Seguranca Da Informacao 2

1 Professor Léo Matos | Informática para Concursos

SEGURANÇA DA INFORMAÇÃO

A necessidade do compartilhamento de recursos e informações entre usuários de

computadores é crescente. Usuários domésticos querem trocar informações, empresas desejam

centralizar informações de seus clientes para serem compartilhadas entre suas filiais, enfim. O

surgimento e a evolução da Internet contribuíram para o aperfeiçoamento desses compartilhamentos,

mas também trouxe vários problemas para empresas e usuários.

O que isso tem haver com Segurança da Informação? É simples. Quando compartilhamos

informações através de uma rede de computadores, precisamos ter confiança no sistema utilizado,

por exemplo: Todo cliente de um banco pode retirar seus saldos de conta através de um website, mas

nem todos “confiam” por existir vários relatos de pessoas que caíram em golpes e tiveram sua senha

ou dados pessoais visualizados por pessoas não autorizadas, para que haja uma maior confiança a

organização que oferece o serviço deve implantar sistemas de segurança.

A Segurança da informação é um conjunto de conceitos e técnicas utilizadas para criar

ferramentas que proporcionam uma maior confiança aos usuários na utilização de meios tecnológicos

para troca de informações, pode ser definida como a proteção contra um grande número de ameaças

às informações, de forma a assegurar a continuidade do negócio, minimizando danos comerciais e

maximizando o retorno de possibilidades e investimentos.

O maior objetivo da segurança da informação está no aumento da confiabilidade e na

diminuição da fragilidade de sistemas digitais e existem princípios que contribuem para o alcance

desse objetivo.

Há quatro princípios fundamentais que devem ser garantidos pelos sistemas desenvolvidos:

Confidencialidade, Integridade, Disponibilidade e Autenticidade.

A Confidencialidade garante que a informação não seja acessada “lida” por pessoas não

autorizadas. Um cliente que acessa o site do banco para fazer uma transferência eletrônica quer uma

garantia de que a sua senha não será vista por pessoas não autorizadas, para garantir a

Confidencialidade (Sigilo) das informações, o banco desenvolve ferramentas suficientes para

cumprir este princípio, aumentando assim a confiança deste usuário no sistema.

A Integridade garante que a informação não seja alterada por pessoas não autorizadas

durante o envio ou armazenamento. Um cliente entra no site do banco para fazer uma atualização de

endereço, quando terminar de fazer o preenchimento do formulário, este deverá ser enviado. As

informações irão trafegar pela Internet até chegar ao banco de dados da instituição, para garantir que

a informação se mantenha íntegra, inalterada deve estar presente no sistema o princípio da

integridade.

A Disponibilidade garante que a informação estará sempre disponível quando um usuário

autorizado solicitar. Ao tentar efetuar um depósito no caixa de um banco, um cliente fica na fila

cerca de 20 minutos e quando chega sua vez, o atendente informa que o Sistema está fora do ar, ou

seja, o serviço estava indisponível devido a problemas técnicos. Nesse caso, o banco não garantiu a

Disponibilidade do Serviço por algum problema de segurança da informação, que deveria criar e

manter ferramentas suficientes para cumprir este princípio.

A Autenticidade deve assegurar que a identificação de uma pessoa ou instituição seja

legítima. Assim, ao visitar o site de um banco através de um link recebido por e-mail, que certeza o

cliente terá de que aquele site é verdadeiro? Para isso, é importante que o banco disponibilize

ferramentas para verificar a autenticidade daquele site.

Outros princípios:


A Privacidade deve garantir ao usuário que ele possa definir quais informações estão

disponíveis e para quem estão, ou seja, ter a privacidade de escolha. Confidencialidade e

autenticidade são meios para se conseguir ter privacidade, já que o sistema deve identificar quem

são os usuários que terão determinadas autorizações .

O Não Repúdio (Irretratabilidade) deve garantir que um usuário não possa negar a autoria de

uma ação. Por exemplo, em uma transação via Internet é muito importante que nenhum dos

envolvidos possa negar que enviou determinando documento digital.

Questão: (CESPE IPOJUCA 2010) Entre os princípios básicos de segurança da

informação, destacam-se a confidencialidade, a integridade e a disponibilidade.

(CERTO).

Questão: (CESPE 2010 - BRB) Confidencialidade, um dos princípios básicos da

segurança da informação, tem como característica garantir que uma informação não

seja alterada durante o seu trânsito entre o emissor e o destinatário. (ERRADO).

Questão: (CESPE 2011 – TRT/RN) A disponibilidade é um conceito muito importante

na segurança da informação, e refere-se à garantia de que a informação em um ambiente

eletrônico ou físico deve estar ao dispor de seus usuários autorizados, no momento em

que eles precisem fazer uso dela. (CERTO).

Questão: (FGV 2009 – SEFAZ/RJ) No Brasil, a NBR ISO17799 constitui um padrão

de recomendações para práticas na gestão de Segurança da Informação. De acordo com o

estabelecido nesse padrão, três termos assumem papel de importância capital:

confidencialidade, integridade e disponibilidade. Nesse contexto, a confidencialidade

tem por objetivo:

a) salvaguardar a exatidão e a inteireza das informações e métodos de processamento.

b) salvaguardar os dados gravados no backup por meio de software que utilize assinatura

digital.

c) permitir que os usuários tenham acesso aos arquivos de backup e aos métodos de

criptografia empregados.

d) permitir que os usuários autorizados tenham acesso às informações e aos ativos

associados, quando necessário.

e) garantir que as informações sejam acessíveis apenas para aqueles que estejam

autorizados a acessá-las.

Ameaças a segurança da informação

Existem diversas ameaças à segurança da informação que atingem os princípios vistos anteriormente

a fim de comprometer os objetivos da organização, seja trazendo danos diretos aos ativos ou

prejuízos decorrentes de situações inesperadas.

Classificação das principais ameaças:


Malware (programas maliciosos): é todo tipo de programa desenvolvido para prejudicar sistemas ou

pessoas.

Vírus

É um programa ou parte de um programa, que se propaga infectando parte de outros programas e

arquivos de um computador. O vírus necessita de um arquivo hospedeiro ou programa para infectar

um computador. Para que o vírus atinja sua finalidade depende da execução do programa ou do

arquivo infectado.

O que o vírus pode fazer? Teoricamente o vírus pode fazer qualquer coisa que outros programas

fazem, desde apresentar imagens na tela, apagar arquivos do disco, destruir ou alterar arquivos de

inicialização do Sistema operacional (vírus de boot), deixar o computador lento e outros.

Tipos de Vírus

Vírus parasitário: Se replica para outros programas ou arquivos quando o programa infectado é

executado.

Vírus de Boot: Infecta os arquivos de inicialização de um sistema (boot) alterando seu

funcionamento e se espalhando quando o sistema é iniciado.

Vírus furtivo: Uma forma de vírus projetado para se esconder da detecção de um Antivírus. Quando

o antivírus começa a tentar detectá-lo ele esconde seu código malicioso deixando somente o código

não infectado do programa sendo verificado.

Vírus Polimórfico: Se transforma a cada infecção, impossibilitando a detecção pela assinatura do

vírus que é uma espécie de vacina contra um determinado vírus. Quando o vírus se transforma em

outro, a vacina antiga não funciona mais como medida de prevenção ou detecção.

Vírus de Macro: Os vírus de macro infectam geralmente arquivos do Microsoft Office como DOC

(Word), XLS (Excel). São programas executáveis embutido nos arquivos de editores de textos e

outros. Existe uma ferramenta do Office chamada de Macro, no qual é utilizada por usuários para

automatizar suas tarefas criando ações repetitivas economizando tempo no trabalho. Quando a macro

é criada, automaticamente é gerado um código em forma de linguagem de programação chamada de

VB, e a ferramenta que permite editar via programação essa macro é chamada de “Visual Basic for

Aplication” e é exatamente por programas desse tipo que o vírus é desenvolvido embutido aos

arquivos do Office.


Os vírus de macro podem inserir palavras, números ou frases indesejadas em documentos ou alterar

funções de comando. Depois que um vírus de macro infecta a máquina de um usuário, ele pode se

incorporar a todos os documentos criados no futuro com o aplicativo. Por exemplo, se o modelo

"normal.dot" do Microsoft Word, o modelo de documento padrão desse programa, for infectado com

um vírus de macro, todo documento novo criado no Word carregará uma cópia do vírus de macro e a

partir daí pode chegar a outras finalidades.

Vírus de E-mail: Os primeiros vírus de E-mail utilizavam um anexo que ao ser executado enviava

um cópia sua para todos na lista de contatos do usuário. No final de 1999 surgiu uma versão mais

poderosa do vírus de email que se ativava e propagava sem a abertura do anexo, meramente abrindo-

se o e-mail, utilizava um script “código” que era aceito pelo próprio programa de e-mail.

E importante ressaltar que o vírus de E-mail não se executa sozinho, o usuário deve abrir o anexo ou

o programa de correio eletrônico.

Questão: (CESPE 2010 SEDU ES) Vírus é um programa que pode se reproduzir anexando seu

código a um outro programa, da mesma forma que os vírus biológicos se reproduzem. (CERTA)

Questão: (MOVENS 2009 – ADEPARÁ ) Vírus de Macro são vírus que afetam os arquivos de

inicialização dos discos. São tipicamente encontrados em arquivos de registros do Windows ou

em arquivos de inicialização do sistema. (ERRADO).

