INFORMÁTICA PARA TJ-RJ (TEORIA E EXERCÍCIOS

)
PROFa. PATRÍCIA LIMA QUINTÃO

Aula 1 - Conceitos básicos de segurança da informação com foco no
comportamento do usuário
Olá queridos(as) amigos (as),
Sejam bem-vindos à nossa primeira aula do curso de Noções de Informática
(em Teoria e Exercícios Comentados) que visa prepará-los para o certame
do TJ-RJ, com foco na banca FCC.
Saúdo a todos e espero que este material seja de grande valia para a sua
aprovação. E contem SEMPRE comigo nesta trajetória de muito sucesso!
Grande abraço,
Profa Patrícia Lima Quintão
patricia@pontodosconcursos.com.br
Twitter: http://www.twitter.com/pquintao
Facebook: http://www.facebook.com/patricia.quintao (Aguardo vocês!!)
Roteiro da Aula
p Segurança da informação e tópicos relacionados.
p Revisão em tópicos e palavras-chave.
p Lista de questões comentadas.
p Lista de questões apresentadas na aula.|Gabarito.
Segurança da informação
O que significa segurança?
É colocar tranca nas portas de sua casa? É ter as informações
guardadas de forma suficientemente segura para que pessoas sem
autorização não tenham acesso a elas? Vamos nos preparar para
que a próxima vítima não seja você ☺!!!
A segurança é uma palavra que está presente em nosso cotidiano e
refere-se a um estado de proteção, em que estamos “livres” de perigos
e incertezas!
Segurança da informação é o processo de proteger a
informação de diversos tipos de ameaças externas e
internas para garantir a continuidade dos negócios,
minimizar os danos aos negócios e maximizar o retorno
dos investimentos e as oportunidades de negócio.
Soluções pontuais isoladas não resolvem toda a problemática associada à
segurança da informação. Segurança se faz em pedaços, porém todos eles
integrados, como se fossem uma corrente.
Profa Patrícia Lima Quintão

www.pontodosconcursos.com.br

1

INFORMÁTICA PARA TJ-RJ (TEORIA E EXERCÍCIOS)
PROFa. PATRÍCIA LIMA QUINTÃO

Segurança se faz protegendo todos os elos da corrente, ou seja, todos
os ativos (físicos, tecnológicos e humanos) que compõem seu negócio.
Afinal, o poder de proteção da corrente está diretamente associado ao
elo mais fraco!

Em uma corporação, a segurança está ligada a tudo o que manipula direta ou
indiretamente a informação (inclui-se aí também a própria informação e os
usuários !!!), e que merece proteção. Esses elementos são chamados de
ATIVOS, e podem ser divididos em:

tangíveis: informações impressas, móveis, hardware (Ex.:impressoras,
scanners);

intangíveis: marca de um produto, nome da empresa, confiabilidade de um
órgão federal etc.;

lógicos: informações armazenadas em uma rede, sistema ERP (sistema de
gestão integrada) etc.;

físicos: galpão, sistema de eletricidade, estação de trabalho etc;

humanos: funcionários.

Os ATIVOS são os elementos que sustentam a operação do negócio e
estes sempre trarão consigo VULNERABILIDADES que, por sua vez,
submetem os ativos a AMEAÇAS.
Quanto maior for a organização maior será sua dependência com relação à
informação, que pode estar armazenada de várias formas: impressa em papel,
em meios digitais (discos, fitas, DVDs, disquetes, pendrives, etc.), na mente
das pessoas, em imagens armazenadas em fotografias/filmes...
Princípios da segurança da informação
A segurança da informação busca proteger os ativos de uma empresa ou
indivíduo com base na preservação de alguns princípios. Vamos ao estudo de
cada um deles!!
Os quatro princípios considerados centrais ou principais, mais comumente
cobrados em provas, são a Confidencialidade, a Integridade, a Disponibilidade
e a Autenticidade (É possível encontrar a sigla CIDA, ou DICA, para fazer
menção a estes princípios!). Importante
D

isponibilidade

I

ntegridade

C

onfidencialidade

A

utenticidade

Figura. Mnemônico DICA
a

Prof Patrícia Lima Quintão

www.pontodosconcursos.com.br

2

INFORMÁTICA PARA TJ-RJ (TEORIA E EXERCÍCIOS)
PROFa. PATRÍCIA LIMA QUINTÃO

Confidencialidade (sigilo): é a garantia de que a informação não será
conhecida por quem não deve. O acesso às informações deve ser limitado,
ou seja, somente as pessoas explicitamente autorizadas podem acessá-las.
Perda de confidencialidade significa perda de segredo. Se uma informação
for confidencial, ela será secreta e deverá ser guardada com segurança, e
não divulgada para pessoas sem a devida autorização para acessá-la.
Exemplo: o número do seu cartão de crédito só poderá ser conhecido por
você e pela loja em que é usado. Se esse número for descoberto por
alguém mal intencionado, o prejuízo causado pela perda de
confidencialidade poderá ser elevado, já que poderão se fazer passar por
você para realizar compras pela Internet, proporcionando-lhe prejuízos
financeiros e uma grande dor de cabeça!

Integridade: esse princípio destaca que a informação deve ser mantida na
condição em que foi liberada pelo seu proprietário, garantindo a sua
proteção contra mudanças intencionais, indevidas ou acidentais. Em outras
palavras, é a garantia de que a informação que foi armazenada é a que será
recuperada!!!
A quebra de integridade pode ser considerada sob 2 aspectos:
1. alterações nos elementos que suportam a informação - são feitas
alterações na estrutura física e lógica em que uma informação está
armazenada. Por exemplo quando são alteradas as configurações de
um sistema para ter acesso a informações restritas;
2. alterações do conteúdo dos documentos:
ex1.: imagine que alguém invada o notebook que está sendo
utilizado para realizar a sua declaração do Imposto de Renda deste
ano, e, momentos antes de você enviá-la para a Receita Federal a
mesma é alterada sem o seu consentimento! Neste caso, a
informação não será transmitida da maneira adequada, o que
quebra o princípio da integridade;
ex2: alteração de sites por hackers (vide a figura seguinte, retirada
de http://www.g1.globo.com). Acesso em jun. 2011.

Figura 1 Site da Cia - agência de inteligência do governo Americano que teve seu conteúdo alterado indevidamente em jun. 2011.
Profa Patrícia Lima Quintão

www.pontodosconcursos.com.br

3

INFORMÁTICA PARA TJ-RJ (TEORIA E EXERCÍCIOS)
PROFa. PATRÍCIA LIMA QUINTÃO

Disponibilidade: é a garantia de que a informação deve estar disponível,
sempre que seus usuários (pessoas e empresas autorizadas) necessitarem,
não importando o motivo. Em outras palavras, é a garantia que a
informação sempre poderá ser acessada!!!
Como exemplo, há quebra do princípio da disponibilidade quando você
decidir enviar a sua declaração do Imposto de Renda pela Internet, no
último dia possível, e o site da Receita Federal estiver indisponível.

Autenticidade: é a capacidade de garantir a identidade de uma pessoa
(física ou jurídica) que acessa as informações do sistema ou de um servidor
(computador) com quem se estabelece uma transação (de comunicação,
como um e-mail, ou comercial, como uma venda on-line). É por meio da
autenticação que se confirma a identidade da pessoa ou entidade
que presta ou acessa as informações.

Assim, desejamos entregar a informação CORRETA, para a pessoa
CERTA, no momento CORRETO, confirmando a IDENTIDADE da pessoa
ou entidade que presta ou acessa as informações!!! Entenderam?? Eis a
essência da aplicação dos quatro princípios acima destacados. Ainda, cabe
destacar que a perda de pelo menos um desses princípios já irá
ocasionar impactos ao negócio (aí surgem os incidentes de segurança!!)
Quando falamos em segurança da informação, estamos nos referindo a
salvaguardas
para
manter
a
confidencialidade,
integridade,
disponibilidade e demais aspectos da segurança das informações
dentro das necessidades do cliente!
Vulnerabilidades de segurança
Vulnerabilidade é uma evidência ou fragilidade que eleva o grau de
exposição dos ativos que sustentam o negócio, aumentando a probabilidade de
sucesso pela investida de uma ameaça.
Outro conceito bastante comum para o termo:
vulnerabilidade: trata-se de falha no projeto, implementação ou
configuração de software ou sistema operacional que, quando
explorada por um atacante, resulta na violação da segurança de
um computador.
Em outras palavras,
vulnerabilidade é uma fragilidade que poderia ser explorada por uma
ameaça para concretizar um ataque.
O conhecimento do maior número de vulnerabilidades possíveis permite à
equipe de segurança tomar medidas para proteção, evitando assim ataques
e consequentemente perda de dados.

Profa Patrícia Lima Quintão

www.pontodosconcursos.com.br

4

INFORMÁTICA PARA TJ-RJ (TEORIA E EXERCÍCIOS) PROFa. desastres naturais. • ausência de recursos para combate a incêndios. Profa Patrícia Lima Quintão www. como exemplo inicial. • instalações prediais fora do padrão. • ausência de pessoal capacitado para a segurança. PATRÍCIA LIMA QUINTÃO Não há uma receita ou lista padrão de vulnerabilidades. Ameaças à Segurança Ameaça é algo que possa provocar danos à segurança da informação. uma ameaça é tudo aquilo que pode comprometer a segurança de um sistema. • falta de mecanismos de monitoramento e controle (auditoria). Sempre se deve ter em mente o que precisa ser protegido e de quem precisa ser protegido de acordo com as ameaças existentes. Em outras palavras. erros de programação. mediante a exploração de uma determinada vulnerabilidade. podendo ser acidental (falha de hardware. etc. • inexistência de políticas de segurança. Esta deve ser levantada junto a cada organização ou ambiente. prejudicar as ações da empresa e sua sustentação no negócio. uma análise de ambiente em uma sala de servidores de conectividade e Internet com a seguinte descrição: a sala dos servidores não possui controle de acesso físico!! Eis a vulnerabilidade detectada nesse ambiente. • software mal desenvolvido. erros do usuário.br 5 . • falta de atualização de software e hardware.pontodosconcursos. Podemos citar. bugs de software. Outros exemplos de vulnerabilidades: • ambientes com informações sigilosas com acesso não controlado.com. • hardware sem o devido acondicionamento e proteção.

entre outros). erro humano (deleção de arquivos digitais acidentalmente etc. • Ameaças internas: estão presentes.). A palavra cracker não é vista nas reportagens. funcionário insatisfeito. junto à opinião pública influenciada pelos meios de comunicação.). técnicas (engenharia social.pontodosconcursos. uma coisa. eles geralmente não gostam de ser confundidos com crackers.com. O termo crackers também é uma denominação utilizada para aqueles que decifram códigos e destroem proteções de software. • Ameaças externas: são aqui representadas por todas as tentativas de ataque e desvio de informações vindas de fora da empresa.). Normalmente essas tentativas são realizadas por pessoas com a intenção de prejudicar a empresa ou para utilizar seus recursos para invadir outras empresas. sabotagem. Como exemplos de ameaça podemos destacar: concorrente. submetem os ativos a ameaças. capturam ou modificam arquivos para provar sua capacidade e depois compartilham suas proezas com os colegas. Basicamente existem dois tipos de ameaças: internas e externas.) ou deliberada (roubo. espionagem. por sua vez. a imprensa mundial atribui qualquer incidente de segurança a hackers. • Exímios programadores e conhecedores dos segredos que envolvem as redes e os computadores. invasão de hackers. em seu sentido genérico. ferramentas de software (sniffer. cracker.br 6 . fraude. PATRÍCIA LIMA QUINTÃO uma ameaça secreta enviada a um endereço incorreto etc. por sua definição geral. integridade. independentemente das empresas estarem ou não conectadas à Internet. Profa Patrícia Lima Quintão www. Eles invadem os sistemas. • Atualmente. uma conotação negativa. um evento ou uma ideia capaz de causar dano a um recurso. a não ser como cracker de senhas. Os crackers são elementos que invadem sistemas para roubar informações e causar danos às vítimas. Você Sabia!!! Qual a diferença entre Crackers e Hackers? Um é do bem e o outro do mal?? • O termo hacker ganhou. disponibilidade etc. etc. não com o intuito de causar danos às vítimas. como a inatividade das operações da empresa. acidentes naturais (inundação etc. em termos de confidencialidade. Os ativos são os elementos que sustentam a operação do negócio e estes sempre trarão consigo vulnerabilidades que. que nem sempre corresponde à realidade!! • Os hackers. Ameaça pode ser uma pessoa.INFORMÁTICA PARA TJ-RJ (TEORIA E EXERCÍCIOS) PROFa. mas sim de apenas demonstrar que conhecimento é poder. mas sim como um desafio às suas habilidades. que é um software utilizado para descobrir senhas ou decifrar mensagens cifradas. são aqueles que utilizam seus conhecimentos para invadir sistemas.). Podem causar desde incidentes leves até os mais graves. Não têm a intenção de prejudicar. cavalo de troia etc.

dentre outros. -keylogger.com. programados com o intuito de prejudicar os sistemas de informação.doc ou . -ransomwares. • arquivos de scripts (outra forma de executável): extensão . Quando o arquivo é aberto na memória RAM.com.pps). outros.pontodosconcursos. • documentos do MS-Office: como os arquivos do Word (extensão . -worms. porém. Resumindo.xlt). -Backdoors. • atalhos: extensão . -spyware. -cavalos de troia. Profa Patrícia Lima Quintão www. o vírus também é.scr.INFORMÁTICA PARA TJ-RJ (TEORIA E EXERCÍCIOS) PROFa.pif. a partir daí se propaga infectando. etc.vbs. ou seja.ppt e . podem danificar um sistema operacional e os programas de um computador. apresentações do Powerpoint (. malwares são programas que executam deliberadamente ações mal-intencionadas em um computador!! Os tipos mais comuns de malware estão detalhados a seguir: -vírus.dot). A seguir destacamos alguns arquivos que podem ser portadores de vírus de computador: • arquivos executáveis: com extensão . alterar o funcionamento de programas. worms e outras pragas virtuais Você sabe o significado de malware? Malware (combinação de malicious software – programa malicioso) é uma expressão usada para todo e quaisquer softwares maliciosos. bancos de dados do Access (. -bots. PATRÍCIA LIMA QUINTÃO Noções de vírus.lnk ou . causar lentidões de redes computacionais. inserindo cópias de si mesmo e se tornando parte de outros programas e arquivos de um computador. Alguns vírus são inofensivos. isto é. -screenlogger. • Vírus São pequenos códigos de programação maliciosos que se “agregam” a arquivos e são transmitidos com eles. arquivos do Excel (.exe ou .br 7 . • proteção de tela (animações que aparecem automaticamente quando o computador está ocioso): extensão . roubar informações.mdb). e. O vírus depende da execução do programa ou arquivo hospedeiro para que possa se tornar ativo e dar continuidade ao processo de infecção.xls e .

vbs. Vírus stealth: programado para se esconder e enganar o antivírus durante uma varredura deste programa.WMA. toda vez que o aplicativo for executado.com. Um exemplo seria. vídeos com extensão . o arquivo que o contém precisa ser aberto e. A cada nova infecção. Powerpoint e Access são os mais suscetíveis a este tipo de vírus. Vírus de boot: infectam o setor de boot dos discos rígidos.com. esses vírus geram uma nova sequência de bytes em seu código. PDF e PostScript são menos suscetíveis.br 8 . Tem a capacidade de se remover da memória temporariamente para evitar que antivírus o detecte. nome que designa uma sequência de comandos previamente estabelecidos e que são executados a Prof Patrícia Lima Quintão www. Existem alguns aplicativos que possuem arquivos base (modelos) que são abertos sempre que o aplicativo é executado. como . Excel. Para que o vírus possa ser executado. o vírus também será. Vírus de script: propagam-se por meio de scripts. Dentre os tipos de vírus conhecidos. .WMV. como o Word.. . a partir daí. Arquivos nos formatos gerados por programas da Microsoft. definir uma macro que contenha a sequência de passos necessários para imprimir um documento com a orientação de retrato e utilizando a escala de cores em tons de cinza. Figura 2 Normal. mas isso não significa que não possam conter vírus. Um vírus de macro é escrito de forma a explorar esta facilidade de automatização e é parte de um arquivo que normalmente é manipulado por algum aplicativo que utiliza macros. para que o antivírus se confunda na hora de executar a varredura e não reconheça o invasor. Caso este arquivo base seja infectado pelo vírus de macro. o vírus pode executar uma série de comandos automaticamente e infectar outros arquivos no computador. Arquivos nos formatos RTF.exe. Macro: conjunto de comandos que são armazenados em alguns aplicativos e utilizados para automatizar tarefas repetitivas. podemos citar: Vírus polimórficos: alteram seu formato (“mudam de forma”) constantemente. Vírus de macro: vírus de arquivos que infectam documentos que contém macros. em um editor de textos.pontodosconcursos. PATRÍCIA LIMA QUINTÃO • arquivos multimídia do Windows Media Player: músicas com extensão .dot – Principal alvo dos vírus de macro para Word Vírus de programa: infectam arquivos de programa (de inúmeras extensões. dentre outros.pif.INFORMÁTICA PARA TJ-RJ (TEORIA E EXERCÍCIOS) PROFa.

continua o processo de propagação para outros telefones. isto é. a maioria dos sites passará a ser apresentada de forma incompleta ou incorreta.INFORMÁTICA PARA TJ-RJ (TEORIA E EXERCÍCIOS) PROFa. • remover contatos da agenda. tais como: • • destruir/sobrescrever arquivos. Assim como as macros.br 9 . então. • emitir algumas mensagens multimídia esquisitas. através de uma das tecnologias mencionadas anteriormente. instalado e executado em seu aparelho. Na maioria das vezes executam tarefas úteis. • tentar se propagar para outros telefones.pontodosconcursos. que contêm não só texto. fotos e animações. PATRÍCIA LIMA QUINTÃO automaticamente em um sistema. pois normalmente não inserem cópias de si mesmos em outros arquivos armazenados no telefone celular. Os arquivos Javascript tornaram-se tão comuns na Internet que é difícil encontrar algum site atual que não os utilize. mas podem ser especificamente projetados para sobrescrever arquivos de aplicativos ou do sistema operacional instalado no aparelho. • o aparelho fica desconfigurado e tentando conectar via Bluetooth com outros celulares. como vídeos. enviando cópias de si mesmo de computador para computador (observe que Profa Patrícia Lima Quintão www. os scripts não são necessariamente maléficos. sem necessidade de intervenção do usuário. Tanto um quanto o outro podem ser inseridos em páginas Web e interpretados por navegadores como Internet Explorer e outros. o vírus.com. mas também sons e imagens. Depois de infectar um telefone celular. • a bateria do celular dura menos do que o previsto pelo fabricante. • efetuar ligações telefônicas. O serviço MMS é usado para enviar mensagens multimídia. A infecção ocorre da seguinte forma: o usuário recebe uma mensagem que diz que seu telefone está prestes a receber um arquivo e permite que o arquivo infectado seja recebido. mesmo quando você não fica horas pendurado nele. o vírus pode realizar diversas atividades. Os vírus de celular diferem-se dos vírus tradicionais. que facilitam a vida dos usuários – prova disso é que se a execução dos scripts for desativada nos navegadores. mas que na verdade são capazes de se propagarem automaticamente através de redes. Vírus de celular: propaga de telefone para telefone através da tecnologia bluetooth ou da tecnologia MMS (Multimedia Message Service). Dois tipos de scripts muito usados são os projetados com as linguagens Javascript (JS) e Visual Basic Script (VBS). se Worms (vermes) Programas parecidos com vírus.

