Curso Aprovação Criptografia 2010

Prévia do material em texto

BB Extensiva 05 | 06 
 Prof. Rafael 
Informática 
Criptográfica e Malwares 
 
Atualizada em 09/11/2010 Neste curso os melhores alunos estão sendo preparados pelos melhores Professores 
 
1
Criptografia 
 
Criptografia é a ciência e arte de escrever 
mensagens em forma cifrada ou em código. É parte de 
um campo de estudos que trata das comunicações 
secretas, usadas, dentre outras finalidades, para: 
 
• autenticar a identidade de usuários; 
• autenticar e proteger o sigilo de comunicações 
pessoais e de transações comerciais e bancárias; 
• proteger a integridade de transferências 
eletrônicas de fundos. 
 
Uma mensagem codificada por um método de 
criptografia deve ser privada, ou seja, somente aquele 
que enviou e aquele que recebeu devem ter acesso ao 
conteúdo da mensagem. Além disso, uma mensagem 
deve poder ser assinada, ou seja, a pessoa que a 
recebeu deve poder verificar se o remetente é mesmo a 
pessoa que diz ser e ter a capacidade de identificar se 
uma mensagem pode ter sido modificada. 
 
Algoritmos Criptográficos 
 
Existem duas classes de algoritmos criptográficos: 
simétricos (ou de chave-secreta) e assimétricos (ou de 
chave-pública). Os algoritmos simétricos utilizam uma 
mesma chave tanto para cifrar como para decifrar, ou 
seja, a mesma chave utilizada para “fechar o cadeado” é 
utilizada para “abrir o cadeado”. Nos algoritmos 
assimétricos temos chaves distintas, uma para cifrar e 
outra para decifrar e, além disso, a chave de decifração 
não pode ser obtida a partir do conhecimento da chave 
de cifração apenas. Aqui, uma chave é utilizada para 
“fechar” e outra chave, diferente, mas relacionada à 
primeira, tem que ser utilizada para “abrir”. Por isso, nos 
algoritmos assimétricos, as chaves são sempre geradas 
aos pares: uma para cifrar e a sua correspondente para 
decifrar. 
 
Certificado Digital 
 
O certificado digital é um arquivo eletrônico que 
contém dados de uma pessoa ou instituição, utilizados 
para comprovar sua identidade. Este arquivo pode estar 
armazenado em um computador ou em outra mídia, 
como um token ou smart card. 
Exemplos semelhantes a um certificado digital são 
o CNPJ, RG, CPF e carteira de habilitação de uma 
pessoa. Cada um deles contém um conjunto de 
informações que identificam a instituição ou pessoa e a 
autoridade (para estes exemplos, órgãos públicos) que 
garante sua validade. Os certificados digitais possuem 
uma forma de assinatura eletrônica da AC que o emitiu. 
Graças à sua idoneidade, a AC é normalmente 
reconhecida por todos como confiável, fazendo o papel 
de "Cartório Eletrônico". Estes certificados podem ser 
emitidos para diversos tipos de entidades, tais como: 
pessoa, computador, departamento de uma instituição, 
etc. 
Algumas das principais informações encontradas 
em um certificado digital são: 
 
1. chave pública do usuário; 
2. nome do usuário proprietário da chave; 
3. nome da organização associada; 
4. data de emissão do certificado; 
5. período de validade da chave. 
Os princípios básicos de segurança da 
informações são: 
 
Confidencialidade ou Sigilo: garantia de que 
somente as pessoas ou organizações envolvidas na 
comunicação possam ler e utilizar as informações 
transmitidas de forma eletrônica pela rede. 
Integridade: garantia de que as informações 
trocadas nas transações eletrônicas não foram alteradas 
no caminho que percorreram. 
Autenticidade: garantia de identificação das 
pessoas ou organizações envolvidas na comunicação. 
Disponibilidade :é a garantia de que a 
informação estará disponível no momento desejado. 
Assinatura Digital: Permite aferir, com 
segurança, a origem e a integridade de um documento 
eletrônico. 
Não-repúdio: garantia de que o emissor de uma 
mensagem ou a pessoa que executou determinada 
transação de forma eletrônica não poderá, 
posteriormente negar sua autoria. 
Confiabilidade: é a garantia de que o sistema se 
comporta como esperado, em especial após atualizações 
ou correções de erro. 
 