Questão: (FCC BB 2006 – Escriturário) Os arquivos de dados de editores de texto e de planilhas

eletrônicas podem ser

contaminados normalmente por programas do tipo vírus:

(A) parasitas.

(B) camuflados.

(C) polimórficos.

(D) de boot.

(E)) de macro.

Worms “Vermes”


Um worm é programa maliciosos que se auto copia de computador para computador utilizando

vulnerabilidades de uma rede.

Um vírus de E-mail tem algumas características do Worm, pois se propaga de um computador para

outro, mas não podemos chamá-los de Worms, pois precisam de alguém para iniciar a ação de

propagação, e os Worms não, eles se auto executam. Os Worms não infectam arquivos e programas

como o Vírus, mas degradam sensivelmente o desempenho de redes devido o grande tráfego de

dados, podendo fazer servidores e computadores da rede parar de funcionar mesmo que

temporariamente. Para se replicar os Worms utilizam algum tipo de veículo de rede, veja abaixo

alguns exemplos:

Recursos de E-mail: Um verme envia uma cópia de si mesmo para os cadastrados no catálogo de

endereços do usuário.

Programas de acesso remoto: Um verme envia uma cópia de si mesmo para outros computadores.

Capacidade de login remoto: Um verme se conecta a um sistema distante como um usuário e

depois utiliza comandos para enviar cópias de si mesmo para outros sistemas.

Questão: (CESPE 2009 – CEHAP PB) Os worms podem se propagar rapidamente para outros

computadores por meio da Internet. (CERTO)

Questão: (CESPE 2002 TJ/AC) Os vírus worms são do tipo macro e apresentam-se

embutidos em documentos Word com o objetivo de danificá-los. Uma outra

característica desse tipo de vírus é a sua capacidade de sofrer mutação à

medida que se propaga de um arquivo para outro. (ERRADO).

Comentário: Um Worm não é considerado um Vírus, pois não infecta arquivos e também não se

confunde com o conceito de vírus de Macro.

Cavalo de Tróia “Trojan Horse”: Eis o programa malicioso mais fácil de decorar para prova. Basta

lembrar-se da mitologia grega, onde os gregos tentavam invadir Tróia e sem obter sucesso enviaram

uma estátua de madeira em forma de cavalo para os troianos, que aceitaram e levaram para dentro de

seus portões. A estátua foi recheada com soldados gregos que durante a noite abriram os portões

“portas” da cidade possibilitando a entrada dos gregos que dominaram a cidade que era tão

protegida.

Para segurança da Informação é um programa “disfarçado de programa inofensivo” como, por

exemplo, cartão virtual, jogos e outros, que foi projetado para além de suas funções aparentes, para

executar funções maliciosas como “abrir as portas” de comunicação do computador para entrada de

um invasor (pessoa ou programas maliciosos) sem o consentimento do usuário. O Cavalo de tróia

pode ser utilizado por um Invasor para furtar dados pessoais (senha de bancos e outros), apagar

arquivos e até mesmo para instalação de vírus e outros.

Veja a tabela abaixo para diferenciar Vírus, Worms e Cavalo de tróia:

Vírus Worms Cavalo de Tróia


Infecta programas e arquivos “necessita de

um arquivo ou programa hospedeiro”

Sim Não Não

É o próprio arquivo executável Não Sim Sim

Se multiplica de computador para

computador sem necessidade de o usuário

dar inicio a ação

Não Sim Não

Questão: (FCC 2006 – INSS Perito Médico) Dadas as seguintes declarações:

I. Programas que se replicam e se espalham de um computador a outro, atacando outros programas,

áreas ou arquivos em disco.

II. Programas que se propagam em uma rede sem necessariamente modificar programas nas

máquinas de destino.

III. Programas que parecem ter uma função inofensiva, porém, têm outras funções sub-reptícias.

Os itens I, II e III correspondem, respectivamente, a ameaças programadas do tipo:

a) cavalo de tróia, vírus e worms.

b) worms, vírus e cavalo de tróia.

c) worms, cavalo de tróia e vírus.

d) vírus, worms e cavalo de tróia

e) vírus, cavalo de tróia e worms.

Questão: (FESAG 2005 TER/ES) Cavalo de Tróia é um programa que se

autocopia e infecta vários arquivos do computador, como documentos, programas e partes do sistema operacional, com o objetivo básico de travar o

computador. (ERRADO).

Comentário: Conceito descrito na questão é o de Vírus.

Spyware “espiões”: São programas que monitoram os hábitos de um usuário. Não necessariamente

os Spywares são utilizados de forma ilícita, pois muitas empresas utilizam programas dessa categoria

para monitorar o trabalho de funcionários. Existem também muitos programas que trazem funções

primárias como tocadores de MP3, jogos e outros, que internamente trazem programas que

monitoram o usuário para coletar informações que possam ser utilizados por empresas de

publicidade de marketing. Mas por outro lado os Spywares podem ser utilizados para monitorar o

usuário de um computador para espionagem, capturar informações sigilosas de forma ilícita.

Ao ser instalado um Spyware na máquina do usuário, ele pode enviar as informações coletadas para

o Espião por um sistema de correio eletrônico ou até mesmo de forma instantânea.

Keylogger: é um programa do tipo Spyware capaz de capturar e armazenar as teclas digitadas pelo

usuário no teclado físico de um computador. É o grande terror das instituições bancárias, pois podem

capturar a senha e conta do usuário no momento da digitação, por isso implementam o que

chamamos de teclado virtual onde o usuário digita a senha através de cliques com o mouse, com isso

dando ao usuário a garantia do princípio da Confidencialidade “SIGILO”.


Teclado virtual utilizado em um site de banco

Screenlogger: é um programa do tipo Spyware que captura informações do mouse como as

coordenadas (x,y) do cursor, também captura a tela apresentada no monitor, nos momentos em que o

mouse é clicado. O espião ao receber estes dados pode deduzir onde foi clicado no teclado virtual e

montar senhas ou outros dados.

Questão: (CESPE - CEHAP – PB 2009) Programa que a partir da execução em determinado

computador vítima passa a monitorar informações digitadas e visualizadas e, em seguida, envia e-

mail para o seu criador encaminhando informações capturadas denomina-se:

a) cavalo de tróia.

b) spyware.

c) phishing scan.

d) hijackers.

Questão: (CESPE 2010 SEDU ES) Spywares são programas que agem na rede, checando pacotes

de dados, na tentativa de encontrar informações confidenciais como senhas de acesso e nome de

usuário. (CERTO).

Questão: (CESPE 2009 CEHAP/PB) Os spywares podem vir embutidos em

software ou ser baixados quando o internauta visita determinados sítios. (CERTO).

Backdoor “porta dos fundos”: É um programa instalado secretamente em um computador invadido

que tem por objetivo garantir o retorno facilitado do invasor sem recorrer os métodos utilizados na

invasão. O invasor tem o controle total do computador infectado sem precisar invadi-lo novamente.

Não necessariamente um Backdoor precisa estar relacionado a uma invasão já que pode ser instalado

a partir de um cavalo de tróia, ou inclusão como conseqüência de uma má configuração de um

programa de acesso remoto “brechas”.

Muitos fabricantes de Software ou computadores incluiam ou incluem backdoors em seus produtos

onde alegam que podem precisar fazer manutenções preventivas no futuro.

Questão: (ESAF 2005 – Auditor da Receita) Backdoor são sistemas simuladores de servidores

que se destinam a enganar um invasor, deixando-o pensar que está invadindo a rede de uma empresa.

(ERRADO).

Comentário: O Conceito descrito na questão é de uma estratégia de segurança chamado HONEY

POT.


Adware: é um programa projetado para apresentar propagandas através de um navegador ou outros

programas instalados na máquina do usuário que abaixa o desempenho de um computador. Não

necessariamente é projetado para o fim malicioso pode ser utilizados por programas que são

distribuídos de forma gratuita para apresentar propagandas de patrocinadores como o MSN da

Microsoft. O Adware pode ser considerado uma espécie de Spyware caso monitore os hábitos do

usuário, por exemplo, durante a navegação na Internet para direcionar as propagandas que serão

apresentadas.

Questão: (FCC 2006 TRF/Analista judiciário) Na categoria de códigos maliciosos (malware), um adware é um tipo de software

a) que tem o objetivo de monitorar atividades de um sistema e enviar as informações coletadas para terceiros.

b) projetado para apresentar propagandas através de um browser

ou de algum outro programa instalado no computador.

c) que permite o retorno de um invasor a um computador comprometido, utilizando serviços criados ou modificados para este fim.

d) capaz de capturar e armazenar as teclas digitadas pelo usuário no teclado de um computador.

e) que além de executar funções para as quais foi aparentemente projetado, também executa outras funções normalmente maliciosas e sem o

conhecimento do usuário.

Bot: É um programa maliciosos bem parecido com os worms , porque podem se propagar

automaticamente, explorando vulnerabilidades existentes ou falhas em programas instalados em um

computador. A diferença é que os Bots podem se comunicar com o Hacker através de canais IRC

“chats” permitindo que seja controlado remotamente.

