse controle fosse efetivo e a 
performance de acesso à Internet fosse otimizada, a equipe técnica resolveu instalar, na 
rede interna da empresa, um servidor de
a) antivírus.
b) domínio.
c) network.
d) firewall.
e) proxy.
Uma das funções do proxy é justamente o controle do acesso a páginas não autorizadas.
Letra e.
038. 038. (FGV/AL-BA/ANALISTA/2014) O paradigma cliente‐servidor é o mais utilizado hoje 
em sistemas distribuídos. Nessa arquitetura, o cliente estabelece conexão como servidor 
e envia solicitações a ele. O servidor, por sua vez, executa as solicitações de seus clientes 
e envia as respostas. Considerando os diversos tipos de servidores, aquele que atua como 
um cache, armazenando páginas da web recém visitadas e aumentando a velocidade de 
carregamento dessas páginas ao serem chamadas novamente,é o servidor
a) DNS.
b) proxy.
c) web.
d) de arquivos.
e) de banco de dados.
Outra função tradicional de um proxy.
Letra b.
O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
33 de 130www.grancursosonline.com.br
NOÇÕES DE TECNOLOGIA DA INFORMAÇÃO
Segurança da Informação
Fabrício Melo
039. 039. (MPE-RS/MPE-RS/TÉCNICO/2012) O tipo de proxy que normalmente fica na entrada 
de uma rede de perímetro (lado público) e, sob o ponto de vista do cliente de um serviço 
qualquer, atua como se fosse o próprio servidor responsável pelo provimento deste serviço 
é denominado
a) reverso.
b) aberto.
c) encaminhador.
d) intermediário.
e) transparente.
Lado público (externo) é o proxy reverso.
Letra e.
BACKUP (BECAPE)
Ação de copiar arquivos, como medida de segurança, permitindo sua recuperação em 
caso de perda.
I – Além de dados, o backup pode ser de equipamentos (backup físico/redundância de 
equipamentos).
II – Backup deve ser feito sempre em local separado do original. Não existe uma distância 
definida, desde que seja segura.
III – Backup pode ser feito em CD, DVD, Blu-Ray, fitas magnéticas (DAT), HD externo, servidores 
etc. O meio considerado mais seguro é o armazenamento em nuvem (cloud storage).
Os Backups podem ser classificados em:
O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
34 de 130www.grancursosonline.com.br
NOÇÕES DE TECNOLOGIA DA INFORMAÇÃO
Segurança da Informação
Fabrício Melo
• Formas: fria/cold e quente/hot.
− Fria/Cold: tem que tirar o sistema do ar (de produção, ou off-line) para realizar as 
cópias sem que haja intervenção de algum usuário acessando o sistema.
− Quente/Hot: sem tirar o sistema do ar, você realiza as cópias de segurança.
• Tipos
− Normal (Total, Global);
− Incremental;
− Diferencial (Cumulativo);
− Diário;
− Cópia (Emergencial).
040. 040. (CEBRASPE/EMAP/ANALISTA) Julgue o item.
O uso do becape em nuvem para sistemas de armazenamento de imagens tem como vantagem 
a salvaguarda das cópias em ambientes fisicamente seguros e geograficamente distantes.
Os dados nas mãos de empresas como Google, Microsoft e Apple, por exemplo, terão um 
sistema de armazenamento seguro, concorda?
Certo.
041. 041. (CEBRASPE/MDIC/TÉCNICO) Julgue o item a seguir.
A definição e a execução de procedimentos regulares e periódicos de becape dos dados 
de um computador garante a disponibilidade desses dados após eventuais ocorrências de 
desastres relacionados a defeitos tanto de hardware quanto de software.
Lembra da dica de causa e consequência? Becape de dados não irá garantir recuperação 
de defeitos tanto de Hardware como de software, garantirá a parte lógica (software). Para 
garantir a parte física seria necessária uma redundância de equipamentos (becape físico).
Errado.
CRIPTOGRAFIA
A palavra criptografia tem origem grega e significa a arte de escrever em códigos de 
maneira a esconder a informação na forma de um texto incompreensível. A informação 
O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
35 de 130www.grancursosonline.com.br
NOÇÕES DE TECNOLOGIA DA INFORMAÇÃO
Segurança da Informação
Fabrício Melo
codificada é chamada de texto cifrado. O processo de codificação ou ocultação é chamado 
de cifragem, e o processo inverso, ou seja, obter a informação original a partir do texto 
cifrado, chama-se decifragem. A principal garantia da criptografia é a confidencialidade.
Existem dois tipos de criptografia: a simétrica e a assimétrica.
O que seria algo simétrico, aluno(a)?O que seria algo simétrico, aluno(a)?
Algo paralelo, padrão, único, singular... (1 chave).
E o que seria algo assimétrico?E o que seria algo assimétrico?
Algo que varia, altera, plural (2 chaves). Se você se recordou, ficará fácil de entender os 
dois métodos criptográficos.
