Aula 12 Tecnologia da Informação SEFAZ GO 2018

Prévia do material em texto

Livro Eletrônico
Aula 12
Tecnologia da Informação p/ SEFAZ-GO (Auditor Fiscal) Com
videoaulas - Pós-Edital
Celson Carlos Martins Junior, Diego Carvalho, Fábio Alves, Thiago Rodrigues
Cavalcanti, Victor Dalton
 
 
 
 
Tecnologia da Informação para SEFAZ-GO ʹ Pós Edital 
www.estrategiaconcursos.com.br 
 1 
141 
Aula 12: Segurança da Informação 
Sumário 
1. Proteção A Redes De Computadores ........................................................................... 2 
1.1 Considerações iniciais .............................................................................................................. 2 
1.2 Ameaças .................................................................................................................................. 4 
1.3 Criptografia ........................................................................................................................... 15 
1.4 Backup ................................................................................................................................... 33 
1.5 VPN ........................................................................................................................................ 43 
1.6 Firewall .................................................................................................................................. 46 
1.7 Outras boas práticas de segurança da informação .............................................................. 51 
2. Resumo - Segurança da Informação .......................................................................... 55 
3. Exercícios Comentados.............................................................................................. 56 
4. Considerações Finais ............................................................................................... 108 
5. Lista de Exercícios ................................................................................................... 109 
 
Olá amigos e amigas! Que bom estarmos juntos novamente! 
Particularmente, gosto de encerrar o curso com o o assunto de hoje, Segurança da Informação. 
Criptografia e ameaças trazem muitos conceitos e ideias que estão mais envolvidos com o nosso dia 
a dia do que a gente pensa. 
Podemos começar? 
Observação importante: este curso é protegido por direitos autorais (copyright), nos 
termos da Lei 9.610/98, que altera, atualiza e consolida a legislação sobre direitos 
autorais e dá outras providências. 
 
Grupos de rateio e pirataria são clandestinos, violam a lei e prejudicam os professores 
que elaboram os cursos. Valorize o trabalho de nossa equipe adquirindo os cursos 
honestamente através do site Estratégia Concursos ;-) 
Prof. Victor Dalton 
Aula 12 
 
 
 
Tecnologia da Informação para SEFAZ-GO ʹ Pós Edital 
www.estrategiaconcursos.com.br 
 2 
141 
1. PROTEÇÃO A REDES DE COMPUTADORES 
1.1 CONSIDERAÇÕES INICIAIS 
Nos dias atuais, a informação trafega pela rede mundial de computadores, ou simplesmente 
Internet. Nesse ambiente convivem elementos bem e mal intencionados. Por causa disso, diversos 
recursos para proteger a informação e as redes de computadores precisam ser empregados. 
A norma ISO 27002 ressalta que a informação é um ativo muito valioso para uma organização. 
Diferentemente de outros ativos, ela pode ser impressa, escrita em papel, armazenada em via 
eletrônica, ou até mesmo conversada. Isto posto, ela deve ser protegida com adequação. 
Nesse contexto, a segurança da informação é um conjunto de controles, nos quais se incluem 
políticas, processos, funções de software e hardware e estruturas organizacionais, aplicados com o 
intuito de proteger a informação dos vários tipos de ameaças, para garantir a continuidade do 
negócio em caso de desastre, maximizar o ROI (retorno sobre o investimento) e as oportunidades 
de negócio. 
Destaque para a tríade da segurança da informação: 
 
Segundo a norma: 
Confidencialidade: Garantia de que o acesso à informação seja obtido somente por pessoas 
autorizadas. 
Integridade: Salvaguarda da exatidão e completeza da informação e dos métodos de 
processamento. 
Disponibilidade: Garantia de que os usuários autorizados obtenham acesso à informação e aos 
ativos correspondentes sempre que necessário. 
Além da famosa tríade, a resolução do TCU nº 229, de 2009 define mais dois critérios utilizados para 
a classificação da informação. Ei-los: 
Prof. Victor Dalton 
Aula 12 
 
 
 
Tecnologia da Informação para SEFAZ-GO ʹ Pós Edital 
www.estrategiaconcursos.com.br 
 3 
141 
Criticidade: Atributo da segurança da informação que define a importância da informação para a 
continuidade do negócio da instituição; 
Prazo de retenção: Período em que os dados ficarão retidos, guardados e/ou armazenados. Na 
instituição governamental, o período é alterado de acordo com a necessidade. Consiste no tempo 
em que o backup não pode ser apagado, caso exista um histórico. 
Ainda, alguns autores defendem que para que uma informação seja considera segura, o sistema que 
o administra ainda deve respeitar os seguintes critérios: 
Autenticidade - Garante que a informação ou o usuário da mesma é autêntico. 
Não repúdio (irretratabilidade). Não é possível negar (no sentido de dizer que não foi feito) uma 
operação ou serviço que modificou ou criou uma informação; não é possível negar o envio ou 
recepção de uma informação ou dado. 
Legalidade. Garante a legalidade (jurídica) da informação; a aderência de um sistema à legislação; 
e as características das informações que possuem valor legal dentro de um processo de 
comunicação, onde todos os ativos estão de acordo com as cláusulas contratuais pactuadas ou a 
legislação nacional ou internacional vigente. 
Privacidade. Foge do aspecto de confidencialidade, pois uma informação pode ser considerada 
confidencial, mas não privada. Uma informação privada deve poder ser vista / lida / alterada 
somente pelo seu dono. Garante ainda, que a informação não será disponibilizada para outras 
pessoas (neste caso é atribuído o caráter de confidencialidade à informação). É a capacidade de um 
usuário realizar ações em um sistema sem que seja identificado. 
Auditoria. Rastreabilidade dos diversos passos de um negócio ou processo, identificando os 
participantes, os locais e horários de cada etapa. A auditoria aumenta a credibilidade da empresa e 
é responsável pela adequação da empresa às políticas legais e internas. 
 
(FCC ʹ TRT 20ª Região ʹ Analista Judiciário ʹ Área Administrativa ʹ 2016) 
Independentemente do tipo de tecnologia usada, ao se conectar um computador à rede ele 
pode estar sujeito a diversos tipos de ataques. De acordo com a cartilha CERT. BR, está correto 
o que se afirma em: Considere as duas situações em que a proteção e a segurança da 
informação foram violadas: 
I. O número do CPF de um trabalhador foi alterado, deixando seu CPF inválido. 
II. Um dado sigiloso de uma causa trabalhista foi acessado por uma pessoa não autorizada. 
Nas situações I e II ocorreram, respectivamente, violação da 
(A) autenticação e da autorização das informações. 
(B) confidencialidade e da integridade das informações. 
(C) confidencialidade e da disponibilidade das informações. 
Prof. Victor Dalton 
Aula 12 
 
 
 
Tecnologia da Informação para SEFAZ-GO ʹ Pós Edital 
www.estrategiaconcursos.com.br 
 4 
141 
(D) identificação e da autorização das informações. 
(E) integridade e da confidencialidade das informações. 
Comentários: 
Conhecendo os princípios da segurança da informação, podemos perceber que: 
I. uma informação foi ADULTERADA, ou seja, teve a sua INTEGRIDADE violada; e 
II. uma informação foi acessada por uma pessoa sem direito de acesso à mesma, a qual indica 
que a CONFIDENCIALIDADE foi violada. 
Resposta certa,alternativa e). 
Para Laureano e Moraes (Segurança Como Estratégia de Gestão da Informação), as informações se 
classificam como pública, interna, confidencial, secreta. 
 ?� Pública: Informação que pode vir a público sem maiores consequências danosas ao 
funcionamento normal da empresa, e cuja integridade não é vital. 
 ?�Interna: O acesso livre a este tipo de informação deve ser evitado, embora as consequências do 
uso não autorizado não sejam por demais sérias. Sua integridade é importante, mesmo que não seja 
vital. 
 ?�Confidencial: Informação restrita aos limites da empresa, cuja divulgação ou perda pode levar a 
desequilíbrio operacional, e eventualmente, a perdas financeiras ou de confiabilidade perante o 
cliente externo. 
 ?�Secreta: Informação crítica para as atividades da empresa, cuja integridade deve ser preservada a 
qualquer custo e cujo acesso deve ser restrito a um número reduzido de pessoas. A segurança desse 
tipo de informação é vital para a companhia. 
1.2 AMEAÇAS 
A Internet é um cesto cheio dos mais diversos tipos de golpes e ameaças. Para facilitar o 
entendimento do cidadão (e a cobrança em concursos, rs), esses golpes e ameaças recebem uma 
série de classificações. Vejamos: 
1.2.1 Malware 
KƌŝƵŶĚŽ�ĚĂ�ĞdžƉƌĞƐƐĆŽ� “DĂůŝĐŝŽƵƐ�^ŽĨƚǁĂƌĞ ? ? Malware são programas desenvolvidos para executar 
atividades maliciosas em um computador. Lato sensu, até mesmo programas legítimos que, em 
virtude de falhas em seu código, causam danos, podem ser classificados como malware. Os 
principais tipos de malware são: 
Prof. Victor Dalton 
Aula 12 
 
 
 
Tecnologia da Informação para SEFAZ-GO ʹ Pós Edital 
www.estrategiaconcursos.com.br 
 5 
141 
 
Vírus: um vírus de computador é um programa capaz de se replicar e opera sem o consentimento 
do usuário, se espalhando ao se anexar a outros programas. Outras variedades de vírus são os vírus 
de boot capazes de danificar áreas responsáveis por carregar o sistema operacional e os vírus de 
macro que podem causar alterações em documentos. Alguns vírus apenas se replicam, outros 
podem trazer danos maiores como corromper arquivos, sobrecarregar uma rede e levar uma 
máquina a ser formatada. 
Vírus simples 
Um vírus simples, que só se replica e é fácil de ser detectado. Se um usuário executa um vírus, esse 
vírus pode tomar conta do computador da vítima e se anexar em outro arquivo, e, depois que ele se 
espalha, o devolve o controle para o programa hospedeiro, que funciona normalmente. O vírus pode 
se replicar inúmeras vezes, mas nunca se modifica, logo, o antivírus pode facilmente localizá-lo por 
uma sequência de bits característica. Essa sequência também é chamada de assinatura do vírus. 
Vírus encriptado 
A ideia do vírus encriptado é esconder esta assinatura fixa, embaralhando o vírus, para que este não 
seja detectado por um antivírus. 
Um vírus encriptado consiste de uma rotina de decriptação e um corpo encriptado que, ao ser 
executado, inicia a fase de decriptação. Após esta fase, o corpo do vírus toma conta da máquina, se 
espalhando da mesma forma que um vírus simples, mas com o diferencial de encriptar o corpo do 
vírus com uma nova chave de encriptação, dificultando a detecção por assinaturas de vírus. No 
entanto, a rotina de decriptação continua a ser a mesma, logo, os antivírus passaram a checar por 
sequências de bytes que identificassem a rotina de decriptação. 
Vírus Polimórficos 
Os vírus polimórficos são capazes de criar uma nova variante a cada execução e diferentemente dos 
vírus encriptados que encriptam apenas o código do vírus e permanecem com a mesma rotina de 
decriptação, os vírus polimórficos alteram tanto a rotina de encriptação quanto a rotina de 
decriptação, o que dificulta a detecção. 
Em uma variante de um vírus polimórfico o módulo de decriptação aparece em claro e o corpo do 
vírus aparece encriptado. No corpo do vírus estão presentes a rotina do vírus em si e um módulo de 
Prof. Victor Dalton 
Aula 12 
 