Infra-estrutura de chave pública (PKI) 
 
O termo geralmente usado para descrever as leis, 
diretivas, padrões e softwares que regulam ou 
manipulam certificados e chaves públicas e particulares. 
Na prática, é um sistema de certificados digitais, 
autoridades de certificação e outras autoridades de 
registro que verificam e autenticam a validade de cada 
pessoa envolvida em uma transação eletrônica. No 
Brasil, foi instituída a Infra-Estrutura de Chaves Públicas 
Brasileira - ICP-Brasil, para garantir a autenticidade, a 
integridade e a validade jurídica de documentos em 
forma eletrônica. 
A ICP-Brasil, cuja organização foi definida em 
regulamento, é composta por uma autoridade gestora de 
políticas e pela cadeia de autoridades certificadoras 
composta pela Autoridade Certificadora Raiz - AC Raiz, 
pelas Autoridades Certificadoras - AC e pelas 
Autoridades de Registro – AR. 
À AC Raiz, primeira autoridade da cadeia de 
certificação, executora das Políticas de Certificados e 
normas técnicas e operacionais aprovadas pelo Comitê 
Gestor da ICP-Brasil, compete emitir, expedir, distribuir, 
revogar e gerenciar os certificados das AC de nível 
imediatamente subseqüente ao seu, gerenciar a lista de 
certificados emitidos, revogados e vencidos, e executar 
atividades de fiscalização e auditoria das AC e das AR e 
dos prestadores de serviço habilitados na ICP, em 
conformidade com as diretrizes e normas técnicas 
estabelecidas pelo Comitê Gestor da ICP-Brasil. A AC 
raiz tem um certificado auto-assinado. 
 
OBS: É vedado à AC Raiz emitir certificados para o 
usuário final. 
 
Às AC, entidades credenciadas a emitir 
certificados digitais vinculando pares de chaves 
criptográficas ao respectivo titular, compete emitir, 
expedir, distribuir, revogar e gerenciar os certificados, 
bem como colocar à disposição dos usuários listas de 
certificados revogados e outras informações pertinentes 
e manter registro de suas operações. O par de chaves 
criptográficas será gerado sempre pelo próprio titular e 
BB Extensiva 05 | 06 
 Prof. Rafael 
Informática 
Criptográfica e Malwares 
 
Atualizada em 09/11/2010 Neste curso os melhores alunos estão sendo preparados pelos melhores Professores 
 
2 
sua chave privada de assinatura será de seu exclusivo 
controle, uso e conhecimento. 
Às AR, entidades operacionalmente vinculadas a 
determinada AC, compete identificar e cadastrar usuários 
na presença destes, encaminhar solicitações de 
certificados às AC e manter registros de suas operações. 
 
Assinatura digital 
 
A assinatura digital consiste na criação de um 
código, através da utilização de uma chave privada de 
quem assina, de modo que a pessoa ou entidade que 
receber uma mensagem contendo este código possa 
verificar se o remetente é mesmo quem diz ser e 
identificar qualquer mensagem que possa ter sido 
modificada. 
Função HASH ou Resumo de Mensagem: 
esta técnica permite que, ao ser aplicada à uma 
mensagem de qualquer tamanho, seja gerado um 
resumo criptografado de tamanho fixo e bastante 
pequeno, como por exemplo 128 bits. Este resumo 
também é conhecido como message digest. Algumas 
das propriedades desta função: 
 
* Não é possível fazer a operação reversa, ou 
seja, dado um resumo é impossível obter a mensagem 
original; 
* Duas mensagens diferentes, quaisquer que 
sejam, não podem produzir um mesmo resumo; deve ser 
fácil e rápido de ser aplicado. Entre os algoritmos típicos 
de hash, estão incluídos o MD2, MD4, MD5 e o SHA-1. 
O algoritmo de hash também é chamado de função de 
hash. 
 
