Professor Lo Matos | Informtica para Concursos SEGURANA DA INFORMAO

A necessidade do compartilhamento de recursos e informaes entre usurios de computadores crescente. Usurios domsticos querem trocar informaes, empresas desejam centralizar informaes de seus clientes para serem compartilhadas entre suas filiais, enfim. O surgimento e a evoluo da Internet contriburam para o aperfeioamento desses compartilhamentos, mas tambm trouxe vrios problemas para empresas e usurios. O que isso tem haver com Segurana da Informao? simples. Quando compartilhamos informaes atravs de uma rede de computadores, precisamos ter confiana no sistema utilizado, por exemplo: Todo cliente de um banco pode retirar seus saldos de conta atravs de um website, mas nem todos confiam por existir vrios relatos de pessoas que caram em golpes e tiveram sua senha ou dados pessoais visualizados por pessoas no autorizadas, para que haja uma maior confiana a organizao que oferece o servio deve implantar sistemas de segurana. A Segurana da informao um conjunto de conceitos e tcnicas utilizadas para criar ferramentas que proporcionam uma maior confiana aos usurios na utilizao de meios tecnolgicos para troca de informaes, pode ser definida como a proteo contra um grande nmero de ameaas s informaes, de forma a assegurar a continuidade do negcio, minimizando danos comerciais e maximizando o retorno de possibilidades e investimentos. O maior objetivo da segurana da informao est no aumento da confiabilidade e na diminuio da fragilidade de sistemas digitais e existem princpios que contribuem para o alcance desse objetivo. H quatro princpios fundamentais que devem ser garantidos pelos sistemas desenvolvidos: Confidencialidade, Integridade, Disponibilidade e Autenticidade. A Confidencialidade garante que a informao no seja acessada lida por pessoas no autorizadas. Um cliente que acessa o site do banco para fazer uma transferncia eletrnica quer uma garantia de que a sua senha no ser vista por pessoas no autorizadas, para garantir a Confidencialidade (Sigilo) das informaes, o banco desenvolve ferramentas suficientes para cumprir este princpio, aumentando assim a confiana deste usurio no sistema. A Integridade garante que a informao no seja alterada por pessoas no autorizadas durante o envio ou armazenamento. Um cliente entra no site do banco para fazer uma atualizao de endereo, quando terminar de fazer o preenchimento do formulrio, este dever ser enviado. As informaes iro trafegar pela Internet at chegar ao banco de dados da instituio, para garantir que a informao se mantenha ntegra, inalterada deve estar presente no sistema o princpio da integridade. A Disponibilidade garante que a informao estar sempre disponvel quando um usurio autorizado solicitar. Ao tentar efetuar um depsito no caixa de um banco, um cliente fica na fila cerca de 20 minutos e quando chega sua vez, o atendente informa que o Sistema est fora do ar, ou seja, o servio estava indisponvel devido a problemas tcnicos. Nesse caso, o banco no garantiu a Disponibilidade do Servio por algum problema de segurana da informao, que deveria criar e manter ferramentas suficientes para cumprir este princpio. A Autenticidade deve assegurar que a identificao de uma pessoa ou instituio seja legtima. Assim, ao visitar o site de um banco atravs de um link recebido por e-mail, que certeza o cliente ter de que aquele site verdadeiro? Para isso, importante que o banco disponibilize ferramentas para verificar a autenticidade daquele site. Outros princpios:

Professor Lo Matos | Informtica para Concursos

A Privacidade deve garantir ao usurio que ele possa definir quais informaes esto disponveis e para quem esto, ou seja, ter a privacidade de escolha. Confidencialidade e autenticidade so meios para se conseguir ter privacidade, j que o sistema deve identificar quem so os usurios que tero determinadas autorizaes . O No Repdio (Irretratabilidade) deve garantir que um usurio no possa negar a autoria de uma ao. Por exemplo, em uma transao via Internet muito importante que nenhum dos envolvidos possa negar que enviou determinando documento digital. Questo: (CESPE IPOJUCA 2010) Entre os princpios bsicos de segurana da informao, destacam-se a confidencialidade, a integridade e a disponibilidade. (CERTO). Questo: (CESPE 2010 - BRB) Confidencialidade, um dos princpios bsicos da segurana da informao, tem como caracterstica garantir que uma informao no seja alterada durante o seu trnsito entre o emissor e o destinatrio. (ERRADO). Questo: (CESPE 2011 TRT/RN) A disponibilidade um conceito muito importante na segurana da informao, e refere-se garantia de que a informao em um ambiente eletrnico ou fsico deve estar ao dispor de seus usurios autorizados, no momento em que eles precisem fazer uso dela. (CERTO). Questo: (FGV 2009 SEFAZ/RJ) No Brasil, a NBR ISO17799 constitui um padro de recomendaes para prticas na gesto de Segurana da Informao. De acordo com o estabelecido nesse padro, trs termos assumem papel de importncia capital: confidencialidade, integridade e disponibilidade. Nesse contexto, a confidencialidade tem por objetivo:

a) salvaguardar a exatido e a inteireza das informaes e mtodos de processamento. b) salvaguardar os dados gravados no backup por meio de software que utilize assinatura digital. c) permitir que os usurios tenham acesso aos arquivos de backup e aos mtodos de criptografia empregados. d) permitir que os usurios autorizados tenham acesso s informaes e aos ativos associados, quando necessrio. e) garantir que as informaes sejam acessveis apenas para aqueles que estejam autorizados a acess-las.