Criptografia simétrica: nesse sistema de criptografia, tanto quem envia quanto quem 
recebe a mensagem deve possuir a mesma chave criptográfica (privada), a qual é usada 
para criptografar e descriptografar a informação. Desse modo, nenhuma pessoa que não 
tenha acesso a essa chave poderá ler a mensagem. Isso faz com que a chave seja mantida 
em segredo (privada), conhecida apenas pelo emissor e pelo receptor da mensagem.
I – Chave significa uma senha ou código que é gerado por meio de um programa conhecido 
como servidor PGP.
II – Considere a criptografia como sendo uma ferramenta de conferência.
O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
36 de 130www.grancursosonline.com.br
NOÇÕES DE TECNOLOGIA DA INFORMAÇÃO
Segurança da Informação
Fabrício Melo
Apesar desse método ser bastante eficiente em relação ao tempo de processamento, 
ou seja, o tempo gasto para codificar e decodificar mensagens, apresenta como principal 
desvantagem a necessidade de utilização de um meio seguro para que a chave possa ser 
compartilhada entre pessoas ou entidades que desejem trocar informações criptografadas. 
É utilizado normalmente em redes de computadores, por ser mais simples a administração.
Observe:
Exemplos de algoritmos simétricos:
• AES;
• Twofish;
• Serpent;
• Blowfish;
• CAST5;
• RC4;
• 3DES (baseado no DES);
• IDEA.
Criptografia assimétrica: esse tipo de criptografia usa um par de chaves diferentes 
(pública e privada) em que, não sendo possível obter uma chave a partir da outra, as duas 
estão relacionadas matematicamente, conseguindo uma decifrar o que foi cifrado pela 
outra. Com essa característica, é possível que uma das chaves seja publicada: a chave pública.
O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
37 de 130www.grancursosonline.com.br
NOÇÕES DE TECNOLOGIA DA INFORMAÇÃO
Segurança da Informação
Fabrício Melo
Essa forma de criptografia tem como vantagens o fato de a chave privada se manter 
protegida e ser só do conhecimento do seu titular. Como desvantagem, há o fato de o 
seu desempenho ser mais lento em consequência de utilizar um processo algorítmico 
mais complexo.
I – Chave significa uma senha ou código que é gerado por meio de um programa chamado 
de servidor PGP.
II – Considere a criptografia como sendo uma ferramenta de conferência. No envio de uma 
encomenda, a responsabilidade de conferi-la é sempre do destinatário, correto?
Chave pública: é pública no que se refere ao grau de acesso, ou seja, todos conhecem 
ou têm acesso a essa chave.
Até mesmo o invasor a conhece?Até mesmo o invasor a conhece?
Sim! Pois ela é utilizada apenas para criptografar mensagens .Sim! Pois ela é utilizada apenas para criptografar mensagens .
Chave privada: é privada no que se refere ao grau de acesso, ou seja, apenas o seu dono 
a conhece e não a divulga. Ela é utilizada para descriptografar as mensagens geradas pela 
sua chave pública correspondente.
As mensagens criptografadas com a chave pública só podem serdescriptografadas com 
a chave privada correspondente.
Observe:
O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
38 de 130www.grancursosonline.com.br
NOÇÕES DE TECNOLOGIA DA INFORMAÇÃO
Segurança da Informação
Fabrício Melo
Principais algoritmos assimétricos que utilizam chaves públicas:
• Diffie-Hellman;
• RSA;
• Merkle-Hellman;
• SSL.
042. 042. (FCC/TCE-PI/AUDITOR/2005) Sendo E (o Emissor) que envia uma mensagem sigilosa 
e criptografada, com chaves pública e privada, para R (o Receptor), pode-se dizer que E 
codifica com a chave:
a) Pública de R e R decodifica com a chave pública de E.
b) Pública de R e R decodifica com a chave pública de R.
c) Pública de E e R decodifica com a chave pública de R.
d) Privada de E e R decodifica com a chave pública de R.
e) Privada de E e R decodifica com a chave pública de E.
Qual a dica fatal para você, aluno(a), não errar?
Lembra que as chaves SEMPRE serão do destinatário? Então procure a alternativa que cita 
apenas o destinatário como proprietário das chaves. Observe que as letras “a”, “c”, “d” e 
O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
39 de 130www.grancursosonline.com.br
NOÇÕES DE TECNOLOGIA DA INFORMAÇÃO
Segurança da Informação
Fabrício Melo
“e” citam o remetente como proprietário das chaves. Apenas a letra “b” citou como dono 
o destinatário.
Letra b.
043. 043. (FCC/TRT-SP/ANALISTA/2006) Uma mensagem enviada de X para Y é criptografada e 
descriptografada, respectivamente, pelas chaves
a) pública de Y (que X conhece) e privada de Y.
b) pública de Y (que X conhece) e privada de X.
c) privada de X (que Y conhece) e privada de Y.
d) privada de X (que Y conhece) e pública de X.
e) privada de Y (que X conhece) e pública de X.
O que mudou em relação à questão anterior? Apenas os nomes dos personagens: a primeira era 
E e R e agora X e Y. Como sabemos que a chave é sempre do destinatário, marcamos a letra “a”.
Letra a.
