Aula 11 _ Segurança da Informação _ Prof César Vianna

Prévia do material em texto

Ceisc Concursos 
Informática 
 
 
1 
 
 
 
 
 
 
 
 
 
Ceisc Concursos 
Informática 
 
 
2 
 
 
Olá! Boas-Vindas! 
 
Aqui é o Professor César Vianna e te convido a vir comigo 
estudar Informática com Papel e Caneta. Sabe o que é isso? 
É a única informática que existe para concursos públicos. No 
dia da prova, não tem computador. Você leva uma caneta, o 
fiscal te entrega um papel e você marca a resposta. Então, é 
assim que precisamos compreender a informática. 
Vamos juntos? 
 
Com carinho, 
Equipe Ceisc. ♥ 
 
 
 
 
 
 
 
 
 
 
 
 
Ceisc Concursos 
Informática 
 
 
3 
 
 
 Informática 
Prof. César Vianna 
 
 
 
Sumário 
 
 
1. Segurança da Informação .............................................................................................................................................. 4 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Olá, aluno(a). Este material de apoio foi organizado com base nas aulas do curso preparatório para 
concursos e deve ser utilizado como um roteiro para as respectivas aulas. Além disso, recomenda-
se que o aluno assista as aulas acompanhado da legislação pertinente. 
 
Bons estudos, Equipe Ceisc. 
Atualizado em maio de 2023. 
Ceisc Concursos 
Informática 
 
 
4 
 
1. Segurança da Informação 
Prof. César Vianna 
@professorcesarvianna 
Conceitos Gerais 
Segurança da Informação está relacionada com proteção de um conjunto de dados, no 
sentido de preservar o valor que possuem para um indivíduo ou uma organização. 
Segurança da informação objetiva a preservação da confidencialidade, integridade 
e disponibilidade da informação; adicionalmente, outras propriedades, tais como 
autenticidade, responsabilidade, não repúdio e confiabilidade, podem também estar 
envolvidas [ABNT NBR ISO/IEC 17799:2005] 
É importante frisar que a informação não se restringe a dados eletrônicos e sim a todo 
ativo de informação, todo dado que possui valor para uma instituição. 
Exemplos de ativos de informação incluem arquivos digitais, arquivos em papel, ligações 
telefônicas, conversas faladas, etc. 
Uma regra interessante é que quanto mais investimos em segurança, menor será o de-
sempenho de nossos processos. 
Como assim? 
Pense. É mais fácil entrar em uma loja de roupas ou em um banco? 
Na loja, certo? Porque o banco tem um monte de instrumentos de segurança que a loja 
não tem. Então, essa é uma relação custo/benefício. 
 
 Atenção! 
 
 
Quanto maior a segurança, menos o desempenho. 
 
 
Por esse motivo, as organizações estabelecem seus mecanismos de proteção de acordo 
com o seu negócio e objetivos. Por exemplo, uma empresa deve proteger a confidencialidade de 
uma peça publicitária até o lançamento do produto, após o que menos será almejado é o sigilo 
da propaganda. 
Ceisc Concursos 
Informática 
 
 
5 
 
Essas decisões estratégicas formam a Política de Segurança. Um conjunto de diretrizes 
destinadas a definir a proteção adequada dos ativos produzidos pelos Sistemas de Informação 
das entidades. 
 
Princípios Básicos da Segurança da Informação 
Os princípios básicos formam a regra do CID. 
Confidencialidade - propriedade que determina que a informação só esteja disponível 
a entidades autorizadas. 
 
Para garantir a confidencialidade, só pode ver quem pode. 
 
Integridade - propriedade que garante que a informação só seja alterada por entes au-
torizados durante todo o seu ciclo de vida (nascimento, manutenção e destruição). Segundo a 
norma NBR ISSO/IEC 27001, integridade é a salvaguarda da exatidão e completeza dos ativos. 
 
Para garantir a integridade, só pode alterar quem pode. 
 
Disponibilidade - propriedade que garante que a informação esteja disponível e funcio-
nal para entidades autorizadas, quando for necessário. 
 
Para garantir a disponibilidade, tenho que ter acesso quando preciso. 
 
A integridade é o princípio básico da segurança da informação que enuncia a garantia 
de que uma informação não foi alterada durante seu percurso, da origem ao destino. 
(CESGRANRIO) Escriturário - Caixa/2008. 
 
Princípios Adicionais ou Derivados 
Autenticidade: é a propriedade que possibilita um usuário identificar a identidade de um 
sistema e permite que o sistema identifique de forma correta e unívoca a identidade do usuário. 
Ao acessar um site bancário, por exemplo, podemos verificar a identidade do sistema através do 
certificado digital do site. E a nossa identidade é verificada através das informações de agência, 
Ceisc Concursos 
Informática 
 
 
6 
 
número de conta e senha. Contudo, outras técnicas para autenticidade podem ser utilizadas 
como certificados digitais para o usuário e biometria. 
 
Para garantir a autenticidade, eu sei quem tu és, tu sabes quem eu sou. 
 
Não Repúdio - não repúdio ou irretratabilidade - o emissor não pode negar a autentici-
dade da informação. 
 
Ao garantir o não repúdio, se tu fizeste, assume! 
 
