Baixe o app para aproveitar ainda mais
Leia os materiais offline, sem usar a internet. Além de vários outros recursos!
curso 14913 aula 11 v1
Faça como milhares de estudantes: teste grátis o Passei Direto
Esse e outros conteúdos desbloqueados
16 milhões de materiais de várias disciplinas
Impressão de materiais
Agora você pode testar o
Passei Direto grátis
Faça como milhares de estudantes: teste grátis o Passei Direto
Esse e outros conteúdos desbloqueados
16 milhões de materiais de várias disciplinas
Impressão de materiais
Agora você pode testar o
Passei Direto grátis
Faça como milhares de estudantes: teste grátis o Passei Direto
Esse e outros conteúdos desbloqueados
16 milhões de materiais de várias disciplinas
Impressão de materiais
Agora você pode testar o
Passei Direto grátis
Faça como milhares de estudantes: teste grátis o Passei Direto
Esse e outros conteúdos desbloqueados
16 milhões de materiais de várias disciplinas
Impressão de materiais
Agora você pode testar o
Passei Direto grátis
Faça como milhares de estudantes: teste grátis o Passei Direto
Esse e outros conteúdos desbloqueados
16 milhões de materiais de várias disciplinas
Impressão de materiais
Agora você pode testar o
Passei Direto grátis
Faça como milhares de estudantes: teste grátis o Passei Direto
Esse e outros conteúdos desbloqueados
16 milhões de materiais de várias disciplinas
Impressão de materiais
Agora você pode testar o
Passei Direto grátis
Faça como milhares de estudantes: teste grátis o Passei Direto
Esse e outros conteúdos desbloqueados
16 milhões de materiais de várias disciplinas
Impressão de materiais
Agora você pode testar o
Passei Direto grátis
Faça como milhares de estudantes: teste grátis o Passei Direto
Esse e outros conteúdos desbloqueados
16 milhões de materiais de várias disciplinas
Impressão de materiais
Agora você pode testar o
Passei Direto grátis
Faça como milhares de estudantes: teste grátis o Passei Direto
Esse e outros conteúdos desbloqueados
16 milhões de materiais de várias disciplinas
Impressão de materiais
Agora você pode testar o
Passei Direto grátis
Faça como milhares de estudantes: teste grátis o Passei Direto
Esse e outros conteúdos desbloqueados
16 milhões de materiais de várias disciplinas
Impressão de materiais
Agora você pode testar o
Passei Direto grátis
Compartilhar
Prévia do material em texto
Aula 11
Informática p/ Tribunais de Justiça - Todos os Cargos - com videoaulas
Professor: Victor Dalton
62212394519 - Juan Bryan Alves
Informática para Concursos de Tribunais
Prof Victor Dalton ʹ Aula 11
Prof. Victor Dalton
www.estrategiaconcursos.com.br 1 de 209
AULA 11: Segurança da Informação
SUMÁRIO PÁGINA
Apresentação 1
1. Proteção a redes de computadores 2
1.1 Considerações iniciais 2
1.2 Ameaças 5
1.3 Criptografia 18
1.4 Backup 41
1.5 VPN 42
1.6 Firewall 46
1.7 Outras boas práticas de segurança da informação 52
Exercícios Comentados 57
Considerações Finais 151
Lista de Exercícios 152
Olá amigos e amigas! Que bom estarmos juntos novamente!
Particularmente, gosto muito do conteúdo da aula de hoje. Criptografia
e ameaças trazem muitos conceitos e ideias que estão mais envolvidos com
o nosso dia a dia do que a gente pensa, e, justamente por isso, adoro o
tema.
Podemos começar?
Observação importante: este curso é protegido por direitos
autorais (copyright), nos termos da Lei 9.610/98, que altera,
atualiza e consolida a legislação sobre direitos autorais e dá
outras providências.
Grupos de rateio e pirataria são clandestinos, violam a lei e
prejudicam os professores que elaboram os cursos. Valorize o
trabalho de nossa equipe adquirindo os cursos honestamente
através do site Estratégia Concursos ;-)
62212394519 - Juan Bryan Alves
Informática para Concursos de Tribunais
Prof Victor Dalton ʹ Aula 11
Prof. Victor Dalton
www.estrategiaconcursos.com.br 2 de 209
SEGURANÇA DA INFORMAÇÃO
1. PROTEÇÃO A REDES DE COMPUTADORES
1.1 Considerações iniciais
Nos dias atuais, a informação trafega pela rede mundial de
computadores, ou simplesmente Internet. Nesse ambiente convivem
elementos bem e mal intencionados. Por causa disso, diversos recursos
para proteger a informação e as redes de computadores precisam ser
empregados.
A norma ISO 27002 ressalta que a informação é um ativo muito valioso
para uma organização. Diferentemente de outros ativos, ela pode ser
impressa, escrita em papel, armazenada em via eletrônica, ou até mesmo
conversada. Isto posto, ela deve ser protegida com adequação.
Nesse contexto, a segurança da informação é um conjunto de
controles, nos quais se incluem políticas, processos, funções de software
e hardware e estruturas organizacionais, aplicados com o intuito de
proteger a informação dos vários tipos de ameaças, para garantir a
continuidade do negócio em caso de desastre, maximizar o ROI (retorno
sobre o investimento) e as oportunidades de negócio.
Destaque para a tríade da segurança da informação:
62212394519 - Juan Bryan Alves
Informática para Concursos de Tribunais
Prof Victor Dalton ʹ Aula 11
Prof. Victor Dalton
www.estrategiaconcursos.com.br 3 de 209
Segundo a norma:
Confidencialidade: Garantia de que o acesso à informação seja
obtido somente por pessoas autorizadas.
Integridade: Salvaguarda da exatidão e completeza da informação e
dos métodos de processamento.
Disponibilidade: Garantia de que os usuários autorizados obtenham
acesso à informação e aos ativos correspondentes sempre que necessário.
(CESPE ± TCU ± Auditor - Tecnologia da Informação - 2015)
Confidencialidade é a garantia de que somente pessoas autorizadas tenham
acesso à informação, ao passo que integridade é a garantia de que os usuários
autorizados tenham acesso, sempre que necessário, à informação e aos ativos
correspondentes.
Errado! O conceito de confidencialidade está correto, mas o segundo conceito é
o de disponibilidade. Integridade é a garantia que a informação não foi alterada,
e permanece íntegra.
Além da famosa tríade, a resolução do TCU nº 229, de 2009 define
mais dois critérios utilizados para a classificação da informação. Ei-los:
Criticidade: Atributo da segurança da informação que define a
importância da informação para a continuidade do negócio da instituição;
Prazo de retenção: Período em que os dados ficarão retidos,
guardados e/ou armazenados. Na instituição governamental, o período é
alterado de acordo com a necessidade. Consiste no tempo em que o backup
não pode ser apagado, caso exista um histórico.
Ainda, alguns autores defendem que para que uma informação seja
considera segura, o sistema que o administra ainda deve respeitar os
seguintes critérios:
Autenticidade - Garante que a informação ou o usuário da mesma é
autêntico.
62212394519 - Juan Bryan Alves
Informática para Concursos de Tribunais
Prof Victor Dalton ʹ Aula 11
Prof. Victor Dalton
www.estrategiaconcursos.com.br 4 de 209
Não repúdio (irretratabilidade). Não é possível negar (no sentido
de dizer que não foi feito) uma operação ou serviço que modificou ou criou
uma informação; não é possível negar o envio ou recepção de uma
informação ou dado.
Legalidade. Garante a legalidade (jurídica) da informação; a
aderência de um sistema à legislação; e as características das informações
que possuem valor legal dentro de um processo de comunicação, onde
todos os ativos estão de acordo com as cláusulas contratuais pactuadas ou
a legislação nacional ou internacional vigente.
Privacidade. Foge do aspecto de confidencialidade, pois uma
informação pode ser considerada confidencial, mas não privada. Uma
informação privada deve poder ser vista / lida / alterada somente pelo seu
dono. Garante ainda, que a informação não será disponibilizada para outras
pessoas (neste caso é atribuído o caráter de confidencialidade à
informação). É a capacidade de um usuário realizar ações em um sistema
sem que seja identificado.
Auditoria. Rastreabilidade dos diversos passos de um negócio ou
processo, identificando os participantes, os locais e horários de cada etapa.
A auditoria aumenta a credibilidade da empresa e é responsável pela
adequação da empresa às políticas legais e internas.
Para Laureano e Moraes (Segurança Como Estratégia de Gestão da
Informação), as informações se classificam como pública, interna,
confidencial, secreta.
� Pública: Informação que pode vir a público sem maiores
consequências danosas ao funcionamento normal da empresa, e cuja
integridade não é vital.
�Interna: O acesso livre a este tipo de informação deve ser evitado,
embora as consequências do uso não autorizado não sejam por demais
sérias. Sua integridade é importante, mesmo que não seja vital.
� Confidencial: Informação restrita aos limites da empresa, cuja
divulgação ou perda pode levar a desequilíbrio operacional, e
eventualmente, a perdas financeiras ou de confiabilidade perante o cliente
externo.
� Secreta: Informação crítica para as atividades da empresa, cuja
integridade deve ser preservada a qualquer custo e cujo acesso deve ser
62212394519 - Juan Bryan Alves
Informática para Concursos de Tribunais
Prof Victor Dalton ʹ Aula 11
Prof. Victor Dalton
www.estrategiaconcursos.com.br 5 de 209
restrito a um número reduzido de pessoas. A segurança desse tipo de
informação é vital para a companhia.
1.2 Ameaças
A Internet é um cesto cheio dos mais diversos tipos de golpes e
ameaças. Para facilitar o entendimento do cidadão (e a cobrança em
concursos, rs), esses golpes e ameaças recebem uma série de
classificações. Vejamos:
1.2.1 Malware
2ULXQGR�GD�H[SUHVVmR�³0DOLFLRXV�6RIWZDUH´� Malware são programas
desenvolvidos para executar atividadesmaliciosas em um computador.