 
 
Tecnologia da Informação para SEFAZ-GO ʹ Pós Edital 
www.estrategiaconcursos.com.br 
 6 
141 
mutação responsável por gerar o módulo de encriptação e um novo módulo de decriptação que terá 
uma nova chave, visto que o módulo de encriptação foi alterado. Sendo assim, ao infectar um 
arquivo, o vírus apresentará um novo módulo de encriptação e um novo corpo. 
Em geral, para realizar a detecção dessas ameaças os softwares antivírus fazem a decriptação do 
vírus usando um emulador ou realizam uma análise de padrão do corpo do vírus, visto que o código 
muda, mas a semântica não. O processo de emulação é também chamado de sandbox e é capaz de 
detectar o vírus caso o código decriptado permaneça o mesmo. 
Vírus Metamórficos 
Os vírus polimórficos podem apresentar problemas durante as suas mutações e podem até demorar 
a serem detectados, mas na maioria das vezes são detectados devido ao baixo número de vírus 
polimórficos eficientes. 
Os desenvolvedores de vírus implementam novos códigos para dificultar o trabalho do pesquisador. 
O W32/Apparition foi o primeiro vírus de 32 bits a não utilizar decriptadores polimórficos para 
realizar mutações, ele possuía seu código decompilado e quando encontrava um compilador 
compilava o código. O vírus inseria e removia código desnecessário ao código fonte e se 
recompilava. Dessa forma uma nova geração do vírus parecia completamente diferente das 
anteriores. Esse tipo de técnica pode ser mais destrutiva em ambientes baseados em Unix, onde os 
compiladores C são instalados junto com o sistema. 
Os vírus metamórficos são capazes de mudar o próprio corpo, por não possuir um decriptador ou 
um corpo de vírus constante, mas são capazes de criar novas gerações diferentes. Eles possuem um 
corpo único que carregava dados como código. Os vírus metamórficos evitam gerar instâncias 
parecidas com a anterior. 
Vírus de macro 
Os vírus de macro vinculam suas macros a modelos de documentos e a outros arquivos de modo 
que, quando um aplicativo carrega o arquivo e executa as instruções nele contidas, as primeiras 
instruções executadas serão as do vírus. 
Vírus de macro são parecidos com outros vírus em vários aspectos: são códigos escritos para que, 
sob certas condições, este código se "reproduz", fazendo uma cópia dele mesmo. Como outros vírus, 
eles podem ser escritos para causar danos, apresentar uma mensagem ou fazer qualquer coisa que 
um programa possa fazer. 
Ainda cabe trazer a classificação de vírus segundo a CERT.BR: 
Vírus propagado por e-mail: recebido como um arquivo anexo a um e-mail cujo conteúdo tenta 
induzir o usuário a clicar sobre este arquivo, fazendo com que seja executado. Quando entra em 
ação, infecta arquivos e programas e envia cópias de si mesmo para os e-mails encontrados nas 
listas de contatos gravadas no computador. 
Vírus de script: escrito em linguagem de script, como VBScript e JavaScript, e recebido ao acessar 
uma página Web ou por e-mail, como um arquivo anexo ou como parte do próprio e-mail escrito 
em formato HTML. Pode ser automaticamente executado, dependendo da configuração do 
navegador Web e do programa leitor de e-mails do usuário. 
Prof. Victor Dalton 
Aula 12 
 
 
 
Tecnologia da Informação para SEFAZ-GO ʹ Pós Edital 
www.estrategiaconcursos.com.br 
 7 
141 
Vírus de macro: tipo específico de vírus de script, escrito em linguagem de macro, que tenta infectar 
arquivos manipulados por aplicativos que utilizam esta linguagem como, por exemplo, os que 
compõe o Microsoft Office (Excel, Word e PowerPoint, entre outros). 
Vírus de telefone celular: vírus que se propaga de celular para celular por meio da tecnologia 
bluetooth ou de mensagens MMS (Multimedia Message Service). A infecção ocorre quando um 
usuário permite o recebimento de um arquivo infectado e o executa. Após infectar o celular, o vírus 
pode destruirou sobrescrever arquivos, remover ou transmitir contatos da agenda, efetuar ligações 
telefônicas e drenar a carga da bateria, além de tentar se propagar para outros celulares. 
E mais algumas classificações: 
Vírus de Boot: Vírus que se infecta na área de inicialização dos disquetes e de discos rígidos (são 
vírus bem antigos, rs). Essa área é onde se encontram arquivos essenciais ao sistema. Os vírus de 
boot costumam ter alto poder de destruição, impedindo, inclusive, que o usuário entre no micro. 
Vírus de Programa: infectam - normalmente - os arquivos executáveis, com extensão .EXE e .COM, 
e algumas outras extensões, como .OVL e .DLL. 
Vírus Multipartite: misto dos vírus de Boot e de Programas. Eles infectam ambos: arquivos de 
programas e setores de boot, o que os tornam muito mais eficazes na tarefa de se espalhar, 
contaminando outros arquivos e/ou discos, mas também mais difíceis de serem detectados e 
removidos. 
Vírus Stealth (Vírus Invisíveis): um dos mais complexos da atualidade, cuja principal característica é 
a inteligência. Emprega técnicas para evitar sua detecção durante a varredura de programas 
antivírus, como, por exemplo, temporariamente se auto remover da memória. 
E prossigamos com outros malwares! 
Worm (importante!): worms são programas autorreplicantes, passando de um sistema a outro, 
sem, necessariamente, utilizar um arquivo hospedeiro. Além disso, pode causar danos sem a 
ativação pelo usuário, diferentemente dos vírus. 
 
O worm é executado ou 
não é? 
Todo programa em um computador precisa ser executado. Um 
worm, para se autorreplicar, precisa estar em execução. O que 
difere o worm de um vírus, por exemplo, é que, enquanto o vírus 
é executado por uma ação explícita do usuário (como um clique 
duplo no arquivo malicioso), o worm explora vulnerabilidades 
existentes ou falhas na configuração de softwares instalados 
em computadores. Ex: execução do arquivo infectado 
autorun.inf em um pendrive. O computador que está 
configurado para executar automaticamente esse arquivo em 
mídias removíveis pode ser contaminado apenas com a 
inserção do pendrive no computador. O arquivo malicioso será 
ĞdžĞĐƵƚĂĚŽ ?� ŵĞƐŵŽ� ƋƵĞ� Ž� ƵƐƵĄƌŝŽ� “ŶĆŽ� ƚĞŶŚĂ� ĨĞŝƚŽ� ŶĂĚĂ ? ?�
Compreendeu? 
Prof. Victor Dalton 
Aula 12 
 
 
 
Tecnologia da Informação para SEFAZ-GO ʹ Pós Edital 
www.estrategiaconcursos.com.br 
 8 
141 
 
Para Fixar 
Vírus Worm 
Programa ou parte de um programa de 
computador 
Programa 
Propaga-se inserindo cópias de si mesmo 
e se tornando parte de outros programas 
e arquivos 
Propaga - se automaticamente pelas 
redes, enviando copias de si mesmo de 
computador para computador 
Depende da execução do programa ou 
arquivo hospedeiro para ser ativado 
Execução direta de suas cópias ou pela 
exploração automática de 
vulnerabilidades existentes em 
programas instalados em computadores 
 
Bot e Botnet: Bot é um programa que dispões de mecanismos com o invasor que permite que ele 
seja controlado remotamente. Propaga-se de maneira similar ao worm. 
O computador infectado por um bot pode ser chamado de zumbi, pois pode ser controlado 
remotamente, sem o conhecimento do dono. Por exemplo, zumbis podem ser utilizados para 
realizar ataques DDos e para envio de spam. 
Botnet é o nome dado a uma rede de Bots. 
Spyware: Spyware é um programa que monitora atividades de um sistema e envia a terceiros. 
Podem ser keyloggers, do tipo que captura o que o usuário digita; screenloggers, do tipo que 
registra os movimentos de mouse de um usuário, ou adwares, daqueles que mostram propagandas 
para o usuário. 
Backdoor: É um programa que permite o retorno de um invasor a um computador comprometido. 
�ůĞ�ĚĞŝdžĂ� “ƉŽƌƚĂƐ�ĂďĞƌƚĂƐ ?�Ğŵ�ƉƌŽŐƌĂŵĂƐ�instalados na máquina, permitindo o acesso remoto futuro 
na máquina. 
Cavalo de Tróia: programas impostores, arquivos que se passam por um programa desejável, mas 
que, na verdade, são prejudiciais, pois executam mais funções além daquelas que aparentemente 
ele foi projetado. Contêm códigos maliciosos que, quando ativados, causam a perda ou até mesmo 
o roubo de dados. Não se replicam. 
Prof. Victor Dalton 
Aula 12 
 
 
 
Tecnologia da Informação para SEFAZ-GO ʹ Pós Edital 
www.estrategiaconcursos.com.br 
 9 
141 
Hijacker: é uma variação de Cavalo de Tróia que modifica a página inicial do navegador e, muitas 
vezes, também abrem pop-ups indesejados. O objetivo é vender os cliques que o usuário faz nessas 
páginas, o que gera lucro para o criador do hijacker. 
Rootkit: É um conjunto de programas e técnicas que esconde e assegura a presença de um invasor 
ou código malicioso em um computador comprometido. O objetivo do rootkit não é obter acesso 
privilegiado, mas mantê-lo, apagando vestígios da invasão. 
Segue, abaixo, uma tabela com características das principais ameaças, pelo Comitê Gestor de 
Internet do Brasil (CGI.br): 
 
Prof. Victor Dalton 
Aula 12 
 
 
 
Tecnologia da Informação para SEFAZ-GO ʹ Pós Edital 
www.estrategiaconcursos.com.br 
 10 
141 
 