Confiabilidade – Quanto maior a adesão da política de segurança da empresa aos ob-
jetivos estratégicos, maior a confiabilidade dos sistemas e processos. Quanto mais confiável um 
sistema é, maior é a sua segurança. 
 
Mecanismos de Segurança 
Controles físicos: previnem o acesso físico não autorizado, danos e interferências com 
as instalações e informações da organização. 
Por exemplo, podemos limitar o acesso a uma informação, para garantir sua confidenci-
alidade, guardando-a em um cofre. 
Controles Lógicos: limitam o acesso à informação através de técnicas de software. 
A confidencialidade também pode ser implementada através de criptografia dos dados, 
agora um controle lógico. 
 
Firewall 
Um firewall é um recurso de segurança que pode ser implementado por software ou por 
hardware, servindo como um filtro para os pacotes que entram e saem de um computador através 
da rede e para verificar se o tráfego é permitido ou não. 
Por meio do firewall, aplica- se uma política de segurança a um determinado ponto da 
rede, estabelecendo-se regras de acesso. Manter o firewall ativado evita a ocorrência de 
invasões ou acessos indevidos à rede. 
Ceisc Concursos 
Informática 
 
 
7 
 
Um firewall é complementar ao antivírus e não pode substituí-lo, uma vez que os firewalls 
são programas utilizados para evitar que conexões suspeitas e não autorizadas vindas da 
Internet tenham acesso ao computador do usuário. 
Fragmentos adaptados de questões da CESPE 
Os critérios básicos de filtragem dos firewalls são: 
• Nº IP; 
• Protocolo; 
• Porta; 
 
Antivírus 
O antivírus protege o computador contra diversas pragas. Para tanto, aplica um conjunto 
de técnicas de seguranças. A principais são as vacinas (criadas a partir de uma base de registro 
de ocorrências) e a heurística, que permite avaliar o comportamento de determinado programa 
para indicar a probabilidade de ser conter um vírus. 
Os procedimentos a seguir são recomendados para aumentar o nível de segurança do 
computador: 
• não utilizar programas piratas; 
• manter antivírus e spyware atualizados; 
• evitar o uso de dispositivos de armazenamento de terceiros; 
• realizar periodicamente backup dos arquivos mais importantes. 
CESGRANRIO/2008. 
A atualização constante do antivírus é de extrema importância, uma vez que as pragas 
são mutantes! 
Um computador em uso na Internet é vulnerável ao ataque de vírus, razão por que a 
instalação e a constante atualização de antivírus são de fundamental importância para se evitar 
contaminações. 
A manutenção da atualização dos antivírus auxilia no combate às pragas virtuais, como 
os vírus, que são mutantes. 
Fragmentos retirados de questões da CESPE. 
 
 
 
Ceisc Concursos 
Informática 
 
 
8 
 
VPN – Virtual Private Network 
Rede Privada Virtual é uma técnica que permite a transmissão de informações privadas 
através de uma rede de comunicações pública (como por exemplo, a Internet). Para isso, é utili-
zado o recurso de tunelamentodurante as transmissões que garantem a ligação entre redes de 
forma segura, evitando que atores não autorizados tenham acesso às informações. 
 
 
 
A VPN permite que um usuário autorizado acesse uma intranet a partir de um computa-
dor da internet. 
Uma VPN faz uso da infraestrutura pública de comunicações, como a internet, para 
proporcionar acesso remoto e seguro a uma determinada rede localizada geograficamente 
distante do local de acesso. 
(FCC) Técnico Judiciário - TJ-PE/2012 
 
A VPN permite que duas ou mais redes se comuniquem e troquem dados entre si, 
mantendo os níveis recomendados de segurança, através da montagem de um túnel de 
criptografia para proteger as informações que trafegam entre as redes. 
(FCC) Operador de Computador - TRE-PB/2008 
 
Biometria 
As técnicas de biometria visam garantir a autenticidade de uma pessoa, através de suas 
características. As técnicas incluem, impressão digital, reconhecimento de face, de íris, retina, 
voz, geometria da mão, reconhecimento da assinatura (pressão, movimentos aéreos, etc.). 
A palavra biometria vem do grego: bios (vida) e metron (medida). Designa um método 
automático de reconhecimento individual baseado em medidas biológicas (anatômicas e 
fisiológicas) e características comportamentais. 
As biometrias mais implementadas, ou estudadas, incluem as impressões digitais, 
reconhecimento de face, íris, assinatura e até a geometria das mãos. 
Fonte: http://www.tse.jus.br/eleicoes/biometria-e-urna-eletronica/biometria-1 
A biometria se refere a várias técnicas de autenticação, para distinguir um indivíduo do 
outro, baseando-se nas características físicas e/ou comportamentais. 
(FCC) Técnico em Informática - TCM-PA/2010 
 
Ceisc Concursos 
Informática 
 
 
9 
 
Criptografia 
A Criptografia é a arte de embaralhar os dados de forma que somente os entes autori-
zados possam decifrar essa mensagem, garantindo a confidencialidade da informação. Ela pode 
ser realizada com uma única chave (chave secreta) ou com um par de chaves. Nesse último 
caso, a utilização da Criptografia pode atender outros objetivos como a garantia de autenticidade, 
integridade e não repúdio. 
Criptografia de chave Simétrica e de chaves Assimétricas 
De acordo com o tipo de chave usada, os métodos criptográficos podem ser subdivididos 
em duas grandes categorias: criptografia de chave simétrica e criptografia de chaves assimétri-
cas. 
 