Lato sensu, até mesmo programas legítimos que, em virtude de falhas em
seu código, causam danos, podem ser classificados como malware. Os
principais tipos de malware são:
Vírus: um vírus de computador é um programa capaz de se replicar e
opera sem o consentimento do usuário, se espalhando ao se anexar a
outros programas. Outras variedades de vírus são os vírus de boot
capazes de danificar áreas responsáveis por carregar o sistema operacional
e os vírus de macro que podem causar alterações em documentos. Alguns
62212394519 - Juan Bryan Alves
Informática para Concursos de Tribunais
Prof Victor Dalton ʹ Aula 11
Prof. Victor Dalton
www.estrategiaconcursos.com.br 6 de 209
vírus apenas se replicam, outros podem trazer danos maiores como
corromper arquivos, sobrecarregar uma rede e levar uma máquina a ser
formatada.
Vírus simples
Um vírus simples, que só se replica e é fácil de ser detectado. Se um
usuário executa um vírus, esse vírus pode tomar conta do computador da
vítima e se anexar em outro arquivo, e, depois que ele se espalha, o
devolve o controle para o programa hospedeiro, que funciona
normalmente. O vírus pode se replicar inúmeras vezes, mas nunca se
modifica, logo, o antivírus pode facilmente localizá-lo por uma sequência
de bits característica. Essa sequência também é chamada de assinatura
do vírus.
Vírus encriptado
A ideia do vírus encriptado é esconder esta assinatura fixa,
embaralhando o vírus, para que este não seja detectado por um antivírus.
Um vírus encriptado consiste de uma rotina de decriptação e um corpo
encriptado que, ao ser executado, inicia a fase de decriptação. Após esta
fase, o corpo do vírus toma conta da máquina, se espalhando da mesma
forma que um vírus simples, mas com o diferencial de encriptar o corpo do
vírus com uma nova chave de encriptação, dificultando a detecção por
assinaturas de vírus. No entanto, a rotina de decriptação continua a ser a
mesma, logo, os antivírus passaram a checar por sequências de bytes que
identificassem a rotina de decriptação.
Vírus Polimórficos
Os vírus polimórficos são capazes de criar uma nova variante a cada
execução e diferentemente dos vírus encriptados que encriptam apenas o
código do vírus e permanecem com a mesma rotina de decriptação, os vírus
polimórficos alteram tanto a rotina de encriptação quanto a rotina de
decriptação, o que dificulta a detecção.
Em uma variante de um vírus polimórfico o módulo de decriptação
aparece em claro e o corpo do vírus aparece encriptado. No corpo do vírus
estão presentes a rotina do vírus em si e um módulo de mutação
responsável por gerar o módulo de encriptação e um novo módulo de
62212394519 - Juan Bryan Alves
Informática para Concursos de Tribunais
Prof Victor Dalton ʹ Aula 11
Prof. Victor Dalton
www.estrategiaconcursos.com.br 7 de 209
decriptação que terá uma nova chave, visto que o módulo de encriptação
foi alterado. Sendo assim, ao infectar um arquivo, o vírus apresentará um
novo módulo de encriptação e um novo corpo.
Em geral, para realizar a detecção dessas ameaças os softwares
antivírus fazem a decriptação do vírus usando um emulador ou realizam
uma análise de padrão do corpo do vírus, visto que o código muda, mas a
semântica não. O processo de emulação é também chamado de sandbox e
é capaz de detectar o vírus caso o código decriptado permaneça o mesmo.
Vírus Metamórficos
Os vírus polimórficos podem apresentar problemas durante as suas
mutações e podem até demorar a serem detectados, mas na maioria das
vezes são detectados devido ao baixo número de vírus polimórficos
eficientes.
Os desenvolvedores de vírus implementam novos códigos para
dificultar o trabalho do pesquisador. O W32/Apparition foi o primeiro vírus
de 32 bits a não utilizar decriptadores polimórficos para realizar mutações,
ele possuía seu código decompilado e quando encontrava um compilador
compilava o código. O vírus inseria e removia código desnecessário ao
código fonte e se recompilava. Dessa forma uma nova geração do vírus
parecia completamente diferente das anteriores. Esse tipo de técnica pode
ser mais destrutiva em ambientes baseados em Unix, onde os compiladores
C são instalados junto com o sistema.
Os vírus metamórficos são capazes de mudar o próprio corpo, por não
possuir um decriptador ou um corpo de vírus constante, mas são capazes
de criar novas gerações diferentes. Eles possuem um corpo único que
carregava dados como código. Os vírus metamórficos evitam gerar
instâncias parecidas com a anterior.
Vírus de macro
Os vírus de macro vinculam suas macros a modelos de documentos e
a outros arquivos de modo que, quando um aplicativo carrega o arquivo e
executa as instruções nele contidas, as primeiras instruções executadas
serão as do vírus.
62212394519 - Juan Bryan Alves
Informática para Concursos de Tribunais
Prof Victor Dalton ʹ Aula 11
Prof. Victor Dalton
www.estrategiaconcursos.com.br 8 de 209
Vírus de macro são parecidos com outros vírus em vários aspectos:
são códigos escritos para que, sob certas condições, este código se
"reproduz", fazendo uma cópia dele mesmo. Como outros vírus, eles podem
ser escritos para causar danos, apresentar uma mensagem ou fazer
qualquer coisa que um programa possa fazer.
Ainda cabe trazer a classificação de vírus segundo a CERT.BR:
Vírus propagado por e-mail: recebido como um arquivo anexo a um
e-mail cujo conteúdo tenta induzir o usuário a clicar sobre este arquivo,
fazendo com que seja executado. Quando entra em ação, infecta arquivos
e programas e envia cópias de si mesmo para os e-mails encontrados nas
listas de contatos gravadas no computador.
Vírus de script: escrito em linguagem de script, como VBScript e
JavaScript, e recebido ao acessar uma página Web ou por e-mail, como um
arquivo anexo ou como parte do próprio e-mail escrito em formato HTML.
Pode ser automaticamente executado, dependendo da configuração do
navegador Web e do programa leitor de e-mails do usuário.
Vírus de macro: tipo específico de vírus de script, escrito em
linguagem de macro, que tenta infectar arquivos manipulados por
aplicativos que utilizam esta linguagem como, por exemplo, os que compõe
o Microsoft Office (Excel, Word e PowerPoint, entre outros).
Vírus de telefone celular: vírus que se propaga de celular para
celular por meio da tecnologia bluetooth ou de mensagens MMS
(Multimedia Message Service). A infecção ocorre quando um usuário
permite o recebimento de um arquivo infectado e o executa. Após infectar
o celular, o vírus pode destruir ou sobrescrever arquivos, remover ou
transmitir contatos da agenda, efetuar ligações telefônicas e drenar a carga
da bateria, além de tentar se propagar para outros celulares.
E mais algumas classificações:
Vírus de Boot: Vírus que se infecta na área de inicialização dos
disquetes e de discos rígidos (são vírus bem antigos, rs). Essa área é onde
se encontram arquivos essenciais ao sistema. Os vírus de boot costumam
ter alto poder de destruição, impedindo, inclusive, que o usuário entre no
micro.
62212394519 - Juan Bryan Alves
Informática para Concursos de Tribunais
Prof Victor Dalton ʹ Aula 11
Prof. Victor Dalton
www.estrategiaconcursos.com.br 9 de 209
Vírus de Programa: infectam - normalmente - os arquivos
executáveis, com extensão .EXE e .COM, e algumas outras extensões,
como .OVL e .DLL.
Vírus Multipartite: misto dos vírus de Boot e de Programas.Eles
infectam ambos: arquivos de programas e setores de boot, o que os tornam
muito mais eficazes na tarefa de se espalhar, contaminando outros
arquivos e/ou discos, mas também mais difíceis de serem detectados e
removidos.
Vírus Stealth (Vírus Invisíveis): um dos mais complexos da
atualidade, cuja principal característica é a inteligência. Emprega técnicas
para evitar sua detecção durante a varredura de programas antivírus,
como, por exemplo, temporariamente se auto remover da memória.
E prossigamos com outros malwares!
Worm (importante!): worms são programas autorreplicantes,
passando de um sistema a outro, sem, necessariamente, utilizar um
arquivo hospedeiro. Além disso, pode causar danos sem a ativação pelo
usuário, diferentemente dos vírus.
O worm é executado ou
não é?
Todo programa em um computador precisa ser executado.
Um worm, para se autorreplicar, precisa estar em execução.
O que difere o worm de um vírus, por exemplo, é que,
enquanto o vírus é executado por uma ação explícita do
usuário (como um clique duplo no arquivo malicioso), o worm
explora vulnerabilidades existentes ou falhas na
configuração de softwares instalados em computadores. Ex:
execução do arquivo infectado autorun.inf em um
pendrive. O computador que está configurado para executar
automaticamente esse arquivo em mídias removíveis pode
ser contaminado apenas com a inserção do pendrive no
computador. O arquivo malicioso será executado, mesmo
TXH�R�XVXiULR�³QmR�WHQKD�IHLWR QDGD´��&RPSUHHQGHX"�
(CESPE ± FUB ± Conhecimentos Básicos - 2015) Vírus é um programa
autossuficiente capaz de se propagar automaticamente pelas redes enviando
cópias de si mesmo de um computador para outro.
62212394519 - Juan Bryan Alves
Informática para Concursos de Tribunais
Prof Victor Dalton ʹ Aula 11
Prof. Victor Dalton
www.estrategiaconcursos.com.br 10 de 209
Errado! Descrição bem didática de worm. Vírus não são auto propagáveis pela
rede, enviando cópias de si mesmo.
Bot e Botnet: Bot é um programa que dispões de mecanismos com o
invasor que permite que ele seja controlado remotamente. Propaga-se de
maneira similar ao worm.
O computador infectado por um bot pode ser chamado de zumbi, pois
pode ser controlado remotamente, sem o conhecimento do dono. Por
exemplo, zumbis podem ser utilizados para realizar ataques DDos e para
envio de spam.
Botnet é o nome dado a uma rede de Bots.
Spyware: Spyware é um programa que monitora atividades de um
sistema e envia a terceiros. Podem ser keyloggers, do tipo que captura o
que o usuário digita; screenloggers, do tipo que registra os movimentos
de mouse de um usuário, ou adwares, daqueles que mostram
propagandas para o usuário.
Backdoor: É um programa que permite o retorno de um invasor a um
FRPSXWDGRU� FRPSURPHWLGR�� (OH� GHL[D� ³SRUWDV� DEHUWDV´� HP� SURJUDPDV�
instalados na máquina, permitindo o acesso remoto futuro na máquina.
