CRIPTOGRAFIA HASH E HACKING APRENDIZAGEM

Prévia do material em texto

WBA0470_v1.0
CRIPTOGRAFIA HASH E HACKING
APRENDIZAGEM EM FOCO
2
APRESENTAÇÃO DA DISCIPLINA
Autoria: Marcelo Ferreira Zochio
Leitura crítica: Priscilla Viana Cunha
Olá, aluno!
Desde que começou a era da informação, um requisito muito 
importante para a sobrevivência das empresas no mercado tem 
merecido destaque: a segurança da informação. Ela é composta 
por três pilares, confidencialidade, integridade e disponibilidade, 
sendo os dois primeiros abordados nesta disciplina.
Ela tem como objetivo não só ensinar o funcionamento dos 
algoritmos de hashes, mas fornecer os fundamentos da 
criptografia como um todo. Assim, você aprenderá técnicas 
clássicas de criptografia, criptografia simétrica e assimétrica, 
funções de hash e como são feitas a autenticação e as assinaturas 
digitais usando criptografia.
Também compreenderá o funcionamento das principais 
técnicas de criptografia e será capaz de diferenciá-las a partir de 
suas características e sugerir modelos adequados à aplicação. 
Entenderá sobre a operação de algoritmos de autenticação de 
mensagens e de usuários e saberá como a assinatura digital 
contribui para a autenticidade de documentos e mensagens 
digitais. 
Além disso, veremos como realizar um teste de segurança de 
sistemas de modo profissional e com metodologia, que dará a 
essa atividade a credibilidade e a segurança necessárias para você 
e seu cliente. Entre as atividades propostas na disciplina, você 
terá o desafio de aplicar os conhecimentos adquiridos em uma 
3
situação prática, na qual você proporá uma solução baseada em 
uma situação muito semelhante à que encontrará no mercado de 
trabalho.
Espero que você absorva o conhecimento que será disponibilizado 
para sua formação e que tenha sucesso em seu aprendizado.
Bons estudos!
INTRODUÇÃO
Olá, aluno (a)! A Aprendizagem em Foco visa destacar, de maneira 
direta e assertiva, os principais conceitos inerentes à temática 
abordada na disciplina. Além disso, também pretende provocar 
reflexões que estimulem a aplicação da teoria na prática 
profissional. Vem conosco!
TEMA 1
Segurança de sistemas e seus 
aspectos 
______________________________________________________________
Autoria: Marcelo Ferreira Zochio
Leitura crítica: Priscilla Viana Cunha
5
DIRETO AO PONTO
A criptografia evoluiu ao longo da história. Com a necessidade 
de serem elaborados algoritmos criptográficos novos e mais 
complexos, uma vez que as cifras criadas foram sendo quebradas, 
houve grande progresso em sua construção. Os principais 
acontecimentos dessa evolução são descritos na figura a seguir, 
que traz uma linha do tempo.
Figura 1 – Linha do tempo dos principais marcos da 
criptografia
Fonte: elaborada pelo autor.
A primeira cifra com registro histórico de seu funcionamento 
é a cifra de César, citada por Suetonio, em sua obra De Vita 
Caesarum, Divus Iulius. É uma cifra de substituição que coloca a 
terceira letra do alfabeto contada a partir da posição da letra 
atual no lugar dela; para decifrar, faz-se o caminho inverso. No 
decorrer do tempo outros deslocamentos foram usados, com 
quatro ou mais letras.
6
A cifra de Vigenère foi criada pelo diplomata francês Blaise 
de Vigenère no século XVII. Ela usa um mecanismo de dois 
alfabetos, que introduziu o conceito de chave para cifrar e 
decifrar mensagens. Essa cifra permaneceu inquebrável até 
a metade do século XIX, quando Babbage e Kasiski, quase 
simultaneamente, desenvolveram um método de criptoanálise 
para analisar mensagens cifradas com essa técnica, que 
funciona bem em mensagens longas.
Em 1918, a cifra de Vernam foi a primeira a introduzir o 
conceito de one-time pad, que torna a cifra inquebrável. 
Isso acontece por meio de uma chave do tamanho exato da 
mensagem que nunca será usada novamente. Apesar de sua 
eficiência, tem um custo muito alto para implantação, pois a 
geração de chaves descartáveis é complexa. 
Na Segunda Guerra Mundial, os alemães usaram a Enigma, uma 
máquina de criptografia eletromecânica que cifrava mensagens 
com um algoritmo bem complexo, que foi quebrado com o 
auxílio de uma máquina criada por Alan Turing e sua equipe de 
Bletchey Park, na Inglaterra, a famosa Bomba de Turing. 
Entre os anos de 1976 e 1977, foram criados os algoritmos DES 
(Data Encryption Standart), de criptografia simétrica, que foram 
o padrão adotado pelos Estados Unidos até 1998, e o RSA (cujo 
nome é uma homenagem aos seus criadores, Rivest, Shamir e 
Adleman), também de criptografia assimétrica, usado até hoje.