Funcionamento 
 
Para ver como estas técnicas são utilizadas em 
conjunto, selecionamos dois exemplos bastante simples, 
os quais descrevemos a seguir: 
 
1. Correio eletrônico seguro: 
Um usuário, Rafael,deseja enviar uma mensagem 
para Ana, de forma que ninguém mais tenha acesso a 
esta informação e que Ana tenha certeza de que esta 
mensagem foi realmente enviada por ele e também que 
não foi alterada durante a transmissão. 
 
Procedimentos feitos por Rafael: 
 
* aplica uma função hash à mensagem original 
obtendo um resumo; 
* criptografa o resumo com sua chave privada, 
gerando o que se costuma denominar como Assinatura 
Digital; 
* Pega a chave pública de Ana; 
* criptografa a mensagem original com a chave 
pública de Ana; 
* envia a mensagem criptografada e o resumo 
criptografado (assinatura) para Ana. 
 
Procedimentos feitos por Ana: 
 
* descriptografa a mensagem utilizando sua chave 
privada; 
* aplica à mensagem a mesma função hash 
utilizada por Rafael e obtém um resumo; 
* Pega a chave pública de Rafael; 
* descriptografa a assinatura feita por Rafael 
utilizando a chave pública do mesmo e obtendo assim o 
resumo da mensagem original; 
* compara os dois resumos obtidos, que devem 
ser iguais. 
 
Resultados Obtidos: 
 
Sigilo - Rafael tem certeza de que somente Ana 
terá acesso à mensagem, pois a mesma trafega 
criptografada e, como foi utilizada para isso a chave 
pública de Ana, somente ela, utilizando sua chave 
privada, poderá descriptografá-la; 
Autenticidade - Ana tem certeza de que foi 
Rafael quem realmente enviou a mensagem, pois 
consegue descriptografar a assinatura que acompanha a 
mesma com a chave pública de Rafael, o que implica 
dizer que ela foi criptografada com a chave privada dele, 
a qual somente Rafael deve ter acesso; 
Integridade - Ana tem a certeza de que a 
mensagem recebida não pode ter sido substituída por 
outra ou alterada, pois na comparação dos resumos feita 
por ela isto seria detectado. 
 
Malwares 
 
Malware é um termo geral normalmente 
aplicado ao nos referir-mos a qualquer software 
desenvolvido para causar danos em computadores, 
servidores ou redes de computador, e isso 
independentemente de o software ser um vírus, um 
spyware, etc. 
 
Portanto qualquer software, por exemplo, um 
trojan, ou mesmo um worm, são denominados de 
“malware”, o que informa que esses são software 
possuem códigos maliciosos 
. 
SPYWARE 
 
É o termo utilizado para se referir a uma grande 
categoria de software que tem o objetivo de monitorar 
atividades de um sistema e enviar as informações 
coletadas para terceiros. 
Seguem algumas funcionalidades implementadas 
em spywares, que podem ter relação com o uso legítimo 
ou malicioso: 
 
• monitoramento de URLs acessadas enquanto o 
usuário navega na Internet; 
• alteração da página inicial apresentada no 
browser do usuário; 
• varredura dos arquivos armazenados no disco 
rígido do computador; 
• monitoramento e captura de informações 
inseridas em outros programas, como IRC ou 
processadores de texto; 
• instalação de outros programas spyware; 
• monitoramento de teclas digitadas pelo usuário 
ou regiões da tela próximas ao clique do mouse 
• captura de senhas bancárias e números de 
cartões de crédito; 
• captura de outras senhas usadas em sites de 
comércio eletrônico. 
 
 
 
 
BB Extensiva 05 | 06 
 Prof. Rafael 
Informática 
Criptográfica e Malwares 
 
Atualizada em 09/11/2010 Neste curso os melhores alunos estão sendo preparados pelos melhores Professores 
 
3
Keylogger 
 
É um programa capaz de capturar e armazenar as 
teclas digitadas pelo usuário no teclado de um 
computador. 
 