Cavalo de Tróia: programas impostores, arquivos que se passam por
um programa desejável, mas que, na verdade, são prejudiciais, pois
executam mais funções além daquelas que aparentemente ele foi
projetado. Contêm códigos maliciosos que, quando ativados, causam a
perda ou até mesmo o roubo de dados. Não se replicam.
Hijacker: é uma variação de Cavalo de Tróia que modifica a página
inicial do navegador e, muitas vezes, também abrem pop-ups indesejados.
O objetivo é vender os cliques que o usuário faz nessas páginas, o que gera
lucro para o criador do hijacker.
Rootkit: É um conjunto de programas e técnicas que esconde e
assegura a presença de um invasor ou código malicioso em um computador
62212394519 - Juan Bryan Alves
Informática para Concursos de Tribunais
Prof Victor Dalton ʹ Aula 11
Prof. Victor Dalton
www.estrategiaconcursos.com.br 12 de 209
Trapdoors: Trapdoors são mecanismos escondidos em softwares, são
falhas de programação gerada pelo próprio Programador, para em um
futuro, conseguir obter acesso e explorar o sistema. O termo Trapdoor soa
e chega a parecer bastante parecido com o backdoor, mas a diferença pode
ser explicada.
Enquanto o backdoor é instalado na máquina da vítima sem que a mesma
saiba, para obter acesso ao seu sistema, o Trapdoor é desenvolvido pelo
próprio programador ao deixar uma falha em seu próprio programa para
explorá-la futuramente, quando seu software estiver em uso em um
determinado lugar (empresa, consultoria, máquinas caseiras, etc).
Scan: Busca minuciosa em redes, para identificar computadores
ativos e coletar informações sobre eles.
Email spoofing (falsificação de email): Envio de email modificando
dados do cabeçalho, para ludibriar o destinatário, quanto ao remetente,
principalmente. Utilizado em spams e phishings.
Sniffing (interceptação de tráfego): é uma técnica que baseia-se
na interceptação de tráfego entre computadores, por meio de sniffers.
Defacement (desfiguração de página): é um ataque que consiste
em alterar o conteúdo de uma página Web de um site. Não raro, alguns
sites de órgãos públicos sofrem esse tipo de ataque, no qual os invasores
trocam a página principal do site por uma página própria, com alguma
mensagem radical.
SQL Injection (Injeção de SQL): é um ataque baseado na inserção
maliciosa de comandos ou consultas SQL em uma aplicação Web. O
objetivo é fazer a aplicação executar comandos indesejados ou permitir o
acesso a dados não autorizados.
Cross-Site Scripting - XSS: é um ataque no qual uma aplicação
recebe dados não confiáveis e os envia ao navegador sem validação ou
filtro adequados. Esse tipo de ataque permite aos atacantes executarem
scripts no navegadRU�GD�YtWLPD�TXH�SRGHP�³VHTXHVWUDU´�VHVV}HV�GR�XVXiULR��
desfigurar sites ou redirecionar o usuário para sites maliciosos.
Cross-Site Request Forgery: Força a vítima, que possui uma sessão
ativa em um navegador, a enviar uma requisição HTTP forjada, incluindo o
cookie da sessão da vítima e qualquer outra informação de autenticação
62212394519 - Juan Bryan Alves
Informática para Concursos de Tribunais
Prof Victor Dalton ʹ Aula 11
Prof. Victor Dalton
www.estrategiaconcursos.com.br 14 de 209
Flooding ou DoS: é uma forma de ataque de negação de serviço
(também conhecido como Denial of Service - DoS) em sistemas
computadorizados, na qual o atacante envia uma seqüência de requisições
para um sistema-alvo visando uma sobrecarga direta na camada de
transporte e indireta na camada de aplicação do modelo OSI. Sua variante
é o DdoS (Distributed Denial of Service).
Este é o tipo de ataque do qual ouvimos falar recentemente na mídia.
Lembra, em 2013, daquele grupo que anunciou ataques a bancos e órgãos
públicos no Brasil? Eles anunciavam o ataque, anunciavam o alvo, e o site
era derrubado.
Isso acontece porque os ataques do tipo Distributed Denial of Service,
ou ataques distribuídos de negação de serviço, são os de mais difícil
defesa.
Um ataque de negação de serviço (DoS), é uma tentativa em tornar
os recursos de um sistema indisponíveis para seus utilizadores. Alvos
típicos são servidores web, e o ataque tenta tornar as páginas hospedadas
indisponíveis na rede. Não se trata de uma invasão do sistema, mas sim da
sua invalidação por sobrecarga. Os ataques de negação de serviço são
feitos geralmente de duas formas:
x Forçar o sistema vítima a reinicializar ou consumir todos os
recursos (como memória ou processamento por exemplo) de forma
que ele não pode mais fornecer seu serviço.
x Obstruir a mídia de comunicação entre os utilizadores e o
sistemavítima de forma a não comunicarem-se adequadamente.
Em um ataque distribuído de negação de serviço, um computador
mestre (denominado "Master") pode ter sob seu comando até milhares de
computadores ("Zombies" - zumbis). Neste caso, as tarefas de ataque de
negação de serviço são distribuídas a um "exército" de máquinas
escravizadas.
62212394519 - Juan Bryan Alves
Informática para Concursos de Tribunais
Prof Victor Dalton ʹ Aula 11
Prof. Victor Dalton
www.estrategiaconcursos.com.br 15 de 209
O ataque consiste em fazer com que os Zumbis (máquinas infectadas
e sob comando do Mestre) se preparem para acessar um determinado
recurso em um determinado servidor em uma mesma hora de uma mesma
data. Passada essa fase, na determinada hora, todos os zumbis (ligados e
conectados à rede) acessarão ao mesmo recurso do mesmo servidor. Como
servidores web possuem um número limitado de usuários que pode atender
simultaneamente ("slots"), o grande e repentino número de requisições de
acesso esgota esse número de slot, fazendo com que o servidor não seja
capaz de atender a mais nenhum pedido.
Destaco ainda que todo ataque de DDoS foi precedido de alguma outra
forma de ataque. As máquinas ³]XPELV´� ou escravas, são máquinas de
usuários comuns que se deixaram infectar anteriormente por algum
malware (bots).
Hoax: são mensagens que possuem conteúdo alarmante ou falso.
Podem ser fotos polêmicas, correntes, pirâmides. Além disso, também
podem conter códigos maliciosos.
Spam: termo usado para se referir aos e-mails não solicitados, que
geralmente são enviados para um grande número de pessoas.
Phishing: também chamado de scam, é o tipo de fraude no qual um
golpista tenta obter dados pessoais e financeiros. Normalmente, é realizado
por mensagens eletrônicas que tentam se passar por alguma Instituição
62212394519 - Juan Bryan Alves
Informática para Concursos de Tribunais
Prof Victor Dalton ʹ Aula 11
Prof. Victor Dalton
www.estrategiaconcursos.com.br 16 de 209
conhecida, compelindo o destinatário a entrar em um site (falso) para o
fornecimento de dados pessoais.
Phishing: quem nunca recebeu um email desses?
Uma variação do Phising é o chamado Pharming. Nele, o serviço DNS
(Domain Name System, ou domínio de nomes do sistema) do navegador
Web é corrompido, redirecionando o usuário para um site falso, mesmo
quando ele digita o nome de um site verdadeiro.
Spear Phishing: Outra variação do Phishing, mas o remetente se
passa por alguém que você conhece, um amigo ou uma empresa com a
qual você mantém relacionamento.
(FCC ± TRT 2ª Região ± Analista Judiciário ± Tecnologia da Informação ±
2014) Independentemente do tipo de tecnologia usada, ao se conectar um
computador à rede ele pode estar sujeito a diversos tipos de ataques. De acordo
com a cartilha CERT. BR, está correto o que se afirma em:
(A) Interceptação de tráfego consiste em adivinhar, por tentativa e erro, um nome
de usuário e senha e, assim, executar processos e acessar sites, computadores e
serviços com o nome e com os mesmos privilégios deste usuário. Apesar deste
ataque poder ser realizado manualmente, na grande maioria dos casos, é
realizado com o uso de ferramentas automatizadas que permitem tornar o ataque
bem mais efetivo.
62212394519 - Juan Bryan Alves
Informática para Concursos de Tribunais
Prof Victor Dalton ʹ Aula 11
Prof. Victor Dalton
www.estrategiaconcursos.com.br 18 de 209
alvo. Quando isto ocorre, todas as pessoas que dependem dos recursos afetados
são prejudicadas, pois ficam impossibilitadas de acessar ou realizar as operações
desejadas.
A cartilha CERT.BR, disponível em http://cartilha.cert.br/ é a principal fonte de
inspiração da FCC para questões deste tipo. Fica a recomendação para sua leitura
complementar.
Resposta certa, alternativa e).
1.3 Criptografia
Criptografia é o estudo dos princípios e técnicas pelas quais
a informação pode ser transformada da sua forma original para outra
ilegível, de forma que possa ser conhecida apenas por seu destinatário, o
que a torna difícil de ser lida por alguém não autorizado. Assim sendo, só
o receptor da mensagem pode ler a informação com facilidade. É um ramo
da Matemática, parte da Criptologia.
Há dois tipos principais de chaves criptográficas: chaves
simétricas e chaves assimétricas. Uma informação não-cifrada que é
enviada de uma pessoa (ou organização) para outra é chamada de "texto
claro" (plaintext). Cifragem é o processo de conversão de um texto claro
para um código cifrado e decifragem é o processo contrário, de recuperar
o texto original a partir de um texto cifrado. A criptografia moderna é
basicamente formada pelo estudo dos algoritmos criptográficos que podem
ser implementados em computadores.
Segundo Nakamura, a criptografia possui quatro propriedades, ou
objetivos, para a proteção da informação, a saber:
x Confidencialidade (privacidade) ± sigilo entre as partes
envolvidas
x Integridade ± a informação não sofrer alterações
x Autenticação (do remetente) ± poder saber quem é o remetente
x Não-repúdio ± o remetente não poder negar a autoria da mensagem
62212394519 - Juan Bryan Alves
9
Informática para Concursos de Tribunais
Prof Victor Dalton ʹ Aula 11
Prof. Victor Dalton
www.estrategiaconcursos.com.br 20 de 209
E essa mensagem? Continua inocente?