Os algoritmos de criptografia modernos se baseiam na 
dificuldade de solução do problema da fatoração inteira e 
do logaritmo discreto. Só que, em 1994, o matemático norte-
americano Peter Shor desenvolveu um algoritmo capaz de 
resolver esses problemas em tempo muito menor que os 
7
métodos tradicionais. No entanto, para que sua aplicação 
fosse eficiente, seria necessário um computador quântico, cuja 
tecnologia em escala comercial só foi possível em 2019.
Em 1999, com a quebra do DES, foi adotado o AES (Advanced 
Encryption Standart) como algoritmo de criptografia padrão dos 
Estados Unidos. 
Em 2019 a IBM lançou seu primeiro computador quântico 
em escala comercial, o IBM Q System One. Ele possui poder 
de processamento muito maior que os tradicionais, podendo 
quebrar as cifras atuais de criptografia em um curto espaço de 
tempo. Para fazer frente ao ataque de computadores quânticos, 
estão sendo desenvolvidas cifras pós-quânticas, um campo de 
pesquisa promissor.
Referências bibliográficas
STALLINGS, W. Criptografia e Segurança de Redes. 6. ed. São Paulo: 
Prentice Hall Brasil, 2015. 
PARA SABER MAIS
Algoritmos de criptografia simétrica possuem modos de operação. 
Mas você sabia que nem todos eles são seguros? O modo de cifra 
CBC possui uma falha de segurança que permite quebrar a cifra 
criptográfica na qual ele é usado. Essa falha é explorada pelo 
ataque de nome Padding Oracle. 
Vejamos seu funcionamento a seguir:
8
Figura 2 – Ilustração do ataque Padding Oracle
Fonte: elaborada pelo autor.
Devido à sua construção, o modo CBC permite testar os bytes 
decifrados dos blocos “perguntando ao oráculo” se eles estão 
corretos ou não. Imagine o seguinte cenário: um servidor possui 
um cookie criptografado com o algoritmo AES usando modo 
CBC. Com um programa apropriado (um deles é o PadBuster), 
são feitos testes para saber a combinação correta dos pads de 
preenchimento do último bloco e, consequentemente, o restante 
dos bytes. Isso se dá por meio de força bruta, e, assim, ao receber 
o código 200 do servidor, o programa já sabe que esse palpite está 
correto e passa para o seguinte.
A Figura 2 ilustra esse processo: considerando que o último 
byte do último bloco seja 0x01, saberemos o último byte da 
string intermediária, porque, ao fazermos a operação lógica “ou 
exclusivo” com o último byte do bloco anterior, teremos como 
resultado 0x01. Isso é feito em todos os bytes de todos os blocos, 
do último byte do último bloco até o primeiro byte do primeiro 
bloco. Dessa forma, conseguimos saber o resultado do texto 
cifrado sem precisar da chave!
9
Referências bibliográficas
VAUDENAY, S. Security Flaws Induced by CBC Padding. Amsterdam: 
Springer-Verlag, 2002.
TEORIA EM PRÁTICA
Você é um analista de redes de uma empresa que necessita 
de um programa que tenha uma criptografia muito forte para 
transmitir informações sigilosas muito importantes via rede. Seu 
chefe solicitou que você desenvolvesse um pequeno aplicativo 
que criptografasse as informações transmitidas usando uma 
criptografia feita apenas com uma operação lógica XOR (OU-
EXCLUSIVO), mas que tivesse implementado o conceito de one-
time pad em seu algoritmo, ou seja, que gerasse chaves aleatórias 
descartáveis do tamanho da mensagem a ser transmitida. Use a 
linguagem de que você tem domínio e mãos à obra!
Para conhecer a resolução comentada proposta pelo 
professor, acesse a videoaula deste Teoria em Prática no 
ambiente de aprendizagem.
LEITURA FUNDAMENTALIndicação 1
O quadro na página indicada mostra um resumo dos principais 
modos de cifra apresentados nesse tópico e suas aplicações 
típicas. 
Indicações de leitura
10
Lorem ipsum dolor sit amet
Autoria: Nome do autor da disciplina
Leitura crítica: Nome do autor da disciplina
Para realizar a leitura, acesse a plataforma Biblioteca Virtual da 
Kroton e busque pelo título da obra no parceiro Biblioteca Virtual 
3.0 Pearson.
STALLINGS, William. Criptografia e segurança de redes: 
princípios e práticas. 6. ed. São Paulo: Pearson Education do Brasil, 
2015. p. 141.
Indicação 2
O Subtópico 2.3 do livro de Terada fala sobre a “segurança 
perfeita” de um algoritmo criptográfico e aborda 
matematicamente o conceito de one-time pad. 
Para realizar a leitura, acesse a plataforma Biblioteca Virtual da 
Kroton e busque pelo título da obra no parceiro Minha Biblioteca.
TERADA, Routo. Segurança de dados – criptografia em redes de 
computador. 2. ed. São Paulo: Edgar Blüchen, 2011. p. 33-39. 