desferir ataques de negação de serviço etc. 2006). FTP. Os bots esperam por comandos de um hacker. não infectam outros arquivos..INFORMÁTICA PARA TJ-RJ (TEORIA E EXERCÍCIOS) PROFa. • Bots (“robôs”) De modo similar ao worm. isto nem sempre é possível.pontodosconcursos. cabe destacar um termo que já foi cobrado várias vezes em prova!! Trata-se do significado do termo botnet. PATRÍCIA LIMA QUINTÃO os worms apenas se copiam. Além disso. Uma rede infectada por bots é denominada de botnet (também conhecida como rede zumbi). Web. Sua propagação se dá através da exploração de vulnerabilidades existentes ou falhas na configuração de softwares instalados em computadores. explorando vulnerabilidades existentes ou falhas na configuração de software instalado em um computador.). o worm não embute cópias de si mesmo em outros programas ou arquivos e não necessita ser explicitamente executado para se propagar. podendo manipular os sistemas infectados. parece lhe divertir. por Profa Patrícia Lima Quintão www. devido à grande quantidade de cópias de si mesmo que costumam propagar. é um programa capaz de se propagar automaticamente. incluindo sua propagação. muitas vezes os worms realizam uma série de atividades. e que. Worms são notadamente responsáveis por consumir muitos recursos. sem que o usuário tenha conhecimento. eles mesmos são os arquivos !!). Degradam sensivelmente o desempenho de redes e podem lotar o disco rígido de computadores. protetor de tela.br 10 . dispõe de mecanismos de comunicação com o invasor. mas. Além disso. para enviar centenas de milhares de e-mails de phishing ou spam. aguardando o comando de um invasor. Adicionalmente ao worm. sem o conhecimento do usuário. Nesse ponto. geralmente utilizam as redes de comunicação para infectar outros computadores (via e-mails. redes das empresas etc. por exemplo.com. jogo etc. sendo composta geralmente por milhares desses elementos maliciosos que ficam residentes nas máquinas. quando executado (com a sua autorização!). Difíceis de serem detectados. Diferentemente do vírus. permitindo que o bot seja controlado remotamente. • Trojan horse (Cavalo de Troia) É um programa aparentemente inofensivo que entra em seu computador na forma de cartão virtual.br. Um invasor que tenha controle sobre uma botnet pode utilizá-la para aumentar a potência de seus ataques. álbum de fotos. (CERT. Embora alguns programas antivírus permitam detectar a presença de worms e até mesmo evitar que eles se propaguem. podem gerar grandes transtornos para aqueles que estão recebendo tais cópias. junção da contração das palavras robot (bot) e network (net).

como números de cartões de crédito. para permitir que um atacante tenha total controle sobre o computador. entre outros.br 11 . álbuns de fotos de alguma celebridade. nem propagar cópias de si mesmo automaticamente. Existem também cavalos de troia. e por permitirem a qualquer pessoa possuir o controle de um outro computador apenas com o envio de um arquivo. o servidor se instala e se oculta no computador da vítima. • formate o disco rígido do computador. Os trojans atuais são divididos em duas partes. Na maioria das vezes. alterar informações.pontodosconcursos. O Cavalo de Troia não é um vírus. estes programas podem ao mesmo tempo enviar dados confidenciais para outro computador. ou destrua todos os arquivos armazenados no • instalação de keyloggers ou screenloggers (descubra todas as senhas digitadas pelo usuário). no momento em que o arquivo é executado. ele irá instalar programas para possibilitar que um invasor tenha controle total sobre um computador. o servidor encontra-se oculto em algum outro arquivo e. utilizados normalmente em esquemas fraudulentos.INFORMÁTICA PARA TJ-RJ (TEORIA E EXERCÍCIOS) PROFa. Estes programas podem permitir que o invasor: • veja e copie computador. Exemplos comuns de cavalos de troia são programas que você recebe ou obtém de algum site e que parecem ser apenas cartões virtuais animados. ao serem instalados com sucesso. Enquanto estão sendo executados. Profa Patrícia Lima Quintão www. PATRÍCIA LIMA QUINTÃO trás abre portas de comunicação do seu computador para que ele possa ser invadido. o computador já pode ser acessado pelo cliente.com. • inclusão de backdoors. jogos. apenas exibem uma mensagem de erro. protetores de tela. que são: o servidor e o cliente. O trojans ficaram famosos na Internet pela facilidade de uso. Normalmente. etc. o cavalo de troia distingue-se de um vírus ou de um worm por não infectar outros arquivos. • furto de senhas e outras informações sensíveis. Nesse momento. pois não se duplica e não se dissemina como os vírus. apagar arquivos ou formatar o disco rígido. Por definição. instalar backdoors. que. que enviará informações para o servidor executar certas operações no computador da vítima.

Um adware malicioso pode abrir uma janela do navegador apontando para páginas de cassinos. O usuário será infectado se clicar no link e executar o anexo. como por exemplo. • Keylogger (Copia as teclas digitadas!) Um tipo de malware que é capaz de capturar e armazenar as teclas digitadas pelo usuário no teclado de um computador.com.INFORMÁTICA PARA TJ-RJ (TEORIA E EXERCÍCIOS) PROFa. Dentre as informações capturadas podem estar o texto de um e-mail. Em muitos casos.pontodosconcursos. dados digitados na declaração de Imposto de Renda e outras informações sensíveis. a ativação do keylogger é condicionada a uma ação prévia do usuário. o keylogger contém mecanismos que permitem o envio automático das informações capturadas para terceiros (por exemplo. páginas pornográficas. como senhas bancárias e números de cartões de crédito. O adware apresenta anúncios. Normalmente. cria ícones ou modifica itens do sistema operacional com o intuito de exibir alguma propaganda. É um programa que tem por finalidade monitorar as atividades de um sistema e enviar as informações coletadas para terceiros. • Adware (Advertising software) Este tipo de programa geralmente não prejudica o computador. através de e-mails). Profa Patrícia Lima Quintão www. Um exemplo do uso legítimo de adwares pode ser observado no programa de troca instantânea de mensagens MSN Messenger.br 12 . etc. PATRÍCIA LIMA QUINTÃO Figura 3 Um spam contendo um Cavalo de Troia. • Spyware Trata-se de um programa espião (spy em inglês = espião). após o acesso a um site específico de comércio eletrônico ou Internet Banking. vendas de remédios.

Desta forma. ou • armazenar a região que circunda a posição onde o mouse é clicado. • Ransomwares (Pede resgate) São softwares maliciosos que. também conhecidas como screenloggers capazes de: • armazenar a posição do cursor e a tela apresentada no monitor. foram desenvolvidas formas mais avançadas de keyloggers. o simples fato de ler uma mensagem é suficiente para que qualquer arquivo anexado seja executado. nos momentos em que o mouse é clicado. dáse o nome de backdoor. ao realizar uma invasão. ao infectarem um computador. Geralmente. criptografam todo ou parte do conteúdo do disco rígido. • Backdoors (Abre portas) Normalmente um atacante procura garantir uma forma de retornar a um computador comprometido. Na maioria dos casos. PATRÍCIA LIMA QUINTÃO • Screenloggers (Copia as telas acessadas!) As instituições financeiras desenvolveram os teclados virtuais para evitar que os keyloggers pudessem capturar informações sensíveis de usuários. Os responsáveis pelo software exigem da vítima. A esses programas que permitem o retorno de um invasor a um computador comprometido. utilizando serviços criados ou modificados para este fim. Então. Pode ser incluído por um invasor ou através de um cavalo de troia. normalmente possuindo recursos que permitam acesso remoto (através da Internet). um pagamento pelo "resgate" dos dados. tais programas vêm anexados a e-mails ou estão disponíveis em sites na Internet. Normalmente. o keylogger vem como parte de um programa spyware ou cavalo de troia.pontodosconcursos. Neste caso. • Rootkits Um invasor. pode utilizar mecanismos para esconder e assegurar a sua presença no computador comprometido.com. Existem ainda programas leitores de e-mails que podem estar configurados para executar automaticamente arquivos anexados às mensagens. A forma usual de inclusão de um backdoor consiste na disponibilização de um novo serviço ou substituição de um determinado serviço por uma versão alterada.br 13 . é necessário que este programa seja executado para que o keylogger se instale em um computador. sem precisar recorrer aos métodos utilizados na realização da invasão. O Profa Patrícia Lima Quintão www.INFORMÁTICA PARA TJ-RJ (TEORIA E EXERCÍCIOS) PROFa. também é intenção do atacante poder retornar ao computador comprometido sem ser notado.

principalmente através de aplicativos mal-intencionados que.com. spams e ameaças envolvendo questões políticas (hacktivismo) e ciberguerra. através da infiltração no dispositivo enquanto ele ainda é fabricado ou levando os usuários a baixarem malwares que penetrem na raiz dos sistemas desses aparelhos. • sniffers. sem precisar recorrer novamente aos métodos utilizados na realização da invasão. merecem destaque: • programas para esconder atividades e informações deixadas pelo invasor. tais como arquivos. Depende da probabilidade de uma ameaça atacar o sistema e do impacto resultante desse ataque.pontodosconcursos. Um rootkit pode fornecer programas com as mais diversas funcionalidades.com. terá acesso privilegiado ao computador previamente comprometido. podem enviar diversos anúncios ou mesmo mensagens de texto a partir do celular infectado. Fonte: http://tecnologia. mapear potenciais vulnerabilidades em outros Algumas tendências para 2012! McAfee (2012) destacou as principais ameaças da internet em 2012: deve haver um aumento dos ataques destinados a serviços públicos.br 14 .INFORMÁTICA PARA TJ-RJ (TEORIA E EXERCÍCIOS) PROFa. após instalar o rootkit.OI5545065-EI12884. sistemas operacionais. após o download. PATRÍCIA LIMA QUINTÃO conjunto de programas que fornece estes mecanismos é conhecido como rootkit. Dentre eles. Profa Patrícia Lima Quintão www. aparelhos de GPS e outros dispositivos conectados.00Ataque+a+celulares+esta+entre+as+principais+ameacas+de. Os ataques neste ano também podem comprometer carros. sem qualquer método de criptografia. processos etc. para capturar informações na rede onde o computador está localizado. A empresa também alertou para o aumento de malwares em celulares. • programas para remoção de evidências em arquivos de logs. como por exemplo senhas que estejam trafegando em claro. • backdoors.html Risco Risco é a medida da exposição à qual o sistema computacional está sujeito. O aumento no número de spams também é esperado. para computadores.br/noticias/0. diretórios.. O invasor.terra. ou seja.. e suas atividades serão escondidas do responsável e/ou dos usuários do computador. para assegurar o acesso futuro do invasor ao computador comprometido. dispositivos móveis. • scanners.

possivelmente. nesse caso o funcionário poderia danificar algum ativo Assim pode-se entender como risco tudo aquilo que traz danos e com isso promove perdas para a organização. aumentam-se os riscos permitindo a exploração por uma ameaça e a concretização de um ataque. PATRÍCIA LIMA QUINTÃO Sêmola (2003. Ativos protege Medidas de Segurança diminui sujeitos aumenta Ciclo da segurança Vulnerabilidades Riscos permitem limitados Impactos no negócio aumenta aumenta aumenta Ameaças Confidencialidade Integridade Disponibilidade causam perdas Figura 4 Ciclo da Segurança da Informação (MOREIRA. No caso do nosso exemplo da sala dos servidores. provocando perdas de confidencialidade. Se estas ameaças crescem. os riscos devem ser analisados e diminuídos para que se estabeleça a segurança dos ativos da informação. 2001) Profa Patrícia Lima Quintão www.br 15 . poderíamos tratar como alto. Se as vulnerabilidades aumentam.com. a ameaça associada é de alto risco. causando. Ciclo da Segurança Como mostrado na figura seguinte os ativos de uma organização precisam ser protegidos. baseado na vulnerabilidade encontrada. às informações de um risco pode-se imaginar um funcionário insatisfeito e um alcance. pois estão sujeitos a vulnerabilidades. Existem algumas maneiras de se classificar o grau de risco no mercado de segurança. integridade e disponibilidade. medidas de segurança devem ser tomadas. p. aumentam-se ainda mais os riscos de perda da integridade. poderíamos dizer que. disponibilidade e confidencialidade da informação podendo causar impacto nos negócios. impactos nos negócios”. 50) diz que risco é a “probabilidade de ameaças explorarem vulnerabilidades. Nesse contexto.pontodosconcursos. médio e baixo risco. mas de uma forma simples. Como exemplo martelo ao seu da informação.INFORMÁTICA PARA TJ-RJ (TEORIA E EXERCÍCIOS) PROFa.

Hoaxes (boatos): são as histórias falsas recebidas por e-mail. os e-mails falsos que recebemos como sendo de órgãos como Receita Federal ou Tribunal Superior Eleitoral. consiste em apelos dramáticos de cunho sentimental ou religioso. ainda.com.br 16 . violação de padrões de segurança de informação. Alguns termos relacionados: • SPIT – SPAM Over IP Telephony (VoIP). além das conhecidas correntes.INFORMÁTICA PARA TJ-RJ (TEORIA E EXERCÍCIOS) PROFa. "para todos os amigos" ou "para todos que ama". contaminar ou formatar o disco rígido do computador. A figura seguinte destaca um exemplo de hoax recebido em minha caixa de e-mails. sites de relacionamentos e na Internet em geral. Utilizada para coletar e-mail válidos para ataques de SPAM posteriores. O remetente e destinatários foram embaçados de propósito por questão de sigilo. humanitárias ou de socorro pessoal ou. Profa Patrícia Lima Quintão www. • SPORK – SPAM over Orkut. Nesse caso. Exemplos: invasão digital. supostas campanhas filantrópicas. Spams Spams: são mensagens de correio eletrônico não autorizadas ou não solicitadas. O spam não é propriamente uma ameaça à segurança. ainda. cujo conteúdo. que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança.pontodosconcursos. PATRÍCIA LIMA QUINTÃO Incidente de segurança da informação: é indicado por um simples ou por uma série de eventos de segurança da informação indesejados ou inesperados. Spammer: é aquele que usa endereços de destinatários desconhecidos para o envio de mensagens não solicitadas em grande número. São spams. os spams costumam induzir o usuário a instalar um dos malwares que vimos anteriormente. Correntes: geralmente pedem para que o usuário (destinatário) repasse a mensagem um determinado número de vezes ou. falsos vírus que ameaçam destruir. mas é um portador comum delas. por exemplo. • SPIM – SPAM over Instant Messenger.

ok? Então. tais como: endereços de e-mail. e-mails separados para assuntos pessoais.com/LENDAS/.com. profissionais. principalmente. vide por exemplo o endereço: http://www. para as compras e cadastros on-line. PATRÍCIA LIMA QUINTÃO Figura 5 Exemplo de um hoax (boato) bastante comum na Internet Outros casos podem ser visualizados na Internet. dados pessoais e. Certos usuários mantêm um e-mail somente para assinatura de listas de discussão. sempre que possível. por que liberá-la na Internet? • Ter.br 17 . cartões de crédito e senhas.INFORMÁTICA PARA TJ-RJ (TEORIA E EXERCÍCIOS) PROFa. A seguir destacamos as principais dicas que foram destacadas pelo CertBr (2006) para que os usuários da Internet desfrutem dos recursos e benefícios da rede. Profa Patrícia Lima Quintão www. Um bom exercício é pensar que ninguém forneceria seus dados pessoais a um estranho na rua. cadastrais de bancos.pontodosconcursos.quatrocantos. Este conselho é o mesmo que recebemos para zelar pela nossa segurança no trânsito ou ao entrar e sair de nossas casas. com segurança: • Preservar as informações pessoais. Como podemos reduzir o volume de spam que chega até nossas caixas postais? A resposta é bem simples! Basta navegar de forma consciente na rede.

br 18 . Wardriving O termo wardriving foi escolhido por Peter Shipley para batizar a atividade de dirigir um automóvel à procura de redes sem fio abertas. ou ainda. procure desabilitar as opções de recebimento de material de divulgação do site e de seus parceiros. Assim. saibam quantas vezes você o visitou.pontodosconcursos. PATRÍCIA LIMA QUINTÃO No caso das promoções da Internet. Cookies São pequenos arquivos que são instalados em seu computador durante a navegação. • Não ser um "caça-brindes". Ter um e-mail para cadastros on-line é uma boa prática para os usuários com o perfil descrito. Profa Patrícia Lima Quintão www. passíveis de invasão. inadvertidamente! • Não ser um "clicador compulsivo". firewall pessoal e antivírus. usar os recursos anti-spam oferecidos por seu provedor de acesso. existem outras ferramentas bastante importantes para o usuário da rede: anti-spyware. geralmente.INFORMÁTICA PARA TJ-RJ (TEORIA E EXERCÍCIOS) PROFa.com. reserve um tempo para analisar o e-mail. permitindo que os sites (servidores) obtenham determinadas informações. estudadas nesta aula. • Além do anti-spam. Importante que se tenha um filtro anti-spam instalado. será necessário preencher formulários. ou seja. pois justamente nesse item é que muitos usuários atraem spam. Guerra do Giz) o endereço de redes sem fio desprotegidas. Pensar. sua procedência e verificar no site da empresa as informações sobre a promoção em questão. etc. promoções ou descontos. "papa-liquidações" ou "destruidor-de-promoções". Vale lembrar que os sites das empresas e instituições financeiras têm mantido alertas em destaque sobre os golpes envolvendo seus serviços. rs! Ao receber e-mails sobre brindes. a visita ao site da empresa pode confirmar a promoção ou alertá-lo sobre o golpe que acabou de receber por e-mail! • Ferramentas de combate ao spam (anti-spams) são geralmente disponibilizadas do lado dos servidores de e-mail. Ao preencher o cadastro. filtrando as mensagens que são direcionadas à nossa caixa postal. É isto que permite que alguns sites o cumprimentem pelo nome. analisar as características do e-mail e verificar se não é mesmo um golpe ou código malicioso. abertas para o uso de terceiros. Warchalcking Prática de escrever em calçadas e paredes a giz (daí o nome. o usuário deve procurar controlar a curiosidade de verificar sempre a indicação de um site em um email suspeito de spam.

Challenge/response: é um tipo de filtro que emite um “desafio” para o remetente do e-mail ou usuário de um site. para que aí. Também utilizado em cadastros na web. O usuário precisa fornecer uma resposta (response) ao desafio para que uma mensagem seja entregue ou para que acesse uma página ou site. Fonte: http://www. Trata-se do “bullying” (do inglês bully. Captcha Mecanismo usado em filtros do tipo Challenge/response.br/2861-o-que-e-captcha-.com. Bullying são todas as formas de atitudes agressivas intencionais e repetitivas que ridicularizam o outro. apelidos ou gracinhas que caracterizam alguém. PATRÍCIA LIMA QUINTÃO Bullying O assunto abordado aqui está em ampla discussão no Brasil e no mundo. Atitudes como comentários maldosos. a mensagem seja encaminhada.htm Profa Patrícia Lima Quintão www. "tiranete" ou "valentão"). Um captcha é normalmente uma sequência aleatória de letras e números distorcidos. e executados dentro de uma relação desigual de poder que são características essenciais que tornam possível a intimidação da vítima. O remetente de uma mensagem deve digitar a combinação do captcha e confirmar.pontodosconcursos. apresentados na forma de uma imagem.br 19 .tecmundo. e outras formas que causam dor e angústia.com.INFORMÁTICA PARA TJ-RJ (TEORIA E EXERCÍCIOS) PROFa.

PATRÍCIA LIMA QUINTÃO Fonte: http://www. Principais tipos de ataque que são cobrados em provas pela banca deste certame: • Engenharia Social É o método de se obter dados importantes de pessoas através da velha “lábia”.com. Profa Patrícia Lima Quintão www.br/2861-o-que-e-captcha-. pois uma sabotagem feita com sua senha parece bem mais interessante do que com a senha do próprio autor. números de telefones. Guarde isso!!! A tecnologia avança e passos largos mas a condição humana continua na mesma em relação a critérios éticos e morais. Um colega poderia tentar obter sua senha de acesso mesmo tendo uma própria. Em redes corporativas que são alvos mais apetitosos para invasores.tecmundo. nomes e outros dados que deveriam ser sigilosos. A engenharia social é a técnica que explora as fraquezas humanas e sociais. em vez de explorar a tecnologia. No popular é o tipo de vigarice mesmo pois é assim que muitos habitantes do underground da internet operam para conseguir senhas de acesso.htm Ataques Ataque é uma alteração no fluxo normal de uma informação que afeta um dos serviços oferecidos pela segurança da informação.br 20 .com.INFORMÁTICA PARA TJ-RJ (TEORIA E EXERCÍCIOS) PROFa. o perigo é ainda maior e pode estar até sentado ao seu lado.pontodosconcursos. Ele é decorrente de uma vulnerabilidade que é explorada por um atacante em potencial. Enganar os outros deve ter sua origem na pré-história portanto o que mudou foram apenas os meios para isso.

apresenta formulários para o preenchimento e envio de dados pessoais e financeiros de usuários. por exemplo) de usuários da Internet. dados de contas bancárias. Atualmente. entre outras). projetados para furtar dados pessoais e financeiros. entre outros exemplos. ou apenas scam) Phishing é um tipo de fraude eletrônica projetada para roubar informações particulares que sejam valiosas para cometer um roubo ou fraude posteriormente. Utilizando de pretextos falsos. este termo vem sendo utilizado também para se referir aos seguintes casos: • mensagem que procura induzir o usuário à instalação de códigos maliciosos. Nele. • mensagem que. uma envolvendo o Banco de Brasil e a outra o Serasa.pontodosconcursos.INFORMÁTICA PARA TJ-RJ (TEORIA E EXERCÍCIOS) PROFa. geralmente um e-mail ou recado através de scrapbooks como no sítio Orkut.br 21 . PATRÍCIA LIMA QUINTÃO • Phishing (também conhecido como Phishing scam.com. As duas figuras seguintes apresentam “iscas” (e-mails) utilizadas em golpes de phishing. no próprio conteúdo. tenta enganar o receptor da mensagem e induzi-lo a fornecer informações sensíveis (números de cartões de crédito. O golpe de phishing é realizado por uma pessoa mal-intencionada através da criação de um website falso e/ou do envio de uma mensagem eletrônica falsa. o usuário é induzido a baixar e executar arquivos que permitam o roubo futuro de informações ou o acesso não autorizado ao sistema da vítima. Figura 6 Iscas de Phishing A palavra phishing (de fishing) vem de uma analogia criada pelos fraudadores. em que “iscas” (e-mails) são usadas para “pescar” informações sensíveis (senhas e dados financeiros. Profa Patrícia Lima Quintão www. senhas. podendo até mesmo redirecionar a página da instituição (financeira ou não) para os sites falsificados. Uma variante mais atual é o Pharming.