Nos dias atuais, é possível empregar a esteganografia em mensagens
de áudio, texto, vídeos, imagens... enfim, qualquer tipo de mídia que
possa carregar informação.
Uma outra ideia relacionada à criptografia é a chamada cifra de
César.
A cifra de César é uma das formas mais simples de criptografia. Quem
Mi�WHYH�LQIkQFLD�FHUWDPHQWH�Mi�WURFRX�ELOKHWHV�³FULSWRJUDIDGRV´�QD�HVFROD��
usando a famosa regrinha do +1, -1, +2, etc. Por exemplo, escrevendo
CASA como DBTB ou BZRZ. Esta é a cifra de César.
A cifragem de César se baseia no deslocamento dos caracteres do
alfabeto.
62212394519 - Juan Bryan Alves
Informática para Concursos de Tribunais
Prof Victor Dalton ʹ Aula 11
Prof. Victor Dalton
www.estrategiaconcursos.com.br 21 de 209
Outros conceitos interessantes dizem a respeito da engenharia
reversa da criptografia. Uma parte interessada em quebrar uma
mensagem cifrada pode lançar mão de dois recursos, a saber:
Criptoanálise: os ataques criptoanalíticos contam com a natureza do
algoritmo e talvez mais algum conhecimento das características gerais do
texto claro, ou ainda algumas amostras do texto claro e texto cifrado. O
objetivo é deduzir o texto em claro ou a chave utilizada. A criptoanálise
pode ser considerada o oposto da criptologia, que é a arte de criar
mensagens cifradas.
Ataque por força bruta: o atacante experimenta cada chave possível
em um trecho de texto cifrado, até obter uma tradução inteligível para o
texto claro. Na média, metade de todas as chaves possíveis precisam ser
testadas para se obter sucesso.
Logo, percebe-se uma diferença clara entre a criptoanálise e a força
bruta.
&ULSWRJUDIDU�H�GHFULSWRJUDIDU�PHQVDJHQV�p�XP�³MRJR�GH�JDWR�H�UDWR´��
Veremos mais sobre esse jogo, à medida que nos aprofundarmos no
assunto.
1.3.2 Criptografia simétrica e assimétrica (importante!)
Diferenciar algoritmos de chave simétrica e assimétrica é importante,
e não é difícil!
Os algoritmos de chave simétrica são uma classe
de algoritmos para a criptografia,que usam chaves criptográficas
relacionadas para as operações de cifragem e decifragem. A operação de
chave simétrica é mais simples, pois pode existir uma única chave entre as
operações. A chave, na prática, representa um segredo, partilhado entre
duas ou mais partes, que podem ser usadas para manter um canal
confidencial de informação. Usa-se uma única chave, partilhada por ambos
os interlocutores, na premissa de que esta é conhecida apenas por eles.
Resumindo, a mesma chave usava pra criptografar é a mesma utilizada
para decriptografar.
62212394519 - Juan Bryan Alves
2
Informática para Concursos de Tribunais
Prof Victor Dalton ʹ Aula 11
Prof. Victor Dalton
www.estrategiaconcursos.com.br 22 de 209
Criptografia com chave simétrica.
Os algoritmos de chave assimétrica, por sua vez, trabalham com chaves
distintas para a cifragem e decifragem. Normalmente utilizam o conceito de chave
pública e chave privada, no qual a chave pública do destinatário é utilizada para
a criptografia da informação, e apenas a chave privada consegue realizar a
decifragem. Requer o emprego de algoritmos complexos, como a utilização de
números primos extensos.
Criptografia assimétrica
Veja a comunicação acima. Thiago vai enviar uma mensagem para
Fábio. Assim sendo, Thiago utiliza a chave pública de Fábio para
criptografar a mensagem. Estando a mensagem cifrada, ela pode trafegar
por um canal inseguro (ex: Internet) com certa tranquilidade, pois apenas
Fábio poderá decifrar a mensagem, já que apenas ele possui a chave
privada, e nunca divulgou para ninguém.
62212394519 - Juan Bryan Alves
58
Informática para Concursos de Tribunais
Prof Victor Dalton ʹ Aula 11
Prof. Victor Dalton
www.estrategiaconcursos.com.br 24 de 209
fixo de um texto plano e a transforma, através de uma série de complicadas
operações, em um texto cifrado de mesmo tamanho. No caso do DES, o
tamanho do bloco é 64 bits. DES também usa uma chave para personalizar
a transformação, de modo que a decifragem somente é possível,
teoricamente, por aqueles que conhecem a chave particular utilizada para
criptografar. A chave consiste nominalmente de 64 bits, porém somente 56
deles são realmente utilizados pelo algoritmo. Os oito bits restantes são
utilizados para verificar a paridade e depois são descartados, portanto o
tamanho efetivo da chave é de 56 bits, e assim é citado o tamanho de sua
chave.
62212394519 - Juan Bryan Alves
Informática para Concursos de Tribunais
Prof Victor Dalton ʹ Aula 11
Prof. Victor Dalton
www.estrategiaconcursos.com.br 25 de 209
O DES, por ser um algoritmo simétrico, utiliza a mesma chave para
a decriptografia, aplicando-se as subchaves na sequência inversa. É um
algoritmo relativamente vulnerável a ataques de força bruta, nos dias
atuais.
O 3-DES é uma versão melhorada do DES, na qual os dados são
encriptados com a primeira chave, decifrados com a segunda chave e
finalmente encriptados novamente com uma terceira chave. Isto faz o 3DES
ser mais lento que o DES original, porém em contrapartida oferece maior
segurança.
AES (Advanced Encryption Standard) ± Também conhecido como
5MLQGDHO��R�$(6�IRL�XP�DOJRULWPR�³SURYRFDGR´�SHOR�JRYHUQR�QRUWHDPHULFDQR��
em virtude da necessidade de substituição do DES, cuja vida útil se
aproximava do fim. Ele também é simétrico, usa um tamanho de bloco de
128 bits e admite chaves de 128, 192 e 256 bits.
IDEA (International Data Encryption Algorithm) ± algoritmo
desenvolvido na Suíça, em 1990. Simétrico, usa chave de 128 bits.
62212394519 - Juan Bryan Alves
Informática para Concursos de Tribunais
Prof Victor Dalton ʹ Aula 11
Prof. Victor Dalton
www.estrategiaconcursos.com.br 26 de 209
RSA ± O RSA é um algoritmo assimétrico de chave pública, conforme
exemplo mostrado anteriormente. Ele utiliza números primos muito
grandes.
RC4 ± O RC4 não é uma técnica de blocos, ele trabalha em fluxo
contínuo de entrada e saída de bytes. A chave pode ter de 1 até 2048 bits,
mas é comum a utilização com chave de 40 ou 128 bits.
MD-5 (Message Digest Algorithm 5) - É um algoritmo de hash de
128 bits unidirecional desenvolvido pela RSA Data Security, Inc., e muito
utilizado por softwares com protocolo ponto-a-ponto na verificação de
integridade de arquivos e logins. Atualmente, a comunidade de segurança
considera o MD5 como um algoritmo quebrado, embora ainda seja utilizado
nos dias atuais.
SHA-1 (Secure Hash Algorithm 1) - A família de SHA (Secure Hash
Algorithm) está relacionada com as funções criptográficas e verificação de
integridade de dados. A função mais usada nesta família, a SHA-1, é usada
numa grande variedade de aplicações e protocolos de segurança, incluindo
TLS, SSL, PGP, SSH, S/MIME e IPSec. SHA-1 foi considerado o sucessor do
MD5.
O SHA-1 processa os dados de entrada em blocos de 512 bits e gera
um sumário de mensagens de 160 bits.
DSS (Digital Signature Standard) ± O DSS é um padrão de
assinatura digital utiliza um algoritmo que foi projetado apenas para
oferecer a função de assinatura digital (o DSA). Diferentemente do RSA,
ele não pode ser usado para a criptografia ou troca de chave. Apesar disso,
é uma técnica de chave pública. O DSS também utiliza o algoritmo SHA-1
para a geração do hash.
DSA (Digital Signature Algorithm) ± O DSA é o algoritmo do DSS
para assinatura digital, baseado na dificuldade de se calcular logaritmos
discretos. Ele trabalha com três parâmetros públicos, que podem ser
comuns a um grupo de usuários. Um número primo q de 160 bits, um
número p entre 512 a 1024 bits, de modo que q divida (p -1), e g, que será
62212394519 - Juan Bryan Alves
Informática para Concursos de Tribunais
Prof Victor Dalton ʹ Aula 11
Prof. Victor Dalton
www.estrategiaconcursos.com.br 27 de 209
igual a h elevado a [(p-1)/q], em que h é menor que p -1 e (g mod q) > 1.
h é a chave secreta a ser utilizada pelo assinante.
1.3.4 Assinatura digital
Analisar assinatura digital é a continuação natural da criptografia
assimétrica��3RU�HQTXDQWR��DLQGD�HVWDPRV�QR�³PXQGR GDV�LGHLDV´��PDV�Mi�
traremos esses conceitos para o nosso dia a dia. Peço sua paciência!
Você deve ter percebido que a criptografia baseada em chave
assimétrica garante a confidencialidade da mensagem, pois, apenas o
destinatário da mesma consegue decifrá-la. Até aí tudo bem, mas quem
garante que a mensagem realmente está vindo daquele emissor?
Afinal de contas, qualquer um pode enviar uma mensagem para Fábio.
A chave pública de Fábio é pública, não é mesmo?
É nesse contexto que entra a assinatura digital. Ela garantirá a
autenticidade do remetente e a integridade da mensagem. Vamos ver
como?
Assinatura digital baseada em Chave Pública
A assinatura digital requer que emissores e receptores conheçam as
chaves públicas uns dos outros. Assim, quando a entidade emissora quer
enviar uma mensagem assinada digitalmente a outra entidade, aquela terá
que cifrar a mensagem com a sua chave privada e, em seguida, cifrar o
resultado com a chave pública da entidade receptora. Por sua vez, a
entidade receptora ao receber a mensagem terá que decifrá-la primeiro
com a sua chave privada e de seguida decifrar este resultado com a chave
pública da entidade emissora.
O receptor pode provar a recepção de qualquer mensagem através do
criptograma resultante da decifragem com a sua chave privada. Note-se
que ele consegue decifrá-lo masnunca conseguiria produzi-lo uma vez que
desconhece a chave privada do emissor.