Port Scanner “programa bisbilhoteiro”: São programas utilizados por Hackers para bisbilhotar

computadores e saber quais serviços de segurança e comunicação estão habilitados para iniciar uma

estratégia de invasão.

Sniffer “Farejador de Pacotes”: são programas que podem ser utilizados para analisar o tráfego de

dados (pacotes) de uma rede. Administradores de redes utilizam Sniffers para seu trabalho, mas

também são utilizados com propósitos maliciosos por invasores que tentam capturar o tráfego da

rede com diversos objetivos, dentre os quais podem ser citados, obter cópias de arquivos importantes

durante sua transmissão, e obter senhas que permitam estender o seu raio de penetração em um

ambiente invadido ou ver as conversações em tempo real. É importante ressaltar que os Sniffers só

analisa o tráfedo de redes locais não sendo utilizado podendo ser utilizado para capturar pacotes na

Internet.

Golpes (Scan)

Muitas empresas investem muito dinheiro na área de segurança da informação, contratando

profissionais especializados que desenvolvem e implantam ferramentas que são necessárias para

continuidade dos negócios, mas a cada dia que passa, fraudadores criam formas para explorar as


fragilidades dos usuários para furtarem informações que os interessam como dados bancários,

comerciais e outros.

Phishing Scan “golpe do site falso”

É um golpe que tenta induzir um usuário a partir de um site falso a inserir informações pessoais ou

financeiras. Naturalmente o usuário recebe um e-mail que apresenta informativo de uma instituição

indicando um procedimento que ele deve fazer, como: “Atualize seus dados pessoais, clique aqui”. O

usuário pensa que realmente é a instituição que lhe presta serviços e clica no link, automaticamente é

aberta uma página com a aparência idêntica o da instituição no qual são solicitadas informações

pessoais, como um número de conta, senhas, CPF e outros dados que serão enviados ao fraudador.

Depois de capturados, seus dados pessoais e financeiros serão enviados para os fraudadores podendo

ser utilizados em vários golpes financeiros.

Para não cair nesse tipo de golpe o usuário não deve clicar em links suspeitos recebidos por e-mail.

Questão: (CESPE IPOJUCA 2010) Phishing scam são e-mails não solicitados que tentam

convencer o destinatário a acessar páginas fraudulentas na Internet com o objetivo de capturar

informações, como senhas de contas bancárias e números de cartões de crédito. (CERTO).

Questão: (CESPE 2005 ANS / MS) Ataques de um computador por cavalo-de-tróia consistem em

exemplos de ataque de phishing, acarretando o tipo de roubo de informações ali descrito.

(ERRADO).

Questão: (FCC 2010 – TCE/SP) Mensagem não solicitada e mascarada sob comunicação de

alguma instituição conhecida e que pode induzir o internauta ao acesso a páginas fraudulentas,

projetadas para o furto de dados pessoais ou financeiros do usuário. Trata-se especificamente de

a) keylogger.

b) scanning.

c) botnet.

d) phishing.

e) rootkit.

Pharming “DNS Cache Poisoning – Envenenamento de DNS”

Em um golpe de Phishing o usuário pode perceber através do endereço da página “URL” que está

realmente caindo em um golpe, já que este endereço não tem nada haver com o da instituição, o site

tem a aparência idêntica, mas o endereço denuncia o golpe. Através do golpe de Pharming o golpista

tem praticamente o mesmo objetivo quando pratica Phishing, capturar informações sigilosas. A

diferença é que no golpe de Pharming é muito difícil de identificar o golpe, porque o “Cracker”

invade o servidor DNS alterando de forma não autorizada à ligação entre o “domínio” do site

visitado e o “servidor hospedeiro”.

Ao digitar a URL do site que deseja acessar, o servidor DNS converte o endereço em no IP do

servidor que armazena os arquivos do site. Se o servidor DNS estiver sendo vitima de um golpe de

Pharming, o endereço apontará para um servidor falso que apresentará uma página fraudulenta que

esteja sob controle de um golpista.


Veja o exemplo abaixo:

Questão: (CESPE 2008 PRF) Se o sistema de nomes de domínio (DNS) de uma rede de

computadores for corrompido por meio de técnica denominada DNS cache poisoning, fazendo que

esse sistema interprete incorretamente a URL (uniform resource locator) de determinado sítio, esse

sistema pode estar sendo vítima de pharming. (CERTO)

Engenharia Social “Golpe da Lábia, Persuasão”

Nos golpes de engenharia social, normalmente o golpista tenta explorar a confiança do usuário, se

fazendo passar por outra pessoa para induzi-lo a passar informações que facilitem uma invasão.

Normalmente uma invasão começa a partir da engenharia social. Imagine um “Cracker” que quer

invadir um computador e tenta de várias formas e não consegue, ele irá tentar explorar a ingenuidade

das pessoas da instituição, enviando um e-mail ou telefonando pedindo que faça procedimentos que

possam desabilitar ferramentas de segurança mesmo sem a pessoa perceber, o que facilitará o seu

acesso a rede da empresa;

Questão: (ESAF 2005 – Auditor da Receita) Engenharia Social é um termo que designa a prática

de obtenção de informações por intermédio da exploração de relações humanas de confiança, ou

outros métodos que enganem usuários e administradores de rede. (CERTO).

Ataques de negação de serviços (DOS – Denial of Service)

É uma série de ataques que tentam inibir ou impedir o funcionamento de um Sistema deixando os

recursos indisponíveis para seus utilizadores. Afeta diretamente o princípio da Disponibilidade.

Os principais alvos desse tipo de ameaça são os servidores, que são os principais responsáveis pelo

fornecimento de informações aos programas clientes que as solicitam. Não se trata de uma invasão

ao sistema, mas sim da sua invalidação por sobrecarga.

Muitas pessoas podem imaginar o porque desses ataques, dentre os principais objetivos estão:

Ataques de concorrência (para que os clientes fiquem insatisfeitos) prejudicando o desempenho da

empresa, terrorismo.


Questão: (CESPE 2011 – IFB) Os ataques de negação de serviços são feitos por meio de abuso da

ingenuidade ou confiança do usuário. (ERRADO).

Comentário: O Conceito descrito na questão pode ser associado a Engenharia Social.

Ping da Morte (Ping of Death)

O Ping da Morte utiliza um comando bastante comum entre os administradores de rede chamado de

PING para fazer um servidor parar de responder.

O comando PING é naturalmente utilizado para testar se um computador está respondendo a

solicitações ou não. Através protocolo ICMP o comando envia 4 pacotes de 32 Bytes para um

computador de destino , se responder é porque está conectado corretamente, senão existe algum

problema na conectividade.

O comando PING enviou para o computador de IP 192.9.3.4 quatro pacotes ICMP e nem um foi

respondido

O comando PING enviou para o computador de IP 201.7.178.45 quatro pacotes ICMP e todos foram

respondidos

O envio dos pacotes mostrados no exemplo anterior não é malicioso, são de 32 Bytes cada e

compreendidos por qualquer sistema.


No Ping da Morte os pacotes são enviados com mais de 64KB (65536 bytes). A placa de rede do

computador que receberia esses pacotes teria sérios problemas ao responder tudo isso gerando

lentidão e até travamento do servidor.

Foi bastante utilizado por muito tempo, é um ataque simples de fazer e pode ser feito de qualquer

maquina com o “PROMPT COMMAND”, hoje não é muito comum, pois a maioria dos servidores

tem sistemas que já suportam esses pacotes.

O Ping da Morte é um exemplo de ataque DOS do tipo Buffer OverFlow que consiste em uma série

de ataques DOS com objetivo gerar uma sobrecarga em um sistema com dados maiores que o seu

tamanho permitido.

Questão: (ESAF 2006 – Ministério do Trabalho) O Ping da Morte (Ping of Death) é um recurso

utilizado na Internet por pessoas mal intencionadas, que consiste:

a. no envio de pacotes TCP/IP de tamanho inválidos para servidores, levando-os ao

travamento ou ao impedimento de trabalho.

b. na impossibilidade de identificação do número de IP de máquina conectada à rede. Desta

forma, muitos dos serviços de segurança disponíveis deixam de funcionar, incluindo os

"rastreamentos" que permitem a identificação de segurança das fontes de origem de ataques.

c. em instalar em um computador conectado a uma rede um programa cliente que permite a um

programa servidor utilizar esta máquina sem restrições.

d. no mecanismo de "abertura" de portas e acha-se atualmente incorporado em diversos ataques

de vírus.

e. na captura e alteração de "pacotes" TCP/IP transmitidos pelas redes.

SYN Flooding

Também conhecido como ataque SYN é outro tipo de ataque de Negação de Serviços, na qual o

atacante envia uma série de pacotes SYN para um servidor alvo com objetivo que ele fique

respondendo e esperando uma resposta que não irá surgir, assim o servidor não conseguindo

responder a outros usuários lícitos que estão tentando acessar os serviços, alcançando assim a

negação de serviços.

Para lembrar o capítulo sobre conexão TCP/IP que aprendemos nos capítulos anteriores, em uma

conexão cliente/servidor na Internet “chamado aperto de mão em três etapas”:

O cliente requisita uma conexão enviando um SYN (synchronize) ao servidor.