Ameaas a segurana da informao Existem diversas ameaas segurana da informao que atingem os princpios vistos anteriormente a fim de comprometer os objetivos da organizao, seja trazendo danos diretos aos ativos ou prejuzos decorrentes de situaes inesperadas. Classificao das principais ameaas:

Professor Lo Matos | Informtica para Concursos

Malware (programas maliciosos): todo tipo de programa desenvolvido para prejudicar sistemas ou pessoas. Vrus um programa ou parte de um programa, que se propaga infectando parte de outros programas e arquivos de um computador. O vrus necessita de um arquivo hospedeiro ou programa para infectar um computador. Para que o vrus atinja sua finalidade depende da execuo do programa ou do arquivo infectado. O que o vrus pode fazer? Teoricamente o vrus pode fazer qualquer coisa que outros programas fazem, desde apresentar imagens na tela, apagar arquivos do disco, destruir ou alterar arquivos de inicializao do Sistema operacional (vrus de boot), deixar o computador lento e outros. Tipos de Vrus Vrus parasitrio: Se replica para outros programas ou arquivos quando o programa infectado executado. Vrus de Boot: Infecta os arquivos de inicializao de um sistema (boot) alterando seu funcionamento e se espalhando quando o sistema iniciado. Vrus furtivo: Uma forma de vrus projetado para se esconder da deteco de um Antivrus. Quando o antivrus comea a tentar detect-lo ele esconde seu cdigo malicioso deixando somente o cdigo no infectado do programa sendo verificado. Vrus Polimrfico: Se transforma a cada infeco, impossibilitando a deteco pela assinatura do vrus que uma espcie de vacina contra um determinado vrus. Quando o vrus se transforma em outro, a vacina antiga no funciona mais como medida de preveno ou deteco. Vrus de Macro: Os vrus de macro infectam geralmente arquivos do Microsoft Office como DOC (Word), XLS (Excel). So programas executveis embutido nos arquivos de editores de textos e outros. Existe uma ferramenta do Office chamada de Macro, no qual utilizada por usurios para automatizar suas tarefas criando aes repetitivas economizando tempo no trabalho. Quando a macro criada, automaticamente gerado um cdigo em forma de linguagem de programao chamada de VB, e a ferramenta que permite editar via programao essa macro chamada de Visual Basic for Aplication e exatamente por programas desse tipo que o vrus desenvolvido embutido aos arquivos do Office.

Professor Lo Matos | Informtica para Concursos

Os vrus de macro podem inserir palavras, nmeros ou frases indesejadas em documentos ou alterar funes de comando. Depois que um vrus de macro infecta a mquina de um usurio, ele pode se incorporar a todos os documentos criados no futuro com o aplicativo. Por exemplo, se o modelo "normal.dot" do Microsoft Word, o modelo de documento padro desse programa, for infectado com um vrus de macro, todo documento novo criado no Word carregar uma cpia do vrus de macro e a partir da pode chegar a outras finalidades. Vrus de E-mail: Os primeiros vrus de E-mail utilizavam um anexo que ao ser executado enviava um cpia sua para todos na lista de contatos do usurio. No final de 1999 surgiu uma verso mais poderosa do vrus de email que se ativava e propagava sem a abertura do anexo, meramente abrindose o e-mail, utilizava um script cdigo que era aceito pelo prprio programa de e-mail. E importante ressaltar que o vrus de E-mail no se executa sozinho, o usurio deve abrir o anexo ou o programa de correio eletrnico. Questo: (CESPE 2010 SEDU ES) Vrus um programa que pode se reproduzir anexando seu cdigo a um outro programa, da mesma forma que os vrus biolgicos se reproduzem. (CERTA) Questo: (MOVENS 2009 ADEPAR ) Vrus de Macro so vrus que afetam os arquivos de inicializao dos discos. So tipicamente encontrados em arquivos de registros do Windows ou em arquivos de inicializao do sistema. (ERRADO). Questo: (FCC BB 2006 Escriturrio) Os arquivos de dados de editores de texto e de planilhas eletrnicas podem ser contaminados normalmente por programas do tipo vrus: (A) parasitas. (B) camuflados. (C) polimrficos. (D) de boot. (E)) de macro. Worms Vermes

Professor Lo Matos | Informtica para Concursos

Um worm programa maliciosos que se auto copia de computador para computador utilizando vulnerabilidades de uma rede. Um vrus de E-mail tem algumas caractersticas do Worm, pois se propaga de um computador para outro, mas no podemos cham-los de Worms, pois precisam de algum para iniciar a ao de propagao, e os Worms no, eles se auto executam. Os Worms no infectam arquivos e programas como o Vrus, mas degradam sensivelmente o desempenho de redes devido o grande trfego de dados, podendo fazer servidores e computadores da rede parar de funcionar mesmo que temporariamente. Para se replicar os Worms utilizam algum tipo de veculo de rede, veja abaixo alguns exemplos: Recursos de E-mail: Um verme envia uma cpia de si mesmo para os cadastrados no catlogo de endereos do usurio. Programas de acesso remoto: Um verme envia uma cpia de si mesmo para outros computadores. Capacidade de login remoto: Um verme se conecta a um sistema distante como um usurio e depois utiliza comandos para enviar cpias de si mesmo para outros sistemas.

Questo: (CESPE 2009 CEHAP PB) Os worms podem se propagar rapidamente para outros computadores por meio da Internet. (CERTO) Questo: (CESPE 2002 TJ/AC) Os vrus worms so do tipo macro e apresentam-se embutidos em documentos Word com o objetivo de danific-los. Uma outra caracterstica desse tipo de vrus a sua capacidade de sofrer mutao medida que se propaga de um arquivo para outro. (ERRADO). Comentrio: Um Worm no considerado um Vrus, pois no infecta arquivos e tambm no se confunde com o conceito de vrus de Macro. Cavalo de Tria Trojan Horse: Eis o programa malicioso mais fcil de decorar para prova. Basta lembrar-se da mitologia grega, onde os gregos tentavam invadir Tria e sem obter sucesso enviaram uma esttua de madeira em forma de cavalo para os troianos, que aceitaram e levaram para dentro de seus portes. A esttua foi recheada com soldados gregos que durante a noite abriram os portes portas da cidade possibilitando a entrada dos gregos que dominaram a cidade que era to protegida. Para segurana da Informao um programa disfarado de programa inofensivo como, por exemplo, carto virtual, jogos e outros, que foi projetado para alm de suas funes aparentes, para executar funes maliciosas como abrir as portas de comunicao do computador para entrada de um invasor (pessoa ou programas maliciosos) sem o consentimento do usurio. O Cavalo de tria pode ser utilizado por um Invasor para furtar dados pessoais (senha de bancos e outros), apagar arquivos e at mesmo para instalao de vrus e outros. Veja a tabela abaixo para diferenciar Vrus, Worms e Cavalo de tria: Vrus Worms Cavalo de Tria