Criptografia de chave simétrica: também chamada de criptografia de chave secreta ou 
única, utiliza uma mesma chave tanto para codificar como para decodificar informações, sendo 
usada principalmente para garantir a confidencialidade dos dados. Casos nos quais a informação 
é codificada e decodificada por uma mesma pessoa não há necessidade de compartilhamento 
da chave secreta. Entretanto, quando estas operações envolvem pessoas ou equipamentos di-
ferentes, é necessário que a chave secreta seja previamente combinada por meio de um canal 
de comunicação seguro (para não comprometer a confidencialidade da chave). Exemplos de 
métodos criptográficos que usam chave simétrica são: AES, Blowfish, RC4, 3DES e IDEA. 
 
Criptografia de chaves assimétricas: também conhecida como criptografia de chave 
pública, utiliza duas chaves distintas: uma pública, que pode ser livremente divulgada, e uma 
privada, que deve ser mantida em segredo por seu dono. Quando uma informação é codificada 
com uma das chaves, somente a outra chave do par pode decodificá-la. Qual chave usar para 
codificar depende da proteção que se deseja, se confidencialidade ou autenticação, inte-
gridade e não-repúdio. A chave privada pode ser armazenada de diferentes maneiras, como 
um arquivo no computador, um smartcard ou um token. Exemplos de métodos criptográficos que 
usam chaves assimétricas são: RSA, DSA, ECC e Diffie-Hellman. 
 
Ataque 
Ato de tentar desviar dos controles de segurança de um programa, sistema ou rede de 
computadores. 
Ceisc Concursos 
Informática 
 
 
10 
 
Nesse contexto, dois conceitos são cobrados em provas: evento e incidente. Vamos 
nos basear nas definições previstas na ISO 27001. 
Evento de Segurança da Informação 
Uma ocorrência identificada de um estado de sistema, serviço ou rede, indicando uma 
possível violação da política de segurança da informação ou falha de controles, ou uma situação 
previamente desconhecida, que possa ser relevante para a segurança da informação. 
Incidente de Segurança da Informação 
Um simples ou uma série de eventos de segurança da informação indesejados ou 
inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio 
e ameaçar a segurança da informação. 
Um ataque pode ser ativo, tendo por resultado a alteração dos dados; ou passivo, tendo 
por resultado a liberação ou acesso a dados de forma não autorizada. 
Os ataques comumente exploram as vulnerabilidades existentes nos sistemas. 
Vulnerabilidade é a condição que, quando explorada por um atacante, pode resultar em 
uma violação de segurança. Exemplos de vulnerabilidades são falhas no projeto, na 
implementação ou na configuração de programas, serviços ou equipamentos de rede. 
Fonte: https://cartilha.cert.br/glossario/#v 
Vulnerabilidades podem ser identificadas nas seguintes áreas: 
• Organização; 
• Processos e procedimentos; 
• Rotinas de gestão; 
• Recursos humanos; 
• Ambiente físico; 
• Configuração do sistema de informação; 
• Hardware, software ou equipamentos de comunicação; 
• Dependência de entidades externas"; 
 
Vulnerabilidade X Ameaça 
A presença de uma vulnerabilidade não causa prejuízo por si só, pois precisa haver uma 
ameaça presente para explorá-la. Uma vulnerabilidade que não tem uma ameaça correspon-
dente pode não requerer a implementação de um controle no presente momento, mas convém 
que ela seja reconhecida como tal e monitorada, no caso de haver mudanças. Já, um controle 
https://cartilha.cert.br/glossario/#v
Ceisc Concursos 
Informática 
 
 
11 
 
de segurança funcionando incorretamente ou sendo usado incorretamente, pode, por si só, re-
presentar uma vulnerabilidade. 
Um computador com programa antivírus desatualizado é exemplo de vulnerabilidade. 
Fonte: (CESPE) Analista Judiciário - Segurança da Informação - TJ-SE/2014 
 
Engenharia Social 
 
É o “conto do vigário”! 
 
São técnicas utilizadas para obter acesso a informações sigilosas em organizações e 
sistemas computacionais, por meio da exploração da confiança das pessoas. Os golpistas pro-
curam enganar e persuadir as potenciais vítimas a fornecerem informações sensíveis ou a reali-
zarem ações, como executar códigos maliciosos e acessar páginas falsas. 
 
Considere que uma mensagem de correio eletrônico, supostamente vinda do provedor de 
Internet, sob a alegação de que o computador que recebia a mensagem estava infectado 
por um vírus, sugeria que fosse instalada uma ferramenta de desinfecção. Considere ainda 
que na verdade, a ferramenta oferecida era um programa malicioso que, após a instalação, 
tornou os dados pessoais do usuário acessíveis ao remetente da mensagem. Nessa 
situação hipotética, é correto afirmar que houve um ataque de engenharia social. 
(CESPE) Analista - Negócios em Tecnologia da Informação - SERPRO/2013 
 