62212394519 - Juan Bryan Alves
Informática para Concursos de Tribunais
Prof Victor Dalton ʹ Aula 11
Prof. Victor Dalton
www.estrategiaconcursos.com.br 28 de 209
Este método de assinatura digital tem todas as vantagens dos
algoritmos de chave pública nomeadamente a sua impossibilidade de
decifragem por outros, pelo menos em tempo útil.
Figura ± assinatura digital baseada em chave pública
Entendeu a jogada?
Se, além de cifrar a mensagem com a chave pública de Fábio, Thiago
cifrar também com sua própria chave privada, Fábio não só conseguirá
ler a mensagem, como também garantirá que a mensagem realmente é de
Thiago, pois a chave pública de Thiago também decifra mensagens cifradas
pela chave privada de Thiago.
Veja também outros dois tipos de assinatura digital:
Assinatura digital baseada em Chave Secreta
Esta aproximação requer a existência de uma autoridade central que
sabe tudo e em quem todos confiam. Cada entidade escolhe uma chave
secreta e a repassa à autoridade central. Desta forma só autoridade central
e a própria entidade têm conhecimento da sua chave secreta. Quando uma
entidade quer enviar uma mensagem assinada digitalmente à outra, terá
que a cifrar, com a sua chave secreta, e enviá-la à autoridade central. A
mensagem passará pela autoridade central que a decifrará com a chave
secreta da entidade emissora. A esta mensagem será concatenada uma
estampilha que só a autoridade central consegue gerar e decifrar. O
resultado será cifrado com a chave secreta da entidade receptora e
enviado. Desta forma, o receptor pode provar a recepção de qualquer
62212394519 - Juan Bryan Alves
Informática para Concursos de Tribunais
Prof Victor Dalton ʹ Aula 11
Prof. Victor Dalton
www.estrategiaconcursos.com.br 30 de 209
Estamos evoluindo! Primeiro, você entendeu como a mensagem é
enviada de uma forma segura. Segundo, você entendeu como garantir a
assinatura do remetente. Agora podemos fazer mais uma pergunta.
Quem garante que aquele emissor realmente é legítimo? Ou
seja, quem garante a Fábio que o Thiago realmente é o Thiago, e não
alguém se passando por Thiago?
A dica foi dada na última modalidade de assinatura digital. É hora de
estudarmos o Certificado Digital.
(FCC ± SEFAZ/PI ± Auditor Fiscal ± 2015) Em determinada instituição, João
envia uma mensagem criptografada para Antônio, utilizando criptografia
assimétrica. Para codificar o texto da mensagem, João usa
(A) a chave privada de Antônio. Para Antônio decodificar a mensagem que recebeu
de João, ele terá que usar sua chave privada. Cada um conhece apenas sua própria
chave privada.
(B) a chave pública de Antônio. Para Antônio decodificar a mensagem que recebeu
de João, ele terá que usar a chave privada, relacionada à chave pública usada no
processo por João. Somente Antônio conhece a chave privada.
(C) a chave pública de Antônio. Para Antônio decodificar a mensagem que recebeu
de João, ele terá que usar a chave privada, relacionada à chave pública usada no
processo por João. Ambos conhecem a chave privada.
(D) a chave privada de Antônio. Para Antônio decodificar a mensagem que recebeu
de João, ele terá que usar a chave pública, relacionada à chave privada usada no
processo por João. Ambos conhecem a chave privada.
(E) sua chave privada. Para Antônio decodificar a mensagem que recebeu de João,
ele terá que usar sua chave pública. Somente João conhece a chave privada.
Na criptografia assimétrica, para que João envie uma mensagem para Antônio,
este deverá utilizar a chave pública de Antônio. Antônio, única parte que conhece
sua própria chave privada, será capaz de decifrar a mensagem com a própria
chave privada, que forma par com a chave pública utilizada no processo.
Resposta certa, alternativa b).
62212394519 - Juan Bryan Alves
Informática para Concursos de Tribunais
Prof Victor Dalton ʹ Aula 11
Prof. Victor Dalton
www.estrategiaconcursos.com.br 32 de 209
Esta é uma típica comunicação de duas partes que usa criptografia
assimétrica. Uma parte é VOCÊ, cliente, e a outra é o BANCO.
Em telas cuja informação é sensível, como os dados bancários de um
cliente, o fornecedor de um serviço crítico, no caso, o BANCO, oferece um
canal seguro de comunicação, protegido por criptografia. Mas VOCÊ, no
caso o seu navegador, precisa ter certeza que realmente está trocando
mensagens com o BANCO. Para isso, o banco, ao entrar nesse canal
seguro, lhe envia um CERTIFICADO DIGITAL, mostrando quem ele é,
qual a criptografia que usa, lhe enviando a chave pública dele, e informando
qual a AUTORIDADE CERTIFICADORA que emitiu o Certificado dele.
VOCÊ, então, por meio de seu navegador de internet, verifica se a
autoridade certificadora dele realmente é de confiança (como se um
cartório fosse). Nas configurações avançadas de seu navegador, é possível
verificar estes certificados. Segue abaixo uma tela do Google Chrome, que
mostra isso:
62212394519 - Juan Bryan Alves
Informática para Concursos de Tribunais
Prof Victor Dalton ʹ Aula 11
Prof. Victor Dalton
www.estrategiaconcursos.com.br 33 de 209
Nem pense em modificar essas configurações! Seu navegador
pode ficar vulnerável!
Sendo o Certificado Digital realmente emitido por uma Autoridade
Certificadora de confiança, o CADEADO VERDE aparece na sua tela,
mostrando que sua comunicação, a partir daquele momento, será segura.
Viu como a criptografia faz parte do seu dia a dia?
P.S.: Você já deve ter entrado em sites, inclusive de órgãos públicos,
H� WHU� VH� GHSDUDGR� FRP� PHQVDJHQV� GR� WLSR� �´Este Certificado não foi
verificado. Deseja continuar?´���FRQIRUPH�LPDJHP�DEDL[R�
Tela vermelha GH�IXQGR��FDGHDGR�³FRUWDGR´��RX�HP�YHUPHOKR��H�DOJXPD�
PHQVDJHP�GR�WLSR�³FRQWLQXH�SRU�VXD�FRQWD�H�ULVFR´�
62212394519 - Juan Bryan Alves
Informática para Concursos de Tribunais
Prof Victor Dalton ʹ Aula 11
Prof. Victor Dalton
www.estrategiaconcursos.com.br 34 de 209
Isso acontece porque a emissão de certificados é paga (como se
cartório fosse, rs), e nem todos aderem às Autoridades Certificadoras. Na
prática, isso quer dizer que a comunicação com a outra parte é segura,
mas não há Autoridade Certificadora garantindo que a outra parte é idônea.
Ou seja, é possível trocar informações de maneira segura com uma parte
mal intencionada. Nesses casos, confiar no outro lado fica por conta e risco
do usuário, e não da Autoridade Certificadora.
Em um certificado digital, poderão ser encontradas as seguintes
informações:
í�YHUVmR�H�Q~PHUR�GH�VpULH�GR�FHUWLILFDGR�
í�GDGRV�TXH�LGHQWLILFDP�TXHP�HPLWLX�R�FHUWLILFDGR��DVVLQDWXUD da
AC).
í�GDGRV�TXH�LGHQWLILFDP�R�GRQR�GR�FHUWLILFDGR��QRPH��UHJLVWUR�FLYLO��
í�YDOLGDGH�GR�FHUWLILFDGR�
í�FKDYH�S~EOLFD�GR�GRQR�GR�FHUWLILFDGR��D�FKDYH�SULYDGD�ILFD�DSHQDV�
com o dono).
í�DOJRULWPR�GH�DVVLQDWXUD�
í�YHUVmR�H�Q~PHUR�GH�VpULH�GR�FHUWLILFDGR�
í�UHTXHUHQWH�GR�&HUWLILFDGR�
1.3.6 A ICP - Brasil
Falando em Autoridade Certificadora, a ICP-Brasil é um conjunto de
entidades governamentais ou de iniciativa privada, padrões técnicos e
regulamentos, elaborados para suportar um sistema criptográfico com base
em certificados digitais e visa assegurar as transações entre titulares de
certificados digitais e detentores de chaves públicas, no Brasil.
Para assegurarque uma determinada chave pertence a você é
necessário que uma Autoridade Certificadora (AC) confira sua identidade e
seus respectivos dados. Ela será a entidade responsável pela emissão,
suspensão, renovação ou revogação de seu certificado digital, além de ser
obrigada a manter sempre disponível a Lista de Certificados Revogados
(CRL).
62212394519 - Juan Bryan Alves
Informática para Concursos de Tribunais
Prof Victor Dalton ʹ Aula 11
Prof. Victor Dalton
www.estrategiaconcursos.com.br 35 de 209
A ICP±Brasil é formada por uma Autoridade Certificadora Raiz (AC
RAIZ) que é representada pelo Instituto Nacional de Tecnologia da
Informação (ITI), sendo este órgão responsável pela autentificação das
demais Autoridades Certificadoras, além de executar atividades de
fiscalização e auditoria das AC e Autoridades de Registro (AR) para que
possa certificar-se de que a entidade está seguindo todas as Políticas de
Certificação.
Vejamos mais alguns conceitos relevantes sobre a ICP Brasil:
AC - Raiz
A Autoridade Certificadora Raiz da ICP-Brasil (AC-Raiz) é a primeira
autoridade da cadeia de certificação. Executa as Políticas de Certificados e
normas técnicas e operacionais aprovadas pelo Comitê Gestor da ICP-
Brasil. Portanto, compete à AC-Raiz emitir, expedir, distribuir, revogar
e gerenciar os certificados das autoridades certificadoras de nível
imediatamente subsequente ao seu.
A AC-Raiz também está encarregada de emitir a lista de certificados
revogados (LCR) e de fiscalizar e auditar as Autoridades Certificadoras
(ACs), Autoridades de Registro (ARs) e demais prestadores de serviço
habilitados na ICP-Brasil. Além disso, verifica se as ACs estão atuando em
conformidade com as diretrizes e normas técnicas estabelecidas pelo
Comitê Gestor da ICP-Brasil.