Neste ponto é que existe o problema.com. O modo mais notório e fácil a ser explorado é a utilização de senhas inseguras. pois muitos usuários priorizam a conveniência ao invés da segurança. permitindo que eles possam facilmente lembrá-las. ou qualquer outro tipo de combinação geralmente que possa ser utilizada na criação das senhas pelos usuários. letras. As senhas geralmente são criadas e implementadas pelos próprios usuários que utilizam os sistemas ou a rede. números. também facilita o trabalho de quebra dessas senhas por hackers. nomes de contas. Isso é feito através da exibição de um pop-up para roubar a informação antes de levar o usuário ao site real. pois as senhas garantem que somente as pessoas autorizadas terão acesso a um sistema ou à rede.br 22 . Como resultado. símbolos ou datas fazem com que as senhas tenham algum significado para os usuários. Na maioria dos casos. Quando alguma dessas Profa Patrícia Lima Quintão www. O programa mal-intencionado usa um certificado auto-assinado para fingir a autenticação e induzir o usuário a acreditar nele o bastante para inserir seus dados pessoais no site falsificado. a utilização de senhas. A primeira linha de defesa. invasores em potencial estão sempre testando as redes e sistemas em busca de falhas para entrar.INFORMÁTICA PARA TJ-RJ (TEORIA E EXERCÍCIOS) PROFa. O sistema também pode redirecionar os usuários para sites autênticos através de proxies controlados pelos phishers. pode se tornar um dos pontos mais falhos. senhas e números de documentos. Enquanto isso permite que possam lembrar facilmente das senhas. Os phishers utilizam truques para instalar programas criminosos nos PCs dos consumidores e roubar diretamente as informações. Os sites falsificados coletam números de cartões de crédito. Os programas responsáveis por realizar essa tarefa trabalham com diversas permutações e combinações sobre essas palavras.pontodosconcursos. percebendo apenas uma ligeira redução na velocidade do computador ou falhas de funcionamento atribuídas a vulnerabilidades normais de software. que podem ser usados para monitorar e interceptar a digitação. eles escolhem senhas que são relativamente simples. Outra forma de enganar o usuário é sobrepor a barra de endereço e status de navegador para induzilo a pensar que está no site legítimo e inserir suas informações. o usuário não sabe que está infectado. • Ataques de senhas A utilização de senhas seguras é um dos pontos fundamentais para uma estratégia efetiva de segurança. PATRÍCIA LIMA QUINTÃO • Pharming O Pharming é uma técnica que utiliza o sequestro ou a "contaminação" do DNS (Domain Name Server) para levar os usuários a um site falso. símbolos. frases. alterando o DNS do site de destino. As duas principais técnicas de ataque a senhas são: • Ataque de Dicionário: Nesse tipo de ataque são utilizadas combinações de palavras. Palavras. Infelizmente isso nem sempre é realidade. Em virtude disso.

• • Força-Bruta: Enquanto as listas de palavras. ela é considerada como quebrada (Cracked). Dessa maneira um sniffer atua na rede farejando pacotes na tentativa de encontrar certas informações. e costuma ser bastante nocivo. uma vez que boa parte dos protocolos mais utilizados em uma rede (FTP. aaA. aaC. Sniffers (farejadores ou ainda capturadores de pacotes): por padrão. o segundo método de quebra de senhas se baseia simplesmente na repetição.. Este é um método muito poderoso para descoberta de senhas. aca. SMTP. aa2. Geralmente as senhas estão armazenadas criptografadas utilizando um sistema de criptografia HASH. aac . Os programas responsáveis por capturar os pacotes de rede são chamados Sniffers. aa0. aa1. eles adotam a mesma configuração de criptografia das senhas. (com o tráfego entre elas passando pela máquina com o farejador) ou em uma rede local com a interface de rede em modo promíscuo. IMAP.. não importando o seu destino legítimo. é possível utilizar um software que coloca a interface num estado chamado de modo promíscuo.. Sniffing É o processo de captura das informações da rede por meio de um software de escuta de rede (sniffer). Ex: aaa. aab.br 23 . ou dicionários. Entretanto. os computadores (pertencentes à mesma rede) escutam e respondem somente pacotes endereçados a eles. aaB.. Dessa maneira os programas utilizam o mesmo algoritmo de criptografia para comparar as combinações com as senhas armazenadas.pontodosconcursos... Farejadores ou ainda Capturadores de Pacote.. POP3. senhas ou qualquer outra informação transmitida que não esteja criptografada. dão ênfase à velocidade. ada. aba. A dificuldade no uso de um sniffer é que o atacante precisa instalar o programa em algum ponto estratégico da rede.com. • Denial of Service (DoS) Profa Patrícia Lima Quintão www. Telnet) transmitem o login e a senha em aberto (sem criptografia) pela rede. e então criptografam as palavras do dicionário e comparam com senha.. como nomes de usuários. como entre duas máquinas. que é capaz de interpretar as informações transmitidas no meio físico. aa3. no entanto é extremamente lento porque cada combinação consecutiva de caracteres é comparada.. Em outras palavras. Eles exploram o fato do tráfego dos pacotes das aplicações TCP/IP não utilizar nenhum tipo de cifragem nos dados. Nessa condição o computador pode monitorar e capturar os dados trafegados através da rede. Força-Bruta é uma forma de se descobrir senhas que compara cada combinação e permutação possível de caracteres até achar a senha.INFORMÁTICA PARA TJ-RJ (TEORIA E EXERCÍCIOS) PROFa. Esse é um ataque à confidencialidade dos dados.. PATRÍCIA LIMA QUINTÃO combinações se referir à senha.

PATRÍCIA LIMA QUINTÃO Os ataques de negação de serviço (denial of service . O DoS acontece quando um atacante envia vários pacotes ou requisições de serviço de uma vez. impossibilitando o acesso de seus usuários.torresonline. os responsáveis pelo ataque criam programas Profa Patrícia Lima Quintão www. Cabe ressaltar que se uma rede ou computador sofrer um DoS.com. No DDoS . de modo que o usuário não consiga utilizá-lo. normalmente. desde uma reinvindicação política até atividades criminosas. O ataque distribuído por negação de serviço (DDoS. Para isso. pois o objetivo de tais ataques é indisponibilizar o uso de um ou mais computadores.pontodosconcursos. geralmente ocorre que os usuários legítimos de uma rede não consigam mais acessar seus recursos.br/entenda-como-aconteceua-queda-dos-servidores-dos-sites-do-governo-brasileiro/ . Para tal façanha. No caso de ataques a redes. como consequência. ocasionando a indisponibilidade dela. Esse tipo de ataque não visa roubar dados (em um primeiro momento). um conjunto de computadores é utilizado para tirar de operação um ou mais serviços ou computadores conectados à Internet.br 24 . porém tem como objetivo retirar determinado site do ar temporariamente sem causar grandes danos. indisponibilizar serviços importantes de um provedor. Conforme destaca http://www. • Distributed Denial of Service (DDoS) -> São os ataques coordenados! Em dispositivos com grande capacidade de processamento. fazendo com que o ataque seja feito de forma distribuída (Distributed Denial of Service – DDoS). no caso do ataque realizado pelo grupo Lulz Security Brazil. do inglês Distributed Denial-of-Service attack) atinge sua meta excedendo os limites do servidor. causando prejuízos.com. é necessária uma enorme quantidade de requisições para que o ataque seja eficaz. Os objetivos por trás do ataque como o que aconteceu podem ser muitos. gerar um grande tráfego de dados para uma rede. impedir o fornecimento de um serviço para os demais usuários.INFORMÁTICA PARA TJ-RJ (TEORIA E EXERCÍCIOS) PROFa. o que aconteceu foi um ataque distribuído por negação de serviço. No DoS o atacante utiliza um computador para tirar de operação um serviço ou computador(es) conectado(s) à Internet!! Como exemplo deste tipo de ataque tem-se o seguinte contexto: gerar uma sobrecarga no processamento de um computador. com objetivo de sobrecarregar um servidor e.DoS) consistem em impedir o funcionamento de uma máquina ou de um serviço específico. isto não significa que houve uma invasão. Veja a notícia seguinte que destaca esse tipo de ataque.ataque de negação de serviço distribuído-. o atacante faz o uso de uma botnet (rede de computadores zumbis sob comando do atacante) para bombardear o servidor com requisições. e não invadi-los.

Ao esconder um arquivo em uma imagem. ao enviá-la para o destinatário desejado. um DDoS muitas vezes conta com a ajuda de máquinas zumbis. também conhecido como computador-mestre. • Dumpster diving ou trashing É a atividade na qual o lixo é verificado em busca de informações sobre a organização ou a rede da vítima. • Esteganografia: é a técnica de esconder um arquivo dentro de outro arquivo. as quais realizarão múltiplos acessos simultâneos ao site em questão. Computadores desse tipo foram infectados por pragas que tornam o acesso à internet extremamente lento. você tem que se assegurar que quem receber a imagem deverá conhecer o método de exibição e a senha utilizada na proteção deste arquivo.INFORMÁTICA PARA TJ-RJ (TEORIA E EXERCÍCIOS) PROFa. Muitos dados sigilosos podem ser obtidos dessa maneira. só que utilizando criptografia. Um ataque distribuído por negação de serviço pode simplesmente reiniciar os servidores ou pode causar o travamento total do sistema que opera por trás do site. por exemplo. fica muito mais difícil combatê-lo. isso porque eles estão sob o comando de outra máquina. documento de texto. porque os responsáveis pela segurança do servidor não conseguem estabelecer regras para impedir todos os acessos que estão causando danos. informações pessoais e confidenciais. podendo ser uma imagem. que integram uma rede zumbi. PATRÍCIA LIMA QUINTÃO maliciosos que são instalados em diversas máquinas. como nomes de contas e senhas.com. planilha eletrônica etc. Por se tratar de milhares computadores realizando o ataque. acaba ocorrendo que o servidor não aguenta atender às requisições e é retirado do ar.br 25 . Importante E justamente por contar com uma legião de máquinas atacando é que os DDoS têm grande eficiência. Figura 7 Esteganografia Procedimentos de Segurança Profa Patrícia Lima Quintão www. Os zumbis também têm culpa Para aumentar a eficácia do ataque. E como os servidores possuem limitações com relação ao número de acessos em um mesmo instante.pontodosconcursos.

placas de carros. números de telefones. como os destacadas a seguir: Cuidados com Contas e Senhas (já caiu em prova!) • Criar uma senha que contenha pelo menos oito caracteres. outra para acesso a seu provedor de Internet etc. • utilizar na elaboração de documentos formatos menos suscetíveis à propagação de vírus. • desabilitar no seu programa leitor de e-mails a auto-execução de arquivos anexados às mensagens.com. • alterar a senha com freqüência. • utilizar uma senha diferente para cada serviço (por exemplo. de preferência diariamente. números e símbolos. 2006). certifique-se que ele foi verificado pelo programa antivírus. * Worms.br 26 . • manter o sistema operacional e demais softwares sempre atualizados. Profa Patrícia Lima Quintão www. • criar tantos usuários com privilégios normais.INFORMÁTICA PARA TJ-RJ (TEORIA E EXERCÍCIOS) PROFa. uma série de procedimentos de segurança. • utilizar o usuário Administrator estritamente necessário. • atualizar as assinaturas do antivírus. DVDs e pen drives. (ou root) somente quando for Cuidados com Malwares (já caiu em prova!) *Vírus • Instalar e manter atualizado um bom programa antivírus. como CDs. outra para acesso à rede corporativa da sua empresa. compostos de letras. tais como RTF. PDF ou PostScript etc. mesmo que venham de pessoas conhecidas. • jamais utilizar como senha seu nome. flexíveis (disquetes) e unidades removíveis. quantas forem as pessoas que utilizam seu computador. uma senha para o banco. PATRÍCIA LIMA QUINTÃO Nesse contexto. datas que possam ser relacionadas com você ou palavras que façam parte de dicionários. discos rígidos (HDs). números de documentos. bots e botnets • Seguir todas as recomendações para prevenção contra vírus listadas no item anterior. Caso seja necessário abrir o arquivo.).pontodosconcursos. • não executar ou abrir arquivos recebidos por e-mail ou por outras fontes. sobrenomes. considerados como “boas práticas de segurança” podem ser implementadas para salvaguardar os ativos da organização (CertBR. • configurar o antivírus para verificar os arquivos obtidos pela Internet.

keyloggers e spywares • Seguir todas as recomendações para prevenção contra vírus. Existem.INFORMÁTICA PARA TJ-RJ (TEORIA E EXERCÍCIOS) PROFa.. caso haja algum problema. para um DVD é fazer backup. para corrigir eventuais vulnerabilidades existentes nos softwares utilizados. o objetivo principal dos backups é garantir a disponibilidade da informação.com. copiar nossas fotos digitais. fitas magnéticas. Nesse exemplo. • instalar um firewall pessoal. Se houver algum problema com o HD ou se acidentalmente apagarmos as fotos. Um backup envolve cópia de dados em um meio fisicamente separado do original. Ou seja. worms e bots. É importante estabelecer uma política de backup que obedece a critérios bem definidos sobre a segurança da informação envolvida.br 27 . que em alguns casos pode evitar o acesso a um backdoor já instalado em seu computador etc. de forma a protegê-los de qualquer eventualidade. Profa Patrícia Lima Quintão www. • utilizar pelo menos uma ferramenta anti-spyware e mantê-la sempre atualizada. para que possam ser restaurados em caso de perda dos dados originais. pendrives. PATRÍCIA LIMA QUINTÃO • aplicar todas as correções de segurança (patches) disponibilizadas pelos fabricantes. armazenadas no HD (disco rígido). *Cavalos de troia. dois métodos de Backup. regularmente.pontodosconcursos. podemos então restaurar os arquivos a partir do DVD. DVDs. Em suma. que em alguns casos pode evitar que uma vulnerabilidade existente seja explorada (observe que o firewall não corrige as vulnerabilidades!!) ou que um worm ou bot se propague. • instalar um firewall pessoal. basicamente. etc. Chamamos de restauração o processo de copiar de volta ao local original as cópias de segurança. *Realização de backups: cópias de segurança para salvaguardar os dados. chamamos as cópias das fotos no DVD de cópias de segurança ou backup.. Backup (Cópia de segurança) O procedimento de backup (cópia de segurança) pode ser descrito de forma simplificada como copiar dados de um dispositivo para o outro com o objetivo de posteriormente recuperar as informações. backdoors. Por isso a política de backup é um processo relevante no contexto de segurança dos dados. geralmente mantida em CDs.

que irá ajudá-lo nesta tarefa. significa que ele deverá ser copiado no próximo backup.INFORMÁTICA PARA TJ-RJ (TEORIA E EXERCÍCIOS) PROFa. significa que. será exibida uma caixa “o arquivo está pronto para ser arquivado”. p Quando um arquivo está com esse atributo marcado.pdf.br 28 . As principais técnicas (tipos) de Backup. PATRÍCIA LIMA QUINTÃO No Windows XP. por exemplo. A tela seguinte desta a opção de “arquivo morto” obtida ao clicar com o botão direito do mouse no arquivo intitulado lattes.com. que podem ser combinadas com os mecanismos de backup on-line e off-line. do meu computador que possui o sistema operacional Windows Vista. p Se estiver desmarcado. estão listadas a seguir: **NORMAL (TOTAL ou GLOBAL) Profa Patrícia Lima Quintão www. tem-se o software Microsoft Backup. Ao clicar com o botão direito do mouse no ícone de um arquivo do Windows XP. guia geral ->Avançado. marcada como padrão (No Windows XP. provavelmente. em seguida. já foi feito um backup deste arquivo. leia-se arquivo morto).pontodosconcursos. e selecionar a opção Propriedades.

• O atributo de arquivamento (arquivo morto) NÃO É ALTERADO: não limpa os marcadores! Quanto à RECUPERAÇÃO do backup: p Para recuperar um disco a partir de um conjunto de backups (normal + incremental) será necessário o primeiro (normal) e todos os incrementais. • DESMARCA o atributo de arquivo morto (arquivamento): limpa os marcadores!! • Caso necessite restaurar o backup normal. • O atributo de arquivamento (arquivo morto) NÃO É ALTERADO: não limpa os marcadores! **DIÁRIO • Copia todos os arquivos e pastas selecionados que foram ALTERADOS DURANTE O DIA da execução do backup. pois somente um backup será **INCREMENTAL • Copia somente os arquivos CRIADOS ou ALTERADOS desde o último backup normal ou incremental. Aplicativos para aprimoramento da segurança Profa Patrícia Lima Quintão www. você só precisa da cópia mais recente.com. • O atributo de arquivamento (arquivo morto) NÃO É ALTERADO: não limpa os marcadores!! **CÓPIA (AUXILIAR ou SECUNDÁRIA) • Faz o backup de arquivos e pastas selecionados. PATRÍCIA LIMA QUINTÃO • COPIA TODOS os arquivos e pastas selecionados. • O atributo de arquivamento (arquivo morto) É DESMARCADO: limpa os marcadores!! **DIFERENCIAL • Copia somente os arquivos CRIADOS ou ALTERADOS desde o último backup normal ou incremental.INFORMÁTICA PARA TJ-RJ (TEORIA E EXERCÍCIOS) PROFa.pontodosconcursos. • Agiliza o processo restaurado. já que este contém tudo que é diferente do primeiro. p Para recuperar um disco a partir de um conjunto de backups (normal + diferencial) basta o primeiro (normal) e o último diferencial. este backup é executado quando você cria um conjunto de backup pela 1ª vez.br 29 . de restauração. • Normalmente.

Spybot etc. • não realizar abertura de arquivos suspeitos recebidos por e-mail. Exemplo de ferramentas anti-spyware: Windows Defender. em muitos casos.com. como: • instalação de ferramentas antivírus e antispyware no computador. PATRÍCIA LIMA QUINTÃO **Sistemas Antivírus Ferramentas preventivas e corretivas. Profa Patrícia Lima Quintão www. em seu computador: • Um antivírus funcionando constantemente (preventivamente). Não impedem que um atacante explore alguma vulnerabilidade existente no computador.pontodosconcursos. Um spyware também pode ser programado para ser executado em horários inesperados. executar a atualização manualmente). todos os dias. Também não evita o acesso não autorizado a um backdoor instalado no computador. • As definições de vírus atualizadas constantemente (nem que para isso seja necessário. antivírus verificando os e-mails constantemente Figura. não apenas quando é instalado. permitindo a localização e bloqueio de spywares conhecidos e desconhecidos. e pode infectar o computador quando você instala alguns programas usando um CD. lembrando de mantê-las atualizadas frequentemente. É interessante manter.INFORMÁTICA PARA TJ-RJ (TEORIA E EXERCÍCIOS) PROFa. Combate a códigos maliciosos O combate a códigos maliciosos poderá envolver uma série de ações. A ferramenta anti-spyware é uma forte aliada do antivírus. que detectam (e. Telas do antivírus AVG e Panda **Anti-Spyware O malware do tipo spyware pode se instalar no computador sem o seu conhecimento e a qualquer momento que você se conectar à Internet.br 30 . removem) vírus de computador e outros programas maliciosos (como spywares e cavalos-de-troia). • O recurso de atualizações automáticas das definições de vírus habilitado. DVD ou outra mídia removível. • Esse programa (preventivo).