Professor Lo Matos | Informtica para Concursos

Infecta programas e arquivos necessita de Sim um arquivo ou programa hospedeiro o prprio arquivo executvel No Se multiplica de computador para No computador sem necessidade de o usurio dar inicio a ao No Sim Sim No Sim No

Questo: (FCC 2006 INSS Perito Mdico) Dadas as seguintes declaraes: I. Programas que se replicam e se espalham de um computador a outro, atacando outros programas, reas ou arquivos em disco. II. Programas que se propagam em uma rede sem necessariamente modificar programas nas mquinas de destino. III. Programas que parecem ter uma funo inofensiva, porm, tm outras funes sub-reptcias. Os itens I, II e III correspondem, respectivamente, a ameaas programadas do tipo:

a) b) c) d) e)

cavalo de tria, vrus e worms. worms, vrus e cavalo de tria. worms, cavalo de tria e vrus. vrus, worms e cavalo de tria vrus, cavalo de tria e worms.

Questo: (FESAG 2005 TER/ES) Cavalo de Tria um programa que se autocopia e infecta vrios arquivos do computador, como documentos, programas e partes do sistema operacional, com o objetivo bsico de travar o computador. (ERRADO). Comentrio: Conceito descrito na questo o de Vrus. Spyware espies: So programas que monitoram os hbitos de um usurio. No necessariamente os Spywares so utilizados de forma ilcita, pois muitas empresas utilizam programas dessa categoria para monitorar o trabalho de funcionrios. Existem tambm muitos programas que trazem funes primrias como tocadores de MP3, jogos e outros, que internamente trazem programas que monitoram o usurio para coletar informaes que possam ser utilizados por empresas de publicidade de marketing. Mas por outro lado os Spywares podem ser utilizados para monitorar o usurio de um computador para espionagem, capturar informaes sigilosas de forma ilcita. Ao ser instalado um Spyware na mquina do usurio, ele pode enviar as informaes coletadas para o Espio por um sistema de correio eletrnico ou at mesmo de forma instantnea. Keylogger: um programa do tipo Spyware capaz de capturar e armazenar as teclas digitadas pelo usurio no teclado fsico de um computador. o grande terror das instituies bancrias, pois podem capturar a senha e conta do usurio no momento da digitao, por isso implementam o que chamamos de teclado virtual onde o usurio digita a senha atravs de cliques com o mouse, com isso dando ao usurio a garantia do princpio da Confidencialidade SIGILO.

Professor Lo Matos | Informtica para Concursos

Teclado virtual utilizado em um site de banco Screenlogger: um programa do tipo Spyware que captura informaes do mouse como as coordenadas (x,y) do cursor, tambm captura a tela apresentada no monitor, nos momentos em que o mouse clicado. O espio ao receber estes dados pode deduzir onde foi clicado no teclado virtual e montar senhas ou outros dados. Questo: (CESPE - CEHAP PB 2009) Programa que a partir da execuo em determinado computador vtima passa a monitorar informaes digitadas e visualizadas e, em seguida, envia email para o seu criador encaminhando informaes capturadas denomina-se: a) cavalo de tria. b) spyware. c) phishing scan. d) hijackers. Questo: (CESPE 2010 SEDU ES) Spywares so programas que agem na rede, checando pacotes de dados, na tentativa de encontrar informaes confidenciais como senhas de acesso e nome de usurio. (CERTO). Questo: (CESPE 2009 CEHAP/PB) Os spywares podem vir embutidos em software ou ser baixados quando o internauta visita determinados stios. (CERTO).

Backdoor porta dos fundos: um programa instalado secretamente em um computador invadido que tem por objetivo garantir o retorno facilitado do invasor sem recorrer os mtodos utilizados na invaso. O invasor tem o controle total do computador infectado sem precisar invadi-lo novamente. No necessariamente um Backdoor precisa estar relacionado a uma invaso j que pode ser instalado a partir de um cavalo de tria, ou incluso como conseqncia de uma m configurao de um programa de acesso remoto brechas. Muitos fabricantes de Software ou computadores incluiam ou incluem backdoors em seus produtos onde alegam que podem precisar fazer manutenes preventivas no futuro. Questo: (ESAF 2005 Auditor da Receita) Backdoor so sistemas simuladores de servidores que se destinam a enganar um invasor, deixando-o pensar que est invadindo a rede de uma empresa. (ERRADO). Comentrio: O Conceito descrito na questo de uma estratgia de segurana chamado HONEY POT.

Professor Lo Matos | Informtica para Concursos

Adware: um programa projetado para apresentar propagandas atravs de um navegador ou outros programas instalados na mquina do usurio que abaixa o desempenho de um computador. No necessariamente projetado para o fim malicioso pode ser utilizados por programas que so distribudos de forma gratuita para apresentar propagandas de patrocinadores como o MSN da Microsoft. O Adware pode ser considerado uma espcie de Spyware caso monitore os hbitos do usurio, por exemplo, durante a navegao na Internet para direcionar as propagandas que sero apresentadas. Questo: (FCC 2006 TRF/Analista judicirio) Na categoria de cdigos maliciosos (malware), um adware um tipo de software a) que tem o objetivo de monitorar atividades de um sistema e enviar as informaes coletadas para terceiros. b) projetado para apresentar propagandas atravs de um browser ou de algum outro programa instalado no computador. c) que permite o retorno de um invasor a um computador comprometido, utilizando servios criados ou modificados para este fim. d) capaz de capturar e armazenar as teclas digitadas pelo usurio no teclado de um computador. e) que alm de executar funes para as quais foi aparentemente projetado, tambm executa outras funes normalmente maliciosas e sem o conhecimento do usurio.

Bot: um programa maliciosos bem parecido com os worms , porque podem se propagar automaticamente, explorando vulnerabilidades existentes ou falhas em programas instalados em um computador. A diferena que os Bots podem se comunicar com o Hacker atravs de canais IRC chats permitindo que seja controlado remotamente.