AC - Autoridade Certificadora
Uma Autoridade Certificadora (AC) é uma entidade, pública ou privada,
subordinada à hierarquia da ICP-Brasil, responsável por emitir, distribuir,
renovar, revogar e gerenciar certificados digitais. Tem a
responsabilidade de verificar se o titular do certificado possui a chave
privada que corresponde à chave pública que faz parte do certificado. Cria
e assina digitalmente o certificado do assinante, onde o certificado emitido
pela AC representa a declaração da identidade do titular, que possui um
par único de chaves (pública/privada).
Cabe também à AC emitir listas de certificados revogados (LCR) e
manter registros de suas operações sempre obedecendo às práticas
62212394519 - Juan Bryan Alves
Informática para Concursos de Tribunais
Prof Victor Dalton ʹ Aula 11
Prof. Victor Dalton
www.estrategiaconcursos.com.br 36 de 209
definidas na Declaração de Práticas de Certificação (DPC). Além de
estabelecer e fazer cumprir, pelas Autoridades Registradoras (ARs) a ela
vinculadas, as políticas de segurança necessárias para garantir a
autenticidade da identificação realizada.
AR ± Autoridade de Registro
Uma Autoridade de Registro (AR) é responsável pela interface entre o
usuário e a Autoridade Certificadora. Vinculada a uma AC, tem por objetivo
o recebimento, validação, encaminhamento de solicitações de
emissão ou revogação de certificados digitais e identificação, de
forma presencial, de seus solicitantes. É responsabilidade da AR
manter registros de suas operações. Pode estar fisicamente localizada em
uma AC ou ser uma entidade de registro remota.
Dica do professor: perceba que a Autoridade de Registro NÃO EMITE
Certificados Digitais.
Embora uma entidade precise ir a uma AR para obter o seu Certificado
Digital, quem emitirá o certificado será a AC. A AR apenas faz o meio de
campo entre a entidade e a AC.
Ainda, perceba que ninguém emite Certificados diretamente com a AC-
Raiz, apenas as autoridades Certificadoras imediatamente abaixo de seu
nível na hierarquia.
Conheça a hierarquia resumida da ICP Brasil em:
http://www.iti.gov.br/images/icp-
brasil/estrutura/2014/atualizacao12/Estrutura_da_ICP-Brasil_-_site.pdf
62212394519 - Juan Bryan Alves
Informática para Concursos de Tribunais
Prof Victor Dalton ʹ Aula 11
Prof. Victor Dalton
www.estrategiaconcursos.com.br 38 de 209
Tipo de
certificado
Chave criptográfica
Validade máxima
(anos)*
Tamanho da
chave (bits)
Processo de
geração Mídia armazenadora
A1 e S1 1024 Software Arquivo 1
A2 e S2 1024 Sofware
Smart card ou token, sem capacidade
de geração de chave 2
A3 e S3 1024 Hardware
Smart card ou token, com capacidade
de geração de chave 5
A4 e S4 2048 Hardware
Smart card ou token, com capacidade
de geração de chave 3
T3 1024 Hardware
Hardware criptográfico aprovado
pelo CG da ICP-Brasil 5
T4 2048 Hardware
Hardware criptográfico aprovado
pelo CG da ICP-Brasil 3
*observação: a partir de 5 de julho de 2012, qualquer certificado emitido por AC de 1º ou 2º
nível pode ter validade de até 5 anos.
1.3.8 Métodos de autenticação
A autenticação, via de regra, depende de um ou mais dos métodos a
seguir:
O que voce é: meios biométricos, tais como impressão digital, padrão
de retina, padrão de voz, reconhecimento de assinatura, reconhecimento
facial.
O que você tem: objetos, tais como cartões de identificação, smart
cards, tokens USB.
O que você sabe: senhaa, dados pessoais, frases secretas.
62212394519 - Juan Bryan Alves
Informática para Concursos de Tribunais
Prof Victor Dalton ʹ Aula 11
Prof. Victor Dalton
www.estrategiaconcursos.com.br 39 de 209
Os bons métodos de autenticação atuais utilizam mais de um dos
métodos supracitados. Quando utilizados dois dos métodos, chamamos de
verificação em duas etapas.
A verificação em duas etapas está sendo cada vez mais utilizada em
nosso cotidiano.
Cito como exemplo o gmail, que tem trabalhado com senha (o que
você sabe) + envio de mensagem para o seu telefone (o que você tem).
Certamente você já precisou se autenticar em algum lugar utilizando
procedimento similar.
Verificação em duas etapas.
(FCC ± SEFAZ/PI ± Auditor Fiscal ± 2015) O certificado digital utilizado na
Nota Fiscal Eletrônica (NF-e) deverá ser adquirido junto à Autoridade Certificadora
credenciada pela Infraestrutura GH� &KDYHV� 3~EOLFDV� %UDVLOHLUD� í� ,&3-Brasil,
GHYHQGR�VHU�GR�WLSR�«,«�RX�«,,«�H�FRQWHU�R�&13-�GH�XP�GRV�HVWDEHOHFLPHQWRV�GD�
empresa.
As características dos certificados digitais I e II são descritas a seguir:
I. A chave privada é armazenada no disco rígido do computador, que também é
utilizado para realizar a assinatura digital.
II. A chave privada é armazenada em dispositivo portátil inviolável do tipo smart
card ou token, que possui um chip com capacidade de realizar a assinatura digital.
I e II são, respectivamente,
(A) S1 e S2.
62212394519 - Juan Bryan Alves
Informática para Concursos de Tribunais
Prof Victor Dalton ʹ Aula 11
Prof. Victor Dalton
www.estrategiaconcursos.com.br 40 de 209
(B) A2 e A3.
(C) S1 e S3.
(D) A2 e A4.
(E) A1 e A3.
Os certificados do tipo A1 são armazenados no computador, enquanto os
certificados A3 são armazenados em smart card ou token. Não cabe marcar S1 e
S3, pois certificados de sigilo não serão utilizados para emissão de NF-e.
Resposta certa, alternativa e).
(FCC ± SEFAZ/PI ± Auditor Fiscal ± 2015) s arquivos digitais no padrão
definido em norma e do aplicativo GeraTEDeNF, a empresadeverá possuir um
certificado digital, em um padrão específico, emitido por Autoridade Certificadora
credenciada à ICP/BR que contenha o CNPJ da empresa.
O uso de certificado digital de pessoa física emitido por Autoridade Certificadora
credenciada à ICP/BR, que contenha o CPF do titular será permitido desde que a
SEFAZ-PI seja comunicada previamente através da apresentação do Termo de
Outorga de Poderes para Assinatura e Transmissão de Arquivos Digitais firmada
pelo representante legal da empresa.
No site http://nf-eletronica.com consta o seguinte texto adaptado:
O Projeto Nota Fiscal Eletrônica (NF-e) exige o uso de Certificado Digital em um
padrão específico, emitido por Autoridade Certificadora credenciada à ICP/BR.
Um padrão específico de certificado digital usado na ICP Brasil (ICP/BR) é citado
em ambos os textos e especifica, entre várias outras coisas, o formato dos
certificados digitais, de tal maneira que se possa amarrar firmemente um nome a
uma chave pública, permitindo autenticação forte. Trata-se do padrão
(A) X509.v6.
(B) SET.
(C) PGP.
(D) X509.v3.
(E) SPDK/SDSI.
A ICP Brasil utiliza o padrão X509 v3 como padrão de certificação digital. Esta
padronização de infraestrutura de chave pública é definida pela ITU-T.
Resposta certa, alternativa d).
62212394519 - Juan Bryan Alves
Informática para Concursos de Tribunais
Prof Victor Dalton ʹ Aula 11
Prof. Victor Dalton
www.estrategiaconcursos.com.br 42 de 209
Com que periodicidade devo realiza-los: depende da frequência
com que você cria ou modifica arquivos. Arquivos frequentemente
modificados podem ser copiados diariamente ao passo que aqueles pouco
alterados podem ser copiados semanalmente ou mensalmente.
1.5 VPN
Uma Rede Privada Virtual (Virtual Private Network ± VPN),
como o próprio nome sugere, é uma forma de conectar dois computadores
utilizando uma rede pública, como a Internet.
Como a Internet é uma rede pública, é preciso criar alguns
mecanismos de segurança para que as informações trocadas entre os
computadores de uma VPN não possam ser lidas por outras pessoas.
A proteção mais utilizada é a criptografia, pois essa garante que os
dados transmitidos por um dos computadores da rede sejam os mesmo que
as demais máquinas irão receber.
62212394519 - Juan Bryan Alves
Informática para Concursos de Tribunais
Prof Victor Dalton ʹ Aula 11
Prof. Victor Dalton
www.estrategiaconcursos.com.br 44 de 209
O AH proporciona integridade e autenticação, usando algoritmos de
chave partilhada como o MD5 e o SHA-1. O AH não proporciona
confidencialidade.
O ESP proporciona confidencialidade e, opcionalmente, integridade e
autenticação. Para a confidencialidade o ESP suporta algoritmos de
encriptação por chave partilhada tais como o DES e o 3-DES. Tal como o
AH o ESP suporta os algoritmos MD5 e SHA-1 para integridade e
autenticação.
Aparentemente O ESP fornece todas as funcionalidades do AH, o que
o tornaria desnecessário. Contudo existe uma diferença entre a integridade
e autenticação fornecidas pelo AH e pelo ESP.
62212394519 - Juan Bryan Alves
Informática para Concursos de Tribunais
Prof Victor Dalton ʹ Aula 11
Prof. Victor Dalton
www.estrategiaconcursos.com.br 45 de 209
Cabeçalho IP original
AH TCP Dados
|------------------------------------------Testa a integridade ----------------------------------------------|
Cabeçalho IP original
ESP TCP Dados
|-------------------------- Testa a integridade -----------------------------|
|--------------------- Encriptado ----------------------|
O ESP não testa a integridade da totalidade do pacote IP, deixando de
fora o cabeçalho. O AH testa a totalidade do pacote IPsec, incluindo o
cabeçalho IP (tecnicamente alguns campos do cabeçalho são sujeitos a
alterações durante o transito não podendo por isso o AH proteger estes
valores).
Por essa razão se for importante o controlo da integridade do
cabeçalho do pacote IP podem ser usados em conjunto o ESP e o AH. Isto
implica, como já foi dito, ter o dobro das SAs, uma vez que uma SA pode
implementar o ESP ou o AH mas não ambos.