QUIZ
Prezado aluno, as questões do Quiz têm como propósito a 
verificação de leitura dos itens Direto ao Ponto, Para Saber 
Mais, Teoria em Prática e Leitura Fundamental, presentes 
neste Aprendizagem em Foco.
Para as avaliações virtuais e presenciais, as questões serão 
elaboradas a partir de todos os itens do Aprendizagem em 
Foco e dos slides usados para a gravação das videoaulas, 
além de questões de interpretação com embasamento no 
cabeçalho da questão.
11
1. O one-time pad traz a segurança perfeita para um sistema 
criptográfico. Porém, seu conceito não é novo. Em 1918, uma 
cifra criptográfica já trazia esse conceito em sua arquitetura, a 
qual chama-se: 
a. Cifra de Vermont.
b. Cifra de Vernam.
c. Cifra de Venom.
d. Cifra de Venton.
e. Cifra de Shermann. 
2. Algoritmos criptográficos assimétricos possuem modos 
de operação. Cada um deles tem suas características, 
que permitem cifrar as mensagens de modo diferente. 
Porém, um deles apresenta uma falha de segurança, que 
pode ser explorada pelo ataque Padding Oracle. Estamos 
falando do modo: 
a. OFB.
b. ECB.
c. CTR.
d. CFB.
e. CBC. 
GABARITO
Questão 1 - Resposta B
Resolução: A cifra de Vernam foi criada em 1918 por 
Gilbert Vernam e usa uma chave do mesmo tamanho que 
a mensagem a ser cifrada, que é combinada com essa 
12
mensagem por meio da operação lógica “ou-exclusivo”, não 
devendo ser usada novamente. Logo, ela aplica corretamente 
o conceito de one-time pad. 
Questão 2 - Resposta E
Resolução: O modo CBC apresenta uma falha na sua 
construção que permite que o atacante obtenha o texto 
original sem precisar da chave, por meio do ataque Padding 
Oracle. 
TEMA 2
O lado humano da segurança da 
informação 
______________________________________________________________
Autoria: Marcelo Ferreira Zochio
Leitura crítica: Priscilla Viana Cunha
14
DIRETO AO PONTO
Engenharia social é a manipulação de pessoas para que executem 
ações em favor do cracker ou forneçam informações confidenciais 
sobre si ou sobre uma corporação. Um ataque de engenharia 
social requer planejamento e tempo para ser executado, pois o 
atacante deve ganhar a confiança do alvo; do contrário não terá 
sucesso.
O quadro a seguir mostra os principais tipos de ataque usando 
engenharia social:
Quadro 1 – Tipos de ataques de engenharia social
Tipo de ataque Modus operandi
Baiting
O atacante deixa ao alcance do usuário um dispositivo 
externo infectado com programas maliciosos. A 
intenção é despertar a curiosidade do alvo para que ele 
insira o dispositivo em um computador para verificar 
seu conteúdo. Com o arquivo malicioso instalado, 
o atacante tem acesso ao comutador infectado.
Phising
Apesar de existir há anos, ainda é muito comum 
devido ao alto nível de eficiência. Seu intuito é produzir 
comunicações falsas, que podem ser entendidas como 
legítimas pelo alvo por simularem confiabilidade, 
e conseguir informações por meio delas.
Pretexting
O atacante fabrica falsas situações para convencer 
o alvo a fornecer acesso a informações, como
assumir uma identidade para fingir que é 
alguém de confiança da vítima. Ex.: parente 
ligando pedindo dinheiro ou informações.
Quid pro quo
Ocorre quando um atacante solicita informações de 
algo ou alguém em troca de algo. Quid pro quo significa 
“isso por aquilo. Ex.: você está com lentidão para 
acessar o site de sua empresa e “alguém da T.I.” solicita 
seu log-in e senha para acessar seu perfil e “verificar” 
a causa de demora na conexão; ou, sob instruções do 
atacante, o alvo desabilita programas de segurança 
e instala programas maliciosos por achar que está 
colaborando para que seu problema seja resolvido.
15
Spear phising
É semelhante ao pretexting, mas a diferença está em se 
passar por alguém com autoridade, sendo geralmente 
voltado para empresas. Ex.: o atacante se passa por 
diretor da empresa e liga para um funcionário a fim 
de convencê-lo a fornecer a senha de administrador 
do sistema para que ele possa realizar a instalação 
de um software com urgência em seu computador. 
Tailgating
Ocorre quando o atacante consegue acesso 
a áreas não autorizadas seguindo indivíduos 
autorizados. Ex.: “Segure a porta para mim, 
porque esqueci o cartão de acesso!”
Fonte: elaborado pelo autor.
Referências bibliográficas
BARRETO, Jeanine dos Santos et al. Fundamentos de segurança da 
informação. Porto Alegre: SAGAH, 2018.
MACHADO, Felipe Nery Rodrigues. Segurança da Informação Princípios e 
Controle de Ameaças. São Paulo: Érica, 2014. 