Port Scanner programa bisbilhoteiro: So programas utilizados por Hackers para bisbilhotar computadores e saber quais servios de segurana e comunicao esto habilitados para iniciar uma estratgia de invaso. Sniffer Farejador de Pacotes: so programas que podem ser utilizados para analisar o trfego de dados (pacotes) de uma rede. Administradores de redes utilizam Sniffers para seu trabalho, mas tambm so utilizados com propsitos maliciosos por invasores que tentam capturar o trfego da rede com diversos objetivos, dentre os quais podem ser citados, obter cpias de arquivos importantes durante sua transmisso, e obter senhas que permitam estender o seu raio de penetrao em um ambiente invadido ou ver as conversaes em tempo real. importante ressaltar que os Sniffers s analisa o trfedo de redes locais no sendo utilizado podendo ser utilizado para capturar pacotes na Internet. Golpes (Scan) Muitas empresas investem muito dinheiro na rea de segurana da informao, contratando profissionais especializados que desenvolvem e implantam ferramentas que so necessrias para continuidade dos negcios, mas a cada dia que passa, fraudadores criam formas para explorar as

Professor Lo Matos | Informtica para Concursos

fragilidades dos usurios para furtarem informaes que os interessam como dados bancrios, comerciais e outros. Phishing Scan golpe do site falso um golpe que tenta induzir um usurio a partir de um site falso a inserir informaes pessoais ou financeiras. Naturalmente o usurio recebe um e-mail que apresenta informativo de uma instituio indicando um procedimento que ele deve fazer, como: Atualize seus dados pessoais, clique aqui. O usurio pensa que realmente a instituio que lhe presta servios e clica no link, automaticamente aberta uma pgina com a aparncia idntica o da instituio no qual so solicitadas informaes pessoais, como um nmero de conta, senhas, CPF e outros dados que sero enviados ao fraudador. Depois de capturados, seus dados pessoais e financeiros sero enviados para os fraudadores podendo ser utilizados em vrios golpes financeiros. Para no cair nesse tipo de golpe o usurio no deve clicar em links suspeitos recebidos por e-mail. Questo: (CESPE IPOJUCA 2010) Phishing scam so e-mails no solicitados que tentam convencer o destinatrio a acessar pginas fraudulentas na Internet com o objetivo de capturar informaes, como senhas de contas bancrias e nmeros de cartes de crdito. (CERTO). Questo: (CESPE 2005 ANS / MS) Ataques de um computador por cavalo-de-tria consistem em exemplos de ataque de phishing, acarretando o tipo de roubo de informaes ali descrito. (ERRADO). Questo: (FCC 2010 TCE/SP) Mensagem no solicitada e mascarada sob comunicao de alguma instituio conhecida e que pode induzir o internauta ao acesso a pginas fraudulentas, projetadas para o furto de dados pessoais ou financeiros do usurio. Trata-se especificamente de

a) b) c) d) e)

keylogger. scanning. botnet. phishing. rootkit.

Pharming DNS Cache Poisoning Envenenamento de DNS Em um golpe de Phishing o usurio pode perceber atravs do endereo da pgina URL que est realmente caindo em um golpe, j que este endereo no tem nada haver com o da instituio, o site tem a aparncia idntica, mas o endereo denuncia o golpe. Atravs do golpe de Pharming o golpista tem praticamente o mesmo objetivo quando pratica Phishing, capturar informaes sigilosas. A diferena que no golpe de Pharming muito difcil de identificar o golpe, porque o Cracker invade o servidor DNS alterando de forma no autorizada ligao entre o domnio do site visitado e o servidor hospedeiro. Ao digitar a URL do site que deseja acessar, o servidor DNS converte o endereo em no IP do servidor que armazena os arquivos do site. Se o servidor DNS estiver sendo vitima de um golpe de Pharming, o endereo apontar para um servidor falso que apresentar uma pgina fraudulenta que esteja sob controle de um golpista.

Professor Lo Matos | Informtica para Concursos

10

Veja o exemplo abaixo:

Questo: (CESPE 2008 PRF) Se o sistema de nomes de domnio (DNS) de uma rede de computadores for corrompido por meio de tcnica denominada DNS cache poisoning, fazendo que esse sistema interprete incorretamente a URL (uniform resource locator) de determinado stio, esse sistema pode estar sendo vtima de pharming. (CERTO) Engenharia Social Golpe da Lbia, Persuaso Nos golpes de engenharia social, normalmente o golpista tenta explorar a confiana do usurio, se fazendo passar por outra pessoa para induzi-lo a passar informaes que facilitem uma invaso. Normalmente uma invaso comea a partir da engenharia social. Imagine um Cracker que quer invadir um computador e tenta de vrias formas e no consegue, ele ir tentar explorar a ingenuidade das pessoas da instituio, enviando um e-mail ou telefonando pedindo que faa procedimentos que possam desabilitar ferramentas de segurana mesmo sem a pessoa perceber, o que facilitar o seu acesso a rede da empresa; Questo: (ESAF 2005 Auditor da Receita) Engenharia Social um termo que designa a prtica de obteno de informaes por intermdio da explorao de relaes humanas de confiana, ou outros mtodos que enganem usurios e administradores de rede. (CERTO).

Ataques de negao de servios (DOS Denial of Service) uma srie de ataques que tentam inibir ou impedir o funcionamento de um Sistema deixando os recursos indisponveis para seus utilizadores. Afeta diretamente o princpio da Disponibilidade. Os principais alvos desse tipo de ameaa so os servidores, que so os principais responsveis pelo fornecimento de informaes aos programas clientes que as solicitam. No se trata de uma invaso ao sistema, mas sim da sua invalidao por sobrecarga. Muitas pessoas podem imaginar o porque desses ataques, dentre os principais objetivos esto: Ataques de concorrncia (para que os clientes fiquem insatisfeitos) prejudicando o desempenho da empresa, terrorismo.

Professor Lo Matos | Informtica para Concursos

11

Questo: (CESPE 2011 IFB) Os ataques de negao de servios so feitos por meio de abuso da ingenuidade ou confiana do usurio. (ERRADO). Comentrio: O Conceito descrito na questo pode ser associado a Engenharia Social. Ping da Morte (Ping of Death) O Ping da Morte utiliza um comando bastante comum entre os administradores de rede chamado de PING para fazer um servidor parar de responder. O comando PING naturalmente utilizado para testar se um computador est respondendo a solicitaes ou no. Atravs protocolo ICMP o comando envia 4 pacotes de 32 Bytes para um computador de destino , se responder porque est conectado corretamente, seno existe algum problema na conectividade.