O servidor responde esta requisição mandando um SYN-ACK(acknowledge) de volta ao

cliente.

O cliente por sua vez responde com um ACK, e a conexão está estabelecida.

http://pt.wikipedia.org/w/index.php?title=SYN_(TCP)&action=edit&redlink=1

http://pt.wikipedia.org/w/index.php?title=ACK_(TCP)&action=edit&redlink=1


No ataque SYN o atacante utiliza intencionalmente o protocolo TCP de forma errada e incompleto,

evitando que a última mensagem ACK seja enviada para estabelecer a conexão. O servidor irá

esperar por isso por um tempo pensando que é um congestionamento normal de dados. Se todos os

recursos estiverem ocupados com essa conexão, nenhuma nova conexão (legítima ou não) pode ser

feita, resultando em negação de serviço. Alguns podem funcionar mal ou até mesmo travar se

ficarem sem recursos desta maneira.

“É como se você fosse um atendente e um cliente ficasse de propósito fazendo várias perguntas sem

deixar você atender outras pessoas que estão na fila”.

Questão: (ESAF 2005 Auditor Fiscal da Receita) O SYN flooding é um ataque do tipo DoS, que

consiste em explorar mecanismos de conexões TCP, prejudicando as conexões de usuários legítimos.

(CERTO)

Spoffing

Um ataque spoofing envolve a falsificação “mascarar” o endereço IP para invasões ou outros tipos

de ilicitudes.

Ataque DDOS (Distributed Denial of Service - Ataque de negação de serviços distribuídos)

http://upload.wikimedia.org/wikipedia/commons/8/8c/Tcp_normal.png

http://upload.wikimedia.org/wikipedia/commons/9/94/Tcp_synflood.png


O ataque DDOS torna os sistemas de computadores inacessíveis inundando servidores, redes e até

mesmo computadores pessoais gerando um tráfego inútil, para que usuários legítimos não possam

mais ter acesso a esses recursos. O atacante reúne uma grande quantidade de computadores

comprometidos e reunidos para enviar pacotes sem nenhuma utilidade para o alvo.

Para iniciar o ataque DDOS o atacante instala programas chamados de ZUMBIS em várias máquinas

que serão utilizadas para Executar o disparo para o alvo.

A diferença entre os ataques DOS e DDOS é a quantidade de computadores utilizados para esses

ataques. Quando o ataque surge de um só computador é chamado de DOS e quando são utilizados

vários computadores é chamado DDOS.

Questão: (ESAF 2004 – MPU Técnico Jud.) O Denial of Service (DoS) é um ataque que consiste

em sobrecarregar um servidor com uma quantidade excessiva de solicitações de serviços. Há muitas

variantes, como os ataques distribuídos de negação de serviço (DDoS) que paralisam vários sites ao

mesmo tempo. (Certo)

Smurf

O Smurf é outro tipo de ataque de negação de serviço em que o atacante envia uma seqüência de

pacotes ICMP através do comando Ping para um endereço de broadcast (para todos os computadores

da rede). Utilizando o spoofing o atacante faz com que o os computadores da rede encaminhe vários

pacotes de respostas ao mesmo tempo, mas não para o seu endereço, mas para o IP da vítima que não

funcionará de modo correto pelo excesso de pacotes. Caro leitor você deve estar se perguntando, mas

como ele conseguiu utilizar o IP da vítima para enviar estes pacotes? A resposta está em outro ataque

que vimos anteriormente o Spoofing.

Outras ameaças

SPAM

São E-mails não solicitados “indesejados” pelo usuário que geralmente são enviados para um grande

número de pessoas “em massa”. O conteúdo destes e-mails podem ser propagandas e também é um

dos mais utilizados meios para propagação de ameaças de todos os tipos. Por um SPAM pode ser

enviado programas maliciosos em anexo e aplicado golpes como o de Phishing “site falso”.


Os SPAMS são grandes causadores de improdutividade dentro de uma organização já que o usuário

perde muito tempo lendo e-mails desnecessários.

Quem pratica SPAM é chamado de SPAMMER.

Questão: (FUNIVERSA PCDF 2009) Spam é o termo usado para se referir aos e-mails solicitados,

que geralmente são enviados para um grande número de pessoas. (ERRADO).

HOAX

São histórias falsas, boatos, lendas urbanas distribuídas via Internet. Naturalmente recebidas por e-

mail, sites de relacionamentos. Muitos Hoax circulam na Internet como: criança com Leucemia,

Michel Jackson não morreu, e um dos mais conhecidos que diz que existe um vírus com ícone de um

urso e que você deve encontrá-lo através da pesquisa do Windows digitando seu nome jdbgmgr.exe.

Esse arquivo não deve ser apagado faz parte do Sistema e as pessoas apagavam pensando ser

realmente um vírus.

Agora que aprendemos sobre as principais ameaças a Segurança da Informação, vamos falar das

contramedidas, ou seja, as ferramentas mais utilizadas para combater essas ameaças e garantir os

principios da segurança da informação vistos anteriormente.

Questão: (CESPE 2008 PRF) Quando enviado na forma de correio eletrônico para uma

quantidade considerável de destinatários, um hoax pode ser considerado um tipo de spam, em

que o spammer cria e distribui histórias falsas, algumas delas denominadas lendas urbanas.

(CERTO).

Questão: (FCC 2009 – TJ PI – Téc. Judiciário) Evite a Propagação de Hoaxes. A precaução

mencionada acima tem por motivo a ciência de que frequentemente:

a) ocorre a execução de programas antivírus não certificados.

b) são executados arquivos anexados em sites maliciosos.

c) existe falta de controle sobre arquivos lidos nos sites.

d) ocorrem boatos espalhados para fins maliciosos ou para desinformação via e-mail.

e) não são instalados programas antivírus

Técnicas de Segurança

Segurança pode ser entendido com um estado no qual estamos livres de perigos e incertezas. Em

uma organização, aplica-se o termo segurança aos chamados ativos, ou seja, a tudo aquilo que possui

valor para a organização.

É comum que as organizações possuam departamento de segurança patrimonial, que cuida da

segurança física, e outro departamento de segurança lógica, responsável pela segurança dos sistemas

de Tecnologia da Informação (TI).


Classificação dos ativos:

Tangível – Mobiliário em geral, informações impressas ou em mídia.

Intangível – Imagem da empresa, confiabilidade na marca de determinado produto ou a

própria marca, o conhecimento dos funcionários etc.

Classificação dos tipos de proteção:

Proteção lógica – São controles efetuados através de Software como: Firewall, Anti vírus,

senhas e outros.

Proteção física – Portas, fechaduras, catracas eletrônicas, dados biométricos (digital e íris).

Proteção administrativa – Conjunto de regras e procedimentos, políticas de segurança,

boletins semanais de segurança, não adianta se a empresa investe bilhões na proteção física e

lógica se não investir também em treinamentos para seus funcionários, ou seja, na

conscientização dos mesmos.

Questão: (CESPE 2010 – TRT/RN) No governo e nas empresas privadas, ter segurança da

informação significa ter-se implementado uma série de soluções estritamente tecnológicas que

garantem total proteção das informações, como um firewall robusto que filtre todo o tráfego de

entrada e saída da rede, um bom software antivírus em todas as máquinas e, finalmente, senhas de

acesso a qualquer sistema. (ERRADO).

Comentário: Existem meios de segurança que não tem haver com a tecnologia propriamente dita,

como treinamentos e outros.

Antivírus

São programas que varrem o computador em busca de programas maliciosos para removê-los.

Protege um computador contra infecção por programas maliciosos de vários tipos. Atualmente

trazem mecanismos que conseguem detectar cavalos de tróia, spywares e outros.

São funções de um Antivírus eficiente:

• identificar e eliminar a maior quantidade possível de vírus e outros tipos de malware “programas

maliciosos”;

• analisar os downloads pela Internet;

• verificar continuamente os discos rígidos (HDs), disco removíveis (disquetes, pendrives);

• procurar por programas maliciosos nos anexos dos e-mails.

• possibilitar a atualização das assinaturas de novos vírus que venham a surgir no mercado de forma

automática.

É importante destacar que para aumentar a eficiência da proteção pelo antivírus ele deve estar

atualizado constantemente.

Não são funções de um Antivírus:


Não é capaz de impedir que um Hacker explore vulnerabilidades do seu sistema, como portas

abertas e outros.

Não protege contra ataques DOS.

Não é capaz de proteger contra um acesso não autorizado por um Backdoor ou cavalo de tróia

que já estejam instalados no computador do usuário.

Questão: (CESPE - CEHAP – PB 2009 ) Programas de antivírus fazem varreduras no computador

para procurar arquivos maliciosos disseminados pela transferência de arquivos. (CERTO).

Questão:(CESPE BB 2007) Para que um computador esteja efetivamente protegido contra a ação de

vírus de computador e contra ataques de hackers, é suficiente que haja, no computador, um

programa antivírus que tenha sido atualizado há, no máximo, três meses, sendo desnecessário,

atualmente, o uso de firewall no combate a ataques de hackers. (ERRADO).