Phishing 
Através do Phishing ou phishing-scam um golpista tenta obter dados pessoais e finan-
ceiros de um usuário, pela utilização combinada de meios técnicos e engenharia social. 
Sabe aquele e-mail que recebes do banco, solicitando recadastramento de dados? É 
Phishing! 
E o comunicado do Serasa? Também é Phishing! 
Essas mensagens sempre tentam se passar por um agente confiável e solicitam acesso 
a sites (que podem instalar malwares em seu computador) ou solicitam o fornecimento de infor-
mações pessoais. 
É um tipo de fraude por meio da qual um golpista tenta obter dados pessoais e financeiros 
de um usuário, pela utilização combinada de meios técnicos e engenharia social, ocorre 
por meio doenvio de mensagens eletrônicas que: 
− tentam se passar pela comunicação oficial de uma instituição conhecida, tal como 
banco, empresa ou site popular; 
− procuram atrair a atenção do usuário, seja por curiosidade, por caridade ou pela 
possibilidade de obter alguma vantagem financeira; 
Ceisc Concursos 
Informática 
 
 
12 
 
− informam que a não execução dos procedimentos descritos pode acarretar sérias 
consequências, como a inscrição em serviços de proteção de crédito e o cancelamento de 
um cadastro, de uma conta bancária ou de um cartão de crédito; 
− tentam induzir o usuário a fornecer dados pessoais e financeiros, por meio do acesso 
a páginas falsas, que tentam se passar pela página oficial da instituição; da instalação de 
códigos maliciosos, projetados para coletar informações sensíveis; e do preenchimento de 
formulários contidos na mensagem ou em páginas web. 
(FCC) Técnico Judiciário - TRT - 9ª REGIÃO (PR)/2013 
 
Pharming 
Pharming é um tipo específico de phishing que visa corromper o DNS, fazendo com que 
a URL de um site passe a apontar para um servidor diferente do original. 
Neste caso, quando você tenta acessar um site legítimo, o seu navegador Web é redire-
cionado, de forma transparente, para uma página falsa. 
 
Boato (Hoax) 
Um boato, ou hoax, é uma mensagem que possui conteúdo alarmante ou falso. Como 
artifício de verossimilhança o real autor tenta se passar por um remetente confiável, ou aponta 
como autora do texto alguma personalidade, instituição, empresa importante ou órgão governa-
mental. 
As histórias falsas incluem correntes de cunho sentimental, filantrópico ou humanitário, 
ou falsos vírus que ameaçam destruir, contaminar ou formatar o disco rígido 
O excesso de e-mails enviados sobrecarrega a rede e causa transtornos em decorrência 
do crédito que os usuários destinam às informações veiculadas. 
O ataque de Hoax ocorre quando o usuário do computador recebe uma mensagem não 
solicitada, geralmente de conteúdo alarmista, a fim de assustá-lo e convencê-lo a continuar a 
corrente interminável de e-mails para gerar congestionamento na rede. 
(FCC) Técnico Judiciário - TRT - 24ª REGIÃO (MS)/2011 
 
Varredura em redes (Scan) 
A Varredura em redes (Scan) permite realizar um mapeamento de redes para avaliar 
equipamentos ativos e captar dados sobre eles. Assim é possível verificar qual o Sistema 
Operacional utilizado, portas de comunicação abertas ou ativas, programas instalados, entre 
outras informações. O atacante coleta essas informações para explorar vulnerabilidades dos 
sistemas. 
 
Ceisc Concursos 
Informática 
 
 
13 
 
Intercepção de Tráfego (Sniffing) 
Os programas denominados Sniffers realizam a inspeção dos dados que transitam na 
rede, a fim de interceptar informações desejadas. 
Essa ação pode ser legítima, quando realizada para fins de segurança e administração 
de rede ou maliciosa, quando realizada sem o conhecimento e consentimento dos usuários. 
 
Força bruta (Brute force) 
O atacante utiliza técnicas para adivinhar o nome de usuário e senha através de 
sucessivas tentativas (por tentativa e erro). Caso consiga sucesso, ele poderá ter acesso e 
privilégios de forma indevida. 
 
Desfiguração de Página (Defacement) 
Tem vezes que o inglês nos ajuda. Esse conceito foi cobrado na prova do TRT MS (2017) 
para Técnico Administrativo. 
Defacement significa desfigurar. Esse ataque consiste em desfigurar uma página da 
internet, modificando e inserindo conteúdos, sem autorização. Também chamado de “Pichação 
Virtual”. 
 
Falsificação de e-mail (E-mail spoofing) 
Falsificação de e-mail, ou e-mail spoofing, é uma técnica que consiste em alterar campos 
do cabeçalho de um e-mail, de forma a aparentar que ele foi enviado de uma determinada origem 
quando, na verdade, foi enviado de outra. 
Malwares – Pragas Eletrônicas 
 
“Este tipo de programa indesejado, instalado sem o consentimento do usuário, tem por 
objetivo capturar informações de um computador de forma ilícita ou, ainda, danificar o 
sistema. Entre os tipos mais comuns, estão os vírus, que se propagam infectando outras 
máquinas com cópias de si próprios.” 
Extraído da prova para Gestor Governamental – SEPLAG-MG /2013 
Banca: IESES 
Vírus 
Vírus é um segmento de código de computador, normalmente malicioso, que se propaga 
inserindo cópias de si mesmo e se tornando parte de outros programas e arquivos. Os programas 
Ceisc Concursos 
Informática 
 
 
14 
 
que são afetados pelos vírus tornam-se hospedeiros. A execução do hospedeiro é o gatilho para 
a execução do vírus. 
Então, para que possa se tornar ativo e dar continuidade ao processo de infecção, o 
vírus depende da execução do programa ou arquivo hospedeiro, ou seja, para que o seu 
computador seja infectado é preciso que um programa já infectado seja executado. 
 