PARA SABER MAIS
Você considera sites governamentais seguros? Segundo pesquisa 
da DigiCert (RIBEIRO, 2019), empresa especializada em certificação 
digital, nove mil domínios do governo não utilizam HTTPS (Hyper 
Text Transfer Protocol Security) em todas as esferas. Em outras 
palavras, há 47% dos domínios .gov do Brasil sem certificado 
digital TLS ou SSL, ou seja, dados de usuários desses sites estão 
sem nenhuma proteção. 
Eles estão vulneráveis, por exemplo, a ataques man-in-the-middle, 
ou em português homem-no-meio, no qual o atacante se coloca 
entre a conexão do usuário e o site governamental, podendo 
obter os dados de conexão, como senhas, log in e informações 
confidenciais trafegadas pela rede entre o usuário e o servidor.
16
A divulgação de informações de modo indiscriminado também 
é prática comum em sites governamentais. Assim, não é raro 
encontrar dados completos de uma pessoa, como nome, CPF, RG, 
data de nascimento, filiação e até endereço, em alguns casos. No 
entanto, de acordo com a Lei Geral sobre Privacidade de Dados 
(LGPD) (BRASIL, 2018), isso não pode mais acontecer. Os dados 
devem ser protegidos por aqueles que o detêm, sob pena de 
sanções administrativas.
Mesmo com a chegada da LGPD (BRASIL, 2018), há arestas a serem 
polidas, e uma delas é a divulgação de dados de funcionários 
públicos. Muitos que defendem a transparência nos atos 
governamentais querem um detalhamento profundo da prestação 
de contas pelo governo; alguns sites chegam a divulgar nome, CPF 
(parcialmente protegido), salário e cargo de funcionários públicos. 
Eles alegam que uma vez que a pessoa é um funcionário público, 
sua vida, seus ganhos e seus dados também o são. 
No entanto, há outra corrente que defende que, antes de ser 
funcionário público, ela é um cidadão que deve ter a privacidade 
de seus dados pessoais garantida por lei. Logo, alguns dados, 
como salário e documentos, não devem ser divulgados, pois são 
de foro íntimo, mesmo que oriundos do erário, bastando apenas 
o governo informar quanto está gastando de salário com certo 
número de funcionários.
Referências bibliográficas
BRASIL. Lei n. 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de 
Dados Pessoais (LGPD). Brasília: Presidência da República, [2018]. Disponível 
em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.
htm. Acesso em: 18 nov. 2020.
RIBEIRO, F. Apenas 53% dos sites governamentais são seguros. 2019. 
Disponível em: https://br.financas.yahoo.com/noticias/apenas-53-dos-sites-governamentais-151000369.html. Acesso em: 18 nov. 2020.
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm
https://br.financas.yahoo.com/noticias/apenas-53-dos-sites-governamentais-151000369.html
https://br.financas.yahoo.com/noticias/apenas-53-dos-sites-governamentais-151000369.html
17
TEORIA EM PRÁTICA
Hoje as pessoas têm mais acesso à informação que há algum 
tempo, e isso graças à internet. A liberdade de poder interagir 
com pessoas distantes e com os canais de comunicação tornou-se 
coisa comum. Assim, como ela permite que as pessoas expressem 
sua opinião sobre os mais variados assuntos, algumas o fazem de 
modo exacerbado, passando dos limites legais, inclusive. Sob o 
pretexto de terem “liberdade de expressão”, tecem comentários 
mordazes e chegam a ser agressivas no modo on-line, quando 
pessoalmente não fariam tal coisa.
Visto que os crimes cometidos na internet são previstos 
legalmente, faça uma pesquisa e descreva esses crimes, bem 
como as leis que os tipificam e preveem sua punição.
Para conhecer a resolução comentada proposta pelo 
professor, acesse a videoaula deste Teoria em Prática no 
ambiente de aprendizagem.
LEITURA FUNDAMENTAL
Indicação 1
Este livro fala sobre a segurança da informação de forma genérica, 
mas aborda alguns tópicos interessantes, como o de Segurança 
em Dispositivos Móveis.
Para realizar a leitura, acesse a plataforma Biblioteca Virtual da 
Kroton e busque pelo título da obra no parceiro Minha Biblioteca.
Indicações de leitura
18
MACHADO, Felipe Nery Rodrigues. Segurança da Informação 
Princípios e Controle de Ameaças. São Paulo: Érica, 2014. p. 121-
129.
Indicação 2
Este livro aborda em um de seus tópicos o fator humano da 
segurança da informação, nas páginas 193 a 195.
Para realizar a leitura, acesse a plataforma Biblioteca Virtual da 
Kroton e busque pelo título da obra no parceiro Minha Biblioteca.
BARRETO, Jeanine dos Santos et al. Fundamentos de segurança 
da informação. Porto Alegre: SAGAH, 2018. p. 193-195. 
QUIZ
Prezado aluno, as questões do Quiz têm como propósito a 
verificação de leitura dos itens Direto ao Ponto, Para Saber 
Mais, Teoria em Prática e Leitura Fundamental, presentes 
neste Aprendizagem em Foco.
Para as avaliações virtuais e presenciais, as questões serão 
elaboradas a partir de todos os itens do Aprendizagem em 
Foco e dos slides usados para a gravação das videoaulas, 
além de questões de interpretação com embasamento no 
cabeçalho da questão.