O comando PING enviou para o computador de IP 192.9.3.4 quatro pacotes ICMP e nem um foi respondido

O comando PING enviou para o computador de IP 201.7.178.45 quatro pacotes ICMP e todos foram respondidos O envio dos pacotes mostrados no exemplo anterior no malicioso, so de 32 Bytes cada e compreendidos por qualquer sistema.

Professor Lo Matos | Informtica para Concursos

No Ping da Morte os pacotes so enviados com mais de 64KB (65536 bytes). A placa de rede do computador que receberia esses pacotes teria srios problemas ao responder tudo isso gerando lentido e at travamento do servidor. Foi bastante utilizado por muito tempo, um ataque simples de fazer e pode ser feito de qualquer maquina com o PROMPT COMMAND, hoje no muito comum, pois a maioria dos servidores tem sistemas que j suportam esses pacotes. O Ping da Morte um exemplo de ataque DOS do tipo Buffer OverFlow que consiste em uma srie de ataques DOS com objetivo gerar uma sobrecarga em um sistema com dados maiores que o seu tamanho permitido. Questo: (ESAF 2006 Ministrio do Trabalho) O Ping da Morte (Ping of Death) um recurso utilizado na Internet por pessoas mal intencionadas, que consiste:

12

a. no envio de pacotes TCP/IP de tamanho invlidos para servidores, levando-os ao travamento ou ao impedimento de trabalho. b. na impossibilidade de identificao do nmero de IP de mquina conectada rede. Desta forma, muitos dos servios de segurana disponveis deixam de funcionar, incluindo os "rastreamentos" que permitem a identificao de segurana das fontes de origem de ataques. c. em instalar em um computador conectado a uma rede um programa cliente que permite a um programa servidor utilizar esta mquina sem restries. d. no mecanismo de "abertura" de portas e acha-se atualmente incorporado em diversos ataques de vrus. e. na captura e alterao de "pacotes" TCP/IP transmitidos pelas redes.

SYN Flooding

Tambm conhecido como ataque SYN outro tipo de ataque de Negao de Servios, na qual o atacante envia uma srie de pacotes SYN para um servidor alvo com objetivo que ele fique respondendo e esperando uma resposta que no ir surgir, assim o servidor no conseguindo responder a outros usurios lcitos que esto tentando acessar os servios, alcanando assim a negao de servios. Para lembrar o captulo sobre conexo TCP/IP que aprendemos nos captulos anteriores, em uma conexo cliente/servidor na Internet chamado aperto de mo em trs etapas:

O cliente requisita uma conexo enviando um SYN (synchronize) ao servidor. O servidor responde esta requisio mandando um SYN-ACK(acknowledge) de volta ao cliente. O cliente por sua vez responde com um ACK, e a conexo est estabelecida.

Professor Lo Matos | Informtica para Concursos

13

No ataque SYN o atacante utiliza intencionalmente o protocolo TCP de forma errada e incompleto, evitando que a ltima mensagem ACK seja enviada para estabelecer a conexo. O servidor ir esperar por isso por um tempo pensando que um congestionamento normal de dados. Se todos os recursos estiverem ocupados com essa conexo, nenhuma nova conexo (legtima ou no) pode ser feita, resultando em negao de servio. Alguns podem funcionar mal ou at mesmo travar se ficarem sem recursos desta maneira.

como se voc fosse um atendente e um cliente ficasse de propsito fazendo vrias perguntas sem deixar voc atender outras pessoas que esto na fila. Questo: (ESAF 2005 Auditor Fiscal da Receita) O SYN flooding um ataque do tipo DoS, que consiste em explorar mecanismos de conexes TCP, prejudicando as conexes de usurios legtimos. (CERTO) Spoffing Um ataque spoofing envolve a falsificao mascarar o endereo IP para invases ou outros tipos de ilicitudes. Ataque DDOS (Distributed Denial of Service - Ataque de negao de servios distribudos)

Professor Lo Matos | Informtica para Concursos

O ataque DDOS torna os sistemas de computadores inacessveis inundando servidores, redes e at mesmo computadores pessoais gerando um trfego intil, para que usurios legtimos no possam mais ter acesso a esses recursos. O atacante rene uma grande quantidade de computadores comprometidos e reunidos para enviar pacotes sem nenhuma utilidade para o alvo. Para iniciar o ataque DDOS o atacante instala programas chamados de ZUMBIS em vrias mquinas que sero utilizadas para Executar o disparo para o alvo.

14

A diferena entre os ataques DOS e DDOS a quantidade de computadores utilizados para esses ataques. Quando o ataque surge de um s computador chamado de DOS e quando so utilizados vrios computadores chamado DDOS. Questo: (ESAF 2004 MPU Tcnico Jud.) O Denial of Service (DoS) um ataque que consiste em sobrecarregar um servidor com uma quantidade excessiva de solicitaes de servios. H muitas variantes, como os ataques distribudos de negao de servio (DDoS) que paralisam vrios sites ao mesmo tempo. (Certo) Smurf O Smurf outro tipo de ataque de negao de servio em que o atacante envia uma seqncia de pacotes ICMP atravs do comando Ping para um endereo de broadcast (para todos os computadores da rede). Utilizando o spoofing o atacante faz com que o os computadores da rede encaminhe vrios pacotes de respostas ao mesmo tempo, mas no para o seu endereo, mas para o IP da vtima que no funcionar de modo correto pelo excesso de pacotes. Caro leitor voc deve estar se perguntando, mas como ele conseguiu utilizar o IP da vtima para enviar estes pacotes? A resposta est em outro ataque que vimos anteriormente o Spoofing. Outras ameaas

SPAM So E-mails no solicitados indesejados pelo usurio que geralmente so enviados para um grande nmero de pessoas em massa. O contedo destes e-mails podem ser propagandas e tambm um dos mais utilizados meios para propagao de ameaas de todos os tipos. Por um SPAM pode ser enviado programas maliciosos em anexo e aplicado golpes como o de Phishing site falso.