Tipos específicos de vírus 
• Vírus de Boot: infecta o setor de inicialização do computador sendo ativado junto com 
o sistema operacional. Assim, pode interferir no funcionamento dos antivírus. 
• Time Bomb ou Bomba Relógio: malware de contagem regressiva, programado para 
ser executado em um determinado momento. 
• Vírus de Macro: infectam arquivos de documentos, planilhas, apresentações, etc. 
Utilizam as linguagens das macros. Uma macro é uma série de comandos e instruções 
que você agrupa como um único comando para realizar uma tarefa automaticamente. 
• Vírus polimórficos: são mutantes! Tem a capacidade de se alterar para evitar a 
detecção. 
 
Worms 
Worm é um programa capaz de se propagar automaticamente pelas redes, enviando 
cópias de si mesmo de computador para computador. É isso que o difere do vírus: o Worm não 
necessita de hospedeiro! 
O worm não se propaga por meio da inclusão de cópias de si mesmo em outros 
programas ou arquivos, mas sim pela execução direta de suas cópias ou pela exploração 
automática de vulnerabilidades existentes em programas instalados em computadores. 
O dano aos sistemas é causado por consumir muitos recursos, devido à grande 
quantidade de cópias de si mesmo que costumam propagar e, como consequência, podem afetar 
o desempenho de redes e a utilização de computadores. Essa situação pode afetar a 
disponibilidade dos recursos. 
Uma situação clássica de ação de um worm ocorre quando recebemos um e-mail em 
branco e ao questionarmos o remetente (comumente uma pessoa conhecida), ele informa que 
não enviou mensagem alguma. O que ocorreu? Um Worm ao infectar um computador é capaz 
Ceisc Concursos 
Informática 
 
 
15 
 
de se enviar automaticamente a toda a lista de contatos do usuário infectado. Assim, sua 
propagação atinge índices exponenciais! 
 
Spiware 
É um programa espião que monitora as atividades de um sistema e envia as 
informações coletadas para terceiros. 
Os spywares podem ser legítimos ou maliciosos. Se forem autorizados pelo usuário, com 
consentimento explícito para a coleta de dados, são considerados líticos. 
Contudo, se forem instalados sem o conhecimento, e, consequente mente, sem o 
consentimento do usuário, são danosos e considerados malwares. 
Existem alguns tipos específicos de Spywares: 
• Keyloggers: armazenam as teclas digitadas pelo usuário. 
• Screenloggers: armazenam as telas e a posição do cursor. São utilizados para 
capturar os dados inseridos em teclados virtuais. 
• Adwares: exibem propagandas de forma não autorizada, em geral, baseadas no 
comportamento do usuário, sem seu consentimento. 
 
Bot 
Bot é um programa que dispõe de mecanismos de comunicação com o invasor que 
permitem que ele seja controlado remotamente. Possui processo de infecção e propagação 
similar ao do worm, ou seja, é capaz de se propagar automaticamente, explorando 
vulnerabilidades existentes em programas instalados em computadores. 
A ação de um Bot pode ser potencializada através de uma ação em conjunto. Uma Botnet 
é uma rede formada por centenas ou milhares de computadores zumbis e que permitepotencializar as ações danosas executadas pelos bots. 
Um ataque comum utilizado através de Botnets é o DoS (Denial of Service/Ataque de 
Negação de Serviço). Nele uma grande os bots de uma grande rede são programados para 
realizar acessos simultâneos a determinado sistema, extrapolando a capacidade de atendimento 
e tornando o recurso indisponível. 
 
 
 
Ceisc Concursos 
Informática 
 
 
16 
 
Backdoor 
Backdoor é um programa que permite o retorno de um invasor a um computador 
comprometido, por meio da inclusão de serviços criados ou modificados para este fim. 
Diversos programas possuem Backdoors implantados pelos fabricantes com o objetivo 
de permitir acessos administrativos quando necessário. Contudo, essas brechas podem oferecer 
grandes riscos e são objetos de grande polêmica. Nos Estados Unidos, por exemplo, faz parte 
da legislação que determinados equipamentos devem possuir Backdoors para acesso legal para 
fins de auditoria. 
 
Cavalo de troia (Trojan) 
Cavalo de troia, trojan ou trojan-horse, é um programa que, além de executar as funções 
para as quais foi aparentemente projetado, também executa outras funções, normalmente 
maliciosas, e sem o conhecimento do usuário. 
Existem diversos tipos de Cavalos de Tróia, conforme a tabela abaixo extraída do site 
http://cartilha.cert.br/malware/. 
*Para todos verem: esquema. 
Tipo Ação 
Trojan Downloader instala outros códigos maliciosos, obtidos de sites na Internet. 
Trojan Dropper instala outros códigos maliciosos, embutidos no próprio código do 
trojan. 
Trojan Backdoor 
O mais cobrado em 
provas! 
inclui backdoors, possibilitando o acesso remoto do atacante ao 
computador. 
Trojan DoS instala ferramentas de negação de serviço e as utiliza para desferir 
ataques. 
Trojan Destrutivo altera/apaga arquivos e diretórios, formata o disco rígido e pode 
deixar o computador fora de operação. 
Trojan Clicker redireciona a navegação do usuário para sites específicos, com o 
objetivo de aumentar a quantidade de acessos a estes sites ou 
apresentar propagandas. 
http://cartilha.cert.br/malware/
Ceisc Concursos 
Informática 
 
 
17 
 
Trojan Proxy instala um servidor de proxy, possibilitando que o computador seja 
utilizado para navegação anônima e para envio de spam. 
 