O IPSec independe do algoritmo utilizado. ± verdade. O IPSec
permite a escolha do algoritmo de criptografia a ser empregado, inclusive
nenhum (sem segurança).
Embora esteja na camada IP, o IPSec é orientado a conexões -
8PD� ³FRQH[mR´� QR� FRQWH[WR� GR� ,36HF� p� FKDPDGD� GH� associação de
segurança, ou AS (security association). Tal conexão é simplex, e tem um
identificador de segurança associado a ela.
Pode ser usado no modo de transporte, em que todo pacote IP,
incluindo o cabeçalho, é encapsulado no corpo de um novo pacote
IP com um cabeçalho IP completamente novo. ± Este é o modo
tunelamento. No modo de transporte, o cabeçalho IPSec é inserido logo
após o cabeçalho IP.
62212394519 - Juan Bryan Alves
Informática para Concursos de Tribunais
Prof Victor Dalton ʹ Aula 11
Prof. Victor Dalton
www.estrategiaconcursos.com.br 46 de 209
1.6 Firewall
O Firewall, segundo Nakamura, em seu livro Segurança de Redes
em Ambientes Cooperativos��SRGH�VHU�GHILQLGR�FRPR�XP�³SRQWR�HQWUH�
duas ou mais redes, que pode ser um componente ou conjunto de
componentes, por onde passa todo o tráfego, permitindo que o controle, a
autHQWLFDomR�H�RV�UHJLVWURV�GH�WRGR�R�WUiIHJR�VHMDP�UHDOL]DGRV´��$OpP�GLVVR��
³SRGH�VHU�GHILQLGR�FRPR�XP�JUXSR�GH�VLVWHPDV�TXH�UHIRUoD�D�SROtWLFD�GH�
acesso entre duas redes, e, portanto, pode ser visto como uma
LPSOHPHQWDomR�GD�SROtWLFD�GH�VHJXUDQoD�´�
Na prática, firewalls são utilizados para:
x Registrar tentativas de acesso indevidas a um computador ou
rede;
x Bloquear o envio de informações coletadas por invasores e
códigos maliciosos;
x Bloquear tentativas de invasão e exploração de vulnerabilidades,
identificando a origem das tentativas;
62212394519 - Juan Bryan Alves
Informática para Concursos de Tribunais
Prof Victor Dalton ʹ Aula 11
Prof. Victor Dalton
www.estrategiaconcursos.com.br 48 de 209
Zona Desmilitarizada (DMZ): Rede que fica entre a rede interna,
que deve ser protegida, e a externa, por possuir um conjunto de serviços
cujo interesse da organização é a divulgação para o público externo. Em
caso de ataques aos Bastion Hosts, a rede interna continua protegida.
A DMZ precisa ser isolada do restante da rede porque suas regras de
SURWHomR�SUHFLVDP�VHU�PDLV�³IURX[DV´�GR�TXH�DV�UHJUDV�SDUD�D�UHGH�LQWHUQD��
uma vez que os Bastion Hosts podem (e devem) receber acessos externos.
62212394519 - Juan Bryan Alves
Informática para Concursos de Tribunais
Prof Victor Dalton ʹ Aula 11
Prof. Victor Dalton
www.estrategiaconcursos.com.br 49 de 209
1.6.1 Tipos de Arquitetura de Firewall
As arquiteturas de um Firewall, via de regra, são definidas de acordo
com o porte e as necessidades da organização que o implanta. As três
arquiteturas clássicas são as seguintes:
Dual-Homed Host Architecture: nesta, um único proxy separando
a rede interna da rede externa, conforme a figura abaixo.
É uma estrutura mais econômica, por ser simples.Por outro lado, falta
transparência ao usuário que não sabe como o acesso externo é realizado.
Além disso, o host dual-homed é um único ponto de falha, e o risco da rede
reside nele.
Screened Host Architecture: é composto por um filtro de pacotes e
um Bastion Host.
62212394519 - Juan Bryan Alves
Informática para Concursos de Tribunais
Prof Victor Dalton ʹ Aula 11
Prof. Victor Dalton
www.estrategiaconcursos.com.br 50 de 209
Nele, as regras para o acesso à rede externa podem ser implantadas
via Bastion Host, ou filtro de pacotes, ou ambos (o que é chamado de
firewall híbrido).
e�XPD�DUTXLWHWXUD�PDLV�³PDGXUD´�TXH�D�GXDO-homed. Entretanto, caso
o Bastion Host seja comprometido, o invasor já estará na rede interna.
Screened Subnet Architecture: acrescenta a DMZ à rede, por meio
de filtros externo e interno.
O que diferencia a Screened Subnet da Dual-Homed é que os
roteadores interno e externo, vistos na figura acima, funcionarão como
verdadeiros filtros de pacotes. O filtro de pacote externo, um pouco
menos rígido, permite o acesso externo aos serviços disponibilizados pela
empresa, na DMZ; o interno, altamente rigoroso, permite apenas que as
respostas das requisições e serviços permitidos aos usuários internos
entrem na rede interna.
62212394519 - Juan Bryan Alves
Informática para Concursos de Tribunais
Prof Victor Dalton ʹ Aula 11
Prof. Victor Dalton
www.estrategiaconcursos.com.br 51 de 209
1.6.2 IPS e IDS
Sistemas de Detecção de Intrusos (IDS) são sistemas que
monitoram atividades em redes de computadores, capazes de detectar
atividades suspeitas. Configura-se uma solução passiva.
Sistemas de Prevenção de Intrusos (IPS), por sua vez, são
sistemas que implementam regras e políticas para o tráfego de uma rede,
capazes de prevenir e combater ataques. É uma solução ativa!
1.6.3 Recomendações para firewall
Cuidados a serem tomados:
� DQWHV� GH� REWHU� XP� ILUHZDOO� SHVVRDO�� YHULILTXH� D� SURFHGrQFLD� H�
certifique-se de que o fabricante é confiável;
�FHUWLILTXH-se de que o firewall instalado esteja ativo;
� FRQILJXUH� VHX� ILUHZDOO� SDUD� UHJLVWUDU� D� maior quantidade de
informações possíveis (desta forma, e possível detectar tentativas de
invasão ou rastrear as conexões de um invasor).
As configurações do firewall dependem de cada fabricante. De forma
geral, a mais indicada é:
�liberar todo trafego de saída do seu computador (ou seja, permitir
que seu computador acesse outros computadores e serviços) e;
�bloquear todo trafego de entrada ao seu computador (ou seja,
impedir que seu computador seja acessado por outros computadores e
serviços) e liberar as conexões conforme necessário, de acordo com
os programas usados.
62212394519 - Juan Bryan Alves
Informática para Concursos de Tribunais
Prof Victor Dalton ʹ Aula 11
Prof. Victor Dalton
www.estrategiaconcursos.com.br 52 de 209
1.7 Outras boas práticas de segurança da informação
A seguir, veremos mais algumas boas práticas se segurança da
informação na utilização de equipamentos tecnológicos. São boas dicas
tanto para o seu dia-a-dia, bem como podem cair em prova! -
SENHAS FRACA E FORTES
Segundo a Cartilha CERT.BR, uma senha boa, bem elaborada, é aquela
que é difícil de ser descoberta (forte) e fácil de ser lembrada.
Alguns elementos que não se deve usar na elaboração de suas senhas:
Qualquer tipo de dado pessoal: evite nomes, sobrenomes, contas
de usuário, números de documentos, placas de carros, números de
telefones e datas (estes dados podem ser facilmente obtidos e usados por
pessoas que queiram tentar se autenticar como você).
Sequencias de teclado: evite senhas associadas a proximidade entre
os caracteres nR� WHFODGR�� FRPR� ³�TD]�ZV[´� H� ³4ZHU7$VGI*´�� SRLV� VmR�
EDVWDQWH� FRQKHFLGDV� H� SRGHP� VHU� IDFLOPHQWH� REVHUYDGDV� � DR� VHUHP�
digitadas.
Palavras que façam parte de listas: evite palavras presentes em
listas publicamente conhecidas, como nomes de músicas, times de futebol,
personagens de filmes, dicionários de diferentes idiomas, etc. Existem
programas que tentam descobrir senhas combinando e testando estas
palavras e que, portanto, não devem ser usadas.
Alguns elementos que devem ser usados na elaboração de suas senhas
são:
Numeros aleatórios: quanto mais ao acaso forem os números
usados melhor, principalmente em sistemas que aceitem exclusivamente
caracteres numéricos.
Grande quantidade de caracteres: quanto mais longa for a senha
mais difícil será descobri-la. Apesar de senhas longas parecerem, a
62212394519 - Juan Bryan Alves
Informática para Concursos de Tribunais
Prof Victor Dalton ʹ Aula 11
Prof. Victor Dalton
www.estrategiaconcursos.com.br 54 de 209
- Emulação: útil para detectar vírus polimórficos, ele decriptografa o
vírus, analisa o código e reconhece o agente malicioso.
Portanto, os antivírus possuem várias técnicas para analisar o
conteúdo dos arquivos. Quem não conhece, tende a achar que os antivírus
apenas reconhecem vírus que já existem e, na verdade, acabamos de ver
que é bem mais do que isso.
Cuidados a serem tomados:
�tenha um antimalware instalado em seu computador (programas
online, apesar de bastante úteis, exigem que seu computador esteja
conectado à Internet para que funcionem corretamente e podem conter
funcionalidades reduzidas);
�XWLOL]H�SURJUDPDV�RQOLQH�TXDQGR�VXVSHLWDU�TXH�R�antimalware local
esteja desabilitado/comprometido ou quando necessitar de uma segunda
opinião (quiser confirmar o estado de um arquivo que já foi verificado pelo
antimalware local);
�FRQILJXUH�R�DQWLPDOZDUH�SDUD�YHULILFDU�WRGD�H�TXDOTXHU�H[WHQVmR�GH�
arquivo;
� FRQfigure o antimalware para verificar automaticamente arquivos
anexados aos e-mails e obtidos pela Internet;
�FRQILJXUH�R�DQWLPDOZDUH�SDUD�YHULILFDU�DXWRPDWLFDPHQWH�RV�GLVFRV�
rígidos e as unidades removíveis (como pen-drives, CDs, DVDs e discos
externos);
mantenha o arquivo de assinaturas sempre atualizado
(configure o antimalware para atualizá-lo automaticamente pela rede, de
preferência diariamente);
�mantenha o antimalware sempre atualizado, com a versão mais
recente e com todas as atualizações existentes aplicadas;
� evite executar simultaneamente diferentes programas
antimalware (eles podem entrar em conflito, afetar o desempenho do
computador e interferir na capacidade de detecção um do outro);
�FULH�XP�GLVFR�GH�HPHUJrQFLD�H�R�XWLOL]H-o quando desconfiar que o
antimalware instalado está desabilitado/comprometido ou que o
62212394519 - Juan Bryan Alves
Informática para Concursos de Tribunais
Prof Victor Dalton ʹ Aula 11
Prof. Victor Dalton
www.estrategiaconcursos.com.br 55 de 209
comportamento do computador está estranho (mais lento, gravando ou
lendo o disco rígido com muita frequência, etc.).