Professor Lo Matos | Informtica para Concursos

Os SPAMS so grandes causadores de improdutividade dentro de uma organizao j que o usurio perde muito tempo lendo e-mails desnecessrios. Quem pratica SPAM chamado de SPAMMER. Questo: (FUNIVERSA PCDF 2009) Spam o termo usado para se referir aos e-mails solicitados, que geralmente so enviados para um grande nmero de pessoas. (ERRADO). HOAX So histrias falsas, boatos, lendas urbanas distribudas via Internet. Naturalmente recebidas por email, sites de relacionamentos. Muitos Hoax circulam na Internet como: criana com Leucemia, Michel Jackson no morreu, e um dos mais conhecidos que diz que existe um vrus com cone de um urso e que voc deve encontr-lo atravs da pesquisa do Windows digitando seu nome jdbgmgr.exe. Esse arquivo no deve ser apagado faz parte do Sistema e as pessoas apagavam pensando ser realmente um vrus. Agora que aprendemos sobre as principais ameaas a Segurana da Informao, vamos falar das contramedidas, ou seja, as ferramentas mais utilizadas para combater essas ameaas e garantir os principios da segurana da informao vistos anteriormente. Questo: (CESPE 2008 PRF) Quando enviado na forma de correio eletrnico para uma quantidade considervel de destinatrios, um hoax pode ser considerado um tipo de spam, em que o spammer cria e distribui histrias falsas, algumas delas denominadas lendas urbanas. (CERTO). Questo: (FCC 2009 TJ PI Tc. Judicirio) Evite a Propagao de Hoaxes. A precauo mencionada acima tem por motivo a cincia de que frequentemente: a) b) c) d) e) ocorre a execuo de programas antivrus no certificados. so executados arquivos anexados em sites maliciosos. existe falta de controle sobre arquivos lidos nos sites. ocorrem boatos espalhados para fins maliciosos ou para desinformao via e-mail. no so instalados programas antivrus

15

Tcnicas de Segurana Segurana pode ser entendido com um estado no qual estamos livres de perigos e incertezas. Em uma organizao, aplica-se o termo segurana aos chamados ativos, ou seja, a tudo aquilo que possui valor para a organizao. comum que as organizaes possuam departamento de segurana patrimonial, que cuida da segurana fsica, e outro departamento de segurana lgica, responsvel pela segurana dos sistemas de Tecnologia da Informao (TI).

Professor Lo Matos | Informtica para Concursos

Classificao dos ativos:

16

Tangvel Mobilirio em geral, informaes impressas ou em mdia. Intangvel Imagem da empresa, confiabilidade na marca de determinado produto ou a prpria marca, o conhecimento dos funcionrios etc.

Classificao dos tipos de proteo:

Proteo lgica So controles efetuados atravs de Software como: Firewall, Anti vrus, senhas e outros. Proteo fsica Portas, fechaduras, catracas eletrnicas, dados biomtricos (digital e ris). Proteo administrativa Conjunto de regras e procedimentos, polticas de segurana, boletins semanais de segurana, no adianta se a empresa investe bilhes na proteo fsica e lgica se no investir tambm em treinamentos para seus funcionrios, ou seja, na conscientizao dos mesmos.

Questo: (CESPE 2010 TRT/RN) No governo e nas empresas privadas, ter segurana da informao significa ter-se implementado uma srie de solues estritamente tecnolgicas que garantem total proteo das informaes, como um firewall robusto que filtre todo o trfego de entrada e sada da rede, um bom software antivrus em todas as mquinas e, finalmente, senhas de acesso a qualquer sistema. (ERRADO). Comentrio: Existem meios de segurana que no tem haver com a tecnologia propriamente dita, como treinamentos e outros. Antivrus So programas que varrem o computador em busca de programas maliciosos para remov-los. Protege um computador contra infeco por programas maliciosos de vrios tipos. Atualmente trazem mecanismos que conseguem detectar cavalos de tria, spywares e outros. So funes de um Antivrus eficiente: identificar e eliminar a maior quantidade possvel de vrus e outros tipos de malware programas maliciosos; analisar os downloads pela Internet; verificar continuamente os discos rgidos (HDs), disco removveis (disquetes, pendrives); procurar por programas maliciosos nos anexos dos e-mails. possibilitar a atualizao das assinaturas de novos vrus que venham a surgir no mercado de forma automtica. importante destacar que para aumentar a eficincia da proteo pelo antivrus ele deve estar atualizado constantemente. No so funes de um Antivrus:

Professor Lo Matos | Informtica para Concursos

17

No capaz de impedir que um Hacker explore vulnerabilidades do seu sistema, como portas abertas e outros. No protege contra ataques DOS. No capaz de proteger contra um acesso no autorizado por um Backdoor ou cavalo de tria que j estejam instalados no computador do usurio.

Questo: (CESPE - CEHAP PB 2009 ) Programas de antivrus fazem varreduras no computador para procurar arquivos maliciosos disseminados pela transferncia de arquivos. (CERTO). Questo:(CESPE BB 2007) Para que um computador esteja efetivamente protegido contra a ao de vrus de computador e contra ataques de hackers, suficiente que haja, no computador, um programa antivrus que tenha sido atualizado h, no mximo, trs meses, sendo desnecessrio, atualmente, o uso de firewall no combate a ataques de hackers. (ERRADO).