Firewall

Um firewall é uma barreira de proteção por onde todo tráfego de dados precisa passar. Um Firewall

pode ser projetado para fazer:

- Controle de tráfego separando redes, como por exemplo: uma rede privada de uma rede pública

(internet).

- Controle de acesso para proteger um computador ou uma rede contra acessos não autorizados

“invasões”.

- Filtragens de pacotes IP para saber se são pacotes autorizados a entrar na rede ou sair da rede.

- Bloquear as tentativas de invasão a um computador e possibilitar a identificação das origens destas

tentativas através de um LOG “histórico de eventos”.

- Efetuar controle de portas e serviços. Por exemplo, bloquear o serviço de troca de mensagens

instantâneas pelo MSN e serviços de FTP.

Algumas dúvidas sobre o Firewall que são feitas em minhas aulas serão respondidas aqui neste livro

também.

Professor o Firewall protege contra vírus?

Essa é uma questão bem delicada. Leia a questão e perceba o que ela tenta informar para você. Em

um contexto geral o Firewall protege contra algumas ações de programas maliciosos como vírus,


cavalo de tróia. Como por exemplo, a tentativa de um programa que já está instalado em um

computador enviar mensagens ou tentar acessar o seu computador de forma não autorizada. Veja as

questões abaixo dentro dessa situação:

(CESPE IBRAM SEPLAG 2009) O firewall é indicado para filtrar o acesso a determinado

computador ou rede de computadores, por meio da atribuição de regras específicas que podem

negar o acesso de usuários não autorizados, assim como de vírus e outras ameaças, ao

ambiente computacional.

Questão considerada verdadeira. Já que o CESPE diz que o Firewall filtra o acesso através de

regras que serão utilizadas para negar o acesso de usuários não autorizados. Um usuário

malicioso pode ter instalado um vírus ou cavalo de tróia em um computador qualquer da

empresa e programar que este tente acessar de forma não autorizada ou enviar mensagens para

outro computador da rede.

Veja que a questão diz sobre o acesso não autorizado não importa qual é o agente se é um

programa malicioso ou se é uma pessoa através do acesso remoto “a distância”.

(CESPE CFO PMDF 2010) Caso um computador tenha sido infectado por um cavalo de

troia, a presença de um firewall instalado na estação de trabalho será irrelevante, já que este

tipo de programa, apesar de impedir que dados indesejados entrem no computador, não

consegue impedir que o cavalo de troia transmita informações do usuário desse

computador para outros computadores.

Questão considerada Falsa. O Firewall não consegue impedir que um programa malicioso

infecte um computador, mas garante proteção contra um programa depois de instalado efetue

ações diversas para outros computadores.

Professor o Firewall protege contra um vírus infectar arquivos do meu computador?

Veja só, quem protege e varre o computador em busca de programas maliciosos são os programas

antivírus. O Firewall não faz esse tipo de operação, por isso é importante usar um Firewall e um

Antivírus para uma maior segurança de nosso computador.

Veja a questão abaixo:

(CESPE SEPLAG 2009) Apesar de firewalls serem ferramentas que podem ser utilizadas para

a proteção de computadores contra ataques de hackers, eles não são suficientes para evitar a

contaminação de computadores por vírus.

Questão considerada verdadeira: O Firewall não garante que um computador não seja

infectado por vírus.

Professor o Firewall pode identificar um SPAM?

O mecanismo mais utilizado é o filtro Anti-SPAM, que analisa nossos e-mails em busca de palavras

chaves que podem denunciar um SPAM e enviá-los para uma pasta chamada naturalmente de Lixo

Eletrônico onde ficarão todos e-mails suspeitos de serem mensagens não solicitadas pelo usuário.


O Firewall de acordo com os conceituados autores “William Stallings” e “Andrew S. Tanenbaum”

pode sim ser projetados de acordo com a política se segurança de cada organização para filtrar

mensagens eletrônicas e consultar palavras que denuncie a presença de um SPAM. Veja as

definições dadas:

“Controle de comportamento: Controla como determinados serviços são usados. Por exemplo, o

Firewall pode filtrar e-mail para eliminar SPAM...”

Livro: Criptografia e Segurança de Redes

Autor: William Stallings

“A segunda metade do mecanismo de firewall é o gateway de aplicação. Em vez de apenas examinar

pacotes brutos, o gateway de aplicação opera na camada de aplicação. Por exemplo, um gateway de

correio eletrônico pode ser configurado de forma a examinar cada mensagem recebida ou enviada...

pode tomar a decisão transmitir ou descartar cada mensagem com base no cabeçalho, no tamanho da

mensagem ou até mesmo em seu conteúdo...”

Livro: Redes de computadores

Autor: Andrew S. Tanenbaum

Eu considero que o Firewall realmente pode ser utilizado para analisar e-mails e identificar SPAM

conceito esse dados pelos autores citados anteriormente.

O Microsoft Windows tem um firewall interno que pode ser utilizado pelos usuários como um

Firewall pessoal para proteger seu computador contra o acesso não autorizado ou avisar o usuário

que tem alguém tentando invadir seu computador. A Microsoft dá o seguinte conceito a respeito do

seu programa firewall:

“Um firewall pode ajudar a impedir que hackers ou softwares mal-intencionados (como worms)

obtenham acesso ao seu computador através de uma rede ou da Internet. Um firewall também pode

ajudar a impedir o computador de enviar software mal-intencionado para outros computadores.”

Conceito dentro do que foi falado anteriormente, mas lembre-se que protege contra as ações descritas

acima e não contra infecção, verificação e instalação de programas maliciosos.

Questão: (CESPE IBRAM SEPLAG 2009) O firewall é indicado para filtrar o acesso a

determinado computador ou rede de computadores, por meio da atribuição de regras específicas que

podem negar o acesso de usuários não autorizados, assim como de vírus e outras ameaças, ao

ambiente computacional. (CERTO).

Questão: (CESPE 2011 – TRE/ES) Para se abrirem arquivos anexados a mensagens recebidas por

correio eletrônico, sem correr o risco de contaminar o computador em uso, é necessário

habilitar o firewall do Windows. (ERRADO).


Questão: (CESPE 2010 BRB) O firewall, mecanismo que auxilia na proteção de um computador,

permite ou impede que pacotes IP, TCP e UDP possam entrar ou sair da interface de rede do

computador. (CERTO)

Proxy

O proxy é um computador que funciona como intermediário entre um navegador da Web (como o

Internet Explorer) e a Internet. Em casa usuários fazem suas conexões a Internet de forma direta, ou

seja, não tem algo impedindo que acesse determinados sites, ou que utilize determinado serviço. Em

organizações é comum se utilizar um Proxy para intermediar essas conexões filtrando alguns tipos de

conteúdos vindos da Web, sendo utilizado para bloquear acesso a sites que podem diminuir a

produtividade dos funcionários.

O proxy também ajuda a melhorar o desempenho da abertura de páginas, já que ele armazena cópia

das páginas utilizadas com mais freqüência.Quando um navegador solicita uma página que já foi

acessada anteriormente e está armazenada no proxy, o navegador não busca no servidor de origem da

página, e sim no proxy o que é mais rápido do que acessar a Web.

Algumas provas podem considerar o Proxy um exemplo de Firewall, o que é aceito.

Questão: (CESPE 2011– FUB) Se o acesso à Internet ocorrer por meio de um servidor proxy, é

possível que seja necessária uma autenticação por parte do usuário, que deve fornecer nome e senha

de acesso. (CERTO).

Questão: (ESAF 2006 Técnico da Receita Federal) Um proxy é um servidor que atua como "ponte". Uma conexão feita através de proxy passa primeiro pelo

proxy antes de chegar no seu destino, por exemplo, a Internet. Desse modo, se

todos os dados trafegam pelo proxy antes de chegar à Internet, eles podem ser

usados em redes empresariais para que os computadores tenham conexão à

Internet limitada e controlada. (CERTO).

Criptografia

A criptografia é uma técnica matemática para embaralhar informações para que os dados possam sair

da origem e chegar ao destino de forma sigilosa.

Para acontecer o processo criptográfico, ou seja, o embaralhamento das informações, existem dois

elementos de grande importância, o Algoritmo criptográfico (programa de criptografia) e a chave

(segredo da criptografia).

Veja abaixo:


1. O remetente utiliza um programa (algoritmo criptográfico) de criptografia para cifrar

(criptografar) uma mensagem.

2. O programa utiliza uma chave para embaralhar a mensagem.

3. A mensagem cifrada é enviada ao destinatário

4. O destinatário recebe a mensagem cifrada e deve utilizar um programa de criptografia

(natural que seja o mesmo algoritmo utilizado no envio) para decifrar utilizando a chave que

é o segredo.

5. Se por acaso alguém interceptá-la no caminho e não tiver a chave, não vai entender o

conteúdo da mensagem porque estará totalmente cifrada (incompreensível) garantindo assim

o princípio da Confidencialidade.

É importante destacar que sem o conhecimento da chave não é possível decifrar o texto cifrado.

Assim, para manter uma informação secreta, basta cifrar a informação e manter em segredo a chave.

Existem duas técnicas de criptografias muito importantes para provas de concursos, são elas:

simétrica e Assimétrica.

Simétrica (chave única): A criptografia simétrica realiza a cifragem e a decifragem de uma

informação através de algoritmos que utilizam a mesma chave. A chave que cifra é a mesma que

deve ser utilizada para decifrar.