SCREENLOGGERS 
 
É um programa capaz de capturar e armazenar as 
telas acessadas pelo usuário no computador. 
 
 Adware 
 
É um tipo de software especificamente projetado 
para apresentar propagandas, seja através de um 
browser, seja através de algum outro programa instalado 
em um computador. 
 
Cavalo de Tróia 
 
Cavalo de tróia (trojan horse) é um programa, 
normalmente recebido como um “presente” (por exemplo, 
cartão virtual, álbum de fotos, protetor de tela, jogo, etc), 
que além de executar funções para as quais foi 
aparentemente projetado, também executa outras 
funções normalmente maliciosas e sem o conhecimento 
do usuário. Algumas das funções maliciosas que podem 
ser executadas por um cavalo de tróia são: 
 
6. instalação de keyloggers, 
7. furto de senhas e outras informações sensíveis, 
como números de cartões de crédito; 
8. inclusão de backdoors, para permitir que um 
atacante tenha total controle sobre o computador; 
 
Backdoor 
 
Porta dos fundos. É uma porta aberta no sistema, 
não documentada, que permite ao criador ter acesso a 
ele (legitimamente ou não). As backdoors podem ser 
criadas tanto pelo responsável, como um meio de acesso 
emergencial ao sistema, quanto por alguém interessado 
em invadi-lo, roubar informações etc. Neste último caso, 
o meio mais usado é convencer algum usuário do 
sistema a executar o programa que abrirá a backdoor, 
enviando-o via e-mail , uma comunicação do chefe, um 
jogo, etc. 
 
Ransonware 
 
Os Ransonwares são softwares maliciosos 
que, ao infectarem um computador, criptografam 
todo ou parte do conteúdo do disco rígido. Os 
responsáveis pelo software exigem da vítima, um 
pagamento pelo "resgate" dos dados. Ransonwares 
são ferramentas para crimes de extorsão e são 
extremamente ilegais. 
 
Vírus 
 
Vírus é um programa ou parte de um programa de 
computador, normalmente malicioso, que se propaga 
infectando, isto é, inserindo cópias de si mesmo e se 
tornando parte de outros programas e arquivos de um 
computador. O vírus depende da execução do programa 
ou arquivo hospedeiro para que possa se tornar ativo e 
dar continuidade ao processo de infecção. 
 
 
Worms 
 
Worm é um programa capaz de se propagar 
automaticamente através de redes, enviando cópias de si 
mesmo de computador para computador. Diferente do 
vírus, o worm não embute cópias de si mesmo em outros 
programas ou arquivos e não necessita ser 
explicitamente executado para se propagar. Sua 
propagacão se dá através da exploração de 
vulnerabilidades existentes ou falhas na configuração de 
softwares instalados em computadores. 
 
Rootkit 
 
Conjunto de programas que tem como finalidade 
esconder e assegurar a presença de um invasor em um 
computador comprometido. É importante ressaltar que o 
nome rootkit não indica que as ferramentas que o 
compõem são usadas para obter acesso privilegiado 
(root ou Administrator) em um computador, mas sim para 
manter o acesso privilegiado em um computador 
previamente comprometido. 
 
PORT SCAN 
 
Programa utilizado para vasculhar as portas 
abertas no Sistema. 
 
Tipos de Ataque 
 
Negação de Serviço (Denial of Service) 
 
Nos ataques de negação de serviço (DoS- Denial 
of Service) o objetivo é tirar do ar um servidor, 
bombardeando-o com tráfego inútil Os principais 
objetivos deste ataque são: 
 
 -Gerar uma grande sobrecarga no processamento 
de dados de um computador, de modo que o usuário não 
consiga utilizá-lo; 
 - Gerar um grande tráfego de dados para uma 
rede, ocupando toda a banda disponível, de modo que 
qualquer computador desta rede fique indisponível; 
- Tirar serviços importantes de um provedor do ar, 
impossibilitando o acesso dos usuários a suas caixas de 
correio no servidor de e-mail ou ao servidor Web. 
 