Firewalls O IDS (Intrusion Detection Systems) procura por ataques já catalogados e registrados. PATRÍCIA LIMA QUINTÃO • fazer a instalação de patches de segurança e atualizações corretivas de softwares e do sistema operacional quando forem disponibilizadas (proteção contra worms e bots). onde. em alguns casos. fazer análise comportamental do sistema. etc. Esse mecanismo de proteção geralmente é utilizado para proteger uma rede menor (como os computadores de uma empresa) de uma rede maior (como a Internet). bloqueia as transmissões não permitidas. controla o tráfego que flui para dentro e para fora da rede protegida. em conformidade com a política de segurança do site acessado. Diferente dos IDS tradicionais. Pode ser desde um único computador. Um firewall deve ser instalado no ponto de conexão entre as redes. um IPS defende o alvo sem uma participação direta humana. então. controlando o tráfego de informações que existem entre elas. Ele realiza a filtragem dos pacotes e. procurando certificar-se de que este tráfego é confiável.com.br 31 . O firewall não tem a função de procurar por ataques. protegendo-a assim das ameaças da rede de computadores que está “fora” ou depois do firewall. que localizam e notificam os administradores sobre anomalias. um software sendo executado no ponto de conexão entre as redes de computadores ou um conjunto complexo de equipamentos e softwares. **IPS/IDS. Também pode ser utilizado para atuar entre redes com necessidades de segurança distintas. através de regras de segurança. O IPS (Sistema de Prevenção de Intrusão) é que faz a detecção de ataques e intrusões. atua entre a rede externa e interna. Profa Patrícia Lima Quintão www. podendo. A RFC 2828 (Request for Coments nº 2828) define o termo firewall como sendo uma ligação entre redes de computadores que restringe o tráfego de comunicação de dados entre a parte da rede que está “dentro” ou “antes” do firewall. Dessa forma.INFORMÁTICA PARA TJ-RJ (TEORIA E EXERCÍCIOS) PROFa. e não o firewall!! Um IPS é um sistema que detecta e obstrui automaticamente ataques computacionais a recursos protegidos.pontodosconcursos.

poderá causar atrasos e diminuir a performance da rede. caso não seja dimensionado corretamente.com. podendo criar um “log” do tráfego de entrada e saída da rede. em dispositivos que fazem a separação da rede interna e externa. chamados de estações guardiãs (bastion hosts). O termo possui uma origem militar. PATRÍCIA LIMA QUINTÃO Figura 8 Firewall Deve-se observar que isso o torna um potencial gargalo para o tráfego de dados e. servidor de e-mails) separados da rede local limitando o dano em caso de comprometimento de algum serviço nela presente por algum invasor. DMZ .pontodosconcursos. Para atingir este objetivo os computadores presentes em uma DMZ não devem conter nenhuma rota de acesso à rede local.Zona Desmilitarizada Também chamada de Rede de Perímetro. As principais funcionalidades oferecidas pelos firewalls são: • regular o tráfego de dados entre uma rede local e a rede externa não confiável. • impedir a transmissão e/ou recepção de acessos nocivos ou não autorizados dentro de uma rede local. geralmente entre a rede local e a Internet. a conexão entre a rede interna e externa pára de funcionar. identificações dos usuários etc.INFORMÁTICA PARA TJ-RJ (TEORIA E EXERCÍCIOS) PROFa. A função de uma DMZ é manter todos os serviços que possuem acesso externo (navegador.br 32 . • mecanismo de defesa que restringe o fluxo de dados entre redes. topologia da rede. • proteção de sistemas vulneráveis ou críticos. Quando o bastion host cai. Trata-se de uma pequena rede situada entre uma rede confiável e uma não confiável. Profa Patrícia Lima Quintão www. significando a área existente entre dois inimigos em uma guerra. Os firewalls são implementados. por meio da introdução de filtros para pacotes ou aplicações. em regra. ocultando informações de rede como nome de sistemas.

O que se copia em um. • RAID 1 aumenta a velocidade de leitura dos dados no disco (não a de escrita). Profa Patrícia Lima Quintão www. o A leitura dos dados dos discos também é acelerada! o Nesse RAID não há tolerância a falhas (segurança) porque de um dos discos “pifar”. SATA ou SCSI) para que sejam reconhecidos. copia-se igualmente no outro disco.com. pelo sistema operacional.Redundant Array of Independent Disks (Matriz redundante de discos independentes) Tecnologia utilizada para combinar diversos discos rígidos (IDE. PATRÍCIA LIMA QUINTÃO Figura 9 DMZ RAID . Existem vários tipos (chamados “modos”) de RAID. o Não se preocupa com segurança e sim com a velocidade! RAID 1 (Mirroring . • Ganha-se muito em velocidade o a gravação do arquivo é feita em metade do tempo.Espelhamento) • Cria uma matriz (array) de discos espelhados (discos idênticos). os dados estarão perdidos completamente. e os mais comuns são: RAID 0 (Stripping . • No caso de um RAID 0 entre dois discos. do IDE). • O RAID 1 aumenta a segurança do sistema.Enfileiramento) • Cada modo desses combina os discos rígidos de formas diferentes para obterem resultados diferentes. os arquivos salvos nesse conjunto serão gravados METADE em um disco. • Combina dois (ou mais) HDs para que os dados gravados sejam divididos entre eles. como apenas UMA única unidade de disco. separado. porque se grava metade dos dados em um disco e metade no outro simultaneamente (o barramento RAID é outro.br 33 . METADE no outro.INFORMÁTICA PARA TJ-RJ (TEORIA E EXERCÍCIOS) PROFa.pontodosconcursos.

PATRÍCIA LIMA QUINTÃO RAID 5 • Sistema tolerante a falhas. analisa uma amostra de corpo do usuário. Elas criam “túneis” virtuais de transmissão de dados utilizando criptografia para garantir a privacidade e integridade dos dados. em mecanismos de autenticação. utiliza-se a infraestrutura da Internet. • Se um disco falhar. normalmente a Internet. Íris. Uma VPN pode ser criada tanto por dispositivos específicos. Princípios básicos (Caiu em prova!) Uma VPN deve prover um conjunto de funções que garantam alguns princípios básicos para o tráfego das informações: Profa Patrícia Lima Quintão www. e a autenticação para garantir que os dados estão sendo transmitidos por entidades ou dispositivos autorizados e não por outros quaisquer. envolvendo por exemplo: Impressão Digital (+usado). Normalmente as VPNs são utilizadas para interligar empresas em que os custos de linhas de comunicação direta de dados são elevados.com. Ou seja. Veias das Mãos.INFORMÁTICA PARA TJ-RJ (TEORIA E EXERCÍCIOS) PROFa. • A paridade é um valor calculado que é usado para reconstruir dados depois de uma falha. ao invés de se utilizar links dedicados ou redes de pacotes para conectar redes remotas. sem controle sobre o acesso aos dados). Biometria Um sistema biométrico.br 34 . é possível recriar os dados que estavam na parte com problema a partir da paridade e dados restantes. etc. Voz.pontodosconcursos. Figura 10 Veias da palma da mão. softwares ou até pelo próprio sistema operacional. reconhecimento da face. cujos dados e paridades são distribuídos ao longo de três ou mais discos físicos. geometria da mão. identificação pela íris ou retina. Reconhecimento Facial (+usado). uma vez que para os usuários a forma como as redes estão conectadas é transparente. impressão digital. Virtual Private Network (VPN) Uma Virtual Private Network (VPN) ou Rede Virtual Privada é uma rede privada (rede com acesso restrito) construída sobre a estrutura de uma rede pública (recurso público.

Profa Patrícia Lima Quintão www. • Desencriptação: Processo de recuperação de um texto puro a partir de um texto cifrado. ou criptografia privada. Assim. assim descriptografar é o ato de desencriptar um texto cifrado.com. ou seja. • Encriptação: Processo em que um texto puro passa. Esse texto quando em sua forma original. é chamado de texto puro ou texto claro. • Destinatário ou receptor: Pessoa que receberá a mensagem. a ser transmitido. de forma que. ou seja. ininteligível) e GRAPHO (escrita. um elemento da VPN somente reconhecerá informações originadas por um segundo elemento que tenha autorização para fazer parte dela.br 35 . Trata-se de um conjunto de conceitos e técnicas que visa codificar uma informação de forma que somente o emissor e o receptor possam acessá-la. é necessário garantir que não seja alterada e reencaminhada. obviamente ela deve ser compartilhada entre o remetente e o destinatário da mensagem. permitindo que somente informações válidas sejam recebidas. não possam ser entendidos.pontodosconcursos. ou criptografia convencional) utiliza APENAS UMA chave para encriptar e decriptar as mensagens. Criptografia A palavra criptografia é composta dos termos gregos KRIPTOS (secreto. chave única) p Assimétricos (ou chave pública). mesmo que os dados sejam capturados. Autenticidade – somente os participantes devidamente autorizados podem trocar informações entre si. é imprescindível que a privacidade da informação seja garantida. • Remetente ou emissor: Pessoa que envia a mensagem. oculto.INFORMÁTICA PARA TJ-RJ (TEORIA E EXERCÍCIOS) PROFa. chave privada. • Criptografar: Ato de encriptar um texto puro. como só utiliza UMA chave. Terminologia básica sobre Criptografia: • Mensagem ou texto: Informação que se deseja proteger. escrever). Confidencialidade – tendo-se em vista que estarão sendo usados meios públicos de comunicação. transformando-se em texto cifrado. • Chave: Informação que o remetente e o destinatário possuem e que será usada para criptografar e descriptografar um texto ou mensagem. Algoritmos: p Simétricos (ou convencional. A criptografia de chave simétrica (também chamada de criptografia de chave única. Integridade – na eventualidade da informação ser capturada. como. PATRÍCIA LIMA QUINTÃO 1. 2. 3.

o IDEA (International Data Encryption Algorithm). há o fato de que tanto o emissor quanto o receptor precisam conhecer a chave usada.br 36 . Ainda. Esta pode ser.pontodosconcursos. O uso de chaves simétricas também faz com que sua utilização não seja adequada em situações em que a informação é muito valiosa. como o DES (Data Encryption Standard). Na criptografia simétrica (ou de chave única) tanto o emissor quanto o receptor da mensagem devem conhecer a chave utilizada!! Ambos fazem uso da MESMA chave. Existem vários algoritmos que usam chaves simétricas. e o RC (Ron's Code ou Rivest Cipher). Para criptografar uma mensagem. A maior desvantagem da criptografia simétrica é que a chave utilizada para encriptar é IGUAL à chave que decripta. isto é. podemos observar o funcionamento da criptografia simétrica. uma ÚNICA chave é usada na codificação e na decodificação da informação. Quando um grande número de pessoas tem conhecimento da chave.com. podemos usar a imagem de um cofre. Nas figuras acima. Uma informação é encriptada através de um polinômio utilizando-se de uma chave (Chave A) que também serve para decriptar a informação. Profa Patrícia Lima Quintão www.INFORMÁTICA PARA TJ-RJ (TEORIA E EXERCÍCIOS) PROFa. fazendo com que a chave possa ser interceptada e/ou alterada em trânsito por um inimigo. que só pode ser fechado e aberto com uso de uma chave. é necessário usar uma grande quantidade de chaves caso muitas pessoas estejam envolvidas. As principais vantagens dos algoritmos simétricos são: • rapidez: um polinômio simétrico encripta um texto longo em milésimos de segundos • chaves pequenas: uma chave de criptografia de 128 bits torna um algoritmo simétrico praticamente impossível de ser quebrado. Para começar. usamos a chave (fechamos o cofre) e para decifrá-la utilizamos a mesma chave (abrimos o cofre). A transmissão dessa chave de um para o outro pode não ser tão segura e cair em "mãos erradas". por exemplo. A mesma combinação abre e fecha o cofre. a informação deixa de ser um segredo. PATRÍCIA LIMA QUINTÃO Para ilustrar os sistemas simétricos. uma combinação de números.

que pode ser divulgada livremente.br 37 . a técnica de criptografia por chave assimétrica trabalha com DUAS chaves: uma denominada privada e outra denominada pública.INFORMÁTICA PARA TJ-RJ (TEORIA E EXERCÍCIOS) PROFa. As mensagens codificadas com a chave pública só podem ser decodificadas com a chave privada correspondente. apenas será possível extraí-la com o uso da chave privada. Quando o USUÁRIO-A receber a informação.pontodosconcursos.com. e isso já foi cobrado em provas várias vezes! Nota: Chave assimétrica Também conhecida como "chave pública". imagine o seguinte: O USUÁRIO-A criou uma chave pública e a enviou a vários outros sites. Profa Patrícia Lima Quintão www. Assim. uma PÚBLICA (que pode ser distribuída) e uma PRIVADA (pessoal e intransferível). deverá conhecer sua chave pública. Para entender melhor. nesse método cada pessoa ou entidade mantém duas chaves: uma pública. Essa é a chave pública. Do ponto de vista do custo computacional. que só o USUÁRIO-A tem. os sistemas simétricos apresentam melhor desempenho que os sistemas assimétricos. uma pessoa deve criar uma chave de codificação e enviá-la a quem for mandar informações a ela. Outra chave deve ser criada para a decodificação. Quando qualquer desses sites quiser enviar uma informação criptografada ao USUÁRIO-A deverá utilizar a chave pública deste. Esta – a chave privada – é secreta. que deve ser mantida em segredo pelo seu dono. Caso o USUÁRIO-A queira enviar uma informação criptografada a outro site. Nesse método. e outra privada. PATRÍCIA LIMA QUINTÃO Os algoritmos de criptografia assimétrica (criptografia de chave pública) utilizam DUAS chaves DIFERENTES.

PATRÍCIA LIMA QUINTÃO Entre os algoritmos que usam chaves assimétricas têm-se o RSA (o mais conhecido). Figura 11 Mapa mental relacionado à Criptografia ASSimétrica PKI (Public Key Infrastrusture) é a infraestrutura de chaves públicas (ICP). o Diffie-Hellman.pontodosconcursos. Componentes de uma PKI Uma infraestrutura de chaves públicas envolve um processo colaborativo entre várias entidades: autoridade certificadora (AC). a AC emite.com.INFORMÁTICA PARA TJ-RJ (TEORIA E EXERCÍCIOS) PROFa. o Schnorr (praticamente usado apenas em assinaturas digitais) e Diffie-Hellman. o DSA (Digital Signature Algorithm). A ICP-Brasil é um exemplo de PKI. Profa Patrícia Lima Quintão www. repositório de certificados e o usuário final.br 38 . Em uma ICP. a Autoridade Certificadora opera como um tipo de órgão de licenciamento. autoridade de registro (AR). • Autoridade Certificadora (AC) Vamos ao exemplo da carteira de motorista. Se pensarmos em um certificado como uma carteira de motorista.

também aumenta a carga de trabalho de uma AC.pontodosconcursos. organizações ou equipamentos. À medida que aumenta o número de usuários finais dentro de uma ICP. PATRÍCIA LIMA QUINTÃO gerencia e revoga os certificados para uma comunidade de usuários finais. É a declaração da entidade certificadora a respeito dos detalhes do seu sistema de credenciamento. os administradores estão descobrindo que isso é uma necessidade. A AR serve como uma entidade intermediária entre a AC e seus usuários finais. A AC assume a tarefa de autenticação de seus usuários finais e então assina digitalmente as informações sobre o certificado antes de disseminá-lo. das práticas e políticas que fundamentam a emissão de certificados e de outros serviços relacionados. pelo ponto de vista dessa AC. Mas o que exatamente uma AC certifica? O que faz uma AC ser mais confiável do que outra? Dois mecanismos são utilizados pelas ACs para estabelecer a confiança entre usuários finais e partes verificadoras: a Declaração de Práticas de Certificação (DPC) e a Política de Certificado (PC). periodicamente revisado e republicado. a quem compete: • identificar os titulares de certificados: indivíduos. Lista de Certificados Revogados (LCR) A LCR ou CRL (Certificate Revocation List) é uma estrutura de dados que contém a lista de certificados revogados por uma determinada AC. Uma AR é necessariamente uma entidade operacionalmente vinculada a uma AC. que contém as práticas e procedimentos implementados por uma Autoridade Certificadora para emitir certificados. A AC.INFORMÁTICA PARA TJ-RJ (TEORIA E EXERCÍCIOS) PROFa.br 39 . ajudando a AC em suas funções rotineiras para o processamento de certificados. • Autoridade de Registro (AR) Embora a AR possa ser considerada um componente estendido de uma ICP. • guardar os documentos apresentados para identificação dos titulares. no final. confirmando o conteúdo dos certificados que elas emitem. • A Declaração de Práticas de Certificação é um documento. Declaração de Práticas Certificado (PC) de Certificação (DPC) e Política de As ACs atuam como terceiros confiáveis. Profa Patrícia Lima Quintão www. A AC deve manter uma lista de suas ARs credenciadas e estas ARs são consideradas confiáveis. • encaminhar solicitações de emissão e revogação de certificados à AC.com. é responsável pela autenticidade dos certificados emitidos por ela.

Profa Patrícia Lima Quintão www. deve assegurar que nenhum dos certificados da cadeia esteja expirado e terceiro. Nas PC encontramos informações sobre os tipos de certificado. até chegar ao certificado da AC Raiz.INFORMÁTICA PARA TJ-RJ (TEORIA E EXERCÍCIOS) PROFa. a parte confiante (verificadora) deve analisar três itens relacionados a cada certificado que faz parte da hierarquia de certificados. torna-se difícil para uma AC monitorar de maneira eficaz a identidade de todas as partes que ela certificou. Primeiro a parte confiante deve verificar se cada certificado da cadeia está assinado pelo certificado anterior a ele na hierarquia. Hierarquias de Certificado À medida que uma população de uma ICP começa a aumentar. apenas para outras autoridades certificadoras. PATRÍCIA LIMA QUINTÃO • Já a Política de Certificado é definida como “um conjunto de regras que indica a aplicabilidade de um certificado para uma determinada comunidade e/ou uma classe de aplicativos com requisitos comuns de segurança”. ou seja. inclusive o certificado do usuário final.pontodosconcursos. Um recurso poderoso das hierarquias de certificado é que uma única Autoridade Certificadora estabelece a confiança das demais AC subsequentes é a Autoridade Certificadora superior (cujo certificado é autoassinado) e que por esta posição recebe o nome de Autoridade Certificadora Raiz. Uma solução é utilizar uma hierarquia de certificados em que uma AC delega sua autoridade para uma ou mais Autoridades Certificadoras subsequentes ou intermediárias. É a única entidade na cadeia que é auto-confiável. A AC Raiz NÃO emite certificados para usuários finais. A AC Raiz é a autoridade máxima na cadeia de certificação de uma ICP. definições sobre quem poderá ser titular de um certificado. Segundo. deve verificar se existe algum certificado da cadeia que está revogado. designam a emissão de certificados a outras AC vinculadas e subsequentes.br 40 . os documentos obrigatórios para emissão do certificado e como identificar os solicitantes. automaticamente toda a cadeia será considerada confiável.com. A PC pode ser usada para ajudar a decidir se um certificado é confiável o suficiente para uma dada aplicação. Todos os certificados emitidos na cadeia de certificação abaixo dela recebem a sua assinatura. uma única AC pode estrangular o processo de certificação. Essas AC. a única AC que confia em si mesma e que assina a si mesma. Processo de verificação da cadeia de confiança Para verificar a cadeia de confiança de um certificado e decidir se o mesmo é confiável. por sua vez. À medida que o número de certificados cresce. Se a parte confiante confiar no certificado da AC Raiz da hierarquia.

URLs. Ao receber a mensagem.com. de modo que a pessoa ou entidade que receber uma mensagem contendo este código possa verificar se o remetente é mesmo quem diz ser e identificar qualquer mensagem que possa ter sido modificada. físicas ou jurídicas. Maria terá certeza que o remetente da mensagem foi o José e que a mensagem não foi modificada. Este “documento” na verdade é Profa Patrícia Lima Quintão www. servidores (computadores) dentre outras entidades. Também é importante ressaltar que o fato de assinar uma mensagem não significa gerar uma mensagem sigilosa. Neste processo será gerada uma assinatura digital. através da utilização de uma chave privada. A assinatura garante a ORIGEM e a INTEGRIDADE da mensagem. Neste processo será gerada uma segunda assinatura digital. Maria utilizará a chave pública de José para decodificar a mensagem. Se as assinaturas forem idênticas. contas de usuário. Modelo de Hierarquia de uma ICP Assinatura Digital Conforme destaca Stallings (2008) uma assinatura digital é um mecanismo de AUTENTICAÇÃO que permite ao criador de uma mensagem anexar um código que atue como uma assinatura.INFORMÁTICA PARA TJ-RJ (TEORIA E EXERCÍCIOS) PROFa. Certificado Digital Um certificado digital é um documento eletrônico que identifica pessoas. que será comparada à primeira. A assinatura é formada tomando o hash da mensagem e criptografando-a com a chave privada do criador. a assinatura digital consiste na criação de um código. Em outras palavras. É importante ressaltar que a segurança do método baseia-se no fato de que a chave privada é conhecida apenas pelo seu dono. ele codificará a mensagem com sua chave privada. seria preciso codificá-la com a chave pública de Maria. que será adicionada à mensagem enviada para Maria. se José quisesse assinar a mensagem e ter certeza de que apenas Maria teria acesso a seu conteúdo. Para o exemplo anterior. Se José quiser enviar uma mensagem assinada para Maria. PATRÍCIA LIMA QUINTÃO Figura.pontodosconcursos. depois de assiná-la.br 41 .

conforme visto na próxima figura.: Token ou Smart Card. Chamamos essa autoridade de Autoridade Certificadora. como por ex. ou AC. Figura. • Vincular uma chave pública a um titular (eis o objetivo principal). Vínculo da Chave Pública ao Titular Profa Patrícia Lima Quintão www. Chamamos essa autoridade de Autoridade Certificadora. O certificado digital precisa ser emitido por uma autoridade reconhecida pelas partes interessadas na transação. nome. endereço. Contêm informações relevantes para a identificação “real” da entidade a que visam certificar (CPF.pontodosconcursos.INFORMÁTICA PARA TJ-RJ (TEORIA E EXERCÍCIOS) PROFa. Token Smart Card ou cartão inteligente Figura. O certificado digital precisa ser emitido por uma autoridade reconhecida pelas partes interessadas na transação. ilustrados na figura a seguir. CNPJ. etc. O certificado fica armazenado em dispositivos de segurança.com.br 42 .) e informações relevantes para a aplicação a que se destinam. PATRÍCIA LIMA QUINTÃO uma estrutura de dados que contém a chave pública do seu titular e outras informações de interesse. Ilustração de dispositivos de segurança Quanto aos objetivos do certificado digital podemos destacar: • Transferir a credibilidade que hoje é baseada em papel e conhecimento para o ambiente eletrônico. ou AC.