Firewall

Um firewall uma barreira de proteo por onde todo trfego de dados precisa passar. Um Firewall pode ser projetado para fazer: - Controle de trfego separando redes, como por exemplo: uma rede privada de uma rede pblica (internet). - Controle de acesso para proteger um computador ou uma rede contra acessos no autorizados invases. - Filtragens de pacotes IP para saber se so pacotes autorizados a entrar na rede ou sair da rede. - Bloquear as tentativas de invaso a um computador e possibilitar a identificao das origens destas tentativas atravs de um LOG histrico de eventos. - Efetuar controle de portas e servios. Por exemplo, bloquear o servio de troca de mensagens instantneas pelo MSN e servios de FTP. Algumas dvidas sobre o Firewall que so feitas em minhas aulas sero respondidas aqui neste livro tambm. Professor o Firewall protege contra vrus? Essa uma questo bem delicada. Leia a questo e perceba o que ela tenta informar para voc. Em um contexto geral o Firewall protege contra algumas aes de programas maliciosos como vrus,

Professor Lo Matos | Informtica para Concursos

cavalo de tria. Como por exemplo, a tentativa de um programa que j est instalado em um computador enviar mensagens ou tentar acessar o seu computador de forma no autorizada. Veja as questes abaixo dentro dessa situao: (CESPE IBRAM SEPLAG 2009) O firewall indicado para filtrar o acesso a determinado computador ou rede de computadores, por meio da atribuio de regras especficas que podem negar o acesso de usurios no autorizados, assim como de vrus e outras ameaas, ao ambiente computacional. Questo considerada verdadeira. J que o CESPE diz que o Firewall filtra o acesso atravs de regras que sero utilizadas para negar o acesso de usurios no autorizados. Um usurio malicioso pode ter instalado um vrus ou cavalo de tria em um computador qualquer da empresa e programar que este tente acessar de forma no autorizada ou enviar mensagens para outro computador da rede. Veja que a questo diz sobre o acesso no autorizado no importa qual o agente se um programa malicioso ou se uma pessoa atravs do acesso remoto a distncia. (CESPE CFO PMDF 2010) Caso um computador tenha sido infectado por um cavalo de troia, a presena de um firewall instalado na estao de trabalho ser irrelevante, j que este tipo de programa, apesar de impedir que dados indesejados entrem no computador, no consegue impedir que o cavalo de troia transmita informaes do usurio desse computador para outros computadores. Questo considerada Falsa. O Firewall no consegue impedir que um programa malicioso infecte um computador, mas garante proteo contra um programa depois de instalado efetue aes diversas para outros computadores.

18

Professor o Firewall protege contra um vrus infectar arquivos do meu computador? Veja s, quem protege e varre o computador em busca de programas maliciosos so os programas antivrus. O Firewall no faz esse tipo de operao, por isso importante usar um Firewall e um Antivrus para uma maior segurana de nosso computador. Veja a questo abaixo: (CESPE SEPLAG 2009) Apesar de firewalls serem ferramentas que podem ser utilizadas para a proteo de computadores contra ataques de hackers, eles no so suficientes para evitar a contaminao de computadores por vrus. Questo considerada verdadeira: O Firewall no garante que um computador no seja infectado por vrus. Professor o Firewall pode identificar um SPAM? O mecanismo mais utilizado o filtro Anti-SPAM, que analisa nossos e-mails em busca de palavras chaves que podem denunciar um SPAM e envi-los para uma pasta chamada naturalmente de Lixo Eletrnico onde ficaro todos e-mails suspeitos de serem mensagens no solicitadas pelo usurio.

Professor Lo Matos | Informtica para Concursos

19

O Firewall de acordo com os conceituados autores William Stallings e Andrew S. Tanenbaum pode sim ser projetados de acordo com a poltica se segurana de cada organizao para filtrar mensagens eletrnicas e consultar palavras que denuncie a presena de um SPAM. Veja as definies dadas: Controle de comportamento: Controla como determinados servios so usados. Por exemplo, o Firewall pode filtrar e-mail para eliminar SPAM... Livro: Criptografia e Segurana de Redes Autor: William Stallings A segunda metade do mecanismo de firewall o gateway de aplicao. Em vez de apenas examinar pacotes brutos, o gateway de aplicao opera na camada de aplicao. Por exemplo, um gateway de correio eletrnico pode ser configurado de forma a examinar cada mensagem recebida ou enviada... pode tomar a deciso transmitir ou descartar cada mensagem com base no cabealho, no tamanho da mensagem ou at mesmo em seu contedo... Livro: Redes de computadores Autor: Andrew S. Tanenbaum Eu considero que o Firewall realmente pode ser utilizado para analisar e-mails e identificar SPAM conceito esse dados pelos autores citados anteriormente. O Microsoft Windows tem um firewall interno que pode ser utilizado pelos usurios como um Firewall pessoal para proteger seu computador contra o acesso no autorizado ou avisar o usurio que tem algum tentando invadir seu computador. A Microsoft d o seguinte conceito a respeito do seu programa firewall: Um firewall pode ajudar a impedir que hackers ou softwares mal-intencionados (como worms) obtenham acesso ao seu computador atravs de uma rede ou da Internet. Um firewall tambm pode ajudar a impedir o computador de enviar software mal-intencionado para outros computadores. Conceito dentro do que foi falado anteriormente, mas lembre-se que protege contra as aes descritas acima e no contra infeco, verificao e instalao de programas maliciosos. Questo: (CESPE IBRAM SEPLAG 2009) O firewall indicado para filtrar o acesso a determinado computador ou rede de computadores, por meio da atribuio de regras especficas que podem negar o acesso de usurios no autorizados, assim como de vrus e outras ameaas, ao ambiente computacional. (CERTO). Questo: (CESPE 2011 TRE/ES) Para se abrirem arquivos anexados a mensagens recebidas por correio eletrnico, sem correr o risco de contaminar o computador em uso, necessrio habilitar o firewall do Windows. (ERRADO).

Professor Lo Matos | Informtica para Concursos

Questo: (CESPE 2010 BRB) O firewall, mecanismo que auxilia na proteo de um computador, permite ou impede que pacotes IP, TCP e UDP possam entrar ou sair da interface de rede do computador. (CERTO) Proxy O proxy um computador que funciona como intermedirio entre um navegador da Web (como o Internet Explorer) e a Internet. Em casa usurios fazem suas conexes a Internet de forma direta, ou seja, no tem algo impedindo que acesse determinados sites, ou que utilize determinado servio. Em organizaes comum se utilizar um Proxy para intermediar essas conexes filtrando alguns tipos de contedos vindos da Web, sendo utilizado para bloquear acesso a sites que podem diminuir a produtividade dos funcionrios. O proxy tambm ajuda a melhorar o desempenho da abertura de pginas, j que ele armazena cpia das pginas utilizadas com mais freqncia.Quando um navegador solicita uma pgina que j foi acessada anteriormente e est armazenada no proxy, o navegador no busca no servidor de origem da pgina, e sim no proxy o que mais rpido do que acessar a Web. Algumas provas podem considerar o Proxy um exemplo de Firewall, o que aceito.