 O que é DdoS? 
 
DDoS (Distributed Denial of Service) constitui um 
ataque de negação de serviço distribuído, ou seja, um 
conjunto de computadores é utilizado para tirar de 
operação um ou mais serviços ou computadores 
conectados à Internet. 
 
Normalmente, estes ataques procuram ocupar 
toda a banda disponível para o acesso a um computador 
ou rede, causando grande lentidão ou até mesmo 
indisponibilizando qualquer comunicação com este 
computador ou rede. Em ataque dotipo DoS podem ser 
utilizadas técnicas como o PING DA MORTE, que 
consiste em enviar um comando com um pacote de 
dados maior que o permitido, isto causa o travamento ou 
a reinicialização de máquina atacada. 
 
Botnets 
 
É um grupo de computadores infectados com o 
software malicioso tipo de robô, os bots, que apresentam 
BB Extensiva 05 | 06 
 Prof. Rafael 
Informática 
Criptográfica e Malwares 
 
Atualizada em 09/11/2010 Neste curso os melhores alunos estão sendo preparados pelos melhores Professores 
 
4 
uma ameaça para a segurança do computador 
proprietário. Depois que o software robô for instalado 
com sucesso em um computador, este computador se 
torna um zumbi ou um zangão, incapaz de resistir aos 
comandos do robô comandante. Podem ser usados em 
atividades de negação de serviço, esquemas de fraude, 
envio de spam, etc. 
 
IP Spoofing 
 
Disfarce. É isto que este ataque faz. Muitas 
comunicações entre computadores na Internet se 
baseiam em "parceiros" confiáveis. Um computador X 
pode manter uma comunicação com um computador Y 
de forma que não seja necessária a constante verificação 
de autenticidade entre eles. 
O hacker, então, se disfarça, dizendo para o 
computador X que "ele" é o computador Y. Desta forma o 
computador X vai aceitar seus comandos tranqüilamente. 
 
Spam 
 
Termo usado para se referir aos e-mails não 
solicitados, que geralmente são enviados para um 
grande número de pessoas. 
 
Spammer 
 
Pessoa que envia spam. 
 
Boato (Hoax) 
 
E-mail que possui conteúdo alarmante ou falso e 
que, geralmente, tem como remetente ou aponta como 
autora da mensagem alguma instituição, empresa 
importante ou órgão governamental. Através de uma 
leitura minuciosa deste tipo de e-mail, normalmente, é 
possível identificar em seu conteúdo mensagens 
absurdas e muitas vezes sem sentido. 
 
Golpes on-line 
 
Phishing Scam 
 
Em computação, phishing é uma forma de 
Engenharia Social, caracterizada por tentativas de 
adquirir informações sensíveis, tais como senhas e 
números de cartão de crédito, ao se fazer passar como 
uma pessoa confiável ou uma empresa enviando uma 
comunicação eletrônica oficial, como um correio ou uma 
mensagem instantânea. O termo Phishing surge cada 
vez mais das sofisticadas artimanhas para "pescar" (fish) 
as informações sensíveis dos usuários. 
Em Segurança da informação, chama-se 
Engenharia Social as práticas utilizadas para obter 
acesso à informações importantes ou sigilosas em 
organizações ou sistemas por meio da enganação ou 
exploração da confiança das pessoas. Para isso, o 
golpista pode se passar por outra pessoa, assumir outra 
personalidade, fingir que é um profissional de 
determinada área, etc. É uma forma de entrar em 
organizações que não necessita da força bruta ou de 
erros em máquinas. Explora as falhas de segurança das 
próprias pessoas que, quando não treinados para esses 
ataques, podem ser facilmente manipuladas. 
 