Data de emissão e expiração. Algoritmo de assinatura do emissor Identificador dos algoritmos de hash + assinatura utilizados pelo emissor para assinar o certificado.INFORMÁTICA PARA TJ-RJ (TEORIA E EXERCÍCIOS) PROFa. URL ou demais informações que estão sendo certificadas.br 43 .com. Nome do titular Nome da pessoa. Assinatura do emissor Valor da assinatura digital feita pelo emissor. Chave pública do titular Período de validade Nome do emissor Informações da chave pública do titular. Um exemplo destacando informações do certificado pode ser visto na figura seguinte: Profa Patrícia Lima Quintão www. PATRÍCIA LIMA QUINTÃO Dentre as informações que compõem a estrutura de um certificado temos: Versão Indica qual formato está sendo seguido.pontodosconcursos. Entidade que emitiu o certificado. de certificado Número de série Identifica unicamente um certificado dentro do escopo do seu emissor. Extensões Campo opcional para estender o certificado.

fazendo com que a URL de um site passe a apontar para o IP de um servidor diferente do original. Utilizado para garantir a “integridade” (não-alteração) de dados durante uma transferência. e este não poderá ser alterado. • Phishing ou scam: Tipo de fraude eletrônica projetada para roubar informações particulares que sejam valiosas para cometer um roubo ou fraude posteriormente. só pode ser executado em um único sentido (ex.pontodosconcursos.br 44 .: você envia uma mensagem com o hash. Profa Patrícia Lima Quintão www.INFORMÁTICA PARA TJ-RJ (TEORIA E EXERCÍCIOS) PROFa. mas apenas conferido pelo destinatário). • Pharming: Ataque que consiste em corromper o DNS em uma rede de computadores.com. • Sniffer: Ferramenta capaz de interceptar e registrar o tráfego de dados em uma rede de computadores. Figura. em vez de explorar a tecnologia. ou seja. Impacto de incidentes de segurança nos negócios • HASH (Message Digest – Resumo de Mensagem): Método matemático “unidirecional”. • Engenharia Social: Técnica de ataque que explora as fraquezas humanas e sociais. PATRÍCIA LIMA QUINTÃO Revisão em Tópicos e Palavras-Chave • Risco: Medido pela probabilidade de uma ameaça acontecer e causar algum dano potencial à empresa.

: notebook sem as atualizações de segurança do sistema operacional. keylogger.pontodosconcursos. • Anti-spam: ferramenta utilizada para filtro de mensagens indesejadas. • Vulnerabilidade é uma fragilidade que poderia ser explorada por uma ameaça para concretizar um ataque. screenlogger. worms.br 45 . • Malwares (combinação de malicious software – programa malicioso): programas que executam deliberadamente ações mal-intencionadas em um computador. Ex. como vírus.DoS) o atacante utiliza um computador para tirar de operação um serviço ou computador(es) conectado(s) à Internet!! • No ataque de negação de serviço distribuído (DDoS). cavalos de troia. geralmente de conotação publicitária ou obscena. um conjunto de computadores é utilizado para tirar de operação um ou mais serviços ou computadores conectados à Internet.INFORMÁTICA PARA TJ-RJ (TEORIA E EXERCÍCIOS) PROFa. • VPN (Virtual Private Network – Rede Privada Virtual): uma rede privada que usa a estrutura de uma rede pública (como a Internet) para transferir seus dados (os dados devem estar criptografados para passarem despercebidos e inacessíveis pela Internet). envio de spam. etc. PATRÍCIA LIMA QUINTÃO • No ataque de negação de serviço (denial of service . bots.com. • Botnets: redes formadas por diversos computadores infectados com bots (“Redes Zumbis”). esquemas de fraude. • Spams: mensagens de correio eletrônico não autorizadas ou não solicitadas pelo destinatário. • Princípios básicos da segurança da informação: Profa Patrícia Lima Quintão www. desenvolvido para evitar acessos não autorizados em uma rede local ou rede privada de uma corporação. spyware. • Firewall: um sistema para controlar o acesso às redes de computadores. Podem ser usadas em atividades de negação de serviço.

e os mais comuns são: RAID 0.INFORMÁTICA PARA TJ-RJ (TEORIA E EXERCÍCIOS) PROFa. Proteger contra o acesso não autorizado. caso haja algum problema. entidades ou processos não autorizados. RAID 10 (também conhecido como 1+0) e RAID 5. mesmo para dados em trânsito. o acesso aos dados. Integridade Propriedade de salvaguarda da exatidão e completeza de ativos Disponibilidade Propriedade de estar acessível e utilizável sob demanda por uma entidade autorizada Proteger informação contra modificação sem permissão. RAID 1.com.br 46 . Proteger contra indisponibilidade dos serviços (ou degradação).pontodosconcursos. para recuperar-se de eventuais falhas e das consequências de uma possível infecção por vírus ou invasão. • Existem vários tipos de RAID (Redundant Array of Independent Disks). PATRÍCIA LIMA QUINTÃO Princípio básico Conceito Objetivo Confidencialidade Propriedade de que a informação não esteja disponível ou revelada a indivíduos. • Backup (cópia de segurança): envolve a cópia dos dados de um dispositivo para o outro com o objetivo de posteriormente recuperar as informações. Principais tipos de backup: Profa Patrícia Lima Quintão www. garantir a fidedignidade das informações. Procure fazer cópias regulares dos dados do computador. garantir aos usuários com autorização.

vamos às questões!! Profa Patrícia Lima Quintão www.INFORMÁTICA PARA TJ-RJ (TEORIA E EXERCÍCIOS) PROFa. • Backup – Medida de recuperação de desastre.br 47 .pontodosconcursos. PATRÍCIA LIMA QUINTÃO RAID não é backup! • RAID – Medida de redundância. após termos visto os conceitos primordiais de segurança para a prova. Muito bem.com.

(C) screenloggers e adwares. 2. É a criptografia. (FCC/2011/TRE-TO/Analista Judiciário – Judiciária) Uma das formas de proteger o sigilo da informação que trafega na Internet é: a) não fazer os downloads em notebooks. de modo que somente as máquinas que conhecem o código consigam decifrá-lo. é comum que tenha que digitar a senha em um teclado virtual. PATRÍCIA LIMA QUINTÃO Lista de Questões Comentadas 1. Comentários O teclado virtual é uma forma de prevenção contra os programas maliciosos (malwares) keyloggers (capazes de capturar e armazenar as teclas digitadas pelo usuário no teclado de um computador) e screenloggers (que tentam coletar dados vindos da tela do computador).Região/Provas de Analista Judiciário e Técnico Judiciário) Quando o cliente de um banco acessa sua conta corrente através da internet. (FCC/2012/TRT-11ª. e) a criptografia Comentários Ao enviar informações sigilosas via internet deve-se utilizar de um sistema que faça a codificação (chave. Esse procedimento de segurança visa evitar ataques de (A) spywares e adwares. (D) phishing e pharming.br 48 . d) não usar a opção "com cópia para" do correio eletrônico.INFORMÁTICA PARA TJ-RJ (TEORIA E EXERCÍCIOS) PROFa. a medida de segurança a ser adotada para resguardar o sigilo da informação que trafega pela Internet.com. (B) keyloggers e adwares. Portanto. (E) keyloggers e screenloggers. Gabarito: letra E. b) não responder e-mails que chegam "com cópia oculta". c) mandar e-mails somente a pessoas da lista pessoal. cujas teclas mudam de lugar a cada caractere fornecido. Profa Patrícia Lima Quintão www. a letra E é a resposta da questão! Gabarito: letra E. cifra).pontodosconcursos. portanto.

tem grande probabilidade de causar algum problema que resulte na violação da segurança do computador. b) baixá-lo no seu desktop e executá-lo localmente. porém comunicar o fato ao Comentários O arquivo executável.1. quando os dados são enviados para um provedor de serviços via internet. etc. somente. disco rígido e cópia externa. c) repassá-lo para sua lista de endereços solicitando aos mais experientes que o executem. (D) apenas estes: CD-ROM e disco rígido externo.com. O endereço do remetente pode ter sido forjado e o arquivo em anexo pode ser malicioso. Gabarito: letra A. e) executá-lo de qualquer administrador de sua rede.).ª Região/Técnico Judiciário – Segurança e Transporte) Considerando o recebimento de um arquivo executável de fonte desconhecida. forma. regularmente. 58) (A) quaisquer um destes: DVD. 4. que está sendo recebido de uma fonte desconhecida. no correio eletrônico. mesmo que tenham sido enviados por pessoas ou instituições conhecidas. Portanto nunca abra arquivos ou execute programas anexados aos e-mails. (B) apenas estes: CD-ROM. Profa Patrícia Lima Quintão www. CD-ROM e disco rígido externo. pode conter um código malicioso (como um vírus ou um cavalo de troia.INFORMÁTICA PARA TJ-RJ (TEORIA E EXERCÍCIOS) PROFa. ao ser executado. disco rígido externo ou cópia externa. (E) apenas estes: DVD e CD-ROM. Comentários Um backup envolve cópia de dados em um meio separado do original. sem antes verificá-los com um bom programa antivírus (atualizado!).br 49 . CD-ROM.pontodosconcursos. de forma a protegê-los de qualquer eventualidade. Desconfie sempre dos arquivos anexados à mensagem. sem baixá-lo no seu desktop. PATRÍCIA LIMA QUINTÃO 3. (FCC/2011/TRF . a resposta certa é a letra A. quando os dados são enviados para um provedor de serviços via internet. (FCC/2010/DNOCS/ADMINISTRADOR/ Prestam-se a cópias de segurança (backup) PROVA A01-001-Q. que. Diante disso. no correio eletrônico. (C) apenas estes: DVD. d) executá-lo diretamente. a atitude mais adequada diante deste fato é a) não executá-lo.

o backup (cópia de segurança) dos dados deveria ser feito após cada atualização. b) em arquivos distintos nos respectivos hard disks. (FCC/2009/Oficial de Chancelaria/Adaptada) O Diretor de um certo órgão público incumbiu alguns funcionários da seguinte tarefa: Item Tarefa 5 Garantir que a maior parte dos dados gravados computadores não seja perdida em caso de sinistro. DVSs. Também as mídias de backup devem ser armazenadas em local distinto daquele em que os dados foram obtidos. c) em arquivos distintos nos respectivos hard disks. dentre outros.br Instrução: Para 50 . 5. Profa Patrícia Lima Quintão www. quando os dados são enviados para um provedor de serviços via internet ou para algum outro computador de uma rede corporativa. desde que estes dispositivos permaneçam ligados ininterruptamente. Se a cópia dos dados fosse realizada no mesmo HD (disco rígido). Essa cópia pode ser realizada em vários tipos de mídias.com. a resposta certa é a letra D! Gabarito: letra D. fitas DAT. PATRÍCIA LIMA QUINTÃO Dentre os meios que podem ser utilizados para a realização do backup merecem destaque: DVD.INFORMÁTICA PARA TJ-RJ (TEORIA E EXERCÍCIOS) PROFa. em mídias removíveis mantidas em local distinto daquele dos computadores. de forma a protegê-los de qualquer eventualidade.pontodosconcursos. Gabarito: letra A.. Diante disso. disco rígido externo ou cópia externa. etc. você ficaria impossibilitado de recuperar as informações em caso de falhas da máquina em questão. como CDs. CD-ROM. em mídias removíveis mantidas em um local distinto daquele dos computadores. desde que estes dispositivos sejam desligados após o expediente. em mídias removíveis mantidas nos próprios computadores. Comentários Backup refere-se à cópia de dados de um dispositivo para o outro com o objetivo de posteriormente os recuperar. e) da política de segurança física. d) após cada atualização. Nesse caso. nos Tal garantia é possível se forem feitas cópias dos dados: a) após cada atualização. pendrives. 6. (FCC/2009/TJ-PI/Analista Judiciário/Adaptada) responder à questão. caso haja algum problema. considere os dados abaixo.

(E) uso de senha privativa e backup dos arquivos do sistema operacional. Gabarito: letra D. REGIÃO/TÉCNICO ADMINISTRATIVO) Para evitar a perda irrecuperável das informações gravadas em um computador e protegê-las contra acesso não autorizado. é necessário que se adote. com capacidade em média de armazenamento na faixa de 2 a 72 GB. portanto as opções a e b já não atendem aos requisitos da questão. diariamente. (D) backup de arquivos e uso de senha privativa. as medidas inerentes às operações de (A) backup dos arquivos do sistema operacional e configuração de criptografia. O termo NTSF deveria ter sido escrito como NTFS. A única alternativa que destaca a mídia conhecida por DAT é a letra D. (FCC/2004/TRT 8ª. No item VII é recomendado o uso de mídias conhecidas por: a) FAT32. é mais voltada para o mercado corporativo. e) DVD+RW. Dentre as alternativas. (C) criptografia de dados e inicialização da rede privativa. A fita DAT (Digital Audio Tape). que é a resposta da questão. (B) checkup dos arquivos do sistema operacional e inicialização da rede executiva. b) FAT.INFORMÁTICA PARA TJ-RJ (TEORIA E EXERCÍCIOS) PROFa. mas que também não atenderia à questão. 7. é comum que existam soluções quase que personalizadas de formatos e equipamentos de gravação e leitura de fitas. respectivamente. podemos destacar que FAT32 e FAT são sistemas de arquivos. Para a realização da cópia de segurança (backup) dos dados em fitas digitais regraváveis. PATRÍCIA LIMA QUINTÃO Item Tarefa VII Proceder. Comentários Esse item da FCC não trouxe maiores dificuldades. utilizamos fitas DAT. para corresponder a um tipo de sistema de arquivos. c) NTSF. d) DAT.com. O DVD+RW é uma mídia que nos permite armazenamento óptico de dados.br 51 . à cópia de segurança dos dados em fitas digitais regraváveis (algumas comportam até 72 GB de capacidade) em mídias alternadas para manter a segurança e economizar material. portanto. Profa Patrícia Lima Quintão www.pontodosconcursos.

Assim. vídeos etc.05) No Windows. (FCC/2010/DNOCS/AGENTE ADMINISTRATIVO/Q. 55-E.com. excluir dados ou arquivos salvos no disco rígido.05) No Windows. não fazemos backup dos arquivos do sistema operacional (arquivos de programas e configurações). Comentários A restauração do sistema é um recurso do Windows que permite que sejam estabelecidos pontos de restauração do sistema.05) No Windows. basta acionar a Restauração do sistema. Comentários As atualizações automáticas irão atuar sobre as atualizações de segurança do sistema operacional Windows. em seguida. a abordagem para a segunda situação: uso de senha privativa.pontodosconcursos. imagens. Logicamente se precisamos guardar informações gravadas. Gabarito: letra D. 10. 8. no entanto. PATRÍCIA LIMA QUINTÃO Comentários A questão pede medidas de segurança relativas a duas situações: proteção contra perda irrecuperável de informações (dados) e proteção contra acesso não autorizado.br 52 . Dessa forma. (FCC/2010/DNOCS/AGENTE ADMINISTRATIVO/Q. Gabarito: item errado. 55-E. por qualquer motivo. O Windows desinstalará eventuais programas que tenham sido instalados no período e retornará configurações porventura alteradas sem. (FCC/2010/DNOCS/AGENTE ADMINISTRATIVO/Q. que traz. 9.INFORMÁTICA PARA TJ-RJ (TEORIA E EXERCÍCIOS) PROFa. a possibilidade de controlar e reverter alterações perigosas no computador pode ser feita por meio das atualizações automáticas. caso o usuário. mas dos arquivos de dados (documentos. queira voltar o computador para o estado em que ele se encontrava em um ponto de restauração. podese controlar e reverter alterações perigosas no computador!! Gabarito: item certo. e não estão relacionadas ao desejado na questão. a possibilidade de controlar e reverter alterações perigosas no computador pode ser feita por meio do gerenciador de dispositivos. Profa Patrícia Lima Quintão www. A primeira situação deve ser abordada com políticas adequadas de backup.). Isso já é suficiente para marcarmos a alternativa D. a possibilidade de controlar e reverter alterações perigosas no computador pode ser feita por meio da restauração do sistema. 55-E.

(FCC/2009/TJ-PI/Analista Judiciário/Adaptada) Instrução: Para responder à questão. usar a chave privada do remetente para criptografar a mensagem toda demoraria muito. a assinatura digital é feita mediante o cálculo do hash (é uma função matemática que recebe uma mensagem de entrada e gera como resultado um número finito de caracteres) da mensagem e a conseguinte criptografia apenas desse hash com o uso da chave privada do remetente. de modo que somente as máquinas que conhecem o código consigam decifrá-lo. 11. c) digitalização. b) assinatura digital. A criptografia tem como objetivo garantir que uma informação só seja lida e compreendida pelo destinatário autorizado. a assinatura digital não demora para ser realizada! Profa Patrícia Lima Quintão www. de forma que apenas o destinatário a decifre e a compreenda. por exemplo). Comentários Item A. Item CERTO. considere os dados abaixo.br 53 . cifra). e) modulação/demodulação. Com a utilização da assinatura digital o remetente (emissor) irá criptografar a mensagem com sua chave privada e o destinatário poderá comprovar a autenticidade por meio da decifração pela chave pública do remetente. Como o hash é pequeno.com.INFORMÁTICA PARA TJ-RJ (TEORIA E EXERCÍCIOS) PROFa. Criptografia é um conjunto de técnicas que permitem tornar incompreensível uma mensagem escrita com clareza. É a resposta da questão! Item B.pontodosconcursos. Item Tarefa V Ao enviar informações sigilosas via mensagem eletrônica deve-se utilizar de um sistema que faça a codificação (chave. d) desfragmentação. PATRÍCIA LIMA QUINTÃO Comentários O gerenciador de dispositivos fornece informações sobre os dispositivos instalados no seu computador. O cuidado solicitado em V aplica o conceito de: a) criptografia. Hoje. Cabe destacar que se a mensagem de e-mail for muito grande (contiver anexos. Gabarito: item errado.

uma assinatura deve ter as seguintes propriedades: • autenticidade: o receptor (destinatário de uma mensagem) pode confirmar que a assinatura foi feita pelo emissor. de forma unívoca. Profa Patrícia Lima Quintão www. microfilme) para um suporte em formato digital visando dinamizar o acesso e a disseminação das informações. Item errado. o processo de modulação pode ser definido como a transformação de um sinal que contém uma informação útil. consequentemente. todos possuem a chave pública do remetente. • integridade: qualquer alteração da mensagem faz com que a assinatura seja invalidada.INFORMÁTICA PARA TJ-RJ (TEORIA E EXERCÍCIOS) PROFa. que são utilizadas em conjunto com as assinaturas digitais!! A implementação da assinatura digital só foi possível com o uso dos algoritmos de criptografia assimétrica. Item E. Com a assinatura digital é possível associar. em um sinal modulado. Item errado. não garante a confidencialidade (sigilo) dos dados. A assinatura digital.br 54 . Digitalização é a conversão de um suporte físico de dados (papel. e também criando espaços livres contínuos. teoricamente. e a demodulação é o inverso! Item errado. Gabarito: letra A. mediante a visualização instantânea das imagens pelas pessoas interessadas. Item D. A desfragmentação não diminui o tamanho de um arquivo. PATRÍCIA LIMA QUINTÃO A assinatura digital fornece uma prova inegável de que uma mensagem veio do emissor. de forma que todo arquivo esteja armazenado de maneira contígua (unida) e ordenada. de forma a evitar a fragmentação de dados no disco. A desfragmentação consiste em um processo de eliminação da fragmentação de dados de um sistema de arquivos.com. Essa confidencialidade é obtida por meio de técnicas de criptografia. já que a cabeça de leitura do HD não perde tempo “pulando” os fragmentos que não fazem parte do arquivo. Em um sistema de transmissão de dados. e por conseqüência. apenas aumenta a velocidade de acesso aos dados. a irretratabilidade da mensagem. em seu formato original. por si só. Item C. a um usuário. adequado ao meio de transmissão que se pretende utilizar. pois. um documento digital a uma chave privada e. Para verificar este requisito.pontodosconcursos. ou seja. Item errado. A integridade da mensagem é verificada por meio das funções de hash. Isso é possível reordenando o espaço de armazenamento. não pode dizer mais tarde que a sua assinatura foi falsificada. • não repúdio (irretratabilidade): o emissor (aquele que assinou digitalmente a mensagem) não pode negar que foi o autor da mensagem. pois eles provêm a garantia da autenticidade.