1. Um dos ataques que podem ser executados por crackers 
contra uma organização é a engenharia social, a qual é 
caracterizada por: 
19
a. Explorar falhas de caráter das pessoas.
b. Construir relacionamentos visando subir de cargo na 
empresa.
c. Explorar o conhecimento das pessoas com a intenção de 
crescer na empresa.
d. Explorar o altruísmo e a boa vontade das pessoas.
e. Explorar o egoísmo e a má vontade das pessoas. 
2. Ataques de engenharia social possuem várias 
modalidades, e uma delas é o quid pro quo, que se 
caracteriza, por exemplo:
a. Por extorquir o alvo com ameaças a fim de obter 
informações. 
b. Por fornecer uma aparente solução para um problema, que 
na verdade abrirá as portas para um futuro ataque.
c. Por tentar convencer o alvo de que a informação do 
atacante é confiável.
d. Por despertar a curiosidade do alvo.
e. Por fabricar situações falsas com o intuito de ganhar a 
confiança do alvo. 
GABARITO
Questão 1 - Resposta D
Resolução: A engenharia social procura ganhar a confiança 
das pessoas com a intenção de extrair delas informações 
úteis para posteriores ataques. Essa confiança é conquistada 
explorando seu altruísmo e sua boa vontade. 
20
Questão 2 - Resposta B
Resolução: Quid pro quo significa “isto por aquilo”. Nesse 
ataque, o cracker oferece uma suposta vantagem ao alvo, que 
pensa que está sendo ajudado, mas na verdade está tendo 
seus dados e suas informações roubados.
TEMA 3
Pentest 
______________________________________________________________
Autoria: Marcelo Ferreira Zochio
Leitura crítica: Priscilla Viana Cunha
22
DIRETO AO PONTO
O pentest é uma atividade de teste de segurança de sites, aplicativos e 
sistemas. Ele serve para avaliar o quão seguro é um sistema. 
O profissional responsável por executá-lo é o hacker ético, 
ou pentester. Ele atua dentro da lei e da ética profissional e é 
especializado em testes de segurança de sistemas de informação. 
Como acaba sabendo de falhas de segurança durante os testes, 
deve ter consciência de sua responsabilidade e, assim, relatar tudo 
o que encontrar de errado em questão de segurança e a solução 
do problema em um relatório, que deve ser entregue somente 
para o responsável pela contratação do pentest. Um bom relatório 
deve conter capa, sumário, estrutura do sistema testado, relato 
das vulnerabilidades encontradas, provas de conceito dessas 
vulnerabilidades, conclusão e apêndice, no qual são colocadas as 
orientações para a equipe técnica do cliente resolver os problemas 
encontrados.
Muitos se especializam em determinados aplicativos, como sistemas 
WEB, celulares, sistemas operacionais, aplicativos para uso pessoal 
e vários outros. Esse tipo de atividade, para ser feita dentro da 
lei, precisa de autorização do responsável legal da aplicação a ser 
testada, pois a lei brasileira tipifica como delito informático a invasão 
de dispositivo eletrônico sem a autorização tácita ou por escrito do 
dono do aplicativo. De preferência, obtenha uma autorização por 
escrito, pois isso fica documentado.
Há ferramentas especializadas para a execução de um pentest, e 
cada uma realiza um tipo de ataque ou tipos de testes voltados a 
determinadas aplicações. Dessa forma, há aquelas especializadas 
em testes de segurança de aplicativos WEB e outras voltadas para 
dispositivos celulares; sistemas operacionais; ataques especializados 
23
(SQL Injection, Cross Site Forgery Request (CSFR), Cross Site Scripting 
(XSS)); sequestro de sessões de internet; quebras de senhas via 
força bruta ou ataque de dicionário; quebras de hashes via ataque 
de dicionário; entre muitas outras. Para realizar esse trabalho com 
sucesso, são necessárias uma metodologia e uma estratégia de 
abordagem.
A figura a seguir mostra de forma sucinta as fases de um pentest:
Figura 1 – Infográfico mostrando as fases de um pentest
Fonte: elaborada pelo autor.
24
Referências bibliográficas
FELDERER, M. et al. Security Testing: A Survey, in Advances in Computers. 
Cambridge: Elsevier, 2015. v. 101.
ORIYANO, S. P.; BLOCKMON, R. Certified Ethical Hacker version 9: Study 
Guide. New Jersey: Sybex, 2016. 
PARA SABER MAIS
Você sabia que pode ganhar dinheiro participando de programas Bug 
Bounty, que são uma espécie de desafio proposto por uma empresa 
que paga uma certa quantia para os hackers que conseguirem 
encontrar problemas, em especial de segurança, em seus aplicativos 
e produtos?
A grande vantagem para essas empresas é poderem colocar à 
disposição da comunidade seus produtos para serem testados ao 
máximo, talvez de um jeito diferente do que foi testado em fábrica. 