Como a mesma chave deve ser utilizada na cifragem e na decifragem, a chave deve ser

compartilhada entre quem cifra e quem decifra os dados, ou seja, deve ser enviada da origem ao

destino. A troca de chaves deve ser feita de forma segura, uma vez que todos que conhecem a chave

podem decifrar a informação cifrada ou mesmo reproduzir uma informação cifrada.

A ilustração acima mostra que a mensagem normal é “A senha é 12345” o programa utilizou uma

chave que tornou a mensagem criptografada assim “#&1aa@12*s!90” que depois foi enviada. Ao


destinatário chega a mensagem criptografada e a chave, que serão utilizadas pelo programa para

decifrar a mensagem “A senha é 12345”.

A chave que cifrou foi a mesma que decifrou!

É importante destacar que as chaves criptográficas são formadas por números binários, exatamente

como aprendemos no capítulo sobre Hardware, a linguagem do 0 e 1.

Imagine uma chave assim: 010010001010101110101010101011100

As chaves são conjuntos de bits que serão utilizados pelos algoritmos (programas) para cifrar uma

mensagem criando segredos aleatórios.

Uma chave de 4 bits daria a possibilidade de 24

combinações, ou seja, são 4 dígitos que podem

assumir apenas dois valores (0 e 1) pode assumir 16 combinações diferentes. Portanto alguém que

está tentando descobrir qual a chave para decifrar uma mensagem criptografada por uma chave de 4

bits precisaria testar 16 combinações diferentes, o que seria bastante simples para programas que

fazem esse tipo de teste para descobrir de FORÇA BRUTA o segredo de uma chave.

Uma chave de 16 bits já seria mais complicada de ser descoberta, combinações de 216

, ou seja,

65.536 tentativas para tentar descobrir qual a chave utilizada.

Quanto maior a quantidade de bits que tenha uma chave, mais difícil descobrirem qual é o segredo da

mensagem.

Os principais algoritmos de criptografia simétrica que são utilizados por vários programas

disponíveis na Internet são: DES, 3DES e AES.

DES( Data Encryption Standard) O DES é atualmente considerado inseguro para muitas

aplicações, pois possui chave de 56 bits.

3DES(Triplo DES) é um padrão de criptografia baseado no algoritmo de criptografia DES

desenvolvido pela IBM. Utiliza 3 chaves de 56 bits resultando uma chave de 168 bits.

AES (Advanced Encryption Standard) também conhecido por Rijndael, utiliza chaves de 256 bits.

Assimétrica (chave pública): Os algoritmos de chave pública operam com duas chaves distintas:

chave privada e chave pública. Essas chaves são geradas simultaneamente e forma um par

dependente, ou seja, possibilita que a operação executada por uma seja revertida pela outra. A chave

privada deve ser mantida em sigilo e protegida e não deve ser passada para ninguém. A chave

pública é disponibilizada e tornada acessível a qualquer indivíduo que deseje se comunicar com o

proprietário da chave privada correspondente.

Imagine que um “usuário A” precisa se comunicar com um “usuário B” de forma sigilosa utilizando

criptografia assimétrica. O “usuário A” tem duas chaves (pública e privada) que são dependentes, a

chave privada ele guarda em segredo e disponibiliza sua chave pública para quem quer se comunicar

com ele, no caso ao “usuário B”. Quando o “usuário B” precisar enviar uma mensagem criptografada

para “A” utilizará a chave pública de “A” para cifrar e enviará. Quando o “usuário A” receber a

mensagem ele utilizar a chave que forma o par, ou seja, a chave privada, que só ele conhece e que foi

mantida em segredo para decifrar a mensagem recebida.

http://pt.wikipedia.org/wiki/Criptografia

http://pt.wikipedia.org/wiki/Data_Encryption_Standard

http://pt.wikipedia.org/wiki/IBM


O principal algoritmo utilizado na criptografia assimétrica é o RSA utilizado em correio eletrônico,

páginas de comércio eletrônico. O RSA utiliza chaves quem podem variar de 256 a 4096 bits.

A chave pública do destinatário vai cifrar a mensagem, e a chave privada do destinatário que vai

decifrar a mensagem. Veja que as chaves são dependentes e se completam para o processo da

criptografia assimétrica acontecer.

Simétrica x Assimétrica

Simétrica Assimétrica

Utiliza uma única chave. A chave que

cifra é a mesma que decifra.

Utiliza duas chaves distintas. Uma chave

cifra e outra decifra.

A chave deve ser compartilhada entre os

usuários

A chave privada deve ser mantida em

segredo e não deve ser compartilhada, a

pública é a que deve ser compartilhada.

Considerada menos segura já que a chave

deve ser compartilhada

É mais segura, pois a chave que decrifra a

mensagem está mantida em segredo, e só

quem a tem pode decifrar uma mensagem.

Processo rápido e simples de criptografia. Processo mais lento e complexo.

Algoritmos DES, 3DES, AES Algoritmo RSA

Questão: (ESAF 2006 – MTE Auditor Fiscal) Um algoritmo de criptografia simétrica requer que

uma chave secreta seja usada na criptografia e uma chave pública diferente e complementar da

secreta, utilizada no processo anterior, seja utilizada na decriptografia. Devido à sua baixa


velocidade, a criptografia simétrica é usada quando o emissor de uma mensagem precisa criptografar

pequenas quantidades de dados. A criptografia simétrica também é chamada criptografia de chave

pública. (ERRADA)

Questão: (FGV 2006 – SEFAZ/MS) No contexto da criptografia, um método emprega um tipo de

chave, em que o emissor e o receptor fazem uso da mesma chave, usada tanto na codificação como

na decodificação da informação. Esse método é conhecido por:

a) assinatura digital.

b) assinatura cifrada.

c) chave simétrica.

d) chave primária.

e) chave assimétrica.

Questão: (FUNIVERSA PCDF 2009) Criptografia é uma ferramenta que pode ser usada para

manter informações confidenciais e garantir sua integridade e autenticidade. Os métodos

criptográficos podem ser subdivididos em três grandes categorias, de acordo com o tipo de

chave utilizada: criptografia de chave única, criptografia de chave pública e criptografia de

chave privada. (ERRADA).

Questão: (CESPE 2010 AGU) Um arquivo criptografado fica protegido contra contaminação por

vírus. (ERRADO)

Questão: (CESPE IPOJUCA 2010) A criptografia é uma solução indicada para evitar que um

arquivo seja decifrado, no caso de ele ser interceptado indevidamente, garantindo-se, assim, o sigilo

das informações nele contidas. (CERTO).

Vimos que a criptografia assimétrica utilizada nos exemplos anteriores garante que o “usuário A”

troque informações como o “usuário B” de forma sigilosa garantindo o principio da

confidencialidade, mas também pode ser utilizada para garantir o principio da autenticidade e não

repúdio quando utilizada na assinatura digital.

Assinatura digital

A assinatura digital utiliza a criptografia assimétrica para garantir que o destinatário possa conferir a

Autenticidade do documento recebido. As chaves são aplicadas no sentido inverso de quando são

utilizadas para garantir sigilo. O autor de um documento utiliza sua “chave privada” para assiná-lo de

modo a garantir sua autoria em um documento, já que só ele conhece sua chave privada, garantindo

que ninguém possa ter uma assinatura igual a sua, princípio da Autenticidade.


Se o “usuário A” assinar um documento com sua chave privada e enviar para o “usuário B”, ele

poderá conferir se a assinatura é verdadeira, pois tem acesso à chave pública de “A”. Além disto,

qualquer outra pessoa que possui a chave pública de “A” poderá conferir também a assinatura.

A assinatura digital garante a AUTENTICIDADE e o NÃO REPÚDIO. O usuário que receber o

documento assinado tem a garantia de que a assinatura é realmente do remetente e que ele não pode

negar a autoria;

Imagine! Se eu enviar uma mensagem avisando de um curso que estou fazendo no valor de 800,00 e

assino digitalmente com a minha chave privada, envio para várias pessoas que tem minha chave

pública para conferir. Não posso negar que fui eu que enviei, concorda? Principio do Não repúdio! E

se alguém alterar o conteúdo da mensagem no caminho? Por exemplo, alguém interceptou e alterou o

valor do curso para 8,00 e chegou assim para todas as pessoas que enviei. Logo depois chegou

alguém e falou: “Legal a sua iniciativa de colocar o valor do curso de 8,00”. Eu viro e falo: “Eu não

coloquei isso, o preço é 800,00”. A pessoa vira e fala: “Não professor! você assinou, eu conferi com

sua chave pública, e o senhor não pode negar”.

É dentro deste exemplo que se percebe que a Assinatura digital tem que usar algum mecanismo para

garantir que a mensagem não seja alterada durante o transito garantindo o principio da integridade,

esse mecanismo é chamado de FUNÇÃO DE HASH.

A função de HASH é um resumo da mensagem que será enviada. É um método matemático que

utiliza criptografia para garantir a integridade (não modificação) dos dados que serão enviados.

Teoricamente o "hash” é a transformação de uma grande quantidade de informações em uma

pequena quantidade de informações, ou seja, um resumo.