(D) criptografar um documento assinado eletronicamente.br 55 . 27/D04G1) Uma assinatura digital é um recurso de segurança cujo objetivo é (A) identificar um usuário apenas por meio de uma senha.com. Comentários Ataques a usuários de instituições financeiras estão se tornando cada vez mais comuns. II e III. apenas. III. 21) Considere os seguintes motivos que levaram diversas instituições financeiras a utilizar teclados virtuais nas páginas da Internet: I. apenas. apenas. Gabarito: letra C. A assinatura é formada tomando o hash da mensagem e criptografando-a com a chave privada do criador.INFORMÁTICA PARA TJ-RJ (TEORIA E EXERCÍCIOS) PROFa. (E) I. (FCC/2010/GOVBA/AGENTE PENITENCIÁRIO/UNI-001-Q. (D) II e III. tentar evitar que usuários contaminados Profa Patrícia Lima Quintão www. Está correto o que se afirma em (A) I. Comentários Conforme destaca Stallings (2008) uma assinatura digital é um mecanismo de AUTENTICAÇÃO que permite ao criador de uma mensagem anexar um código que atue como uma assinatura. as instituições financeiras incorporam teclados virtuais em seus sites. PATRÍCIA LIMA QUINTÃO 12. associada a um token. (C) III. II. (E) ser a versão eletrônica de uma cédula de identidade. 13. a existência de programas capazes de capturar e armazenar as teclas digitadas pelo usuário no teclado de um computador. Em outras palavras. (C) garantir a autenticidade de um documento. A assinatura garante a ORIGEM e a INTEGRIDADE da mensagem. a assinatura digital é um mecanismo de segurança cujo objetivo é o de garantir a autenticidade de um documento (mensagem). (B) identificar um usuário por meio de uma senha. (FCC/2010-04/BAHIA GÁS/ Analista de Processos Organizacionais Administração ou Ciências Econômicas/Q. facilitar a inserção dos dados das senhas apenas com o uso do mouse.pontodosconcursos. para assim. Nesse contexto. (B) II. possibilitar a ampliação dos dados do teclado para o uso de deficientes visuais. apenas.

dentre outros. que possam induzir o acesso a páginas fraudulentas na Internet. (FCC/2009/TJ-PI/Analista Judiciário/Adaptada) Instrução: Para responder à questão. Gabarito: letra B.pontodosconcursos. PATRÍCIA LIMA QUINTÃO com cavalos de troia (trojans) munidos de keylogger (gravador de ações do teclado) tenham seus dados capturados pelos invasores. com vistas a roubar senhas e outras informações pessoais valiosas registradas no computador.br 56 . Atualmente. provenientes de instituições bancárias ou empresas. A recomendação em IV é para evitar um tipo de fraude conhecido por: a) chat b) cracker c) spam d) hacker e) phishing scam Comentários Item A.com. perda de tempo ao abrir mensagens que não são de seu interesse. Item ERRADO. Item B. Chat é um serviço disponibilizado por alguns sites. em seu sentido genérico. Item ERRADO. que é um software utilizado para descobrir senhas ou decifrar mensagens cifradas. Spam é um tipo de mensagem recebida pelo usuário sem que ele tenha solicitado.INFORMÁTICA PARA TJ-RJ (TEORIA E EXERCÍCIOS) PROFa. Item Recomendação IV Evitar a abertura de mensagens eletrônicas não solicitadas. a não ser como cracker de senhas. A palavra cracker não é vista nas reportagens. Item ERRADO. considere os dados abaixo. Item C. a imprensa mundial atribui qualquer incidente de segurança a hackers. em que os usuários podem participar de salas de bate-papo em tempo real. o conteúdo do spam pode ser ofensivo e impróprio. Profa Patrícia Lima Quintão www. Os crackers são indivíduos que invadem sistemas para roubar informações e causar danos às vítimas. 14. Esses e-mails são enviados para milhares de usuários simultaneamente e podem provocar inconvenientes como: esgotamento do espaço na caixa postal do usuário. O termo crackers também é uma denominação utilizada para aqueles que decifram códigos e destroem proteções de software.

em nome de uma instituição governamental. apresenta formulários para o preenchimento e envio de dados pessoais e financeiros de usuários. junto à opinião pública influenciada pelos meios de comunicação. são aqueles que utilizam seus conhecimentos para invadir sistemas.br 57 . por sua definição geral. Item E. PATRÍCIA LIMA QUINTÃO Item D. O termo hacker ganhou. não com o intuito de causar danos às vítimas. etc. Isso quer dizer reunir as informações necessárias para se fazer passar pela vítima e obter alguma vantagem financeira. Esse item é a resposta da questão e destaca o golpe do phishing scam (também conhecido como phishing ou scam). os sites de phishing tentam se passar por sites legítimos e idôneos a fim de capturar os dados dos internautas. Eles invadem os sistemas. receberemos um aviso quando um site de phishing (um site malintencionado que tenta coletar informações pessoais dos usuários que o acessam) for carregado. Em seguida. uma conotação negativa. Ao clicar em “Ativar Verificação Automática de Site”. que nem sempre corresponde à realidade!! Os hackers. após obter os dados do cartão de crédito. Com essa opção habilitada.INFORMÁTICA PARA TJ-RJ (TEORIA E EXERCÍCIOS) PROFa. capturam ou modificam arquivos para provar sua capacidade e depois compartilham suas proezas com os colegas. tais como números de cartões de crédito. para ser intermediário em uma transferência internacional de fundos de valor vultoso. (FCC/2009/MPSED/Analista do Ministério Público/Analista de Sistemas) Um convite via e-mail. mas sim como um desafio às suas habilidades. no próprio conteúdo. projetados para furtar dados pessoais e financeiros. dados da conta bancária. por exemplo. 15. em que se oferece um ganho percentual do valor. Gabarito: letra E.com. é possível configurar para que o Filtro de phishing seja ativado. O objetivo principal de um scammer (indivíduo que implementa o golpe do phishing scam) é obter a autenticação. o scammer poderá fazer compras pela Internet. • mensagem que.pontodosconcursos. mas sim de apenas demonstrar que conhecimento é poder. muito cobrado nas provas de concursos! Trata-se de um golpe em que “iscas” (e-mails) são usadas para “pescar” informações sensíveis (senhas e dados financeiros. por exemplo) de usuários da Internet. entre outras ações. Geralmente. Pelo botão do Internet Explorer 7 aciona-se o menu Ferramentas que permite configurar o Filtro de phishing (pode-se ativá-lo ou desativá-lo por essa opção!). Não têm a intenção de prejudicar. Atualmente. Profa Patrícia Lima Quintão www. Item ERRADO. realizar pagamentos e transferências de dinheiro. porém se exige uma quantia antecipada para gastos com advogados. este termo vem sendo utilizado também para se referir aos seguintes casos: • mensagem que procura induzir o usuário à instalação de códigos maliciosos.

Item ERRADO. e chega ao computador da vítima sem seu conhecimento por algum programa que o usuário recebeu. Isso ocorre. é classificado como: a) spyware. não checam a veracidade do seu conteúdo. na máquina do usuário. Item ERRADO. c) scam. Profa Patrícia Lima Quintão www. Por meio de uma leitura minuciosa deste tipo de e-mail. Spyware é um programa que tem por finalidade monitorar as atividades de um sistema e enviar as informações coletadas para terceiros. normalmente. b) hoax.INFORMÁTICA PARA TJ-RJ (TEORIA E EXERCÍCIOS) PROFa. PATRÍCIA LIMA QUINTÃO entre outros (ex.com. não verificam a sua procedência. Item B. Comentários Item A. conhecidos como malware.br. têm como remetente ou apontam como autor da mensagem alguma instituição. e que procura induzir o acesso a páginas fraudulentas (falsificadas). mas. o seu uso é feito de maneira dissimulada. propagam-se pela boa vontade e solidariedade de quem os recebe.pontodosconcursos.br 58 . que se passa por comunicação de uma instituição conhecida. Item C. é possível identificar em seu conteúdo mensagens absurdas e muitas vezes sem sentido. geralmente. e) spam. órgão do governo (Receita Federal. projetadas para furtar dados pessoais e financeiros de usuários desavisados. INSS e Ministério do Trabalho são os mais comuns) ou site popular.: o golpe da Nigéria). Em geral. Item D. Item CERTO. Os hoaxes (boatos) são e-mails que possuem conteúdos alarmantes ou falsos e que. não autorizada e para fins maliciosos. utilizando serviços criados ou modificados para este fim. e executou. na maior parte das vezes. Scam (também conhecido como phishing ou phishing scam) foi um termo criado para descrever o tipo de fraude que se dá por meio do envio de mensagem não solicitada.br (Comitê Gestor da Internet no Brasil) destaca que os spywares podem ser utilizados de forma legítima. O termo backdoor é utilizado para fazer referência a determinados programas de computador que permitem o retorno de um invasor a um computador comprometido. geralmente por e-mail. empresa importante ou órgão governamental. como um banco. O CGI. porque aqueles que os recebem confiam no remetente da mensagem. Um backdoor é normalmente disfarçado. Muitos crackers utilizam-se de um backdoor para instalar vírus de computador ou outros programas maliciosos. de acordo com o CGI. Item ERRADO. d) backdoor. muitas vezes.

b) canal privado de comunicação assimétrica. esses protocolos podem assegurar comunicações seguras por meio de redes inseguras. (FCC/2009/Oficial de Chancelaria/Adaptada) O Diretor de certo órgão público incumbiu alguns funcionários da seguinte tarefa: Item Tarefa 72 Minimizar o risco de invasão de hackers nos computadores conectados à Internet. Gabarito: letra C. c) canal privado de comunicação síncrona.pontodosconcursos. a Internet) para transferir seus dados (os dados devem estar criptografados para passarem despercebidos e inacessíveis pela Internet). e) rede privada virtual. ou fornecedores com seus clientes (em negócios eletrônicos). por meio da estrutura física de uma rede pública. Comentários Uma VPN (Virtual Private Network – Rede Privada Virtual) é uma rede privada (não é de acesso público!) que usa a infraestrutura de uma rede pública já existente (como. VPNs seguras usam protocolos de criptografia por tunelamento. 16.br 59 . Item ERRADO. d) rede privada com autenticação digital. 17. (FCC/2009/MPSED/Analista do Ministério Público/Analista de Sistemas) Consiste em um conjunto de computadores interconectados por meio de uma rede relativamente insegura que utiliza a criptografia e protocolos especiais para fornecer segurança. Gabarito: letra E.com. por exemplo. que fornecem confidencialidade (sigilo). Quando adequadamente implementados. que geralmente são enviados para um grande número de pessoas. As VPNs são muito utilizadas para interligar filiais de uma mesma empresa. Esta é uma conceituação básica para: a) rede privada com comunicação criptográfica simétrica.INFORMÁTICA PARA TJ-RJ (TEORIA E EXERCÍCIOS) PROFa. Profa Patrícia Lima Quintão www. Spam é o termo usado para se referir aos e-mails não solicitados. O tráfego de dados é levado pela rede pública utilizando protocolos não necessariamente seguros. autenticação e integridade necessárias para garantir a privacidade das comunicações requeridas. PATRÍCIA LIMA QUINTÃO Item E.

• falhas de seu próprio hardware e sistema operacional. ou seja. d) a gravação de arquivos criptografados. passe por ele. É a resposta da questão! Outras definições de firewall encontradas na literatura: • O firewall é um conjunto de componentes colocados entre duas redes. Assim.com. Item CERTO. e VICE-VERSA. e) a utilização de certificação digital.INFORMÁTICA PARA TJ-RJ (TEORIA E EXERCÍCIOS) PROFa. de acordo com a política de segurança definida. O firewall permite a comunicação entre redes. • usuários que não passam por ele. o firewall não verifica o fluxo intrarredes. • É um dispositivo que possui um conjunto de regras especificando que tráfego ele permitirá ou negará. • ataques de Engenharia Social – uma técnica em que o atacante (se fazendo passar por outra pessoa) utiliza-se de meios. Esse conjunto garante que TODO o tráfego de DENTRO PARA FORA da rede. No contexto da questão. • É um mecanismo de proteção que controla a passagem de pacotes entre redes. Comentários Item A. Fique ligado! Existem ameaças das quais o firewall NÃO PODE proteger: • uso malicioso dos serviços que ele é autorizado a liberar. como uma ligação telefônica ou e-mail. e que é utilizado quando há uma necessidade de que redes com níveis de confiança variados se comuniquem entre si.br 60 . ele informa que sua conexão com a Internet está apresentando algum Profa Patrícia Lima Quintão www. dificultando a ação de hackers e crackers. aumenta-se a segurança. o firewall é um sistema de proteção de uma rede que controla todos os dados que entram ou saem dela e da Internet. Nessa ligação. Exemplo: algum desconhecido liga para a sua casa e diz ser do suporte técnico do seu provedor de acesso. tanto locais como externas. b) a execução de um antivírus. permitindo que alguns pacotes passem e outros não. c) o estabelecimento de programas de orientação de segurança. para persuadir o usuário a fornecer informações ou realizar determinadas ações.pontodosconcursos. PATRÍCIA LIMA QUINTÃO Minimizar o risco de invasão é mais garantido com: a) a instalação de um firewall. Apenas os sites autorizados podem enviar ou receber dados dessa rede.

etc. a) bot. Item D. Item ERRADO. A melhor maneira de se proteger uma rede ou um computador de vírus é utilizar um bom programa antivírus e mantê-lo sempre atualizado. reescrever uma mensagem original de uma forma que seja incompreensível. Seu objetivo principal é atribuir um nível de maior segurança nas transações eletrônicas tais como Internet Banking. e) ransomware. comércio eletrônico (e-commerce). E isso não é suficiente para impedir a invasão de redes. cabe destacar que a principal finalidade da criptografia é.com. c) DDoS. criptografa todo ou parte do conteúdo do disco rígido. esse “suposto técnico” poderá realizar uma infinidade de atividades maliciosas com a sua conta de acesso à Internet. Profa Patrícia Lima Quintão www. Portanto. Os responsáveis por esse software exigem da vítima um pagamento pelo “resgate” dos dados. dentre outros. Item ERRADO. ao infectar um computador. dessa maneira. então. A criptografia é a ciência e arte de escrever mensagens em forma cifrada ou em código.br 61 . Os programas de orientação de segurança servem para realizar a conscientização dos usuários quanto às boas práticas de segurança. Item ERRADO.) para que tenhamos um ambiente mais seguro contra invasões. solicita sua senha para corrigi-lo.pontodosconcursos. 18. Item B. Item C. tais atividades ao seu nome. Gabarito: letra A. Mas precisamos completar tal prática com os recursos tecnológicos (uso de firewalls. pois a cada dia surgem novas ameaças. Item ERRADO. A certificação digital não contribui para minimizar o risco de invasão. relacionando. b) DoS.INFORMÁTICA PARA TJ-RJ (TEORIA E EXERCÍCIOS) PROFa. Item E. para que ela não seja lida por pessoas não autorizadas. PATRÍCIA LIMA QUINTÃO problema e. pelo qual o aplicativo acessa o site da empresa que o fabricou e faz o download dos arquivos que protegem o computador das ameaças mais recentes. sem dúvida. A atualização é um processo realizado pelo antivírus. (Elaboração própria) Trata-se de um software malicioso que. Caso a senha seja fornecida por você. d) pharming.

causando prejuízos. cabe destacar um termo que já foi cobrado várias vezes em prova!! Trata-se do significado do termo botnet.162.pontodosconcursos. desferir ataques de negação de serviço. um servidor de nomes (servidor DNS) é comprometido. Item D. Os bots esperam por comandos de um hacker. causando grande lentidão ou até mesmo indisponibilizando qualquer comunicação com este computador ou rede.teste. Um invasor que tenha controle sobre uma botnet pode utilizá-la para aumentar a potência de seus ataques. procuram ocupar toda a banda disponível para o acesso a um computador ou rede. os atacantes disseminam vírus. Item C. sendo composta geralmente por milhares desses elementos maliciosos que ficam residentes nas máquinas. Item ERRADO. Pharming (DNS Cache Poisoning – Envenenamento de Cache DNS): é um ataque que consiste basicamente em modificar a relação entre o nome de um site ou computador e seu endereço IP correspondente. para enviar centenas de milhares de e-mails de phishing ou spam. podendo manipular os sistemas infectados. O atacante utiliza um computador. Item ERRADO. enviando o usuário para a página relacionada ao IP incorreto. Um ataque pharming também pode alterar o arquivo hosts – localizado no computador do usuário –. gerando grandes volumes de tráfego de forma artificial. de tal forma que as requisições de acesso a um site feitas pelos usuários desse servidor sejam redirecionadas a outro endereço. Bot: robô. sem o conhecimento do usuário. ou muitos pedidos aos servidores. Item ERRADO. É um worm que dispõe de mecanismos de comunicação com o invasor.com. PATRÍCIA LIMA QUINTÃO Comentários Item A. Nesse ponto. DoS (Denial of Service – Negação de Serviço): é a forma mais conhecida de ataque.br 62 .INFORMÁTICA PARA TJ-RJ (TEORIA E EXERCÍCIOS) PROFa. ou seja.br poderia ser mudado de 65.103.150. que consiste na perturbação de um serviço. etc. Item ERRADO. permitindo que seja controlado remotamente. Para provocar um DoS. que utiliza até milhares de computadores para tirar de operação um ou mais serviços ou computadores conectados à Internet. Neste ataque. Normalmente. por exemplo. Ex. manipulando os endereços IPs correspondentes às suas devidas URLs.: Ao atacar um servidor DNS. a partir do qual ele envia vários pacotes ou requisições de serviço de uma vez. Uma rede infectada por bots é denominada de botnet (também conhecida como rede zumbi). junção da contração das palavras robot (bot) e network (net). DDoS (Distributed Denial of Service – Negação de Serviço Distribuído): é um ataque DoS ampliado. Profa Patrícia Lima Quintão www. Item B. que causam sobrecarga e estes últimos ficam impedidos de processar os pedidos normais.194.57 para 209.com. aguardando o comando de um invasor.86. para tirar de operação um serviço ou computador (es) conectado(s) à Internet. o IP do site www.

• a partir daí. execute funções que se enquadrem na definição. explorando vulnerabilidades existentes ou falhas na configuração de softwares instalados em um computador. O ransomware funciona da seguinte forma: extorsão • ele procura por diversos tipos de arquivos no HD (disco rígido) do computador atacado e os comprime em um arquivo protegido por senha. a vítima é pressionada a depositar quantias em contas do tipo e-gold (contas virtuais que utilizam uma unidade monetária específica e que podem ser abertas por qualquer um na rede sem grandes complicações). que já foi cobrado várias vezes em provas? O termo é proveniente de malicious software. prejudicar as ações da empresa e sua sustentação no negócio.pontodosconcursos. Dispõe de mecanismos de comunicação com o invasor. Eis a resposta da questão! Gabarito: letra E. a questão destaca um tipo de ameaça que se enquadra na categoria dos malwares. PATRÍCIA LIMA QUINTÃO Item E. software designado a se infiltrar em um sistema de computador alheio de forma ilícita com o intuito de causar algum dano ou roubo de informações. Tais são as características do: a) adware b) patch c) opt-out d) bot e) log Comentários Ameaça é algo que pode provocar danos à segurança da informação. Item CERTO. • uma vez pagos. Resumindo.br 63 . Nesse contexto. malwares são programas que executam deliberadamente ações mal-intencionadas em um computador! Profa Patrícia Lima Quintão www. permitindo ser controlado remotamente. os criminosos fornecem a senha necessária para que os dados voltem a ser acessados pela vítima. mediante a exploração de uma determinada vulnerabilidade (brecha de segurança!). 19. por uma falha de programação (intencional ou não). Também pode ser considerado malware uma aplicação legal que. (FCC/2009/MPSED/Analista do Ministério Público/Analista de Sistemas) É um programa capaz de se propagar automaticamente.com. Mas o que significa malware. Ransomwares são ferramentas para crimes de extremamente ilegais.INFORMÁTICA PARA TJ-RJ (TEORIA E EXERCÍCIOS) PROFa.