Continuemos com outros tipos de ameaças! 
Trapdoors: Trapdoors são mecanismos escondidos em softwares, são falhas de programação gerada 
pelo próprio Programador, para em um futuro, conseguir obter acesso e explorar o sistema. O termo 
Trapdoor soa e chega a parecer bastante parecido com o backdoor, mas a diferença pode ser 
explicada. 
Enquanto o backdoor é instalado na máquina da vítima sem que a mesma saiba, para obter acesso 
ao seu sistema, o Trapdoor é desenvolvido pelo próprio programador ao deixar uma falha em seu 
próprio programa para explorá-la futuramente, quando seu software estiver em uso em um 
determinado lugar (empresa, consultoria, máquinas caseiras, etc). 
Scan: Busca minuciosa em redes, para identificar computadores ativos e coletar informações sobre 
eles. 
Email spoofing (falsificação de email): Envio de email modificando dados do cabeçalho, para 
ludibriar o destinatário, quanto a remetente, principalmente. Utilizado em spams e phishings. 
Sniffing (interceptação de tráfego): é uma técnica que baseia-se na interceptação de tráfego entre 
computadores, por meio de sniffers. 
Defacement (desfiguração de página): é um ataque que consiste em alterar o conteúdo de uma 
página Web de um site. Não raro, alguns sites de órgãos públicos sofrem esse tipo de ataque, no 
qual os invasores trocam a página principal do site por uma página própria, com alguma mensagem 
radical. 
SQL Injection (Injeção de SQL): é um ataque baseado na inserção maliciosa de comandos ou 
consultas SQL em uma aplicação Web. O objetivo é fazer a aplicação executar comandos indesejados 
ou permitir o acesso a dados não autorizados. 
Cross-Site Scripting - XSS: é um ataque no qual uma aplicação recebe dados não confiáveis e os 
envia ao navegador sem validação ou filtro adequados. Esse tipo de ataque permite aos atacantes 
executarem scripts no navegador da vítima ƋƵĞ�ƉŽĚĞŵ� “ƐĞƋƵĞƐƚƌĂƌ ?�ƐĞƐƐƁĞƐ�ĚŽ�ƵƐƵĄƌŝŽ ?�ĚĞƐĨŝŐƵƌĂƌ�
sites ou redirecionar o usuário para sites maliciosos. 
Cross-Site Request Forgery: Força a vítima, que possui uma sessão ativa em um navegador, a enviar 
uma requisição HTTP forjada, incluindo o cookie da sessão da vítima e qualquer outra informação 
de autenticação incluída na sessão, a uma aplicação web vulnerável. Esta falha permite ao atacante 
forçar o navegador da vítima a criar requisições que a aplicação vulnerável aceite como requisições 
legítimas realizadas pela vítima. Ao contrário do XSS, o Cross-Site Request Forgery explora a 
confiança da aplicação web no usuário que está conectado. 
IP Spoofing: Mascaramento do endereço de pacotes IP por meio de endereços de remetentes 
falsificados. 
Port Scanning Attack: Os hackers enviam mensagens para múltiplas portas e aguardam resposta. A 
depender dasrespostas, o invasor saberá se a porta está disponível ou não para invasão. De fato, 
este procedimento é muito utilizado pela própria segurança, em buscas de fraquezas nos servidores. 
Prof. Victor Dalton 
Aula 12 
 
 
 
Tecnologia da Informação para SEFAZ-GO ʹ Pós Edital 
www.estrategiaconcursos.com.br 
 11 
141 
Session Hijacking: Consiste em explorar ou controlar uma sessão de comunicação TCP/IP válida 
entre computadores sem o conhecimento ou permissão dos donos dos mesmos. O session hijacking 
normalmente implica explorar o mecanismo que controla a conexão entre um servidor web e um 
navegador, o que se conhece como "token de sessão". Este token consiste em uma cadeia de 
caracteres que um servidor web envia para um cliente que se autentica. Ao prever ou roubar o token 
de sessão, um atacante pode obter acesso ao servidor e dispor dos mesmos recursos que o usuário 
comprometido. 
Buffer Overflow: Consiste no transbordamento de memória, ao se escrever mais dados do que a 
capacidade do buffer, o que pode sobrescrever a memória adjacente. Um invasor pode utilizar essa 
técnica para travar intencionalmente uma aplicação, tomar o controle sobre ela e/ou ganhar 
privilégios em um sistema. 
Advanced Persistent Threat: Invasores profissionais permanecem em uma rede por muito tempo 
sem serem detectados, com o objetivo de obter acesso crescente, e capturar informações. Podem 
usar phising, engenharia social, backdoor ou qualquer outro artifício para manter-se operando. 
Flooding ou DoS: é uma forma de ataque de negação de serviço (também conhecido como Denial 
of Service - DoS) em sistemas computadorizados, na qual o atacante envia uma seqüência de 
requisições para um sistema-alvo visando uma sobrecarga direta na camada de transporte e indireta 
na camada de aplicação do modelo OSI. Sua variante é o DdoS (Distributed Denial of Service). 
Este é o tipo de ataque do qual ouvimos falar recentemente na mídia. Lembra, em 2013, daquele 
grupo que anunciou ataques a bancos e órgãos públicos no Brasil? Eles anunciavam o ataque, 
anunciavam o alvo, e o site era derrubado. 
Isso acontece porque os ataques do tipo Distributed Denial of Service, ou ataques distribuídos de 
negação de serviço, são os de mais difícil defesa. 
Um ataque de negação de serviço (DoS), é uma tentativa em tornar os recursos de um sistema 
indisponíveis para seus utilizadores. Alvos típicos são servidores web, e o ataque tenta tornar as 
páginas hospedadas indisponíveis na rede. Não se trata de uma invasão do sistema, mas sim da sua 
invalidação por sobrecarga. Os ataques de negação de serviço são feitos geralmente de duas formas: 
x Forçar o sistema vítima a reinicializar ou consumir todos os recursos (como memória ou 
processamento por exemplo) de forma que ele não pode mais fornecer seu serviço. 
x Obstruir a mídia de comunicação entre os utilizadores e o sistema vítima de forma a não 
comunicarem-se adequadamente. 
Em um ataque distribuído de negação de serviço, um computador mestre (denominado "Master") 
pode ter sob seu comando até milhares de computadores ("Zombies" - zumbis). Neste caso, as 
tarefas de ataque de negação de serviço são distribuídas a um "exército" de máquinas escravizadas. 
Prof. Victor Dalton 
Aula 12 
 
 
 
Tecnologia da Informação para SEFAZ-GO ʹ Pós Edital 
www.estrategiaconcursos.com.br 
 12 
141 
 
O ataque consiste em fazer com que os Zumbis (máquinas infectadas e sob comando do Mestre) se 
preparem para acessar um determinado recurso em um determinado servidor em uma mesma hora 
de uma mesma data. Passada essa fase, na determinada hora, todos os zumbis (ligados e conectados 
à rede) acessarão ao mesmo recurso do mesmo servidor. Como servidores web possuem um 
número limitado de usuários que pode atender simultaneamente ("slots"), o grande e repentino 
número de requisições de acesso esgota esse número de slot, fazendo com que o servidor não seja 
capaz de atender a mais nenhum pedido. 
Destaco ainda que todo ataque de DDoS foi precedido de alguma outra forma de ataque. As 
máquinas “njƵŵďŝƐ ? ? ou escravas, são máquinas de usuários comuns que se deixaram infectar 
anteriormente por algum malware (bots). 
Por fim, é interessante destacar que os ataques DDos podem ter três naturezas: 
1. Ataques volumétricos: Tentativa de consumir a largura de banda, seja dentro da 
rede/serviço alvo ou entre a rede/serviço alvo e o resto da internet. Esses ataques servem 
simplesmente para causar congestionamento. 
2. Ataques de exaustão de estado do TCP: Esses ataques tentam consumir as tabelas de 
estado de conexão que estão presentes em diversos componentes de infraestrutura, tais 
como balanceadores de carga, firewalls e os próprios servidores de aplicativos. Até mesmo 
dispositivos de alta capacidade capazes de manter o estado de milhões de conexões podem 
ser derrubados por estes ataques. 
3. Ataques na camada de aplicação: Esse tem como alvo algum aspecto de um aplicativo ou 
serviço na Camada-7. São os mais fatais tipos de ataques, já que podem ser muito efetivos 
com apenas uma máquina de ataque gerando uma baixa taxa de tráfego (isto faz com que 
esses ataques sejam bastante difíceis de detectar e mitigar de forma ativa). Estes ataques 
têm prevalecido nos últimos três ou quatro anos, e ataques simples de inundação da 
camada de aplicação (inundação HTTP GET etc.) têm sido um dos mais comuns ataques 
DDoS vistos. 
Prof. Victor Dalton 
Aula 12 
 
 
 
Tecnologia da Informação para SEFAZ-GO ʹ Pós Edital 
www.estrategiaconcursos.com.br 
 13 
141 
Hoax: são mensagens que possuem conteúdo alarmante ou falso. Podem ser fotos polêmicas, 
correntes, pirâmides. Além disso, também podem conter códigos maliciosos. 
Phishing: também chamado de scam, é o tipo de fraude no qual um golpista tenta obter dados 
pessoais e financeiros. Normalmente, é realizado por mensagens eletrônicas que tentam se passar 
por alguma Instituição conhecida, compelindo o destinatário a entrar em um site (falso) para o 
fornecimento de dados pessoais. 
 
Figura 1. Phishing: quem nunca recebeu um email desses? 
Uma variação do Phising é o chamado Pharming. Nele, o serviço DNS (Domain Name System, ou 
domínio de nomes do sistema) do navegador Web é corrompido, redirecionando o usuário para um 
site falso, mesmo quando ele digita o nome de um site verdadeiro. 
Spear Phishing: Outra variação do Phishing, mas o remetente se passa por alguém que você 
conhece, um amigo ou uma empresa com a qual você mantém relacionamento. 
Engenharia Social: A engenharia social compreende práticas utilizadas para obter acesso a 
informações importantes ou sigilosas em organizações ou sistemas por meio da enganação ou 
exploração da confiança das pessoas. Para isso, o golpista pode se passar por outra pessoa, assumir 
outra personalidade, fingir que é um profissional de determinada área, podendo, inclusive, criar 
falsos relacionamentos de amizade para obter informações estratégicas de uma organização. É uma 
forma de entrar em organizações que não necessita da força bruta ou de erros em máquinas. 
Explora as falhas de segurança das próprias pessoas que, quando não treinadas para esses ataques, 
podem ser facilmente manipuladas. 
Ramsonware: tipo de código malicioso que torna inacessíveis os dados armazenados em um 
equipamento, geralmente usando criptografia, e que exige pagamento de resgate (ransom) para 
restabelecer o acesso ao usuário. 
Prof. Victor Dalton 
Aula 12 
 
 
 
Tecnologia da Informação para SEFAZ-GO ʹ Pós Edital 
www.estrategiaconcursos.com.br 
 14 
141 
 