Trojan Spy 
instala programas spyware e os utiliza para coletar informações 
sensíveis, como senhas e números de cartão de crédito, e enviá-las 
ao atacante. 
 
 
Trojan Banker ou 
Bancos 
coleta dados bancários do usuário, através da instalação de 
programas spyware que são ativados quando sites de Internet 
Banking são acessados. É similar ao Trojan Spy porém com 
objetivos mais específicos. 
 
Rootkit 
Conjunto de programas e técnicas que permite esconder e assegurar a presença de um 
invasor ou de outro código malicioso em um computador comprometido. 
O Rootkit é utilizado para apagar as evidências de uma infecção ou invasão, 
possibilitando que o ataque possa ser continuamente executado. 
 
Ransomware 
Malware que causa a indisponibilidade das informações, exigindo resgate para a 
liberação do acesso. 
Após infectar um equipamento, o Ransomware restringe o acesso ao equipamento ou 
dados e exige resgate (ransom), geralmente, em moedas virtuais (ex: bitcoin). 
Esse tipo de malware pode se propagar de diversas formas, em especial através de 
anexos de e-mail e ou links que indicam o usuário a executar o código malicioso. Ainda pode 
ocorrer a exploração de vulnerabilidades dos sistemas. 
Tipos de Ransomware: 
1. Ransomware Locker: impede o acesso ao equipamento infectado. 
2. Ransomware Crypto: impede o acesso aos dados armazenados no equipamento 
infectado, geralmente usando criptografia. 
 
 
Ceisc Concursos 
Informática 
 
 
18 
 
Certificação Digital 
Material de Apoio Recomendado 
O Instituto Nacional de Tecnologia da Informação (ITI) é uma autarquia federal vinculada 
à Casa Civil da Presidência da República, cujo objetivo é manter a Infraestrutura de Chaves 
Públicas Brasileira - ICP-Brasil, sendo a primeira autoridade da cadeia de certificação - AC Raiz. 
ITI / ICP-Brasil 
http://www.iti.gov.br/icp-brasil 
MP Nº 2.200-2, DE 24/08/2001 
http://www.planalto.gov.br/ccivil_03/mpv/antigas_2001/2200-2.htm 
 
Conceito Básicos de Certificação Digital 
A Certificação Digital fornece mecanismos de segurança que visam garantir a autentici-
dade, confidencialidade e integridade das informações eletrônicas. Para tanto, são utilizados 
recursos como a Criptografia e Assinatura Digital. 
A ferramenta central para o uso dos recursos citados é Certificado Digital, um documento 
eletrônico que permite identificar um usuário e um sistema. 
 
 
 Atenção! 
 
 
Os mecanismos de Certificação Digital visam garantir: 
Confidencialidade Integridade Autenticidade 
 
 
• Confidencialidade - propriedade que determina que a informação só esteja 
disponível a entidades autorizadas. Para garantir a confidencialidade, só pode ver quem 
pode. 
• Integridade - propriedade que garante que a informação só seja alterada por entes 
autorizados durante todo o seu ciclo de vida (nascimento, manutenção e destruição). 
Segundo a norma NBR ISSO/IEC 27001, integridade é a salvaguarda da exatidão e 
completeza dos ativos. Para garantir a integridade, só pode alterar quem pode. 
http://www.iti.gov.br/icp-brasil
http://www.planalto.gov.br/ccivil_03/mpv/antigas_2001/2200-2.htm
Ceisc Concursos 
Informática 
 
 
19 
 
• Autenticidade: é a propriedade que possibilita um usuário identificar a identidade de 
um sistema e permite que o sistema identifique de forma correta e unívoca a identidade 
do usuário. Para garantir a autenticidade, eu sei quem tu és, tu sabes quem eu sou. 
 
Certificação Digital 
O certificado digital é um documento eletrônico assinado digitalmente e cumpre a função 
de associar uma pessoa ou entidade a uma chave pública. 
 
Um dos processos em uma infraestrutura de chaves públicas é o processo de certificação 
digital. O certificado digital é um registro eletrônico composto por um conjunto de dados 
que distingue uma entidade e associa a ela uma chave pública. Ele pode ser emitido para 
pessoas, empresas, equipamentos ou serviços na rede e pode ser homologado para 
diferentes usos, como confidencialidade e assinatura digital. De forma geral, os dados 
básicos que compõem um certificado digital devem conter, entre outros, a versão e número 
de série do certificado, os dados que identificam a Autoridade Certificadora que emitiu o 
certificado e os dados que identificam o dono do certificado. 
(FCC) Técnico Ministerial - Informática - MPE-AP/2012 
 
*Para todos verem: esquema. 
 