O termo opt-out está relacionado às regras referentes ao envio. possuindo mecanismos para controle remoto da máquina infectada. Dessa forma. Item B. PATRÍCIA LIMA QUINTÃO Vamos aos comentários de cada item da questão! Item A.INFORMÁTICA PARA TJ-RJ (TEORIA E EXERCÍCIOS) PROFa. Quanto aos objetivos do certificado digital. Item E. Item CERTO. Gabarito: letra D. páginas pornográficas. O termo adware (advertising software) é um software projetado para exibir anúncios de propaganda em seu computador. que pode vir a ser instalada em seu computador. Item ERRADO. 20. Item ERRADO. etc. Item C. por correio electrônico. atribuindo validade jurídica a ele. de mensagens informativas associadas a campanhas de marketing.br 64 . Nem sempre são maliciosos! Um adware malicioso pode abrir uma janela do navegador apontando para páginas de cassinos. um arquivo de log permite que sejam reveladas as ações que foram executadas pelo usuário. • assinar digitalmente um documento eletrônico. Comentários A afirmativa está ERRADA.pontodosconcursos. (FCC/2008/TCE-SP/Adaptada) Em relação a Certificado Digital. O termo patch é utilizado para designar uma atualização de segurança. Gabarito: item errado. Profa Patrícia Lima Quintão www.com. viabilizando a identificação e correção rápidas de falhas que porventura foram identificadas! Item ERRADO. podemos destacar: • vincular uma chave pública a um titular (esse é o objetivo principal!). sem que os destinatários particulares as tenham solicitado. Item D. O termo log é usado para definir um procedimento através do qual é feito um registro de eventos relevantes que foram executados por um usuário de determinado sistema computacional. vendas de remédios. para o ambiente eletrônico. é correto afirmar que: [os certificados servem para garantir a segurança dos dados enviados via upload]. • transferir credibilidade. Os bots são códigos maliciosos destinados a explorar falhas em sistemas. que hoje é baseada em papel e conhecimento. Item ERRADO.

PATRÍCIA LIMA QUINTÃO 21. d) uma técnica usada para examinar se a comunicação está entrando ou saindo e. (FCC/2008/TCE-SP) Secure Sockets Layer trata-se de a) qualquer tecnologia utilizada para proteger os interesses de proprietários de conteúdo e serviços. É necessário. O certificado digital é usado para assinar! Gabarito: letra D. ao realizar uma ação em um computador. b) um elemento de segurança que controla todas as comunicações que passam de uma rede para outra e.br 65 . O plug-in é um software que adiciona recursos computacionais a um cliente ou browser da WWW. d) uma assinatura digital. a comprovação da autoria de um determinado conjunto de dados é: a) uma autoridade certificadora. permite ou denega a continuidade da transmissão.pontodosconcursos. 23. que o usuário instale um plug-in para poder visualizar videoclipes em MPG (ou MPEG). (FCC/2008/TCE-SP/Adaptada) Em relação a Certificado Digital. e) um certificado digital. por exemplo. Profa Patrícia Lima Quintão www. c) uma chave simétrica. em função do que sejam. A maioria dos plug-ins está disponível gratuitamente na própria Internet. (FCC/2008/ICMS-SP) Um código anexado ou logicamente associado a uma mensagem eletrônica que permite. é correto afirmar que: são plugins que definem a qualidade criptográfica das informações que trafegam na WWW. Comentários O que garante a comprovação da autoria de um determinado conjunto de dados é a assinatura digital. 22.com. b) uma trilha de auditoria. Comentários A afirmativa está errada. c) uma técnica usada para garantir que alguém. Gabarito: item errado. permiti-la ou não.INFORMÁTICA PARA TJ-RJ (TEORIA E EXERCÍCIOS) PROFa. dependendo da sua direção. não possa falsamente negar que realizou aquela ação. de forma única e exclusiva. e) um protocolo que fornece comunicação segura de dados através de criptografia do dado.

deverá usar a mesma tecnologia da rede mundial de computadores. Para tanto.INFORMÁTICA PARA TJ-RJ (TEORIA E EXERCÍCIOS) PROFa.O ambiente de rede de computadores.com. em vez da porta 80 utilizada pelo protocolo HTTP. O HTTPS nada mais é do que a junção dos protocolos HTTP e SSL (HTTP over SSL). Profa Patrícia Lima Quintão www. Cabe destacar que o HTTPS (HTTP Seguro) é usado para realizar o acesso a sites (como de bancos on-line e de compras) com transferência criptografada de dados. PATRÍCIA LIMA QUINTÃO Comentários O SSL (Secure Sockets Layer – Camada de conexões seguras) é um protocolo de criptografia que pode ser utilizado para prover segurança na comunicação de qualquer aplicação baseada em TCP. §3º . §4º .br 66 . considere as informações abaixo: OBJETIVO: O Ministério Público do Governo Federal de um país deseja modernizar seu ambiente tecnológico de informática. O HTTPS geralmente utiliza a porta TCP 443. §2º . Instruções: Para responder à questão seguinte. as informações deverão ser copiadas em mídias digitais e guardadas em locais seguros. adquirirá equipamentos de computação eletrônica avançados e redefinirá seus sistemas de computação a fim de agilizar seus processos internos e também melhorar seu relacionamento com a sociedade. a letra E! Gabarito: letra E. A resposta à questão é.O acesso a determinadas informações somente poderá ser feito por pessoas autorizadas.pontodosconcursos. para troca de informações exclusivamente internas do Ministério. como já visto.Para garantir a recuperação em caso de sinistro. REQUISITOS PARA ATENDER AO OBJETIVO: §1º .Os funcionários poderão se comunicar através de um serviço de conversação eletrônica em modo instantâneo (tempo real).A comunicação eletrônica também poderá ser feita via internet no modo não instantâneo §5º . comunicação secreta e integridade dos dados. O SSL está posicionado entre a camada de transporte e a camada de aplicação da pilha TCP/IP e funciona provendo serviços de autenticação do servidor.

conforme visto.INFORMÁTICA PARA TJ-RJ (TEORIA E EXERCÍCIOS) PROFa. (FCC/2007/MPU/Técnico-Área Administrativa/Q. não estão relacionados aos itens dos §2º e §5º. bloqueia as transmissões não permitidas. então. controlando o tráfego de informações que existem entre elas. Item FALSO. Os itens senha e backup enquadram-se perfeitamente na definição dos parágrafos 2º e 5º. Software antivírus é um aplicativo utilizado para detectar. Item FALSO. Profa Patrícia Lima Quintão www. PATRÍCIA LIMA QUINTÃO 24. (C) antivírus e firewall. de acordo com a política de segurança do site acessado. Antivírus e firewall. Item C. Item FALSO. Ele realiza a filtragem dos pacotes e. Digitalização é o processo de conversão de um dado analógico para um formato de representação digital. O firewall pode atuar entre a rede externa e interna.pontodosconcursos. procurando se certificar de que este tráfego é confiável. (B) firewall e digitalização. anular e eliminar vírus e outros tipos de códigos maliciosos de um computador. Item B. Item D. O §2º destaca que o acesso a determinadas informações somente poderá ser feito por pessoas autorizadas. (E) senha e antivírus. Tem como objetivo evitar que ameaças provenientes da Internet se espalhem na rede interna de um determinado ambiente. O firewall é um dos principais dispositivos de segurança em uma rede de computadores.22) Os §2º e §5º especificam correta e respectivamente requisitos de uso de (A) antivírus e backup.com. Também pode ser utilizado para atuar entre redes com necessidades de segurança distintas. Comentários Vamos aos comentários dos itens: Item A.br 67 . (D) senha e backup.

Item CERTO. Item III. II – Equivalente ao RG ou CPF de uma pessoa. O certificado digital não é o mesmo que assinatura digital! Com o uso de um certificado digital pode-se assinar uma mensagem. Item E. A Profa Patrícia Lima Quintão www. na verdade. contas de usuário. é uma estrutura de dados que contém a chave pública do seu titular e outras informações de interesse. PATRÍCIA LIMA QUINTÃO Nesse caso. c) I e II apenas. d) I e III apenas.br 68 . O certificado digital contém informações relevantes para a identificação “real” da entidade que visam certificar (CPF. Conforme visto no item A. Esse parágrafo está relacionado ao processo de backup que consiste na realização de cópia de segurança de dados. Comentários Item I. b) III apenas. com o objetivo de permitir que dados originais sejam restaurados em caso da perda de sinistros. as informações deverão ser copiadas em mídias digitais e guardadas em locais seguros. III – O mesmo que uma assinatura digital. II e III. servidores (computadores). e) I. por exemplo. CNPJ. A assinatura digital é um processo matemático para atestar a autenticidade de informações digitais. nome. para realizar o acesso a pessoas autorizadas em aplicações é necessário implementar controle de acesso lógico através de usuário e senha. Está correto o que consta em: a) I apenas. URLs. etc. Item CERTO.INFORMÁTICA PARA TJ-RJ (TEORIA E EXERCÍCIOS) PROFa. Item FALSO. entre outras entidades. Um certificado digital é um documento eletrônico que identifica pessoas (físicas ou jurídicas).pontodosconcursos. Esse “documento”. o antivírus não corresponde ao que deveria ser especificado no §5º. Item II. (FCC/2007/Câmara dos Deputados) Um certificado digital é: I – Um arquivo eletrônico que contém a identificação de uma pessoa ou instituição. Gabarito: letra D.com. endereço. 25. como uma mensagem de e-mail ou um arquivo. O §5º destaca que para garantir a recuperação em caso de sinistro.) e informações relevantes para a aplicação a que se destinam.

o destinatário usa a chave pública do remetente para conferir a assinatura). chat e spam. Gabarito: letra C. O chat (bate-papo) é um dos principais serviços (operações que podemos realizar) na Internet. Comentários Malwares são programas que manifestam comportamento ilegal. no outro lado. E. por trás abre portas de comunicação do seu computador para que ele possa ser invadido.pontodosconcursos. etc. para permitir que um atacante tenha total controle sobre o computador. (B) Spyware. (D) Cavalo de Troia. O cavalo de troia é um programa aparentemente inofensivo que. Dentre os tipos de malware podemos destacar os vírus. worms (vermes).INFORMÁTICA PARA TJ-RJ (TEORIA E EXERCÍCIOS) PROFa. quando executado (com a sua autorização!). alteração ou destruição de arquivos. mas as usa de forma “invertida” (o remetente usa sua chave privada para assinar a mensagem e. mas. cavalos de troia. (C) Shareware. o spam é um tipo de mensagem recebida pelo usuário sem que ele tenha solicitado. Item ERRADO. parece lhe divertir. etc. Gabarito: letra D. (FCC/2006/TRT-SP/ANALISTA JUDICIÁRIO-Adaptada) São termos respectiva e intrinsecamente associados à tipologia conhecida de malware. Profa Patrícia Lima Quintão www. PATRÍCIA LIMA QUINTÃO assinatura digital utiliza-se de chaves públicas e privadas. que é enviada em massa por meio do correio eletrônico. inclusão de backdoors. FTP e hoax. chat e host. Algumas das funções maliciosas que podem ser executadas por um cavalo de troia são: furto de senhas e outras informações sensíveis.com. Cavalo de Troia e hoax. serviço de Internet e mensagens enviadas em massa por meio de correio eletrônico: (A) Telnet. Como estão certos apenas os itens I e II. por fim. (E) Middleware. assim como a criptografia assimétrica. FTP e spam.br 69 . 26. também. fraudulento ou mal-intencionado. viral. como números de cartões de crédito. a resposta está na alternativa C.

A pública é a chave que o remetente utiliza para cifrar a mensagem. Criptografia. A privada é a chave que o destinatário usa para decifrar (decriptografar) a mensagem. Profa Patrícia Lima Quintão www.pontodosconcursos. podemos facilmente separar as coisas.br 70 .ª Região/Analista de Informática) Os algoritmos de criptografia assimétricos utilizam: a) uma mesma chave privada. d) duas chaves. (E) o controle de acesso. E mais: fala que os computadores estão ligados à internet. Pois bem. É bom lembrar que as duas chaves são do destinatário da mensagem! A chave pública deve ser disponibilizada para quem quiser criptografar as mensagens destinadas a ele. sendo uma privada para cifrar e outra pública para decifrar. mas que não estão necessariamente relacionados a redes de computadores e internet. (FCC/2003/TRF 5ª REGIÃO/TÉCNICO DE INFORMÁTICA) Um mecanismo muito usado para aumentar a segurança de redes de computadores ligadas à Internet é (A) o firewall. e) duas chaves. (D) a assinatura digital. autenticação e assinatura digital são conceitos relacionados à segurança. tanto para cifrar quanto para decifrar. sendo uma para cifrar e outra para decifrar. Comentários Algoritmos de criptografia assimétricos (criptografia de chave pública) utilizam chaves criptográficas diferentes.INFORMÁTICA PARA TJ-RJ (TEORIA E EXERCÍCIOS) PROFa. Gabarito: letra E. 28. o enunciado fala em segurança de redes de computadores. (B) a criptografia. b) duas chaves privadas diferentes. uma pública e outra privada. Em primeiro lugar. sendo uma pública para cifrar e outra privada para decifrar. (FCC/2003/TRF-5. PATRÍCIA LIMA QUINTÃO 27. Quer dizer. são tecnologias que também têm uso em dispositivos não conectados em rede.com. sendo uma para cifrar e outra para decifrar. todas as alternativas trazem conceitos relacionados à segurança. afinal. Entretanto. c) duas chaves públicas diferentes. Comentários Essa pode ser uma questão de resolução complexa para quem não se preparou. (C) a autenticação.

PATRÍCIA LIMA QUINTÃO De forma semelhante. protegendo o perímetro e repelindo hackers.. Ele age como um único ponto de entrada.. por exemplo. os examinadores nem sempre fazem essa diferenciação.pontodosconcursos.br 71 .. (E) browser. como exposto no enunciado. Gabarito: letra A.. Basta nos lembrarmos de que antivírus não tem relação necessária com redes de computadores. o controle de acesso também é uma medida de segurança que não tem relação direta com redes de computadores ou internet. que um Firewall deve ser o único ponto de entrada do computador. Cabe notar que muitos dos softwares antivírus atuais trazem Firewalls integrados. Contudo.com. Profa Patrícia Lima Quintão www. autorizado e autenticado. Gabarito: letra A. (B) antivírus. O controle de acesso. as duas aplicações não se confundem. Comentários Uma barreira entre a rede corporativa (ou doméstica.INFORMÁTICA PARA TJ-RJ (TEORIA E EXERCÍCIOS) PROFa. protegem nossos computadores de vírus que estejam escondidos em disquetes ou CDs. através do qual todo o tráfego que chega pela rede pode ser auditado. coisa que o Firewall não faz. para acessar o sistema operacional de nosso PC doméstico. Como vimos no início da aula. visto que se trata de uma ferramenta especificamente desenvolvida para agregar segurança a redes de computadores. especialmente os ligados à internet. A única alternativa que poderia confundir os mais desavisados é a que traz antivírus. Antivírus. (FCC/2004/TRT 8ª. Importante notar.. REGIÃO/TÉCNICO ADMINISTRATIVO) Um . como. (D) servidor de aplicativos. é uma medida que deve ser tomada em qualquer instância. 29. pois cada qual desempenha suas tarefas específicas. tanta faz) e o lado externo é um Firewall. Percebam que a FCC utilizou o termo hacker como sinônimo de cracker. por exemplo. (C) servidor Web. Completa corretamente a lacuna acima: (A) firewall. condição sem a qual ele não poderia ser eficaz. seja físico ou lógico. que é o hacker que usa seus conhecimentos para atos ilícitos. A resposta correta é firewall. efetivamente coloca uma barreira entre a rede corporativa e o lado externo..

Assim. Item E... Região/Técnico Administrativo) Uma Intranet utiliza a mesma tecnologia . Item ERRADO. 31. Item ERRADO... portanto.I... Antivírus são recomendados até mesmo para um micro isolado! Se fosse assim. excludentes. apesar de muitas vezes virem integrados em uma só ferramenta.. Como antivírus podem ser utilizadas independente do uso de um firewall. Item C. nos servidores e nas estações de trabalho.. principalmente por meio dos disquetes. Na Intranet. ou seja.. (E) devem ser instaladas somente nos servidores de rede e não nas estações de trabalho. (FCC/2004/TRT 8ª. Item B. . (D) e um firewall significam a mesma coisa e têm as mesmas funções. e viabiliza a comunicação interna e restrita entre os computadores de uma empresa ou órgão que estejam ligados na rede.. (FCC/2004/TRT 8ª. Item ERRADO. (C) podem ser utilizadas independente do uso de um firewall.. sabemos que os vírus já se espalhavam. Vejamos as alternativas: Item A. essa é a alternativa CORRETA. PATRÍCIA LIMA QUINTÃO 30. Item ERRADO.. Item D.. Antivírus não dependem de firewall para funcionarem.com. portanto. muito antes da Internet se tornar popular..pontodosconcursos..III.. (B) dependem de um firewall para funcionarem. Entretanto. . e o acesso às páginas . Profa Patrícia Lima Quintão www. ferramentas antivírus REGIÃO/TÉCNICO ADMINISTRATIVO) As (A) são recomendadas apenas para redes com mais de 100 estações. os antivírus não precisavam existir antes da explosão da Internet. Antivírus e Firewall não são a mesma coisa.II. Os mais atentos já notaram que as alternativas B e C são opostas e.. ou uma delas seria a resposta da questão ou a questão estaria viciada e passível de recurso.br 72 . Gabarito: letra C..INFORMÁTICA PARA TJ-RJ (TEORIA E EXERCÍCIOS) PROFa. Antivírus devem estar instalados em todos os computadores. Comentários Cabe destacar que softwares antivírus e firewalls não se confudem..

Nunca vi uma definição tão ruim de um navegador web. Ficamos então com as alternativas A e D.pontodosconcursos. (FCC/2005/TRT 13ª região/Analista de Sistemas) Uma combinação de hardware e software que fornece um sistema de segurança. De qualquer forma. Numa intranet. Gabarito: letra A. 32. Esta é a função de Profa Patrícia Lima Quintão www. na falta de uma alternativa melhor. Vimos que o que caracteriza uma intranet é a utilização das tecnologias usadas pela internet. basta um inocente disquete contaminado. PATRÍCIA LIMA QUINTÃO Preenche corretamente as lacunas I. geralmente para impedir acesso externo não autorizado a uma rede interna ou intranet. internet e segurança. afinal.INFORMÁTICA PARA TJ-RJ (TEORIA E EXERCÍCIOS) PROFa. ficamos com a A mesmo.br 73 . para ser infectado por um vírus. intrusões e vírus são possíveis. Minha ressalva para essa questão fica para o trecho que define um browser como um interpretador de comandos.com. Impede a comunicação direta entre a rede e os computadores externos ao rotear as comunicações através de um servidor proxy fora da rede. II e III acima: Comentários Essa questão necessita de noções de rede. porém em um ambiente restrito.

Gabarito: letra D.com. Profa Patrícia Lima Quintão www. não têm funções de segurança. REGIÃO/TÉCNICO DE INFORMÁTICA) Pessoa que quebra intencional e ilegalmente a segurança de sistemas de computador ou o esquema de registro de software comercial denomina-se (A) hacking. 33. (B) hub.INFORMÁTICA PARA TJ-RJ (TEORIA E EXERCÍCIOS) PROFa. que já estamos craques em diferenciar. (D) cracker. Sistema criptográfico não tem relação direta com redes. Comentários Infelizmente a distinção entre hacker e cracker nem sempre é estabelecida nas questões de concurso. (D) bridge. PATRÍCIA LIMA QUINTÃO (A) sistema criptográfico. explorou justamente essa diferença. provavelmente por ser direcionada a cargo da área de informática. (E) firewall. (FCC/2003/TRF 5ª.br 74 . Essa questão. No caso. (C) cracking. intranet e internet.pontodosconcursos. (C) antivirus. a definição de um firewall. Comentários Mais uma questão da FCC trazendo. Restam-nos os velhos conhecidos antivírus e Firewall. (E) finger. (B) hacker. Hub e bridge são equipamentos de hardware utilizados em redes de computadores. refere-se a um cracker. bem ou mal. pessoa que quebra intencional e ilegalmente a segurança de sistemas de computador. Gabarito: letra E.