(FCC ʹ TRT 2ª Região ʹ Analista Judiciário ʹ Tecnologia da Informação ʹ 2014) 
Independentemente do tipo de tecnologia usada, ao se conectar um computador à rede ele 
pode estar sujeito a diversos tipos de ataques. De acordo com a cartilha CERT. BR, está correto 
o quese afirma em: 
(A) Interceptação de tráfego consiste em adivinhar, por tentativa e erro, um nome de usuário 
e senha e, assim, executar processos e acessar sites, computadores e serviços com o nome e 
com os mesmos privilégios deste usuário. Apesar deste ataque poder ser realizado 
manualmente, na grande maioria dos casos, é realizado com o uso de ferramentas 
automatizadas que permitem tornar o ataque bem mais efetivo. 
(B) Varredura em redes é uma técnica que consiste em alterar o conteúdo da página web de 
um site. Para ganhar mais visibilidade, chamar mais atenção e atingir maior número de 
visitantes, geralmente os atacantes alteram a página principal do site, porém, páginas internas 
também podem ser alteradas. 
(C) Um ataque de força bruta é uma técnica que consiste em efetuar buscas minuciosas em 
redes, com o objetivo de identificar computadores ativos e coletar informações. Com base nas 
informações coletadas é possível associar possíveis vulnerabilidades aos serviços 
disponibilizados, e aos programas instalados nos computadores ativos detectados. 
(D) Desfiguração ou defacement é uma técnica que consiste em inspecionar os dados 
trafegados em redes de computadores, por meio do uso de programas específicos chamados 
de sniffers. 
(E) Ataque de negação de serviço é uma técnica pela qual um atacante utiliza um computador 
para tirar de operação um serviço, um computador ou uma rede conectada à Internet. O 
objetivo é exaurir recursos e causar indisponibilidades ao alvo. Quando isto ocorre, todas as 
pessoas que dependem dos recursos afetados são prejudicadas, pois ficam impossibilitadas de 
acessar ou realizar as operações desejadas. 
Comentários: 
Vamos reescrever as alternativas corretamente? 
(A) Um ataque de força bruta consiste em adivinhar, por tentativa e erro, um nome de usuário 
e senha e, assim, executar processos e acessar sites, computadores e serviços com o nome e 
com os mesmos privilégios deste usuário. Apesar deste ataque poder ser realizado 
manualmente, na grande maioria dos casos, é realizado com o uso de ferramentas 
automatizadas que permitem tornar o ataque bem mais efetivo. 
(B) Desfiguração ou defacement é uma técnica que consiste em alterar o conteúdo da página 
web de um site. Para ganhar mais visibilidade, chamar mais atenção e atingir maior número 
de visitantes, geralmente os atacantes alteram a página principal do site, porém, páginas 
internas também podem ser alteradas. 
Prof. Victor Dalton 
Aula 12 
 
 
 
Tecnologia da Informação para SEFAZ-GO ʹ Pós Edital 
www.estrategiaconcursos.com.br 
 15 
141 
(C) Varredura em redes é uma técnica que consiste em efetuar buscas minuciosas em redes, 
com o objetivo de identificar computadores ativos e coletar informações. Com base nas 
informações coletadas é possível associar possíveis vulnerabilidades aos serviços 
disponibilizados, e aos programas instalados nos computadores ativos detectados. 
(D) Interceptação de tráfego é uma técnica que consiste em inspecionar os dados trafegados 
em redes de computadores, por meio do uso de programas específicos chamados de sniffers. 
(E) Ataque de negação de serviço é uma técnica pela qual um atacante utiliza um computador 
para tirar de operação um serviço, um computador ou uma rede conectada à Internet. O 
objetivo é exaurir recursos e causar indisponibilidades ao alvo. Quando isto ocorre, todas as 
pessoas que dependem dos recursos afetados são prejudicadas, pois ficam impossibilitadas de 
acessar ou realizar as operações desejadas. 
A cartilha CERT.BR, disponível em http://cartilha.cert.br/ é a principal fonte de inspiração da 
FCC para questões deste tipo. Fica a recomendação para sua leitura complementar. 
Resposta certa, alternativa e). 
1.3 CRIPTOGRAFIA 
Criptografia é o estudo dos princípios e técnicas pelas quais a informação pode ser transformada da 
sua forma original para outra ilegível, de forma que possa ser conhecida apenas por seu destinatário, 
o que a torna difícil de ser lida por alguém não autorizado. Assim sendo, só o receptor da mensagem 
pode ler a informação com facilidade. É um ramo da Matemática, parte da Criptologia. 
Há dois tipos principais de chaves criptográficas: chaves simétricas e chaves assimétricas. Uma 
informação não-cifrada que é enviada de uma pessoa (ou organização) para outra é chamada de 
"texto claro" (plaintext). Cifragem é o processo de conversão de um texto claro para um código 
cifrado e decifragem é o processo contrário, de recuperar o texto original a partir de um texto 
cifrado. A criptografia moderna é basicamente formada pelo estudo dos algoritmos criptográficos 
que podem ser implementados em computadores. 
Segundo Nakamura, a criptografia possui quatro propriedades, ou objetivos, para a proteção da 
informação, a saber: 
x Confidencialidade (privacidade) ʹ sigilo entre as partes envolvidas 
x Integridade ʹ a informação não sofrer alterações 
x Autenticação (do remetente) ʹ poder saber quem é o remetente 
x Não-repúdio ʹ o remetente não poder negar a autoria da mensagem 
1.3.1 Conceitos relacionados 
Uma técnica clássica de criptografia é a esteganografia. 
Esteganografia (do grego "escrita escondida") é o estudo e uso das técnicas para ocultar a existência 
de uma mensagem dentro de outra, uma forma de segurança por obscurantismo. Em outras 
Prof. Victor Dalton 
Aula 12 
 
 
 
Tecnologia da Informação para SEFAZ-GO ʹ Pós Edital 
www.estrategiaconcursos.com.br 
 16 
141 
palavras, esteganografia é o ramo particular da criptologia que consiste em fazer com que uma 
forma escrita seja camuflada em outra a fim de mascarar o seu verdadeiro sentido. 
Interessante frisar a diferença entre criptografia e esteganografia. Enquanto a primeira oculta o 
significado da mensagem, a segunda oculta a existência da mensagem. 
Veja abaixo um exemplo clássico de esteganografia. 
 
Figura 2. Mensagem inocente, não? 
 
Figura 3. E essa mensagem? Continua inocente? 
Nos dias atuais, é possível empregar a esteganografia em mensagens de áudio, texto, vídeos, 
imagens... enfim, qualquer tipo de mídia que possa carregar informação. 
Uma outra ideia relacionada à criptografia é a chamada cifra de César. 
A cifra de César é uma das formas mais simples de criptografia. Quem já teve infância certamente 
ũĄ� ƚƌŽĐŽƵ� ďŝůŚĞƚĞƐ� “ĐƌŝƉƚŽŐƌĂĨĂĚŽƐ ?� ŶĂ� ĞƐĐŽůĂ ?� ƵƐĂŶĚŽ� Ă� ĨĂŵŽƐĂ� ƌĞŐƌŝŶŚĂ� ĚŽ� á? ? ?� -1, +2, etc. Por 
exemplo, escrevendo CASA como DBTB ou BZRZ. Esta é a cifra de César. 
Prof. Victor Dalton 
Aula 12 
 
 
 
Tecnologia da Informação para SEFAZ-GO ʹ Pós Edital 
www.estrategiaconcursos.com.br 
 17 
141 
 
A cifragem de César se baseia no deslocamento dos caracteres do alfabeto. 
Outros conceitos interessantes dizem a respeito da engenharia reversa da criptografia. Uma parte 
interessada em quebrar uma mensagem cifrada pode lançar mão de dois recursos, a saber: 
Criptoanálise: os ataques criptoanalíticos contam com a natureza do algoritmo e talvez mais algum 
conhecimento das características gerais do texto claro, ou ainda algumas amostras do texto claro e 
texto cifrado. O objetivo é deduzir o texto em claro ou a chave utilizada. A criptoanálise pode ser 
considerada o oposto da criptologia, que é a arte de criar mensagens cifradas. 
Ataque por força bruta: o atacante experimenta cada chave possível em um trecho de texto cifrado, 
até obter uma tradução inteligível para o texto claro. Na média, metade de todas as chaves possíveis 
precisam ser testadas para se obter sucesso. 
Logo, percebe-se uma diferença clara entre a criptoanálise e a força bruta. 
�ƌŝƉƚŽŐƌĂĨĂƌ�Ğ�ĚĞĐƌŝƉƚŽŐƌĂĨĂƌ�ŵĞŶƐĂŐĞŶƐ�Ġ�Ƶŵ� “ũŽŐŽ�ĚĞ�ŐĂƚŽ�Ğ�ƌĂƚŽ ? ?�sĞƌemos mais sobre esse jogo, 
à medida que nos aprofundarmos no assunto. 
1.3.2 Criptografia simétrica e assimétrica (importante!) 
Diferenciar algoritmos de chave simétricae assimétrica é importante, e não é difícil! 
Os algoritmos de chave simétrica são uma classe de algoritmos para a criptografia, que usam 
chaves criptográficas relacionadas para as operações de cifragem e decifragem. A operação de 
chave simétrica é mais simples, pois pode existir uma única chave entre as operações. A chave, na 
prática, representa um segredo, partilhado entre duas ou mais partes, que podem ser usadas para 
manter um canal confidencial de informação. Usa-se uma única chave, partilhada por ambos os 
interlocutores, na premissa de que esta é conhecida apenas por eles. Resumindo, a mesma chave 
usava pra criptografar é a mesma utilizada para decriptografar. 
Prof. Victor Dalton 
Aula 12 
 
 
 
Tecnologia da Informação para SEFAZ-GO ʹ Pós Edital 
www.estrategiaconcursos.com.br 
 18 
141 
 
Figura 4. Criptografia com chave simétrica. 
Os algoritmos de chave assimétrica, por sua vez, trabalham com chaves distintas para a cifragem 
e decifragem. Normalmente utilizam o conceito de chave pública e chave privada, no qual a chave 
pública do destinatário é utilizada para a criptografia da informação, e apenas a chave privada 
consegue realizar a decifragem. Requer o emprego de algoritmos complexos, como a utilização de 
números primos extensos. 
 