044. 044. (INST. AOCP/PREF. NOVO HAMBURGO-RS/TÉCNICO/2020) Entre os tipos de criptografia, 
aquele que utiliza uma mesma chave para ocultar a informação assim como para que possa 
ser exibida recebe o nome de
a) Simplex.
b) Equalizada.
c) Singular.
d) Simétrica.
e) Assimétrica.
1 CHAVE = SIMÉTRICA  CHAVE PRIVADA;
2 CHAVES = ASSIMÉTRICA  CHAVES PÚBLICA E PRIVADA.
Letra d.
045. 045. (CEBRASPE/ABIN/ANALISTA/2010) Julgue o item a seguir.
A mensagem criptografada com a chave pública do destinatário garante que somente quem 
gerou a informação criptografada e o destinatário sejam capazes de abri-la.
Se usou a chave pública para cifrar, significa que está utilizando a criptografia assimétrica. 
Na criptografia assimétrica, só é possível decifrar a mensagem com a chave privada; e a 
O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
40 de 130www.grancursosonline.com.br
NOÇÕES DE TECNOLOGIA DA INFORMAÇÃO
Segurança da Informação
Fabrício Melo
chave privada SOMENTE o DESTINATÁRIO possui. Por isso, após cifrado com a pública, só é 
aberto com a chave privada do destinatário, o remetente não consegue mais abrir.
Errado.
046. 046. (CEBRASPE/PC-BA/DELEGADO/2013) Julgue o item a seguir.
O gerenciamento das chaves criptográficas tem grande influência sobre o uso adequado 
de procedimentos de criptografia, como ocorre no caso da criptografia assimétrica, que 
depende da preservação do estrito sigilo das chaves criptográficas privadas.
Basta interpretar o texto. Chave privada é a chave que não pode “vazar” em hipótese alguma. 
Diferentemente da pública, a que outras pessoas podem ter acesso. Então, a chave privada 
tem que ser guardada com estrito sigilo.
Certo.
ASSINATURA DIGITAL
A assinatura digital consiste na criação de um código por meio de uma chave privada, 
de modo que a pessoa ou entidade que receba uma mensagem que contenha esse código 
possa verificar se o remetente é mesmo quem diz ser e identificar qualquer mensagem 
que possa ter sido modificada. Destacam-se os princípios da autenticidade, da integridade 
e do não repúdio.
Assinatura digital gera validade civil e jurídica no envio de documentos eletronicamente. Ela 
possui a mesma validade que um documento assinado e cuja firma tenha sido reconhecida 
em cartório.
Observe:
O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
41 de 130www.grancursosonline.com.br
NOÇÕES DE TECNOLOGIA DA INFORMAÇÃO
Segurança da Informação
Fabrício Melo
Existe um processo na criação da assinatura digital composto por:
• Autoridade de Registro (A.R) – é responsável pela interface entre o usuário e a 
Autoridade Certificadora – AC. Vinculada a uma AC, tem por objetivo o recebimento, a 
validação, o encaminhamento de solicitações de emissão ou revogação de certificados 
digitais e identificação, de forma presencial, de seus solicitantes. É responsabilidade 
da AR manter registros de suas operações. Pode estar fisicamente localizada em uma 
AC ou ser uma entidade de registro remota.
• Autoridade Certificadora (A.C) – é uma entidade, pública ou privada, subordinada à 
hierarquia da ICP-Brasil, responsável por emitir, distribuir, renovar, revogar e gerenciar 
certificados digitais. Tem a responsabilidade de verificar se o titular do certificado 
possui a chave privada que corresponde à chave pública que faz parte do certificado. 
Cria e assina digitalmente o certificado do assinante, em que o certificado emitido 
pela AC representa a declaração da identidade do titular, que possui um par único 
de chaves (pública/privada).
• Autoridade Certificadora Raiz (A.C.R) – é a primeira autoridade da cadeia de 
certificação. Executa as Políticas de Certificados e as normas técnicas e operacionais 
aprovadas pelo Comitê Gestor da ICP-Brasil. Portanto, compete à AC-Raiz emitir, 
expedir, distribuir, revogar e gerenciar os certificados das autoridades certificadoras 
de nível imediatamente subsequente ao seu.
O conteúdo deste livro eletrônico é licenciado para Nome do Concurseiro(a) - 000.000.000-00, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
42 de 130www.grancursosonline.com.br
NOÇÕES DE TECNOLOGIA DA INFORMAÇÃO
Segurança da Informação
Fabrício Melo
Observe:
O remetente assina com a sua chave privada e envia o documento. O destinatário recebe 
e confere com a chave pública do remetente.
Durante o processo, é usada na assinatura digital a famosa função Hash. Ela funcionará, 
em meios digitais, como uma impressão digital, gerando um número de tamanho fixo, 
chamado de valor hash ou digest. Para que seja gerado, o algoritmo da função de hash 
analisa um conteúdo e, a partir dele, cria um registro verificador. Consequentemente, se a 
informação for alterada por terceiros, será possível rastrear a alteração facilmente.
 Obs.: Um documento assinado digitalmente pode ser perfeitamente lido, não gerando 
a CONFIDENCIALIDADE.
047. 047. (CEBRASPE/TJDFT/ANALISTA/2015) Julgue o item