00. 2ª.br. J. IMONIANA. D. PATRÍCIA LIMA.infowester. 2011. Brasport. Ed. QUINTÃO. Profa Patrícia Lima Quintão www. Profa Patrícia Lima Quintão Bibliografia QUINTÃO.com. W. A. R.br/ >. feito com todo o carinho. Notas de aula. Disponível em: <http://cartilha.Novo! CERTBR.. LINS. G. INFOGUERRA. e até a nossa próxima aula aqui no Ponto!! Um grande abraço.OI484399EI559. Disponível em: http://informatica. ajude-o a entender melhor o funcionamento das ameaças virtuais e principais medidas de segurança que devem ser adotadas para se proteger dessas ameaças. BELLOVIN. Gen/Método. Ed.. PATRÍCIA LIMA QUINTÃO Considerações Finais Por hoje ficamos por aqui. CHESWICK.2006. o. Espero que esse material.terra. Informática-FCC-Questões Comentadas e Organizadas por Assunto. Infowester.pontodosconcursos. Acesso em: jan.br 75 ..com. R.html. Segurança com Redes Privadas Virtuais (VPNs). Acesso em: dez. 2012. Rio de Janeiro. 2012. e RUBIN. Edição. GUIMARÃES. Ed. 2005.com. Firewalls e Segurança na Internet: repelindo o hacker ardiloso. M. 2ª Ed. Auditoria de Sistemas de Informações. e o ajude a acertar as questões de segurança da sua prova! Fiquem com Deus. R. Disponível em: http://www.INFORMÁTICA PARA TJ-RJ (TEORIA E EXERCÍCIOS) PROFa. PATRÍCIA LIMA. Bookman.cert. Vírus de celular chega por mensagem multimídia. 2006.br/interna/0. 2005. e OLIVEIRA.. 2011. D. A. S.

(E) keyloggers e screenloggers. (FCC/2011/TRE-TO/Analista Judiciário – Judiciária) Uma das formas de proteger o sigilo da informação que trafega na Internet é: a) não fazer os downloads em notebooks.INFORMÁTICA PARA TJ-RJ (TEORIA E EXERCÍCIOS) PROFa. d) executá-lo diretamente. b) não responder e-mails que chegam "com cópia oculta". sem baixá-lo no seu desktop. (C) screenloggers e adwares. forma. PATRÍCIA LIMA QUINTÃO Lista de Questões Apresentadas na Aula 1. somente. d) não usar a opção "com cópia para" do correio eletrônico. Profa Patrícia Lima Quintão www.com.ª Região/Técnico Judiciário – Segurança e Transporte) Considerando o recebimento de um arquivo executável de fonte desconhecida. 2. c) mandar e-mails somente a pessoas da lista pessoal. cujas teclas mudam de lugar a cada caractere fornecido. (FCC/2012/TRT-11ª. disco rígido externo ou cópia externa. no correio eletrônico.pontodosconcursos.br 76 . (D) phishing e pharming.Região/Provas de Analista Judiciário e Técnico Judiciário) Quando o cliente de um banco acessa sua conta corrente através da internet. (B) keyloggers e adwares. CD-ROM. c) repassá-lo para sua lista de endereços solicitando aos mais experientes que o executem. a atitude mais adequada diante deste fato é a) não executá-lo. (FCC/2010/DNOCS/ADMINISTRADOR/ Prestam-se a cópias de segurança (backup) comunicar PROVA o fato A01-001-Q. e) executá-lo de qualquer administrador de sua rede. porém 4. (FCC/2011/TRF . ao 58) (A) quaisquer um destes: DVD. é comum que tenha que digitar a senha em um teclado virtual. Esse procedimento de segurança visa evitar ataques de (A) spywares e adwares. e) a criptografia 3.1. quando os dados são enviados para um provedor de serviços via internet. b) baixá-lo no seu desktop e executá-lo localmente.

em mídias removíveis mantidas em local distinto daquele dos computadores. diariamente. considere os dados abaixo. quando os dados são enviados para um provedor de serviços via internet. PATRÍCIA LIMA QUINTÃO (B) apenas estes: CD-ROM.INFORMÁTICA PARA TJ-RJ (TEORIA E EXERCÍCIOS) PROFa. b) em arquivos distintos nos respectivos hard disks. CD-ROM e disco rígido externo. c) NTSF. disco rígido e cópia externa. nos Tal garantia é possível se forem feitas cópias dos dados: a) após cada atualização.com. e) da política de segurança física. (FCC/2009/Oficial de Chancelaria/Adaptada) O Diretor de um certo órgão público incumbiu alguns funcionários da seguinte tarefa: Item Tarefa 5 Garantir que a maior parte dos dados gravados computadores não seja perdida em caso de sinistro. (FCC/2009/TJ-PI/Analista Judiciário/Adaptada) responder à questão. No item VII é recomendado o uso de mídias conhecidas por: a) FAT32. (E) apenas estes: DVD e CD-ROM. (D) apenas estes: CD-ROM e disco rígido externo. b) FAT. Instrução: Para Item Tarefa VII Proceder. à cópia de segurança dos dados em fitas digitais regraváveis (algumas comportam até 72 GB de capacidade) em mídias alternadas para manter a segurança e economizar material. em mídias removíveis mantidas nos próprios computadores. d) após cada atualização. 6. 5. desde que estes dispositivos permaneçam ligados ininterruptamente. (C) apenas estes: DVD. desde que estes dispositivos sejam desligados após o expediente.br 77 . c) em arquivos distintos nos respectivos hard disks.pontodosconcursos. Profa Patrícia Lima Quintão www.

com. (FCC/2010/DNOCS/AGENTE ADMINISTRATIVO/Q. (FCC/2010/DNOCS/AGENTE ADMINISTRATIVO/Q. Item Tarefa V Ao enviar informações sigilosas via mensagem eletrônica deve-se utilizar de um sistema que faça a codificação (chave. b) assinatura digital. respectivamente. 8. 11. 9. a possibilidade de controlar e reverter alterações perigosas no computador pode ser feita por meio da restauração do sistema. 10.INFORMÁTICA PARA TJ-RJ (TEORIA E EXERCÍCIOS) PROFa.br 78 . considere os dados abaixo.05) No Windows.pontodosconcursos. (FCC/2004/TRT 8ª. 55-E. O cuidado solicitado em V aplica o conceito de: a) criptografia. 55-E. cifra). é necessário que se adote.05) No Windows. (FCC/2010/DNOCS/AGENTE ADMINISTRATIVO/Q. (B) checkup dos arquivos do sistema operacional e inicialização da rede executiva. (FCC/2009/TJ-PI/Analista Judiciário/Adaptada) Instrução: Para responder à questão.05) No Windows. (C) criptografia de dados e inicialização da rede privativa. de modo que somente as máquinas que conhecem o código consigam decifrá-lo. e) DVD+RW. a possibilidade de controlar e reverter alterações perigosas no computador pode ser feita por meio das atualizações automáticas. (D) backup de arquivos e uso de senha privativa. (E) uso de senha privativa e backup dos arquivos do sistema operacional. REGIÃO/TÉCNICO ADMINISTRATIVO) Para evitar a perda irrecuperável das informações gravadas em um computador e protegê-las contra acesso não autorizado. 55-E. Profa Patrícia Lima Quintão www. a possibilidade de controlar e reverter alterações perigosas no computador pode ser feita por meio do gerenciador de dispositivos. as medidas inerentes às operações de (A) backup dos arquivos do sistema operacional e configuração de criptografia. PATRÍCIA LIMA QUINTÃO d) DAT. 7.

pontodosconcursos. Profa Patrícia Lima Quintão www. (E) I. (FCC/2009/TJ-PI/Analista Judiciário/Adaptada) Instrução: Para responder à questão. Está correto o que se afirma em (A) I. com vistas a roubar senhas e outras informações pessoais valiosas registradas no computador. III. considere os dados abaixo. 12. II. apenas. II e III. possibilitar a ampliação dos dados do teclado para o uso de deficientes visuais. 13. PATRÍCIA LIMA QUINTÃO c) digitalização.br 79 . provenientes de instituições bancárias ou empresas.INFORMÁTICA PARA TJ-RJ (TEORIA E EXERCÍCIOS) PROFa. apenas. 27/D04G1) Uma assinatura digital é um recurso de segurança cujo objetivo é (A) identificar um usuário apenas por meio de uma senha. 21) Considere os seguintes motivos que levaram diversas instituições financeiras a utilizar teclados virtuais nas páginas da Internet: I. Item Recomendação IV Evitar a abertura de mensagens eletrônicas não solicitadas. (FCC/2010/GOVBA/AGENTE PENITENCIÁRIO/UNI-001-Q. (E) ser a versão eletrônica de uma cédula de identidade. (D) criptografar um documento assinado eletronicamente. (B) II. (C) garantir a autenticidade de um documento. apenas. (D) II e III. facilitar a inserção dos dados das senhas apenas com o uso do mouse. e) modulação/demodulação. apenas. que possam induzir o acesso a páginas fraudulentas na Internet.com. (B) identificar um usuário por meio de uma senha. (FCC/2010-04/BAHIA GÁS/ Analista de Processos Organizacionais Administração ou Ciências Econômicas/Q. associada a um token. 14. d) desfragmentação. a existência de programas capazes de capturar e armazenar as teclas digitadas pelo usuário no teclado de um computador. (C) III.

c) scam. e) rede privada virtual. em que se oferece um ganho percentual do valor. c) canal privado de comunicação síncrona.com. b) hoax. entre outros (ex. Profa Patrícia Lima Quintão www. para ser intermediário em uma transferência internacional de fundos de valor vultoso. de acordo com o CGI. e) spam. 17. d) backdoor. 16.br 80 . (FCC/2009/MPSED/Analista do Ministério Público/Analista de Sistemas) Consiste em um conjunto de computadores interconectados por meio de uma rede relativamente insegura que utiliza a criptografia e protocolos especiais para fornecer segurança.br.INFORMÁTICA PARA TJ-RJ (TEORIA E EXERCÍCIOS) PROFa. Esta é uma conceituação básica para: a) rede privada com comunicação criptográfica simétrica. é classificado como: a) spyware. PATRÍCIA LIMA QUINTÃO A recomendação em IV é para evitar um tipo de fraude conhecido por: a) chat b) cracker c) spam d) hacker e) phishing scam 15. b) canal privado de comunicação assimétrica.pontodosconcursos. (FCC/2009/MPSED/Analista do Ministério Público/Analista de Sistemas) Um convite via e-mail.: o golpe da Nigéria). em nome de uma instituição governamental. d) rede privada com autenticação digital. (FCC/2009/Oficial de Chancelaria/Adaptada) O Diretor de certo órgão público incumbiu alguns funcionários da seguinte tarefa: Item Tarefa 72 Minimizar o risco de invasão de hackers nos computadores conectados à Internet. porém se exige uma quantia antecipada para gastos com advogados.

(FCC/2008/TCE-SP/Adaptada) Em relação a Certificado Digital.pontodosconcursos. criptografa todo ou parte do conteúdo do disco rígido. PATRÍCIA LIMA QUINTÃO Minimizar o risco de invasão é mais garantido com: a) a instalação de um firewall. c) DDoS. (Elaboração própria) Trata-se de um software malicioso que. d) a gravação de arquivos criptografados. c) o estabelecimento de programas de orientação de segurança. b) a execução de um antivírus. é correto afirmar que: são plugins que definem a qualidade criptográfica das informações que trafegam na WWW. 18. Tais são as características do: a) adware b) patch c) opt-out d) bot e) log 20. Profa Patrícia Lima Quintão www. permitindo ser controlado remotamente.INFORMÁTICA PARA TJ-RJ (TEORIA E EXERCÍCIOS) PROFa. (FCC/2008/TCE-SP/Adaptada) Em relação a Certificado Digital. e) a utilização de certificação digital. (FCC/2009/MPSED/Analista do Ministério Público/Analista de Sistemas) É um programa capaz de se propagar automaticamente. d) pharming. explorando vulnerabilidades existentes ou falhas na configuração de softwares instalados em um computador. b) DoS. e) ransomware. a) bot. Os responsáveis por esse software exigem da vítima um pagamento pelo “resgate” dos dados. 19.br 81 . Dispõe de mecanismos de comunicação com o invasor. ao infectar um computador. é correto afirmar que: [os certificados servem para garantir a segurança dos dados enviados via upload]. 21.com.

INFORMÁTICA PARA TJ-RJ (TEORIA E EXERCÍCIOS)
PROFa. PATRÍCIA LIMA QUINTÃO

22. (FCC/2008/ICMS-SP) Um código anexado ou logicamente associado a
uma mensagem eletrônica que permite, de forma única e exclusiva, a
comprovação da autoria de um determinado conjunto de dados é:
a) uma autoridade certificadora;
b) uma trilha de auditoria;
c) uma chave simétrica;
d) uma assinatura digital;
e) um certificado digital.
23.

(FCC/2008/TCE-SP) Secure Sockets Layer trata-se de

a) qualquer tecnologia utilizada para proteger os interesses de proprietários
de conteúdo e serviços;
b) um elemento de segurança que controla todas as comunicações que
passam de uma rede para outra e, em função do que sejam, permite ou
denega a continuidade da transmissão;
c) uma técnica usada para garantir que alguém, ao realizar uma ação em
um computador, não possa falsamente negar que realizou aquela ação;
d) uma técnica usada para examinar se a comunicação está entrando ou
saindo e, dependendo da sua direção, permiti-la ou não;
e) um protocolo que fornece comunicação segura de dados através de
criptografia do dado.

Instruções: Para responder à questão seguinte, considere as informações
abaixo:
OBJETIVO:
O Ministério Público do Governo Federal de um país deseja modernizar seu
ambiente tecnológico de informática. Para tanto, adquirirá equipamentos de
computação eletrônica avançados e redefinirá seus sistemas de computação a
fim de agilizar seus processos internos e também melhorar seu relacionamento
com a sociedade.
REQUISITOS PARA ATENDER AO OBJETIVO:

Profa Patrícia Lima Quintão

www.pontodosconcursos.com.br

82

INFORMÁTICA PARA TJ-RJ (TEORIA E EXERCÍCIOS)
PROFa. PATRÍCIA LIMA QUINTÃO

§1º - O ambiente de rede de computadores, para troca de informações
exclusivamente internas do Ministério, deverá usar a mesma tecnologia da
rede mundial de computadores.
§2º - O acesso a determinadas informações somente poderá ser feito por
pessoas autorizadas.
§3º - Os funcionários poderão se comunicar através de um serviço de
conversação eletrônica em modo instantâneo (tempo real).
§4º - A comunicação eletrônica também poderá ser feita via internet no modo
não instantâneo
§5º - Para garantir a recuperação em caso de sinistro, as informações deverão
ser copiadas em mídias digitais e guardadas em locais seguros.
24. (FCC/2007/MPU/Técnico-Área Administrativa/Q.22) Os §2º e §5º
especificam correta e respectivamente requisitos de uso de
(A) antivírus e backup.
(B) firewall e digitalização.
(C) antivírus e firewall.
(D) senha e backup.
(E) senha e antivírus.
25.

(FCC/2007/Câmara dos Deputados) Um certificado digital é:

I – Um arquivo eletrônico que contém a identificação de uma pessoa ou
instituição.
II – Equivalente ao RG ou CPF de uma pessoa.
III – O mesmo que uma assinatura digital.
Está correto o que consta em:
a) I apenas;
b) III apenas;
c) I e II apenas;
d) I e III apenas;
e) I, II e III.
Profa Patrícia Lima Quintão

www.pontodosconcursos.com.br

83

INFORMÁTICA PARA TJ-RJ (TEORIA E EXERCÍCIOS)
PROFa. PATRÍCIA LIMA QUINTÃO

26. (FCC/2006/TRT-SP/ANALISTA JUDICIÁRIO-Adaptada) São termos
respectiva e intrinsecamente associados à tipologia conhecida de malware,
serviço de Internet e mensagens enviadas em massa por meio de correio
eletrônico:
(A) Telnet, chat e host.
(B) Spyware, Cavalo de Troia e hoax.
(C) Shareware, FTP e spam.
(D) Cavalo de Troia, chat e spam.
(E) Middleware, FTP e hoax.
27. (FCC/2003/TRF-5.ª Região/Analista de Informática) Os algoritmos
de criptografia assimétricos utilizam:
a) uma mesma chave privada, tanto para cifrar quanto para decifrar;
b) duas chaves privadas diferentes, sendo uma para cifrar e outra para
decifrar;
c) duas chaves públicas diferentes, sendo uma para cifrar e outra para
decifrar;
d) duas chaves, sendo uma privada para cifrar e outra pública para decifrar;
e) duas chaves, sendo uma pública para cifrar e outra privada para decifrar.
28. (FCC/2003/TRF 5ª REGIÃO/TÉCNICO DE INFORMÁTICA) Um
mecanismo muito usado para aumentar a segurança de redes de
computadores ligadas à Internet é
(A) o firewall.
(B) a criptografia.
(C) a autenticação.
(D) a assinatura digital.
(E) o controle de acesso.
29.

(FCC/2004/TRT 8ª. REGIÃO/TÉCNICO ADMINISTRATIVO)

Um ....... efetivamente coloca uma barreira entre a rede corporativa e o lado
externo, protegendo o perímetro e repelindo hackers. Ele age como um único
ponto de entrada, através do qual todo o tráfego que chega pela rede pode ser
auditado, autorizado e autenticado.
Completa corretamente a lacuna acima:
(A) firewall.
(B) antivírus.
Profa Patrícia Lima Quintão

www.pontodosconcursos.com.br

84

INFORMÁTICA PARA TJ-RJ (TEORIA E EXERCÍCIOS)
PROFa. PATRÍCIA LIMA QUINTÃO

(C) servidor Web.
(D) servidor de aplicativos.
(E) browser.
30. (FCC/2004/TRT 8ª.
ferramentas antivírus

REGIÃO/TÉCNICO

ADMINISTRATIVO)

As

(A) são recomendadas apenas para redes com mais de 100 estações.
(B) dependem de um firewall para funcionarem.
(C) podem ser utilizadas independente do uso de um firewall.
(D) e um firewall significam a mesma coisa e têm as mesmas funções.
(E) devem ser instaladas somente nos servidores de rede e não nas
estações de trabalho.
31. (FCC/2004/TRT 8ª. Região/Técnico Administrativo) Uma Intranet
utiliza a mesma tecnologia ....I.... e viabiliza a comunicação interna e
restrita entre os computadores de uma empresa ou órgão que estejam
ligados na rede. Na Intranet, portanto, ....II.... e o acesso às páginas
.....III.... .
Preenche corretamente as lacunas I, II e III acima:

Profa Patrícia Lima Quintão

www.pontodosconcursos.com.br

85

(FCC/2005/TRT 13ª região/Analista de Sistemas) Uma combinação de hardware e software que fornece um sistema de segurança.br 86 . Impede a comunicação direta entre a rede e os computadores externos ao rotear as comunicações através de um servidor proxy fora da rede. (C) cracking.INFORMÁTICA PARA TJ-RJ (TEORIA E EXERCÍCIOS) PROFa. PATRÍCIA LIMA QUINTÃO 32. REGIÃO/TÉCNICO DE INFORMÁTICA) Pessoa que quebra intencional e ilegalmente a segurança de sistemas de computador ou o esquema de registro de software comercial denomina-se (A) hacking.com. (B) hacker. (D) bridge. (B) hub. (E) firewall. Esta é a função de (A) sistema criptográfico. (E) finger.pontodosconcursos. Profa Patrícia Lima Quintão www. 33. (C) antivirus. (FCC/2003/TRF 5ª. (D) cracker. geralmente para impedir acesso externo não autorizado a uma rede interna ou intranet.

Letra D. Item errado.pontodosconcursos. 26. Letra E. Profa Patrícia Lima Quintão www. Letra C. Item certo. 30. 32. Letra A. 10. Letra A. 8. 18. Letra D. 29. Letra E. Letra D. Letra D. 7. 9. Letra E. 3. Letra D. Letra C. 20. Letra A. 23. 16. 24. 6. Letra E. 12.INFORMÁTICA PARA TJ-RJ (TEORIA E EXERCÍCIOS) PROFa. Letra D. 27. Letra E. Letra B. Letra E. Letra A. 15. Letra A. Letra E. PATRÍCIA LIMA QUINTÃO Gabarito 1. Letra E. Item errado. Item errado. 2. Letra A. Item errado.br 87 . Letra C. Letra A. 5. 21. 11. Letra D. 28. 13. 4. 33. Letra C. 19. 31. 17.com. Letra D. 14. 22. 25.