Figura 5. Criptografia assimétrica. 
Veja a comunicação acima. Thiago vai enviar uma mensagem para Fábio. Assim sendo, Thiago utiliza 
a chave pública de Fábio para criptografar a mensagem. Estando a mensagem cifrada, ela pode 
trafegar por um canal inseguro (ex: Internet) com certa tranquilidade, pois apenas Fábio poderá 
decifrar a mensagem, já que apenas ele possui a chave privada, e nunca divulgou para ninguém. 
O inconveniente da chave simétrica, por ser única, é que o meio pelo qual trafegam as mensagens 
não pode ser o mesmo meio pelo qual a chave é compartilhada, lógico. Portanto, distribuir a chave 
é um inconveniente. Atualizar a chave é um inconveniente. Se existe um meio mais seguro para 
compartilhar a chave, porque não utilizá-lo para o próprio fluxo de dados? 
Prof. Victor Dalton 
Aula 12 
 
 
 
Tecnologia da Informação para SEFAZ-GO ʹ Pós Edital 
www.estrategiaconcursos.com.br 
 19 
141 
Além disso, gerenciar as chaves também pode ser um problema. Afinal, para comunicar-se com 
muitos destinatários diferentes, o ideal é que se tenha uma chave para cada destinatário diferente. 
Por outro lado, as chaves simétricas são as mais recomendadas para o trâmite de grandes volumes 
de dados, já que seu processamento é mais rápido. 
Já a chave assimétrica, teoricamente mais segura, requer algoritmos complexos para o seu devido 
emprego, logo, não é difícil imaginar que performance seja um gargalo neste sistema. 
Como contrapartida, uma única chave pública pode ser distribuída livremente, já que apenas a chave 
privada, nunca divulgada, consegue decifrar a mensagem. 
Essas diferenças merecem um comparativo, não é mesmo? 
 CHAVE SIMÉTRICA CHAVE ASSIMÉTRICA 
Chaves Única Pública (divulgada livremente) 
Privada(secreta) 
Funcionamento Mesma chave cifra e 
decifra 
Chave pública cifra a mensagem e 
chave privada decifra 
Processamento Veloz Lento 
Gerenciamento das 
chaves 
Complicado, uma chave 
para cada usuário 
Simples, basta divulgar a chave pública 
Ataques de força 
bruta 
São perigosos São ineficazes (números primos muito 
grandes) 
 
1.3.3 Principais algoritmos 
Hora de vermos alguns algoritmos. 
DES (Data Encryption Standard) - DES é tipo de cifra em bloco, ou seja, um algoritmo que toma uma 
string ? “ƉĞĚĂĕŽ ?�ĚĞ�ƚĞdžƚŽ ?�ĚĞ�ƚĂŵĂŶŚŽ�ĨŝdžŽ�ĚĞ�Ƶŵ�ƚĞdžƚŽ�ƉůĂŶŽ�Ğ�Ă�ƚƌĂŶƐĨŽƌŵĂ ?�ĂƚƌĂǀĠƐ�ĚĞ�ƵŵĂ�ƐĠƌŝĞ�
de complicadas operações, em um texto cifrado de mesmo tamanho. No caso do DES, o tamanho 
do bloco é 64 bits. DES também usa uma chave para personalizar a transformação, de modo que a 
decifragem somente é possível, teoricamente, por aqueles que conhecem a chave particular 
utilizada para criptografar. A chave consiste nominalmente de 64 bits, porém somente 56 deles são 
realmente utilizados pelo algoritmo. Os oito bits restantes são utilizados para verificar a paridade e 
depois são descartados, portanto o tamanho efetivo da chave é de 56 bits, e assim é citado o 
tamanho de sua chave. 
d
Prof. Victor Dalton 
Aula 12 
 
 
 
Tecnologia da Informação para SEFAZ-GO ʹ Pós Edital 
www.estrategiaconcursos.com.br 
 20 
141 
 
O DES, por ser um algoritmo simétrico, utiliza a mesma chave para a decriptografia, aplicando-se as 
subchaves na sequência inversa. É um algoritmo relativamente vulnerável a ataques de força bruta, 
nos dias atuais. 
O 3-DES é uma versão melhorada do DES, na qual os dados são encriptados com a primeira chave, 
decifrados com a segunda chave e finalmente encriptados novamente com uma terceira chave. Isto 
faz o 3DES ser mais lento que o DES original, porém em contrapartida oferece maior segurança. 
2
Prof. Victor Dalton 
Aula 12 
 
 
 
Tecnologia da Informação para SEFAZ-GO ʹ Pós Edital 
www.estrategiaconcursos.com.br 
 21 
141 
 
AES (Advanced Encryption Standard) ʹ Também conhecido como Rjindael, o AES foi um algoritmo 
 “ƉƌŽǀŽĐĂĚŽ ?�ƉĞůŽ�ŐŽǀĞƌŶŽ�ŶŽƌƚĞĂŵĞƌŝĐĂŶŽ ?�Ğŵ�ǀŝƌƚƵĚĞ�ĚĂ�ŶĞĐĞƐƐŝĚĂĚĞ�ĚĞ�ƐƵďƐƚŝƚƵŝĕĆŽ�ĚŽ���^ ?�ĐƵũĂ�
vida útil se aproximava do fim. Ele também é simétrico, usa um tamanho de bloco de 128 bits e 
admite chaves de 128, 192 e 256 bits. 
IDEA (International Data Encryption Algorithm) ? algoritmo desenvolvido na Suíça, em 1990. 
Simétrico, usa chave de 128 bits. 
RSA ʹ O RSA é um algoritmo assimétrico de chave pública, conforme exemplo mostrado 
anteriormente. Ele utiliza números primos muito grandes. 
RC4 ? O RC4 não é uma técnica de blocos, ele trabalha em fluxo contínuo de entrada e saída de 
bytes. A chave pode ter de 1 até 2048 bits, mas é comum a utilização com chave de 40 ou 128 bits. 
MD-5 (Message Digest Algorithm 5) - É um algoritmo de hash de 128 bits unidirecional desenvolvido 
pela RSA Data Security, Inc., e muito utilizado por softwares com protocolo ponto-a-ponto na 
verificação de integridade de arquivos e logins. Atualmente, a comunidade de segurança considera 
o MD5 como um algoritmo quebrado, embora ainda seja utilizado nos dias atuais. 
SHA-1 (Secure Hash Algorithm 1) - A família de SHA (Secure Hash Algorithm) está relacionada com 
as funções criptográficas e verificação de integridade de dados. A função mais usada nesta família, 
a SHA-1, é usada numa grande variedade de aplicações e protocolos de segurança, incluindo TLS, 
SSL, PGP, SSH, S/MIME e IPSec. SHA-1 foi considerado o sucessor do MD5. 
O SHA-1 processa os dados de entrada em blocos de 512 bits e gera um sumário de mensagens de 
160 bits. 
DSS (Digital Signature Standard) ʹ O DSS é um padrão de assinatura digital utiliza um algoritmo que 
foi projetado apenas para oferecer a função de assinatura digital (o DSA). Diferentemente do RSA, 
b
Prof. Victor Dalton 
Aula 12 
 
 
 
Tecnologia da Informação para SEFAZ-GO ʹ Pós Edital 
www.estrategiaconcursos.com.br 
 22 
141 
ele não pode ser usado para a criptografia ou troca de chave. Apesar disso, é uma técnica de chave 
pública. O DSS também utiliza o algoritmo SHA-1 para a geração do hash. 
 DSA (Digital Signature Algorithm) ʹ O DSA é o algoritmo do DSS para assinatura digital, baseado na 
dificuldade de se calcular logaritmos discretos. Ele trabalha com três parâmetros públicos, que 
podem ser comuns a um grupo de usuários. Um número primo q de 160 bits, um número p entre 
512 a 1024 bits, de modo que q divida (p -1), e g, que será igual a h elevado a [(p-1)/q], em que h é 
menor que p -1 e (g mod q) > 1. h é a chave secreta a ser utilizada pelo assinante. 
1.3.4 Assinatura digital 
Analisar assinatura digital é a continuação natural da criptografia assimétrica.Por enquanto, ainda 
ĞƐƚĂŵŽƐ�ŶŽ� “ŵƵŶĚŽ�ĚĂƐ�ŝĚĞŝĂƐ ? ?�ŵĂƐ�ũĄ�ƚƌĂƌĞŵŽƐ�ĞƐƐĞƐ�ĐŽŶĐĞŝƚŽƐ�ƉĂƌĂ�Ž�ŶŽƐƐŽ�ĚŝĂ�Ă�ĚŝĂ ?�WĞĕŽ�ƐƵĂ�
paciência! 
Você deve ter percebido que a criptografia baseada em chave assimétrica garante a 
confidencialidade da mensagem, pois, apenas o destinatário da mesma consegue decifrá-la. Até aí 
tudo bem, mas quem garante que a mensagem realmente está vindo daquele emissor? 
Afinal de contas, qualquer um pode enviar uma mensagem para Fábio. A chave pública de Fábio é 
pública, não é mesmo? 
É nesse contexto que entra a assinatura digital. Ela garantirá a autenticidade do remetente e a 
integridade da mensagem. Vamos ver como? 
Assinatura digital baseada em Chave Pública 
A assinatura digital requer que emissores e receptores conheçam as chaves públicas uns dos outros. 
Assim, quando a entidade emissora quer enviar uma mensagem assinada digitalmente a outra 
entidade, aquela terá que cifrar a mensagem com a sua chave privada e, em seguida, cifrar o 
resultado com a chave pública da entidade receptora. Por sua vez, a entidade receptora ao receber 
a mensagem terá que decifrá-la primeiro com a sua chave privada e de seguida decifrar este 
resultado com a chave pública da entidade emissora. 
O receptor pode provar a recepção de qualquer mensagem através do criptograma resultante da 
decifragem com a sua chave privada. Note-se que ele consegue decifrá-lo mas nunca conseguiria 
produzi-lo uma vez que desconhece a chave privada do emissor. 
Este método de assinatura digital tem todas as vantagens dos algoritmos de chave pública 
nomeadamente a sua impossibilidade de decifragem por outros, pelo menos em tempo útil. 
7
Prof. Victor Dalton 
Aula 12 
 
 
 
Tecnologia da Informação para SEFAZ-GO ʹ Pós Edital 
www.estrategiaconcursos.com.br 
 23 
141 
 
Figura 6. Assinatura digital baseada em chave pública. 
Entendeu a jogada? 
Se, além de cifrar a mensagem com a chave pública de Fábio, Thiago cifrar também com sua própria 
chave privada, Fábio não só conseguirá ler a mensagem, como também garantirá que a mensagem 
realmente é de Thiago, pois a chave pública de Thiago também decifra mensagens cifradas pela 
chave privada de Thiago. 
Veja também outros dois tipos de assinatura digital: 
Assinatura digital baseada em Chave Secreta 
Esta aproximação requer a existência de uma autoridade central que sabe tudo e em quem todos 
confiam. Cada entidade escolhe uma chave secreta e a repassa à autoridade central. Desta forma 
só autoridade central e a própria entidade têm conhecimento da sua chave secreta. Quando uma 
entidade quer enviar uma mensagem assinada digitalmente à outra, terá que a cifrar, com a sua 
chave secreta, e enviá-la à autoridade central. A mensagem passará pela autoridade central que a 
decifrará com a chave secreta da entidade emissora. A esta mensagem será concatenada uma 
estampilha que só a autoridade central consegue gerar e decifrar. O resultado será cifrado com a 
chave secreta da entidade receptora e enviado. Desta forma, o receptor pode provar a recepção de 
qualquer mensagem através da estampilha recebida (só a autoridade central consegue produzir 
uma). 
Assinatura digital baseada em funções de hash (importante!) 
Uma das críticas que se podem fazer à aproximações apresentadas anteriormente é que elas juntam 
duas funções distintas: autenticação e privacidade. Muitas vezes, é necessária a autenticação, mas 
não existe qualquer interesse de privacidade. Uma vez que a cifragem de uma mensagem com 
criptografia de chaves públicas é normalmente lenta, é frequentemente desejável enviar uma 
mensagem assinada digitalmente sem preocupação de que ela seja lida por outros. Desta forma não 
será necessário cifrar toda a mensagem. 
Este esquema baseia-se nas funções de sentido único (one-way hash functions) e tem como base a 
cifragem de uma parte, arbitrariamente longa, da mensagem, obtendo como resultado o chamado 
message-digest(resumo). Esse resumo possui tamanho fixo, independentemente do tamanho da 
mensagem. 
e
Prof. Victor Dalton 
Aula 12 
 