 
 
 
Servidor DNS 
 
Na Internet, é um computador dotado de um 
software que traduz os nomes dos sites (domínios), da 
linguagem humana para números (chamados de 
endereços IP, ou Internet Protocol), de forma que 
possam ser interpretados pelas outras máquinas da rede. 
DNS é a sigla em inglês de Domain Name System, e se 
refere ao sistema de atribuição de nomes de domínios e 
endereços eletrônicos em redes de computadores. 
 
O que é cache DNS? 
 
Cache é o nome geral dado a memória temporária 
de um programa ou máquina, que serve para armazenar 
informações já acessadas e diminuir o tempo de acesso 
na próxima vez que a informação for requisitada. No 
caso do cache DNS, trata-se da memória temporária de 
um servidor DNS, de modo que o endereço IP de um site 
anteriormente acessado fique guardado na máquina, 
facilitando os acessos futuros. 
 
Pharming 
 
nÉ um golpe que consiste em alterar os registros 
de IP´s baseados em um Servidor DNS para que 
apontem para um determinado IP que não é o real. 
n Essa técnica clássica é chamada de 
envenenamento de cache DNS (DNS cache poisoning, 
em inglês). Neste ataque, um servidor de nomes 
(servidor DNS) é comprometido, de tal forma que as 
requisições de acesso a um site feitas pelos usuários 
deste servidor sejam redirecionadas a outro endereço, 
sob controle dos atacantes. 
Esse ataque também pode ser feito remotamente 
ou por meio de programas maliciosos como cavalos-de-
tróia, a um arquivo presente nos computadores de 
usuários finais, chamado "hosts". Este arquivo, 
encontrado na maioria das versões do Windows e em 
outros sistemas operacionais, pode incluir uma lista de 
nomes de sites associados a determinados endereços 
eletrônicos, como num catálogo telefônico. Se estes 
endereços forem alterados, o computador do usuário 
poderá direcioná-lo a um falso site toda vez que o nome 
de um site legítimo presente na lista for digitado no 
navegador de Internet. 
 
FIREWALL 
 
Conceito de Firewall 
 
Um Firewall é um sistema de segurança via 
software ou hardware que trabalha protegendo uma rede 
interna de computadores do acesso de outras redes não 
confiáveis, fazendo o repasse de pacotes de acordo com 
normas e regras. O firewall pode ser uma estação de 
trabalho, um Roteador, um Mainframe ou uma 
combinação de tudo isso. O seu objetivo é determinar, 
através de regras pré-definidas, qual informação ou 
serviço pode ser acessado de fora para dentro e quem 
tem permissão de usar os recursos de dentro para fora. 
Uma rede pode ter mais de um Firewall, mas, 
normalmente, um Firewall é instalado no ponto de 
estrangulamento (ponto de encontro) da rede interna 
com a rede externa. 
 
 
 
 
BB Extensiva 05 | 06 
 Prof. Rafael 
Informática 
Criptográfica e Malwares 
 
Atualizada em 09/11/2010 Neste curso os melhores alunos estão sendo preparados pelos melhores Professores 
 
5
DMZ 
 
É o termo consagrado no jargão técnico para 
designar a sub-rede, protegida por “firewall”, em que se 
encontram os servidores que têm de ser resguardados e, 
ao mesmo tempo, devem ser acessíveis via Internet, tais 
como servidores Web, de correio eletrônico, transmissão 
de arquivos, sincronização de hora, listas, de nomes e 
domínios etc. 
 
IDS 
 
Sistemas de detecção de intruso adicionam um 
novo nível de visibilidade ao analisar as características 
do tráfego da sua rede, identificando acessos não 
autorizados, atividades suspeitas e ataques de Hackers 
 
QUESTÕES DE CONCURSOS 
 
Com relação à segurança da informação, julgue os 
próximos itens. 
 
1- A criptografia pode prover confidencialidade, 
integridade, autenticidade e disponibilidade. 
 
2- Uma aplicação típica da esteganografia é prover 
privacidade em VPN. 
 
3- A criação de cópias de segurança é um procedimento 
básico para a continuidade do negócio e recuperação de 
desastres. 
 