USO SEGURO DA INTERNET
Ao usar navegadores Web:
�PDQWHQKD-o atualizado, com a versao mais recente e com todas as
atualizações aplicadas;
�FRQILJXUH-o para verificar automaticamente atualizações, tanto dele
próprio como de complementos que estejam instalados;
� SHUPLWD� D� H[HFXomR� GH� SURJUDPDV� -DYD� H� JavaScript, porém
assegure-se de utilizar complementos, como o NoScript (disponível para
alguns navegadores), para liberar gradualmente a execução, conforme
necessário, e apenas em sites confiáveis;
�SHUPLWD�TXH�SURJUDPDV�$FWLYH;�VHMDP�H[HFXWDGRV�DSHQDV�Tuandovierem de sites conhecidos e confiáveis;
�VHMD�FXLGDGRVR�DR�XVDU�FRRNLHV�FDVR�GHVHMH�WHU�PDLV�SULYDFLGDGH�
�FDVR�RSWH�SRU�SHUPLWLU�TXH�R�QDYHJDGRU�JUDYH�DV�VXDV�VHQKDV��WHQKD�
certeza de cadastrar uma chave mestra e de jamais esquecê-la (para que
somente com a chave mestra seja possível visualizar as outras senhas
salvas pelo navegador);
Ao usar programas leitores de e-mails:
�PDQWHQKD-o atualizado, com a versão mais recente e com as todas
atualizações aplicadas;
�FRQILJXUH-o para verificar automaticamente atualizações, tanto dele
próprio como de complementos que estejam instalados;
�QmR�XWLOL]H-o como navegador Web (desligue o modo de visualização
no formato HTML);
�VHMD�FXLGDGRVR�DR�XVDU�FRRNLHV�FDVR�GHVHMH�WHU�PDLV�SULYDFLGDGH�
62212394519 - Juan Bryan Alves
Informática para Concursos de Tribunais
Prof Victor Dalton ʹ Aula 11
Prof. Victor Dalton
www.estrategiaconcursos.com.br 56 de 209
� VHMD� Fuidadoso ao clicar em links presentes em e-mails (se você
realmente quiser acessar a página do link, digite o endereço diretamente
no seu navegador Web);
�GHVFRQILH�GH�DUTXLYRV�DQH[DGRV�D�PHQVDJHP�PHVPR�TXH�WHQKDP�
sido enviados por pessoas ou instituições conhecidas (o endereço do
remetente pode ter sido falsificado e o arquivo anexo pode estar infectado);
�DQWHV�GH�DEULU�XP�DUTXLYR�DQH[DGR�D�PHQVDJHP�WHQKD�FHUWH]D�GH�
que ele não apresenta riscos, verificando-o com ferramentas antimalware;
�YHULILTXH�VH�seu sistema operacional está configurado para mostrar
a extensão dos arquivos anexados;
�GHVOLJXH�DV�RSo}HV�TXH�SHUPLWHP�DEULU�RX�H[HFXWDU�DXWRPDWLFDPHQWH�
arquivos ou programas anexados as mensagens;
�GHVOLJXH�DV�RSo}es de execução de JavaScript e de programas Java;
�KDELOLWH��VH�SRVVível, opções para marcar mensagens suspeitas de
serem fraude;
�XVH�VHPSUH�FULSWRJUDILD�SDUD�FRQH[ão entre seu leitor de e-mails e
os servidores de e-mail do seu provedor;
(CESPE ± INSS ± Técnico de Seguro Social - 2016) A infecção de um
computador por vírus enviado via correio eletrônico pode se dar quando se abre
arquivo infectado que porventura esteja anexado à mensagem eletrônica
recebida.
Se o usuário ABRE um arquivo com vírus, a execução do arquivo infectado aciona
o vírus. Correta!
)LQGD� HVVD� ³HQ[XUUDGD´� GH� FRQKHFLPHQWR�� TXH� WDO� uma bateria de
exercícios para consolidar o conhecimento?
62212394519 - Juan Bryan Alves
Informática para Concursos de Tribunais
Prof Victor Dalton ʹ Aula 11
Prof. Victor Dalton
www.estrategiaconcursos.com.br 57 de 209
EXERCÍCIOS COMENTADOS
1. (FCC ± SEFAZ/PI ± Auditor Fiscal ± 2015) Na Secretaria da
Fazenda do Estado do Piauí a assinatura digital permite comprovar que uma
informação foi realmente gerada por quem diz tê-la gerado e que ela não
foi alterada. Isto equivale a afirmar, respectivamente, que é possível
comprovar que uma informação
(A) é privada e está sempre disponível.
(B) é autêntica e confidencial.
(C) é autêntica e está íntegra.
(D) não pode ser repudiada e é autêntica.
(E) não pode ser repudiada e é confidencial.
A assinatura digital garante a autenticidade (por meio das chaves
privada/pública) e a integridade da mensagem (por meio do hash).
Resposta certa, alternativa c).
2. (FCC ± TRE/AP ± Analista Judiciário ± 2015) Um Analista
sempre busca manter seu PC protegido das pragas virtuais, mas mesmo
com os cuidados, teve sua máquina com o sistema operacional Windows 7,
em português, infectada. O Analista deve
(A) fazer uma varredura no computador usando o antivírus que já está
instalado para tentar remover o malware. É a opção mais segura, pois o
antivírus não fica comprometido e não pode ser modificado de forma
maliciosa.
(B) instalar outros antivírus e fazer a varredura na máquina com todos
eles. Quanto mais ferramentas antimalware houver na máquina, maior
proteção será obtida.
62212394519 - Juan Bryan Alves
Informática para Concursos de Tribunais
Prof Victor Dalton ʹ Aula 11
Prof. Victor Dalton
www.estrategiaconcursos.com.br 58 de 209
(C) abrir o Gerenciador de Tarefas do Windows, abrir a aba Processos
e desabilitar todos os processos sendo executados. Certamente um deles é
o malware que está causando o problema e isso resolverá tudo.
(D) entrar em modo de segurança com rede, abrir o navegador
adequado e executar uma ferramenta de varredura on-line atualizada,
habilitando níveis de segurança, como a varredura de arquivos
comprimidos e cache do navegador.
(E) utilizar o prompt de comando e desabilitar todos os utilitários do
msconfig e do regedit. Certamente um deles é o malware que está
causando o problema e isso limpará a máquina dos aplicativos que se
iniciam com o Windows.
Sabemos que não é recomendável instalar mais de um antimalware no
computador, pois o desempenho do computador cai e um antimalware
interfere no trabalho do outro. Quando suspeitamos que o antimalware
instalado está comprometido, recomenda-se utilizar um antimalware online
para realizar a inspeção no computador.
Resposta certa, alternativa c).
3. (FCC ± SEFAZ/PI ± Auditor Fiscal ± 2015) O certificado
digital utilizado na Nota Fiscal Eletrônica (NF-e) deverá ser adquirido junto
à Autoridade Certificadora credenciada pela Infraestrutura de Chaves
3~EOLFDV�%UDVLOHLUD�í�,&3-%UDVLO��GHYHQGR�VHU�GR�WLSR�«,«�RX�«,,«�H�FRQWHU�
o CNPJ de um dos estabelecimentos da empresa.
As características dos certificados digitais I e II são descritas a seguir:
I. A chave privada é armazenada no disco rígido do computador, que
também é utilizado para realizar a assinatura digital.
II. A chave privada é armazenada em dispositivo portátil inviolável do
tipo smart card ou token, que possui um chip com capacidade de realizar a
assinatura digital.
62212394519 - Juan Bryan Alves
Informática para Concursos de Tribunais
Prof Victor Dalton ʹ Aula 11
Prof. Victor Dalton
www.estrategiaconcursos.com.br 60 de 209
(D) a chave privada de Antônio. Para Antônio decodificar a mensagem
que recebeu de João, ele terá que usar a chave pública, relacionada à chave
privada usada no processo por João. Ambos conhecem a chave privada.
(E) sua chave privada. Para Antônio decodificar a mensagem que
recebeu de João, ele terá que usar sua chave pública. Somente João
conhece a chave privada.
Na criptografia assimétrica, para que João envie uma mensagem para
Antônio, este deverá utilizar a chave pública de Antônio. Antônio, única
parte que conhece sua própria chave privada, será capaz de decifrar a
mensagem com a própria chave privada, que forma par com a chave
pública utilizada no processo.
Resposta certa, alternativa b).
5. (FCC ± SEFAZ/PI ± Auditor Fiscal ± 2015) s arquivos
digitais no padrão definido em norma e do aplicativo GeraTEDeNF, a
empresa deverá possuir um certificado digital, em um padrão específico,
emitido por Autoridade Certificadora credenciada à ICP/BR que contenha o
CNPJ da empresa.
O uso de certificado digital de pessoa física emitido por Autoridade
Certificadora credenciada à ICP/BR, que contenha o CPF do titular será
permitido desde que a SEFAZ-PI seja comunicada previamente através da
apresentação do Termo de Outorga de Poderes para Assinatura e
Transmissão de Arquivos Digitais firmada pelo representante legal da
empresa.
No site http://nf-eletronica.com consta o seguinte texto adaptado:
O Projeto Nota Fiscal Eletrônica (NF-e) exige o uso de Certificado
Digital em um padrãoMateriais relacionados
112 pág.
186 pág.
141 pág.
126 pág.
Perguntas relacionadas
Compartilhar