 
 
Tecnologia da Informação para SEFAZ-GO ʹ Pós Edital 
www.estrategiaconcursos.com.br 
 24 
141 
Desta forma, a entidade emissora terá que gerar o message-digest e cifrá-lo (assiná-lo) com a sua 
chave privada. 
De seguida poderá enviar a mensagem (cifrada ou não) concatenada com a sua assinatura. A 
entidade receptora decifrará a assinatura com a chave pública da entidade emissora (previamente 
publicada) e verificará se o message-digest é o esperado. Como pode ser facilmente percebido, as 
entidades comunicantes devem assegurar-se que conhecem as verdadeiras chaves públicas umas 
das outras e não quaisquer outras ilegalmente publicadas, a troco da segurança do sistema poder 
ficar comprometido. Para garantir isso, i.e., para fazer a distribuição de chaves públicas de forma 
segura, usa-se o conceito de certificado, um objeto que contém a chave pública de uma dada 
entidade assinada digitalmente por uma entidade de confiança, conhecida por autoridade 
certificadora (CA). 
 
Figura 7. Assinatura digital baseada em funções de hash. 
Estamos evoluindo! Primeiro, você entendeu como a mensagem é enviada de uma forma segura. 
Segundo, você entendeu como garantir a assinatura do remetente. Agora podemos fazer mais uma 
pergunta. 
Quem garante que aquele emissor realmente é legítimo? Ou seja, quem garante a Fábio que o 
Thiago realmente é o Thiago, e não alguém se passando por Thiago? 
A dica foi dada na última modalidade de assinatura digital. É hora de estudarmos o Certificado 
Digital. 
 
(FCC ʹ SEFAZ/PI ʹ Auditor Fiscal ʹ 2015) 
Em determinada instituição, João envia uma mensagem criptografada para Antônio, utilizando 
criptografia assimétrica. Para codificar o texto da mensagem, João usa 
(A) a chave privada de Antônio. Para Antônio decodificar a mensagem que recebeu de João, 
ele terá que usar sua chave privada. Cada um conhece apenas sua própria chave privada. 
(B) a chave pública de Antônio. Para Antônio decodificar a mensagem que recebeu de João, 
ele terá que usar a chave privada, relacionada à chave pública usada no processo por João. 
Somente Antônio conhece a chave privada. 
(C) a chave pública de Antônio. Para Antônio decodificar a mensagem que recebeu de João, 
ele terá que usar a chave privada, relacionada à chave pública usada no processo por João. 
Ambos conhecem a chave privada. 
(D) a chave privada de Antônio. Para Antônio decodificar a mensagem que recebeu de João, 
ele terá que usar a chave pública, relacionada à chave privada usada no processo por João. 
Ambos conhecem a chave privada. 
Prof. Victor Dalton 
Aula 12 
 
 
 
Tecnologia da Informação para SEFAZ-GO ʹ Pós Edital 
www.estrategiaconcursos.com.br 
 25 
141 
(E) sua chave privada. Para Antônio decodificar a mensagem que recebeu de João, ele terá que 
usar sua chave pública. Somente João conhece a chave privada. 
Comentários: 
Na criptografia assimétrica, para que João envie uma mensagem para Antônio, este deverá 
utilizar a chave pública de Antônio. Antônio, única parte que conhece sua própria chave 
privada, será capaz de decifrar a mensagem com a própria chave privada, que forma par com 
a chave pública utilizada no processo. 
Resposta certa, alternativa b). 
1.3.5 Certificado digital 
Um certificado digital normalmente é usado para ligar uma entidade a uma chave pública. Para 
garantir digitalmente, no caso de uma Infraestrutura de Chaves Públicas (ICP), o certificado é 
assinado pela Autoridade Certificadora (AC) que o emitiu e no caso de um modelo de Teia de 
Confiança (Web of Trust), o certificado é assinado pela própria entidade e assinado por outros que 
dizem confiar naquela entidade. Em ambos os casos as assinaturas contidas em um certificado são 
atestamentos feitos por uma entidade que diz confiar nos dadoscontidos naquele certificado. 
O certificado digital oferece garantias de: 
x Autenticidade - o receptor deverá poder confirmar a assinatura do emissor; 
x Integridade - garantia de que o conteúdo da transação não foi alterado; 
x Não-repúdio - garantia de que quem executou a transação não pode negar que foi ele 
mesmo que executou; 
Ainda está um pouco quadrado? 
Pois imagine o Certificado Digital como uma cédula de identidade, emitida por um cartório. A gente 
às vezes não precisa ir em um cartório pra provar que a gente é a gente mesmo? Mesma coisa aqui! 
Veja essa tela abaixo, por meio da qual um usuário entra em sua conta no site do Banco do Brasil 
(repare no CADEADO VERDE): 
Prof. Victor Dalton 
Aula 12 
 
 
 
Tecnologia da Informação para SEFAZ-GO ʹ Pós Edital 
www.estrategiaconcursos.com.br 
 26 
141 
 
Esta é uma típica comunicação de duas partes que usa criptografia assimétrica. Uma parte é VOCÊ, 
cliente, e a outra é o BANCO. 
Em telas cuja informação é sensível, como os dados bancários de um cliente, o fornecedor de um 
serviço crítico, no caso, o BANCO, oferece um canal seguro de comunicação, protegido por 
criptografia. Mas VOCÊ, no caso o seu navegador, precisa ter certeza que realmente está trocando 
mensagens com o BANCO. Para isso, o banco, ao entrar nesse canal seguro, lhe envia um 
CERTIFICADO DIGITAL, mostrando quem ele é, qual a criptografia que usa, lhe enviando a chave 
pública dele, e informando qual a AUTORIDADE CERTIFICADORA que emitiu o Certificado dele. 
VOCÊ, então, por meio de seu navegador de internet, verifica se a autoridade certificadora dele 
realmente é de confiança (como se um cartório fosse). Nas configurações avançadas de seu 
navegador, é possível verificar estes certificados. Segue abaixo uma tela do Google Chrome, que 
mostra isso: 
 
Prof. Victor Dalton 
Aula 12 
 
 
 
Tecnologia da Informação para SEFAZ-GO ʹ Pós Edital 
www.estrategiaconcursos.com.br 
 27 
141 
Nem pense em modificar essas configurações! Seu navegador pode ficar vulnerável! 
Sendo o Certificado Digital realmente emitido por uma Autoridade Certificadora de confiança, o 
CADEADO VERDE aparece na sua tela, mostrando que sua comunicação, a partir daquele momento, 
será segura. 
Viu como a criptografia faz parte do seu dia a dia? 
P.S.: Você já deve ter entrado em sites, inclusive de órgãos públicos, e ter se deparado com 
ŵĞŶƐĂŐĞŶƐ� ĚŽ� ƚŝƉŽ� P ?�ƐƚĞ� �ĞƌƚŝĨŝĐĂĚŽ� ŶĆŽ� ĨŽŝ� ǀĞƌŝĨŝĐĂĚŽ ?� �ĞƐĞũĂ� ĐŽŶƚŝŶƵĂƌ ? ?� ?� ĐŽŶĨŽƌŵĞ� ŝŵĂŐĞŵ�
abaixo: 
 
Tela vermelha de fundo, cadeado “ĐŽƌƚĂĚŽ ? ?� ŽƵ� Ğŵ� ǀĞƌŵĞůŚŽ ?� Ğ� ĂůŐƵŵĂ� ŵĞŶƐĂŐĞŵ� ĚŽ� ƚŝƉŽ�
 “ĐŽŶƚŝŶƵĞ�ƉŽƌ�ƐƵĂ�ĐŽŶƚĂ�Ğ�ƌŝƐĐŽ ? ? 
Isso acontece porque a emissão de certificados é paga (como se cartório fosse, rs), e nem todos 
aderem às Autoridades Certificadoras. Na prática, isso quer dizer que a comunicação com a outra 
parte é segura, mas não há Autoridade Certificadora garantindo que a outra parte é idônea. Ou seja, 
é possível trocar informações de maneira segura com uma parte mal intencionada. Nesses casos, 
confiar no outro lado fica por conta e risco do usuário, e não da Autoridade Certificadora. 
Em um certificado digital, poderão ser encontradas as seguintes informações: 
á? versão e número de série do certificado. 
á? dados que identificam quem emitiu o certificado (assinatura da AC). 
á? dados que identificam o dono do certificado (nome, registro civil). 
á? validade do certificado. 
á? chave pública do dono do certificado (a chave privada fica apenas com o dono). 
á? algoritmo de assinatura. 
á? versão e número de série do certificado. 
á? requerente do Certificado. 
Prof. Victor Dalton 
Aula 12 
 
 
 