Quanto aos valores pagos, eles variam de acordo com o tipo de 
falha encontrada e seu impacto no sistema, ou em outras palavras, o 
quanto ela pode comprometer esse sistema.
Por exemplo:
• O argentino Santiago López já ganhou mais de um milhão 
de dólares em programas de Bug Bounty por ter descoberto 
mais de 1670 vulnerabilidades em serviços de empresas como 
Verizon, Twitter e WordPress.
• Em julho de 2020, a Sony ofereceu 50 mil dólares para quem 
encontrasse falhas de segurança no Playstation 4.
Como você pode notar, é uma área ótima para quem quer uma 
renda extra. Porém, exige dedicação e conhecimento, pois explorar 
falhas leva tempo e requer paciência e metodologia para fazer os 
testes.
25
Referências bibliográficas
FELDERER, M. et al. Security Testing: A Survey, in Advances in Computers. 
Cambridge: Elsevier,2015. v. 101.
ORIYANO, S. P.; BLOCKMON, R. Certified Ethical Hacker version 9: Study 
Guide. New Jersey: Sybex, 2016.
TEORIA EM PRÁTICA
Vamos colocar em prática os conhecimentos teóricos? Esta 
atividade fará com que você coloque em prática um ataque de SQL 
Injection contra um banco de site instalado no framework DVWA. 
Instale o DVWA em uma máquina virtual Linux e acesse-o, 
seguindo o manual de instruções disponível. Tente executar 
o ataque SQL Injection contra o site que ele disponibiliza 
internamente para você e obtenha os usuários e as senhas do 
sistema que estão no banco de dados desse site. 
Pesquise como realizar ataques SQL Injection e tente aplicar os 
fundamentos desse ataque no aplicativo do DVWA.
Para conhecer a resolução comentada proposta pelo 
professor, acesse a videoaula deste Teoria em Prática no 
ambiente de aprendizagem.
LEITURA FUNDAMENTAL
Indicação 1
Este livro fala sobre a segurança da informação com foco no 
usuário. Há um capítulo dedicado à engenharia social, ataque que 
Indicações de leitura
26
pode ser usado em um pentest e que costuma ser ignorado por 
administradores de segurança, os quais se preocupam mais com 
a segurança cibernética do que com o treinamento de pessoas 
contra a engenharia social. 
Para realizar a leitura, acesse a plataforma Biblioteca Virtual da 
Kroton e busque pelo título da obra no parceiro Minha Biblioteca.
FONTES, Edison. Segurança da informação: o usuário faz a 
diferença. São Paulo: Saraiva, 2010. p. 119-123.
Indicação 2
Este livro fala sobre a segurança da informação com foco no 
usuário. No trecho indicado, há uma situação fictícia de aplicação 
de engenharia social, que pode acontecer em uma empresa, 
mostrando o motivo de o usuário ser o elo mais fraco da 
segurança da informação. 
Para realizar a leitura, acesse a plataforma Biblioteca Virtual da 
Kroton e busque pelo título da obra no parceiro Minha Biblioteca.
FONTES, Edison. Segurança da informação: o usuário faz a 
diferença. São Paulo: Saraiva, 2010. p. 161-162. 
QUIZ
Prezado aluno, as questões do Quiz têm como propósito a 
verificação de leitura dos itens Direto ao Ponto, Para Saber 
Mais, Teoria em Prática e Leitura Fundamental, presentes 
neste Aprendizagem em Foco.
27
Para as avaliações virtuais e presenciais, as questões serão 
elaboradas a partir de todos os itens do Aprendizagem em 
Foco e dos slides usados para a gravação das videoaulas, 
além de questões de interpretação com embasamento no 
cabeçalho da questão.
1. A segurança da informação é formada por uma série de 
componentes, como se fossem os elos de uma corrente, 
todos dependentes uns dos outros. Porém, há um elo que é 
reconhecidamente o mais fraco dessa cadeia. Estamos falando 
do fator: 
a. Humano.
b. Tecnológico.
c. Financeiro.
d. Estrutural.
e. Metodológico. 
2. Um pentest é composto por fases em sua execução. A fase 
em que são coletados dados de forma não intrusiva com 
o objetivo de conhecer o alvo é a fase de:
a. Scanning.
b. Footprint.
c. Spying.
d. Coleta via Nmap.
e. Recovering. 
28
GABARITO
Questão 1 - Resposta A
Resolução: O fator humano é o elo mais fraco dessa 
corrente, pois as pessoas são falhas e têm livre arbítrio, 
diferentemente de computadores, que agem conforme sua 
programação. 
Questão 2 - Resposta B
Resolução: A fase de footprint, a primeira delas, visa obter 
dados e informações sobre o alvo de forma não intrusiva, a 
fim de ter uma visão geral sobre ele. 
TEMA 4
As novas formas de lidar com a 
informação 
______________________________________________________________
Autoria: Marcelo Ferreira Zochio
Leitura crítica: Priscilla Viana Cunha
30
DIRETO AO PONTO
O modo como a humanidade trabalha tem se modificado ao 
longo do tempo, e é inegável que a tecnologia da informação 
trouxe grandes contribuições para essas mudanças. Devido à 
grande competitividade, o cenário atual exige que as empresas 
inovem e não somente se preocupem com produção e 
qualidade. 