 
Um Certificado Digital normal-
mente apresenta as seguintes 
informações: 
1) nome da pessoa ou entidade a ser associada à chave 
pública 
2) período de validade do certificado 
3) chave pública 
4) nome e assinatura da entidade que assinou o certificado 
5) número de série 
 
Um exemplo comum do uso de certificados digitais é o serviço bancário provido via 
Internet. Os bancos possuem certificado para autenticar-se perante o cliente, assegurando que 
o acesso está realmente ocorrendo com o servidor do banco. E o cliente, ao solicitar um serviço, 
como por exemplo, acesso ao saldo da conta corrente, pode utilizar o seu certificado para 
autenticar-se perante o banco. 
 
Tipos de Certificados Digitais 
A resolução DOC-ICP-04 do ITI estabelece 12 (doze) tipos de certificados digitais para 
usuários finais da ICP-Brasil, sendo 8 (oito) relacionados com assinatura digital e 4 (quatro) com 
sigilo, conforme o descrito a seguir: 
 
Ceisc Concursos 
Informática 
 
 
20 
 
*Para todos verem: esquema. 
Tipos de Certificados de Assinatura 
Digital: 
Tipos de Certificados de Sigilo: 
A1 S1 
A2 S2 
A3 S3 
A4 S4 
T3 
T4 
A CF-e-SAT 
 
Períodos de Validade dos Certificados 
*Para todos verem: esquema. 
Tipo de Certificado Período Máximode Validade do Certificado (em anos) 
A1 e S1 1 
A2 e S2 2 
A3, S3, T3 5 
 
A4, S4, T4 
11 (para cadeias hierárquicas completas em Curvas Elípticas) 
6 (para as demais hierarquias) 
A CF-e-SAT 5 
OM-BR 10 
 
Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil) 
A ICP-Brasil é a entidade que viabiliza todo o processo de Certificação Digital em nosso 
país. Abaixo dela é estabelecida uma hierarquia de atividades para emissão, validação e opera-
cionalização de pedidos de certificados digitais. 
 
A Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil) é uma cadeia hierárquica e de 
confiança que viabiliza a emissão de certificados digitais para identificação virtual do 
cidadão. Observa-se que o modelo adotado pelo Brasil foi o de certificação com raiz única, 
sendo que o ITI, além de desempenhar o papel de Autoridade Certificadora Raiz (AC-
Raiz), também tem o papel de credenciar e descredenciar os demais participantes da 
cadeia, supervisionar e fazer auditoria dos processos. 
http://www.iti.gov.br/index.php/icp-brasil/o-que-e 
 
Ceisc Concursos 
Informática 
 
 
21 
 
A estrutura hierárquica da ICP-Brasil fornece mecanismos para a validação dos 
certificados digitais. Essa é uma função primordial para todo o processo de segurança. 
Para tanto, o Certificado Digital possui a identificação e a assinatura da entidade que o 
emitiu. Tais dados, permitem averiguar a autenticidade e a integridade do certificado. 
A entidade responsável por emitir Certificados Digitais denomina-se Autoridade 
Certificadora – AC! 
O ITI representa a Autoridade Certificadora Raiz! 
 
*Para todos verem: esquema. 
 
 
 
 
 
 
 
 
 
 
Componentes do Processo 
Existem 3 tipos de entidade básicas nesse processo: 
1. Autoridade Certificadora Raiz - AC-Raiz 
2. Autoridades Certificadoras - ACs 
3. Autoridades de Registro - ARs 
 
A AC-Raiz é responsável por: 
1. Executar as Políticas de Certificados e normas técnicas e operacionais aprovadas 
pelo Comitê Gestor da ICP-Brasil. 
2. Emitir, expedir, distribuir, revogar e gerenciar os certificados das autoridades 
certificadoras de nível imediatamente subsequente ao seu. 
3. Emitir a lista de certificados revogados (LCR) 
Comitê Gestor AC-Raiz
AC 1
AR
AC 2
AR
AC 3
AR
Ceisc Concursos 
Informática 
 
 
22 
 
4. Fiscalizar e auditar as Autoridades Certificadoras (ACs), Autoridades de Registro 
(ARs) e demais prestadores de serviço habilitados na ICP-Brasil 
 
As Autoridades Certificadoras - ACs são responsáveis por: 
• Emitir, distribuir, renovar, revogar e gerenciar certificados digitais. 
• Verificar se o titular do certificado possui a chave privada que corresponde à chave 
pública que faz parte do certificado. 
• Criar e assinar digitalmente o certificado do assinante, onde o certificado emitido pela 
AC representa a declaração da identidade do titular, que possui um par único de chaves 
(pública/privada). 
• Emitir listas de certificados revogados (LCR). 
• Manter registros de suas operações sempre obedecendo às práticas definidas na 
Declaração de Práticas de Certificação (DPC). 
• Estabelecer e fazer cumprir, pelas Autoridades Registradoras (ARs) a ela vinculadas, 
as políticas de segurança necessárias para garantir a autenticidade da identificação 
realizada. 
 