Tecnologia da Informação para SEFAZ-GO ʹ Pós Edital 
www.estrategiaconcursos.com.br 
 28 
141 
1.3.6 A ICP - Brasil 
Falando em Autoridade Certificadora, a ICP-Brasil é um conjunto de entidades governamentais ou 
de iniciativa privada, padrões técnicos e regulamentos, elaborados para suportar um sistema 
criptográfico com base em certificados digitais e visa assegurar as transações entre titulares de 
certificados digitais e detentores de chaves públicas, no Brasil. 
Para assegurar que uma determinada chave pertence a você é necessário que uma Autoridade 
Certificadora (AC) confira sua identidade e seus respectivos dados. Ela será a entidade responsável 
pela emissão, suspensão, renovação ou revogação de seu certificado digital, além de ser obrigada a 
manter sempre disponível a Lista de Certificados Revogados (CRL). 
A ICP ?Brasil é formada por uma Autoridade Certificadora Raiz (AC RAIZ) que é representada pelo 
Instituto Nacional de Tecnologia da Informação (ITI), sendo este órgão responsável pela 
autentificação das demais Autoridades Certificadoras, além de executar atividades de fiscalização e 
auditoria das AC e Autoridades de Registro (AR) para que possa certificar-se de que a entidade está 
seguindo todas as Políticas de Certificação. 
Vejamos mais alguns conceitos relevantes sobre a ICP Brasil: 
AC - Raiz 
A Autoridade Certificadora Raiz da ICP-Brasil (AC-Raiz) é a primeira autoridade da cadeia de 
certificação. Executa as Políticas de Certificados e normas técnicas e operacionais aprovadas pelo 
Comitê Gestor da ICP-Brasil. Portanto, compete à AC-Raiz emitir, expedir, distribuir, revogar e 
gerenciar os certificados das autoridades certificadoras de nível imediatamente subsequente ao 
seu. 
A AC-Raiz também está encarregada de emitir a lista de certificados revogados (LCR) e de fiscalizar 
e auditar as Autoridades Certificadoras (ACs), Autoridades de Registro (ARs) e demais prestadores 
de serviço habilitados na ICP-Brasil. Além disso, verifica se as ACs estão atuando em conformidade 
com as diretrizes e normas técnicas estabelecidas pelo Comitê Gestor da ICP-Brasil. 
AC - Autoridade Certificadora 
Uma Autoridade Certificadora (AC) é uma entidade, pública ou privada, subordinada à hierarquia da 
ICP-Brasil, responsável por emitir, distribuir, renovar, revogar e gerenciar certificados digitais. Tem 
a responsabilidade de verificar se o titular do certificado possui a chave privada que corresponde à 
chave pública que faz parte do certificado. Cria e assina digitalmente o certificado do assinante, 
onde o certificado emitido pela AC representa a declaração da identidade do titular, que possui um 
par único de chaves (pública/privada). 
Cabe também à AC emitir listas de certificados revogados (LCR) e manter registros de suas operações 
sempre obedecendo às práticas definidas na Declaração de Práticas de Certificação (DPC). Além de 
estabelecer e fazer cumprir, pelas Autoridades Registradoras (ARs) a ela vinculadas, as políticas de 
segurança necessárias para garantir a autenticidade da identificação realizada. 
AR ʹ Autoridade de Registro 
Uma Autoridade de Registro (AR) é responsável pela interface entre o usuário e a Autoridade 
Certificadora. Vinculada a uma AC, tem por objetivo o recebimento, validação, encaminhamento 
Prof. Victor Dalton 
Aula 12 
 
 
 
Tecnologia da Informação para SEFAZ-GO ʹ Pós Edital 
www.estrategiaconcursos.com.br 
 29 
141 
de solicitações de emissão ou revogação de certificados digitais e identificação, de forma 
presencial, de seus solicitantes. É responsabilidade da AR manter registros de suas operações. Pode 
estar fisicamente localizada em uma AC ou ser uma entidade de registro remota. 
Dica do professor: perceba que a Autoridade de Registro NÃO EMITE Certificados Digitais. 
Embora uma entidade precise ir a uma AR para obter o seu Certificado Digital, quem 
emitirá o certificado será a AC. A AR apenas faz o meio de campo entre a entidade e a AC. 
Ainda, perceba que ninguém emite Certificados diretamente com a AC-Raiz, apenas as 
autoridades Certificadoras imediatamente abaixo de seu nível na hierarquia. 
Conheça a hierarquia resumida daICP Brasil em: http://www.iti.gov.br/images/icp-
brasil/estrutura/2014/atualizacao12/Estrutura_da_ICP-Brasil_-_site.pdf 
1.3.7 Tipos de Certificação Digital 
Na ICP-Brasil estão previstos dez tipos de certificado. São duas séries de certificados. A série A (A1, 
A2, A3 e A4) reúne os certificados de assinatura digital, utilizados na confirmação de identidade na 
Web, em e-mail, em redes privadas virtuais (VPN) e em documentos eletrônicos com verificação da 
integridade de suas informações. 
Também certificados de assinatura digital, certificados do tipo T3 e T4 somente podem ser emitidos 
para equipamentos das Autoridades de Carimbo do Tempo (ACTs) credenciadas na ICP-Brasil. 
A série S (S1, S2, S3 e S4), por sua vez, reúne os certificados de sigilo, que são utilizados na 
codificação de documentos, de bases de dados, de mensagens e de outras informações eletrônicas 
sigilosas. Os dez tipos são diferenciados pelo uso, pelo nível de segurança e pela validade. 
Nos certificados do tipo A1 e S1, as chaves privadas ficam armazenadas no próprio computador do 
usuário. Nos tipos A2, A3, A4, S2, S3 e S4, as chaves privadas e as informações referentes ao seu 
certificado ficam armazenadas em um hardware criptográfico ? cartão inteligente (smart card) ou 
cartão de memória (token USB ou pen drive). Para acessar essas informações, ainda, é necessária a 
digitação de senha no momento crítico da transação. 
Tipos T3 e T4 são para hardware específico das Autoridades de Carimbo do Tempo, cuja finalidade 
é provar a sua existência em determinado período, em qualquer documento ou transação 
eletrônica, baseando-se na hora oficial brasileira fornecida pelo Observatório Nacional. 
Tipo de 
certificado 
Chave criptográfica 
Validade máxima 
(anos)* 
Tamanho da 
chave (bits) 
Processo de 
geração Mídia armazenadora 
A1 e S1 1024 Software Arquivo 1 
Prof. Victor Dalton 
Aula 12 
 
 
 
Tecnologia da Informação para SEFAZ-GO ʹ Pós Edital 
www.estrategiaconcursos.com.br 
 30 
141 
A2 e S2 1024 Sofware 
Smart card ou token, sem capacidade 
de geração de chave 2 
A3 e S3 1024 Hardware 
Smart card ou token, com capacidade 
de geração de chave 5 
A4 e S4 2048 Hardware 
Smart card ou token, com capacidade 
de geração de chave 6 
T3 1024 Hardware 
Hardware criptográfico aprovado 
pelo CG da ICP-Brasil 5 
T4 2048 Hardware 
Hardware criptográfico aprovado 
pelo CG da ICP-Brasil 6 
*observação: a partir de 5 de julho de 2012, qualquer certificado emitido por AC de 1º ou 2º nível pode ter 
validade de até 5 anos. 
1.3.8 Métodos de autenticação 
A autenticação, via de regra, depende de um ou mais dos métodos a seguir: 
O que voce é: meios biométricos, tais como impressão digital, padrão de retina, padrão de voz, 
reconhecimento de assinatura, reconhecimento facial. 
O que você tem: objetos, tais como cartões de identificação, smart cards, tokens USB. 
O que você sabe: senha, dados pessoais, frases secretas. 
Os bons métodos de autenticação atuais utilizam mais de um dos métodos supracitados. Quando 
utilizados dois dos métodos, chamamos de verificação em duas etapas. 
A verificação em duas etapas está sendo cada vez mais utilizada em nosso cotidiano. 
Cito como exemplo o gmail, que tem trabalhado com senha (o que você sabe) + envio de mensagem 
para o seu telefone (o que você tem). Certamente você já precisou se autenticar em algum lugar 
utilizando procedimento similar. 
Prof. Victor Dalton 
Aula 12 
 
 
 
Tecnologia da Informação para SEFAZ-GO ʹ Pós Edital 
www.estrategiaconcursos.com.br 
 31 
141 
 
Figura 8. Verificação em duas etapas. 
 
(FCC ʹ SEFAZ/PI ʹ Auditor Fiscal ʹ 2015) 
O certificado digital utilizado na Nota Fiscal Eletrônica (NF-e) deverá ser adquirido junto à 
�ƵƚŽƌŝĚĂĚĞ��ĞƌƚŝĨŝĐĂĚŽƌĂ�ĐƌĞĚĞŶĐŝĂĚĂ�ƉĞůĂ�/ŶĨƌĂĞƐƚƌƵƚƵƌĂ�ĚĞ��ŚĂǀĞƐ�WƷďůŝĐĂƐ��ƌĂƐŝůĞŝƌĂ�á?�/�W-
Brasil, devendo ser do tipo Q/ Q� ŽƵ� Q// Q� Ğ� ĐŽŶƚĞƌ� Ž� �EW:� ĚĞ� Ƶŵ� ĚŽƐ� ĞƐƚĂďĞůĞĐŝŵĞŶƚŽƐ� ĚĂ�
empresa. 
As características dos certificados digitais I e II são descritas a seguir: 
I. A chave privada é armazenada no disco rígido do computador, que também é utilizado para 
realizar a assinatura digital. 
II. A chave privada é armazenada em dispositivo portátil inviolável do tipo smart card ou token, 
que possui um chip com capacidade de realizar a assinatura digital. 
I e II são, respectivamente, 
(A) S1 e S2. 
(B) A2 e A3. 
(C) S1 e S3. 
(D) A2 e A4. 
(E) A1 e A3. 
Comentários: 
Os certificados do tipo A1 são armazenados no computador, enquanto os certificados A3 são 
armazenados em smart card ou token. Não cabe marcar S1 e S3, pois certificados de sigilo não 
serão utilizados para emissão de NF-e. 
Resposta certa, alternativa e). 
Prof. Victor Dalton 
Aula 12 
 
 
 
Tecnologia da Informação para SEFAZ-GO ʹ Pós Edital 
www.estrategiaconcursos.com.br 
 32 
141 
(FCC ʹ SEFAZ/PI ʹ Auditor Fiscal ʹ 2015) 
Os arquivos digitais no padrão definido em norma e do aplicativo GeraTEDeNF, a empresa 
deverá possuir um certificado digital, em um padrão específico, emitido por Autoridade 
Certificadora credenciada à ICP/BR que contenha o CNPJ da empresa. 
O uso de certificado digital de pessoa física emitido por Autoridade Certificadora credenciada 
à ICP/BR, que contenha o CPF do titular será permitido desde que a SEFAZ-PI seja comunicada 
previamente através da apresentação do Termo de Outorga de Poderes para Assinatura e 
Transmissão de Arquivos Digitais firmada pelo representante legal da empresa. 
No site http://nf-eletronica.com consta o seguinte texto adaptado: 
O Projeto Nota Fiscal Eletrônica (NF-e) exige o uso de Certificado Digital em um padrão 
específico, emitido por Autoridade Certificadora credenciada à ICP/BR. 
Um padrão específico de certificado digital usado na ICP Brasil (ICP/BR) é citado em ambos os 
textos e especifica, entre várias outras coisas, o formato dos certificados digitais, de tal 
maneira que se possa amarrar firmemente um nome a uma chave pública, permitindo 
autenticação forte. Trata-se do padrão 
(A) X509.v6. 
(B) SET. 
(C) PGP. 
(D) X509.v3. 
(E) SPDK/SDSI. 
Comentários: 
A ICP Brasil utiliza o padrão X509 v3 como padrão de certificação digital. Esta padronização de 
infraestrutura de chave pública é definida pela ITU-T. 
Resposta certa, alternativa d). 
Dentro deste contexto de segurança em autenticação, um recurso cada vez mais tem ganhado 
espaço para evitar a autenticação indevida, ou mesmo eliminar tráfego indesejável em páginas web. 
É o chamado CAPTCHA ?� “Completely Automated Public Turing test to tell Computers and Humans 
Apart" (teste de Turing público completamente automatizado para diferenciação entre 
computadores e humanos). 
O CAPTCHA é uma ferramenta, normalmente colocada em páginas web, que tem o objetivo de 
impedir que robôs imitem o comportamento humano em um site, colocando uma operação que 
somente uma pessoa conseguirá fazer. Veja exemplos de CAPTCHA abaixo: 
Prof. Victor Dalton 
Aula 12 
 