4- Cópias de segurança devem ser testadas 
periodicamente para verificar o estado do seu meio de 
suporte e devem ser guardadas em local distinto das 
instalações onde se encontram os dados nelas gravados. 
 
5- Em um sistema de chave pública, a chave de 
codificação criptográfica pode ser publicada. É 
normalmente denominada chave pública. Essa 
publicação torna-se possível porque não se pode chegar 
às chaves privadas a partir de suas correspondentes 
chaves públicas. 
 
6- Quando se envia um e-mail importante, pode-se 
utilizar o certificado digital para assinar "digitalmente" a 
mensagem, de modo a assegurar ao destinatário a 
origem do e-mail e que este não foi adulterado entre o 
envio e o recebimento. 
 
7- A Irretratabilidade é a propriedade de evitar a negativa 
de autoria de transações por parte do usuário, garantindo 
ao destinatário o dado sobre a autoria da informação 
recebida. 
 
8- Uma das finalidades da assinatura digitalé evitar que 
alterações feitas em um documento passem sem ser 
percebidas. Nesse tipo de procedimento, o documento 
original não precisa estar criptografado. 
 
9- A assinatura digital facilita a identificação de uma 
comunicação, pois baseia-se em criptografia simétrica de 
uma única chave. 
 
10 - Quando um usuário com assinatura digital envia e-
mail para um destinatário, a mensagem será assinada 
por uma chave pública do destinatário, para garantir que 
seja aberta apenas pelo destinatário. 
 
11- Uma desvantagem dos aplicativos da suíte BR 
Office, em relação aos da suíte Microsoft Office, é não 
possuir suporte a assinaturas digitais nem exibir 
certificados digitais criados para os usuários. 
 
12- O destinatário de uma mensagem assinada utiliza a 
chave pública do remetente para garantir que essa 
mensagem tenha sido enviada pelo próprio remetente. 
 
13- Os vírus de e-mail são anexados às mensagens 
enviadas e o firewall, ao determinar o conteúdo da 
mensagem, pode, portanto, proteger o computador 
contra esses tipos de vírus. 
14- A autoridade certificadora raiz emite certificados para 
usuários de mais alto nível de sigilo em uma organização 
com uma chave de criptografia de 128 bits. 
 
15- A autoridade de registro recebe as solicitações de 
certificados dos usuários e as envia à autoridade 
certificadora que os emite. 
 
 
 
A figura acima ilustra uma janela do Internet Explorer 
7 (IE7) em execução em um computador PC, cujo 
sistema operacional é o Windows XP. Considerando 
essa janela, julgue os itens seguintes. 
 
16- Confidencialidade, integridade e disponibilidade são 
características diretamente relacionadas à segurança da 
informação que podem ser ameaçadas por agentes 
maliciosos. Em particular, a perda de disponibilidade 
acontece quando determinada informação é exposta ao 
manuseio de pessoa não-autorizada, que, utilizando 
falha no equipamento causada por motivo interno ou 
externo, efetua alterações que não estão sob o controle 
do proprietário da informação. 
 
17- Por meio do botão , é possível que um 
usuário obtenha a denominada certificação digital, que, 
em aplicações bancárias, como a ilustrada na janela do 
IE7, permite que seja definida uma chave pública que 
serve para validar uma assinatura realizada em 
documentos eletrônicos do usuário. 
 
18- worms (ou vermes) são uma ameaça programada 
camuflada em programas, que são ativados sob 
BB Extensiva 05 | 06 
 Prof. Rafael 
Informática 
Criptográfica e Malwares 
 
Atualizada em 09/11/2010 Neste curso os melhores alunos estão sendo preparados pelos melhores Professores 
 
6 
determinada condição, executando funções que alteram 
o comportamento do software hospedeiro. 
 
19- Um Spyware é um programa que recolhe 
informações sobre o usuário e sobre seus costumes na 
Internet e transmite estas informações a uma entidade 
externa na Internet sem o conhecimento ou 
consentimento do usuário. Diferem dos cavalos de Tróia 
por não terem como objetivo que o sistema do usuário 
seja dominado ou manipulado.