Depois de criado o “hash” da mensagem, será enviado junto com a mensagem ao destinatário, que

através de um programa irá calcular o hash para ver se tem exatamente as mesmas características do

documento enviado.


O resumo criptográfico é o resultado retornado por uma função de hash. Este pode ser comparado a

uma impressão digital, pois cada documento possui um valor único de resumo e até mesmo uma

pequena alteração no documento, como a inserção de um espaço em branco, resulta em um resumo

completamente diferente garantindo assim que o destinatário possa saber se a mensagem foi alterada

durante o envio.

Os algoritmos de Hash mais utilizados são MD4 e MD5 que utilizam 148 bits e o SHA-1 que utiliza

160 bits.

A assinatura digital garante:

Autenticidade, Não repúdio (utilizando as chaves da criptografia assimétrica)

Integridade (utilizando o HASH) e a Integridade.

Não garante a Confidencialidade, pois não cifra o conteúdo da mensagem, utiliza a criptografia para

assinar e conferir documentos.

Questão: (CESPE - CEHAP – PB 2009 ) Assinatura digital é um conjunto de instruções

matemáticas embasadas na criptografia que permite conferir autenticidade, privacidade e

inviolabilidade a documentos digitais e transações comerciais efetuadas pela Internet. (ERRADO)

Comentário: Inviolabilidade está sendo utilizado como sinônimo de Integridade.

Questão: (CESPE - CEF 2010) A assinatura digital facilita a identificação de uma comunicação,

pois baseia-se em criptografia simétrica de uma única chave. (ERRADO)

Questão: (CESPE CEF 2010) Acerca de certificação e assinatura digital, assinale a opção correta.

a) O uso da assinatura digital não garante que um arquivo tenha autenticidade no seu trâmite.

b) A assinatura digital é uma ferramenta que garante o acesso a determinados ambientes

eletrônicos por meio de biometria, com uso do dedo polegar.

c) A assinatura digital do remetente é utilizada para criptografar uma mensagem que será

decriptografada pelo destinatário possuidor da respectiva chave pública.

d) A chave privada do remetente de uma mensagem eletrônica é utilizada para assinar a

mensagem.

e) Para verificar se a mensagem foi de fato enviada por determinado indivíduo, o destinatário

deve utilizar a chave privada do remetente.

Questão: (CESPE 2010 – Pref. Boa Vista) Por princípio, considera-se que qualquer documento assinado digitalmente está criptografado.

(ERRADO)


Questão:(CESGRANRIO 2008 – CEF) Quais princípios da segurança da

informação são obtidos com o uso da assinatura digital?

A. Autenticidade, confidencialidade e disponibilidade. B. Autenticidade, confidencialidade e integridade.

C. Autenticidade, integridade e não-repúdio. D. Autenticidade, confidencialidade, disponibilidade, integridade e não-

repúdio. E. Confidencialidade, disponibilidade, integridade e nãorepúdio.

A assinatura digital tem validade jurídica?

Assinatura digital é uma forma eficaz de garantir autoria de documentos eletrônicos, então surge em

agosto de 2001, a Medida Provisória 2.200 que garante a validade jurídica de documentos eletrônicos

e a utilização de certificados digitais para atribuir autenticidade e integridade aos documentos

tornando a assinatura digital com validade jurídica. Muitas pessoas devem imaginar que é fácil

encontrar uma assinatura digital igual para vários usuários, isso é quase impossível, porque vimos

anteriormente que a assinatura digital utiliza uma chave privada juntamente com o resumo da

mensagem para criar o código que será anexado a mensagem. Portanto a assinatura gerada é

diferente para cada documento, pois está relacionada ao resumo do documento + chave privada do

usuário. Veja abaixo:

Para que a assinatura digital tenha validade jurídica as chaves devem ser adquiridas ou (e) registradas

por uma entidade certificadora que seja reconhecida pelo Brasil. A autoridade certificadora emitirá

um Certificado digital que garante que as chaves do usuário realmente existem e que estão

registradas para ele.

Se eu assinar um documento digitalmente e envio para o destinatário ele irá utilizar a minha chave

pública para conferir o documento, se quiser ter certeza que a chave pública realmente é verdadeira

“lícita” eu apresento meu certificado digital e ele poderá verificar se alguma autoridade certificadora

garante que a chave pública que está utilizando pertence a minha pessoa.

CERTIFICADO DIGITAL

O certificado digital é um arquivo eletrônico que contém dados de uma pessoa ou instituição,

utilizados para comprovar sua identidade.

Um Certificado Digital normalmente apresenta as seguintes informações:


nome da pessoa ou entidade a ser associada à chave pública

período de validade do certificado

chave pública

nome e assinatura da entidade que assinou o certificado

número de série

O Certificado digital é a garantia de que a chave pública que será utilizada tanto na conferência de

uma Assinatura digital quanto na criptografia de dados faz parte realmente da instituição que o

usuário está se comunicando.

Questão: (CESPE 2010 CEF) Um certificado digital é pessoal, intransferível e não possui data de

validade. (ERRADO).

Questão: (CESPE - CEHAP – PB 2009 ) Certificado digital é um arquivo eletrônico que contém

dados referentes a uma pessoa ou instituição, que podem ser utilizados para comprovar sua

identidade. (CERTO).

Questão: (FCC BACEN 2010) O Certificado Digital é um arquivo eletrônico que contém os dados de uma pessoa ou instituição, utilizados para comprovar sua identidade. Dentre as principais informações encontradas em um Certificado Digital, referentes ao usuário, citam-se: (A) códigos de acesso ao sistema. (B) informações biométricas para leitura ótica. (C) número de série e período de validade do certificado. (D) dados de identificação pessoal: RG, CPF ou CNPJ. (E) dados de localização: endereço e Cep.


Os certificados digitais são emitidos por uma entidade chamada de AC ou CA (Autoridade

Certificadora) que atesta que a chave pública do usuário registrado é autentica.

Entre os campos obrigatórios do certificado digital encontra-se a identificação e a assinatura da

entidade que o emitiu, os quais permitem verificar a autenticidade e a integridade do certificado, veja

no exemplo acima que a organização Thawte Premium Server foi a Autoridade que Emitiu o

certificado para o Banco do Brasil. A AC é o principal componente de uma Infra-Estrutura de

Chaves Públicas e é responsável pela emissão dos certificados digitais.

Devo confiar em uma Autoridade Certificadora?

Confiar em um certificado emitido por uma AC é similar ao que ocorre em nosso dia a dia por

transações que não ocorrem de modo eletrônico. Por exemplo, uma pessoa ao chegar em uma loja

para fazer compras parceladas irá utilizar documentos como CPF ou RG para se identificar antes de

efetuar a compra para dar garantir uma garantia a empresa que irá efetuar o pagamento. Estes

documentos normalmente são emitidos pela Secretaria de Segurança de Pública e pela Secretaria da

Receita Federal e a empresa que está vendendo tem que confiar que esses documentos realmente

existem. Da mesma forma, os usuários podem escolher uma AC à qual desejam confiar à emissão de

um certificado digital.

Para a emissão dos certificados, as ACs possuem deveres e obrigações que são descritos em um

documento chamado de Declaração de Práticas de Certificação – DPC.

A DPC dever ser pública, para permitir que as pessoas possam saber como foi emitido o certificado

digital. Entre as atividades de uma AC, a mais importante é verificar a identidade da pessoa ou da

entidade antes da emissão do certificado digital. O certificado digital emitido deve conter

informações confiáveis que permitam a verificação da identidade do seu titular.

ICP – BRASIL (Infra-Estrutura de Chaves Públicas do BRASIL)

Para autenticar, homologar, auditar e fiscalizar o certificado digital, é necessário uma estrutura que

seja uma espécie de “cartório virtual”, começando pela Autoridade Certificadora Raiz (AC Raiz),

que é o principal nó de confiança para todos os outros abaixo dele - podem ser outras AC

subordinadas, que devem possuir uma cópia da chave pública da AC Raiz, e/ou Autoridades de

Registro (AR) para ajudá-las, já que é necessário ir fisicamente a uma AR e provar, com

documentação, que você é realmente quem diz ser ou que é o dono de uma empresa, criando assim

uma ICP (Infra-estrutura de chaves públicas).


A Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil) é uma cadeia hierárquica e de confiança

que permite a emissão de certificados digitais para identificação de um usuário ou entidade quando

efetuada transações no meio eletrônico como a Internet.

A Infraestrutura da ICP – Brasil é composto de:

(AC Raiz) Autoridade certificador Raiz: Autoridade certificadora raiz é o topo da infra-estrutura

ICP-Brasil sendo responsável por controlar a emissão das chaves públicas e garantir que Autoridades

Certificadoras intermediárias são legais. A AC RAIZ emite um certificado digital para as

Autoridades intermediárias, mas não pode emitir certificados para os usuários finais. O ITI (instituto

de tecnologia da Informação) vinculada ao governo Brasileiro é a AC RAIZ da ICP-Brasil.

(AC) Autoridade certificadora intermediária: São subordinadas a AC RAIZ e devem seguir as

regras para emissão dos certificados digitais para os usuários finais.