 
 
Tecnologia da Informação para SEFAZ-GO ʹ Pós Edital 
www.estrategiaconcursos.com.br 
 33 
141 
 
Com a utilização do CAPTCHA, evita-se a navegação de bots em páginas indesejadas. 
Você provavelmente já se deparou com o CAPTCHA em algum procedimento online, seja por um 
simples clique do mouse, ou escrever alguma palavra ou letras que estejam em um desenho 
ďŽƌƌĂĚŽ ?�ŽƵ�ŵĞƐŵŽ�ƌĞƐƉŽŶĚĞƌ�Ă�ƵŵĂ�ŽƉĞƌĂĕĆŽ�ŵĂƚĞŵĄƚŝĐĂ�ƐŝŵƉůĞƐ ?�ĚŽ�ƚŝƉŽ� “�ŝŐŝƚĞ�ĂďĂŝdžŽ�Ă�ƐŽŵĂ�
ĚĞ� ?�á?� ? ? ? 
1.4 BACKUP 
Realizar cópias de segurança, por óbvio, é uma prática muito comum, não apenas pelas pessoas, 
mas principalmente pelas empresas. A informação é algo muito sensível para ficar na mão de um 
único disco rígido. Como assim, perdeu a informação por que um disco queimou? Precisamosser 
mais profissionais, - 
A informação mais importante a respeito de backup fica na norma ISO 27002, a qual afirma que as 
mídias de backup devem ficar situadas a uma distância segura da mídia e dos sistemas originais, 
para que danos causados por um desastre no site principal não afetem também o backup. 
Questões de prova em cima dessa ideia são frequentes. 
Além disso, podemos destacar que os backups podem ser realizados de três formas diferentes. São 
elas: 
Backup Completo (normal): como o próprio nome diz, todos os arquivos e pastas na unidade sofrem 
o backup, ou seja, é criada uma cópia de segurança para todos esses arquivos. Além disso, marca 
todos os arquivos como arquivos que sofreram backup. 
Perceba que, em um primeiro momento, o backup completo sempre nos parece uma excelente 
solução. E é! Afinal, quando acontecer um desastre, basta pegar o último backup completo e 
restaurar os dados. Mas, com esta política veremos um pequeno problema: espaço. Não dá para 
ficar copiando quantidades gigantescas de informação o tempo todo, ainda mais se uma política de 
backup diária for realizada. 
Por isso, em conjunto com o backup completo, costuma-se adotar uma das outras políticas a seguir. 
Vejamos: 
Backup Incremental: realiza um backup dos arquivos novos ou alterados desde o último backup, 
incremental ou completo. Marca os arquivos como se tivessem sofrido backup. 
Com o backup incremental, perceba que é possível, depois de um backup completo, fazer backups 
ŵĞŶŽƌĞƐ� Ğ� ƉŽŶƚƵĂŝƐ ?� ƐĞŵ� ƌĞƉĞƚŝƌ� ĂƌƋƵŝǀŽƐ� “ĚĞƐŶĞĐĞƐƐĂƌŝĂŵĞŶƚĞ ? ?� sĞũĂ ?� ŶĂ� ŝŵĂŐĞŵ abaixo, a 
representação de um backup completo de 10GB e um backup incremental sendo realizado 
diariamente, no qual 2GB de arquivos são novos ou modificados diariamente: 
Prof. Victor Dalton 
Aula 12 
 
 
 
Tecnologia da Informação para SEFAZ-GO ʹ Pós Edital 
www.estrategiaconcursos.com.br 
 34 
141 
 
Ilustração de backup incremental, copiando apenas os arquivos novos ou modificados em relação 
ao backup anterior. 
Quando ocorre um desastre, para recuperar os dados, será necessário pegar o último backup 
completo e todos os backups incrementais depois do último backup completo para restaurar os 
dados. 
Por fim, vejamos a terceira modalidade. 
Backup Diferencial: realiza um backup dos arquivos que foram alterados desde o último backup 
completo. Não marca os arquivos como passados pelo backup. 
Como assim professor, faz backup e não marca o arquivo como passado pelo backup? 
O backup diferencial tem uma natureza cumulativa. Ao não marcar os arquivos como se tivessem 
passado pelo backup, toda vez que ocorre um backup diferencial ele sempre tem como referência 
o último backup completo. Logo, em um cenário no qual temos um backup completo de 10GB e um 
backup diferencial sendo realizado diariamente, no qual 2GB de arquivos são novos ou modificados 
diariamente, teremos: 
Prof. Victor Dalton 
Aula 12 
 
 
 
Tecnologia da Informação para SEFAZ-GO ʹ Pós Edital 
www.estrategiaconcursos.com.br 
 35 
141 
 
Ilustração de backup diferencial, copiando todos os arquivos novos ou modificados em relação ao 
backup completo. 
Com o backup diferencial, ficam evidentes uma vantagem e uma desvantagem: a vantagem é a 
recuperação mais rápida diante de um desastre, se comparado com o backup incremental: basta 
pegar o último backup completo e o último backup diferencial para restaurar os dados. Já a 
ĚĞƐǀĂŶƚĂŐĞŵ�ĨŝĐĂ�ƉŽƌ�ĐŽŶƚĂ�ĚĂ�ŶĂƚƵƌĞnjĂ� “ĐƵŵƵůĂƚŝǀĂ ?�ĚŽ�ďĂĐŬƵƉ�ĚŝĨĞƌĞŶĐŝĂů ?�ƋƵĞ�ƚĞŶĚĞ�Ă�ƵƚŝůŝnjĂƌ�
mais espaço de armazenamento do que o backup incremental. 
E qual é a melhor abordagem? Aquela que melhor se ajusta à estratégia da empresa. 
Onde gravar os backups: você pode usar mídias (como CD, DVD, pen-drive, disco de Blu-ray e disco 
rígido interno ou externo) ou armazena-los remotamente (online ou off-site). A escolha depende do 
programa de backup que está sendo usado e de questões como capacidade de armazenamento, 
custo e confiabilidade. Um CD, DVD ou Blu-ray pode bastar para pequenas quantidades de dados, 
um pen-drive pode ser indicado para dados constantemente modificados, ao passo que um disco 
rígido pode ser usado para grandes volumes que devam perdurar. Fitas magnéticas eram a melhor 
(e mais barata) solução corporativa, porém, a computação em nuvem tem revolucionado as 
estratégias de backup não só das pessoas, mas também a das empresas. 
Quais arquivos copiar: apenas arquivos confiáveis e que tenham importância para você devem ser 
copiados. Arquivos de programas que podem ser reinstalados, geralmente, não precisam ser 
copiados. Fazer cópia de arquivos desnecessários pode ocupar espaço inutilmente e dificultar a 
localização dos demais dados. Muitos programas de backup já possuem listas de arquivos e 
diretórios recomendados, você pode optar por aceitá-las ou criar suas próprias listas. 
Prof. Victor Dalton 
Aula 12 
 
 
 
Tecnologia da Informação para SEFAZ-GO ʹ Pós Edital 
www.estrategiaconcursos.com.br 
 36 
141 
Com que periodicidade devo realiza-los: depende da frequência com que você cria ou modifica 
arquivos. Arquivos frequentemente modificados podem ser copiados diariamente ao passo que 
aqueles pouco alterados podem ser copiados semanalmente ou mensalmente. 
Por fim, deixo mais duas estratégias de backup, que correm em paralelo com as três principais, 
lecionadas anteriormente. Não aparecem muito em prova, mas não podem ser descartados dos 
estudos: 
Backup de cópia: copia todos os arquivos, mas não os marca como arquivos que passaram por 
backup. É uma espécie de backup completo emergencial, feito em paralelo a uma política de 
backups completo e diferencial/emergencial. 
Backup diário: copia todos os arquivos selecionados que foram modificados no dia de execução do 
backup diário. Os arquivos não são marcados como arquivos que passaram por backup. 
Backups emergenciais e diários não marcam os arquivos justamente para não atrapalhar a rotina 
dos backups completos/diferenciais/incrementais das empresas. 
1.4.1 Backup no Windows 10/7 
Conhecer especificamente como acionar o procedimento de Backup no Windows 10 e 7 pode render 
pontos extras em sua prova. 
No Windows 10, acionando o menu Configurações (comando de atalho Windows + I), item 
Atualização e Segurança. 
Prof. Victor Dalton 
Aula 12 
 
 
 
Tecnologia da Informação para SEFAZ-GO ʹ Pós Edital 
www.estrategiaconcursos.com.br 
 37 
141 
 
Dentro de Atualização e Segurança, podemos proceder com a escolha do item Backup, na coluna à 
esquerda. 
Prof. Victor Dalton 
Aula 12 
 
 
 
Tecnologia da Informação para SEFAZ-GO ʹ Pós Edital 
www.estrategiaconcursos.com.br 
 38 
141 
 
O usuário deve, preferencialmente, indicar uma unidade de armazenamento externa para realizar o 
backup (o objetivo é manter o backup em local seguro). 
Ainda, repare que caso exista um backup muito antigo, criado pelo Windows 7, ele também poderá 
ser restaurado. Neste caso, o item Ir para Backup e Restauração (Windows 7) conduzirá à mesma 
ferramenta utilizada no Windows 7. 
Portanto, veremos com um pouco mais de detalhes o Backup feito neste sistema operacional. 
No Windows 7, o Backup encontra-se no Painel de Controle, categoria Sistema e Segurança. 
Prof. Victor Dalton 
Aula 12 
 
 
 
Tecnologia da Informação para SEFAZ-GO ʹ Pós Edital 
www.estrategiaconcursos.com.br 
 39 
141 
 
Lá, escolhemos o item Backup e Restauração. 
Prof. Victor Dalton 
Aula 12 
 
 
 
Tecnologia da Informação para SEFAZ-GO ʹ Pós Edital 
www.estrategiaconcursos.com.br 
 40 
141 
 
A funcionalidade Backup e Restauração do Windows, essencialmente, nos oferece dois recursos 
básicos: a Imagem do Sistema e o Disco de Reparação. Ambos estão no menu auxiliar à esquerda da 
janela. 
 
Prof. Victor