Segurança da Informação Curso

CURSO ON-LINE PACOTE DE EXERCCIOS PARA MPU REA ADMINISTRATIVA - NOES DE INFORMTICA PROFESSORA: PATRCIA LIMA QUINTO AULA
A 5 SEGURANA DA INFORMAO (PARTE II) Querida (o)s aluna (o)s! Por fim trago para vocs a segunda parte da nossa ltima aula do curso com foco no tema segurana da informao. Espero que aproveitem! O que significa SEGURANA? colocar tranca nas portas de sua casa? ter as suas informaes guardadas de forma suficientemente segura para que pessoas no-autorizadas no tenham acesso a elas? Vamos nos preparar para que a prxima vtima no seja voc !!! A segurana uma palavra que est presente em nosso cotidiano e refere-se a um estado de proteo, em que estamos livres de perigos e incertezas. A Tecnologia da informao s se torna uma ferramenta capaz de alavancar verdadeiramente os negcios, quando seu uso est vinculado s medidas de proteo dos dados corporativos. nesse contexto que a definio de um Modelo de Segurana da Informao deixa de ser custo associado a idias exticas, para se tornar investimento capaz de assegurar a sobrevivncia da empresa e a continuidade dos negcios da organizao. Segurana da informao o processo de proteger a informao de diversos tipos de ameaas externas e internas para garantir a continuidade dos negcios, minimizar os danos aos negcios e maximizar o retorno dos investimentos e as oportunidades de negcio. A segurana da informao no deve ser tratada como um fator isolado e tecnolgico apenas, mas sim como a gesto inteligente da informao em todos os ambientes, desde o ambiente tecnolgico passando pelas aplicaes, infraestrutura e as pessoas. Solues pontuais isoladas no resolvem toda a problemtica associada segurana da informao. Segurana se faz em pedaos, porm todos eles integrados, como se fossem uma corrente.
Segurana se faz protegendo todos os elos da corrente, ou seja, todos os ativos (fsicos, tecnolgicos e humanos) que compem seu negcio. v.2.0 www.pontodosconcursos.com.br
CURSO ON-LINE PACOTE DE EXERCCIOS PARA MPU REA ADMINISTRATIVA - NOES DE INFORMTICA PROFESSORA: PATRCIA LIMA QUINTO Afinal, o poder de proteo da corrente est diretamente associado ao elo mais fraco! Em uma corporao, a segurana est ligada a tudo o que manipula direta ou indiretamente a informao (inclui-se a tambm a prpria informao e os usurios!!!), e que merece proteo. Esses elementos so chamados de ativos, e podem ser divididos em: tangveis: informaes impressas, mveis, hardware (Ex.:impressoras, scanners); intangveis: marca de um produto, nome da empresa, confiabilidade de um rgo federal; lgicos: informaes armazenadas em uma rede, sistema ERP (sistema de gesto integrada); fsicos: galpo, sistema de eletricidade, estao de trabalho; humanos: funcionrios. Os ativos so os elementos que sustentam a operao do negcio e estes sempre traro consigo VULNERABILIDADES que, por sua vez, submetem os ativos a AMEAAS. Quanto maior for a organizao maior ser sua dependncia com relao informao, que pode estar armazenada de vrias formas: impressa em papel, em meios digitais (discos, fitas, DVDs, disquetes, pendrives, etc), na mente das pessoas, em imagens armazenadas em fotografias/filmes... Nesse sentido, propsito da segurana proteger os elementos que fazem parte da comunicao, so eles: as informaes; os equipamentos e sistemas que oferecem suporte a elas; as pessoas que as utilizam. Princpios da segurana da informao A segurana da informao busca proteger os ativos de uma empresa ou indivduo com base na preservao de alguns princpios. Vamos ao estudo de cada um deles!! Os quatro princpios considerados centrais ou principais, mais comumente cobrados em provas, so a confidencialidade, a integridade, a disponibilidade e a autenticidade ( possvel encontrar a sigla CIDA, ou DICA, para fazer meno a estes princpios!). Confidencialidade (sigilo): a garantia de que a informao no ser conhecida por quem no deve. O acesso s informaes deve ser limitado, ou seja, somente as pessoas explicitamente autorizadas podem acess-las. Perda de confidencialidade significa perda de segredo. Se uma informao for confidencial, ela ser secreta e dever ser guardada com segurana, e no divulgada para pessoas no-autorizadas. Exemplo: o nmero do seu carto de crdito s poder ser conhecido por voc e pela loja onde usado. Se esse nmero for descoberto por algum malintencionado, o prejuzo causado pela perda de confidencialidade poder ser
v.2.0
www.pontodosconcursos.com.br
CURSO ON-LINE PACOTE DE EXERCCIOS PARA MPU REA ADMINISTRATIVA - NOES DE INFORMTICA PROFESSORA: PATRCIA LIMA QUINTO elevado, j que podero se fazer passar por voc para realizar compras pela Internet, proporcionando-lhe prejuzos financeiros e uma grande dor de cabea! Integridade: esse princpio destaca que a informao deve ser mantida na condio em que foi liberada pelo seu proprietrio, garantindo a sua proteo contra mudanas intencionais, indevidas ou acidentais. Em outras palavras, a garantia de que a informao que foi armazenada a que ser recuperada!!! A quebra de integridade pode ser considerada sob 2 aspectos: 1. alteraes nos elementos que suportam a informao - so feitas alteraes na estrutura fsica e lgica em que uma informao est armazenada. Por exemplo quando so alteradas as configuraes de um sistema para ter acesso a informaes restritas; 2. alteraes do contedo dos documentos:
ex1.: imagine que algum invada o notebook que est sendo utilizado para realizar a sua declarao do Imposto de Renda deste ano, e, momentos antes de voc envi-la para a Receita Federal a mesma alterada sem o seu consentimento! Neste caso, a informao no ser transmitida da maneira adequada, o que quebra o princpio da integridade; ex2: alterao de sites por hackers (vide a figura seguinte, retirada de http://www.attrition.org).
Figura. Site que teve seu contedo alterado indevidamente
Disponibilidade: a garantia de que a informao deve estar disponvel, sempre que seus usurios (pessoas e empresas autorizadas) necessitarem, no importando o motivo. Em outras palavras, a garantia que a informao sempre poder ser acessada!!! Como exemplo, h quebra do princpio da disponibilidade quando voc decidir enviar a sua declarao do Imposto de Renda pela Internet, no ltimo dia possvel, e o site da Receita Federal estiver indisponvel.
v.2.0
CURSO ON-LINE PACOTE DE EXERCCIOS PARA MPU REA ADMINISTRATIVA - NOES DE INFORMTICA PROFESSORA: PATRCIA LIMA QUINTO Assim, desejamos entregar a informao CORRETA, para a pessoa CERTA, no momento CORRETO!!! Entenderam?? Eis a essncia da aplicao dos trs princpios acima destacados. Ainda, cabe destacar que a perda de pelo menos um desses princpios j ir ocasionar impactos ao negcio (a surgem os incidentes de segurana!!) Autenticidade: a capacidade de garantir a identidade de uma pessoa (fsica ou jurdica) que acessa as informaes do sistema ou de um servidor (computador) com quem se estabelece uma transao (de comunicao, como um e-mail, ou comercial, como uma venda on-line).
Outros princpios podem ser tambm levados em considerao. So eles: Confiabilidade: pode ser caracterizada como a condio em que um sistema de informao presta seus servios de forma eficaz e eficiente. Ou melhor, um sistema de informao ir desempenhar o papel que foi proposto para si. No-repdio (irretratabilidade): a garantia de que um agente no consiga negar (dizer que no foi feito) uma operao ou servio que modificou ou criou uma informao. Tal garantia condio necessria para a validade jurdica de documentos e transaes digitais. S se pode garantir o no-repdio quando houver autenticidade e integridade (ou seja, quando for possvel determinar quem mandou a mensagem e garantir que a mesma no foi alterada). Legalidade: aderncia do sistema legislao. Auditoria: a possibilidade de rastrear o histrico dos eventos de um sistema para determinar quando e onde ocorreu uma violao de segurana, bem como identificar os envolvidos nesse processo. Privacidade: diz respeito ao direito fundamental de cada indivduo de decidir quem deve ter acesso aos seus dados pessoais. A privacidade a capacidade de um sistema manter incgnito um usurio (capacidade de um usurio realizar operaes em um sistema sem que seja identificado), impossibilitando a ligao direta da identidade do usurio com as aes por este realizadas. Privacidade uma caracterstica de segurana requerida, por exemplo, em eleies secretas. Uma informao privada deve ser vista, lida ou alterada somente pelo seu dono. Esse princpio difere da confidencialidade, pois uma informao pode ser considerada confidencial, mas no privada.
Quando falamos em segurana da informao, estamos nos referindo a salvaguardas para manter a confidencialidade, integridade, disponibilidade e demais aspectos da segurana das informaes dentro das necessidades do cliente. Vulnerabilidades de Segurana Vulnerabilidade: ponto pelo qual algum pode ser atacado, molestado ou ter suas informaes corrompidas.
v.2.0
CURSO ON-LINE PACOTE DE EXERCCIOS PARA MPU REA ADMINISTRATIVA - NOES DE INFORMTICA PROFESSORA: PATRCIA LIMA QUINTO Um conceito bastante comum para o termo vulnerabilidade -> trata-se de falha no projeto, implementao ou configurao de software ou sistema operacional que, quando explorada por um atacante, resulta na violao da segurana de um computador. Em outras palavras, vulnerabilidade uma fragilidade que poderia ser explorada por uma ameaa para concretizar um ataque. O conhecimento do maior nmero de vulnerabilidades possveis permite equipe de segurana tomar medidas para proteo, evitando assim ataques e conseqentemente perda de dados. No h uma receita ou lista padro de vulnerabilidades. Esta deve ser levantada junto a cada organizao ou ambiente em questo. Sempre se deve ter em mente o que precisa ser protegido e de quem precisa ser protegido de acordo com as ameaas existentes. Podemos citar como exemplo inicial, uma anlise de ambiente em uma sala de servidores de conectividade e Internet com a seguinte descrio: a sala dos servidores no possui controle de acesso fsico!! Eis a vulnerabilidade detectada nesse ambiente. Outros exemplos de vulnerabilidades: uso de senhas no encriptadas, mal formuladas e mal utilizadas; ambientes com informaes sigilosas com acesso no controlado; software mal desenvolvido; hardware sem o devido acondicionamento e proteo; falta de atualizao de software e hardware; falta de mecanismos de monitoramento e controle (auditoria); ausncia de pessoal capacitado para a segurana; inexistncia de polticas de segurana. A seguir sero citadas as vulnerabilidades existentes em uma organizao, segundo classificao prpria da rea: Vulnerabilidades Fsicas So aquelas presentes em ambientes onde se armazenam as informaes, como: instalaes prediais fora do padro; ausncia de recursos para combate a incndios; CPDs mal planejados; disposio desorganizada de fios de energia e cabos de rede; ausncia de controle de acesso fsico etc. Vulnerabilidades de Hardware Compreendem possveis defeitos de fabricao, erros de configurao ou falhas nos equipamentos. Como exemplos citam-se erros decorrentes da instalao, desgaste, obsolescncia ou m utilizao do equipamento etc. importante observar detalhes como o dimensionamento adequado do equipamento, ou seja, se sua capacidade de armazenamento, processamento e
v.2.0
CURSO ON-LINE PACOTE DE EXERCCIOS PARA MPU REA ADMINISTRATIVA - NOES DE INFORMTICA PROFESSORA: PATRCIA LIMA QUINTO velocidade esto compatveis com as necessidades, de modo a no sub ou super dimension-lo. Vulnerabilidades de Software So possveis falhas de programao, erros de instalao e configurao, que podem, por exemplo, causar acesso indevido, vazamento de informaes, perda de dados etc. Sistemas operacionais so altamente visados para ataque, pois atravs deles possvel ter acesso ao hardware do computador. Ataques como estes so de alta gravidade, e podem comprometer todo o sistema. Algumas empresas, ao identificarem alguma vulnerabilidade em seus softwares, lanam boletins informativos a fim de alertar os usurios, e normalmente disponibilizam pacotes de atualizao, denominados Service Packs, para correo desta vulnerabilidade. Vulnerabilidades de Armazenamento Relacionadas com a forma de utilizao das mdias (disquetes, CD-ROMs, fitas magnticas, discos rgidos dos servidores etc) em que esto armazenadas as informaes, como armazenamento de disquetes em local inadequado etc. Vulnerabilidades de Comunicao Relacionadas com o trfego de informaes, independente do meio de transmisso, podendo envolver ondas de rdio, satlite, fibra tica etc. Podem, por exemplo, permitir acesso no autorizado ou perda de dados durante a transmisso de uma informao. A escolha do meio de transmisso e das medidas de segurana de suma importncia, pois a informao poder ser interceptada antes de chegar ao destino. Uma opo de segurana nesse contexto envolveria por exemplo o uso de criptografia1. Vulnerabilidades Humanas Relacionadas aos danos que as pessoas podem causar s informaes e ao ambiente tecnolgico que as suporta, podendo ser intencionais ou no. Pode ocorrer devido a desconhecimentos das medidas de segurana, falta de capacitao para execuo da tarefa dentro dos princpios de segurana, erros e omisses. Algumas empresas ao identificarem alguma vulnerabilidade em seus produtos lanam boletins informativos a fim de alertar os usurios, e normalmente disponibilizam pacotes de atualizao, denominados Service Packs, para correo desta vulnerabilidade. Ameaas aos Sistemas de Informao Ameaa algo que possa provocar danos segurana da informao, prejudicar as aes da empresa e sua sustentao no negcio, mediante a explorao de uma determinada vulnerabilidade.
Criptografia o processo de converter dados em um formato que no possa ser lido por um outro usurio, a no ser o usurio que criptografou o arquivo. Descriptografia o processo de converter dados do formato criptografado no seu formato original.
v.2.0
CURSO ON-LINE PACOTE DE EXERCCIOS PARA MPU REA ADMINISTRATIVA - NOES DE INFORMTICA PROFESSORA: PATRCIA LIMA QUINTO Em outras palavras, uma ameaa tudo aquilo que pode comprometer a segurana de um sistema, podendo ser acidental (falha de hardware, erros de programao, desastres naturais, erros do usurio, bugs de software, uma ameaa secreta enviada a um endereo incorreto, etc.) ou deliberada (roubo, espionagem, fraude, sabotagem, invaso de hackers, entre outros). Ameaa pode ser uma pessoa, uma coisa, um evento ou uma idia capaz de causar dano a um recurso, em termos de confidencialidade, integridade, disponibilidade, etc. Seguindo o exemplo da sala dos servidores, poderamos identificar a ameaa da seguinte forma: fraudes, sabotagens, roubo de informaes, paralisao dos servios. Basicamente existem dois tipos de ameaas: internas e externas. Ameaas internas: esto presentes, independentemente das empresas estarem ou no conectadas Internet. Podem causar desde incidentes leves at os mais graves, como a inatividade das operaes da empresa. Ameaas externas: so aqui representadas por todas tentativas de ataque e desvio de informaes vindas de fora da empresa. Normalmente essas tentativas so realizadas por pessoas com a inteno de prejudicar a empresa ou para utilizar seus recursos para invadir outras empresas. Origem das Ameaas Muitas tcnicas usadas para recuperar dados aparentemente destrudos so similares s utilizadas em discos rgidos em condies menos severas. O valor dos dados pode ser incomensurvel. Em muitos casos as empresas e outras entidades que passam por um desastre deste porte percebem suas falhas. Mesmo aquelas que fazem backup de seus dados correm risco, ao menos que armazenem seus backups em outro local. Reconstruir arquivos de clientes, base de dados de sistemas financeiros e inventrios pode ser impossvel. Muitas podem ir falncia aps um desastre desta natureza. Malwares Os malwares tambm se enquadram na categoria de ameaas. Malware uma expresso usada para todo e quaisquer softwares maliciosos, ou seja, programados com o intuito de prejudicar os sistemas de informao, alterar o funcionamento de programas, roubar informaes, causar lentides de redes computacionais, dentre outros. Resumindo, malware so programas que executam deliberadamente aes mal-intencionadas em um computador!! Os tipos mais comuns de malware: vrus, worms, bots, cavalos de tria, spyware, keylogger, screenlogger, esto descritos a seguir. Vrus: so pequenos cdigos de programao maliciosos que se agregam a arquivos e so transmitidos com eles. Quando o arquivo aberto na memria RAM, o vrus tambm , e, a partir da se propaga infectando, isto , inserindo cpias de si mesmo e se tornando parte de outros programas e arquivos de um computador. O vrus depende da execuo do programa ou arquivo hospedeiro
v.2.0
CURSO ON-LINE PACOTE DE EXERCCIOS PARA MPU REA ADMINISTRATIVA - NOES DE INFORMTICA PROFESSORA: PATRCIA LIMA QUINTO para que possa se tornar ativo e dar continuidade ao processo de infeco. Alguns vrus so inofensivos, outros, porm, podem danificar um sistema operacional e os programas de um computador. Worms: so programas parecidos com vrus, mas que na verdade so capazes de se propagarem automaticamente atravs de redes, enviando cpias de si mesmo de computador para computador (observe que os worms apenas se copiam, no infectam outros arquivos, eles mesmos so os arquivos!!). Alm disso, geralmente utilizam as redes de comunicao para infectar outros computadores (via e-mails, Web, FTP, redes das empresas, etc). Diferentemente do vrus, o worm no embute cpias de si mesmo em outros programas ou arquivos e no necessita ser explicitamente executado para se propagar. Sua propagao se d atravs da explorao de vulnerabilidades existentes ou falhas na configurao de softwares instalados em computadores. Bots: de modo similar ao worm, um programa capaz se propagar automaticamente, explorando vulnerabilidades existentes ou falhas na configurao de software instalado em um computador. Adicionalmente ao worm, dispe de mecanismos de comunicao com o invasor, permitindo que o bot seja controlado remotamente. Trojan horse (Cavalo de tria): um programa aparentemente inofensivo que entra em seu computador na forma de carto virtual, lbum de fotos, protetor de tela, jogo etc, e que, quando executado (com a sua autorizao!), parece lhe divertir, mas, por trs abre portas de comunicao do seu computador para que ele possa ser invadido. Por definio, o cavalo de tria distingue-se de um vrus ou de um worm por no infectar outros arquivos, nem propagar cpias de si mesmo automaticamente. O trojans ficaram famosos na Internet pela facilidade de uso, e por permitirem a qualquer pessoa possuir o controle de um outro computador apenas com o envio de um arquivo. Os trojans atuais so divididos em duas partes, que so: o servidor e o cliente. Normalmente, o servidor encontra-se oculto em algum outro arquivo e, no momento em que o arquivo executado, o servidor se instala e se oculta no computador da vtima. Nesse momento, o computador j pode ser acessado pelo cliente, que enviar informaes para o servidor executar certas operaes no computador da vtima. Spyware: programa que tem por finalidade monitorar as atividades de um sistema e enviar as informaes coletadas para terceiros. Keylogger: um tipo de malware que capaz de capturar e armazenar as teclas digitadas pelo usurio no teclado de um computador. Dentre as informaes capturadas podem estar o texto de um e-mail, dados digitados na declarao de Imposto de Renda e outras informaes sensveis, como senhas bancrias e nmeros de cartes de crdito. Em muitos casos, a ativao do keylogger condicionada a uma ao prvia do usurio, como por exemplo, aps o acesso a um site especfico de comrcio eletrnico ou Internet Banking. Normalmente, o keylogger contm mecanismos que permitem o envio automtico das informaes capturadas para terceiros (por exemplo, atravs de e-mails). v.2.0 www.pontodosconcursos.com.br
8
CURSO ON-LINE PACOTE DE EXERCCIOS PARA MPU REA ADMINISTRATIVA - NOES DE INFORMTICA PROFESSORA: PATRCIA LIMA QUINTO Screenlogger: forma avanada de keylogger, capaz de armazenar a posio do cursor e a tela apresentada no monitor, nos momentos em que o mouse clicado, ou armazenar a regio que circunda a posio onde o mouse clicado.
Voc Sabia!!! Qual diferena entre Crackers e Hackers? Um do bem e o outro do mal? O termo hacker ganhou, junto opinio pblica influenciada pelos meios de comunicao, uma conotao negativa, que nem sempre corresponde realidade!! Os hackers, por sua definio geral, so aqueles que utilizam seus conhecimentos para invadir sistemas, no com o intuito de causar danos s vtimas, mas sim como um desafio s suas habilidades. Eles invadem os sistemas, capturam ou modificam arquivos para provar sua capacidade e depois compartilham suas proezas com os colegas. Eles no tm a inteno de prejudicar, mas sim de apenas demonstrar que conhecimento poder. Exmios programadores e conhecedores dos segredos que envolvem as redes e os computadores, eles geralmente no gostam de ser confundidos com crackers. Os crackers so elementos que invadem sistemas para roubar informaes e causar danos s vtimas. O termo crackers tambm uma denominao utilizada para aqueles que decifram cdigos e destroem protees de software. Atualmente, a imprensa mundial atribui qualquer incidente de segurana a hackers, em seu sentido genrico. A palavra cracker no vista nas reportagens, a no ser como cracker de senhas, que um software utilizado para descobrir senhas ou decifrar mensagens cifradas.
Risco Alguns conceitos necessitam ser expostos para o correto entendimento do que risco e suas implicaes. Risco a medida da exposio qual o sistema computacional est sujeito. Depende da probabilidade de uma ameaa atacar o sistema e do impacto resultante desse ataque. Smola (2003, p. 50) diz que risco a probabilidade de ameaas explorarem vulnerabilidades, provocando perdas de confidencialidade, integridade e disponibilidade, causando, possivelmente, impactos nos negcios. Como exemplo de um risco pode-se imaginar um funcionrio insatisfeito e um martelo ao seu alcance; nesse caso o funcionrio poderia danificar algum ativo da informao. Assim pode-se entender como risco tudo aquilo que traz danos s informaes e com isso promove perdas para a organizao. Risco: medido pela probabilidade de uma ameaa acontecer e o dano potencial empresa. Existem algumas maneiras de se classificar o grau de risco no mercado de segurana, mas de uma forma simples, poderamos tratar como alto, mdio e baixo risco. No caso do nosso exemplo da sala dos servidores, poderamos dizer que, baseado na vulnerabilidade encontrada, a ameaa associada de alto risco.
v.2.0
CURSO ON-LINE PACOTE DE EXERCCIOS PARA MPU REA ADMINISTRATIVA - NOES DE INFORMTICA PROFESSORA: PATRCIA LIMA QUINTO
Ciclo da segurana
protege
Ativos
sujeitos
Medidas de Segurana
diminui
Riscos
aumenta
Vulnerabilidades
limitados Impactos no negcio

