seguranca da informacao 2
TRANSCRIPT
1 Professor Léo Matos | Informática para Concursos
SEGURANÇA DA INFORMAÇÃO
A necessidade do compartilhamento de recursos e informações entre usuários de
computadores é crescente. Usuários domésticos querem trocar informações, empresas desejam
centralizar informações de seus clientes para serem compartilhadas entre suas filiais, enfim. O
surgimento e a evolução da Internet contribuíram para o aperfeiçoamento desses compartilhamentos,
mas também trouxe vários problemas para empresas e usuários.
O que isso tem haver com Segurança da Informação? É simples. Quando compartilhamos
informações através de uma rede de computadores, precisamos ter confiança no sistema utilizado,
por exemplo: Todo cliente de um banco pode retirar seus saldos de conta através de um website, mas
nem todos “confiam” por existir vários relatos de pessoas que caíram em golpes e tiveram sua senha
ou dados pessoais visualizados por pessoas não autorizadas, para que haja uma maior confiança a
organização que oferece o serviço deve implantar sistemas de segurança.
A Segurança da informação é um conjunto de conceitos e técnicas utilizadas para criar
ferramentas que proporcionam uma maior confiança aos usuários na utilização de meios tecnológicos
para troca de informações, pode ser definida como a proteção contra um grande número de ameaças
às informações, de forma a assegurar a continuidade do negócio, minimizando danos comerciais e
maximizando o retorno de possibilidades e investimentos.
O maior objetivo da segurança da informação está no aumento da confiabilidade e na
diminuição da fragilidade de sistemas digitais e existem princípios que contribuem para o alcance
desse objetivo.
Há quatro princípios fundamentais que devem ser garantidos pelos sistemas desenvolvidos:
Confidencialidade, Integridade, Disponibilidade e Autenticidade.
A Confidencialidade garante que a informação não seja acessada “lida” por pessoas não
autorizadas. Um cliente que acessa o site do banco para fazer uma transferência eletrônica quer uma
garantia de que a sua senha não será vista por pessoas não autorizadas, para garantir a
Confidencialidade (Sigilo) das informações, o banco desenvolve ferramentas suficientes para
cumprir este princípio, aumentando assim a confiança deste usuário no sistema.
A Integridade garante que a informação não seja alterada por pessoas não autorizadas
durante o envio ou armazenamento. Um cliente entra no site do banco para fazer uma atualização de
endereço, quando terminar de fazer o preenchimento do formulário, este deverá ser enviado. As
informações irão trafegar pela Internet até chegar ao banco de dados da instituição, para garantir que
a informação se mantenha íntegra, inalterada deve estar presente no sistema o princípio da
integridade.
A Disponibilidade garante que a informação estará sempre disponível quando um usuário
autorizado solicitar. Ao tentar efetuar um depósito no caixa de um banco, um cliente fica na fila
cerca de 20 minutos e quando chega sua vez, o atendente informa que o Sistema está fora do ar, ou
seja, o serviço estava indisponível devido a problemas técnicos. Nesse caso, o banco não garantiu a
Disponibilidade do Serviço por algum problema de segurança da informação, que deveria criar e
manter ferramentas suficientes para cumprir este princípio.
A Autenticidade deve assegurar que a identificação de uma pessoa ou instituição seja
legítima. Assim, ao visitar o site de um banco através de um link recebido por e-mail, que certeza o
cliente terá de que aquele site é verdadeiro? Para isso, é importante que o banco disponibilize
ferramentas para verificar a autenticidade daquele site.
Outros princípios:
2 Professor Léo Matos | Informática para Concursos
A Privacidade deve garantir ao usuário que ele possa definir quais informações estão
disponíveis e para quem estão, ou seja, ter a privacidade de escolha. Confidencialidade e
autenticidade são meios para se conseguir ter privacidade, já que o sistema deve identificar quem
são os usuários que terão determinadas autorizações .
O Não Repúdio (Irretratabilidade) deve garantir que um usuário não possa negar a autoria de
uma ação. Por exemplo, em uma transação via Internet é muito importante que nenhum dos
envolvidos possa negar que enviou determinando documento digital.
Questão: (CESPE IPOJUCA 2010) Entre os princípios básicos de segurança da
informação, destacam-se a confidencialidade, a integridade e a disponibilidade.
(CERTO).
Questão: (CESPE 2010 - BRB) Confidencialidade, um dos princípios básicos da
segurança da informação, tem como característica garantir que uma informação não
seja alterada durante o seu trânsito entre o emissor e o destinatário. (ERRADO).
Questão: (CESPE 2011 – TRT/RN) A disponibilidade é um conceito muito importante
na segurança da informação, e refere-se à garantia de que a informação em um ambiente
eletrônico ou físico deve estar ao dispor de seus usuários autorizados, no momento em
que eles precisem fazer uso dela. (CERTO).
Questão: (FGV 2009 – SEFAZ/RJ) No Brasil, a NBR ISO17799 constitui um padrão
de recomendações para práticas na gestão de Segurança da Informação. De acordo com o
estabelecido nesse padrão, três termos assumem papel de importância capital:
confidencialidade, integridade e disponibilidade. Nesse contexto, a confidencialidade
tem por objetivo:
a) salvaguardar a exatidão e a inteireza das informações e métodos de processamento.
b) salvaguardar os dados gravados no backup por meio de software que utilize assinatura
digital.
c) permitir que os usuários tenham acesso aos arquivos de backup e aos métodos de
criptografia empregados.
d) permitir que os usuários autorizados tenham acesso às informações e aos ativos
associados, quando necessário.
e) garantir que as informações sejam acessíveis apenas para aqueles que estejam
autorizados a acessá-las.
Ameaças a segurança da informação
Existem diversas ameaças à segurança da informação que atingem os princípios vistos anteriormente
a fim de comprometer os objetivos da organização, seja trazendo danos diretos aos ativos ou
prejuízos decorrentes de situações inesperadas.
Classificação das principais ameaças:
3 Professor Léo Matos | Informática para Concursos
Malware (programas maliciosos): é todo tipo de programa desenvolvido para prejudicar sistemas ou
pessoas.
Vírus
É um programa ou parte de um programa, que se propaga infectando parte de outros programas e
arquivos de um computador. O vírus necessita de um arquivo hospedeiro ou programa para infectar
um computador. Para que o vírus atinja sua finalidade depende da execução do programa ou do
arquivo infectado.
O que o vírus pode fazer? Teoricamente o vírus pode fazer qualquer coisa que outros programas
fazem, desde apresentar imagens na tela, apagar arquivos do disco, destruir ou alterar arquivos de
inicialização do Sistema operacional (vírus de boot), deixar o computador lento e outros.
Tipos de Vírus
Vírus parasitário: Se replica para outros programas ou arquivos quando o programa infectado é
executado.
Vírus de Boot: Infecta os arquivos de inicialização de um sistema (boot) alterando seu
funcionamento e se espalhando quando o sistema é iniciado.
Vírus furtivo: Uma forma de vírus projetado para se esconder da detecção de um Antivírus. Quando
o antivírus começa a tentar detectá-lo ele esconde seu código malicioso deixando somente o código
não infectado do programa sendo verificado.
Vírus Polimórfico: Se transforma a cada infecção, impossibilitando a detecção pela assinatura do
vírus que é uma espécie de vacina contra um determinado vírus. Quando o vírus se transforma em
outro, a vacina antiga não funciona mais como medida de prevenção ou detecção.
Vírus de Macro: Os vírus de macro infectam geralmente arquivos do Microsoft Office como DOC
(Word), XLS (Excel). São programas executáveis embutido nos arquivos de editores de textos e
outros. Existe uma ferramenta do Office chamada de Macro, no qual é utilizada por usuários para
automatizar suas tarefas criando ações repetitivas economizando tempo no trabalho. Quando a macro
é criada, automaticamente é gerado um código em forma de linguagem de programação chamada de
VB, e a ferramenta que permite editar via programação essa macro é chamada de “Visual Basic for
Aplication” e é exatamente por programas desse tipo que o vírus é desenvolvido embutido aos
arquivos do Office.
4 Professor Léo Matos | Informática para Concursos
Os vírus de macro podem inserir palavras, números ou frases indesejadas em documentos ou alterar
funções de comando. Depois que um vírus de macro infecta a máquina de um usuário, ele pode se
incorporar a todos os documentos criados no futuro com o aplicativo. Por exemplo, se o modelo
"normal.dot" do Microsoft Word, o modelo de documento padrão desse programa, for infectado com
um vírus de macro, todo documento novo criado no Word carregará uma cópia do vírus de macro e a
partir daí pode chegar a outras finalidades.
Vírus de E-mail: Os primeiros vírus de E-mail utilizavam um anexo que ao ser executado enviava
um cópia sua para todos na lista de contatos do usuário. No final de 1999 surgiu uma versão mais
poderosa do vírus de email que se ativava e propagava sem a abertura do anexo, meramente abrindo-
se o e-mail, utilizava um script “código” que era aceito pelo próprio programa de e-mail.
E importante ressaltar que o vírus de E-mail não se executa sozinho, o usuário deve abrir o anexo ou
o programa de correio eletrônico.
Questão: (CESPE 2010 SEDU ES) Vírus é um programa que pode se reproduzir anexando seu
código a um outro programa, da mesma forma que os vírus biológicos se reproduzem. (CERTA)
Questão: (MOVENS 2009 – ADEPARÁ ) Vírus de Macro são vírus que afetam os arquivos de
inicialização dos discos. São tipicamente encontrados em arquivos de registros do Windows ou
em arquivos de inicialização do sistema. (ERRADO).
Questão: (FCC BB 2006 – Escriturário) Os arquivos de dados de editores de texto e de planilhas
eletrônicas podem ser
contaminados normalmente por programas do tipo vírus:
(A) parasitas.
(B) camuflados.
(C) polimórficos.
(D) de boot.
(E)) de macro.
Worms “Vermes”
5 Professor Léo Matos | Informática para Concursos
Um worm é programa maliciosos que se auto copia de computador para computador utilizando
vulnerabilidades de uma rede.
Um vírus de E-mail tem algumas características do Worm, pois se propaga de um computador para
outro, mas não podemos chamá-los de Worms, pois precisam de alguém para iniciar a ação de
propagação, e os Worms não, eles se auto executam. Os Worms não infectam arquivos e programas
como o Vírus, mas degradam sensivelmente o desempenho de redes devido o grande tráfego de
dados, podendo fazer servidores e computadores da rede parar de funcionar mesmo que
temporariamente. Para se replicar os Worms utilizam algum tipo de veículo de rede, veja abaixo
alguns exemplos:
Recursos de E-mail: Um verme envia uma cópia de si mesmo para os cadastrados no catálogo de
endereços do usuário.
Programas de acesso remoto: Um verme envia uma cópia de si mesmo para outros computadores.
Capacidade de login remoto: Um verme se conecta a um sistema distante como um usuário e
depois utiliza comandos para enviar cópias de si mesmo para outros sistemas.
Questão: (CESPE 2009 – CEHAP PB) Os worms podem se propagar rapidamente para outros
computadores por meio da Internet. (CERTO)
Questão: (CESPE 2002 TJ/AC) Os vírus worms são do tipo macro e apresentam-se
embutidos em documentos Word com o objetivo de danificá-los. Uma outra
característica desse tipo de vírus é a sua capacidade de sofrer mutação à
medida que se propaga de um arquivo para outro. (ERRADO).
Comentário: Um Worm não é considerado um Vírus, pois não infecta arquivos e também não se
confunde com o conceito de vírus de Macro.
Cavalo de Tróia “Trojan Horse”: Eis o programa malicioso mais fácil de decorar para prova. Basta
lembrar-se da mitologia grega, onde os gregos tentavam invadir Tróia e sem obter sucesso enviaram
uma estátua de madeira em forma de cavalo para os troianos, que aceitaram e levaram para dentro de
seus portões. A estátua foi recheada com soldados gregos que durante a noite abriram os portões
“portas” da cidade possibilitando a entrada dos gregos que dominaram a cidade que era tão
protegida.
Para segurança da Informação é um programa “disfarçado de programa inofensivo” como, por
exemplo, cartão virtual, jogos e outros, que foi projetado para além de suas funções aparentes, para
executar funções maliciosas como “abrir as portas” de comunicação do computador para entrada de
um invasor (pessoa ou programas maliciosos) sem o consentimento do usuário. O Cavalo de tróia
pode ser utilizado por um Invasor para furtar dados pessoais (senha de bancos e outros), apagar
arquivos e até mesmo para instalação de vírus e outros.
Veja a tabela abaixo para diferenciar Vírus, Worms e Cavalo de tróia:
Vírus Worms Cavalo de Tróia
6 Professor Léo Matos | Informática para Concursos
Infecta programas e arquivos “necessita de
um arquivo ou programa hospedeiro”
Sim Não Não
É o próprio arquivo executável Não Sim Sim
Se multiplica de computador para
computador sem necessidade de o usuário
dar inicio a ação
Não Sim Não
Questão: (FCC 2006 – INSS Perito Médico) Dadas as seguintes declarações:
I. Programas que se replicam e se espalham de um computador a outro, atacando outros programas,
áreas ou arquivos em disco.
II. Programas que se propagam em uma rede sem necessariamente modificar programas nas
máquinas de destino.
III. Programas que parecem ter uma função inofensiva, porém, têm outras funções sub-reptícias.
Os itens I, II e III correspondem, respectivamente, a ameaças programadas do tipo:
a) cavalo de tróia, vírus e worms.
b) worms, vírus e cavalo de tróia.
c) worms, cavalo de tróia e vírus.
d) vírus, worms e cavalo de tróia
e) vírus, cavalo de tróia e worms.
Questão: (FESAG 2005 TER/ES) Cavalo de Tróia é um programa que se
autocopia e infecta vários arquivos do computador, como documentos, programas e partes do sistema operacional, com o objetivo básico de travar o
computador. (ERRADO).
Comentário: Conceito descrito na questão é o de Vírus.
Spyware “espiões”: São programas que monitoram os hábitos de um usuário. Não necessariamente
os Spywares são utilizados de forma ilícita, pois muitas empresas utilizam programas dessa categoria
para monitorar o trabalho de funcionários. Existem também muitos programas que trazem funções
primárias como tocadores de MP3, jogos e outros, que internamente trazem programas que
monitoram o usuário para coletar informações que possam ser utilizados por empresas de
publicidade de marketing. Mas por outro lado os Spywares podem ser utilizados para monitorar o
usuário de um computador para espionagem, capturar informações sigilosas de forma ilícita.
Ao ser instalado um Spyware na máquina do usuário, ele pode enviar as informações coletadas para
o Espião por um sistema de correio eletrônico ou até mesmo de forma instantânea.
Keylogger: é um programa do tipo Spyware capaz de capturar e armazenar as teclas digitadas pelo
usuário no teclado físico de um computador. É o grande terror das instituições bancárias, pois podem
capturar a senha e conta do usuário no momento da digitação, por isso implementam o que
chamamos de teclado virtual onde o usuário digita a senha através de cliques com o mouse, com isso
dando ao usuário a garantia do princípio da Confidencialidade “SIGILO”.
7 Professor Léo Matos | Informática para Concursos
Teclado virtual utilizado em um site de banco
Screenlogger: é um programa do tipo Spyware que captura informações do mouse como as
coordenadas (x,y) do cursor, também captura a tela apresentada no monitor, nos momentos em que o
mouse é clicado. O espião ao receber estes dados pode deduzir onde foi clicado no teclado virtual e
montar senhas ou outros dados.
Questão: (CESPE - CEHAP – PB 2009) Programa que a partir da execução em determinado
computador vítima passa a monitorar informações digitadas e visualizadas e, em seguida, envia e-
mail para o seu criador encaminhando informações capturadas denomina-se:
a) cavalo de tróia.
b) spyware.
c) phishing scan.
d) hijackers.
Questão: (CESPE 2010 SEDU ES) Spywares são programas que agem na rede, checando pacotes
de dados, na tentativa de encontrar informações confidenciais como senhas de acesso e nome de
usuário. (CERTO).
Questão: (CESPE 2009 CEHAP/PB) Os spywares podem vir embutidos em
software ou ser baixados quando o internauta visita determinados sítios. (CERTO).
Backdoor “porta dos fundos”: É um programa instalado secretamente em um computador invadido
que tem por objetivo garantir o retorno facilitado do invasor sem recorrer os métodos utilizados na
invasão. O invasor tem o controle total do computador infectado sem precisar invadi-lo novamente.
Não necessariamente um Backdoor precisa estar relacionado a uma invasão já que pode ser instalado
a partir de um cavalo de tróia, ou inclusão como conseqüência de uma má configuração de um
programa de acesso remoto “brechas”.
Muitos fabricantes de Software ou computadores incluiam ou incluem backdoors em seus produtos
onde alegam que podem precisar fazer manutenções preventivas no futuro.
Questão: (ESAF 2005 – Auditor da Receita) Backdoor são sistemas simuladores de servidores
que se destinam a enganar um invasor, deixando-o pensar que está invadindo a rede de uma empresa.
(ERRADO).
Comentário: O Conceito descrito na questão é de uma estratégia de segurança chamado HONEY
POT.
8 Professor Léo Matos | Informática para Concursos
Adware: é um programa projetado para apresentar propagandas através de um navegador ou outros
programas instalados na máquina do usuário que abaixa o desempenho de um computador. Não
necessariamente é projetado para o fim malicioso pode ser utilizados por programas que são
distribuídos de forma gratuita para apresentar propagandas de patrocinadores como o MSN da
Microsoft. O Adware pode ser considerado uma espécie de Spyware caso monitore os hábitos do
usuário, por exemplo, durante a navegação na Internet para direcionar as propagandas que serão
apresentadas.
Questão: (FCC 2006 TRF/Analista judiciário) Na categoria de códigos maliciosos (malware), um adware é um tipo de software
a) que tem o objetivo de monitorar atividades de um sistema e enviar as informações coletadas para terceiros.
b) projetado para apresentar propagandas através de um browser
ou de algum outro programa instalado no computador.
c) que permite o retorno de um invasor a um computador comprometido, utilizando serviços criados ou modificados para este fim.
d) capaz de capturar e armazenar as teclas digitadas pelo usuário no teclado de um computador.
e) que além de executar funções para as quais foi aparentemente projetado, também executa outras funções normalmente maliciosas e sem o
conhecimento do usuário.
Bot: É um programa maliciosos bem parecido com os worms , porque podem se propagar
automaticamente, explorando vulnerabilidades existentes ou falhas em programas instalados em um
computador. A diferença é que os Bots podem se comunicar com o Hacker através de canais IRC
“chats” permitindo que seja controlado remotamente.
Port Scanner “programa bisbilhoteiro”: São programas utilizados por Hackers para bisbilhotar
computadores e saber quais serviços de segurança e comunicação estão habilitados para iniciar uma
estratégia de invasão.
Sniffer “Farejador de Pacotes”: são programas que podem ser utilizados para analisar o tráfego de
dados (pacotes) de uma rede. Administradores de redes utilizam Sniffers para seu trabalho, mas
também são utilizados com propósitos maliciosos por invasores que tentam capturar o tráfego da
rede com diversos objetivos, dentre os quais podem ser citados, obter cópias de arquivos importantes
durante sua transmissão, e obter senhas que permitam estender o seu raio de penetração em um
ambiente invadido ou ver as conversações em tempo real. É importante ressaltar que os Sniffers só
analisa o tráfedo de redes locais não sendo utilizado podendo ser utilizado para capturar pacotes na
Internet.
Golpes (Scan)
Muitas empresas investem muito dinheiro na área de segurança da informação, contratando
profissionais especializados que desenvolvem e implantam ferramentas que são necessárias para
continuidade dos negócios, mas a cada dia que passa, fraudadores criam formas para explorar as
9 Professor Léo Matos | Informática para Concursos
fragilidades dos usuários para furtarem informações que os interessam como dados bancários,
comerciais e outros.
Phishing Scan “golpe do site falso”
É um golpe que tenta induzir um usuário a partir de um site falso a inserir informações pessoais ou
financeiras. Naturalmente o usuário recebe um e-mail que apresenta informativo de uma instituição
indicando um procedimento que ele deve fazer, como: “Atualize seus dados pessoais, clique aqui”. O
usuário pensa que realmente é a instituição que lhe presta serviços e clica no link, automaticamente é
aberta uma página com a aparência idêntica o da instituição no qual são solicitadas informações
pessoais, como um número de conta, senhas, CPF e outros dados que serão enviados ao fraudador.
Depois de capturados, seus dados pessoais e financeiros serão enviados para os fraudadores podendo
ser utilizados em vários golpes financeiros.
Para não cair nesse tipo de golpe o usuário não deve clicar em links suspeitos recebidos por e-mail.
Questão: (CESPE IPOJUCA 2010) Phishing scam são e-mails não solicitados que tentam
convencer o destinatário a acessar páginas fraudulentas na Internet com o objetivo de capturar
informações, como senhas de contas bancárias e números de cartões de crédito. (CERTO).
Questão: (CESPE 2005 ANS / MS) Ataques de um computador por cavalo-de-tróia consistem em
exemplos de ataque de phishing, acarretando o tipo de roubo de informações ali descrito.
(ERRADO).
Questão: (FCC 2010 – TCE/SP) Mensagem não solicitada e mascarada sob comunicação de
alguma instituição conhecida e que pode induzir o internauta ao acesso a páginas fraudulentas,
projetadas para o furto de dados pessoais ou financeiros do usuário. Trata-se especificamente de
a) keylogger.
b) scanning.
c) botnet.
d) phishing.
e) rootkit.
Pharming “DNS Cache Poisoning – Envenenamento de DNS”
Em um golpe de Phishing o usuário pode perceber através do endereço da página “URL” que está
realmente caindo em um golpe, já que este endereço não tem nada haver com o da instituição, o site
tem a aparência idêntica, mas o endereço denuncia o golpe. Através do golpe de Pharming o golpista
tem praticamente o mesmo objetivo quando pratica Phishing, capturar informações sigilosas. A
diferença é que no golpe de Pharming é muito difícil de identificar o golpe, porque o “Cracker”
invade o servidor DNS alterando de forma não autorizada à ligação entre o “domínio” do site
visitado e o “servidor hospedeiro”.
Ao digitar a URL do site que deseja acessar, o servidor DNS converte o endereço em no IP do
servidor que armazena os arquivos do site. Se o servidor DNS estiver sendo vitima de um golpe de
Pharming, o endereço apontará para um servidor falso que apresentará uma página fraudulenta que
esteja sob controle de um golpista.
10 Professor Léo Matos | Informática para Concursos
Veja o exemplo abaixo:
Questão: (CESPE 2008 PRF) Se o sistema de nomes de domínio (DNS) de uma rede de
computadores for corrompido por meio de técnica denominada DNS cache poisoning, fazendo que
esse sistema interprete incorretamente a URL (uniform resource locator) de determinado sítio, esse
sistema pode estar sendo vítima de pharming. (CERTO)
Engenharia Social “Golpe da Lábia, Persuasão”
Nos golpes de engenharia social, normalmente o golpista tenta explorar a confiança do usuário, se
fazendo passar por outra pessoa para induzi-lo a passar informações que facilitem uma invasão.
Normalmente uma invasão começa a partir da engenharia social. Imagine um “Cracker” que quer
invadir um computador e tenta de várias formas e não consegue, ele irá tentar explorar a ingenuidade
das pessoas da instituição, enviando um e-mail ou telefonando pedindo que faça procedimentos que
possam desabilitar ferramentas de segurança mesmo sem a pessoa perceber, o que facilitará o seu
acesso a rede da empresa;
Questão: (ESAF 2005 – Auditor da Receita) Engenharia Social é um termo que designa a prática
de obtenção de informações por intermédio da exploração de relações humanas de confiança, ou
outros métodos que enganem usuários e administradores de rede. (CERTO).
Ataques de negação de serviços (DOS – Denial of Service)
É uma série de ataques que tentam inibir ou impedir o funcionamento de um Sistema deixando os
recursos indisponíveis para seus utilizadores. Afeta diretamente o princípio da Disponibilidade.
Os principais alvos desse tipo de ameaça são os servidores, que são os principais responsáveis pelo
fornecimento de informações aos programas clientes que as solicitam. Não se trata de uma invasão
ao sistema, mas sim da sua invalidação por sobrecarga.
Muitas pessoas podem imaginar o porque desses ataques, dentre os principais objetivos estão:
Ataques de concorrência (para que os clientes fiquem insatisfeitos) prejudicando o desempenho da
empresa, terrorismo.
11 Professor Léo Matos | Informática para Concursos
Questão: (CESPE 2011 – IFB) Os ataques de negação de serviços são feitos por meio de abuso da
ingenuidade ou confiança do usuário. (ERRADO).
Comentário: O Conceito descrito na questão pode ser associado a Engenharia Social.
Ping da Morte (Ping of Death)
O Ping da Morte utiliza um comando bastante comum entre os administradores de rede chamado de
PING para fazer um servidor parar de responder.
O comando PING é naturalmente utilizado para testar se um computador está respondendo a
solicitações ou não. Através protocolo ICMP o comando envia 4 pacotes de 32 Bytes para um
computador de destino , se responder é porque está conectado corretamente, senão existe algum
problema na conectividade.
O comando PING enviou para o computador de IP 192.9.3.4 quatro pacotes ICMP e nem um foi
respondido
O comando PING enviou para o computador de IP 201.7.178.45 quatro pacotes ICMP e todos foram
respondidos
O envio dos pacotes mostrados no exemplo anterior não é malicioso, são de 32 Bytes cada e
compreendidos por qualquer sistema.
12 Professor Léo Matos | Informática para Concursos
No Ping da Morte os pacotes são enviados com mais de 64KB (65536 bytes). A placa de rede do
computador que receberia esses pacotes teria sérios problemas ao responder tudo isso gerando
lentidão e até travamento do servidor.
Foi bastante utilizado por muito tempo, é um ataque simples de fazer e pode ser feito de qualquer
maquina com o “PROMPT COMMAND”, hoje não é muito comum, pois a maioria dos servidores
tem sistemas que já suportam esses pacotes.
O Ping da Morte é um exemplo de ataque DOS do tipo Buffer OverFlow que consiste em uma série
de ataques DOS com objetivo gerar uma sobrecarga em um sistema com dados maiores que o seu
tamanho permitido.
Questão: (ESAF 2006 – Ministério do Trabalho) O Ping da Morte (Ping of Death) é um recurso
utilizado na Internet por pessoas mal intencionadas, que consiste:
a. no envio de pacotes TCP/IP de tamanho inválidos para servidores, levando-os ao
travamento ou ao impedimento de trabalho.
b. na impossibilidade de identificação do número de IP de máquina conectada à rede. Desta
forma, muitos dos serviços de segurança disponíveis deixam de funcionar, incluindo os
"rastreamentos" que permitem a identificação de segurança das fontes de origem de ataques.
c. em instalar em um computador conectado a uma rede um programa cliente que permite a um
programa servidor utilizar esta máquina sem restrições.
d. no mecanismo de "abertura" de portas e acha-se atualmente incorporado em diversos ataques
de vírus.
e. na captura e alteração de "pacotes" TCP/IP transmitidos pelas redes.
SYN Flooding
Também conhecido como ataque SYN é outro tipo de ataque de Negação de Serviços, na qual o
atacante envia uma série de pacotes SYN para um servidor alvo com objetivo que ele fique
respondendo e esperando uma resposta que não irá surgir, assim o servidor não conseguindo
responder a outros usuários lícitos que estão tentando acessar os serviços, alcançando assim a
negação de serviços.
Para lembrar o capítulo sobre conexão TCP/IP que aprendemos nos capítulos anteriores, em uma
conexão cliente/servidor na Internet “chamado aperto de mão em três etapas”:
O cliente requisita uma conexão enviando um SYN (synchronize) ao servidor.
O servidor responde esta requisição mandando um SYN-ACK(acknowledge) de volta ao
cliente.
O cliente por sua vez responde com um ACK, e a conexão está estabelecida.
13 Professor Léo Matos | Informática para Concursos
No ataque SYN o atacante utiliza intencionalmente o protocolo TCP de forma errada e incompleto,
evitando que a última mensagem ACK seja enviada para estabelecer a conexão. O servidor irá
esperar por isso por um tempo pensando que é um congestionamento normal de dados. Se todos os
recursos estiverem ocupados com essa conexão, nenhuma nova conexão (legítima ou não) pode ser
feita, resultando em negação de serviço. Alguns podem funcionar mal ou até mesmo travar se
ficarem sem recursos desta maneira.
“É como se você fosse um atendente e um cliente ficasse de propósito fazendo várias perguntas sem
deixar você atender outras pessoas que estão na fila”.
Questão: (ESAF 2005 Auditor Fiscal da Receita) O SYN flooding é um ataque do tipo DoS, que
consiste em explorar mecanismos de conexões TCP, prejudicando as conexões de usuários legítimos.
(CERTO)
Spoffing
Um ataque spoofing envolve a falsificação “mascarar” o endereço IP para invasões ou outros tipos
de ilicitudes.
Ataque DDOS (Distributed Denial of Service - Ataque de negação de serviços distribuídos)
14 Professor Léo Matos | Informática para Concursos
O ataque DDOS torna os sistemas de computadores inacessíveis inundando servidores, redes e até
mesmo computadores pessoais gerando um tráfego inútil, para que usuários legítimos não possam
mais ter acesso a esses recursos. O atacante reúne uma grande quantidade de computadores
comprometidos e reunidos para enviar pacotes sem nenhuma utilidade para o alvo.
Para iniciar o ataque DDOS o atacante instala programas chamados de ZUMBIS em várias máquinas
que serão utilizadas para Executar o disparo para o alvo.
A diferença entre os ataques DOS e DDOS é a quantidade de computadores utilizados para esses
ataques. Quando o ataque surge de um só computador é chamado de DOS e quando são utilizados
vários computadores é chamado DDOS.
Questão: (ESAF 2004 – MPU Técnico Jud.) O Denial of Service (DoS) é um ataque que consiste
em sobrecarregar um servidor com uma quantidade excessiva de solicitações de serviços. Há muitas
variantes, como os ataques distribuídos de negação de serviço (DDoS) que paralisam vários sites ao
mesmo tempo. (Certo)
Smurf
O Smurf é outro tipo de ataque de negação de serviço em que o atacante envia uma seqüência de
pacotes ICMP através do comando Ping para um endereço de broadcast (para todos os computadores
da rede). Utilizando o spoofing o atacante faz com que o os computadores da rede encaminhe vários
pacotes de respostas ao mesmo tempo, mas não para o seu endereço, mas para o IP da vítima que não
funcionará de modo correto pelo excesso de pacotes. Caro leitor você deve estar se perguntando, mas
como ele conseguiu utilizar o IP da vítima para enviar estes pacotes? A resposta está em outro ataque
que vimos anteriormente o Spoofing.
Outras ameaças
SPAM
São E-mails não solicitados “indesejados” pelo usuário que geralmente são enviados para um grande
número de pessoas “em massa”. O conteúdo destes e-mails podem ser propagandas e também é um
dos mais utilizados meios para propagação de ameaças de todos os tipos. Por um SPAM pode ser
enviado programas maliciosos em anexo e aplicado golpes como o de Phishing “site falso”.
15 Professor Léo Matos | Informática para Concursos
Os SPAMS são grandes causadores de improdutividade dentro de uma organização já que o usuário
perde muito tempo lendo e-mails desnecessários.
Quem pratica SPAM é chamado de SPAMMER.
Questão: (FUNIVERSA PCDF 2009) Spam é o termo usado para se referir aos e-mails solicitados,
que geralmente são enviados para um grande número de pessoas. (ERRADO).
HOAX
São histórias falsas, boatos, lendas urbanas distribuídas via Internet. Naturalmente recebidas por e-
mail, sites de relacionamentos. Muitos Hoax circulam na Internet como: criança com Leucemia,
Michel Jackson não morreu, e um dos mais conhecidos que diz que existe um vírus com ícone de um
urso e que você deve encontrá-lo através da pesquisa do Windows digitando seu nome jdbgmgr.exe.
Esse arquivo não deve ser apagado faz parte do Sistema e as pessoas apagavam pensando ser
realmente um vírus.
Agora que aprendemos sobre as principais ameaças a Segurança da Informação, vamos falar das
contramedidas, ou seja, as ferramentas mais utilizadas para combater essas ameaças e garantir os
principios da segurança da informação vistos anteriormente.
Questão: (CESPE 2008 PRF) Quando enviado na forma de correio eletrônico para uma
quantidade considerável de destinatários, um hoax pode ser considerado um tipo de spam, em
que o spammer cria e distribui histórias falsas, algumas delas denominadas lendas urbanas.
(CERTO).
Questão: (FCC 2009 – TJ PI – Téc. Judiciário) Evite a Propagação de Hoaxes. A precaução
mencionada acima tem por motivo a ciência de que frequentemente:
a) ocorre a execução de programas antivírus não certificados.
b) são executados arquivos anexados em sites maliciosos.
c) existe falta de controle sobre arquivos lidos nos sites.
d) ocorrem boatos espalhados para fins maliciosos ou para desinformação via e-mail.
e) não são instalados programas antivírus
Técnicas de Segurança
Segurança pode ser entendido com um estado no qual estamos livres de perigos e incertezas. Em
uma organização, aplica-se o termo segurança aos chamados ativos, ou seja, a tudo aquilo que possui
valor para a organização.
É comum que as organizações possuam departamento de segurança patrimonial, que cuida da
segurança física, e outro departamento de segurança lógica, responsável pela segurança dos sistemas
de Tecnologia da Informação (TI).
16 Professor Léo Matos | Informática para Concursos
Classificação dos ativos:
Tangível – Mobiliário em geral, informações impressas ou em mídia.
Intangível – Imagem da empresa, confiabilidade na marca de determinado produto ou a
própria marca, o conhecimento dos funcionários etc.
Classificação dos tipos de proteção:
Proteção lógica – São controles efetuados através de Software como: Firewall, Anti vírus,
senhas e outros.
Proteção física – Portas, fechaduras, catracas eletrônicas, dados biométricos (digital e íris).
Proteção administrativa – Conjunto de regras e procedimentos, políticas de segurança,
boletins semanais de segurança, não adianta se a empresa investe bilhões na proteção física e
lógica se não investir também em treinamentos para seus funcionários, ou seja, na
conscientização dos mesmos.
Questão: (CESPE 2010 – TRT/RN) No governo e nas empresas privadas, ter segurança da
informação significa ter-se implementado uma série de soluções estritamente tecnológicas que
garantem total proteção das informações, como um firewall robusto que filtre todo o tráfego de
entrada e saída da rede, um bom software antivírus em todas as máquinas e, finalmente, senhas de
acesso a qualquer sistema. (ERRADO).
Comentário: Existem meios de segurança que não tem haver com a tecnologia propriamente dita,
como treinamentos e outros.
Antivírus
São programas que varrem o computador em busca de programas maliciosos para removê-los.
Protege um computador contra infecção por programas maliciosos de vários tipos. Atualmente
trazem mecanismos que conseguem detectar cavalos de tróia, spywares e outros.
São funções de um Antivírus eficiente:
• identificar e eliminar a maior quantidade possível de vírus e outros tipos de malware “programas
maliciosos”;
• analisar os downloads pela Internet;
• verificar continuamente os discos rígidos (HDs), disco removíveis (disquetes, pendrives);
• procurar por programas maliciosos nos anexos dos e-mails.
• possibilitar a atualização das assinaturas de novos vírus que venham a surgir no mercado de forma
automática.
É importante destacar que para aumentar a eficiência da proteção pelo antivírus ele deve estar
atualizado constantemente.
Não são funções de um Antivírus:
17 Professor Léo Matos | Informática para Concursos
Não é capaz de impedir que um Hacker explore vulnerabilidades do seu sistema, como portas
abertas e outros.
Não protege contra ataques DOS.
Não é capaz de proteger contra um acesso não autorizado por um Backdoor ou cavalo de tróia
que já estejam instalados no computador do usuário.
Questão: (CESPE - CEHAP – PB 2009 ) Programas de antivírus fazem varreduras no computador
para procurar arquivos maliciosos disseminados pela transferência de arquivos. (CERTO).
Questão:(CESPE BB 2007) Para que um computador esteja efetivamente protegido contra a ação de
vírus de computador e contra ataques de hackers, é suficiente que haja, no computador, um
programa antivírus que tenha sido atualizado há, no máximo, três meses, sendo desnecessário,
atualmente, o uso de firewall no combate a ataques de hackers. (ERRADO).
Firewall
Um firewall é uma barreira de proteção por onde todo tráfego de dados precisa passar. Um Firewall
pode ser projetado para fazer:
- Controle de tráfego separando redes, como por exemplo: uma rede privada de uma rede pública
(internet).
- Controle de acesso para proteger um computador ou uma rede contra acessos não autorizados
“invasões”.
- Filtragens de pacotes IP para saber se são pacotes autorizados a entrar na rede ou sair da rede.
- Bloquear as tentativas de invasão a um computador e possibilitar a identificação das origens destas
tentativas através de um LOG “histórico de eventos”.
- Efetuar controle de portas e serviços. Por exemplo, bloquear o serviço de troca de mensagens
instantâneas pelo MSN e serviços de FTP.
Algumas dúvidas sobre o Firewall que são feitas em minhas aulas serão respondidas aqui neste livro
também.
Professor o Firewall protege contra vírus?
Essa é uma questão bem delicada. Leia a questão e perceba o que ela tenta informar para você. Em
um contexto geral o Firewall protege contra algumas ações de programas maliciosos como vírus,
18 Professor Léo Matos | Informática para Concursos
cavalo de tróia. Como por exemplo, a tentativa de um programa que já está instalado em um
computador enviar mensagens ou tentar acessar o seu computador de forma não autorizada. Veja as
questões abaixo dentro dessa situação:
(CESPE IBRAM SEPLAG 2009) O firewall é indicado para filtrar o acesso a determinado
computador ou rede de computadores, por meio da atribuição de regras específicas que podem
negar o acesso de usuários não autorizados, assim como de vírus e outras ameaças, ao
ambiente computacional.
Questão considerada verdadeira. Já que o CESPE diz que o Firewall filtra o acesso através de
regras que serão utilizadas para negar o acesso de usuários não autorizados. Um usuário
malicioso pode ter instalado um vírus ou cavalo de tróia em um computador qualquer da
empresa e programar que este tente acessar de forma não autorizada ou enviar mensagens para
outro computador da rede.
Veja que a questão diz sobre o acesso não autorizado não importa qual é o agente se é um
programa malicioso ou se é uma pessoa através do acesso remoto “a distância”.
(CESPE CFO PMDF 2010) Caso um computador tenha sido infectado por um cavalo de
troia, a presença de um firewall instalado na estação de trabalho será irrelevante, já que este
tipo de programa, apesar de impedir que dados indesejados entrem no computador, não
consegue impedir que o cavalo de troia transmita informações do usuário desse
computador para outros computadores.
Questão considerada Falsa. O Firewall não consegue impedir que um programa malicioso
infecte um computador, mas garante proteção contra um programa depois de instalado efetue
ações diversas para outros computadores.
Professor o Firewall protege contra um vírus infectar arquivos do meu computador?
Veja só, quem protege e varre o computador em busca de programas maliciosos são os programas
antivírus. O Firewall não faz esse tipo de operação, por isso é importante usar um Firewall e um
Antivírus para uma maior segurança de nosso computador.
Veja a questão abaixo:
(CESPE SEPLAG 2009) Apesar de firewalls serem ferramentas que podem ser utilizadas para
a proteção de computadores contra ataques de hackers, eles não são suficientes para evitar a
contaminação de computadores por vírus.
Questão considerada verdadeira: O Firewall não garante que um computador não seja
infectado por vírus.
Professor o Firewall pode identificar um SPAM?
O mecanismo mais utilizado é o filtro Anti-SPAM, que analisa nossos e-mails em busca de palavras
chaves que podem denunciar um SPAM e enviá-los para uma pasta chamada naturalmente de Lixo
Eletrônico onde ficarão todos e-mails suspeitos de serem mensagens não solicitadas pelo usuário.
19 Professor Léo Matos | Informática para Concursos
O Firewall de acordo com os conceituados autores “William Stallings” e “Andrew S. Tanenbaum”
pode sim ser projetados de acordo com a política se segurança de cada organização para filtrar
mensagens eletrônicas e consultar palavras que denuncie a presença de um SPAM. Veja as
definições dadas:
“Controle de comportamento: Controla como determinados serviços são usados. Por exemplo, o
Firewall pode filtrar e-mail para eliminar SPAM...”
Livro: Criptografia e Segurança de Redes
Autor: William Stallings
“A segunda metade do mecanismo de firewall é o gateway de aplicação. Em vez de apenas examinar
pacotes brutos, o gateway de aplicação opera na camada de aplicação. Por exemplo, um gateway de
correio eletrônico pode ser configurado de forma a examinar cada mensagem recebida ou enviada...
pode tomar a decisão transmitir ou descartar cada mensagem com base no cabeçalho, no tamanho da
mensagem ou até mesmo em seu conteúdo...”
Livro: Redes de computadores
Autor: Andrew S. Tanenbaum
Eu considero que o Firewall realmente pode ser utilizado para analisar e-mails e identificar SPAM
conceito esse dados pelos autores citados anteriormente.
O Microsoft Windows tem um firewall interno que pode ser utilizado pelos usuários como um
Firewall pessoal para proteger seu computador contra o acesso não autorizado ou avisar o usuário
que tem alguém tentando invadir seu computador. A Microsoft dá o seguinte conceito a respeito do
seu programa firewall:
“Um firewall pode ajudar a impedir que hackers ou softwares mal-intencionados (como worms)
obtenham acesso ao seu computador através de uma rede ou da Internet. Um firewall também pode
ajudar a impedir o computador de enviar software mal-intencionado para outros computadores.”
Conceito dentro do que foi falado anteriormente, mas lembre-se que protege contra as ações descritas
acima e não contra infecção, verificação e instalação de programas maliciosos.
Questão: (CESPE IBRAM SEPLAG 2009) O firewall é indicado para filtrar o acesso a
determinado computador ou rede de computadores, por meio da atribuição de regras específicas que
podem negar o acesso de usuários não autorizados, assim como de vírus e outras ameaças, ao
ambiente computacional. (CERTO).
Questão: (CESPE 2011 – TRE/ES) Para se abrirem arquivos anexados a mensagens recebidas por
correio eletrônico, sem correr o risco de contaminar o computador em uso, é necessário
habilitar o firewall do Windows. (ERRADO).
20 Professor Léo Matos | Informática para Concursos
Questão: (CESPE 2010 BRB) O firewall, mecanismo que auxilia na proteção de um computador,
permite ou impede que pacotes IP, TCP e UDP possam entrar ou sair da interface de rede do
computador. (CERTO)
Proxy
O proxy é um computador que funciona como intermediário entre um navegador da Web (como o
Internet Explorer) e a Internet. Em casa usuários fazem suas conexões a Internet de forma direta, ou
seja, não tem algo impedindo que acesse determinados sites, ou que utilize determinado serviço. Em
organizações é comum se utilizar um Proxy para intermediar essas conexões filtrando alguns tipos de
conteúdos vindos da Web, sendo utilizado para bloquear acesso a sites que podem diminuir a
produtividade dos funcionários.
O proxy também ajuda a melhorar o desempenho da abertura de páginas, já que ele armazena cópia
das páginas utilizadas com mais freqüência.Quando um navegador solicita uma página que já foi
acessada anteriormente e está armazenada no proxy, o navegador não busca no servidor de origem da
página, e sim no proxy o que é mais rápido do que acessar a Web.
Algumas provas podem considerar o Proxy um exemplo de Firewall, o que é aceito.
Questão: (CESPE 2011– FUB) Se o acesso à Internet ocorrer por meio de um servidor proxy, é
possível que seja necessária uma autenticação por parte do usuário, que deve fornecer nome e senha
de acesso. (CERTO).
Questão: (ESAF 2006 Técnico da Receita Federal) Um proxy é um servidor que atua como "ponte". Uma conexão feita através de proxy passa primeiro pelo
proxy antes de chegar no seu destino, por exemplo, a Internet. Desse modo, se
todos os dados trafegam pelo proxy antes de chegar à Internet, eles podem ser
usados em redes empresariais para que os computadores tenham conexão à
Internet limitada e controlada. (CERTO).
Criptografia
A criptografia é uma técnica matemática para embaralhar informações para que os dados possam sair
da origem e chegar ao destino de forma sigilosa.
Para acontecer o processo criptográfico, ou seja, o embaralhamento das informações, existem dois
elementos de grande importância, o Algoritmo criptográfico (programa de criptografia) e a chave
(segredo da criptografia).
Veja abaixo:
21 Professor Léo Matos | Informática para Concursos
1. O remetente utiliza um programa (algoritmo criptográfico) de criptografia para cifrar
(criptografar) uma mensagem.
2. O programa utiliza uma chave para embaralhar a mensagem.
3. A mensagem cifrada é enviada ao destinatário
4. O destinatário recebe a mensagem cifrada e deve utilizar um programa de criptografia
(natural que seja o mesmo algoritmo utilizado no envio) para decifrar utilizando a chave que
é o segredo.
5. Se por acaso alguém interceptá-la no caminho e não tiver a chave, não vai entender o
conteúdo da mensagem porque estará totalmente cifrada (incompreensível) garantindo assim
o princípio da Confidencialidade.
É importante destacar que sem o conhecimento da chave não é possível decifrar o texto cifrado.
Assim, para manter uma informação secreta, basta cifrar a informação e manter em segredo a chave.
Existem duas técnicas de criptografias muito importantes para provas de concursos, são elas:
simétrica e Assimétrica.
Simétrica (chave única): A criptografia simétrica realiza a cifragem e a decifragem de uma
informação através de algoritmos que utilizam a mesma chave. A chave que cifra é a mesma que
deve ser utilizada para decifrar.
Como a mesma chave deve ser utilizada na cifragem e na decifragem, a chave deve ser
compartilhada entre quem cifra e quem decifra os dados, ou seja, deve ser enviada da origem ao
destino. A troca de chaves deve ser feita de forma segura, uma vez que todos que conhecem a chave
podem decifrar a informação cifrada ou mesmo reproduzir uma informação cifrada.
A ilustração acima mostra que a mensagem normal é “A senha é 12345” o programa utilizou uma
chave que tornou a mensagem criptografada assim “#&1aa@12*s!90” que depois foi enviada. Ao
22 Professor Léo Matos | Informática para Concursos
destinatário chega a mensagem criptografada e a chave, que serão utilizadas pelo programa para
decifrar a mensagem “A senha é 12345”.
A chave que cifrou foi a mesma que decifrou!
É importante destacar que as chaves criptográficas são formadas por números binários, exatamente
como aprendemos no capítulo sobre Hardware, a linguagem do 0 e 1.
Imagine uma chave assim: 010010001010101110101010101011100
As chaves são conjuntos de bits que serão utilizados pelos algoritmos (programas) para cifrar uma
mensagem criando segredos aleatórios.
Uma chave de 4 bits daria a possibilidade de 24
combinações, ou seja, são 4 dígitos que podem
assumir apenas dois valores (0 e 1) pode assumir 16 combinações diferentes. Portanto alguém que
está tentando descobrir qual a chave para decifrar uma mensagem criptografada por uma chave de 4
bits precisaria testar 16 combinações diferentes, o que seria bastante simples para programas que
fazem esse tipo de teste para descobrir de FORÇA BRUTA o segredo de uma chave.
Uma chave de 16 bits já seria mais complicada de ser descoberta, combinações de 216
, ou seja,
65.536 tentativas para tentar descobrir qual a chave utilizada.
Quanto maior a quantidade de bits que tenha uma chave, mais difícil descobrirem qual é o segredo da
mensagem.
Os principais algoritmos de criptografia simétrica que são utilizados por vários programas
disponíveis na Internet são: DES, 3DES e AES.
DES( Data Encryption Standard) O DES é atualmente considerado inseguro para muitas
aplicações, pois possui chave de 56 bits.
3DES(Triplo DES) é um padrão de criptografia baseado no algoritmo de criptografia DES
desenvolvido pela IBM. Utiliza 3 chaves de 56 bits resultando uma chave de 168 bits.
AES (Advanced Encryption Standard) também conhecido por Rijndael, utiliza chaves de 256 bits.
Assimétrica (chave pública): Os algoritmos de chave pública operam com duas chaves distintas:
chave privada e chave pública. Essas chaves são geradas simultaneamente e forma um par
dependente, ou seja, possibilita que a operação executada por uma seja revertida pela outra. A chave
privada deve ser mantida em sigilo e protegida e não deve ser passada para ninguém. A chave
pública é disponibilizada e tornada acessível a qualquer indivíduo que deseje se comunicar com o
proprietário da chave privada correspondente.
Imagine que um “usuário A” precisa se comunicar com um “usuário B” de forma sigilosa utilizando
criptografia assimétrica. O “usuário A” tem duas chaves (pública e privada) que são dependentes, a
chave privada ele guarda em segredo e disponibiliza sua chave pública para quem quer se comunicar
com ele, no caso ao “usuário B”. Quando o “usuário B” precisar enviar uma mensagem criptografada
para “A” utilizará a chave pública de “A” para cifrar e enviará. Quando o “usuário A” receber a
mensagem ele utilizar a chave que forma o par, ou seja, a chave privada, que só ele conhece e que foi
mantida em segredo para decifrar a mensagem recebida.
23 Professor Léo Matos | Informática para Concursos
O principal algoritmo utilizado na criptografia assimétrica é o RSA utilizado em correio eletrônico,
páginas de comércio eletrônico. O RSA utiliza chaves quem podem variar de 256 a 4096 bits.
A chave pública do destinatário vai cifrar a mensagem, e a chave privada do destinatário que vai
decifrar a mensagem. Veja que as chaves são dependentes e se completam para o processo da
criptografia assimétrica acontecer.
Simétrica x Assimétrica
Simétrica Assimétrica
Utiliza uma única chave. A chave que
cifra é a mesma que decifra.
Utiliza duas chaves distintas. Uma chave
cifra e outra decifra.
A chave deve ser compartilhada entre os
usuários
A chave privada deve ser mantida em
segredo e não deve ser compartilhada, a
pública é a que deve ser compartilhada.
Considerada menos segura já que a chave
deve ser compartilhada
É mais segura, pois a chave que decrifra a
mensagem está mantida em segredo, e só
quem a tem pode decifrar uma mensagem.
Processo rápido e simples de criptografia. Processo mais lento e complexo.
Algoritmos DES, 3DES, AES Algoritmo RSA
Questão: (ESAF 2006 – MTE Auditor Fiscal) Um algoritmo de criptografia simétrica requer que
uma chave secreta seja usada na criptografia e uma chave pública diferente e complementar da
secreta, utilizada no processo anterior, seja utilizada na decriptografia. Devido à sua baixa
24 Professor Léo Matos | Informática para Concursos
velocidade, a criptografia simétrica é usada quando o emissor de uma mensagem precisa criptografar
pequenas quantidades de dados. A criptografia simétrica também é chamada criptografia de chave
pública. (ERRADA)
Questão: (FGV 2006 – SEFAZ/MS) No contexto da criptografia, um método emprega um tipo de
chave, em que o emissor e o receptor fazem uso da mesma chave, usada tanto na codificação como
na decodificação da informação. Esse método é conhecido por:
a) assinatura digital.
b) assinatura cifrada.
c) chave simétrica.
d) chave primária.
e) chave assimétrica.
Questão: (FUNIVERSA PCDF 2009) Criptografia é uma ferramenta que pode ser usada para
manter informações confidenciais e garantir sua integridade e autenticidade. Os métodos
criptográficos podem ser subdivididos em três grandes categorias, de acordo com o tipo de
chave utilizada: criptografia de chave única, criptografia de chave pública e criptografia de
chave privada. (ERRADA).
Questão: (CESPE 2010 AGU) Um arquivo criptografado fica protegido contra contaminação por
vírus. (ERRADO)
Questão: (CESPE IPOJUCA 2010) A criptografia é uma solução indicada para evitar que um
arquivo seja decifrado, no caso de ele ser interceptado indevidamente, garantindo-se, assim, o sigilo
das informações nele contidas. (CERTO).
Vimos que a criptografia assimétrica utilizada nos exemplos anteriores garante que o “usuário A”
troque informações como o “usuário B” de forma sigilosa garantindo o principio da
confidencialidade, mas também pode ser utilizada para garantir o principio da autenticidade e não
repúdio quando utilizada na assinatura digital.
Assinatura digital
A assinatura digital utiliza a criptografia assimétrica para garantir que o destinatário possa conferir a
Autenticidade do documento recebido. As chaves são aplicadas no sentido inverso de quando são
utilizadas para garantir sigilo. O autor de um documento utiliza sua “chave privada” para assiná-lo de
modo a garantir sua autoria em um documento, já que só ele conhece sua chave privada, garantindo
que ninguém possa ter uma assinatura igual a sua, princípio da Autenticidade.
25 Professor Léo Matos | Informática para Concursos
Se o “usuário A” assinar um documento com sua chave privada e enviar para o “usuário B”, ele
poderá conferir se a assinatura é verdadeira, pois tem acesso à chave pública de “A”. Além disto,
qualquer outra pessoa que possui a chave pública de “A” poderá conferir também a assinatura.
A assinatura digital garante a AUTENTICIDADE e o NÃO REPÚDIO. O usuário que receber o
documento assinado tem a garantia de que a assinatura é realmente do remetente e que ele não pode
negar a autoria;
Imagine! Se eu enviar uma mensagem avisando de um curso que estou fazendo no valor de 800,00 e
assino digitalmente com a minha chave privada, envio para várias pessoas que tem minha chave
pública para conferir. Não posso negar que fui eu que enviei, concorda? Principio do Não repúdio! E
se alguém alterar o conteúdo da mensagem no caminho? Por exemplo, alguém interceptou e alterou o
valor do curso para 8,00 e chegou assim para todas as pessoas que enviei. Logo depois chegou
alguém e falou: “Legal a sua iniciativa de colocar o valor do curso de 8,00”. Eu viro e falo: “Eu não
coloquei isso, o preço é 800,00”. A pessoa vira e fala: “Não professor! você assinou, eu conferi com
sua chave pública, e o senhor não pode negar”.
É dentro deste exemplo que se percebe que a Assinatura digital tem que usar algum mecanismo para
garantir que a mensagem não seja alterada durante o transito garantindo o principio da integridade,
esse mecanismo é chamado de FUNÇÃO DE HASH.
A função de HASH é um resumo da mensagem que será enviada. É um método matemático que
utiliza criptografia para garantir a integridade (não modificação) dos dados que serão enviados.
Teoricamente o "hash” é a transformação de uma grande quantidade de informações em uma
pequena quantidade de informações, ou seja, um resumo.
Depois de criado o “hash” da mensagem, será enviado junto com a mensagem ao destinatário, que
através de um programa irá calcular o hash para ver se tem exatamente as mesmas características do
documento enviado.
26 Professor Léo Matos | Informática para Concursos
O resumo criptográfico é o resultado retornado por uma função de hash. Este pode ser comparado a
uma impressão digital, pois cada documento possui um valor único de resumo e até mesmo uma
pequena alteração no documento, como a inserção de um espaço em branco, resulta em um resumo
completamente diferente garantindo assim que o destinatário possa saber se a mensagem foi alterada
durante o envio.
Os algoritmos de Hash mais utilizados são MD4 e MD5 que utilizam 148 bits e o SHA-1 que utiliza
160 bits.
A assinatura digital garante:
Autenticidade, Não repúdio (utilizando as chaves da criptografia assimétrica)
Integridade (utilizando o HASH) e a Integridade.
Não garante a Confidencialidade, pois não cifra o conteúdo da mensagem, utiliza a criptografia para
assinar e conferir documentos.
Questão: (CESPE - CEHAP – PB 2009 ) Assinatura digital é um conjunto de instruções
matemáticas embasadas na criptografia que permite conferir autenticidade, privacidade e
inviolabilidade a documentos digitais e transações comerciais efetuadas pela Internet. (ERRADO)
Comentário: Inviolabilidade está sendo utilizado como sinônimo de Integridade.
Questão: (CESPE - CEF 2010) A assinatura digital facilita a identificação de uma comunicação,
pois baseia-se em criptografia simétrica de uma única chave. (ERRADO)
Questão: (CESPE CEF 2010) Acerca de certificação e assinatura digital, assinale a opção correta.
a) O uso da assinatura digital não garante que um arquivo tenha autenticidade no seu trâmite.
b) A assinatura digital é uma ferramenta que garante o acesso a determinados ambientes
eletrônicos por meio de biometria, com uso do dedo polegar.
c) A assinatura digital do remetente é utilizada para criptografar uma mensagem que será
decriptografada pelo destinatário possuidor da respectiva chave pública.
d) A chave privada do remetente de uma mensagem eletrônica é utilizada para assinar a
mensagem.
e) Para verificar se a mensagem foi de fato enviada por determinado indivíduo, o destinatário
deve utilizar a chave privada do remetente.
Questão: (CESPE 2010 – Pref. Boa Vista) Por princípio, considera-se que qualquer documento assinado digitalmente está criptografado.
(ERRADO)
27 Professor Léo Matos | Informática para Concursos
Questão:(CESGRANRIO 2008 – CEF) Quais princípios da segurança da
informação são obtidos com o uso da assinatura digital?
A. Autenticidade, confidencialidade e disponibilidade. B. Autenticidade, confidencialidade e integridade.
C. Autenticidade, integridade e não-repúdio. D. Autenticidade, confidencialidade, disponibilidade, integridade e não-
repúdio. E. Confidencialidade, disponibilidade, integridade e nãorepúdio.
A assinatura digital tem validade jurídica?
Assinatura digital é uma forma eficaz de garantir autoria de documentos eletrônicos, então surge em
agosto de 2001, a Medida Provisória 2.200 que garante a validade jurídica de documentos eletrônicos
e a utilização de certificados digitais para atribuir autenticidade e integridade aos documentos
tornando a assinatura digital com validade jurídica. Muitas pessoas devem imaginar que é fácil
encontrar uma assinatura digital igual para vários usuários, isso é quase impossível, porque vimos
anteriormente que a assinatura digital utiliza uma chave privada juntamente com o resumo da
mensagem para criar o código que será anexado a mensagem. Portanto a assinatura gerada é
diferente para cada documento, pois está relacionada ao resumo do documento + chave privada do
usuário. Veja abaixo:
Para que a assinatura digital tenha validade jurídica as chaves devem ser adquiridas ou (e) registradas
por uma entidade certificadora que seja reconhecida pelo Brasil. A autoridade certificadora emitirá
um Certificado digital que garante que as chaves do usuário realmente existem e que estão
registradas para ele.
Se eu assinar um documento digitalmente e envio para o destinatário ele irá utilizar a minha chave
pública para conferir o documento, se quiser ter certeza que a chave pública realmente é verdadeira
“lícita” eu apresento meu certificado digital e ele poderá verificar se alguma autoridade certificadora
garante que a chave pública que está utilizando pertence a minha pessoa.
CERTIFICADO DIGITAL
O certificado digital é um arquivo eletrônico que contém dados de uma pessoa ou instituição,
utilizados para comprovar sua identidade.
Um Certificado Digital normalmente apresenta as seguintes informações:
28 Professor Léo Matos | Informática para Concursos
nome da pessoa ou entidade a ser associada à chave pública
período de validade do certificado
chave pública
nome e assinatura da entidade que assinou o certificado
número de série
O Certificado digital é a garantia de que a chave pública que será utilizada tanto na conferência de
uma Assinatura digital quanto na criptografia de dados faz parte realmente da instituição que o
usuário está se comunicando.
Questão: (CESPE 2010 CEF) Um certificado digital é pessoal, intransferível e não possui data de
validade. (ERRADO).
Questão: (CESPE - CEHAP – PB 2009 ) Certificado digital é um arquivo eletrônico que contém
dados referentes a uma pessoa ou instituição, que podem ser utilizados para comprovar sua
identidade. (CERTO).
Questão: (FCC BACEN 2010) O Certificado Digital é um arquivo eletrônico que contém os dados de uma pessoa ou instituição, utilizados para comprovar sua identidade. Dentre as principais informações encontradas em um Certificado Digital, referentes ao usuário, citam-se: (A) códigos de acesso ao sistema. (B) informações biométricas para leitura ótica. (C) número de série e período de validade do certificado. (D) dados de identificação pessoal: RG, CPF ou CNPJ. (E) dados de localização: endereço e Cep.
29 Professor Léo Matos | Informática para Concursos
Os certificados digitais são emitidos por uma entidade chamada de AC ou CA (Autoridade
Certificadora) que atesta que a chave pública do usuário registrado é autentica.
Entre os campos obrigatórios do certificado digital encontra-se a identificação e a assinatura da
entidade que o emitiu, os quais permitem verificar a autenticidade e a integridade do certificado, veja
no exemplo acima que a organização Thawte Premium Server foi a Autoridade que Emitiu o
certificado para o Banco do Brasil. A AC é o principal componente de uma Infra-Estrutura de
Chaves Públicas e é responsável pela emissão dos certificados digitais.
Devo confiar em uma Autoridade Certificadora?
Confiar em um certificado emitido por uma AC é similar ao que ocorre em nosso dia a dia por
transações que não ocorrem de modo eletrônico. Por exemplo, uma pessoa ao chegar em uma loja
para fazer compras parceladas irá utilizar documentos como CPF ou RG para se identificar antes de
efetuar a compra para dar garantir uma garantia a empresa que irá efetuar o pagamento. Estes
documentos normalmente são emitidos pela Secretaria de Segurança de Pública e pela Secretaria da
Receita Federal e a empresa que está vendendo tem que confiar que esses documentos realmente
existem. Da mesma forma, os usuários podem escolher uma AC à qual desejam confiar à emissão de
um certificado digital.
Para a emissão dos certificados, as ACs possuem deveres e obrigações que são descritos em um
documento chamado de Declaração de Práticas de Certificação – DPC.
A DPC dever ser pública, para permitir que as pessoas possam saber como foi emitido o certificado
digital. Entre as atividades de uma AC, a mais importante é verificar a identidade da pessoa ou da
entidade antes da emissão do certificado digital. O certificado digital emitido deve conter
informações confiáveis que permitam a verificação da identidade do seu titular.
ICP – BRASIL (Infra-Estrutura de Chaves Públicas do BRASIL)
Para autenticar, homologar, auditar e fiscalizar o certificado digital, é necessário uma estrutura que
seja uma espécie de “cartório virtual”, começando pela Autoridade Certificadora Raiz (AC Raiz),
que é o principal nó de confiança para todos os outros abaixo dele - podem ser outras AC
subordinadas, que devem possuir uma cópia da chave pública da AC Raiz, e/ou Autoridades de
Registro (AR) para ajudá-las, já que é necessário ir fisicamente a uma AR e provar, com
documentação, que você é realmente quem diz ser ou que é o dono de uma empresa, criando assim
uma ICP (Infra-estrutura de chaves públicas).
30 Professor Léo Matos | Informática para Concursos
A Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil) é uma cadeia hierárquica e de confiança
que permite a emissão de certificados digitais para identificação de um usuário ou entidade quando
efetuada transações no meio eletrônico como a Internet.
A Infraestrutura da ICP – Brasil é composto de:
(AC Raiz) Autoridade certificador Raiz: Autoridade certificadora raiz é o topo da infra-estrutura
ICP-Brasil sendo responsável por controlar a emissão das chaves públicas e garantir que Autoridades
Certificadoras intermediárias são legais. A AC RAIZ emite um certificado digital para as
Autoridades intermediárias, mas não pode emitir certificados para os usuários finais. O ITI (instituto
de tecnologia da Informação) vinculada ao governo Brasileiro é a AC RAIZ da ICP-Brasil.
(AC) Autoridade certificadora intermediária: São subordinadas a AC RAIZ e devem seguir as
regras para emissão dos certificados digitais para os usuários finais.
Qualquer organização pode ser uma AC e fazer parte da ICP-Brasil; para isso, basta se
adequar às práticas, processos, regulamentos e políticas exigidos pela infra-estrutura de chave
pública brasileira, que estão descritos em feita pelo Comitê Gestor, e requisitar o seu devido registro
junto à AC Raiz. Assim que essa nova AC se incorpora à ICP-Brasil, os certificados emitidos por ela
valem em todo o território nacional e têm
validade jurídica.
Existem ACs públicas e privadas. Ex.: AC CEF (caixa econômica), AC Certisign, AC JUS, AC
Serpro e outros.
(AR ) Autoridade de Registro: São autoridades que ajudam as AC com os pedidos para obtenção de
certificados digitais, já que é necessário ir fisicamente a uma AR e provar, com documentação, que
você é realmente quem diz ser ou que é o dono de uma empresa. A obtenção de um certificado
digital pode ser feito por qualquer pessoa jurídica ou física, bastando apresentar a documentação
necessária a uma AR, que passará esses dados para a AC à qual é subordinada. A AR cria um par de
chaves para o usuário e envia a chave pública para AC que assina e devolve o certificado para AR,
com o nome, o e-mail, o CPF/CNPJ e a chave pública do seu titular, além do nome e sua assinatura
(Autoridade Certificadora emissora), período de validade e número de série do certificado digital. A
AR deve entregar o par de chaves (pública e privada) para o usuário, onde poderá optar pelo
certificado em Software (enviado por e-mail ou armazenado no seu computador) ou em Hardware
(Smart Cards ou Tokens USB).
31 Professor Léo Matos | Informática para Concursos
Smart Card criptográfico
Veja acima o certificado digital do Google e perceba a hierarquia da infra-estrutura. A empresa
Google adquiriu seu certificado com a AR Thawte SGC que está vinculada com Autoridade
Certificadora Verisign que é subordinada AC Raiz do Brasil.
Validade do certificado
O certificado digital, diferentemente dos documentos utilizados usualmente para identificação
pessoal como CPF e RG, possui um período de validade. Só é possível utilizar o certificado digital
para assinar ou criptografar um documento enquanto o certificado é válido. É possível, no entanto,
conferir as assinaturas realizadas mesmo após o certificado expirar.
Questão: (CESPE 2010 CEF) Acerca de certificação digital, assinale a opção
correta.
A. A infraestrutura de chaves públicas é uma rede privada que garante que seus usuários possuem login e senha pessoais e intransferíveis.
B. Uma autoridade de registro emite o par de chaves do usuário que podem
ser utilizadas tanto para criptografia como para assinatura de mensagens eletrônicas.
C. A autoridade certificadora raiz emite certificados para usuários de mais alto nível de sigilo em uma organização com uma chave de criptografia de
128 bits.
32 Professor Léo Matos | Informática para Concursos
D. A autoridade de registro recebe as solicitações de certificados dos usuários e as envia à autoridade certificadora que os emite.
E. uso de certificado digital garante o repúdio de comunicações oriundas de usuários ou sítios que possuem certificados válidos e emitidos por
entidades confiáveis.
SSL (Secure Socket Layer)
É um protocolo de segurança que utiliza criptografia para fazer comunicação entre o navegador e o
servidor de forma sigilosa.
Hoje a Internet é utilizada por muitas empresas para transações financeiras como é o caso de sites de
comércio eletrônico e de bancos. Essas aplicações disponibilizarão ao cliente formulário para
preenchimento de dados necessários para realizar a transação, como um site de comércio eletrônico
faz disponibilizando campos, nome, endereço, telefone, CPF, número do cartão de crédito e outros.
Assim o usuário deseja ter confiança de que estes dados preenchidos não serão vistos por pessoas
não autorizadas.
É muito importante antes de efetuar qualquer transação via formulários verificar se o site que você
está utilizando garante o sigilo da comunicação entre você e o servidor, e para fazer isso basta
verificar o endereço do site. Se possuir o endereço com o protocolo HTTP quer dizer que o
navegador não está se comunicando com o servidor de forma sigilosa, e se possuir HTTPS é a
utilização do protocolo HTTP sobre uma camada de segurança (SSL) que criptografa as informações
trocadas entre o navegador e o servidor.
No exemplo acima estamos observando a área de contatos do meu site com o endereço URL
“http://www.leomatos.com.br”, que apresenta um formulário que será preenchido e enviado de forma
não criptografada para o servidor, não garantindo o sigilo da comunicação.
33 Professor Léo Matos | Informática para Concursos
No exemplo acima estamos área de abertura de contas do site do Banco do Brasil com a URL
“HTTPS:// www16.bancodobrasil.com.br”,que apresenta um formulário que será preenchido e
enviado de forma criptografada para o servidor garantindo que se alguém interceptar as informações
no caminho não conseguirá entendê-las garantindo o principio da confidencialidade.
Embora o serviço que mais utilize o SSL seja o serviço de navegação na Web não se limita apenas
essa finalidade.
Naturalmente quando acessos um site que utiliza o protocolo HTTPS podemos observar a presença
de um cadeado ao lado do endereço no navegador utilizado.
A presença do cadeado não garante que o site é autêntico (verdadeiro) podendo até mesmo o usuário
estar utilizando um site falso (golpe de phishing). Até mesmo os sites falsos podem apresentar o
desenho do cadeado.
Então o que garante que o usuário está preenchendo um formulário e que o servidor que receberá a
mensagem é verdadeiro?
O usuário deve verificar se o site está utilizando realmente a chave pública do Banco do Brasil para
criptografar os dados do formulário através do certificado digital.
Para visualizar o certificado digital do Banco do Brasil basta o usuário clicar sobre o cadeado e pedir
para exibi-lo.
34 Professor Léo Matos | Informática para Concursos
O certificado digital trará informações suficientes para ter a garantia de que a chave pública utilizada
é realmente de um site verdadeiro (autêntico) e não de um fraudador que criou um site falso que
colocou uma chave pública falsa para criptografar os dados.
Questão: (CESPE - CEHAP – PB 2009 ) Secure Sockets Layer (SSL) consititui protocolo de
segurança que prevê privacidade na comunicação realizada por meio da Internet. (CERTO).
Questão: (CESPE 2010 BRB) O uso de HTTPS (HTTP seguro) permite que as informações
enviadas e recebidas em uma conexão na Internet estejam protegidas por meio de certificados
digitais. (CERTO).
Questão: (CESPE ABIN 2010) No Internet Explorer, ao acessar uma página por meio do protocolo
seguro HTTP, que utiliza o algoritmo de criptografia SSL (secure socket layer), o usuário é
35 Professor Léo Matos | Informática para Concursos
informado pelo navegador, mediante a exibição de um ícone contendo um cadeado, de que a conexão
é segura. (ERRADO).
Questão: (CESPE 2011 TRT 21ª) O acesso a um endereço de um sítio na Internet que se inicie com
https é feito por meio de uma conexão segura. Nesse contexto, a informação trafega em um canal
seguro, usando uma rede cuja segurança não é garantida. (CERTO).
VPN (Virtual private network – Rede Virtual privada)
É natural que muitas empresas tenham a expansão dos negócios em filiais espalhadas por muitos
estados ou até mesmo países. Quando essas filiais querem trocar informações é natural utilizar a
Internet, mas como é uma rede pública não existe privacidade nessas comunicações já que muitas
pessoas também estão conectadas o que torna a comunicação mais vulnerável a interceptações de
dados.
Quando uma empresa queria conectar suas filiais de forma privada era comum contratarem serviços
de telefonia dedicada a essas operações o que por sinal é muito inviável financeiramente falando.
Hoje empresas utilizam a VPN que é um canal (túnel) virtual privado que utiliza a própria rede
pública (Internet) para comunicação entre suas filiais.
Esse conceito parece um tanto contraditório! Como utilizar uma rede que é pública para
comunicação de forma privada?
A resposta está nos protocolos utilizados no momento da comunicação pela VPN, por tunelamento,
que é feita utilizando protocolos que criptografam as comunicações garantindo que somente pessoas
autorizadas tenho acesso a essas informações.
O projeto mais comum de uma VPN é equipar cada filial com um Firewall e criar túneis pela Internet
entre todos os pares de filiais utilizando os protocolos de criptografia. Veja abaixo:
Nota: As Intranets de Empresas podem ou não utilizar a VPN para que as filiais troquem
informações de forma criptografada.
36 Professor Léo Matos | Informática para Concursos
Questão (FCC BB 2011) No contexto de segurança do acesso a distância a computadores, é o processo que encapsula o pacote de dados, previamente protegido por mecanismos que o torna ilegível, podendo, dessa forma, trafegar em uma rede pública até chegar ao seu destino, onde é desencapsulado e tornado legível. Trata-se de: (A) autenticação. (B) gerenciador de chaves digitais. (C) conexão segura. (D) criptografia. (E) tunelamento.
Questão: (ESAF 2005 – SRF) Uma VPN é formada pelo conjunto de tunelamento que
permite a utilização de uma rede pública para o tráfego de informações e, com o auxílio da criptografia, permite um bom nível de segurança para as
informações que trafegam por essa conexão. (CERTO). Questão: (CESPE 2010 CEF) Uma VPN é uma rede virtual privada utilizada como alternativa
segura para usuários que não desejam utilizar a Internet. (ERRADO)
Questão: (CESPE 2008 SERPRO) Um usuário pode fazer um acesso seguro à intranet do SERPRO
usando a tecnologia VPN, que cria um túnel virtual com o computador do usuário, usando
criptografia. (CERTO).
37 Professor Léo Matos | Informática para Concursos
38 Professor Léo Matos | Informática para Concursos