Qualquer organização pode ser uma AC e fazer parte da ICP-Brasil; para isso, basta se

adequar às práticas, processos, regulamentos e políticas exigidos pela infra-estrutura de chave

pública brasileira, que estão descritos em feita pelo Comitê Gestor, e requisitar o seu devido registro

junto à AC Raiz. Assim que essa nova AC se incorpora à ICP-Brasil, os certificados emitidos por ela

valem em todo o território nacional e têm

validade jurídica.

Existem ACs públicas e privadas. Ex.: AC CEF (caixa econômica), AC Certisign, AC JUS, AC

Serpro e outros.

(AR ) Autoridade de Registro: São autoridades que ajudam as AC com os pedidos para obtenção de

certificados digitais, já que é necessário ir fisicamente a uma AR e provar, com documentação, que

você é realmente quem diz ser ou que é o dono de uma empresa. A obtenção de um certificado

digital pode ser feito por qualquer pessoa jurídica ou física, bastando apresentar a documentação

necessária a uma AR, que passará esses dados para a AC à qual é subordinada. A AR cria um par de

chaves para o usuário e envia a chave pública para AC que assina e devolve o certificado para AR,

com o nome, o e-mail, o CPF/CNPJ e a chave pública do seu titular, além do nome e sua assinatura

(Autoridade Certificadora emissora), período de validade e número de série do certificado digital. A

AR deve entregar o par de chaves (pública e privada) para o usuário, onde poderá optar pelo

certificado em Software (enviado por e-mail ou armazenado no seu computador) ou em Hardware

(Smart Cards ou Tokens USB).


Smart Card criptográfico

Veja acima o certificado digital do Google e perceba a hierarquia da infra-estrutura. A empresa

Google adquiriu seu certificado com a AR Thawte SGC que está vinculada com Autoridade

Certificadora Verisign que é subordinada AC Raiz do Brasil.

Validade do certificado

O certificado digital, diferentemente dos documentos utilizados usualmente para identificação

pessoal como CPF e RG, possui um período de validade. Só é possível utilizar o certificado digital

para assinar ou criptografar um documento enquanto o certificado é válido. É possível, no entanto,

conferir as assinaturas realizadas mesmo após o certificado expirar.

Questão: (CESPE 2010 CEF) Acerca de certificação digital, assinale a opção

correta.

A. A infraestrutura de chaves públicas é uma rede privada que garante que seus usuários possuem login e senha pessoais e intransferíveis.

B. Uma autoridade de registro emite o par de chaves do usuário que podem

ser utilizadas tanto para criptografia como para assinatura de mensagens eletrônicas.

C. A autoridade certificadora raiz emite certificados para usuários de mais alto nível de sigilo em uma organização com uma chave de criptografia de

128 bits.


D. A autoridade de registro recebe as solicitações de certificados dos usuários e as envia à autoridade certificadora que os emite.

E. uso de certificado digital garante o repúdio de comunicações oriundas de usuários ou sítios que possuem certificados válidos e emitidos por

entidades confiáveis.

SSL (Secure Socket Layer)

É um protocolo de segurança que utiliza criptografia para fazer comunicação entre o navegador e o

servidor de forma sigilosa.

Hoje a Internet é utilizada por muitas empresas para transações financeiras como é o caso de sites de

comércio eletrônico e de bancos. Essas aplicações disponibilizarão ao cliente formulário para

preenchimento de dados necessários para realizar a transação, como um site de comércio eletrônico

faz disponibilizando campos, nome, endereço, telefone, CPF, número do cartão de crédito e outros.

Assim o usuário deseja ter confiança de que estes dados preenchidos não serão vistos por pessoas

não autorizadas.

É muito importante antes de efetuar qualquer transação via formulários verificar se o site que você

está utilizando garante o sigilo da comunicação entre você e o servidor, e para fazer isso basta

verificar o endereço do site. Se possuir o endereço com o protocolo HTTP quer dizer que o

navegador não está se comunicando com o servidor de forma sigilosa, e se possuir HTTPS é a

utilização do protocolo HTTP sobre uma camada de segurança (SSL) que criptografa as informações

trocadas entre o navegador e o servidor.

No exemplo acima estamos observando a área de contatos do meu site com o endereço URL

“http://www.leomatos.com.br”, que apresenta um formulário que será preenchido e enviado de forma

não criptografada para o servidor, não garantindo o sigilo da comunicação.


No exemplo acima estamos área de abertura de contas do site do Banco do Brasil com a URL

“HTTPS:// www16.bancodobrasil.com.br”,que apresenta um formulário que será preenchido e

enviado de forma criptografada para o servidor garantindo que se alguém interceptar as informações

no caminho não conseguirá entendê-las garantindo o principio da confidencialidade.

Embora o serviço que mais utilize o SSL seja o serviço de navegação na Web não se limita apenas

essa finalidade.

Naturalmente quando acessos um site que utiliza o protocolo HTTPS podemos observar a presença

de um cadeado ao lado do endereço no navegador utilizado.

A presença do cadeado não garante que o site é autêntico (verdadeiro) podendo até mesmo o usuário

estar utilizando um site falso (golpe de phishing). Até mesmo os sites falsos podem apresentar o

desenho do cadeado.

Então o que garante que o usuário está preenchendo um formulário e que o servidor que receberá a

mensagem é verdadeiro?

O usuário deve verificar se o site está utilizando realmente a chave pública do Banco do Brasil para

criptografar os dados do formulário através do certificado digital.

Para visualizar o certificado digital do Banco do Brasil basta o usuário clicar sobre o cadeado e pedir

para exibi-lo.


O certificado digital trará informações suficientes para ter a garantia de que a chave pública utilizada

é realmente de um site verdadeiro (autêntico) e não de um fraudador que criou um site falso que

colocou uma chave pública falsa para criptografar os dados.

Questão: (CESPE - CEHAP – PB 2009 ) Secure Sockets Layer (SSL) consititui protocolo de

segurança que prevê privacidade na comunicação realizada por meio da Internet. (CERTO).

Questão: (CESPE 2010 BRB) O uso de HTTPS (HTTP seguro) permite que as informações

enviadas e recebidas em uma conexão na Internet estejam protegidas por meio de certificados

digitais. (CERTO).

Questão: (CESPE ABIN 2010) No Internet Explorer, ao acessar uma página por meio do protocolo

seguro HTTP, que utiliza o algoritmo de criptografia SSL (secure socket layer), o usuário é


informado pelo navegador, mediante a exibição de um ícone contendo um cadeado, de que a conexão

é segura. (ERRADO).

Questão: (CESPE 2011 TRT 21ª) O acesso a um endereço de um sítio na Internet que se inicie com

https é feito por meio de uma conexão segura. Nesse contexto, a informação trafega em um canal

seguro, usando uma rede cuja segurança não é garantida. (CERTO).

VPN (Virtual private network – Rede Virtual privada)

É natural que muitas empresas tenham a expansão dos negócios em filiais espalhadas por muitos

estados ou até mesmo países. Quando essas filiais querem trocar informações é natural utilizar a

Internet, mas como é uma rede pública não existe privacidade nessas comunicações já que muitas

pessoas também estão conectadas o que torna a comunicação mais vulnerável a interceptações de

dados.

Quando uma empresa queria conectar suas filiais de forma privada era comum contratarem serviços

de telefonia dedicada a essas operações o que por sinal é muito inviável financeiramente falando.

Hoje empresas utilizam a VPN que é um canal (túnel) virtual privado que utiliza a própria rede

pública (Internet) para comunicação entre suas filiais.

Esse conceito parece um tanto contraditório! Como utilizar uma rede que é pública para

comunicação de forma privada?

A resposta está nos protocolos utilizados no momento da comunicação pela VPN, por tunelamento,

que é feita utilizando protocolos que criptografam as comunicações garantindo que somente pessoas

autorizadas tenho acesso a essas informações.

O projeto mais comum de uma VPN é equipar cada filial com um Firewall e criar túneis pela Internet

entre todos os pares de filiais utilizando os protocolos de criptografia. Veja abaixo:

Nota: As Intranets de Empresas podem ou não utilizar a VPN para que as filiais troquem

informações de forma criptografada.

http://pt.wikipedia.org/wiki/Internet


Questão (FCC BB 2011) No contexto de segurança do acesso a distância a computadores, é o processo que encapsula o pacote de dados, previamente protegido por mecanismos que o torna ilegível, podendo, dessa forma, trafegar em uma rede pública até chegar ao seu destino, onde é desencapsulado e tornado legível. Trata-se de: (A) autenticação. (B) gerenciador de chaves digitais. (C) conexão segura. (D) criptografia. (E) tunelamento.

Questão: (ESAF 2005 – SRF) Uma VPN é formada pelo conjunto de tunelamento que

permite a utilização de uma rede pública para o tráfego de informações e, com o auxílio da criptografia, permite um bom nível de segurança para as

informações que trafegam por essa conexão. (CERTO). Questão: (CESPE 2010 CEF) Uma VPN é uma rede virtual privada utilizada como alternativa

segura para usuários que não desejam utilizar a Internet. (ERRADO)

Questão: (CESPE 2008 SERPRO) Um usuário pode fazer um acesso seguro à intranet do SERPRO

usando a tecnologia VPN, que cria um túnel virtual com o computador do usuário, usando

criptografia. (CERTO).



Documents

Seguranca Da Informacao 2