aumenta aumenta aumenta
permitem
Ameaas
Confidencialidade Integridade Disponibilidade causam perdas
Figura - Ciclo da Segurana da Informao Fonte: MOREIRA, 2001. Como mostrado na figura anterior os ativos de uma organizao precisam ser protegidos, pois esto sujeitos a vulnerabilidades. Se as vulnerabilidades aumentam, aumentam-se os riscos permitindo a explorao por uma ameaa concretizando um ataque. Se estas ameaas aumentam, aumentam-se ainda mais os riscos de perda da integridade, disponibilidade e confidencialidade da informao podendo causar impacto nos negcios. Medidas de segurana devem ser tomadas, os riscos devem ser analisados e diminudos para que se estabelea a segurana dos ativos da informao. Incidente Incidente de segurana da informao: indicado por um simples ou por uma srie de eventos de segurana da informao indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operaes do negcio e ameaar a segurana da informao. Exemplos de alguns incidentes de segurana da informao: invaso digital; violao de padres de segurana de informao.
Figura. Impacto de incidentes de segurana nos negcios Ataques
v.2.0
10
CURSO ON-LINE PACOTE DE EXERCCIOS PARA MPU REA ADMINISTRATIVA - NOES DE INFORMTICA PROFESSORA: PATRCIA LIMA QUINTO Ataque uma alterao no fluxo normal de uma informao que afeta um dos servios oferecidos pela segurana da informao. Ele decorrente de uma vulnerabilidade que explorada por um atacante em potencial. Os principais tipos de ataque so: Ataques baseados em senhas Uma estratgia bsica para todo incio de ataque a quebra de senha de um usurio vlido, seja por tentativa e erro, ataque do dicionrio ou inclusive engenharia social. O ataque ao arquivo de senha mais conhecido chamado de ataque do dicionrio. O ataque consiste na cifragem das palavras de um dicionrio, e posterior comparao com os arquivos de senhas de usurios. Desta forma quando uma palavra do dicionrio cifrada coincidisse com a senha cifrada de um usurio, o atacante teria obtido uma senha. Depois de obter acesso a rede alvo, o hacker j pode ter acesso a arquivos do usurio o qual quebrou a senha, ler e-mails, manter o usurio vlido sem poder acessar a rede. Sniffing o processo de captura das informaes da rede por meio de um software de escuta de rede (sniffer), que capaz de interpretar as informaes transmitidas no meio fsico. Para isso, a pilha TCP/IP configurada para atuar em modo promscuo, ou seja, desta forma ir repassar todos os pacotes para as camadas de aplicao, mesmo que no sejam endereados para a mquina. Esse um ataque confidencialidade dos dados, e costuma ser bastante nocivo, uma vez que boa parte dos protocolos mais utilizados em uma rede (FTP, POP3, SMTP, IMAP, Telnet) transmitem o login e a senha em aberto pela rede. Esse tipo de ataque pode ser feito de duas formas: forma passiva: s aplicado em meios no comutados, como barramento e hub, e difcil de ser detectado, pois o atacante costuma no interferir no trfego normal da rede; forma ativa: geralmente aplicado em dispositivos comutados, como switch, e sua deteco fcil. Os switches mais antigos possuem um cache de resoluo de endereos MAC e portas pequeno e recursos de processamento mais limitados. O atacante ento faz um bombardeio de pacotes com endereos MAC e IP modificados, para encher o cache. Com isso, o switch acaba repassando os pacotes transmitidos para todas as portas, atuando como um hub, com objetivo de no deixar a rede parar de funcionar. Spoofing Spoofing a modificao de campos de identificao de pacotes de forma que o atacante possa atuar se passando por outro host. IP Spoofing (Falsificao de endereo IP) A falsificao de endereo IP no exatamente um ataque, ela na verdade utilizada juntamente com outros ataques para esconder a identidade do atacante. Consiste na manipulao direta dos campos do cabealho de um pacote para falsificar o nmero IP da mquina que dispara a conexo. Quando um host A quer se conectar ao B, a identificao feita atravs do nmero IP que vai no cabealho, por isto, se o IP do cabealho enviado pelo host A for v.2.0 www.pontodosconcursos.com.br
11
CURSO ON-LINE PACOTE DE EXERCCIOS PARA MPU REA ADMINISTRATIVA - NOES DE INFORMTICA PROFESSORA: PATRCIA LIMA QUINTO falso(IP de um host C), o host B, por falta de outra forma de identificao, acredita estar se comunicando com o host A. Atravs desta tcnica, o hacker consegue atingir os seguintes objetivos: obter acesso a mquinas que confiam no IP que foi falsificado, capturar conexes j existentes e burlar os filtros de pacotes dos firewalls que bloqueiam o trfego baseado nos endereos de origem e destino. DNS Spoofing O atacante encaminha ao servidor DNS mudando o endereo IP de sites conhecidos de comrcio eletrnico ou bancos, para sites falsificados, previamente montados com o objetivo de obter as informaes do cliente para fazer transaes no site verdadeiro. Denial of Service (DoS) Os ataques de negao de servio (denial of service-DoS) consistem em impedir o funcionamento de uma mquina ou de um servio especfico. No caso de ataques a redes, geralmente ocorre que os usurios legtimos de uma rede no consigam mais acessar seus recursos. O DoS acontece quando um atacante envia vrios pacotes ou requisies de servio de uma vez, com objetivo de sobrecarregar um servidor e, como conseqncia, impedir o fornecimento de um servio para os demais usurios, causando prejuzos. No DoS o atacante utiliza um computador para tirar de operao um servio ou computador(es) conectado(s) Internet!! Como exemplos deste tipo de ataque podemos destacar: gerar uma sobrecarga no processamento de um computador, de modo que o usurio no consiga utiliz-lo; gerar um grande trfego de dados para uma rede, ocasionando a indisponibilidade dela; indisponibilizar servios importantes de um provedor, impossibilitando o acesso de seus usurios. Cabe ressaltar que se uma rede ou computador sofrer um DoS, isto no significa que houve uma invaso, pois o objetivo de tais ataques indisponibilizar o uso de um ou mais computadores, e no invadi-los. Distributed Denial of Service (DDoS) -> So os ataques coordenados! Em dispositivos com grande capacidade de processamento, normalmente, necessria uma enorme quantidade de requisies para que o ataque seja eficaz. Para isso, o atacante faz o uso de uma botnet (rede de computadores zumbis sob comando do atacante) para bombardear o servidor com requisies, fazendo com que o ataque seja feito de forma distribuda (Distributed Denial of Service DDoS). No DDoS ataque de negao de servio distribudo - , um conjunto de computadores utilizado para tirar de operao um ou mais servios ou computadores conectados Internet. SYN Flood O SYN Flood um dos mais populares ataques de negao de servio. O ataque consiste basicamente em se enviar um grande nmero de pacotes de abertura de
v.2.0
12
CURSO ON-LINE PACOTE DE EXERCCIOS PARA MPU REA ADMINISTRATIVA - NOES DE INFORMTICA PROFESSORA: PATRCIA LIMA QUINTO conexo, com um endereo de origem forjado (IP Spoofing), para um determinado servidor. O servidor ao receber estes pacotes, coloca uma entrada na fila de conexes em andamento, envia um pacote de resposta e fica aguardando uma confirmao da mquina cliente. Como o endereo de origem dos pacotes falso, esta confirmao nunca chega ao servidor. O que acontece que em um determinado momento, a fila de conexes em andamento do servidor fica lotada, a partir da, todos os pedidos de abertura de conexo so descartados e o servio inutilizado. Esta inutilizao persiste durante alguns segundos, pois o servidor ao descobrir que a confirmao est demorando demais, remove a conexo em andamento da lista. Entretanto se o atacante persistir em mandar pacotes seguidamente, o servio ficar inutilizado enquanto ele assim o fizer. Ataques de Loop Dentro desta categoria de ataque o mais conhecido o Land. Ele consiste em mandar para um host um pacote IP com endereo de origem e destino iguais, o que ocasiona um loop na tabela de conexes de uma mquina atacada. Para executar um ataque como este, basta que o hacker tenha um software que permita a manipulao dos campos dos pacotes IP. Ataques via ICMP O protocolo ICMP (Internet Control Message Protocol) utilizado no transporte de mensagens de erro e de controle. Essencialmente um protocolo de transferncia de mensagens entre gateways e estaes. Como todos os protocolos do conjunto TCP/IP, o ICMP no tem como ter garantia se a informao recebida verdadeira, e por este motivo, um atacante pode utilizar o ICMP para interromper conexes j estabelecidas, como por exemplo enviando uma mensagem ICMP de host inacessvel para uma das mquinas. Ping of Death Ele consiste em enviar um pacote IP com tamanho maior que o mximo permitido (65.535 bytes) para a mquina atacada. O pacote enviado na forma de fragmentos (porque nenhuma rede permite o trfego de pacotes deste tamanho), e quando a mquina destino tenta montar estes fragmentos, inmeras situaes podem ocorrer: a maioria trava, algumas reinicializam, outras exibem mensagens no console, etc. Engenharia Social o mtodo de se obter dados importantes de pessoas atravs da velha lbia. No popular o tipo de vigarice mesmo pois assim que muitos habitantes do underground da internet operam para conseguir senhas de acesso, nmeros de telefones, nomes e outros dados que deveriam ser sigilosos. A engenharia social a tcnica que explora as fraquezas humanas e sociais, em vez de explorar a tecnologia. A tecnologia avana e passos largos mas a condio humana continua na mesma em relao a critrios ticos e morais. Enganar os outros deve ter sua origem na pr-histria portanto o que mudou foram apenas os meios para isso.
v.2.0
13
CURSO ON-LINE PACOTE DE EXERCCIOS PARA MPU REA ADMINISTRATIVA - NOES DE INFORMTICA PROFESSORA: PATRCIA LIMA QUINTO Em redes corporativas que so alvos mais apetitosos para invasores, o perigo ainda maior e pode estar at sentado ao seu lado. Um colega poderia tentar obter sua senha de acesso mesmo tendo uma prpria, pois uma sabotagem feita com sua senha parece bem mais interessante do que com a senha do prprio autor. Phishing (ou Phishing scam) Foi um termo criado para descrever o tipo de fraude que se d atravs do envio de mensagem no solicitada, que se passa por comunicao de uma instituio conhecida, como um banco, rgo do governo (Receita Federal, INSS e Ministrio do Trabalho so os mais comuns) ou site popular. Nesse caso, a mensagem procura induzir o usurio a acessar pginas fraudulentas (falsificadas), projetadas para furtar dados pessoais e financeiros de usurios desavisados. As duas figuras seguintes apresentam iscas (e-mails) utilizadas em golpes de phishing, uma envolvendo o Banco de Brasil e a outra o Serasa.
Figura. Isca de Phishing Relacionada ao Banco do Brasil
Figura. Isca de Phishing Relacionada ao SERASA A palavra phishing (de fishing) vem de uma analogia criada pelos fraudadores, em que iscas (e-mails) so usadas para pescar informaes sensveis (senhas e dados financeiros, por exemplo) de usurios da Internet. Atualmente, este termo vem sendo utilizado tambm para se referir aos seguintes casos:
v.2.0
14
CURSO ON-LINE PACOTE DE EXERCCIOS PARA MPU REA ADMINISTRATIVA - NOES DE INFORMTICA PROFESSORA: PATRCIA LIMA QUINTO mensagem que procura induzir o usurio instalao de cdigos maliciosos, projetados para furtar dados pessoais e financeiros; mensagem que, no prprio contedo, apresenta formulrios para o preenchimento e envio de dados pessoais e financeiros de usurios.
Dumpster diving ou trashing O Dumpster diving ou trashing a atividade na qual o lixo verificado em busca de informaes sobre a organizao ou a rede da vtima, como nomes de contas e senhas, informaes pessoais e confidenciais. Muitos dados sigilosos podem ser obtidos dessa maneira. Melhores Prticas de Segurana Algumas prticas so recomendadas na preveno/deteco de malware, como: ter instalado, em seu computador e no da empresa, um programa antivrus capaz de detectar a presena de malware em e-mails ou arquivos do computador. Os antivrus so programas de computador capazes de reconhecer diversos cdigos computacionais maliciosos, impedir seu funcionamento, retirlos do sistema e em diversos casos, desfazer o mal feito ocasionado pelos mesmos. Esse utilitrio conta, muitas vezes, com a vacina capaz de matar o malware e deixar o arquivo infectado SEM a ameaa. Alguns fornecedores de programas antivrus distribuem atualizaes regulares do seu produto. Muitos programas antivrus tm um recurso de atualizao automtica. Quando o programa antivrus atualizado, informaes sobre novos vrus so adicionadas a uma lista de vrus a serem verificados. Quando no possui a vacina, ele, pelo menos, tem como detectar o vrus, informando ao usurio acerca do perigo que est iminente; no executar ou abrir arquivos recebidos por e-mail ou por outras fontes, mesmo que venham de pessoas conhecidas (caso seja necessrio abrir o arquivo, certifique-se de que ele foi verificado pelo programa antivrus); procurar utilizar na elaborao de documentos formatos menos suscetveis propagao de vrus, tais como RTF, ou PDF, dentre outros; no abrir arquivos anexos a e-mails de pessoas que voc no conhece; idem para os e-mails de pessoas conhecidas tambm! (Os Worms atuais atacam um computador e usam a sua listagem de endereos para mandar um e-mail para cada pessoa da lista como se fosse o dono do computador!), etc. evitar utilizao de software piratas; desconfiar de arquivos com duplas-extenses (ex: .txt.exe ou jpg.vbs); evitar troca de dados com computadores pblicos (Ex: lan house); manter uma rotina eficiente de cpia dos dados armazenados (backup).
v.2.0
15
CURSO ON-LINE PACOTE DE EXERCCIOS PARA MPU REA ADMINISTRATIVA - NOES DE INFORMTICA PROFESSORA: PATRCIA LIMA QUINTO A conscientizao dos usurios deve ser uma atitude crescente nas empresas, assim como crescente a quantidade de malware e sua periculosidade. Plano de conscientizao de usurios Uma das etapas mais importantes e difceis de se implementar em um processo de Gesto de segurana da informao o que chamamos de segurana em pessoas. Por se tratar de pessoas, temos que tratar o lado da conscincia e da tica de cada um dos funcionrios de uma empresa. Todos devem estar conscientes e sabendo da importncia da informao para a empresa. Para que isto funcione preciso que seja feito um grande trabalho de conscientizao dos funcionrios, existem diversas formas de fazer um Plano de conscientizao, mas mostraremos algumas etapas que devem ser seguidas para o sucesso do plano. Divulgao da segurana da informao Este o primeiro passo a se tomar para que a empresa conhea a existncia da rea de segurana da informao e dos conceitos bsicos sobre o assunto, bem como o que a empresa espera de cada funcionrio. Para isto recomendvel que sejam feitas palestras sobre o assunto e que estas sejam oficializadas atravs de uma convocao formal da empresa para os funcionrios, nestas palestras iniciais interessante que sejam mostrados casos reais de empresas que foram afetadas por falta de segurana da informao. Frum de Segurana da informao Para continuar o plano de conscientizao, necessrio que um frum multidisciplinar seja criado e que este seja composto por funcionrios de diversas reas e que estes exeram funes diferenciadas na empresa. Reunies do frum devem ser agendadas periodicamente e assuntos de segurana devem ser tratados. Termos de Responsabilidade essencial que seja elaborado e assinado por todos um termo de responsabilidade sobre as informaes, que define os deveres e responsabilidades de cada funcionrio, bem como as punies cabveis em caso do no cumprimento do mesmo. Firewall O firewall um dos principais dispositivos de segurana em uma rede de computadores. Ele realiza a filtragem dos pacotes e, ento, bloqueia as transmisses no permitidas. Tem como objetivo evitar que ameaas provenientes da Internet se espalham na rede interna de um determinado ambiente. O firewall atua entre a rede externa e interna, controlando o trfego de informaes que existem entre elas, procurando se certificar que este trfego confivel, de acordo com a poltica de segurana do site acessado. Tambm pode ser utilizado para atuar entre redes com necessidades de segurana distintas.
v.2.0
16
CURSO ON-LINE PACOTE DE EXERCCIOS PARA MPU REA ADMINISTRATIVA - NOES DE INFORMTICA PROFESSORA: PATRCIA LIMA QUINTO --LISTAGEM DAS QUESTES COMENTADAS
1. (FCC/2007/MPU/TCNICO ADMINISTRATIVO-Adaptada) Instrues: Para responder questo seguinte, considere as informaes abaixo: OBJETIVO: O Ministrio Pblico do Governo Federal de um pas deseja modernizar seu ambiente tecnolgico de informtica. Para tanto, adquirir equipamentos de computao eletrnica avanados e redefinir seus sistemas de computao a fim de agilizar seus processos internos e tambm melhorar seu relacionamento com a sociedade. REQUISITOS PARA ATENDER AO OBJETIVO: 1 - O ambiente de rede de computadores, para troca de informaes exclusivamente internas do Ministrio, dever usar a mesma tecnologia da rede mundial de computadores. 2 - O acesso a determinadas informaes somente poder ser feito por pessoas autorizadas. 3 - Os funcionrios podero se comunicar atravs de um servio de conversao eletrnica em modo instantneo (tempo real). 4 - A comunicao eletrnica tambm poder ser feita via internet no modo no instantneo 5 - Para garantir a recuperao em caso de sinistro, as informaes devero ser copiadas em mdias digitais e guardadas em locais seguros. (FCC/2007/MPU/Tcnico-rea Administrativa/Q.22) Os 2 e 5 especificam correta e respectivamente requisitos de uso de (A) antivrus e backup. (B) firewall e digitalizao. (C) antivrus e firewall. (D) senha e backup. (E) senha e antivrus. Resoluo Vamos aos comentrios dos itens:
v.2.0
17
Item A. Software Antivrus um aplicativo utilizado para detectar, anular e eliminar vrus e outros tipos de cdigos maliciosos de um computador. Item FALSO.
Item B. O firewall um dos principais dispositivos de segurana em uma rede de computadores. Ele realiza a filtragem dos pacotes e, ento, bloqueia as transmisses no permitidas. Tem como objetivo evitar que ameaas provenientes da Internet se espalhem na rede interna de um determinado ambiente. O firewall atua entre a rede externa e interna, controlando o trfego de informaes que existem entre elas, procurando se certificar de que este trfego confivel, de acordo com a poltica de segurana do site acessado. Tambm pode ser utilizado para atuar entre redes com necessidades de segurana distintas.
Digitalizao o processo de converso de um dado analgico para um formato de representao digital. Item FALSO. Item C. Antivrus e Firewall, conforme visto, no esto relacionados aos itens dos 2 e 5. Item FALSO. Item D. Os itens senha e backup enquadram-se perfeitamente na definio dos pargrafos 2 e 5. O 2 destaca que o acesso a determinadas informaes somente poder ser feito por pessoas autorizadas. Nesse caso, para realizar o acesso a pessoas autorizadas em aplicaes necessrio implementar controle de acesso lgico atravs de usurio e senha. O 5 destaca que para garantir a recuperao em caso de sinistro, as informaes devero ser copiadas em mdias digitais e guardadas em locais seguros. Esse pargrafo est relacionado ao processo de backup que consiste na realizao de cpia de segurana de dados, com o objetivo de permitir que dados originais sejam restaurados em caso da perda de sinistros. Item E. Conforme visto no item A, o antivrus no corresponde ao que deveria ser especificado no 5. Item FALSO. GABARITO: letra D.
2. (CESPE/2010/TRE.BA/Q.22) Uma das formas de bloquear o acesso a locais no autorizados e restringir acessos a uma rede de computadores por meio da instalao de firewall, o qual pode ser instalado na rede como um todo, ou apenas em servidores ou nas estaes de trabalho. Resoluo
v.2.0
18
CURSO ON-LINE PACOTE DE EXERCCIOS PARA MPU REA ADMINISTRATIVA - NOES DE INFORMTICA PROFESSORA: PATRCIA LIMA QUINTO Firewall um filtro que monitora o trfego das comunicaes que passam de uma rede para outra e, de acordo com regras preestabelecidas, permite ou bloqueia seu passo. O firewall NO consegue bloquear o acesso a locais no autorizados (como por exemplo, locais fsicos, como salas, sales etc). Estamos falando de "mundo fsico", "mundo real" no qual o firewall no tem vez! GABARITO: Item FALSO. 3. (CESPE/2010/TRE.BA/ANALISTA/Q.27) Firewall um recurso utilizado para a segurana tanto de estaes de trabalho como de servidores ou de toda uma rede de comunicao de dados. Esse recurso possibilita o bloqueio de acessos indevidos a partir de regras preestabelecidas. Resoluo A questo destaca claramente o conceito de Firewall! GABARITO: Item VERDADEIRO. 4. (CESPE/2010/TRE.BA/ANALISTA/Q.28) Confidencialidade, disponibilidade e integridade da informao so princpios bsicos que orientam a definio de polticas de uso dos ambientes computacionais. Esses princpios so aplicados exclusivamente s tecnologias de informao, pois no podem ser seguidos por seres humanos. Resoluo Os seres humanos tambm so considerados como ativos em segurana da informao e merecem tambm uma ateno especial por parte das organizaes. Alis, os usurios de uma organizao so considerados at como o elo mais fraco da segurana, e so os mais vulnerveis Portanto, eles tm que seguir as regras predefinidas pela poltica de segurana da organizao, e esto sujeitos a punies para os casos de descumprimento das mesmas! No adianta investir recursos financeiros somente em tecnologias e esquecer de treinar os usurios da organizao, pois erros comuns (como o uso de um pendrive contaminado por vrus na rede) poderiam vir a comprometer o ambiente que se quer proteger! GABARITO: Item FALSO. 5. (CESPE/2009/IBAMA/ANALISTA AMBIENTAL/Q.29) Para criar uma cpia de segurana da planilha, tambm conhecida como backup, suficiente clicar a
ferramenta Resoluo
Backup uma cpia de segurana de dados e a mesma pode ser realizada em vrios tipos de mdias, como CDs, DVSs, fitas DAT, etc de forma a proteg-los de
v.2.0
19
CURSO ON-LINE PACOTE DE EXERCCIOS PARA MPU REA ADMINISTRATIVA - NOES DE INFORMTICA PROFESSORA: PATRCIA LIMA QUINTO qualquer eventualidade. documento!! GABARITO: Item FALSO. 6. A figura ilustrada a seguir destaca uma janela do Internet Explorer 7 (IE 7), que exibe uma pgina da Web. Com relao a essa figura e ao IE 7, julgue os prximos itens. O boto em questo utilizado para salvar um
I.A pgina da Web em exibio, bastante popular no Brasil e no mundo, funciona como uma enciclopdia de baixo custo, mantida pela empresa Wikipdia. Para acessar artigos escritos por especialistas, o usurio paga uma taxa mensal, de baixo valor. Essa pgina tem sido considerada um recurso valioso para a democratizao da informao, devido ao baixo custo pago pelos usurios (Fonte: CESPE/2007/BB). II.Na janela Opes da Internet, que pode ser executada a partir de opo do menu Ferramentas, possvel encontrar, em uma das guias dessa janela, ferramenta que permite bloquear a exibio de pop-ups. III. Por meio do boto , possvel que um usurio tenha acesso a recurso de filtragem de phishing do IE7, o que permite aumentar a segurana, restringindo-se o acesso a stios que se passam por stios regulares, tais como de bancos e lojas virtuais, e so utilizados por criminosos cibernticos para roubar informaes do usurio (Fonte: CESPE/2008/BB, com adaptaes). IV.Os cookies so vrus muito utilizados para rastrear e manter as preferncias de um usurio ao navegar pela Internet. Indique a opo que contenha todas as afirmaes verdadeiras. A) I e II B) II e III C) III e IV D) I e III
v.2.0
20
CURSO ON-LINE PACOTE DE EXERCCIOS PARA MPU REA ADMINISTRATIVA - NOES DE INFORMTICA PROFESSORA: PATRCIA LIMA QUINTO E) II e IV Resoluo Item I. Para acesso base de informaes do portal comunitrio da Wikipdia (editado em cerca de trinta lnguas diferentes) no se exige pagamento. Esse Website colaborativo tem sido um recurso valioso para a democratizao da informao (pode ser escrito por especialistas e quaisquer outras pessoas conhecedoras do tema em questo), em virtude de permitir a edio coletiva de documentos usando um sistema que no necessita que o contedo tenha que ser revisto antes da sua publicao. Item FALSO. Item II. Ao clicar no menu Ferramentas -> Opes da Internet, ir aparecer a janela intitulada Opes da Internet (vide a figura listada a seguir). Observe, na aba (guia) privacidade da tela, a seo relacionada ao bloqueador de pop-ups, mencionada nesta questo. Item VERDADEIRO. A janela pop-up, nada mais do que uma pequena janela extra que aberta no navegador quando voc visita uma pgina web ou acessa algum link especfico. Esta janela , geralmente, utilizada para fins publicitrios ou para mostrar alertas ao usurio. Interessante destacar que, por meio do boto da tela Opes da Internet, podem-se especificar endereos de stios (sites) para os quais permitida a exibio de pop-ups.
Figura. Ferramentas -> Opes da Internet Item III. Mas, o que significa phishing? O phishing um tipo de fraude eletrnica, caracterizada por tentativas de adquirir informaes sensveis por meio de um site ou uma mensagem de email fraudulenta.
v.2.0
21
CURSO ON-LINE PACOTE DE EXERCCIOS PARA MPU REA ADMINISTRATIVA - NOES DE INFORMTICA PROFESSORA: PATRCIA LIMA QUINTO Um ataque de phishing muito comum comea com uma mensagem de e-mail que parece ser um aviso oficial de uma fonte confivel, por exemplo, um banco, uma administradora de cartes de crdito ou uma loja on-line de renome. Na mensagem de e-mail, os destinatrios so direcionados a um site fraudulento no qual so solicitados a fornecer informaes pessoais, por exemplo, o nmero ou a senha de uma conta. Essas informaes geralmente so usadas para roubo de identidade. Item VERDADEIRO. Como complemento, no IE 8.0, o filtro de phishing chama-se SmartScreen e est no Menu Segurana, conforme ilustrado na tela seguinte. O filtro do SmartScreen um recurso no Internet Explorer que ajuda a detectar sites de phishing e tambm pode ajud-lo a se proteger da instalao de softwares mal-intencionados ou malwares, que so programas que manifestam comportamento ilegal, viral, fraudulento ou mal-intencionado.