Essa inovação atingiu também o funcionário de T.I., que agora, 
além de ter conhecimentos técnicos, deve dominar a área 
de negócios, pois precisa demonstrar como agregar valor à 
empresa. Esse perfil é reforçado por outra característica do 
atual cenário: os serviços técnicos estão sendo transferidos 
para a computação em nuvem, que em sua grande maioria são 
terceirizados, o que deixa os funcionários de T.I. voltados mais 
para a parte estratégica do setor.
O trabalho remoto, antes um privilégio de poucos, tornou-se 
corriqueiro após a pandemia do COVID-19. Essa modalidade 
de trabalho era criticada pelas empresas, porque achavam 
improdutiva por não conseguirem monitorar o trabalho do 
funcionário. No entanto, foram obrigadas a adotá-la para 
não sofrerem prejuízos maiores. Para a surpresa delas, a 
produtividade se manteve ou até aumentou e a qualidade dos 
serviços continuou a mesma, além de economizarem verbas 
com aluguel e impostos territoriais urbanos de seus imóveis, os 
quais foram devolvidos ou vendidos em muitos casos. Algumas 
até passaram a adotar o trabalho remoto como padrão.
31
Outra tendência que tem sido observada são os funcionários 
trabalharem com seus próprios equipamentos. Essa filosofia 
denomina-se BYOD (Bring Your Own Device, ou “traga seu 
próprio dispositivo”). Quando trabalham remotamente, as 
empresas estimulam seus funcionários a usarem seus próprios 
equipamentos na execução de seus trabalhos. Desse jeito, elas 
economizam com a compra ou o aluguel desses equipamentos, 
mas isso é um pesadelo para a equipe de segurança da 
informação.
Não muito tempo atrás, essa prática era impensável, pois 
o risco de o dispositivo trazer malwares para a empresa 
era considerável, visto que não poderia ter as mesmas 
configurações dos dispositivos corporativos em questão de 
segurança. Porém, nesse caso, o fator financeiro falou mais 
alto. Então, para evitar riscos, sua implantação deve ter 
diretrizes jurídicas e técnicas bem claras; afinal, o dispositivo 
do funcionário, mesmo que esteja a serviço da empresa, não 
pertence a ela, e, assim, qualquer exigência ou mudança na sua 
configuração não depende exclusivamente dela.
Em relação à privacidade de dados, uma boa parte dos países 
possui legislação específica sobre sua manutenção, e o Brasil 
se inclui entre eles. A lei brasileira que trata do assunto 
é conhecida por Lei Geral de Proteção de Dados (LGPD), 
promulgada em 2018 (BRASIL, 2018).
A figura a seguir mostra os principais casos de aplicação dessa lei:
32
Figura 1 – Casos de aplicação da LGPD
Fonte: elaborada pelo autor.
Como você pode ver, a LGPD (BRASIL, 2018) é aplicável quando 
envolver operações de coleta e tratamento de dados em território 
nacional, sendo esses dados de brasileiros ou de pessoas 
localizadas no Brasil, mas não necessariamente brasileiras.
Referências bibliográficas
BRASIL. Lei n. 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de 
Dados Pessoais (LGPD). Brasília: Presidência da República, [2018]. Disponível 
em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.
htm. Acesso em: 18 nov. 2020. 
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm
33
PARA SABER MAIS
A Lei Geral de Proteção de Dados (LGPD) (BRASIL, 2018) especifica 
uma classe especial de dados: os pessoais sensíveis. Mas o que 
eles englobam? A própria LGPD os discrimina (BRASIL, 2018):
• Dado pessoal sobre origem racial ou étnica.
• Convicção religiosa.
• Opinião política.
• Filiação a sindicato.
• Filiação a uma organização de caráter religioso, filosófico ou 
político.
• Dado referente à saúde ou à vida sexual.
• Dado genético ou biométrico, quando vinculado a uma 
pessoa natural.
Eles são considerados sensíveis, porque podem prejudicar seu 
titular (proprietário), que pode sofrer preconceito, ser preterido 
em processos seletivos ou até sofrer exclusão social por parte de 
grupos ou pessoas separatistas radicais.
Exemplos:• Se uma empresa se interessar em contratar determinado 
funcionário, mas descobre que ele é judeu e que não 
trabalha do pôr do sol de sexta até o pôr do sol de sábado, 
pode não querer mais contratá-lo por achar que, se precisar 
dele nesses horários, ele não estará disponível. 
34
• Uma empresa que tem um posicionamento político de 
“esquerda” pode não querer contratar determinado 
candidato se souber que seu posicionamento é de “direita”. 
Quando estiverem envolvidos dados de menores de idade, 
deve-se obter o consentimento de um dos pais ou responsáveis 
e coletar apenas dados estritamente necessários para a 
atividade em questão, e não repassá-los a terceiros. Sem esse 
consentimento, só é possível coletar esses dados para urgências 
relativas a contatar os pais ou responsáveis ou para a proteção da 
criança e do adolescente.