Uma Autoridade Certificadora (AC) pode ser uma entidade, pública ou privada! 
As Autoridades de Registro – ARs são responsáveis por: 
a) Realizar a interface entre o usuário e a Autoridade Certificadora. 
b) Identificar, cadastrar usuários e encaminhar solicitações de certificados às AC. 
A identificação será feita presencialmente, mediante comparecimento pessoal do 
usuário, ou por outra forma que garanta nível de segurança equivalente, observadas 
as normas técnicas da ICP-Brasil. 
c) Manter registros de suas operações. 
 
Criptografia 
A criptografia, considerada como a ciência e a arte de escrever mensagens em forma 
cifrada ou em código, é um dos principais mecanismos de segurança que você pode usar para 
se proteger dos riscos associados ao uso da Internet. 
Ceisc Concursos 
Informática 
 
 
23 
 
Atualmente, a criptografia já está integrada ou pode ser facilmente adicionada à grande 
maioria dos sistemas operacionais e aplicativos e para usá-la, muitas vezes, basta a realização 
de algumas configurações ou cliques de mouse. 
Por meio do uso da criptografia você pode: 
• Proteger os dados sigilosos armazenados em seu computador, como o seu arquivo 
de senhas e a sua declaração de Imposto de Renda; 
• Criar uma área (partição) específica no seu computador, na qual todas as informações 
que forem lá gravadas serão automaticamente criptografadas; 
• Proteger seus backups contra acesso indevido, principalmente aqueles enviados para 
áreas de armazenamento externo de mídias; 
• Proteger as comunicações realizadas pela Internet, como os e-mails 
enviados/recebidos e as transações bancárias e comerciais realizadas. 
 
 
 Atenção! 
 
 
A Certificação Digital utiliza a Criptografia Assimétrica, a partir de um par de chaves! 
 
 
Criptografia - Garantindo a Confidencialidade 
O termo criptografia está diretamente ligado a confidencialidade, isto é, garantia de sigilo 
da informação. 
Para os concursos, temos que saber como é realizada essa cifragem e a posterior deci-
fragem dos dados. 
Vamos listar passo a passo como ocorre: 
• O emissor da mensagem deve obter a Chave Pública do destinatário desejado. 
• O emissor cifra a mensagem, utilizando a chave pública do destinatário. 
• A mensagem é enviada. 
• O destinatário a recebe e a decifra utilizando a sua própria chave privada. 
 
 
 
 
 
Ceisc Concursos 
Informática 
 
 
24 
 
*Para todos verem: esquema. 
 
A confidencialidade é garantida uma vez que somente o destinatário possui a chave pri-
vada associada à sua chave pública (utilizada na cifragem). E só de posse dela será possível 
descriptografar a informação. 
 
Memorize!!! 
Para criptofragar 
 
Chave pública do desti-
natário 
Para descriptofragar 
 
Chave privada do desti-
natário 
 
Assinatura Digital - Garantindo a Autenticidade 
Para garantir autenticidade, o processo utiliza as chaves invertidas. 
• O emissor cifra a mensagem, utilizando a sua chave privada. 
• A mensagem é enviada. 
• O destinatário a recebe e a decifra, utilizando a chave pública do remetente. 
Assim, fica garantida a identidade do remetente, uma vez que somente ele possui a 
chave privada que “casa” com a chave pública utilizada na decifragem. 
Esse é o processo utilizado na Assinatura Digital! 
 
 
 
 
 
•Algorítmo 
Criptográfico
•Chave 
Pública do 
Destinatário
Processo 
de 
Cifragem
Garantia de 
Confidencialida
de
Mensagem 
Cifrada
•Algorítmo 
Criptográfico
•Chave 
Privada do 
Destinatário
Processo 
de 
Deciragem
Ceisc Concursos 
Informática 
 
 
25 
 
*Para todos verem: esquema. 
 
Nesse contexto, o mais importante a saber é que o ato de Assinar Digitalmente é reali-
zado com a Chave Privada do remetente e a validação da assinatura é realizada com a Chave 
Pública do remetente. 
Agora, a Assinatura Digital tem uns detalhes. Como o processo de criptografia é lento, 
ao invés de assinar toda a mensagem, o processo cria um hash da mesma e assina esse hash. 
 
 Atenção! 
 
 
O hash (também conhecido como resumo hash) é uma mensagem menor que a original, 
gerada através de cálculos matemáticos, de forma que é quase impossível que outra operação 
gere o mesmo resultado. 
 
*Para todos verem: esquema. 
 
• Algorítmo 
Criptográfico
• Chave 
Privada do 
Remetente
Processo 
de 
Cifragem
Garantia de 
Autenticidade
Mensagem 
Cifrada
• Algorítmo 
Criptográfico
• Chave 
Pública do 
Remetente
Processo 
de 
Deciragem
Criação do 
Resumo Hash
Processo 
de 
Assinatura
• Algorítmo 
Criptográfico
• Chave 
Privada do 
Remetente
Cifragem 
do Hash
Garantia de 
Autenticidade, 
Integridade e 
Não-Repúdio
MensagemOriginal + 
Hash 
Cifrado
Validação do 
Resumo Hash
Processo 
de 
Verificação
• Algorítmo 
Criptográfico
• Chave 
Pública do 
Remetente
Decifragem 
do Hash
Mensagem 
conferida!
Mensagem 
Original + 
Hash 
Decifrado
Ceisc Concursos 
Informática 
 
 
26 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
‘