Complementando, o Filtro do SmartScreen ajuda a proteg-los de trs maneiras: Ele executado em segundo plano enquanto voc navega pela Web, analisando sites e determinando se eles tm alguma caracterstica que possa ser considerada suspeita. Se encontrar sites suspeitos, o SmartScreen exibir uma mensagem dando a voc a oportunidade de enviar um comentrio e sugerindo que voc proceda com cautela. O Filtro do SmartScreen verifica os sites visitados e compara com uma lista dinmica e atualizada de sites de phishing e sites de softwares mal-intencionados relatados. Se encontrar uma correspondncia, o Filtro do SmartScreen exibir uma notificao em vermelho do site que foi bloqueado para sua segurana. O Filtro do SmartScreen tambm verifica arquivos baixados da Web e compara com a mesma lista dinmica de sites de softwares mal-intencionados relatados. Se encontrar uma correspondncia, o Filtro do SmartScreen exibir um aviso em vermelho notificando que o download foi bloqueado para sua segurana. No Mozilla Firefox tambm existe uma opo relacionada a este tema. Para configur-la acesse o menu Ferramentas -> Opes, e, no item Segurana existe a v.2.0 www.pontodosconcursos.com.br
22
CURSO ON-LINE PACOTE DE EXERCCIOS PARA MPU REA ADMINISTRATIVA - NOES DE INFORMTICA PROFESSORA: PATRCIA LIMA QUINTO opo "Alertar se o site visitado uma possvel fraude". Marque essa opo de preferncia se voc quiser que o Firefox verifique se o site que voc est visitando pode ser uma tentativa de persuaso para que voc fornea informaes pessoais (esse golpe tambm conhecido como phishing). Item IV. Cookies no so vrus, e sim arquivos lcitos que permitem a identificao do computador cliente no acesso a uma pgina. Podem ser utilizados para guardar preferncias do usurio, bem como informaes tcnicas como o nome e a verso do browser do usurio. Item FALSO. GABARITO: letra B. 7. (CESPE/2009/TCE-AC) Com relao a Internet e intranet, assinale a opo correta. A. O protocolo HTTPS foi criado para ser usado na Internet 2. B. Um dos principais problemas da Internet, a disseminao de vrus pode ser solucionado com a instalao de javascripts nos computadores dos usurios. C. A adoo da intranet nas organizaes tem sido uma opo mais econmica, comparada a opes que envolvam a aquisio de software e hardware de alto custo. D. Intranet e Internet so semelhantes por proporcionarem benefcios como colaborao entre os usurios, acesso fcil a informaes e servios disponveis, se diferenciando apenas quanto ao protocolo de transmisso de dados. E. Com a evoluo dos sistemas de informao, o futuro da intranet se fundir com a Internet, o que ir gerar a Internet 2, com uma capacidade de processar informaes 10 vezes superior atual. Resoluo Item A. O HTTPS (HTTP Seguro) um protocolo dotado de segurana, sendo muito utilizado em acesso remoto a sites de bancos e instituies financeiras com transferncia criptografada de dados. O HTTPS nada mais do que a juno dos protocolos HTTP e SSL (HTTP over SSL). Os protocolos SSL/TLS so protocolos de segurana, baseados em chave pblica, usados pelos servidores e navegadores da Web para autenticao mtua, integridade das mensagens e confidencialidade. Complementando, esse protocolo uma implementao do protocolo HTTP e foi projetado para a Internet convencional que utilizamos. A Internet 2, por sua vez, um projeto de rede de computadores de alta velocidade e performance. Sua criao tem um propsito educacional, unindo grandes centros universitrios e de pesquisa ao redor do mundo. O item A FALSO. Item B. JavaScript uma linguagem de programao criada pela Netscape em 1995, para validao de formulrios no lado cliente (programa navegador);
v.2.0
23
CURSO ON-LINE PACOTE DE EXERCCIOS PARA MPU REA ADMINISTRATIVA - NOES DE INFORMTICA PROFESSORA: PATRCIA LIMA QUINTO interao com a pgina, dentre outros. A disseminao de vrus pode ser solucionada com o uso de um bom antivrus!! O item B FALSO. Item C. A implementao de uma intranet tem um custo bem mais acessvel. O item C VERDADEIRO. Item D. Intranets so redes que utilizam os mesmos recursos e protocolos da Internet, mas so restritas a um grupo predefinido de usurios de uma instituio especfica. O protocolo em questo o TCP/IP. O item D FALSO. Item E. A internet 2 no fuso da intranet com a internet, um absurdo! A Internet 2 j existe, inclusive no Brasil, e seu propsito inicial foi comentado no item a desta questo. O item E FALSO. GABARITO: letra C.
8. (CESPE/2009-04/MMA) Antivrus, worms, spywares e crackers so programas que ajudam a identificar e combater ataques a computadores que no esto protegidos por firewalls. Resoluo Malware so programas que executam deliberadamente aes malintencionadas em um computador!! Os tipos mais comuns de malware: vrus, spywares, worms, bots, cavalos de tria, etc. Vrus: so pequenos cdigos de programao maliciosos que se agregam a arquivos e so transmitidos com eles. Quando o arquivo aberto na memria RAM, o vrus tambm , e, a partir da se propaga infectando, isto , inserindo cpias de si mesmo e se tornando parte de outros programas e arquivos de um computador. O vrus depende da execuo do programa ou arquivo hospedeiro para que possa se tornar ativo e dar continuidade ao processo de infeco.
v.2.0
24
CURSO ON-LINE PACOTE DE EXERCCIOS PARA MPU REA ADMINISTRATIVA - NOES DE INFORMTICA PROFESSORA: PATRCIA LIMA QUINTO Alguns vrus so inofensivos, outros, porm, podem danificar um sistema operacional e os programas de um computador. A seguir listamos os principais tipos de vrus comumente encontrados: Vrus de programa: infectam arquivos de programa (de inmeras extenses, como .EXE, .COM,.VBS, .PIF); Vrus de boot: infectam o setor de boot de um disco - ou seja, o registro de inicializao de disquetes e discos rgidos. Os vrus de boot se copiam para esta parte do disco e so ativados quando o usurio tenta iniciar o sistema operacional a partir do disco infectado; Vrus stealth: programado para se esconder e enganar o antivrus durante uma varredura deste programa. Tm a capacidade de se removerem da memria temporariamente para evitar que antivrus o detectem; Vrus polimrficos: alteram seu formato (mudam de forma) constantemente. A cada nova infeco, esses vrus geram uma nova seqncia de bytes em seu cdigo, para que o antivrus se confunda na hora de executar a varredura e no reconhea o invasor; Vrus de macro: infectam os arquivos dos programas Microsoft Office (Word, Excel, PowerPoint e Access). Esses vrus so normalmente criados com a linguagem de programao VBA (Visual Basic para Aplicaes) e afetam apenas os programas que usam essa linguagem (o Office, por exemplo). Os vrus de macro vinculam suas macros a modelos de documentos (templates) e/ou a outros arquivos de modo que, quando um aplicativo carrega o arquivo e executa as instrues nele contidas, as primeiras instrues executadas sero as do vrus. So parecidos com outros vrus em vrios aspectos: so cdigos escritos para que, sob certas condies, se reproduza, fazendo uma cpia de si mesmo. Podem causar danos, apresentar uma mensagem ou fazer qualquer coisa que um programa possa fazer. Vrus de script: propagam-se por meio de scripts, nome que designa uma sequncia de comandos previamente estabelecidos e que so executados automaticamente em um sistema, sem necessidade de interveno do usurio. Dois tipos de scripts muito usados so os projetados com as linguagens Javascript (JS) e Visual Basic Script (VBS). Segundo Oliveira (2008) tanto um quanto o outro podem ser inseridos em pginas Web e interpretados por navegadores como Internet Explorer e outros. Os arquivos Javascript tornaram-se to comuns na Internet que difcil encontrar algum site atual que no os utilize. Assim como as macros, os scripts no so necessariamente malficos. Na maioria das vezes executam tarefas teis, que facilitam a vida dos usurios prova disso que se a execuo dos scripts for desativada nos navegadores, a maioria dos sites passar a ser apresentada de forma incompleta ou incorreta.
v.2.0
25
Worms: so programas parecidos com vrus, mas que na verdade so capazes de se propagarem automaticamente atravs de redes, enviando cpias de si mesmo de computador para computador (observe que os worms apenas se copiam, no infectam outros arquivos, eles mesmos so os arquivos!!). Alm disso, geralmente utilizam as redes de comunicao para infectar outros computadores (via e-mails, Web, FTP, redes das empresas, etc). Diferentemente do vrus, o worm no embute cpias de si mesmo em outros programas ou arquivos e no necessita ser explicitamente executado para se propagar. Sua propagao se d atravs da explorao de vulnerabilidades existentes ou falhas na configurao de softwares instalados em computadores.
Bots: de modo similar ao worm, um programa capaz se propagar automaticamente, explorando vulnerabilidades existentes ou falhas na configurao de software instalado em um computador. Adicionalmente ao worm, dispe de mecanismos de comunicao com o invasor, permitindo que o bot seja controlado remotamente. Trojan horse (Cavalo de tria): um programa aparentemente inofensivo que entra em seu computador na forma de carto virtual, lbum de fotos, protetor de tela, jogo, etc, e que, quando executado (com a sua autorizao!), parece lhe divertir, mas, por trs abre portas de comunicao do seu computador para que ele possa ser invadido. Por definio, o cavalo de tria distingue-se de um vrus ou de um worm por no infectar outros arquivos, nem propagar cpias de si mesmo automaticamente. O trojans ficaram famosos na Internet pela facilidade de uso, e por permitirem a qualquer pessoa possuir o controle de um outro computador apenas com o envio de um arquivo. Os trojans atuais so divididos em duas partes, so elas: o servidor e o cliente. Normalmente, o servidor encontra-se oculto em algum outro arquivo e, no momento em que o arquivo executado, o servidor se instala e se oculta no computador da vtima. Nesse momento, o computador j pode ser acessado pelo cliente, que enviar informaes para o servidor executar certas operaes no computador da vtima. Spyware: programa que tem por finalidade monitorar as atividades de um sistema e enviar as informaes coletadas para terceiros.
Os antivrus so programas de proteo contra vrus de computador bastante eficazes, protegendo o computador contra vrus, cavalos de tria e uma ampla gama de softwares classificados como malware. Como exemplos cita-se McAfee Security Center Antivrus, Panda Antivrus, Norton Antivrus, Avira Antivir Personal, AVG, etc. Crackers so indivduos dotados de sabedoria e habilidade para desenvolver ou alterar sistemas, realizar ataques a sistemas de computador, programar vrus, roubar dados bancrios, informaes, entre outras aes maliciosas. Item FALSO.
v.2.0
26
CURSO ON-LINE PACOTE DE EXERCCIOS PARA MPU REA ADMINISTRATIVA - NOES DE INFORMTICA PROFESSORA: PATRCIA LIMA QUINTO 9. (CESPE/2009-04/MMA) A responsabilidade pela segurana de um ambiente eletrnico dos usurios. Para impedir a invaso das mquinas por vrus e demais ameaas segurana, basta que os usurios no divulguem as suas senhas para terceiros. Resoluo Tanto a empresa que cria e hospeda o ambiente eletrnico, quanto os usurios desse ambiente, devem entender a importncia da segurana, atuando como guardies da rede!! Item FALSO. 10.(CESPE/2009-03/TRE-MG) Considerando a segurana da informao, assinale a opo correta. A. A instalao de antivrus garante a qualidade da segurana no computador. B. Toda intranet consiste em um ambiente totalmente seguro porque esse tipo de rede restrito ao ambiente interno da empresa que implantou a rede. C. O upload dos arquivos de atualizao suficiente para a atualizao do antivrus pela Internet. D. O upload das assinaturas dos vrus detectados elimina-os. E. Os antivrus atuais permitem a atualizao de assinaturas de vrus de forma automtica, sempre que o computador for conectado Internet. Resoluo Item A. O antivrus uma das medidas que podem ser teis para melhorar a segurana do seu equipamento, desde que esteja atualizado. O item A FALSO. Item B. No podemos afirmar que a intranet de uma empresa totalmente segura, depende de como foi implementada. Item FALSO. Item C. O upload implica na transferncia de arquivo do seu computador para um computador remoto na rede, o que no o caso da questo. Item FALSO. Item D. No ser feito upload de assinaturas de vrus para a mquina do usurio. Um programa antivrus capaz de detectar a presena de malware (vrus, vermes, cavalos de tria, etc) em e-mails ou arquivos do computador. Esse utilitrio conta, muitas vezes, com a vacina capaz de matar o malware e deixar o arquivo infectado sem a ameaa. Alguns fornecedores de programas antivrus distribuem atualizaes regulares do seu produto. Muitos programas antivrus tm um recurso de atualizao automtica. Quando o programa antivrus atualizado, informaes sobre novos vrus so adicionadas a uma lista de vrus a serem verificados. Quando no possui a vacina, ele, pelo menos, tem como detectar o vrus, informando ao usurio acerca do perigo que est iminente. Item FALSO. Item E. Muitos programas antivrus tm um recurso de atualizao automtica. Item VERDADEIRO. Existem dois modos de transferncia de arquivo: upload e download. O upload o termo utilizado para designar a transferncia de um dado de um computador local para um equipamento remoto.
v.2.0
27
CURSO ON-LINE PACOTE DE EXERCCIOS PARA MPU REA ADMINISTRATIVA - NOES DE INFORMTICA PROFESSORA: PATRCIA LIMA QUINTO Download o contrrio, termo utilizado para designar a transferncia de um dado de um equipamento remoto para o seu computador. Exemplo: Se queremos enviar uma informao para o servidor de FTP - Estamos realizando um upload; se queremos baixar um arquivo mp3 de um servidor estamos fazendo download. GABARITO: letra E. 11. (CESPE/2008/PRF-POLICIAL RODOVIRIO FEDERAL) Com relao a vrus de computador, phishing, pharming e spam, julgue os itens seguintes. I. Uma das vantagens de servios webmail em relao a aplicativos clientes de correio eletrnico tais como o Mozilla ThunderbirdTM 2 est no fato de que a infeco por vrus de computador a partir de arquivos anexados em mensagens de e-mail impossvel, j que esses arquivos so executados no ambiente do stio webmail e no no computador cliente do usurio. II. Phishing e pharming so pragas virtuais variantes dos denominados cavalos-de-tria, se diferenciando destes por precisarem de arquivos especficos para se replicar e contaminar um computador e se diferenciando, entre eles, pelo fato de que um atua em mensagens de e-mail trocadas por servios de webmail e o outro, no. III. O uso de firewall e de software antivrus a nica forma eficiente atualmente de se implementar os denominados filtros anti-spam. IV. Se o sistema de nomes de domnio (DNS) de uma rede de computadores for corrompido por meio de tcnica denominada DNS cache poisoning, fazendo que esse sistema interprete incorretamente a URL (uniform resource locator) de determinado stio, esse sistema pode estar sendo vtima de pharming. V. Quando enviado na forma de correio eletrnico para uma quantidade considervel de destinatrios, um hoax pode ser considerado um tipo de spam, em que o spammer cria e distribui histrias falsas, algumas delas denominadas lendas urbanas. A quantidade de itens certos igual a A 1. B 2. C 3. D 4. E 5. Resoluo Item I. Voc pode vir a ser contaminado por vrus a partir de qualquer tipo de servio utilizado para receber e-mails, ou seja, ao abrir arquivos anexos tanto dos Webmails quanto de programas clientes de correio eletrnico (como Mozilla Thunderbird, Outlook Express, Outlook, etc). As mensagens de e-mail so um excelente veculo de propagao de vrus, sobretudo por meio dos arquivos anexos.
v.2.0
28
CURSO ON-LINE PACOTE DE EXERCCIOS PARA MPU REA ADMINISTRATIVA - NOES DE INFORMTICA PROFESSORA: PATRCIA LIMA QUINTO Por isso, recomenda-se nunca baixar um arquivo tipo .exe (executveis) ou outros suspeitos. aconselhvel tambm nunca abrir e-mail desconhecido, exceto se for de um stio confivel, no sem antes observar os procedimentos de segurana. (Logo, o item I FALSO). Item II. O Phishing (ou Phishing scam) e o Pharming (ou DNS Poisoining) no so pragas virtuais. Phishing e Pharming so dois tipos de golpes na Internet, e, portanto, no so variaes de um cavalo de tria (trojan horse) que se trata de um programa aparentemente inofensivo que entra em seu computador na forma de carto virtual, lbum de fotos, protetor de tela, jogo, etc, e que, quando executado (com a sua autorizao!), parece lhe divertir, mas, por trs abre portas de comunicao do seu computador para que ele possa ser invadido. Normalmente consiste em um nico arquivo que necessita ser explicitamente executado. Para evitar a invaso, fechando as portas que o cavalo de tria abre, necessrio ter, em seu sistema, um programa chamado Firewall. (O item II FALSO). Item III. Para se proteger dos spams temos que instalar um anti-spam, uma nova medida de segurana que pode ser implementada independentemente do antivrus e do firewall. O uso de um firewall (filtro que controla as comunicaes que passam de uma rede para outra e, em funo do resultado permite ou bloqueia seu passo), software antivrus e filtros anti-spam so mecanismos de segurana importantes. (O item III FALSO). Item IV. O DNS (Domain Name System Sistema de Nome de Domnio) utilizado para traduzir endereos de domnios da Internet, como www.pontodosconcursos.com.br, em endereos IP, como 200.234.196.65. Imagine se tivssemos que decorar todos os IPs dos endereos da Internet que normalmente visitamos!! O Pharming envolve algum tipo de redirecionamento da vtima para sites fraudulentos, atravs de alteraes nos servios de resoluo de nomes (DNS). Complementando, a tcnica de infectar o DNS para que ele lhe direcione para um site fantasma que idntico ao original. (O item IV VERDADEIRO). Item V. Os hoaxes (boatos) so e-mails que possuem contedos alarmantes ou falsos e que, geralmente, tm como remetente ou apontam como autora da mensagem alguma instituio, empresa importante ou rgo governamental. Atravs de uma leitura minuciosa deste tipo de e-mail, normalmente, possvel identificar em seu contedo mensagens absurdas e muitas vezes sem sentido. Normalmente, os boatos se propagam pela boa vontade e solidariedade de quem os recebe. Isto ocorre, muitas vezes, porque aqueles que o recebem: confiam no remetente da mensagem; no verificam a procedncia da mensagem; no checam a veracidade do contedo da mensagem. Spam o envio em massa de mensagens de correio eletrnico (e-mails) NO autorizadas pelo destinatrio.
v.2.0
29
CURSO ON-LINE PACOTE DE EXERCCIOS PARA MPU REA ADMINISTRATIVA - NOES DE INFORMTICA PROFESSORA: PATRCIA LIMA QUINTO Portanto, o hoax pode ser considerado um spam, quando for enviado em massa para os destinatrios, de forma no-autorizada. (O item V VERDADEIRO). GABARITO: letra B. 12.(CESPE/2008/TRT-1R/Analista Judicirio) Acerca de conceitos relacionados a redes de computadores, a intranet e Internet, assinale a opo correta. A. Uma caracterstica das redes do tipo VPN (virtual private networks) que elas nunca devem usar criptografia, devido a requisitos de segurana e confidencialidade. B. Uma intranet uma rede corporativa interna que permite a interligao de computadores de empresas. Devido aos requisitos mais estritos de segurana, as intranets no podem utilizar tecnologias que sejam empregadas na Internet, como, por exemplo, o protocolo TCP/IP. C. O programa WinZip pode permitir a compactao de arquivos e programas, fazendo com que ocupem menor espao de memria. comum o uso desse programa para diminuir o tamanho de arquivos que so enviados como anexos em mensagens de correio eletrnico. D. Os arquivos denominados cookies, tambm conhecidos como cavalos de tria, so vrus de computador, com inteno maliciosa, que se instalam no computador sem a autorizao do usurio, e enviam, de forma automtica e imperceptvel, informaes do computador invadido. E. Os programas denominados worm so, atualmente, os programas de proteo contra vrus de computador mais eficazes, protegendo o computador contra vrus, cavalos de tria e uma ampla gama de softwares classificados como malware. Resoluo Item A. Uma VPN (Virtual Private Network Rede Privada Virtual) uma rede privada (no de acesso pblico!) que usa a estrutura de uma rede pblica (como por exemplo, a Internet) para transferir seus dados (os dados devem estar criptografados para passarem despercebidos e inacessveis pela Internet). As VPNs so muito utilizadas para interligar filiais de uma mesma empresa, ou fornecedores com seus clientes (em negcios eletrnicos) atravs da estrutura fsica de uma rede pblica. O trfego de dados levado pela rede pblica utilizando protocolos no necessariamente seguros. VPNs seguras usam protocolos de criptografia por tunelamento que fornecem a confidencialidade (sigilo), autenticao e integridade necessrias para garantir a privacidade das comunicaes requeridas. Quando adequadamente implementados, estes protocolos podem assegurar comunicaes seguras atravs de redes inseguras. (O item A FALSO). Item B. A intranet pode ser definida como uma miniatura da Internet dentro da empresa, ou seja, uma rede corporativa interna, baseada nos protocolos e servios v.2.0 www.pontodosconcursos.com.br
30
CURSO ON-LINE PACOTE DE EXERCCIOS PARA MPU REA ADMINISTRATIVA - NOES DE INFORMTICA PROFESSORA: PATRCIA LIMA QUINTO da Internet, de acesso restrito dos funcionrios. Outra definio: uma rede de comunicao interna que se assemelha ao servio da Web ou, em outras palavras, um site, com pginas e tudo mais, que contm informaes restritas aos funcionrios de uma instituio! Complementando, a extranet nada mais do que a parte de uma intranet que pode ser acessada pela Internet. (O item B FALSO). Item C. O programa Winzip utilizado para a compactao de arquivos e programas, fazendo com que ocupem menor espao de memria. Ateno: importante destacar para a banca CESPE a diferena entre Winzip e Zip Disk, pois frequentemente tem-se questes relacionadas a este tpico. No confunda winzip com o Zip Disk (vide maiores detalhes a seguir)!!
Item D. Cookies no so vrus, e sim arquivos lcitos que permitem a identificao do computador cliente no acesso a uma pgina. Podem ser utilizados para guardar preferncias do usurio, bem como informaes tcnicas como o nome e a verso do browser do usurio. (O item D FALSO). Item E. O antivrus seria a resposta correta nesse item. especfico de malware. (O item E FALSO). GABARITO: letra C. 13. (CESPE/2003/BB_III/Escriturrio Adaptada) Um usurio da Internet e cliente do BB acessou por meio do Internet Explorer 6 o stio cujo URL http://www.bb.com.br para obter informaes acerca dos mecanismos de segurana implementados nesse stio. O worm um tipo
v.2.0
31
Aps algumas operaes nas pginas do stio, o usurio obteve a pgina ilustrada na figura anterior, contendo informaes acerca do teclado virtual, uma ferramenta disponibilizada aos clientes do BB no acesso a funcionalidades referentes a transaes bancrias. A partir da figura mostrada, julgue os itens seguintes, relativos Internet, segurana no acesso Internet, s informaes contidas na pgina ilustrada e ao Internet Explorer 6. I. Sabendo que o teclado virtual permite que o cliente do BB insira a senha de acesso s informaes bancrias de sua conta por meio do mouse e no por digitao no teclado, conclui-se que essa ferramenta dificulta a ao de um trojan, que um aplicativo capaz de registrar em um arquivo todas as teclas digitadas e depois enviar este arquivo para um outro endereo eletrnico. II. Considere a seguinte situao hipottica. Na navegao descrita anteriormente, enquanto o usurio manipulava as pginas do stio do BB, ele observou em determinados momentos que recursos de hardware e de software de seu computador estavam sendo utilizados sem a sua requisio. Em determinados momentos, verificou que arquivos estavam sendo deletados, outros criados, o drive do CD-ROM abria e fechava sem ser solicitado. O usurio chegou, enfim, concluso de que seu computador estava sendo controlado via Internet por uma pessoa por meio de uma porta de comunicao estabelecida sem sua autorizao. Nessa situao, provvel que o computador do usurio estivesse sendo vtima de um vrus de macro. III. Considere a seguinte situao hipottica. Antes de acessar o stio do BB, o usurio acessou pginas da Internet no muito confiveis e o computador por meio do qual o acesso Internet foi realizado contraiu um vrus de script. Nessa situao, possvel que um trojan seja instalado no computador do usurio sem que este saiba o que est acontecendo. IV. O Internet Explorer 6 permite que, por meio do boto (Pesquisar), seja realizada uma busca de vrus instalados em seu computador, utilizando recursos antivrus disponibilizados nesse software pela Microsoft.
v.2.0
32
CURSO ON-LINE PACOTE DE EXERCCIOS PARA MPU REA ADMINISTRATIVA - NOES DE INFORMTICA PROFESSORA: PATRCIA LIMA QUINTO V. A partir do menu , o usurio poder acessar funcionalidades do Internet Explorer 6 que permitem definir determinados nveis de segurana no acesso a pginas Web, tais como impedir que um script de uma pgina Web que est sendo acessada seja executado sem a sua autorizao. VI. Uma das maiores vantagens no acesso Internet em banda larga por meio da tecnologia ADSL, em comparao com as outras tecnologias disponveis atualmente, o fato de os computadores constituintes das redes formadas com tal tecnologia estarem protegidos contra ataques de hackers e de vrus distribudos pela Internet em mensagens de correio eletrnico, sem a necessidade de outros recursos tais como firewall e software antivrus. Resoluo Item I. O cavalo de tria trata-se de um programa aparentemente inofensivo que, quando executado (com a sua autorizao!), parece lhe divertir, mas, por trs abre portas de comunicao do seu computador para que ele possa ser invadido. Algumas das funes maliciosas que podem ser executadas por um cavalo de tria so:

furto de senhas e outras informaes sensveis, como nmeros de cartes de crdito; incluso de backdoors, para permitir que um atacante tenha total controle sobre o computador; alterao ou destruio de arquivos; instalao de keyloggers ou screenloggers. Nesse caso, um keylogger poder ser usado para capturar e armazenar as teclas digitadas pelo usurio. Em muitos casos, a ativao do keylogger condicionada a uma ao prvia do usurio, como por exemplo, aps o acesso a um site especfico de comrcio eletrnico ou Internet Banking. Normalmente, o keylogger contm mecanismos que permitem o envio automtico das informaes capturadas para terceiros (por exemplo, atravs de e-mails). (O item I VERDADEIRO).
Item II. Nesse caso o efeito foi ocasionado pelo cavalo de tria. Os vrus de macro infectam os arquivos dos programas Microsoft Office (Word, Excel, PowerPoint e Access) para atrapalhar o funcionamento desses aplicativos. (O item II FALSO). Item III. O vrus de script tornou-se bastante popular aps a exploso da Web, e aproveita-se de brechas de segurana no sistema para executar automaticamente tarefas danosas, como a instalao de um trojan. (O item III VERDADEIRO). Item IV. O Internet Explorer 6.0 no possui antivrus. A ferramenta (Pesquisar) abre o programa de busca padro do IE 6.0 para pesquisar contedo na Web. (O item IV FALSO).
v.2.0
33
CURSO ON-LINE PACOTE DE EXERCCIOS PARA MPU REA ADMINISTRATIVA - NOES DE INFORMTICA PROFESSORA: PATRCIA LIMA QUINTO Item V. Atravs do Menu Ferramentas, Opes da Internet, guia Segurana, podemse definir esses nveis de segurana no funcionamento do IE 6.0. (O item V VERDADEIRO). Item VI. Banda larga o nome usado para definir qualquer conexo acima da velocidade padro dos modems para conexes discadas (56 Kbps). O ADSL (Assymmetric Digital Subscriber Line ou Linha Digital Assimtrica para Assinante) trata-se de uma tecnologia utilizada para a transferncia digital de dados em alta velocidade por meio de linhas telefnicas comuns. No Brasil as operadoras de telecomunicaes apresentam esta tecnologia com vrias denominaes, por exemplo: a Telemar vende comercialmente essa tecnologia como Velox, a Telefnica em So Paulo, como Speedy, dentre outros. O ADSL aumenta a capacidade de uso da linha de telefone, possibilitando a transmisso simultnea de voz e dados em alta velocidade. A transmisso simultnea de voz utiliza uma faixa de freqncia, enquanto os uploads e downloads utilizam outras faixas de freqncia da linha telefnica.
Para finalizar, cabe destacar que qualquer acesso Internet a princpio no apresenta nenhuma proteo contra ataques e vrus, portanto, o usurio ter que se proteger instalando programas de proteo que iro atuar como agentes de segurana no sistema. (O item VI FALSO). 14.(CESPE/2004/Polcia Rodoviria Federal)
Um usurio da Internet, desejando realizar uma pesquisa acerca das condies das rodovias no estado do Rio Grande do Sul, acessou o stio do Departamento de Polcia Rodoviria Federal http://www.dprf.gov.br , por meio do Internet Explorer 6, executado em um computador cujo sistema operacional o Windows XP e que dispe do conjunto de aplicativos Office XP. Aps algumas operaes nesse stio, o usurio obteve a pgina Web mostrada na figura acima, que ilustra uma janela do Internet Explorer 6. Considerando essa figura, julgue os itens seguintes, relativos Internet, ao Windows XP, ao Office XP e a conceitos de segurana e proteo na Internet. I. Sabendo que o mapa mostrado na pgina Web consiste em uma figura no formato jpg inserida na pgina por meio de recursos da linguagem HTML, ao se
v.2.0
34
CURSO ON-LINE PACOTE DE EXERCCIOS PARA MPU REA ADMINISTRATIVA - NOES DE INFORMTICA PROFESSORA: PATRCIA LIMA QUINTO clicar com o boto direito do mouse sobre esse objeto da pgina, ser exibido um menu que disponibiliza ao usurio um menu secundrio contendo uma lista de opes que permite exportar de forma automtica tal objeto, como figura, para determinados aplicativos do Office XP que estejam em execuo concomitantemente ao Internet Explorer 6. A lista de aplicativos do Office XP disponibilizada no menu secundrio contm o Word 2002, o Excel 2002, o Paint e o PowerPoint 2002. II. Para evitar que as informaes obtidas em sua pesquisa, ao trafegarem na rede mundial de computadores, do servidor ao cliente, possam ser visualizadas por quem estiver monitorando as operaes realizadas na Internet, o usurio tem disposio diversas ferramentas cuja eficincia varia de implementao para implementao. Atualmente, as ferramentas que apresentam melhor desempenho para a funcionalidade mencionada so as denominadas sniffers e backdoors e os sistemas ditos firewall, sendo que, para garantir tal eficincia, todas essas ferramentas fazem uso de tcnicas de criptografia tanto no servidor quanto no cliente da aplicao Internet. III. Por meio da guia Privacidade, acessvel quando Opes da Internet clicada no , o usurio tem acesso a recursos de configurao do Internet menu Explorer 6 que permitem definir procedimento especfico que o aplicativo dever realizar quando uma pgina Web tentar copiar no computador do usurio arquivos denominados cookies. Um cookie pode ser definido como um arquivo criado por solicitao de uma pgina Web para armazenar informaes no computador cliente, tais como determinadas preferncias do usurio quando ele visita a mencionada pgina Web. Entre as opes de configurao possveis, est aquela que impede que os cookies sejam armazenados pela pgina Web. Essa opo, apesar de permitir aumentar, de certa forma, a privacidade do usurio, poder impedir a correta visualizao de determinadas pginas Web que necessitam da utilizao de cookies. Resoluo Item I. Ao clicar com o boto direito do mouse aberto um menu de contexto, mas no exibida a opo de exportar a figura para qualquer aplicativo do Office. Tambm aparece outro erro na questo ao afirmar que o Paint faz parte do pacote Office, o que no est correto. (O item I FALSO). Item II. Os sniffers (capturadores de quadros) so dispositivos ou programas de computador que capturam quadros nas comunicaes realizadas em uma rede de computadores, armazenando tais quadros para que possam ser analisados posteriormente por quem instalou o sniffer. Pode ser usado por um invasor para capturar informaes sensveis (como senhas de usurios), em casos onde estejam sendo utilizadas conexes inseguras, ou seja, sem criptografia. O backdoor (porta dos fundos) um programa que, colocado no micro da vtima, cria uma ou mais falhas de segurana, para permitir que o invasor que o colocou possa facilmente voltar quele computador em um momento seguinte. Portanto, ao contrrio do que o item II afirma, os sniffers e backdoors no sero utilizados para evitar que informaes sejam visualizadas na mquina. (O item II FALSO).
v.2.0
35
CURSO ON-LINE PACOTE DE EXERCCIOS PARA MPU REA ADMINISTRATIVA - NOES DE INFORMTICA PROFESSORA: PATRCIA LIMA QUINTO Item III. Ao acessar o menu Ferramentas -> Opes da Internet, e, em seguida, clicar na aba (guia) Privacidade, pode-se definir o nvel de privacidade do Internet Explorer, possibilitando ou no a abertura de determinadas pginas da Web. O texto correspondente aos cookies est correto. (O item III VERDADEIRO). 15.(MOVENS/2009/ADEPAR/ASSISTENTE TCNICO ADMINISTRATIVO/Q9-Adaptada) Analise o item seguinte: [Uma das funes do servidor Proxy atuar como intermedirio entre um cliente e outro servidor, nos diversos tipos de servios]. Resoluo Aqui vale a pena darmos destaque cartilha de segurana do Cert.br (vide http://cartilha.cert.br/), que representa uma excelente fonte inicial de informaes relacionadas segurana. No site, pode-se baixar a cartilha por completo, gratuitamente, (ento no tem desculpa!!!) e recomendo que realizem a leitura da mesma em sua ntegra. J vi diversas questes de prova, como essa, sendo extradas dessa cartilha. No glossrio da cartilha temos definies tambm interessantes, como a do Proxy listada a seguir: Proxy um servidor que atua como intermedirio entre um cliente e outro servidor. Normalmente utilizado em empresas para aumentar a performance de acesso a determinados servios ou permitir que mais de uma mquina se conecte Internet. Proxies mal configurados podem ser abusados por atacantes e utilizados como uma forma de tornar annimas algumas aes na Internet, como atacar outras redes ou enviar spam. Complementando, um servidor proxy normalmente usado com o objetivo de compartilhar a conexo com a Internet e atua tambm como um repositrio de pginas Web recentemente acessadas, armazenando as pginas que j foram acessadas de forma que outro usurio ao acessar o mesmo site conseguir uma performance melhor (diminuindo o trfego de Internet da empresa). GABARITO: item VERDADEIRO. 16.(MOVENS/2009/Hospital Regional de Santa Maria-DF/Tcnico de Informtica/Q20) O uso de computadores em rede traz benefcios como velocidade e praticidade. Porm, existem alguns riscos envolvidos, como acesso no autorizado a informaes. Por esse motivo, algumas tecnologias foram criadas para estabelecer meios de controle das comunicaes. A respeito desse assunto, leia o texto abaixo, preencha corretamente as lacunas e, em seguida, assinale a opo correta. O _________ um dos principais dispositivos de segurana em uma rede de computadores. Ele realiza a _________ dos _________ e, ento, bloqueia as _________ no permitidas. A seqncia correta : (A) roteador / checagem / usurios / alteraes (B) hub / anlise / arquivos transmitidos / transferncias (C) firewall / filtragem / pacotes / transmisses (D) ids / alterao / sites / informaes
v.2.0
36
CURSO ON-LINE PACOTE DE EXERCCIOS PARA MPU REA ADMINISTRATIVA - NOES DE INFORMTICA PROFESSORA: PATRCIA LIMA QUINTO Resoluo O firewall um conjunto de componentes colocados entre duas redes, permitindo que alguns pacotes passem e outros no. Eles garantem que TODO o trfego de DENTRO PARA FORA da rede, e VICE-VERSA, passe por ele. Somente o trfego autorizado pela poltica de segurana pode atravessar o firewall e, finalmente, ele deve ser prova de violaes. A figura seguinte destaca um exemplo de firewall isolando a rede interna de uma organizao da rea pblica da Internet.
Figura. Firewall isolando a rede interna da Internet Complementando, o firewall pessoal um software ou programa utilizado para proteger um computador contra acessos no autorizados vindos da Internet. Nesse caso, se algum ou algum programa suspeito tentar se conectar ao seu computador, um firewall bem configurado entra em ao para bloquear tentativas de invaso sua mquina. GABARITO: letra C. 17.(CESPE/2010/MINISTRIO DA SADE /ANALISTA TCNICOADMINISTRATIVO Acerca de conceitos de organizao de arquivos e Internet, julgue o item seguinte. Firewall o mecanismo usado em redes de computadores para controlar e autorizar o trfego de informaes, por meio do uso de filtros que so configurados de acordo com as polticas de segurana estabelecidas. Resoluo A banca especificou corretamente o conceito para o termo Firewall, conforme visto, inclusive no descreve sem se software ou hardware...bem "diplomtica" essa assertiva. GABARITO: item Certo. Questes Complementares 18.(ESAF/2006/TRF) Nos dispositivos de armazenamento de dados, quando se utiliza espelhamento visando a um sistema tolerante a falhas, correto afirmar que:
v.2.0
37
CURSO ON-LINE PACOTE DE EXERCCIOS PARA MPU REA ADMINISTRATIVA - NOES DE INFORMTICA PROFESSORA: PATRCIA LIMA QUINTO a) ao apagar um arquivo em um disco com sistema de espelhamento, o arquivo equivalente no disco espelhado s ser apagado aps a execuo de uma ao especfica de limpeza que deve ser executada periodicamente pelo usurio; b) ao ocorrer uma falha fsica em um dos discos, os dados nos dois discos tornam-se indisponveis. Os dados s sero mantidos em um dos discos quando se tratar de uma falha de gravao de dados; c) o sistema fornece redundncia de dados, usando uma cpia do volume para duplicar as informaes nele contidas; d) o disco principal e o seu espelho devem estar sempre em parties diferentes, porm no mesmo disco fsico; e) o disco a ser utilizado como espelho deve ter sempre o dobro do tamanho do disco principal a ser espelhado. Resoluo RAID um acrnimo para Redundant Array of Inexpensive Disks (Redundant Array of Independent Disks / Matriz redundante de discos independentes). Este arranjo uma tcnica em que os dados ficam armazenados em vrios discos para se obter um aumento na velocidade de acesso/gravao e/ou para aumentar a redundncia do sistema. A tecnologia envolvida nesta teoria possui um princpio bem simples: atravs da combinao de uma matriz de discos "pequenos", no muito caros, um administrador poder gravar dados com redundncia para prover tolerncia a falhas em um servidor. Em outras palavras, o RAID uma tecnologia utilizada com o objetivo de combinar diversos discos rgidos (como IDE, SATA, SCSI) para que sejam reconhecidos pelo sistema operacional como apenas uma nica unidade de disco. Existem vrios tipos (chamados modos) de RAID, e os mais comuns so: RAID 0, RAID 1, e Raid 5. RAID 0, tambm chamado de Stripping (Enfileiramento) Combina dois (ou mais) HDs para que os dados gravados sejam divididos entre eles. No caso de um RAID 0 entre dois discos, os arquivos salvos nesse conjunto sero gravados METADE em um disco, METADE no outro. Ganha-se muito em velocidade o a gravao do arquivo feita em metade do tempo, porque se grava metade dos dados em um disco e metade no outro simultaneamente (o barramento RAID outro, separado, do IDE). o A leitura dos dados dos discos tambm acelerada! o Nesse RAID no h tolerncia a falhas (segurana) porque de um dos discos pifar, os dados estaro perdidos completamente. o No se preocupa com segurana e sim com a velocidade! RAID 1 - Mirroring (Espelhamento) Cria uma matriz (array) de discos espelhados (discos idnticos). O que se copia em um, copia-se igualmente no outro disco. O RAID 1 aumenta a segurana do sistema, oferecendo portanto redundncia dos dados e fcil recuperao, com proteo contra falha em disco. RAID 1 aumenta a velocidade de leitura dos dados no disco (no a de escrita). v.2.0 www.pontodosconcursos.com.br
38
CURSO ON-LINE PACOTE DE EXERCCIOS PARA MPU REA ADMINISTRATIVA - NOES DE INFORMTICA PROFESSORA: PATRCIA LIMA QUINTO RAID 5 Sistema tolerante a falhas, cujos dados e paridades so distribudos ao longo de trs ou mais discos fsicos. A paridade um valor calculado que usado para reconstruir dados depois de uma falha. Se um disco falhar, possvel recriar os dados que estavam na parte com problema a partir da paridade e dados restantes. A questo destaca o RAID 1, que faz o espelhamento" de disco. GABARITO: letra C. 19.(2009/MOVENS/Hospital Regional de Santa Maria-DF/Tcnico de Informtica/Q20) Um tcnico de suporte trabalha em uma grande instituio hospitalar. Durante uma anlise do ambiente, ele observa que vrios servidores tm somente um disco rgido, apresentando assim uma situao chamada Ponto nico de Falha, ou seja, caso o disco rgido falhe, todo o sistema parar. O chefe, preocupado com a situao, requisita que o tcnico indique uma soluo para o problema. Assinale a opo que contm a soluo que dever ser indicada pelo tcnico para essa situao. (A) Substituio dos discos rgidos antigos por novos com tecnologia SCSI. (B) Instalao de um disco rgido extra para cada servidor e a configurao de RAID 1 entre os discos. (C) Instalao de um disco rgido extra para cada servidor e a configurao de RAID 0 entre os discos. (D) Substituio dos discos rgidos antigos por novos com tecnologia SATA. Resoluo Nesse contexto, bastaria que o tcnico realizasse a instalao de um disco rgido extra para cada servidor e a configurao de RAID 1 entre os discos. Com o RAID 1, que implementa o espelhamento, o que se copia em um disco copiado igualmente no outro disco!! GABARITO: letra B. 20.(FUNRIO/2008/JUCERJA/PROFISSIONAL DE INFORMTICA) Uma mensagem criptografada com uma chave simtrica poder ser decriptografada com A) a chave privativa. B) a mesma chave simtrica. C) a chave pblica. D) o HASH. E) a chave RSA. Resoluo A criptografia de chave simtrica (tambm conhecida como criptografia de chave nica, ou criptografia privada) utiliza APENAS UMA chave para encriptar
v.2.0
39
CURSO ON-LINE PACOTE DE EXERCCIOS PARA MPU REA ADMINISTRATIVA - NOES DE INFORMTICA PROFESSORA: PATRCIA LIMA QUINTO e decriptar as mensagens. Assim, como s utiliza UMA chave, obviamente ela deve ser compartilhada entre o remetente e o destinatrio da mensagem. Para ilustrar os sistemas simtricos, podemos usar a imagem de um cofre, que s pode ser fechado e aberto com uso de uma chave. Esta pode ser, por exemplo, uma combinao de nmeros. A mesma combinao abre e fecha o cofre. Para criptografar uma mensagem, usamos a chave (fechamos o cofre) e para decifr-la utilizamos a mesma chave (abrimos o cofre).
Os sistemas simtricos tm o problema em relao distribuio de chaves, que devem ser combinadas entre as partes antes que a comunicao segura se inicie. Esta distribuio se torna um problema em situaes onde as partes no podem se encontrar facilmente. Mas h outros problemas: a chave pode ser interceptada e/ou alterada em trnsito por um inimigo. Na criptografia simtrica (ou de chave nica) tanto o emissor quanto o receptor da mensagem devem conhecer a chave utilizada!! Os algoritmos de criptografia assimtrica (criptografia de chave pblica) utilizam DUAS chaves DIFERENTES, uma PBLICA (que pode ser distribuda) e uma PRIVADA (pessoal e intransfervel). Assim, nesse mtodo cada pessoa ou entidade mantm duas chaves: uma pblica, que pode ser divulgada livremente, e outra privada, que deve ser mantida em segredo pelo seu dono. As mensagens codificadas com a chave pblica s podem ser decodificadas com a chave privada correspondente.
GABARITO: letra B. 21.(FUNRIO/2007/Prefeitura Municipal de Maric) Considere as assertivas abaixo sobre criptografia:
v.2.0
40
CURSO ON-LINE PACOTE DE EXERCCIOS PARA MPU REA ADMINISTRATIVA - NOES DE INFORMTICA PROFESSORA: PATRCIA LIMA QUINTO I. Criptografia o conjunto de tcnicas matemticas utilizadas para embaralhar uma mensagem. II. Na criptografia simtrica a mesma chave utilizada para encriptar e decriptar uma mensagem. III. Na criptografia assimtrica so usadas duas chaves, uma privativa e uma pblica. Esto corretas: A) I e II apenas B) I e III apenas C) II e III apenas D) I, II e III E) Todas esto incorretas Resoluo Item I. Criptografia um conjunto de tcnicas que permitem tornar incompreensvel uma mensagem escrita com clareza, de forma que apenas o destinatrio a decifre e a compreenda. Item VERDADEIRO. Item II. A criptografia simtrica (ou convencional, chave privada, chave nica) utiliza a MESMA chave tanto para codificar quanto para decodificar mensagens. Item VERDADEIRO. Item III. A criptografia assimtrica (ou de chave pblica) utiliza DUAS chaves distintas, uma para codificar e outra para decodificar mensagens. Neste mtodo cada pessoa ou entidade mantm duas chaves: uma pblica, que pode ser divulgada livremente, e outra privada, que deve ser mantida em segredo pelo seu dono. As mensagens codificadas com a chave pblica s podem ser decodificadas com a chave privada correspondente. Item VERDADEIRO. GABARITO: letra D. 22.(FUNRIO/2009/Analista de Seguro Social Servio Social) Das sentenas abaixo, relativas segurana de computadores e sistemas, I. Um dos principais objetivos da criptografia impedir a invaso de redes. II. O certificado digital um arquivo eletrnico que contm dados de uma pessoa ou instituio, utilizados para comprovar sua identidade. III. Um antivrus capaz de impedir que um hacker tente explorar alguma vulnerabilidade existente em um computador. IV. Vrus, keyloggers, worms e cavalos de tria so alguns dos exemplos de Malware. Esto corretas: A) I, II e III, apenas. B) I e IV, apenas. C) II e IV, apenas. D) III e IV, apenas. E) I, II, III e IV. Resoluo
v.2.0
41
CURSO ON-LINE PACOTE DE EXERCCIOS PARA MPU REA ADMINISTRATIVA - NOES DE INFORMTICA PROFESSORA: PATRCIA LIMA QUINTO Item I. A Criptografia a cincia e arte de escrever mensagens em forma cifrada ou em cdigo. Os mtodos de criptografia atuais so seguros e eficientes e baseiam-se no uso de uma ou mais chaves. A chave uma seqncia de caracteres, que pode conter letras, dgitos e smbolos (como uma senha), e que convertida em um nmero, utilizado pelos mtodos de criptografia para codificar e decodificar mensagens. Atualmente, os mtodos criptogrficos podem ser subdivididos em duas grandes categorias, de acordo com o tipo de chave utilizada: a criptografia de chave nica e a criptografia de chave pblica e privada. A criptografia de chave nica utiliza a MESMA chave tanto para codificar quanto para decodificar mensagens. A criptografia de chaves pblica e privada utiliza DUAS chaves distintas, uma para codificar e outra para decodificar mensagens. Neste mtodo cada pessoa ou entidade mantm duas chaves: uma pblica, que pode ser divulgada livremente, e outra privada, que deve ser mantida em segredo pelo seu dono. As mensagens codificadas com a chave pblica s podem ser decodificadas com a chave privada correspondente.
Cabe destacar que a principal finalidade da criptografia , sem dvida, reescrever uma mensagem original de uma forma que seja incompreensvel, para que ela no seja lida por pessoas no-autorizadas. E isso no suficiente para impedir a invaso de redes. Item FALSO. Item II. O certificado digital uma credencial eletrnica, no-palpvel gerada por uma Autoridade Certificadora (AC), que vincula a pessoa fsica ou jurdica a um par de chaves sendo uma pblica e outra privada (ou secreta). O certificado fica armazenado em dispositivos de segurana, como por ex.: Token ou Smart Card, ilustrados na figura a seguir.
Token
Smart Card Figura. Ilustrao de dispositivos de segurana Quanto aos objetivos do certificado digital podemos destacar: Transferir a credibilidade que hoje baseada em papel e conhecimento para o ambiente eletrnico. Vincular uma chave pblica a um titular (eis o objetivo principal). O certificado digital precisa ser emitido por uma autoridade reconhecida pelas
v.2.0
42
CURSO ON-LINE PACOTE DE EXERCCIOS PARA MPU REA ADMINISTRATIVA - NOES DE INFORMTICA PROFESSORA: PATRCIA LIMA QUINTO partes interessadas na transao, conforme visto na prxima figura. Chamamos essa autoridade de Autoridade Certificadora, ou AC.
Figura. Vnculo da chave pblica ao titular Assinar digitalmente um documento eletrnico atribuindo validade jurdica, integridade, autoria e no-repdio.
Um certificado contm:
Item VERDADEIRO. A seguir, irei explicar primeiramente o item IV, em seguida, passamos aos comentrios do item III, para uma melhor compreenso.
v.2.0
43
CURSO ON-LINE PACOTE DE EXERCCIOS PARA MPU REA ADMINISTRATIVA - NOES DE INFORMTICA PROFESSORA: PATRCIA LIMA QUINTO Item IV. O que significa malware? O termo malware proveniente de Malicious Software, software designado a se infiltrar em um sistema de computador alheio de forma ilcita com o intuito de causar algum dano ou roubo de informaes. Tambm pode ser considerado malware uma aplicao legal que por uma falha de programao (intencional ou no) execute funes que se enquadrem na definio. Os tipos mais comuns de malware: vrus, worms, bots, cavalos de tria, spyware, keylogger, screenlogger. Item VERDADEIRO. Item III. Os antivrus procuram detectar e, ento, anular ou remover cdigos maliciosos do computador (vrus, vermes, cavalos de tria, etc). Exs: McAfee Security Center Antivrus, Panda Antivrus, Norton Antivrus, Avira Antivir Personal, AVG, etc. Ao contrrio do que afirma a questo, o antivrus no impede que um atacante explore alguma vulnerabilidade (fragilidade, ponto fraco) existente no computador. Item FALSO. GABARITO: letra C. 23.(FUNRIO/2008/Prefeitura de Coronel Fabriciano) Um Firewall um sistema de proteo que pode: A) utilizar assinaturas de vrus para impedir que a mquina seja infectada. B) bloquear possveis tentativas de invaso atravs de filtros de pacotes. C) impedir a replicao de worms e conseqente ataque ao computador. D) eliminar spywares que possam invadir e espionar a mquina. E) neutralizar ataques aos computadores por spams. Resoluo Algumas definies para firewall encontradas na literatura: um mecanismo de proteo que controla a passagem de pacotes entre redes, tanto locais como externas. um dispositivo que possui um conjunto de regras especificando que trfego ele permitir ou negar. um dispositivo que permite a comunicao entre redes, de acordo com a poltica de segurana definida e que so utilizados quando h uma necessidade de que redes com nveis de confiana variados se comuniquem entre si. Fiquem ligados!!! Existem coisas que o firewall NO PODE proteger: do uso malicioso dos servios que ele autorizado a liberar; dos usurios que no passam por ele, ou seja, no verifica o fluxo intra-redes; dos ataques de engenharia social; das falhas de seu prprio hardware e sistema operacional. Existem dois tipos de modelo de acesso, ou poltica padro, que podem ser aplicados ao firewall: tudo permitido, exceto o que for expressamente proibido;
v.2.0
44
CURSO ON-LINE PACOTE DE EXERCCIOS PARA MPU REA ADMINISTRATIVA - NOES DE INFORMTICA PROFESSORA: PATRCIA LIMA QUINTO tudo proibido, exceto o que for expressamente permitido.
GABARITO: letra B. 24.(FUNRIO/2009/Analista de Seguro Social Servio Social) Qual das alternativas abaixo d nome ao tipo de ameaa propagada por meio de mensagens fraudulentas, chamadas de spam, caracterizada por um tipo de fraude concebida para obter informaes pessoais sobre o usurio de Internet, convencendo-o a facultar-lhe essas informaes sob falsos pretextos? A) Adware. B) Cavalo de Tria. C) Phishing. D) Retrovirus. E) Vrus de macro. Resoluo Item A. Adware (Advertising software) um software projetado para exibir anncios de propaganda em seu computador. Nem sempre so necessariamente maliciosos! Um adware malicioso pode abrir uma janela do navegador apontando para pginas de cassinos, vendas de remdios, pginas pornogrficas, etc. Item FALSO. Item B. O Cavalo de tria um programa aparentemente inofensivo que entra em seu computador na forma de carto virtual, lbum de fotos, protetor de tela, jogo, etc, e que, quando executado, parece lhe divertir, mas, por trs abre portas de comunicao do seu computador para que ele possa ser invadido. Item FALSO. Item C. Esta questo destaca o Golpe de Phishing Scam (ou simplesmente Golpe de Phishing), muito cobrado nas provas de concursos! Item VERDADEIRO. Item D. Retrovrus um tipo de ameaa que tem como objetivo principal a infeco do prprio antivrus! Ex: Goldbug, Crepate. Item FALSO. Item E. Vrus de macro infectam os arquivos dos programas Microsoft Office (Word, Excel, PowerPoint e Access). Esses vrus so normalmente criados com a linguagem de programao VBA (Visual Basic para Aplicaes) e afetam apenas os programas que usam essa linguagem (o Office, por exemplo). Os vrus de macro vinculam suas macros a modelos de documentos (templates) e/ou a outros arquivos de modo que, quando um aplicativo carrega o arquivo e executa as instrues nele contidas, as primeiras instrues executadas sero as do vrus. So parecidos com outros vrus em vrios aspectos: so cdigos escritos para que, sob certas condies, se reproduza, fazendo uma cpia de si mesmo. Podem causar danos, apresentar uma mensagem ou fazer qualquer coisa que um programa possa fazer. Item FALSO. GABARITO: letra C. Voc sabia!! Uma macro um conjunto de comandos que so armazenados em alguns aplicativos e utilizados para automatizar algumas tarefas repetitivas.
v.2.0
45
CURSO ON-LINE PACOTE DE EXERCCIOS PARA MPU REA ADMINISTRATIVA - NOES DE INFORMTICA PROFESSORA: PATRCIA LIMA QUINTO 25.(ESAF/2007/SEFAZ-CE) Nos sistemas de Segurana da Informao, existe um mtodo que ____________________. Este mtodo visa garantir a integridade da informao. Escolha a opo que preenche corretamente a lacuna acima. a) valida a autoria da mensagem b) verifica se uma mensagem em trnsito foi alterada c) verifica se uma mensagem em trnsito foi lida por pessoas no autorizadas d) cria um backup diferencial da mensagem a ser transmitida e) passa um antivrus na mensagem a ser transmitida Resoluo Como a banca destacou que estava interessada em um mtodo que visa ...garantir a integridade da informao, j possvel resolver a questo. O trecho em destaque refere-se ao objetivo do princpio da integridade. Esse princpio est ligado ao estado da informao no momento de sua gerao e resgate. A informao estar ntegra se em tempo de resgate, estiver FIEL ao estado original. Exemplo: se no momento da gerao da informao obtivermos o texto 3 + 3 = 7 isso implica que no resgate deveremos obter o mesmo conjunto de caracteres, a saber: 3 + 3 = 7 A integridade no se prende ao contedo, que pode estar errado, mas a variaes e alteraes entre o processo de gerao e resgate. Sendo assim, o item b (verifica se uma mensagem em trnsito foi alterada) a resposta, e quem faz isso o hash, contido nas assinaturas digitais de e-mails e arquivos. GABARITO: letra B. 26. (ESAF/2002/AFPS) Os problemas de segurana e crimes por computador so de especial importncia para os projetistas e usurios de sistemas de informao. Com relao segurana da informao, correto afirmar que a)confiabilidade a garantia de que as informaes armazenadas ou transmitidas no sejam alteradas. b)integridade a garantia de que os sistemas estaro disponveis quando necessrios. c)confiabilidade a capacidade de conhecer as identidades das partes na comunicao. d)autenticidade a garantia de que os sistemas desempenharo seu papel com eficcia em um nvel de qualidade aceitvel. e)privacidade a capacidade de controlar quem v as informaes e sob quais condies. Resoluo Item A. Descreve a integridade, e no a confiabilidade. Item FALSO. Item B. Descreve a disponibilidade, e no a integridade. Item FALSO. Itens C e D. Esto com os conceitos invertidos! Autenticidade a capacidade de conhecer as identidades das partes na comunicao; e confiabilidade a garantia
v.2.0
46
CURSO ON-LINE PACOTE DE EXERCCIOS PARA MPU REA ADMINISTRATIVA - NOES DE INFORMTICA PROFESSORA: PATRCIA LIMA QUINTO de que os sistemas desempenharo seu papel com eficcia em um nvel de qualidade aceitvel. Itens FALSOS. Item E. A privacidade diz respeito ao direito fundamental de cada indivduo poder decidir quem deve ter acesso aos seus dados pessoais. Item VERDADEIRO. GABARITO: letra E. 27.(ESAF/2008/CGU/AFC/Infra TI) A respeito do documento da Poltica de Segurana da Informao de uma dada Organizao, incorreto afirmar que a) deve ser aprovado pela direo antes de ser publicado e divulgado. b) deve ser analisado regularmente ou na ocorrncia de mudanas significativas. c) gestores devem garantir que os procedimentos de segurana so executados em conformidade com tal documento. d) deve incluir informaes quanto tecnologia a ser empregada para a segurana da informao. e) no caso de mudanas, deve-se assegurar a sua contnua pertinncia e adequao. Resoluo Segundo a norma ISO 17799:2005 a Poltica de segurana da informao tem por objetivo prover uma orientao e apoio direo para a segurana da informao de acordo com os requisitos do negcio e com as leis e regulamentaes relevantes. A gerncia deve estabelecer uma direo poltica clara e demonstrar suporte a, e comprometimento com, a segurana das informaes atravs da emisso e manuteno de uma poltica de segurana de informaes para toda a organizao. Um documento com a poltica deve ser aprovado pela gerncia, publicado e divulgado, conforme apropriado, para todos os empregados. Ele deve declarar o comprometimento da gerncia e estabelecer a abordagem da organizao quanto gesto da segurana de informaes. A poltica deve ter um encarregado que seja responsvel por sua manuteno e reviso de acordo com um processo de reviso definido. Esse processo deve assegurar que seja executada uma reviso em resposta a quaisquer mudanas que afetem a base da avaliao de riscos original, por exemplo incidentes de segurana significativos, novas vulnerabilidades ou mudanas na infraestrutura organizacional ou tcnica. Na Poltica de Segurana da Informao NO se deve ter informaes quanto tecnologia que ser empregada na segurana da informao de uma organizao. GABARITO: letra D. 28.(ESAF/2008/CGU/AFC/Infraestrutura) Analise as seguintes afirmaes a respeito de cpias de segurana (backups) e assinale a opo correta. I. Em uma poltica de backup, deve-se declarar a abordagem empregada (completa ou incremental) e periodicidade das cpias, assim como os recursos, infraestrutura e demais procedimentos necessrios.
v.2.0
47
CURSO ON-LINE PACOTE DE EXERCCIOS PARA MPU REA ADMINISTRATIVA - NOES DE INFORMTICA PROFESSORA: PATRCIA LIMA QUINTO II. Registrar o contedo e data de atualizao, cuidar do local de armazenamento de cpias e manter cpias remotas como medida preventiva so recomendados para a continuidade dos negcios. III. Polticas de backup devem ser testadas regularmente para garantir respostas adequadas a incidentes. a) Apenas I e II so verdadeiras. b) Apenas II e III so verdadeiras. c) Apenas I e III so verdadeiras. d) I, II e III so verdadeiras. e) I, II e III so falsas. Resoluo Antes de resolver os itens da questo importante relembrarmos o que backup e os tipos possveis de rotina de backup: Backup uma cpia de segurana de dados que pode ser feito em vrios tipos de mdias, como CDs, DVSs, fitas DAT, etc.. de forma a proteg-los de qualquer eventualidade. Backup de cpia Copia todos os arquivos selecionados, mas no os marca como arquivos que passaram por backup (ou seja, o atributo de arquivo no desmarcado). A cpia til caso voc queira fazer backup de arquivos entre os backups normal e incremental, pois ela no afeta essas outras operaes de backup. Backup dirio Um backup dirio copia todos os arquivos selecionados que foram modificados no dia de execuo do backup dirio. Os arquivos no so marcados como arquivos que passaram por backup (o atributo de arquivo no desmarcado). Backup diferencial Um backup diferencial copia arquivos criados ou alterados desde o ltimo backup normal ou incremental. No marca os arquivos como arquivos que passaram por backup (o atributo de arquivo no desmarcado). Se voc estiver executando uma combinao dos backups normal e diferencial, a restaurao de arquivos e pastas exigir o ltimo backup normal e o ltimo backup diferencial. Backup increMental Um backup incremental copia somente os arquivos criados ou alterados desde o ltimo backup normal ou incremental e os Marca como arquivos que passaram por backup (o atributo de arquivo desmarcado). Se voc utilizar uma combinao dos backups normal e incremental, precisar do ltimo conjunto de backup normal e de todos os conjuntos de backups incrementais para restaurar os dados. Backup norMal Um backup normal copia todos os arquivos selecionados e os Marca como arquivos que passaram por backup (ou seja, o atributo de arquivo desmarcado). Com backups normais, voc s precisa da cpia mais recente do arquivo ou da fita de backup para restaurar todos os arquivos. Geralmente, o backup normal executado quando voc cria um conjunto de backup pela primeira vez. v.2.0 www.pontodosconcursos.com.br
48
CURSO ON-LINE PACOTE DE EXERCCIOS PARA MPU REA ADMINISTRATIVA - NOES DE INFORMTICA PROFESSORA: PATRCIA LIMA QUINTO Item I. Segundo a norma ISO 17799:2005 o backup das informaes dos softwares e das informaes essenciais para o negcio devem ser executadas regularmente. Para definio de uma poltica de backup devem ser considerados todos os pontos mencionados no item I como: a abordagem empregada, periodicidade das cpias e procedimentos empregados. Sabemos que existem outros tipos de backup. A questo deveria ter mencionado pelo menos as trs abordagens principais de backup (Completo, incremental e diferencial). O item, no entanto, comenta apenas dois (completa ou incremental). Ainda utilizaram a preposio "ou" para confundir mais o candidato, dando a ideia de exclusividade, ou um, ou o outro, sendo que na realidade, geralmente utilizado um conjunto de abordagens em uma organizao. A banca da ESAF considerou a questo como correta, mas gerou polmica. Item certo. Item II. Segundo a norma ISO 17799:2005 no backup das informaes deve ser implantado o seguinte controle: Um nvel mnimo de informaes de backup, juntamente com registros completos e exatos das cpias backup e procedimentos documentados de restaurao, devem ser armazenados em um local remoto, a uma distncia segura para escapar de quaisquer danos no caso de um desastre no site principal. Pelo menos trs geraes ou ciclos de informaes backup devem ser guardados para as aplicaes importantes para o negcio. Item certo. Item III. Segundo a norma ISO 17799:2005 no backup das informaes deve ser implantado o seguinte controle: A mdia dos backups deve ser regularmente testada, onde praticvel, para garantir que eles so confiveis para uso emergencial quando necessrio. Os procedimentos para backup de sistemas individuais devem ser regularmente testados para assegurar que eles satisfaam os requisitos dos planos de continuidade do negcio. Item certo. GABARITO: letra D. 29.(FGV/2008/SEFAZ-RJ/Fiscal de Rendas) Analise a citao abaixo, relacionada s fraudes na Internet. Como se no bastassem vrus e spam, agora, os internautas tm que ficar atentos para outro tipo de ameaa: as fraudes online. A prtica sempre a mesma: um e-mail chega Caixa de Entrada do programa de correio eletrnico oferecendo promoes e vantagens, ou solicitando algum tipo de recadastramento. A isca para pescar os usurios so empresas conhecidas, como bancos, editoras de jornais e revistas, e lojas de comrcio eletrnico. Os golpes so bem elaborados, mas basta um pouco de ateno para verificar uma srie de incoerncias. Em geral, as mensagens so similares s originais enviadas pelas empresas, e muitas delas tm links para sites que tambm so cpias dos verdadeiros. Mas, nos dois casos, possvel ver imagens quebradas, textos fora de formatao e erros de portugus - algo difcil de ocorrer com empresas que investem tanto em marketing para atrair clientes. Bom... e o que esses fraudadores querem, afinal? Em alguns casos, o propsito fazer o internauta preencher um formulrio no site falso, enviando informaes pessoais. Outras mensagens pedem apenas que o usurio baixe um arquivo por exemplo, um suposto questionrio
v.2.0
49
CURSO ON-LINE PACOTE DE EXERCCIOS PARA MPU REA ADMINISTRATIVA - NOES DE INFORMTICA PROFESSORA: PATRCIA LIMA QUINTO que, na verdade, um programa que envia os dados pessoais e financeiros por meio da Internet. De qualquer forma, bom ficar de olho na sua Caixa de Entrada. A citao caracteriza o uso de um tipo de fraude na Internet conhecido por: (A) Keylogger Malware (B) Denial of Service (C) Hoax Spammer (D) Phishing Scam (E) Trojan Horse Resoluo Essa questo bem simples e destaca o Golpe de Phishing Scam (ou simplesmente Golpe de Phishing), muito cobrado nas provas de concursos! O Phishing (ou Phishing scam) foi um termo criado para descrever o tipo de fraude que se d atravs do envio de mensagem no solicitada, que se passa por comunicao de uma instituio conhecida, como um banco, rgo do governo (Receita Federal, INSS e Ministrio do Trabalho so os mais comuns) ou site popular, e que procura induzir o acesso a pginas fraudulentas (falsificadas), projetadas para furtar dados pessoais e financeiros de usurios desavisados. A palavra phishing (de fishing) vem de uma analogia criada pelos fraudadores, em que iscas (e-mails) so usadas para pescar informaes sensveis (senhas e dados financeiros, por exemplo) de usurios da Internet. Atualmente, este termo vem sendo utilizado tambm para se referir aos seguintes casos: mensagem que procura induzir o usurio instalao de cdigos maliciosos, projetados para furtar dados pessoais e financeiros; mensagem que, no prprio contedo, apresenta formulrios para o preenchimento e envio de dados pessoais e financeiros de usurios. O objetivo principal de um scammer (indivduo que implementa o Golpe de Phishing Scam) obter a autenticao. Isto quer dizer, reunir as informaes necessrias para se fazer passar pela VTIMA e obter alguma vantagem financeira. Em seguida, aps obter os dados do carto de crdito, fazer compras pela Internet; aps obter os dados da conta corrente ou poupana, fazer compras on-line, pagamentos ou transferncias; dentre outros. A prxima figura ilustra alguns dos temas mais explorados pelos scammers no Golpe de Phishing Scam.
v.2.0
50
CURSO ON-LINE PACOTE DE EXERCCIOS PARA MPU REA ADMINISTRATIVA - NOES DE INFORMTICA PROFESSORA: PATRCIA LIMA QUINTO GABARITO: letra D. 30.(ESAF/2007/SEFAZ-CE) Analise as seguintes afirmaes relacionadas a conceitos bsicos de Segurana da Informao. I. Um firewall, instalado entre uma rede LAN e a Internet, tambm utilizado para evitar ataques a qualquer mquina desta rede LAN partindo de mquinas da prpria rede LAN. II. A confidenciabilidade a propriedade de evitar a negativa de autoria de transaes por parte do usurio, garantindo ao destinatrio o dado sobre a autoria da informao recebida. III. Na criptografia de chaves pblicas, tambm chamada de criptografia assimtrica, uma chave utilizada para criptografar e uma chave diferente utilizada para decriptografar um arquivo. IV. Uma das finalidades da assinatura digital evitar que alteraes feitas em um documento passem sem ser percebidas. Nesse tipo de procedimento, o documento original no precisa estar criptografado. Indique a opo que contenha todas as afirmaes verdadeiras. a) I e II b) II e III c) III e IV d) I e III e) II e IV Resoluo Item I. O firewall instalado entre uma rede LAN e a Internet no tem como funcionalidade proteger ataques providos de mquinas da rede interna para outras mquinas da mesma rede. Se o ataque partir de uma mquina dentro da prpria rede, o ataque no passar pelo firewall para chegar ao alvo, logo, no ser filtrado! Nesse caso, o firewall ir proteger ataques da rede interna para a Internet e vice-versa. Lembrando-se que se pode implementar um firewall para evitar ataques entre mquinas internas, isso depender do projeto da soluo em questo. Item FALSO. Item II. O termo mais apropriado na questo confidencialidade, mas a banca j usou diversas vezes, h tempos atrs, o termo confidenciabilidade. No entanto, dentro do contexto da questo, nenhum dos 2 estaria correto!! O conceito mostrado descreve a irretratabilidade, tambm chamada de no-repdio, e no a confidenciabilidade como mencionado no enunciado. Item FALSO. Item III. Questo fcil!! Na criptografia de chaves pblicas ou chaves assimtricas so utilizadas duas chaves na comunicao, uma para criptografar a informao (chave pblica) e outra para decriptografar (chave privada). Item VERDADEIRO. Item IV. O processo de assinatura digital utiliza o recurso de hash (resumo da mensagem), que tem a funo de dar garantias de que saibamos se uma mensagem foi ou no foi alterada durante seu trnsito (como um e-mail quando atravessa a internet). Para assinar uma mensagem de e-mail, no necessrio criptograf-la (so dois recursos diferentes). Item VERDADEIRO.
v.2.0
51
CURSO ON-LINE PACOTE DE EXERCCIOS PARA MPU REA ADMINISTRATIVA - NOES DE INFORMTICA PROFESSORA: PATRCIA LIMA QUINTO GABARITO: letra C. 31.Trata-se de um software malicioso que, ao infectar um computador, criptografa todo ou parte do contedo do disco rgido. Os responsveis pelo software exigem da vtima, um pagamento pelo resgate dos dados. (A)Bot (B)DoS (C)Conficker (D)Pharming (E)Ransomware Resoluo Item A. Bot: rob. um worm capaz de se propagar automaticamente, explorando vulnerabilidades existentes ou falhas na configurao de softwares instalados em um computador. Tambm dispe de mecanismos de comunicao com o invasor (cracker), permitindo que seja controlado remotamente. Item FALSO. Item B. DoS (Negao de Servio Denial of Service): a forma mais conhecida de ataque que consiste na perturbao de um servio. Para provocar um DoS, os atacantes disseminam vrus, geram grandes volumes de trfego de forma artificial, ou muitos pedidos aos servidores que causam sobrecarga e estes ltimos ficam impedidos de processar os pedidos normais. DDoS (Negao de Servio Distribudo Distributed Denial of Service): um ataque DoS ampliado, ou seja, que utiliza at milhares de computadores para atacar uma determinada mquina. Utiliza a tecnologia de "Intruso Distribuda" - para iniciar um ataque, no lugar de um nico computador, so utilizados centenas ou milhares de computadores desprotegidos e ligados na Internet.
Fonte: (SOARES, 2009) Item FALSO. Item C. Solto na Internet desde novembro/2008, o Conficker um Worm (verme) que se propaga explorando uma brecha (falha de segurana) no Windows. Essa
v.2.0
52
CURSO ON-LINE PACOTE DE EXERCCIOS PARA MPU REA ADMINISTRATIVA - NOES DE INFORMTICA PROFESSORA: PATRCIA LIMA QUINTO brecha foi corrigida em outubro/2008, mas nem todos os usurios/empresas aplicam as correes de segurana! Item FALSO. Item D. Pharming (Envenenamento de Cache DNS DNS Cache Poisoning): um ataque que consiste basicamente em modificar a relao entre o nome de um site ou computador e seu endereo IP correspondente. Neste ataque, um servidor de nomes (servidor DNS) comprometido, de tal forma que as requisies de acesso a um site feitas pelos usurios deste servidor sejam redirecionadas a outro endereo. Um ataque pharming tambm pode alterar o arquivo hosts - localizado no computador do usurio-, manipulando os endereos IPs correspondentes s suas devidas URLs. Ex.: Ao atacar um servidor DNS, o IP do site www.teste.com.br poderia ser mudado de 65.150.162.57 para 209.86.194.103, enviando o usurio para a pgina relacionada ao IP incorreto. Item FALSO. Item E. Ransomwares so ferramentas para crimes de extorso extremamente ilegais. O ransomware funciona da seguinte forma: ele procura por diversos tipos diferentes de arquivos no HD (disco rgido) do computador atacado e os comprime num arquivo protegido por senha; a partir da, a vtima pressionada a depositar quantias em contas do tipo e-gold (contas virtuais que utilizam uma unidade monetria especfica e que podem ser abertas por qualquer um na rede sem grandes complicaes); uma vez pagos, os criminosos fornecem a senha necessria para que os dados voltem a ser acessados pela vtima. Item VERDADEIRO. GABARITO: letra E. 32.(FGV/2008/SEFAZ-RJ/Fiscal de Rendas) Analise os casos descritos a seguir, referentes a fraudes envolvendo o comrcio eletrnico e Internet Banking. I. O usurio recebe um e-mail de um suposto funcionrio da instituio que mantm o site de comrcio eletrnico ou de um banco, que persuade o usurio a fornecer informaes sensveis, como senhas de acesso ou nmero de cartes de crdito. II. Um hacker compromete o DNS do provedor do usurio, de modo que todos os acessos a um site de comrcio eletrnico ou Internet Banking so redirecionados para uma pgina Web falsificada, semelhante ao site verdadeiro, com o objetivo de o atacante monitorar todas as aes do usurio, como a digitao de sua senha bancria. Nesta situao, normalmente o usurio deve aceitar um novo certificado (que no corresponde ao site verdadeiro), e o endereo mostrado no browser do usurio diferente do endereo correspondente ao site verdadeiro. III. O usurio recebe um e-mail, cujo remetente o gerente do seu banco e que contm uma mensagem que solicita a execuo pelo usurio de um programa anexo ao e-mail recebido, a ttulo de obter acesso mais rpido s informaes mais detalhadas em sua conta bancria.
v.2.0
53
CURSO ON-LINE PACOTE DE EXERCCIOS PARA MPU REA ADMINISTRATIVA - NOES DE INFORMTICA PROFESSORA: PATRCIA LIMA QUINTO IV. O usurio utiliza computadores de terceiros para acessar sites de comrcio eletrnico ou de Internet Banking, possibilitando o monitoramento de suas aes, incluindo a digitao de senhas ou nmero de cartes de crdito, por meio de programas especificamente projetados para esse fim. Constituem exemplos de fraudes resultantes de Engenharia Social os casos identificados em: (A) I e II. (B) I e III. (C) II e III. (D) II e IV. (E) III e IV. Resoluo Engenharia Social uma tcnica em que o atacante (se fazendo passar por outra pessoa) utiliza-se de meios, como uma ligao telefnica ou e-mail, para PERSUADIR o usurio a fornecer informaes ou realizar determinadas aes. Exemplo: algum desconhecido liga para a sua casa e diz ser do suporte tcnico do seu provedor de acesso. Nesta ligao ele informa que sua conexo com a Internet est apresentando algum problema e, ento, solicita sua senha para corrigi-lo. Caso a senha seja fornecida por voc, este suposto tcnico poder realizar uma infinidade de atividades maliciosas com a sua conta de acesso Internet e, portanto, relacionando tais atividades ao seu nome. Vamos resoluo da questo: Item I. A descrio envolve o uso da engenharia social, j que algum (via e-mail neste caso, poderia ser por telefone!) faz uso da persuaso, da ingenuidade ou confiana do usurio, para obter informaes como nmero do carto de crdito e senha do usurio. O item I VERDADEIRO. Item II. Nesse caso, como no houve contato entre o hacker e a vtima, o golpe no pode ser configurado como engenharia social. O golpe em destaque intitulado Pharming (tambm conhecido como DNS Poisoining - envenamento de DNS). O item II FALSO. isso mesmo pessoal!! Muita ateno neste tipo de golpe! O enunciado do item II o descreve claramente, e gostaria de complementar .... O Pharming um tipo de golpe bem mais elaborado que o Phishing, pois envolve algum tipo de redirecionamento da vtima para sites fraudulentos, atravs de alteraes nos servios de resoluo de nomes (DNS). Lembre-se de que no Pharming o servidor DNS do provedor do usurio comprometido, de modo que todos os acessos a um site de comrcio eletrnico ou Internet Banking so redirecionados para uma pgina Web falsificada, semelhante ao site verdadeiro, com o objetivo de o atacante monitorar todas as aes do usurio, como a digitao de sua senha bancria.
v.2.0
54
CURSO ON-LINE PACOTE DE EXERCCIOS PARA MPU REA ADMINISTRATIVA - NOES DE INFORMTICA PROFESSORA: PATRCIA LIMA QUINTO Exemplo: pode envolver alterao, no servidor DNS, do endereo IP associado ao endereo www.bradesco.com.br para que aponte para um site rplica do banco Bradesco. Item III. Novamente, o usurio recebe uma mensagem do suposto gerente do banco, induzindo-o a executar um programa qualquer. O item III VERDADEIRO. Item IV. No h engenharia social neste caso. O item IV FALSO. GABARITO: letra B. 33.(ESAF/2006/CGU-TI) crescente o nmero de incidentes de segurana causados por vrus de computador e suas variaes. Com isso, as organizaes esto enfrentando o problema com o rigor e cuidados merecidos. Nesse contexto, correto afirmar que A) cavalos de tria so variaes de vrus que se propagam e possuem um mecanismo de ativao (evento ou data) e uma misso. B) vrus polimrficos suprimem as mensagens de erro que normalmente aparecem nas tentativas de execuo da atividade no-autorizada, utilizando, muitas vezes, criptografia para no serem detectados por anti-vrus. C) os vrus de macro utilizam arquivos executveis como hospedeiros, inserindo macros com as mesmas funes de um vrus em tais arquivos. D) softwares anti-vrus controlam a integridade dos sistemas e compreendem trs etapas: preveno,deteco e reao, nesta ordem. E) vrus geram cpias de si mesmo afim de sobrecarregarem um sistema, podendo consumir toda a capacidade do processador, memria ou espao em disco, eventualmente. Resoluo Caso no tenha conseguido resolver esta questo, consulte os detalhes sobre malware e seus tipos listados anteriormente. Item A. O cavalo de tria um outro elemento da categoria de malware, que distingue-se de um vrus ou worm por no infectar outros arquivos, nem propagar cpias de si mesmo automaticamente. Normalmente um cavalo de tria consiste em um nico arquivo que necessita ser explicitamente executado. Item FALSO. Item B. Os vrus polimrficos alteram seu formato a cada nova infeco, dificultando sua deteco. Item FALSO. Item C. Os vrus de macro infectam os arquivos dos programas Microsoft Office (Word, Excel, PowerPoint e Access). Item FALSO. Item D. importante termos instalado em nosso computador e no da empresa um programa antivrus capaz de detectar a presena de malware (vrus, vermes, cavalos de tria, etc) em e-mails ou arquivos do computador. Esse utilitrio conta,
v.2.0
55
CURSO ON-LINE PACOTE DE EXERCCIOS PARA MPU REA ADMINISTRATIVA - NOES DE INFORMTICA PROFESSORA: PATRCIA LIMA QUINTO muitas vezes, com a vacina capaz de matar o malware e deixar o arquivo infectado sem a ameaa. Alguns fornecedores de programas antivrus distribuem atualizaes regulares do seu produto. Muitos programas antivrus tm um recurso de atualizao automtica. Quando o programa antivrus atualizado, informaes sobre novos vrus so adicionadas a uma lista de vrus a serem verificados. Quando no possui a vacina, ele, pelo menos, tem como detectar o vrus, informando ao usurio acerca do perigo que est iminente. Vamos a um exemplo sobre preveno!! Tenho hoje 4000 mquinas com antivrus McAfee, e se uma das demais camadas de proteo (IPS, filtro de mensagens maliciosas, etc) falhar, temos uma proteo adicional nas estaes de trabalho. O antivrus faz um scam "on access", ou seja, no momento em que o arquivo acessado, e se for detectado algum cdigo malicioso no arquivo o sistema j o barra instantaneamente. Isso preveno!!! Antes que o vrus fosse carregado para a memria o sistema j o isolou, enviando para quarentena ou excluindo o vrus do arquivo. Item VERDADEIRO. Item E. A resposta correta worm, e no vrus. O worm (verme) explora deficincias de segurana nos equipamentos e propaga-se de forma autnoma na Internet. Item FALSO. GABARITO: letra D. 34.(ESAF/2005/AFRFB) Alguns tipos de malware tentam atingir um objeto portador, tambm conhecido como hospedeiro, para infect-lo. O nmero e tipo de objetos portadores que so alvos variam com as caractersticas dos malwares. Entre os portadores-alvo mais comuns, as macros a) so arquivos que suportam linguagens como Microsoft Visual Basic Script, JavaScript, AppleScript ou PerlScript. As extenses dos arquivos desse tipo so: .vbs, .js, .wsh e .prl. b) so arquivos que suportam uma linguagem script de macro de um aplicativo especfico, como um processador de texto, uma planilha eletrnica ou um aplicativo de banco de dados. Por exemplo, os vrus podem usar as linguagens de macro no Microsoft Word para causar vrios efeitos, que podem variar de prejudiciais, como trocar palavras ou mudar as cores em um documento, a malintencionados, como formatar o disco rgido do computador. c) so o alvo do vrus clssico que replicado anexando-se a um programa hospedeiro. Alm dos arquivos tpicos que usam a extenso das macros, arquivos com as seguintes extenses tambm podem ser usados com essa finalidade: .com, .sys, .dll, .ovl,.ocx e .prg. d) so arquivos localizados em reas especficas dos discos do computador (discos rgidos e mdias removveis inicializveis), como o registro mestre de inicializao (MBR).
v.2.0
56
CURSO ON-LINE PACOTE DE EXERCCIOS PARA MPU REA ADMINISTRATIVA - NOES DE INFORMTICA PROFESSORA: PATRCIA LIMA QUINTO e) so arquivos localizados no registro de inicializao do DOS e so capazes de executar cdigos mal intencionados. Quando o registro de um disco de inicializao infectado, a replicao ser efetivada se ele for usado para iniciar os sistemas de outros computadores. Resoluo Vide os comentrios sobre vrus de macro, na cartilha disponvel http://cartilha.cert.br/malware/sec1.html. O texto est replicado a seguir: em
Uma macro um conjunto de comandos que so armazenados em alguns aplicativos e utilizados para automatizar algumas tarefas repetitivas. Um exemplo seria, em um editor de textos, definir uma macro que contenha a sequncia de passos necessrios para imprimir um documento com a orientao de retrato e utilizando a escala de cores em tons de cinza. Um vrus de macro escrito de forma a explorar esta facilidade de automatizao e parte de um arquivo que normalmente manipulado por algum aplicativo que utiliza macros. Para que o vrus possa ser executado, o arquivo que o contm precisa ser aberto e, a partir da, o vrus pode executar uma srie de comandos automaticamente e infectar outros arquivos no computador. Existem alguns aplicativos que possuem arquivos base (modelos) que so abertos sempre que o aplicativo executado. Caso este arquivo base seja infectado pelo vrus de macro, toda vez que o aplicativo for executado, o vrus tambm ser. Arquivos nos formatos gerados por programas da Microsoft, como o Word, Excel, Powerpoint e Access, so os mais suscetveis a este tipo de vrus. Arquivos nos formatos RTF, PDF e PostScript so menos suscetveis, mas isso no significa que no possam conter vrus. Complementando, o principal alvo de um vrus de macro o arquivo NORMAL.DOT, responsvel pela configurao do Word. A partir de sua contaminao, torna-se ultra rpida a infeco de outros documentos, pois a cada vez que se abre ou se cria um novo documento, o NORMAL.DOT executado. As avarias causadas pelos vrus de macro vo desde a simples alterao dos menus do Word, da fragmentao de textos, at a alterao de arquivos de lote como o autoexec.bat, que pode receber uma linha de comando do DOS, como por exemplo: DELTREE, que apagar parcial ou totalmente o contedo do disco rgido, assim que o computador for inicializado. Nesse ponto, podem-se utilizar comandos especficos para formatar o disco, dentre outros. GABARITO: letra B. 35.(ESAF/2005/AFRFB) Em relao a vrus de computador correto afirmar que, entre as categorias de malware, o Cavalo de Tria um programa que a) usa um cdigo desenvolvido com a expressa inteno de se replicar. Um Cavalo de Tria tenta se alastrar de computador para computador incorporandose a um programa hospedeiro. Ele pode danificar o hardware, o software ou os dados. Quando o hospedeiro executado, o cdigo do Cavalo de Tria tambm executado, infectando outros hospedeiros e, s vezes, entregando uma carga adicional.
v.2.0
57
CURSO ON-LINE PACOTE DE EXERCCIOS PARA MPU REA ADMINISTRATIVA - NOES DE INFORMTICA PROFESSORA: PATRCIA LIMA QUINTO b) pode ser executado e pode se alastrar sem a interveno do usurio, enquanto alguns variantes desta categoria de malware exigem que os usurios executem diretamente o cdigo do Cavalo de Tria para que eles se alastrem. Os Cavalos de Tria tambm podem entregar uma carga alm de se replicarem. c) usa um cdigo mal-intencionado auto-propagvel que pode se distribuir automaticamente de um computador para outro atravs das conexes de rede. Um Cavalo de Tria pode desempenhar aes nocivas, como consumir recursos da rede ou do sistema local,possivelmente causando um ataque de negao de servio. d) no pode ser considerado um vrus ou um verme de computador porque tem a caracterstica especial de se propagar. Entretanto, um Cavalo de Tria pode ser usado para copiar um vrus ou um verme em um sistema-alvo como parte da carga do ataque, um processo conhecido como descarga. A inteno tpica de um Cavalo de Tria interromper o trabalho do usurio ou as operaes normais do sistema. Por exemplo, o Cavalo de Tria pode fornecer uma porta dos fundos no sistema para que um hacker roube dados ou altere as definies da configurao. e) parece til ou inofensivo, mas contm cdigos ocultos desenvolvidos para explorar ou danificar o sistema no qual executado. Os cavalos de tria geralmente chegam aos usurios atravs de mensagens de e-mail que disfaram a finalidade e a funo do programa. Um Cavalo de Tria faz isso entregando uma carga ou executando uma tarefa mal-intencionada quando executado. Resoluo Um cavalo de tria (trojan horse) um programa aparentemente normal e inofensivo (jogo, screen-saver, etc) que carrega dentro de si instrues que no so originalmente suas, inseridas com um propsito danoso, como: alterao ou destruio de arquivos; furto de senhas e outras informaes sensveis, como n de cartes de crdito; incluso de backdoors, para permitir que um atacante tenha total controle sobre o computador. O cavalo de tria distingue-se de um vrus ou de um worm por no infectar outros arquivos, nem propagar cpias de si mesmo automaticamente!!! (Lembre-se disso, vai ser til para voc em provas futuras!) GABARITO: letra E. 36.(ESAF/2005/MPOG) O princpio do menor privilgio em Segurana da Informao significa que a) todos os usurios do sistema sero considerados convidados. b) ser especificado o que proibido, todo o restante ser permitido. c) qualquer objeto s pode ter permisses bsicas para executar as suas tarefas, e nenhuma outra.
v.2.0
58
CURSO ON-LINE PACOTE DE EXERCCIOS PARA MPU REA ADMINISTRATIVA - NOES DE INFORMTICA PROFESSORA: PATRCIA LIMA QUINTO d) haver uma segurana mnima no sistema, mas que no ser possvel garantir a segurana contra a exposio e os danos causados por ataques especficos. e) haver um ponto de estrangulamento onde tudo ser proibido, dependendo apenas da profundidade de defesa do sistema. Resoluo O princpio do menor privilgio (Least Privilege) destaca que os acessos sejam reduzidos ao mnimo necessrio para execuo das atividades profissionais. O foco neste caso garantir os aspectos bsicos de segurana da informao, evitando a utilizao indevida que venha afetar a integridade e a disponibilidade das informaes. Tal princpio importante para todos os administradores de redes nunca d a uma conta de usurio mais privilgios do que o absolutamente necessrio! A aplicao desse princpio diminui o risco de se ter um incidente de segurana, ou acesso no autorizado aos sistemas da empresa. GABARITO: letra C. 37.(ESAF/2008/PSS) Com relao s tcnicas de segurana da informao, uma poltica de segurana deve conter elementos que dizem respeito a tudo aquilo que essencial para combate s adversidades. Com relao a esses elementos essenciais, a Vigilncia prega: a) a criatividade quanto s definies da poltica e do plano de defesa contra intruses. b) o correto planejamento, pois a segurana deve fazer parte de um longo e gradual processo dentro da organizao. c) que todos os membros da organizao devem entender a importncia da segurana, atuando como guardies da rede. d) uma soluo tecnolgica adaptativa e flexvel, a fim de suprir as necessidades estratgicas da organizao. e) uma economia na aplicao de novas tecnologias, pois estas no so vulnerveis a novos ataques. Resoluo Todos os membros da empresa so responsveis pela segurana da informao!! GABARITO: letra C. 38.(ESAF/2006/TRF/Tribut. E Aduaneira) Analise as seguintes afirmaes relacionadas criptografia. I. A criptografia de chave simtrica pode manter os dados seguros, mas se for necessrio compartilhar informaes secretas com outras pessoas, tambm deve-se compartilhar a chave utilizada para criptografar os dados. II. Com algoritmos de chave simtrica, os dados assinados pela chave pblica podem ser verificados pela chave privada. v.2.0 www.pontodosconcursos.com.br
59
CURSO ON-LINE PACOTE DE EXERCCIOS PARA MPU REA ADMINISTRATIVA - NOES DE INFORMTICA PROFESSORA: PATRCIA LIMA QUINTO III. Com algoritmos RSA, os dados encriptados pela chave pblica devem ser decriptados pela chave privada. IV. Com algoritmos RSA, os dados assinados pela chave privada so verificados apenas pela mesma chave privada. Indique a opo que contenha todas as afirmaes verdadeiras. a) I e II b) II e III c) III e IV d) I e III e) II e IV Resoluo Criptografar (cifrar, encriptar): o processo de embaralhar a mensagem original transformando-a em mensagem cifrada. Decriptar (decifrar): o processo de transformar a mensagem cifrada de volta em mensagem original. Algoritmos: Simtricos (ou convencional, chave privada, chave nica) Assimtricos (ou chave pblica) Item I. A criptografia de chave simtrica (tambm conhecida como criptografia de chave nica, ou criptografia privada) utiliza APENAS UMA chave para encriptar e decriptar as mensagens. Assim, como s utiliza uma chave, obviamente ela deve ser compartilhada entre o remetente e o destinatrio da mensagem. O item I est CORRETO. Item II. Algoritmos de chave simtrica utilizam APENAS UMA chave para encriptar e decriptar as mensagens. Os algoritmos de criptografia assimtrica (criptografia de chave pblica) utilizam duas chaves diferentes, uma pblica (que pode ser distribuda) e uma privada (pessoal e intransfervel). O item II FALSO. Item III. Cabe destacar que algoritmos RSA so algoritmos de criptografia assimtrica. Conforme visto, se utilizar uma chave pblica na encriptao ir utilizar a chave privada na decriptao. O item III est CORRETO. Os algoritmos de chave pblica utilizam pares de chaves, uma pblica e outra privada, atribudas a uma pessoa ou entidade. A chave pblica distribuda livremente para todos os correspondentes, enquanto a chave privada deve ser conhecida APENAS pelo seu dono. Num algoritmo de criptografia assimtrica, uma mensagem cifrada com a chave pblica pode SOMENTE ser decifrada pela sua chave privada correspondente. Alm disso, uma mensagem cifrada com a chave privada s pode ser decifrada pela chave pblica correspondente. Com isso, possvel fazer assinaturas digitais sobre as mensagens, de forma que uma pessoa possa criptografar a mensagem com sua chave privada e o destinatrio possa comprovar a autenticidade por meio da v.2.0 www.pontodosconcursos.com.br
60
CURSO ON-LINE PACOTE DE EXERCCIOS PARA MPU REA ADMINISTRATIVA - NOES DE INFORMTICA PROFESSORA: PATRCIA LIMA QUINTO decifrao pela chave pblica do remetente. Dessa forma, os algoritmos de chave pblica fornecem, alm da confidencialidade, a garantia de autenticidade da origem. Item IV. O item fala de algoritmos RSA, que so algoritmos de criptografia assimtrica, mas o relaciona a um procedimento de criptografia de chave simtrica (mesma chave privada). A criptografia assimtrica (usa duas chaves uma pblica para embaralhar e uma privada para desembaralhar!!). O item D FALSO. GABARITO: letra D. 39.(FUNRIO/2009/Analista de Seguro Social Servio Social) Qual das alternativas abaixo d nome ao tipo de ameaa propagada por meio de mensagens fraudulentas, chamadas de spam, caracterizada por um tipo de fraude concebida para obter informaes pessoais sobre o usurio de Internet, convencendo-o a facultar-lhe essas informaes sob falsos pretextos? A) Adware B) Cavalo de Tria C) Phishing D) Retrovirus E) Vrus de macro Resoluo Item A. Adware (Advertising software) um software projetado para exibir anncios de propaganda em seu computador. Nem sempre so necessariamente maliciosos! Um adware malicioso pode abrir uma janela do navegador apontando para pginas de cassinos, vendas de remdios, pginas pornogrficas, etc. Item FALSO. Item B. O cavalo de tria um programa aparentemente inofensivo que entra em seu computador na forma de carto virtual, lbum de fotos, protetor de tela, jogo, etc, e que, quando executado, parece lhe divertir, mas, por trs abre portas de comunicao do seu computador para que ele possa ser invadido. Item FALSO. Item C. Esta questo destaca o golpe de Phishing Scam (ou simplesmente golpe de Phishing), muito cobrado nas provas de concursos! Item VERDADEIRO. O Phishing (ou Phishing scam) foi um termo criado para descrever o tipo de fraude que se d atravs do envio de mensagem no solicitada, que se passa por comunicao de uma instituio conhecida, como um banco, rgo do governo (Receita Federal, INSS e Ministrio do Trabalho so os mais comuns) ou site popular. Nesse caso, a mensagem procura induzir o usurio a acessar pginas fraudulentas (falsificadas), projetadas para furtar dados pessoais e financeiros de usurios desavisados. Item D. Retrovrus um tipo de ameaa que tem como objetivo principal a infeco do prprio antivrus! Ex: Goldbug, Crepate. Item FALSO. Item E. Vrus de macro infectam os arquivos dos programas Microsoft Office (Word, Excel, PowerPoint e Access). Esses vrus so normalmente criados com a linguagem de programao VBA (Visual Basic para Aplicaes) e afetam apenas os v.2.0 www.pontodosconcursos.com.br
61
CURSO ON-LINE PACOTE DE EXERCCIOS PARA MPU REA ADMINISTRATIVA - NOES DE INFORMTICA PROFESSORA: PATRCIA LIMA QUINTO programas que usam essa linguagem (o Office, por exemplo). Os vrus de macro vinculam suas macros a modelos de documentos (templates) e/ou a outros arquivos de modo que, quando um aplicativo carrega o arquivo e executa as instrues nele contidas, as primeiras instrues executadas sero as do vrus. So parecidos com outros vrus em vrios aspectos: so cdigos escritos para que, sob certas condies, se reproduza, fazendo uma cpia de si mesmo. Podem causar danos, apresentar uma mensagem ou fazer qualquer coisa que um programa possa fazer. Item FALSO. Voc sabia!! Uma macro um conjunto de comandos que so armazenados em alguns aplicativos e utilizados para automatizar algumas tarefas repetitivas. GABARITO: letra C. 40.(FUNRIO/2007/Prefeitura Municipal de Maric) Juvncio recebeu um e-mail reportando que seu CPF estava cadastrado no Sistema de Proteo ao Crdito. Mesmo no havendo possibilidade disso acontecer, pois paga suas contas em dia ele, inadvertidamente, clicou no link que havia no corpo do e-mail. O link remetia para o seguinte endereo: http://www.vocecaiu.com/invadi.exe. A partir desse momento, o programa executado (invadi.exe) se instalou na mquina e capturou sua senha de banco. Esse um procedimento caracterstico de infeco por: A) vrus de boot B) vrus de macro C) worm D) trojan E) spam Resoluo Realmente a questo seria muito mais interessante se a banca tivesse explorado o tipo de golpe que aconteceu no caso mencionado. Vamos aos comentrios dos itens: Itens A e B. Para o entendimento dos itens A e B, cabe mencionar o conceito de vrus e seus principais tipos. Vrus: um programa ou parte de um programa de computador, normalmente malicioso, que se propaga infectando, isto , inserindo cpias de si mesmo e se tornando parte de outros programas e arquivos de um computador. O vrus depende da execuo do programa ou arquivo hospedeiro para que possa se tornar ativo e dar continuidade ao processo de infeco. Para que um computador seja infectado por um vrus, necessrio que um programa previamente infectado seja executado, e o vrus pode se propagar sem que o usurio perceba. Alguns vrus so inofensivos, outros, porm, podem danificar um sistema operacional e os programas de um computador. A seguir listamos os 2 tipos de vrus mencionados na questo, vrus de macro e vrus de boot. Vrus de macro:
v.2.0
62
CURSO ON-LINE PACOTE DE EXERCCIOS PARA MPU REA ADMINISTRATIVA - NOES DE INFORMTICA PROFESSORA: PATRCIA LIMA QUINTO Uma macro um conjunto de comandos que so armazenados em alguns aplicativos e utilizados para automatizar determinadas tarefas repetitivas em editores de texto e planilhas. Um vrus de macro escrito de forma a explorar esta facilidade de automatizao e parte de um arquivo que normalmente manipulado por algum aplicativo que utiliza macros. Para que o vrus possa ser executado, o arquivo que o contm precisa ser aberto. A partir da, o vrus vai executar uma srie de comandos automaticamente e infectar outros arquivos no computador. Vrus de boot: infectam o setor de boot de um disco - ou seja, o registro de inicializao de disquetes e discos rgidos. Os vrus de boot se copiam para esta parte do disco e so ativados quando o usurio tenta iniciar o sistema operacional a partir do disco infectado. Outros tipos de vrus comumente encontrados so listados em seguida: Vrus de programa: infectam arquivos de programa (de inmeras extenses, como .exe, .com,.vbs, .pif); Vrus stealth: programado para se esconder e enganar o antivrus durante uma varredura deste programa. Tem a capacidade de se remover da memria temporariamente para evitar que antivrus o detecte; Vrus polimrficos: alteram seu formato (mudam de forma) constantemente. A cada nova infeco, esses vrus geram uma nova seqncia de bytes em seu cdigo, para que o antivrus se confunda na hora de executar a varredura e no reconhea o invasor; Vrus de script: propagam-se por meio de scripts, nome que designa uma sequncia de comandos previamente estabelecidos e que so executados automaticamente em um sistema, sem necessidade de interveno do usurio. Dois tipos de scripts muito usados so os projetados com as linguagens Javascript (JS) e Visual Basic Script (VBS). Segundo Oliveira (2008) tanto um quanto o outro podem ser inseridos em pginas Web e interpretados por navegadores como Internet Explorer e outros. Os arquivos Javascript tornaram-se to comuns na Internet que difcil encontrar algum site atual que no os utilize. Assim como as macros, os scripts no so necessariamente malficos. Na maioria das vezes executam tarefas teis, que facilitam a vida dos usurios prova disso que se a execuo dos scripts for desativada nos navegadores, a maioria dos sites passar a ser apresentada de forma incompleta ou incorreta; Vrus de celular: propaga de telefone para telefone atravs da tecnologia bluetooth ou da tecnologia MMS (Multimedia Message Service). O servio MMS usado para enviar mensagens multimdia, isto , que contm no s texto, mas tambm sons e imagens, como vdeos, fotos e animaes.
v.2.0
63
CURSO ON-LINE PACOTE DE EXERCCIOS PARA MPU REA ADMINISTRATIVA - NOES DE INFORMTICA PROFESSORA: PATRCIA LIMA QUINTO A infeco ocorre da seguinte forma: o usurio recebe uma mensagem que diz que seu telefone est prestes a receber um arquivo e permite que o arquivo infectado seja recebido, instalado e executado em seu aparelho; o vrus, ento, continua o processo de propagao para outros telefones, atravs de uma das tecnologias mencionadas anteriormente. Os vrus de celular diferem-se dos vrus tradicionais, pois normalmente no inserem cpias de si mesmos em outros arquivos armazenados no telefone celular, mas podem ser especificamente projetados para sobrescrever arquivos de aplicativos ou do sistema operacional instalado no aparelho. F-Secure divulgou Depois de infectar um telefone celular, o vrus reproduo de uma pode realizar diversas atividades, tais como: mensagem infectada destruir/sobrescrever arquivos, (INFOGUERRA, 2005) remover contatos da agenda, efetuar ligaes telefnicas, o aparelho fica desconfigurado e tentando se conectar via Bluetooth com outros celulares, a bateria do celular dura menos do que o previsto pelo fabricante, mesmo quando voc no fica horas pendurado nele; emitir algumas mensagens multimdia esquisitas; tentar se propagar para outros telefones. Segundo Baio e Ferreira (2008), j so contabilizados desde 2008 mais de 362 tipos de vrus. A maioria deles (80%) so cavalos-de-tria. Spams e spywares, ao contrrio do que se possa imaginar, so minoria (4%). Na mira das pragas, esto os celulares com tecnologia Bluetooth responsvel por 70% das contaminaes e as mensagens multimdia (MMS).
Os itens A e B so FALSOS. Item C. Worm um programa capaz de propagar automaticamente atravs de redes, enviando cpias de si mesmo de computador para computador (observe que os worms apenas se copiam, no infectam
v.2.0
64
CURSO ON-LINE PACOTE DE EXERCCIOS PARA MPU REA ADMINISTRATIVA - NOES DE INFORMTICA PROFESSORA: PATRCIA LIMA QUINTO outros arquivos, eles mesmos so os arquivos!!). Alm disso, geralmente utilizam as redes de comunicao para infectar outros computadores (via e-mails, Web, FTP, redes das empresas, etc). Portanto, diferentemente do vrus, o worm no embute cpias de si mesmo em outros programas ou arquivos e no necessita ser explicitamente executado para se propagar. Sua propagao ocorre atravs da explorao de vulnerabilidades existentes ou falhas na configurao de softwares instalados em computadores. Os worms geram muitas perdas pelo consumo de recursos que provocam. Degradam sensivelmente o desempenho de redes e podem lotar o disco rgido de computadores, devido grande quantidade de cpias de si mesmo, gerando grandes transtornos para aqueles que esto recebendo tais cpias. Item FALSO. Item D. Na informtica, um cavalo de tria (trojan horse) um programa, normalmente recebido como um presente (por exemplo, carto virtual, lbum de fotos, protetor de tela, jogo, etc.), que, quando executado (com a sua autorizao!), alm de executar funes para as quais foi aparentemente projetado, tambm executa outras funes maliciosas e sem o consentimento do usurio, como por exemplo: furto de senhas e outras informaes sensveis, como nmeros de cartes de crdito; incluso de backdoors, para permitir que um atacante tenha total controle sobre o computador; alterao ou destruio de arquivos; instalao de keyloggers (programa capaz de capturar e armazenar as teclas digitadas pelo usurio no teclado de um computador) ou screenloggers (uma variante do keylogger que faz a gravao da tela do usurio, alm do teclado). O cavalo de tria distingue-se de um vrus ou de um worm por no infectar outros arquivos, nem propagar cpias de si mesmo automaticamente. Normalmente um cavalo de tria consiste em um nico arquivo que necessita ser explicitamente executado. Item VERDADEIRO. Item E. Spam o termo usado para se referir aos e-mails no solicitados, que geralmente so enviados para um grande nmero de pessoas. O antispam um programa utilizado para filtrar os e-mails indesejados, principalmente aqueles com propaganda, que lotam a nossa caixa postal. Item FALSO. GABARITO: letra D. Trojan x Phishing Como complemento, gostaria de destacar a diferena entre trojan e phishing, j que por diversas vezes os alunos fizeram esse questionamento. Ento, temos que: Phishing (ou Phishing scam): o nome do GOLPE em que "iscas" (e-mails) so usadas para "pescar" informaes sensveis (senhas e dados financeiros, por exemplo) de usurios da Internet. Atualmente, este termo vem sendo utilizado tambm para se referir aos seguintes casos: o mensagem que procura induzir o usurio instalao de cdigos maliciosos, projetados para furtar dados pessoais e financeiros;
v.2.0
65
CURSO ON-LINE PACOTE DE EXERCCIOS PARA MPU REA ADMINISTRATIVA - NOES DE INFORMTICA PROFESSORA: PATRCIA LIMA QUINTO o mensagem que, no prprio contedo, apresenta formulrios para o preenchimento e envio de dados pessoais e financeiros de usurios.
Trojan (cavalo-de-tria): um tipo de MALWARE (cdigo malicioso) que pode ser recebido pelo usurio em uma "isca" de phishing scam.
41.(ESAF/2002/AFPS) Uma forma de proteger os dados de uma organizao contra perdas acidentais a realizao peridica do backup desses dados de uma forma bem planejada. Entre os tipos de backup, no incremental a) feito o backup dos arquivos selecionados ou indicados pelo usurio somente se eles no tiverem marcados como copiados (participado do ltimo backup) ou se tiverem sido alterados, marcando-os como copiados (marca que indica que participaram do ltimo backup). b) feito o backup de todos os arquivos selecionados ou indicados pelo usurio, independentemente de estarem marcados como copiados (participado do ltimo backup), marcando- os como copiados (marca que indica que participaram do ltimo backup). c) feito o backup de todos os arquivos selecionados ou indicados pelo usurio, independentemente de estarem marcados como copiados, mas nenhum marcado como copiado (marca que indica que participaram do ltimo backup). d) feito o backup dos arquivos selecionados ou indicados pelo usurio somente se eles no tiverem marcados como copiados (participado do ltimo backup) ou se tiverem sido alterados, mas nenhum marcado como copiado (marca que indica que participaram do ltimo backup). e) feito o backup apenas dos arquivos selecionados ou indicados pelo usurio que tiverem sido alterados na data corrente, mas no marca nenhum como copiado (marca que indica que participaram do ltimo backup). Resoluo Um backup envolve cpia de dados em um meio separado do original, regularmente, de forma a proteg-los de qualquer eventualidade. No Windows XP, por exemplo, tem-se o software Microsoft Backup, que ir ajud-lo nesta tarefa. Ao clicar com o boto direito do mouse no cone de um arquivo do Windows XP, e selecionar a opo Propriedades; em seguida, guia geral >Avanado, ser exibida uma caixa o arquivo est pronto para ser arquivado, marcada como padro (No Windows XP, leia-se arquivo morto).
A tela seguinte desta a opo de arquivo morto obtida ao clicar com o boto direito do mouse no arquivo intitulado lattes.pdf, do meu computador que possui o sistema operacional Windows Vista.
v.2.0
66
Quando um arquivo est com esse atributo marcado, significa que ele dever ser copiado no prximo backup. Se estiver desmarcada, significa que, provavelmente, j foi feito um backup deste arquivo. Principais TIPOS de Backup NORMAL (TOTAL ou GLOBAL) COPIA TODOS os arquivos e pastas selecionados. DESMARCA o atributo de arquivo morto (arquivamento): limpa os marcadores!! Caso necessite restaurar o backup normal, voc s precisa da cpia mais recente. Normalmente, este backup executado quando voc cria um conjunto de backup pela 1 vez. Agiliza o processo de restaurao, pois somente um backup ser restaurado. INCREMENTAL Copia somente os arquivos CRIADOS ou ALTERADOS desde o ltimo backup normal ou incremental. O atributo de arquivamento (arquivo morto) DESMARCADO: limpa os marcadores!! DIFERENCIAL Copia somente os arquivos CRIADOS ou ALTERADOS desde o ltimo backup normal ou incremental. O atributo de arquivamento (arquivo morto) NO ALTERADO: no limpa os marcadores!!
v.2.0
67
CPIA (AUXILIAR ou SECUNDRIA) Faz o backup de arquivos e pastas selecionados. O atributo de arquivamento (arquivo morto) NO ALTERADO: no limpa os marcadores! DIRIO Copia todos os arquivos e pastas selecionados que foram ALTERADOS DURANTE O DIA da execuo do backup. O atributo de arquivamento (arquivo morto) NO ALTERADO: no limpa os marcadores! GABARITO: letra A. 42.(Elaborao prpria) Analise a seguinte afirmao relacionada a sistemas de backup: Para recuperar um disco a partir de um conjunto de backups (normal + incremental) ser necessrio recuperar o primeiro backup (normal) e o ltimo incremental. Resoluo Quanto RECUPERAO do backup: Para recuperar um disco a partir de incremental) ser necessrio o primeiro Para recuperar um disco a partir de diferencial) basta o primeiro (normal) e tudo que diferente do primeiro. GABARITO: item FALSO. 43.(ESAF/2008/MPOG/APO-TI) Um dos objetivos da Poltica de Segurana a a) eliminao de ocorrncias. b) reduo dos danos provocados por eventuais ocorrncias. c) criao de procedimentos para sistematizar eventuais danos. d) formalizao de procedimentos para eliminao de ameaas. e) reduo dos custos com segurana. Resoluo Item a. O objetivo aqui especificado est muito vago. Conforme TCU (2007) a Poltica de Segurana de Informaes um conjunto de princpios que norteiam a gesto de segurana de informaes e que deve ser observado pelo corpo tcnico e gerencial e pelos usurios internos e externos . As diretrizes estabelecidas nesta poltica determinam as linhas mestras que devem ser seguidas pela organizao para que sejam assegurados seus recursos computacionais e suas informaes. Item FALSO. Item b. A Poltica de segurana, preferencialmente, deve ser criada antes da ocorrncia de problemas com a segurana, ou depois, para evitar reincidncias! A preveno costuma ser mais barata que a restaurao dos danos provocados pela falta de segurana. Item VERDADEIRO.
um conjunto de backups (normal + (normal) e todos os incrementais. um conjunto de backups (normal + o ltimo diferencial, j que este contm
v.2.0
68
CURSO ON-LINE PACOTE DE EXERCCIOS PARA MPU REA ADMINISTRATIVA - NOES DE INFORMTICA PROFESSORA: PATRCIA LIMA QUINTO Itens C e D. composta por um conjunto de regras e padres sobre o que deve ser feito para assegurar que as informaes e servios importantes para a empresa recebam a proteo conveniente, de modo a garantir a sua confidencialidade, integridade e disponibilidade. Itens FALSOS. Item e. Nem sempre os custos sero reduzidos (isso pode acontecer se a empresa gastava demais de forma descontrolada!!). Mas o contrrio tambm poder acontecer, com diminuio dos gastos. Item FALSO. GABARITO: letra B. 44.(ESAF/2008/CGU/AFC/Infraestrutura) Um mecanismo considerado adequado para garantir controle de acesso a) o firewall. b) a criptografia. c) a funo de hash. d) a assinatura digital. e) o certificado digital. Resoluo Item A. Um firewall um mecanismo de proteo que permite a comunicao entre redes, de acordo com a poltica de segurana definida, e que utilizado quando h uma necessidade de que redes com nveis de confiana variados se comuniquem entre si. Item CERTO. Item B. Criptografia a arte de disfarar uma informao de forma que apenas a pessoa certa possa entend-la. Este tem sido um dos grandes instrumentos de proteo da informao. Item ERRADO. Item C. Hash (Resumo da Mensagem, Message Digest em Ingls) uma funo matemtica que recebe uma mensagem de entrada e gera como resultado um nmero finito de caracteres (dgitos verificadores). uma funo UNIDIRECIONAL: no possvel reconstituir a mensagem a partir do hash. Item ERRADO. Item D. Uma assinatura digital um mecanismo para dar garantia de integridade e autenticidade a arquivos eletrnicos. A assinatura digital prova que a mensagem ou arquivo no foi alterado e que foi assinado pela entidade ou pessoa que possui a chave privada. Item ERRADO. Item E. Um certificado digital um documento eletrnico que identifica pessoas, fsicas ou jurdicas, URLs, contas de usurio, servidores (computadores) dentre outras entidades. Este documento na verdade uma estrutura de dados que contm a chave pblica do seu titular e outras informaes de interesse. Contm informaes relevantes para a identificao real da entidade a que visam certificar (CPF, CNPJ, endereo, nome, etc) e informaes relevantes para a aplicao a que se destinam). Item ERRADO. GABARITO: letra A. v.2.0 www.pontodosconcursos.com.br
69
de
segurana
CURSO ON-LINE PACOTE DE EXERCCIOS PARA MPU REA ADMINISTRATIVA - NOES DE INFORMTICA PROFESSORA: PATRCIA LIMA QUINTO 45.(ESAF/2008/CGU/AFC/Infraestrutura) Um plano compreende a) respostas imediatas a desastres. b) identificao e compreenso do problema (desastre). c) processo de restaurao. d) conteno de danos e a eliminao das causas. e) anlise crtica dos direitos de acesso dos usurios. de contingncia no
Resoluo Plano de Contingncias consiste num conjunto de estratgias e procedimentos que devem ser adotados quando a instituio ou uma rea depara-se com problemas que comprometem o andamento normal dos processos e a conseqente prestao dos servios. Essas estratgias e procedimentos devero minimizar o impacto sofrido diante do acontecimento de situaes inesperadas, desastres, falhas de segurana, entre outras, at que se retorne normalidade. O Plano de Contingncias um conjunto de medidas que combinam aes preventivas e de recuperao. Obviamente, os tipos de riscos a que esto sujeitas as organizaes variam no tempo e no espao. Porm, pode-se citar como exemplos de riscos mais comuns a ocorrncia de desastres naturais (enchentes, terremotos, furaces), incndios, desabamentos, falhas de equipamentos, acidentes, greves, terrorismo, sabotagem, aes intencionais. De maneira geral, o Plano de Contingncias contm informaes sobre: condies e procedimentos para ativao do Plano (como se avaliar a situao provocada por um incidente); procedimentos a serem seguidos imediatamente APS a ocorrncia de um desastre (como, por exemplo, contato eficaz com as autoridades pblicas apropriadas: polcia, bombeiro, governo local); a instalao reserva, com especificao dos bens de informtica nela disponveis, como hardware, software e equipamentos de telecomunicaes; a escala de prioridade dos aplicativos, de acordo com seu grau de interferncia nos resultados operacionais e financeiros da organizao. Quanto mais o aplicativo influenciar na capacidade de funcionamento da organizao, na sua situao econmica e na sua imagem, mais crtico ele ser; arquivos, programas, procedimentos necessrios para que os aplicativos crticos entrem em operao no menor tempo possvel, mesmo que parcialmente; sistema operacional, utilitrios e recursos de telecomunicaes necessrios para assegurar o processamento dos aplicativos crticos, em grau prestabelecido; documentao dos aplicativos crticos, sistema operacional e utilitrios, bem como suprimentos de informtica, ambos disponveis na instalao reserva e capazes de garantir a boa execuo dos processos definidos; dependncia de recursos e servios externos ao negcio; procedimentos necessrios para restaurar os servios computacionais na instalao reserva; v.2.0 www.pontodosconcursos.com.br
70
CURSO ON-LINE PACOTE DE EXERCCIOS PARA MPU REA ADMINISTRATIVA - NOES DE INFORMTICA PROFESSORA: PATRCIA LIMA QUINTO pessoas responsveis por executar e comandar cada uma das atividades previstas no Plano ( interessante definir suplentes, quando se julgar necessrio); referncias para contato dos responsveis, sejam eles funcionrios ou terceiros; organizaes responsveis por oferecer servios, equipamentos, suprimentos ou quaisquer outros bens necessrios para a restaurao; contratos e acordos que faam parte do plano para recuperao dos servios.
Conforme visto, os itens de A ao D esto diretamente relacionados a Planos de Contingncia de TI escritos, divulgados, testados, mantidos e atualizados com o objetivo real de proteger o negcio. Item E. A atividade em questo no est relacionada ao escopo do Plano de Contingncia. Item Falso. GABARITO: letra E. 46.(ESAF/2008/AFC/STN/TI/Infraestrutura) Em uma dada empresa, a poltica de segurana pode ser definida e modificada por um conjunto pequeno de funcionrios em funo de nveis de segurana. Este um cenrio relacionado ao servio de segurana denominado a) Confidencialidade. b) Integridade. c) Disponibilidade. d) Controle de acesso. e) Assinatura digital. Resoluo O cenrio est relacionado ao servio de controle de acesso, que dever assegurar que: apenas usurios autorizados tenham acesso aos recursos; os usurios tenham acesso apenas aos recursos realmente necessrios para a execuo de suas atividades; o acesso aos recursos crticos seja constantemente monitorado e restrito; os usurios sejam impedidos de executar transaes incompatveis com a sua funo. GABARITO: letra D. 47.(INSTITUTO CETRO/2006/TCM-SP/Ag. Fiscalizao) A Internet uma ferramenta que permite, entre outras possibilidades, a busca por conhecimento. O navegador mais popular atualmente o Microsoft Internet Explorer. No entanto, alguns sites so programados para abrir caixas com propaganda e demais assuntos que podem atrapalhar a produtividade. Essas caixas so chamadas de pop-ups. Pode-se configurar o Microsoft Internet Explorer para bloquear esses Pop-ups? Como? Assinale a alternativa correta. (A) Sim, atravs da opo Ferramentas, Bloqueador de Pop-Ups. (B) No possvel bloquear os pop-ups. (C) Sim, atravs da opo Ferramentas, Opes da Internet... (D) Sim, atravs da opo Exibir, Bloqueador de Pop-Ups. v.2.0 www.pontodosconcursos.com.br
71
CURSO ON-LINE PACOTE DE EXERCCIOS PARA MPU REA ADMINISTRATIVA - NOES DE INFORMTICA PROFESSORA: PATRCIA LIMA QUINTO (E) Sim, atravs da opo Favoritos, Bloqueador de Pop-Ups. Resoluo Pop-ups so pequenas janelas que se abrem automaticamente na tela do navegador. Geralmente so utilizadas para chamar a ateno do internauta para algum assunto ou propaganda. No menu Ferramentas do Internet Explorer existe a opo Bloqueador de Pop-ups, que permite habilitar ou desabilitar as telas de pop-ups. Diversos alunos me questionaram sobre a opo C, vamos aos detalhes desse item: quando clicamos na opo Ferramentas -> Opes da Internet aparecem vrias opes como Conexes, Programas, Avanadas, Geral, Segurana, Privacidade e Contedo. Na opo Privacidade encontramos a opo de Bloqueador de pop-ups. Ento apenas clicar em Ferramentas ->Opes da internet, no o suficiente para bloquearmos pop-ups, por isso que o item C falso. GABARITO: letra A. CONSIDERAES FINAIS Bem, estamos na reta final do nosso curso, e gostaria de agradecer a todos os alunos que confiaram seus estudos s minhas aulas. Espero ter estado altura do desafio e da expectativa de todos vocs! Tambm agradeo a todos que participaram do frum, seja enviando dvidas, comentrios e/ou sugerindo melhorias. O retorno de vocs de grande importncia para que nossos objetivos estejam alinhados!! Finalizando, desejo muito sucesso a todos nos estudos e concursos vindouros. Todo o esforo feito nessa fase ser devidamente recompensado. Se seus sonhos estiverem nas nuvens, no se preocupe, pois eles esto no lugar certo; agora, construa os alicerces!" Os alicerces para uma excelente prova so: persistncia, garra, fora de vontade, estudo disciplinado e f em Deus!!! Um forte abrao, Profa Patrcia Lima Quinto patricia@pontodosconcursos.com.br
v.2.0
72
CURSO ON-LINE PACOTE DE EXERCCIOS PARA MPU REA ADMINISTRATIVA - NOES DE INFORMTICA PROFESSORA: PATRCIA LIMA QUINTO REFERNCIAS BIBLIOGRFICAS ABNT NBR ISO/IEC 27001:2006 Tecnologia da Informao Tcnicas de Segurana Sistema de Gesto de Segurana da Informao Requisitos. ABNT NBR ISO/IEC 27002:2005 Tecnologia da Informao Tcnicas de Segurana Cdigo de Prtica para a Gesto de Segurana da Informao (antiga 17799:2005). ABNT NBR ISO/IEC 17799. Segunda Edio. Disponvel http://www.scribd.com/doc/2449992/Abnt-Nbr-Isoiec-17799-Tecnologia-daInformacao-Tecnicas-de-Seguranca-Codigo-de-Pratica-para-a-Gestao-daSeguranca-da-Informacao. em:
ALBUQUERQUE, R.; RIBEIRO, B. Segurana no Desenvolvimento de Software. Rio de Janeiro: Campus, 2002. ALECRIM, E. Tudo sobre Firewall, 2009. Disponvel em: <http://www.invasao.com.br/2009/01/27/materia-tudo-sobre-Firewall/>. Acessado em: fev. 2010. _____________. FIREWALL: Conceitos e Tipos. 2004. Disponvel <http://www.infowester.com/firewall.php>. Acessado em: fev. 2010. em:
ANTNIO, J. Informtica para Concursos. Teoria e Questes. 4 ed., Rio de Janeiro: Campus, 2009. BOMSEMBIANTE, F. Entrevista com Hacker. Disponvel em: <http://www.telecom.uff.br/~buick/barata15.html> Acesso: out. 2006. CERTBR. Disponvel em: <http://cartilha.cert.br/ >.2006. Acesso em: nov. 2009. CARUSO, Carlos A. A.; STEFFEN, Flvio D. Segurana em Informtica e de Informaes. 2 ed., So Paulo, 1999. CERTBR. Cartilha de Segurana para Internet. http://www.cert.br. 2006. BAIO, C.; FERREIRA, L. Seu celular anda meio maluco? Cuidado, ele pode estar com vrus. 2008. Disponvel em: <http://tecnologia.uol.com.br/proteja/ultnot/2008/01/23/ult2882u34.jhtm>. Acesso em: set. 2009. CHESWICK, W. R., BELLOVIN, S. M. e RUBIN, A. D. Firewalls e Segurana na Internet: repelindo o hacker ardiloso. Ed. Bookman, 2 Ed., 2005. GIL, Antnio de L. Segurana em Informtica. 2 ed. Atlas, So Paulo, 1998. GUIMARES, A. G., LINS, R. D. e OLIVEIRA, R. Segurana com Redes Privadas Virtuais (VPNs). Ed. Brasport, Rio de Janeiro, 2006. IMONIANA, J. o. Auditoria de Sistemas de Informaes. v.2.0 www.pontodosconcursos.com.br
73
CURSO ON-LINE PACOTE DE EXERCCIOS PARA MPU REA ADMINISTRATIVA - NOES DE INFORMTICA PROFESSORA: PATRCIA LIMA QUINTO Infowester. Disponvel em: http://www.infowester.com.br. INFOGUERRA. Vrus de celular chega por mensagem multimdia. 2005. Disponvel em: http://informatica.terra.com.br/interna/0,,OI484399-EI559,00.html. Acesso em: fev. 2010. LINHARES, A. G.;GONALVES, P.A. da S. Uma Anlise dos Mecanismos de Segurana de Redes IEEE 802.11: WEP, WPA, WPA2 e IEEE 802.11w. Acesso em: ago. 2009. MDULO Security. Disponvel em: http://www.modulo.com.br/. NAKAMURA, E. T., GEUS, P.L. Segurana de Redes em Ambientes Cooperativos. Ed. Novatec, 2007. PINHEIRO,J. M. S. Aspectos para Construo de uma Rede Wireless Segura. Disponvel em: http://www.projetoderedes.com.br/tutoriais/tutorial_redes_wireless_segura_01.php . 2004. Acesso em: set. 2009. RAMOS, A.; BASTOS, A.; LAYRA, A. Guia oficial para formao de gestores em segurana da informao. 1. ed. Rio Grande do Sul: ZOUK. 2006. SMOLA, M. Gesto da segurana da informao. 2 ed. So Paulo: Campus Elsevier. 2003. TECHNET. Academia Latino-Americana da Segurana da Informao. 2006. Disponvel em: <http://www.technetbrasil.com.br/academia/>. STALLINGS, W. Criptografia e Segurana de Redes: Princpios e Prticas. Ed. Prentice-Hall, 4 Edio, 2008. Apostila TCU. Disponvel em: http://74.125.47.132/search?q=cache%3AX7rWT8IDOwJ%3Aportal2.tcu.gov.br%2Fportal%2Fpage%2Fportal%2FTCU%2Fcomu nidades%2Fbiblioteca_tcu%2Fbiblioteca_digital%2FBOAS_PRATICAS_EM_SEGURAN CA_DA_INFORMACAO_0.pdf+plano+de+conting%C3%AAncia+%2B+tcu&hl=ptBR&gl=br. ZWICKY, E. D., COOPER, S. e CHAPMAN, D. B. Building Internet Firewalls. Ed. ORilley, 2 Ed., 2000.
v.2.0
74
CURSO ON-LINE PACOTE DE EXERCCIOS PARA MPU REA ADMINISTRATIVA - NOES DE INFORMTICA PROFESSORA: PATRCIA LIMA QUINTO LISTA DAS QUESTES APRESENTADAS NA AULA
1. (FCC/2007/MPU/TCNICO ADMINISTRATIVO-Adaptada) Instrues: Para responder questo seguinte, considere as informaes abaixo: OBJETIVO: O Ministrio Pblico do Governo Federal de um pas deseja modernizar seu ambiente tecnolgico de informtica. Para tanto, adquirir equipamentos de computao eletrnica avanados e redefinir seus sistemas de computao a fim de agilizar seus processos internos e tambm melhorar seu relacionamento com a sociedade. REQUISITOS PARA ATENDER AO OBJETIVO: 1 - O ambiente de rede de computadores, para troca de informaes exclusivamente internas do Ministrio, dever usar a mesma tecnologia da rede mundial de computadores. 2 - O acesso a determinadas informaes somente poder ser feito por pessoas autorizadas. 3 - Os funcionrios podero se comunicar atravs de um servio de conversao eletrnica em modo instantneo (tempo real). 4 - A comunicao eletrnica tambm poder ser feita via internet no modo no instantneo 5 - Para garantir a recuperao em caso de sinistro, as informaes devero ser copiadas em mdias digitais e guardadas em locais seguros. (FCC/2007/MPU/Tcnico-rea Administrativa/Q.22) Os 2 e 5 especificam correta e respectivamente requisitos de uso de (A) antivrus e backup. (B) firewall e digitalizao. (C) antivrus e firewall. (D) senha e backup. (E) senha e antivrus.
2. (CESPE/2010/TRE.BA/Q.22) Uma das formas de bloquear o acesso a locais no autorizados e restringir acessos a uma rede de computadores por meio da instalao de firewall, o qual pode ser instalado na rede como um todo, ou apenas em servidores ou nas estaes de trabalho.
v.2.0
75
CURSO ON-LINE PACOTE DE EXERCCIOS PARA MPU REA ADMINISTRATIVA - NOES DE INFORMTICA PROFESSORA: PATRCIA LIMA QUINTO 3. (CESPE/2010/TRE.BA/ANALISTA/Q.27) Firewall um recurso utilizado para a segurana tanto de estaes de trabalho como de servidores ou de toda uma rede de comunicao de dados. Esse recurso possibilita o bloqueio de acessos indevidos a partir de regras preestabelecidas. 4. (CESPE/2010/TRE.BA/ANALISTA/Q.28) Confidencialidade, disponibilidade e integridade da informao so princpios bsicos que orientam a definio de polticas de uso dos ambientes computacionais. Esses princpios so aplicados exclusivamente s tecnologias de informao, pois no podem ser seguidos por seres humanos. 5. (CESPE/2009/IBAMA/ANALISTA AMBIENTAL/Q.29) Para criar uma cpia de segurana da planilha, tambm conhecida como backup, suficiente clicar a
ferramenta
6. A figura ilustrada a seguir destaca uma janela do Internet Explorer 7 (IE 7), que exibe uma pgina da Web. Com relao a essa figura e ao IE 7, julgue os prximos itens.
I.A pgina da Web em exibio, bastante popular no Brasil e no mundo, funciona como uma enciclopdia de baixo custo, mantida pela empresa Wikipdia. Para acessar artigos escritos por especialistas, o usurio paga uma taxa mensal, de baixo valor. Essa pgina tem sido considerada um recurso valioso para a democratizao da informao, devido ao baixo custo pago pelos usurios (Fonte: CESPE/2007/BB). II.Na janela Opes da Internet, que pode ser executada a partir de opo do menu Ferramentas, possvel encontrar, em uma das guias dessa janela, ferramenta que permite bloquear a exibio de pop-ups. III. Por meio do boto , possvel que um usurio tenha acesso a recurso de filtragem de phishing do IE7, o que permite aumentar a segurana,
v.2.0
76
CURSO ON-LINE PACOTE DE EXERCCIOS PARA MPU REA ADMINISTRATIVA - NOES DE INFORMTICA PROFESSORA: PATRCIA LIMA QUINTO restringindo-se o acesso a stios que se passam por stios regulares, tais como de bancos e lojas virtuais, e so utilizados por criminosos cibernticos para roubar informaes do usurio (Fonte: CESPE/2008/BB, com adaptaes). IV.Os cookies so vrus muito utilizados para rastrear e manter as preferncias de um usurio ao navegar pela Internet. Indique a opo que contenha todas as afirmaes verdadeiras. A) I e II B) II e III C) III e IV D) I e III E) II e IV 7. (CESPE/2009/TCE-AC) Com relao a Internet e intranet, assinale a opo correta. A. O protocolo HTTPS foi criado para ser usado na Internet 2. B. Um dos principais problemas da Internet, a disseminao de vrus pode ser solucionado com a instalao de javascripts nos computadores dos usurios. C. A adoo da intranet nas organizaes tem sido uma opo mais econmica, comparada a opes que envolvam a aquisio de software e hardware de alto custo. D. Intranet e Internet so semelhantes por proporcionarem benefcios como colaborao entre os usurios, acesso fcil a informaes e servios disponveis, se diferenciando apenas quanto ao protocolo de transmisso de dados. E. Com a evoluo dos sistemas de informao, o futuro da intranet se fundir com a Internet, o que ir gerar a Internet 2, com uma capacidade de processar informaes 10 vezes superior atual.
v.2.0
77
8. (CESPE/2009-04/MMA) Antivrus, worms, spywares e crackers so programas que ajudam a identificar e combater ataques a computadores que no esto protegidos por firewalls. 9. (CESPE/2009-04/MMA) A responsabilidade pela segurana de um ambiente eletrnico dos usurios. Para impedir a invaso das mquinas por vrus e demais ameaas segurana, basta que os usurios no divulguem as suas senhas para terceiros. 10.(CESPE/2009-03/TRE-MG) Considerando a segurana da informao, assinale a opo correta. A. A instalao de antivrus garante a qualidade da segurana no computador. B. Toda intranet consiste em um ambiente totalmente seguro porque esse tipo de rede restrito ao ambiente interno da empresa que implantou a rede. C. O upload dos arquivos de atualizao suficiente para a atualizao do antivrus pela Internet. D. O upload das assinaturas dos vrus detectados elimina-os. E. Os antivrus atuais permitem a atualizao de assinaturas de vrus de forma automtica, sempre que o computador for conectado Internet. 11. (CESPE/2008/PRF/Policial Rodovirio Federal) Com relao a vrus de computador, phishing, pharming e spam, julgue os itens seguintes. I. Uma das vantagens de servios webmail em relao a aplicativos clientes de correio eletrnico tais como o Mozilla ThunderbirdTM 2 est no fato de que a infeco por vrus de computador a partir de arquivos anexados em mensagens de e-mail impossvel, j que esses arquivos so executados no ambiente do stio webmail e no no computador cliente do usurio. II. Phishing e pharming so pragas virtuais variantes dos denominados cavalos-de-tria, se diferenciando destes por precisarem de arquivos especficos para se replicar e contaminar um computador e se diferenciando, entre eles, pelo
v.2.0
78
CURSO ON-LINE PACOTE DE EXERCCIOS PARA MPU REA ADMINISTRATIVA - NOES DE INFORMTICA PROFESSORA: PATRCIA LIMA QUINTO fato de que um atua em mensagens de e-mail trocadas por servios de webmail e o outro, no. III. O uso de firewall e de software antivrus a nica forma eficiente atualmente de se implementar os denominados filtros anti-spam. IV. Se o sistema de nomes de domnio (DNS) de uma rede de computadores for corrompido por meio de tcnica denominada DNS cache poisoning, fazendo que esse sistema interprete incorretamente a URL (uniform resource locator) de determinado stio, esse sistema pode estar sendo vtima de pharming. V. Quando enviado na forma de correio eletrnico para uma quantidade considervel de destinatrios, um hoax pode ser considerado um tipo de spam, em que o spammer cria e distribui histrias falsas, algumas delas denominadas lendas urbanas. A quantidade de itens certos igual a A 1. B 2. C 3. D 4. E 5. 12.(CESPE/2008/TRT-1R/Analista Judicirio) Acerca de conceitos relacionados a redes de computadores, a intranet e Internet, assinale a opo correta. A. Uma caracterstica das redes do tipo VPN (virtual private networks) que elas nunca devem usar criptografia, devido a requisitos de segurana e confidencialidade. B. Uma intranet uma rede corporativa interna que permite a interligao de computadores de empresas. Devido aos requisitos mais estritos de segurana, as intranets no podem utilizar tecnologias que sejam empregadas na Internet, como, por exemplo, o protocolo TCP/IP. C. O programa WinZip pode permitir a compactao de arquivos e programas, fazendo com que ocupem menor espao de memria. comum o uso desse programa para diminuir o tamanho de arquivos que so enviados como anexos em mensagens de correio eletrnico. D. Os arquivos denominados cookies, tambm conhecidos como cavalos de tria, so vrus de computador, com inteno maliciosa, que se instalam no computador sem a autorizao do usurio, e enviam, de forma automtica e imperceptvel, informaes do computador invadido. E. Os programas denominados worm so, atualmente, os programas de proteo contra vrus de computador mais eficazes, protegendo o computador contra vrus, cavalos de tria e uma ampla gama de softwares classificados como malware.
v.2.0
79
CURSO ON-LINE PACOTE DE EXERCCIOS PARA MPU REA ADMINISTRATIVA - NOES DE INFORMTICA PROFESSORA: PATRCIA LIMA QUINTO 13. (CESPE/2003/BB_III/Escriturrio Adaptada) Um usurio da Internet e cliente do BB acessou por meio do Internet Explorer 6 o stio cujo URL http://www.bb.com.br para obter informaes acerca dos mecanismos de segurana implementados nesse stio.
Aps algumas operaes nas pginas do stio, o usurio obteve a pgina ilustrada na figura anterior, contendo informaes acerca do teclado virtual, uma ferramenta disponibilizada aos clientes do BB no acesso a funcionalidades referentes a transaes bancrias. A partir da figura mostrada, julgue os itens seguintes, relativos Internet, segurana no acesso Internet, s informaes contidas na pgina ilustrada e ao Internet Explorer 6. I. Sabendo que o teclado virtual permite que o cliente do BB insira a senha de acesso s informaes bancrias de sua conta por meio do mouse e no por digitao no teclado, conclui-se que essa ferramenta dificulta a ao de um trojan, que um aplicativo capaz de registrar em um arquivo todas as teclas digitadas e depois enviar este arquivo para um outro endereo eletrnico. II. Considere a seguinte situao hipottica. Na navegao descrita anteriormente, enquanto o usurio manipulava as pginas do stio do BB, ele observou em determinados momentos que recursos de hardware e de software de seu computador estavam sendo utilizados sem a sua requisio. Em determinados momentos, verificou que arquivos estavam sendo deletados, outros criados, o drive do CD-ROM abria e fechava sem ser solicitado. O usurio chegou, enfim, concluso de que seu computador estava sendo controlado via Internet por uma pessoa por meio de uma porta de comunicao estabelecida sem sua autorizao. Nessa situao, provvel que o computador do usurio estivesse sendo vtima de um vrus de macro. III. Considere a seguinte situao hipottica. Antes de acessar o stio do BB, o usurio acessou pginas da Internet no muito confiveis e o computador por meio do qual o acesso Internet foi realizado contraiu um vrus de script. Nessa situao,
v.2.0
80
CURSO ON-LINE PACOTE DE EXERCCIOS PARA MPU REA ADMINISTRATIVA - NOES DE INFORMTICA PROFESSORA: PATRCIA LIMA QUINTO possvel que um trojan seja instalado no computador do usurio sem que este saiba o que est acontecendo. IV. O Internet Explorer 6 permite que, por meio do boto (Pesquisar), seja realizada uma busca de vrus instalados em seu computador, utilizando recursos antivrus disponibilizados nesse software pela Microsoft. V. A partir do menu , o usurio poder acessar funcionalidades do Internet Explorer 6 que permitem definir determinados nveis de segurana no acesso a pginas Web, tais como impedir que um script de uma pgina Web que est sendo acessada seja executado sem a sua autorizao. VI. Uma das maiores vantagens no acesso Internet em banda larga por meio da tecnologia ADSL, em comparao com as outras tecnologias disponveis atualmente, o fato de os computadores constituintes das redes formadas com tal tecnologia estarem protegidos contra ataques de hackers e de vrus distribudos pela Internet em mensagens de correio eletrnico, sem a necessidade de outros recursos tais como firewall e software antivrus. 14.(CESPE/2004/Polcia Rodoviria Federal)
Um usurio da Internet, desejando realizar uma pesquisa acerca das condies das rodovias no estado do Rio Grande do Sul, acessou o stio do Departamento de Polcia Rodoviria Federal http://www.dprf.gov.br , por meio do Internet Explorer 6, executado em um computador cujo sistema operacional o Windows XP e que dispe do conjunto de aplicativos Office XP. Aps algumas operaes nesse stio, o usurio obteve a pgina Web mostrada na figura acima, que ilustra uma janela do Internet Explorer 6. Considerando essa figura, julgue os itens seguintes, relativos Internet, ao Windows XP, ao Office XP e a conceitos de segurana e proteo na Internet. I. Sabendo que o mapa mostrado na pgina Web consiste em uma figura no formato jpg inserida na pgina por meio de recursos da linguagem HTML, ao se clicar com o boto direito do mouse sobre esse objeto da pgina, ser exibido um menu que disponibiliza ao usurio um menu secundrio contendo uma lista de opes que permite exportar de forma automtica tal objeto, como figura, para
v.2.0
81
CURSO ON-LINE PACOTE DE EXERCCIOS PARA MPU REA ADMINISTRATIVA - NOES DE INFORMTICA PROFESSORA: PATRCIA LIMA QUINTO determinados aplicativos do Office XP que estejam em execuo concomitantemente ao Internet Explorer 6. A lista de aplicativos do Office XP disponibilizada no menu secundrio contm o Word 2002, o Excel 2002, o Paint e o PowerPoint 2002. II. Para evitar que as informaes obtidas em sua pesquisa, ao trafegarem na rede mundial de computadores, do servidor ao cliente, possam ser visualizadas por quem estiver monitorando as operaes realizadas na Internet, o usurio tem disposio diversas ferramentas cuja eficincia varia de implementao para implementao. Atualmente, as ferramentas que apresentam melhor desempenho para a funcionalidade mencionada so as denominadas sniffers e backdoors e os sistemas ditos firewall, sendo que, para garantir tal eficincia, todas essas ferramentas fazem uso de tcnicas de criptografia tanto no servidor quanto no cliente da aplicao Internet. III. Por meio da guia Privacidade, acessvel quando Opes da Internet clicada no , o usurio tem acesso a recursos de configurao do Internet menu Explorer 6 que permitem definir procedimento especfico que o aplicativo dever realizar quando uma pgina Web tentar copiar no computador do usurio arquivos denominados cookies. Um cookie pode ser definido como um arquivo criado por solicitao de uma pgina Web para armazenar informaes no computador cliente, tais como determinadas preferncias do usurio quando ele visita a mencionada pgina Web. Entre as opes de configurao possveis, est aquela que impede que os cookies sejam armazenados pela pgina Web. Essa opo, apesar de permitir aumentar, de certa forma, a privacidade do usurio, poder impedir a correta visualizao de determinadas pginas Web que necessitam da utilizao de cookies. 15.(MOVENS/2009/ADEPAR/ASSISTENTE TCNICO ADMINISTRATIVO/Q9-Adaptada) Analise o item seguinte: [Uma das funes do servidor Proxy atuar como intermedirio entre um cliente e outro servidor, nos diversos tipos de servios]. 16.(MOVENS/2009/Hospital Regional de Santa Maria-DF/Tcnico de Informtica/Q20) O uso de computadores em rede traz benefcios como velocidade e praticidade. Porm, existem alguns riscos envolvidos, como acesso no autorizado a informaes. Por esse motivo, algumas tecnologias foram criadas para estabelecer meios de controle das comunicaes. A respeito desse assunto, leia o texto abaixo, preencha corretamente as lacunas e, em seguida, assinale a opo correta. O _________ um dos principais dispositivos de segurana em uma rede de computadores. Ele realiza a _________ dos _________ e, ento, bloqueia as _________ no permitidas. A seqncia correta : (A) roteador / checagem / usurios / alteraes (B) hub / anlise / arquivos transmitidos / transferncias (C) firewall / filtragem / pacotes / transmisses (D) ids / alterao / sites / informaes
v.2.0
82
CURSO ON-LINE PACOTE DE EXERCCIOS PARA MPU REA ADMINISTRATIVA - NOES DE INFORMTICA PROFESSORA: PATRCIA LIMA QUINTO 17.(CESPE/2010/MINISTRIO DA SADE /ANALISTA TCNICOADMINISTRATIVO) Acerca de conceitos de organizao de arquivos e Internet, julgue o item seguinte. Firewall o mecanismo usado em redes de computadores para controlar e autorizar o trfego de informaes, por meio do uso de filtros que so configurados de acordo com as polticas de segurana estabelecidas. Questes Complementares 18.(ESAF/2006/TRF) Nos dispositivos de armazenamento de dados, quando se utiliza espelhamento visando a um sistema tolerante a falhas, correto afirmar que: a) ao apagar um arquivo em um disco com sistema de espelhamento, o arquivo equivalente no disco espelhado s ser apagado aps a execuo de uma ao especfica de limpeza que deve ser executada periodicamente pelo usurio; b) ao ocorrer uma falha fsica em um dos discos, os dados nos dois discos tornam-se indisponveis. Os dados s sero mantidos em um dos discos quando se tratar de uma falha de gravao de dados; c) o sistema fornece redundncia de dados, usando uma cpia do volume para duplicar as informaes nele contidas; d) o disco principal e o seu espelho devem estar sempre em parties diferentes, porm no mesmo disco fsico; e) o disco a ser utilizado como espelho deve ter sempre o dobro do tamanho do disco principal a ser espelhado. 19.(2009/MOVENS/Hospital Regional de Santa Maria-DF/Tcnico de Informtica/Q20) Um tcnico de suporte trabalha em uma grande instituio hospitalar. Durante uma anlise do ambiente, ele observa que vrios servidores tm somente um disco rgido, apresentando assim uma situao chamada Ponto nico de Falha, ou seja, caso o disco rgido falhe, todo o sistema parar. O chefe, preocupado com a situao, requisita que o tcnico indique uma soluo para o problema. Assinale a opo que contm a soluo que dever ser indicada pelo tcnico para essa situao. (A) Substituio dos discos rgidos antigos por novos com tecnologia SCSI. (B) Instalao de um disco rgido extra para cada servidor e a configurao de RAID 1 entre os discos. (C) Instalao de um disco rgido extra para cada servidor e a configurao de RAID 0 entre os discos. (D) Substituio dos discos rgidos antigos por novos com tecnologia SATA. 20.(FUNRIO/2008/JUCERJA/PROFISSIONAL DE INFORMTICA) Uma mensagem criptografada com uma chave simtrica poder ser decriptografada com A) a chave privativa. B) a mesma chave simtrica. C) a chave pblica.
v.2.0
83
CURSO ON-LINE PACOTE DE EXERCCIOS PARA MPU REA ADMINISTRATIVA - NOES DE INFORMTICA PROFESSORA: PATRCIA LIMA QUINTO D) o HASH. E) a chave RSA. 21.(FUNRIO/2007/Prefeitura Municipal de Maric) Considere as assertivas abaixo sobre criptografia: I. Criptografia o conjunto de tcnicas matemticas utilizadas para embaralhar uma mensagem. II. Na criptografia simtrica a mesma chave utilizada para encriptar e decriptar uma mensagem. III. Na criptografia assimtrica so usadas duas chaves, uma privativa e uma pblica. Esto corretas: A) I e II apenas B) I e III apenas C) II e III apenas D) I, II e III E) Todas esto incorretas 22.(FUNRIO/2009/Analista de Seguro Social Servio Social) Das sentenas abaixo, relativas segurana de computadores e sistemas, I. Um dos principais objetivos da criptografia impedir a invaso de redes. II. O certificado digital um arquivo eletrnico que contm dados de uma pessoa ou instituio, utilizados para comprovar sua identidade. III. Um antivrus capaz de impedir que um hacker tente explorar alguma vulnerabilidade existente em um computador. IV. Vrus, keyloggers, worms e cavalos de tria so alguns dos exemplos de Malware. Esto corretas: A) I, II e III, apenas. B) I e IV, apenas. C) II e IV, apenas. D) III e IV, apenas. E) I, II, III e IV. 23.(FUNRIO/2008/Prefeitura de Coronel Fabriciano) Um Firewall um sistema de proteo que pode: A) utilizar assinaturas de vrus para impedir que a mquina seja infectada. B) bloquear possveis tentativas de invaso atravs de filtros de pacotes. C) impedir a replicao de worms e conseqente ataque ao computador. D) eliminar spywares que possam invadir e espionar a mquina. E) neutralizar ataques aos computadores por spams. 24.(FUNRIO/2009/Analista de Seguro Social Servio Social) Qual das alternativas abaixo d nome ao tipo de ameaa propagada por meio de mensagens fraudulentas, chamadas de spam, caracterizada por um tipo de fraude concebida para obter informaes pessoais sobre o usurio de Internet, convencendo-o a facultar-lhe essas informaes sob falsos pretextos? v.2.0 www.pontodosconcursos.com.br
84
CURSO ON-LINE PACOTE DE EXERCCIOS PARA MPU REA ADMINISTRATIVA - NOES DE INFORMTICA PROFESSORA: PATRCIA LIMA QUINTO A) Adware. B) Cavalo de Tria. C) Phishing. D) Retrovirus. E) Vrus de macro. 25.(ESAF/2007/SEFAZ-CE) Nos sistemas de Segurana da Informao, existe um mtodo que ____________________. Este mtodo visa garantir a integridade da informao. Escolha a opo que preenche corretamente a lacuna acima. a) valida a autoria da mensagem b) verifica se uma mensagem em trnsito foi alterada c) verifica se uma mensagem em trnsito foi lida por pessoas no autorizadas d) cria um backup diferencial da mensagem a ser transmitida e) passa um antivrus na mensagem a ser transmitida 26. (ESAF/2002/AFPS) Os problemas de segurana e crimes por computador so de especial importncia para os projetistas e usurios de sistemas de informao. Com relao segurana da informao, correto afirmar que a)confiabilidade a garantia de que as informaes armazenadas ou transmitidas no sejam alteradas. b)integridade a garantia de que os sistemas estaro disponveis quando necessrios. c)confiabilidade a capacidade de conhecer as identidades das partes na comunicao. d)autenticidade a garantia de que os sistemas desempenharo seu papel com eficcia em um nvel de qualidade aceitvel. e)privacidade a capacidade de controlar quem v as informaes e sob quais condies. 27.(ESAF/2008/CGU/AFC/Infra TI) A respeito do documento da Poltica de Segurana da Informao de uma dada Organizao, incorreto afirmar que a) deve ser aprovado pela direo antes de ser publicado e divulgado. b) deve ser analisado regularmente ou na ocorrncia de mudanas significativas. c) gestores devem garantir que os procedimentos de segurana so executados em conformidade com tal documento. d) deve incluir informaes quanto tecnologia a ser empregada para a segurana da informao. e) no caso de mudanas, deve-se assegurar a sua contnua pertinncia e adequao. 28.(ESAF/2008/CGU/AFC/Infraestrutura) Analise as seguintes afirmaes a respeito de cpias de segurana (backups) e assinale a opo correta. I. Em uma poltica de backup, deve-se declarar a abordagem empregada (completa ou incremental) e periodicidade das cpias, assim como os recursos, infraestrutura e demais procedimentos necessrios.
v.2.0
85
CURSO ON-LINE PACOTE DE EXERCCIOS PARA MPU REA ADMINISTRATIVA - NOES DE INFORMTICA PROFESSORA: PATRCIA LIMA QUINTO II. Registrar o contedo e data de atualizao, cuidar do local de armazenamento de cpias e manter cpias remotas como medida preventiva so recomendados para a continuidade dos negcios. III. Polticas de backup devem ser testadas regularmente para garantir respostas adequadas a incidentes. a) Apenas I e II so verdadeiras. b) Apenas II e III so verdadeiras. c) Apenas I e III so verdadeiras. d) I, II e III so verdadeiras. e) I, II e III so falsas. 29.(FGV/2008/SEFAZ-RJ/Fiscal de Rendas) Analise a citao abaixo, relacionada s fraudes na Internet. Como se no bastassem vrus e spam, agora, os internautas tm que ficar atentos para outro tipo de ameaa: as fraudes online. A prtica sempre a mesma: um e-mail chega Caixa de Entrada do programa de correio eletrnico oferecendo promoes e vantagens, ou solicitando algum tipo de recadastramento. A isca para pescar os usurios so empresas conhecidas, como bancos, editoras de jornais e revistas, e lojas de comrcio eletrnico. Os golpes so bem elaborados, mas basta um pouco de ateno para verificar uma srie de incoerncias. Em geral, as mensagens so similares s originais enviadas pelas empresas, e muitas delas tm links para sites que tambm so cpias dos verdadeiros. Mas, nos dois casos, possvel ver imagens quebradas, textos fora de formatao e erros de portugus - algo difcil de ocorrer com empresas que investem tanto em marketing para atrair clientes. Bom... e o que esses fraudadores querem, afinal? Em alguns casos, o propsito fazer o internauta preencher um formulrio no site falso, enviando informaes pessoais. Outras mensagens pedem apenas que o usurio baixe um arquivo por exemplo, um suposto questionrio que, na verdade, um programa que envia os dados pessoais e financeiros por meio da Internet. De qualquer forma, bom ficar de olho na sua Caixa de Entrada. A citao caracteriza o uso de um tipo de fraude na Internet conhecido por: (A) Keylogger Malware (B) Denial of Service (C) Hoax Spammer (D) Phishing Scam (E) Trojan Horse 30.(ESAF/2007/SEFAZ-CE) Analise as seguintes afirmaes relacionadas a conceitos bsicos de Segurana da Informao. I. Um firewall, instalado entre uma rede LAN e a Internet, tambm utilizado para evitar ataques a qualquer mquina desta rede LAN partindo de mquinas da prpria rede LAN. II. A confidenciabilidade a propriedade de evitar a negativa de autoria de transaes por parte do usurio, garantindo ao destinatrio o dado sobre a autoria da informao recebida.
v.2.0
86
CURSO ON-LINE PACOTE DE EXERCCIOS PARA MPU REA ADMINISTRATIVA - NOES DE INFORMTICA PROFESSORA: PATRCIA LIMA QUINTO III. Na criptografia de chaves pblicas, tambm chamada de criptografia assimtrica, uma chave utilizada para criptografar e uma chave diferente utilizada para decriptografar um arquivo. IV. Uma das finalidades da assinatura digital evitar que alteraes feitas em um documento passem sem ser percebidas. Nesse tipo de procedimento, o documento original no precisa estar criptografado. Indique a opo que contenha todas as afirmaes verdadeiras. a) I e II b) II e III c) III e IV d) I e III e) II e IV 31.Trata-se de um software malicioso que, ao infectar um computador, criptografa todo ou parte do contedo do disco rgido. Os responsveis pelo software exigem da vtima, um pagamento pelo resgate dos dados. (A)Bot (B)DoS (C)Conficker (D)Pharming (E)Ransomware 32.(FGV/2008/SEFAZ-RJ/Fiscal de Rendas) Analise os casos descritos a seguir, referentes a fraudes envolvendo o comrcio eletrnico e Internet Banking. I. O usurio recebe um e-mail de um suposto funcionrio da instituio que mantm o site de comrcio eletrnico ou de um banco, que persuade o usurio a fornecer informaes sensveis, como senhas de acesso ou nmero de cartes de crdito. II. Um hacker compromete o DNS do provedor do usurio, de modo que todos os acessos a um site de comrcio eletrnico ou Internet Banking so redirecionados para uma pgina Web falsificada, semelhante ao site verdadeiro, com o objetivo de o atacante monitorar todas as aes do usurio, como a digitao de sua senha bancria. Nesta situao, normalmente o usurio deve aceitar um novo certificado (que no corresponde ao site verdadeiro), e o endereo mostrado no browser do usurio diferente do endereo correspondente ao site verdadeiro. III. O usurio recebe um e-mail, cujo remetente o gerente do seu banco e que contm uma mensagem que solicita a execuo pelo usurio de um programa anexo ao e-mail recebido, a ttulo de obter acesso mais rpido s informaes mais detalhadas em sua conta bancria. IV. O usurio utiliza computadores de terceiros para acessar sites de comrcio eletrnico ou de Internet Banking, possibilitando o monitoramento de suas aes, incluindo a digitao de senhas ou nmero de cartes de crdito, por meio de programas especificamente projetados para esse fim. Constituem exemplos de fraudes resultantes de Engenharia Social os casos identificados em: v.2.0 www.pontodosconcursos.com.br
87
CURSO ON-LINE PACOTE DE EXERCCIOS PARA MPU REA ADMINISTRATIVA - NOES DE INFORMTICA PROFESSORA: PATRCIA LIMA QUINTO (A) I e II. (B) I e III. (C) II e III. (D) II e IV. (E) III e IV. 33.(ESAF/2006/CGU-TI) crescente o nmero de incidentes de segurana causados por vrus de computador e suas variaes. Com isso, as organizaes esto enfrentando o problema com o rigor e cuidados merecidos. Nesse contexto, correto afirmar que A) cavalos de tria so variaes de vrus que se propagam e possuem um mecanismo de ativao (evento ou data) e uma misso. B) vrus polimrficos suprimem as mensagens de erro que normalmente aparecem nas tentativas de execuo da atividade no-autorizada, utilizando, muitas vezes, criptografia para no serem detectados por anti-vrus. C) os vrus de macro utilizam arquivos executveis como hospedeiros, inserindo macros com as mesmas funes de um vrus em tais arquivos. D) softwares anti-vrus controlam a integridade dos sistemas e compreendem trs etapas: preveno,deteco e reao, nesta ordem. E) vrus geram cpias de si mesmo afim de sobrecarregarem um sistema, podendo consumir toda a capacidade do processador, memria ou espao em disco, eventualmente. 34.(ESAF/2005/AFRFB) Alguns tipos de malware tentam atingir um objeto portador, tambm conhecido como hospedeiro, para infect-lo. O nmero e tipo de objetos portadores que so alvos variam com as caractersticas dos malwares. Entre os portadores-alvo mais comuns, as macros a) so arquivos que suportam linguagens como Microsoft Visual Basic Script, JavaScript, AppleScript ou PerlScript. As extenses dos arquivos desse tipo so: .vbs, .js, .wsh e .prl. b) so arquivos que suportam uma linguagem script de macro de um aplicativo especfico, como um processador de texto, uma planilha eletrnica ou um aplicativo de banco de dados. Por exemplo, os vrus podem usar as linguagens de macro no Microsoft Word para causar vrios efeitos, que podem variar de prejudiciais, como trocar palavras ou mudar as cores em um documento, a malintencionados, como formatar o disco rgido do computador. c) so o alvo do vrus clssico que replicado anexando-se a um programa hospedeiro. Alm dos arquivos tpicos que usam a extenso das macros, arquivos com as seguintes extenses tambm podem ser usados com essa finalidade: .com, .sys, .dll, .ovl,.ocx e .prg.
v.2.0
88
CURSO ON-LINE PACOTE DE EXERCCIOS PARA MPU REA ADMINISTRATIVA - NOES DE INFORMTICA PROFESSORA: PATRCIA LIMA QUINTO d) so arquivos localizados em reas especficas dos discos do computador (discos rgidos e mdias removveis inicializveis), como o registro mestre de inicializao (MBR). e) so arquivos localizados no registro de inicializao do DOS e so capazes de executar cdigos mal intencionados. Quando o registro de um disco de inicializao infectado, a replicao ser efetivada se ele for usado para iniciar os sistemas de outros computadores. 35.(ESAF/2005/AFRFB) Em relao a vrus de computador correto afirmar que, entre as categorias de malware, o Cavalo de Tria um programa que a) usa um cdigo desenvolvido com a expressa inteno de se replicar. Um Cavalo de Tria tenta se alastrar de computador para computador incorporandose a um programa hospedeiro. Ele pode danificar o hardware, o software ou os dados. Quando o hospedeiro executado, o cdigo do Cavalo de Tria tambm executado, infectando outros hospedeiros e, s vezes, entregando uma carga adicional. b) pode ser executado e pode se alastrar sem a interveno do usurio, enquanto alguns variantes desta categoria de malware exigem que os usurios executem diretamente o cdigo do Cavalo de Tria para que eles se alastrem. Os Cavalos de Tria tambm podem entregar uma carga alm de se replicarem. c) usa um cdigo mal-intencionado auto-propagvel que pode se distribuir automaticamente de um computador para outro atravs das conexes de rede. Um Cavalo de Tria pode desempenhar aes nocivas, como consumir recursos da rede ou do sistema local,possivelmente causando um ataque de negao de servio. d) no pode ser considerado um vrus ou um verme de computador porque tem a caracterstica especial de se propagar. Entretanto, um Cavalo de Tria pode ser usado para copiar um vrus ou um verme em um sistema-alvo como parte da carga do ataque, um processo conhecido como descarga. A inteno tpica de um Cavalo de Tria interromper o trabalho do usurio ou as operaes normais do sistema. Por exemplo, o Cavalo de Tria pode fornecer uma porta dos fundos no sistema para que um hacker roube dados ou altere as definies da configurao. e) parece til ou inofensivo, mas contm cdigos ocultos desenvolvidos para explorar ou danificar o sistema no qual executado. Os cavalos de tria geralmente chegam aos usurios atravs de mensagens de e-mail que disfaram a finalidade e a funo do programa. Um Cavalo de Tria faz isso entregando uma carga ou executando uma tarefa mal-intencionada quando executado. 36.(ESAF/2005/MPOG) O princpio do menor privilgio em Segurana da Informao significa que a) todos os usurios do sistema sero considerados convidados. b) ser especificado o que proibido, todo o restante ser permitido.
v.2.0
89
CURSO ON-LINE PACOTE DE EXERCCIOS PARA MPU REA ADMINISTRATIVA - NOES DE INFORMTICA PROFESSORA: PATRCIA LIMA QUINTO c) qualquer objeto s pode ter permisses bsicas para executar as suas tarefas, e nenhuma outra. d) haver uma segurana mnima no sistema, mas que no ser possvel garantir a segurana contra a exposio e os danos causados por ataques especficos. e) haver um ponto de estrangulamento onde tudo ser proibido, dependendo apenas da profundidade de defesa do sistema. 37.(ESAF/2008/PSS) Com relao s tcnicas de segurana da informao, uma poltica de segurana deve conter elementos que dizem respeito a tudo aquilo que essencial para combate s adversidades. Com relao a esses elementos essenciais, a Vigilncia prega: a) a criatividade quanto s definies da poltica e do plano de defesa contra intruses. b) o correto planejamento, pois a segurana deve fazer parte de um longo e gradual processo dentro da organizao. c) que todos os membros da organizao devem entender a importncia da segurana, atuando como guardies da rede. d) uma soluo tecnolgica adaptativa e flexvel, a fim de suprir as necessidades estratgicas da organizao. e) uma economia na aplicao de novas tecnologias, pois estas no so vulnerveis a novos ataques. 38.(ESAF/2006/TRF/Tribut. E Aduaneira) Analise as seguintes afirmaes relacionadas criptografia. I. A criptografia de chave simtrica pode manter os dados seguros, mas se for necessrio compartilhar informaes secretas com outras pessoas, tambm deve-se compartilhar a chave utilizada para criptografar os dados. II. Com algoritmos de chave simtrica, os dados assinados pela chave pblica podem ser verificados pela chave privada. III. Com algoritmos RSA, os dados encriptados pela chave pblica devem ser decriptados pela chave privada. IV. Com algoritmos RSA, os dados assinados pela chave privada so verificados apenas pela mesma chave privada. Indique a opo que contenha todas as afirmaes verdadeiras. a) I e II b) II e III c) III e IV d) I e III e) II e IV 39.(FUNRIO/2009/Analista de Seguro Social Servio Social) Qual das alternativas abaixo d nome ao tipo de ameaa propagada por meio de mensagens fraudulentas, chamadas de spam, caracterizada por um tipo de fraude concebida para obter informaes pessoais sobre o usurio de Internet, convencendo-o a facultar-lhe essas informaes sob falsos pretextos? A) Adware v.2.0 www.pontodosconcursos.com.br
90
CURSO ON-LINE PACOTE DE EXERCCIOS PARA MPU REA ADMINISTRATIVA - NOES DE INFORMTICA PROFESSORA: PATRCIA LIMA QUINTO B) Cavalo de Tria C) Phishing D) Retrovirus E) Vrus de macro 40.(FUNRIO/2007/Prefeitura Municipal de Maric) Juvncio recebeu um e-mail reportando que seu CPF estava cadastrado no Sistema de Proteo ao Crdito. Mesmo no havendo possibilidade disso acontecer, pois paga suas contas em dia ele, inadvertidamente, clicou no link que havia no corpo do e-mail. O link remetia para o seguinte endereo: http://www.vocecaiu.com/invadi.exe. A partir desse momento, o programa executado (invadi.exe) se instalou na mquina e capturou sua senha de banco. Esse um procedimento caracterstico de infeco por: A) vrus de boot B) vrus de macro C) worm D) trojan E) spam 41.(ESAF/2002/AFPS) Uma forma de proteger os dados de uma organizao contra perdas acidentais a realizao peridica do backup desses dados de uma forma bem planejada. Entre os tipos de backup, no incremental a) feito o backup dos arquivos selecionados ou indicados pelo usurio somente se eles no tiverem marcados como copiados (participado do ltimo backup) ou se tiverem sido alterados, marcando-os como copiados (marca que indica que participaram do ltimo backup). b) feito o backup de todos os arquivos selecionados ou indicados pelo usurio, independentemente de estarem marcados como copiados (participado do ltimo backup), marcando- os como copiados (marca que indica que participaram do ltimo backup). c) feito o backup de todos os arquivos selecionados ou indicados pelo usurio, independentemente de estarem marcados como copiados, mas nenhum marcado como copiado (marca que indica que participaram do ltimo backup). d) feito o backup dos arquivos selecionados ou indicados pelo usurio somente se eles no tiverem marcados como copiados (participado do ltimo backup) ou se tiverem sido alterados, mas nenhum marcado como copiado (marca que indica que participaram do ltimo backup). e) feito o backup apenas dos arquivos selecionados ou indicados pelo usurio que tiverem sido alterados na data corrente, mas no marca nenhum como copiado (marca que indica que participaram do ltimo backup). 42.(Elaborao prpria) Analise a seguinte afirmao relacionada a sistemas de backup: Para recuperar um disco a partir de um conjunto de backups (normal + incremental) ser necessrio recuperar o primeiro backup (normal) e o ltimo incremental. v.2.0 www.pontodosconcursos.com.br
91
CURSO ON-LINE PACOTE DE EXERCCIOS PARA MPU REA ADMINISTRATIVA - NOES DE INFORMTICA PROFESSORA: PATRCIA LIMA QUINTO 43.(ESAF/2008/MPOG/APO-TI) Um dos objetivos da Poltica de Segurana a a) eliminao de ocorrncias. b) reduo dos danos provocados por eventuais ocorrncias. c) criao de procedimentos para sistematizar eventuais danos. d) formalizao de procedimentos para eliminao de ameaas. e) reduo dos custos com segurana. 44.(ESAF/2008/CGU/AFC/Infraestrutura) Um mecanismo considerado adequado para garantir controle de acesso a) o firewall. b) a criptografia. c) a funo de hash. d) a assinatura digital. e) o certificado digital. 45.(ESAF/2008/CGU/AFC/Infraestrutura) Um plano compreende a) respostas imediatas a desastres. b) identificao e compreenso do problema (desastre). c) processo de restaurao. d) conteno de danos e a eliminao das causas. e) anlise crtica dos direitos de acesso dos usurios. de de segurana
contingncia
no
46.(ESAF/2008/AFC/STN/TI/Infraestrutura) Em uma dada empresa, a poltica de segurana pode ser definida e modificada por um conjunto pequeno de funcionrios em funo de nveis de segurana. Este um cenrio relacionado ao servio de segurana denominado a) Confidencialidade. b) Integridade. c) Disponibilidade. d) Controle de acesso. e) Assinatura digital. 47.(INSTITUTO CETRO/2006/TCM-SP/Ag. Fiscalizao) A Internet uma ferramenta que permite, entre outras possibilidades, a busca por conhecimento. O navegador mais popular atualmente o Microsoft Internet Explorer. No entanto, alguns sites so programados para abrir caixas com propaganda e demais assuntos que podem atrapalhar a produtividade. Essas caixas so chamadas de pop-ups. Pode-se configurar o Microsoft Internet Explorer para bloquear esses Pop-ups? Como? Assinale a alternativa correta. (A) Sim, atravs da opo Ferramentas, Bloqueador de Pop-Ups. (B) No possvel bloquear os pop-ups. (C) Sim, atravs da opo Ferramentas, Opes da Internet... (D) Sim, atravs da opo Exibir, Bloqueador de Pop-Ups. (E) Sim, atravs da opo Favoritos, Bloqueador de Pop-Ups.
v.2.0
92
CURSO ON-LINE PACOTE DE EXERCCIOS PARA MPU REA ADMINISTRATIVA - NOES DE INFORMTICA PROFESSORA: PATRCIA LIMA QUINTO GABARITO 1. D 2. F 3. V 4. F 5. F 6. B 7. C 8. F 9. F 10.E 11.B 12.C 13.I(V); II(F); III(V); (V);VI (F) 14.I (F); II(F); III (V). 15.V 16.C 17.C 18.C 19.B 20.B 21.D 22.C 23.B 24.C 25.B 26.E 27.D 28.D 29.D 30.C 31.E 32.B 33.D 34.B 35.E 36.C 37.C 38.D 39.C 40.D 41.A 42.F 43.B 44.A 45.E 46.D 47.A
IV
(F);V
v.2.0
93

Segurança da Informação Curso

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Segurança da Informação Curso

Uploaded by

Copyright:

Available Formats

CURSO ON-LINE PACOTE DE EXERCCIOS PARA MPU REA ADMINISTRATIVA - NOES DE INFORMTICA PROFESSORA: PATRCIA LIMA QUINTO AULA

Figura. Site que teve seu contedo alterado indevidamente

limitados Impactos no negcio

Confidencialidade Integridade Disponibilidade causam perdas

Figura. Impacto de incidentes de segurana nos negcios Ataques

Figura. Isca de Phishing Relacionada ao Banco do Brasil

You might also like