Referências bibliográficas
BRASIL. Lei n. 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de 
Dados Pessoais (LGPD). Brasília: Presidência da República, [2018]. Disponível 
em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.
htm. Acesso em: 18 nov. 2020.
TEORIA EM PRÁTICA
Você é gerente de projetos de uma empresa de desenvolvimento 
de aplicativos WEB que está incumbida de desenvolver um site de 
compras on-line no qual serão usados cookies. Você está ciente 
das novas exigências da LGPD e sabe que seu projeto precisa 
estar de acordo com as novas exigências legais. Você acha que 
será necessário avisar ao usuário sobre o uso de cookies no site a 
fim de verificar se ele permite o uso desse procedimento em sua 
navegação? Se sim, como isso poderia ser feito?
Para conhecer a resolução comentada proposta pelo 
professor, acesse a videoaula deste Teoria em Prática no 
ambiente de aprendizagem.
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm
35
LEITURA FUNDAMENTAL
Indicação 1
Este livro trata da implantação da LGPD nas empresas. 
Para realizar a leitura, acesse a plataforma Biblioteca Virtual da 
Kroton e busque pelo título da obra no parceiro Minha Biblioteca.
GARCIA, L. R. et al. Lei Geral de Proteção de Dados Pessoais: 
Guia de implantação. São Paulo: Blücher, 2020. p. 45-85.
Indicação 2
Este livro faz uma análise crítica sobre a LGPD, e as páginas 
indicadas falam sobre as sanções, caso haja violação de dados. 
Para realizar a leitura, acesse a plataforma Biblioteca Virtual da 
Kroton e busque pelo título da obra no parceiro Minha Biblioteca.
LIMA, Cíntia Rosa Pereira de. Comentários à Lei Geral de 
Proteção de Dados. São Paulo: Almedina, 2020. p. 297-327. 
QUIZ
Prezado aluno, as questões do Quiz têm como propósito a 
verificação de leitura dos itens Direto ao Ponto, Para Saber 
Mais, Teoria em Prática e Leitura Fundamental, presentes 
neste Aprendizagem em Foco.
Indicações de leitura
36
Para as avaliações virtuais e presenciais, as questões serão 
elaboradas a partir de todos os itens do Aprendizagem em Foco 
e dos slides usados para a gravação das videoaulas, além de 
questões de interpretação com embasamento no cabeçalho 
da questão.
1. O modo como a humanidade exerce seus trabalhos vem 
se modificando com o passar do tempo, e com maior 
intensidade nos últimos tempos, principalmente na 
tecnologia da informação. Como uma das características do 
novo cenário da tecnologia da informação, podemos citar: 
a. O trabalho remoto vem sendo adotado com parcimônia.
b. O trabalho remoto vem sendo adotado com grande 
intensidade.
c. O trabalho remoto foi desencorajado por não ter a mesma 
produtividade que o presencial.
d. O trabalho remoto foi desencorajado por não ter a mesma 
qualidade que o presencial.
e. As equipes de T.I. das empresas estão deixando de ser 
terceirizadas na sua parte operacional. 
2. A Lei Geral de Proteção de Dados classifica alguns dados 
como sendo “sensíveis”. Isso se dá porque:
a. Esses dados podem ser acessados mais facilmente.
b. Esses dados podem ser destruídos mais facilmente.
c. Esses dados podem prejudicar seu titular, se ocorrer uma 
violação de dados no operador desses dados.
d. São dados que não podem ser acessados em hipótese 
nenhuma.
e. São dados que devem ser acessados por meio de serviços 
especiais. 
37
GABARITO
Questão 1 - Resposta B
Resolução: O trabalho remoto mostrou seu valor durante 
a epidemia da COVID-19, quando provou ser um método de 
trabalho produtivo e gerador de qualidade. 
Questão 2 - Resposta C
Resolução: Eles são considerados sensíveis porque podem 
prejudicar seu titular (proprietário), que pode sofrer 
preconceito, ser preterido em processos seletivos ou até 
sofrer exclusão social por parte de grupos ou pessoas 
separatistas radicais. 
BONS ESTUDOS!
	Apresentação da disciplina
	Introdução
	TEMA 1
	Direto ao ponto
	Para saber mais
	Teoria em prática
	Leitura fundamental
	Quiz
	Gabarito
	TEMA 2
	Direto ao ponto
	TEMA 3
	Direto ao ponto
	TEMA 4
	Direto ao ponto
	Botão TEMA 5: 
	TEMA 2: 
	Botão 158: 
	Botão TEMA4: 
	Inicio 2: 
	Botão TEMA 6: 
	TEMA 3: 
	Botão 159: 
	Botão TEMA5: 
	Inicio 3: 
	Botão TEMA 7: 
	TEMA 4: 
	Botão 160: 
	Botão TEMA6: 
	Inicio 4: 
	Botão TEMA 8: 
	TEMA 5: 
	Botão 161: 
	Botão TEMA7: 
	Inicio 5: