A assinatura digital busca resolver dois problemas não garantidos apenas com uso da criptografia para codificar as informações: a Integridade e a Procedência. Ela utiliza uma função chamada one-way hash function, também conhecida como: compression function, cryptographic checksum, message digest ou fingerprint. Essa função gera uma sequencia de símbolos única (hash) sobre uma informação, se esse valor for o mesmo tanto no remetente quanto destinatário, significa que essa informação não foi alterada.
Mesmo assim isso ainda não garante total integridade, pois a informação pode ter sido alterada no seu envio e um novo hash pode ter sido calculado. Para solucionar esse problema, é utilizada a criptografia assimétrica com a função das chaves num sentido inverso, onde o hash é criptografado usando a chave privada do remetente, sendo assim o destinatário de posse da chave pública do remetente poderá decriptar o hash. Dessa maneira garantimos a procedência, pois somente o remetente possui a chave privada para codificar o hash que será aberto pela sua chave pública. Já o hash, gerado a partir da informação original, protegido pela criptografia, garantirá a integridade da informação.
Um certificado de chave pública, normalmente denominado apenas de certificado, é uma declaração assinada digitalmente que vincula o valor de uma chave pública à identidade da pessoa, ao dispositivo ou ao serviço que contém a chave particular correspondente. A maior parte dos certificados de uso comum se baseia no padrão de certificado X.509v31, aplicados em criptografia de chave pública - método de criptografia no qual duas chaves diferentes são usadas: uma chave pública para criptografar dados e uma chave particular para descriptografá-los. A criptografia de chave pública também é chamada de criptografia assimétrica.
Os certificados podem ser emitidos para diversos fins como, por exemplo, a autenticação de usuários da Web, a autenticação de servidores Web,
1 Versão 3 da recomendação X.509 da ITU (International Telecommunication Union) para formato e sintaxe de certificado. É o formato
de certificado padrão usado pelos processos com base em certificados do Windows XP. Um certificado X.509 inclui a chave pública e informações sobre a pessoa ou entidade para a qual o certificado é emitido, informações sobre o certificado, além de informações opcionais sobre a autoridade de certificação (CA) que emite o certificado.
email seguro, segurança do protocolo Internet (IPSec), segurança de camada de transporte do protocolo TCP/IP e assinatura de código.
Normalmente, os certificados contêm as seguintes informações: O valor da chave pública da entidade
As informações de identificação da entidade, como o nome e o endereço de email
O período de validade (tempo durante o qual o certificado é considerado válido)
Informações de identificação do emissor
A assinatura digital do emissor, que atesta a validade do vínculo entre a chave pública da entidade e as informações de identificação da entidade.
Um certificado só é válido pelo período de tempo nele especificado; cada certificado contém datas Válido de e Válido até, que definem os prazos do período de validade. Quando o prazo de validade de um certificado termina, a entidade do certificado vencido deve solicitar um novo certificado.
Se for preciso desfazer o vínculo declarado em um certificado, esse pode ser revogado pelo emissor. Cada emissor mantém uma lista de certificados revogados, que pode ser usada pelos programas quando a validade de um determinado certificado é verificada.
Uma das principais vantagens dos certificados é que os hosts não têm mais que manter um conjunto de senhas para entidades individuais que precisam ser autenticadas para obterem acesso. Em vez disso, o host simplesmente deposita confiança em um emissor de certificados.
Quando um host, como um servidor Web seguro, designa um emissor como uma autoridade raiz confiável, ele confia implicitamente nas diretivas usadas pelo emissor para estabelecer os vínculos dos certificados que emite. Na prática, o host confia no fato de que o emissor verificou a identidade da entidade do certificado. Um host designa um emissor como uma autoridade raiz confiável colocando o certificado auto-assinado do emissor, que contém a chave pública do emissor, no armazenamento de certificado da autoridade de certificação raiz confiável do computador host. As autoridades de certificação intermediárias ou subordinadas serão confiáveis somente se tiverem um caminho de certificação válido de uma autoridade de certificação raiz confiável.
Prof. LENIN E JUNIOR www.estrategiaconcursos.com.br 50/116 4 VPNs - Virtual Private Network
Uma Virtual Private Network (VPN) ou Rede Virtual Privada é uma rede privada (rede com acesso restrito) construída sobre a estrutura de uma rede pública (recurso público, sem controle sobre o acesso aos dados), normalmente a Internet. Ou seja, ao invés de se utilizar links dedicados ou redes de pacotes para conectar redes remotas, utiliza-se a infraestrutura da Internet, uma vez que para os usuários a forma como as redes estão conectadas é transparente.
Normalmente as VPNs são utilizadas para interligar empresas onde os custos de linhas de comunicação direta de dados são elevados. Elas criam “túneis” virtuais de transmissão de dados utilizando criptografia para garantir a privacidade e integridade dos dados, e a autenticação para garantir que os dados estão sendo transmitidos por entidades ou dispositivos autorizados e não por outros quaisquer. Uma VPN pode ser criada tanto por dispositivos específicos, softwares ou até pelo próprio sistema operacional.
Alguns aspectos negativos também devem ser considerados sobre a utilização de VPNs:
Perda de velocidade de transmissão: as informações criptografadas têm seu tamanho aumentado, causando uma carga adicional na rede.
Maiores exigências de processamento: o processo de criptografar e decriptar as informações transmitidas gera um maior consumo de processamento entre os dispositivos envolvidos.
5 Backup
O procedimento de backup (cópia de segurança) pode ser descrito de forma simplificada como copiar dados de um dispositivo para o outro com o objetivo de posteriormente recuperar as informações, caso haja algum problema.
Ou seja, copiar nossas fotos digitais, armazenadas no HD (disco rígido), para um DVD é fazer backup. Se houver algum problema com o HD ou se acidentalmente apagarmos as fotos, podemos então restaurar os arquivos a partir do DVD. Nesse exemplo, chamamos as cópias das fotos no DVD de cópias de segurança ou backup. Chamamos de restauração o processo de copiar os dados de volta ao local original.
No Windows XP, por exemplo, tem-se o software Microsoft Backup, que irá ajudá-lo nesta tarefa. Ao clicar com o botão direito do mouse no ícone de um arquivo do Windows XP, e selecionar a opção Propriedades; em seguida, guia geral ->Avançado, será exibida uma caixa “o arquivo está
pronto para ser arquivado”, marcada como padrão (No Windows XP, leia-
se arquivo morto).
A tela seguinte desta a opção de “arquivo morto” obtida ao clicar com o botão direito do mouse no arquivo intitulado lattes.pdf, do meu computador que possui o sistema operacional Windows 7.
Prof. LENIN E JUNIOR www.estrategiaconcursos.com.br 52/116 Quando um arquivo está com esse atributo marcado, significa
que ele deverá ser copiado no próximo backup.
Se estiver desmarcado, significa que, provavelmente, já foi feito um backup deste arquivo.
Já no Windows 7 temos as seguintes ferramentas (assim chamadas pela empresa Microsoft):
Ferramenta Descrição
Backup do arquivo
O Backup do Windows permite fazer cópias dos arquivos de dados para todas as pessoas que usam o computador. Você pode permitir que o Windows escolha o que será incluído no backup ou pode selecionar unidades, bibliotecas ou pastas individuais para o backup. Por padrão, os backups são criados periodicamente. Você pode alterar o agendamento e criar um backup manualmente em qualquer momento. Uma vez configurado o Backup do Windows, o Windows mantém o controle dos arquivos e das pastas que são novas ou modificadas e as adiciona ao backup. Backup da
imagem do
O Backup do Windows oferece a capacidade de criar uma imagem do sistema, que é uma imagem exata de
Ferramenta Descrição
sistema uma unidade. Uma imagem do sistema inclui o Windows e as configurações do sistema, os programas e os arquivos. Você poderá usar uma imagem do sistema para restaurar o conteúdo do computador, se um dia o disco rígido ou o computador pararem de funcionar. Quando você restaura o computador a partir de uma imagem do sistema, trata-se de uma restauração completa; não é possível escolher itens individuais para a restauração, e todos os atuais programas, as configurações do sistema e os arquivos serão substituídos. Embora esse tipo de backup inclua arquivos pessoais, é recomendável fazer backup dos arquivos regularmente usando o Backup do Windows, a fim de que você possa restaurar arquivos e pastas individuais conforme a necessidade. Quando você configurar um backup de arquivos agendado, poderá escolher se deseja incluir uma imagem do sistema. Essa imagem do sistema inclui apenas as unidades necessárias à execução do Windows. Você poderá criar manualmente uma imagem do sistema se quiser incluir unidades de dados adicionais.
Versões anteriores
As versões anteriores são cópias de arquivos e pastas que o Windows salva automaticamente como parte da proteção do sistema. Você pode usar versões anteriores para restaurar arquivos ou pastas que modificou ou excluiu acidentalmente ou que estavam danificados. Dependendo do tipo de arquivo ou pasta, você pode abrir, salvar em um local diferente ou restaurar uma versão anterior. As versões anteriores podem ser úteis, mas não devem ser consideradas como um backup porque os arquivos são substituídos por novas versões e não estarão disponíveis se a unidade vier a falhar.
Restauração do sistema
A Restauração do Sistema o ajuda a restaurar arquivos do sistema do computador para um ponto anterior no tempo. É uma forma de desfazer alterações do sistema no computador sem afetar os arquivos pessoais, como email, documentos ou fotos. A Restauração do Sistema usa um recurso chamado proteção do sistema para
Prof. LENIN E JUNIOR www.estrategiaconcursos.com.br 54/116 Ferramenta Descrição
criar e salvar regularmente pontos de restauração no computador. Esses pontos de restauração contêm informações sobre as configurações do Registro e outras informações do sistema que o Windows usa. Também é possível criar pontos de restauração manualmente.
Rsrsrsrs, eu ainda não configurei o backup do meu Windows 7. Isto acontece sempre, porque preciso formatar o tempo todo por conta das aulas (preciso sempre de um sistema limpo para que fique de acordo com os editais).
Principais TIPOS de Backup: NORMAL (TOTAL ou GLOBAL)
COPIA TODOS os arquivos e pastas selecionados.
DESMARCA o atributo de arquivo morto (Windows). O sistema entende, assim, que estes arquivos passaram por um processo de backup.
Caso necessite restaurar o backup normal, você só precisa da cópia mais recente.
Normalmente, este backup é executado quando você cria um conjunto de backup pela 1ª vez.
Agiliza o processo de restauração, pois somente um backup será restaurado.
INCREMENTAL
Copia somente os arquivos CRIADOS ou ALTERADOS desde o último backup normal ou incremental.
O atributo de arquivo morto (Windows) É DESMARCADO. Isto faz com que um arquivo copiado não entre no próximo backup incremental, exceto se for alterado.
Para restaurar é preciso usar o backup normal (completo) e todos os demais backups incrementais efetuados.
DIFERENCIAL
Copia somente os arquivos CRIADOS ou ALTERADOS desde o último backup normal.
O atributo de arquivo morto (Windows) NÃO É ALTERADO. Isto faz com que o arquivo de um passo diferencial, seja novamente copiado em um próximo passo diferencial.
Para a restauração deste backup é preciso apenas ao backup completo (normal) e o último diferencial.
6 QUESTÕES COMENTADAS
1. (2550/CESGRANRIO/2015/PETROBRAS/TÉCNICO DE ADMINISTRAÇÃO E CONTROLE JÚNIOR/Q.23) Baseada nas melhores práticas para segurança da informação, uma instituição governamental visa à melhor gestão dos seus ativos e classificação das informações. Três dentre os critérios mínimos aceitáveis para atingir esse objetivo são:
(A) integridade, sigilo e amplitude
(B) recorrência, disponibilidade e transparência (C) área de gestão, nível hierárquico e autorização (D) disponibilidade, restrição de acesso e integração (E) confidencialidade, criticidade e prazo de retenção Comentários
Baseada nas melhores práticas para segurança da informação, uma instituição governamental visa à melhor gestão dos seus ativos e classificação das informações. E para implementar uma política de segurança a classificação das informações é um dos primeiros passos, podendo assim definir os mecanismos de segurança mais adequados para sua proteção.
A classificação da informação segue a prioridade de acordo com o seu grau de confidencialidade, criticidade, disponibilidade, integridade e prazo de retenção.
Podemos então afirmar que os três dentre os critérios mínimos aceitáveis para atingir esse objetivo são os descritos no item E.
GABARITO: E.
2. (2743/CESGRANRIO/2015/BANCO DO
BRASIL/ESCRITURÁRIO/Q.52) O gerente de uma agência recebeu um e-mail, supostamente reenviado por um cliente, com o seguinte conteúdo
Prezado Amigo, você acaba de ser contemplado(a) na promoção Compra Premiada COMPRASRAPIDO e ganhou R$ 1.000,00 (Mil Reais) em vale compras em qualquer estabelecimento que tenha as máquinas
COMPRASRAPIDO.
Clique no botão abaixo e cadastre-se.
Qual deve ser a providência do gerente?
(A) Clicar no botão e candidatar-se ao prêmio. (B) Contatar o cliente e perguntar do que se trata.
(C) Devolver o e-mail ao cliente, solicitando informações suplementares. (D) Encaminhar o e-mail aos amigos, celebrando o fato e incentivando-os a participar da promoção.
(E) Contatar o órgão responsável pela segurança da informação, relatar o fato e perguntar como proceder.
Comentários
Uma boa dica de segurança no uso da internet é ter atenção a estas premiações enviadas via e-mail. Parta do princípio, de que muito provavelmente este tipo de e-mail é um Phishing, um tipo de fraude eletrônica projetada para roubar informações particulares que sejam valiosas para cometer um roubo ou fraude posteriormente.
Neste tipo de golpe uma pessoa mal-intencionada utiliza-se de pretextos falsos para enganar o receptor da mensagem e induzi-lo a fornecer
informações sensíveis (números de cartões de crédito, senhas, dados de contas bancárias, entre outras). Normalmente, o usuário é induzido a baixar e executar arquivos que permitam o roubo futuro de informações ou o acesso não autorizado ao sistema da vítima, podendo até
redirecionar a página da instituição (financeira ou não) para os sites falsificados.
GABARITO: E.
3. (2545/CESGRANRIO/2015/PETROBRAS/TÉCNICO DE ADMINISTRAÇÃO E CONTROLE JÚNIOR/Q.19)
Um grupo de torcedores, insatisfeitos com o resultado do jogo em que seu time sofreu uma goleada, planejou invadir a rede de computadores do estádio onde ocorreu a disputa para tentar alterar o placar do jogo. Os torcedores localizaram a rede, porém, entre a rede interna e a externa, encontraram uma barreira que usou tecnologia de filtragem dos pacotes que eles estavam tentando enviar.
Essa barreira de segurança de filtro dos pacotes é o (A) firewall (B) antivírus (C) antispam (D) proxy (E) PKI Comentários
Os torcedores se depararam com um firewall. É ele que tem a função de filtrar os pacotes e, então, bloquear as transmissões não permitidas. O firewall atua entre a rede externa e interna, controlando o tráfego de informações que existem entre elas, procurando certificar-se de que este tráfego é confiável, em conformidade com a política de segurança do site acessado. Também pode ser utilizado para atuar entre redes com
necessidades de segurança distintas. GABARITO: A.
4. (269/CESGRANRIO/2014/BANCO DO
BRASIL/ESCRITURÁRIO/Q.53) Analise o diálogo apresentado a seguir. - Sr. José, bom dia: Aqui fala o suporte técnico do seu provedor de
- Sim, bastante.
- Sr. José, constatamos uma ligeira redução na velocidade da sua conexão e por isso gostaríamos de confirmar alguns dados para poder estar
melhorando o serviço que lhe prestamos. É possível? - Pois não! - O seu endereço é rua do Bastião, 37? - Sim.
- O seu e-mail é jose.arrose@empresa.com.br? - Sim.
- Muito obrigado, Sr. José, seus dados foram confirmados e podemos continuar nossa entrevista. O seu histórico de cliente bom pagador gerou um benefício. A sua velocidade de conexão será aumentada sem qualquer acréscimo na sua mensalidade. Bons clientes, melhores serviços. O senhor aceita esse prêmio por bom relacionamento?
- Sim.
- Sr. José, podemos fazer isso imediatamente, nossos recursos de acesso remoto incorporaram novas funcionalidades que permitem que eu mesmo, com um simples comando no meu computador, modifique a configuração do seu modem e troque essa velocidade. O senhor autoriza essa
manobra? São 10 M em lugar do seus 2 M atuais. - Sim.
- O senhor, então, pode ditar sua senha de acesso, por favor? - 4 5 2 8 4 7 9 3.
- Muito obrigado, Sr. José. Aguarde uns 30 min e verifique como estarão mais rápidos os seus acessos. O seu provedor agradece.
Esse diálogo caracteriza um ataque à segurança da informação conhecido por
c) spyware
d) técnica de entrevista e) engenharia social Comentários
O diálogo caracteriza um ataque de Engenharia Social, um método de se obter dados importantes de pessoas através da velha “lábia”. É a técnica que explora as fraquezas humanas e sociais, em vez de explorar a
tecnologia. GABARITO: E.
5. (270/CESGRANRIO/2014/BANCO DO
BRASIL/ESCRITURÁRIO/Q.54) Há características importantes que distinguem os códigos maliciosos denominados worm daqueles denominados trojan. Uma dessas características é a
a) autorreplicação automática pela rede
b) instalação por execução de arquivo infectado c) contaminação através de redes sociais
d) contaminação por compartilhamento de arquivos e) instalação por execução explícita do código malicioso Comentários
O worm que é um malware que se propaga automaticamente pelas redes, enviando cópias de si mesmo de computador para computador. Já um Trojan ou Cavalo de Troia é um programa aparentemente inofensivo que entra em seu computador na forma de cartão virtual, álbum de fotos, protetor de tela, jogo etc, e que necessita ser executado (com a sua autorização!) para que o malware seja disparado.
Note que dentre as características apresentadas na questão, a
autorreplicação automática pela rede é a característica que distingue o código malicioso denominado worm daqueles denominados trojan.
GABARITO: A.
6. (273/CESGRANRIO/2014/BANCO DA AMAZONIA/TECNOLOGIA DA INFORMAÇÃO/Q.53) As pragas computacionais se alastram com grande velocidade pela rede de dados quando conseguem explorar vulnerabilidades nos serviços dos sistemas operacionais. Os códigos maliciosos que utilizam a rede de dados como principal meio de proliferação são classificados como
a) trojans b) flooders c) downloaders d) worms e) backdoors Comentários
O worm é um malware que não precisa de um programa hospedeiro e que se replica automaticamente, enviando cópias de si mesmo de computador para computador.
Flood é um termo em inglês que significa “encher” ou “inundar”, um
flooder é um inundador na internet, ou seja, o flooder é um programa que sobrecarrega um servidor, por exemplo criando tantas conexões com o servidor que este interrompe os serviços (ataque DoS).
Downloaders não é um termo que designa um malware ou qualquer tipo de ataque. Download é a ação de obter dados da rede.
Cavalo de troia, trojan ou trojan-horse, é um programa que executa as funções para as quais foi aparentemente projetado, porém executa outras funções (normalmente maliciosas), sem o conhecimentodo usuário.
A forma usual de inclusão de um backdoor (programa projetado para permitir o retorno de um invasor ao sistema invadido) consiste na
disponibilização de um novo serviço ou substituição de um determinado serviço por uma versão alterada, normalmente possuindo recursos que
GABARITO: D.
7. (268/CESGRANRIO/2014/BANCO DO AMAZONIA/MÉDICO DO TRABALHO/Q.28) A Intranet da Agência Nacional de Saúde Suplementar (ANS), a Intrans, é ganhadora da quinta edição do Prêmio Intranet Portal, na categoria Colaboração. A ferramenta inovou em colaboração, integrando, desde o ano passado, servidores e colaboradores da ANS. Por intermédio da Intrans, sugestões, críticas, notícias, eventos, notas técnicas e normas, entre outros itens, são disponibilizados dia a dia dentro da ANS.
Disponível em: <http://www.ans.gov.br/a-ans/sala-de-noticias-ans/a-ans /2213-intranet-da-ans-ganha-premio-de-abrangencia-nacional>. Acesso em: 22 ago. 2013.
Intranets podem ser utilizadas para uma grande diversidade de serviços, que podem ser acessados por colaboradores ou associados. Para que um usuário tenha acesso a uma Intranet de uma empresa ou instituição, com um acesso seguro às informações críticas da instituição ou empresa, é necessário que esse usuário utilize
a) somente máquinas que estejam fisicamente localizadas dentro da mesma rede local da empresa.
b) somente máquinas específicas que estejam fisicamente localizadas dentro da mesma rede local da empresa.
c) somente máquinas que estejam dentro da mesma rede local ou dentro