20

Questo: (CESPE 2011 FUB) Se o acesso Internet ocorrer por meio de um servidor proxy, possvel que seja necessria uma autenticao por parte do usurio, que deve fornecer nome e senha de acesso. (CERTO). Questo: (ESAF 2006 Tcnico da Receita Federal) Um proxy um servidor que atua como "ponte". Uma conexo feita atravs de proxy passa primeiro pelo proxy antes de chegar no seu destino, por exemplo, a Internet. Desse modo, se todos os dados trafegam pelo proxy antes de chegar Internet, eles podem ser usados em redes empresariais para que os computadores tenham conexo Internet limitada e controlada. (CERTO).

Criptografia A criptografia uma tcnica matemtica para embaralhar informaes para que os dados possam sair da origem e chegar ao destino de forma sigilosa. Para acontecer o processo criptogrfico, ou seja, o embaralhamento das informaes, existem dois elementos de grande importncia, o Algoritmo criptogrfico (programa de criptografia) e a chave (segredo da criptografia). Veja abaixo:

Professor Lo Matos | Informtica para Concursos

21

1. O remetente utiliza um programa (algoritmo criptogrfico) de criptografia para cifrar (criptografar) uma mensagem. 2. O programa utiliza uma chave para embaralhar a mensagem. 3. A mensagem cifrada enviada ao destinatrio 4. O destinatrio recebe a mensagem cifrada e deve utilizar um programa de criptografia (natural que seja o mesmo algoritmo utilizado no envio) para decifrar utilizando a chave que o segredo. 5. Se por acaso algum intercept-la no caminho e no tiver a chave, no vai entender o contedo da mensagem porque estar totalmente cifrada (incompreensvel) garantindo assim o princpio da Confidencialidade. importante destacar que sem o conhecimento da chave no possvel decifrar o texto cifrado. Assim, para manter uma informao secreta, basta cifrar a informao e manter em segredo a chave.

Existem duas tcnicas de criptografias muito importantes para provas de concursos, so elas: simtrica e Assimtrica. Simtrica (chave nica): A criptografia simtrica realiza a cifragem e a decifragem de uma informao atravs de algoritmos que utilizam a mesma chave. A chave que cifra a mesma que deve ser utilizada para decifrar. Como a mesma chave deve ser utilizada na cifragem e na decifragem, a chave deve ser compartilhada entre quem cifra e quem decifra os dados, ou seja, deve ser enviada da origem ao destino. A troca de chaves deve ser feita de forma segura, uma vez que todos que conhecem a chave podem decifrar a informao cifrada ou mesmo reproduzir uma informao cifrada.

A ilustrao acima mostra que a mensagem normal A senha 12345 o programa utilizou uma chave que tornou a mensagem criptografada assim #&1aa@12*s!90 que depois foi enviada. Ao

Professor Lo Matos | Informtica para Concursos

destinatrio chega a mensagem criptografada e a chave, que sero utilizadas pelo programa para decifrar a mensagem A senha 12345. A chave que cifrou foi a mesma que decifrou! importante destacar que as chaves criptogrficas so formadas por nmeros binrios, exatamente como aprendemos no captulo sobre Hardware, a linguagem do 0 e 1. Imagine uma chave assim: 010010001010101110101010101011100 As chaves so conjuntos de bits que sero utilizados pelos algoritmos (programas) para cifrar uma mensagem criando segredos aleatrios. Uma chave de 4 bits daria a possibilidade de 24 combinaes, ou seja, so 4 dgitos que podem assumir apenas dois valores (0 e 1) pode assumir 16 combinaes diferentes. Portanto algum que est tentando descobrir qual a chave para decifrar uma mensagem criptografada por uma chave de 4 bits precisaria testar 16 combinaes diferentes, o que seria bastante simples para programas que fazem esse tipo de teste para descobrir de FORA BRUTA o segredo de uma chave. Uma chave de 16 bits j seria mais complicada de ser descoberta, combinaes de 216, ou seja, 65.536 tentativas para tentar descobrir qual a chave utilizada. Quanto maior a quantidade de bits que tenha uma chave, mais difcil descobrirem qual o segredo da mensagem. Os principais algoritmos de criptografia simtrica que so utilizados por vrios programas disponveis na Internet so: DES, 3DES e AES. DES( Data Encryption Standard) O DES atualmente considerado inseguro para muitas aplicaes, pois possui chave de 56 bits. 3DES(Triplo DES) um padro de criptografia baseado no algoritmo de criptografia DES desenvolvido pela IBM. Utiliza 3 chaves de 56 bits resultando uma chave de 168 bits. AES (Advanced Encryption Standard) tambm conhecido por Rijndael, utiliza chaves de 256 bits. Assimtrica (chave pblica): Os algoritmos de chave pblica operam com duas chaves distintas: chave privada e chave pblica. Essas chaves so geradas simultaneamente e forma um par dependente, ou seja, possibilita que a operao executada por uma seja revertida pela outra. A chave privada deve ser mantida em sigilo e protegida e no deve ser passada para ningum. A chave pblica disponibilizada e tornada acessvel a qualquer indivduo que deseje se comunicar com o proprietrio da chave privada correspondente. Imagine que um usurio A precisa se comunicar com um usurio B de forma sigilosa utilizando criptografia assimtrica. O usurio A tem duas chaves (pblica e privada) que so dependentes, a chave privada ele guarda em segredo e disponibiliza sua chave pblica para quem quer se comunicar com ele, no caso ao usurio B. Quando o usurio B precisar enviar uma mensagem criptografada para A utilizar a chave pblica de A para cifrar e enviar. Quando o usurio A receber a mensagem ele utilizar a chave que forma o par, ou seja, a chave privada, que s ele conhece e que foi mantida em segredo para decifrar a mensagem recebida.

22

Professor Lo Matos | Informtica para Concursos

23

O principal algoritmo utilizado na criptografia assimtrica o RSA utilizado em correio eletrnico, pginas de comrcio eletrnico. O RSA utiliza chaves quem podem variar de 256 a 4096 bits. A chave pblica do destinatrio vai cifrar a mensagem, e a chave privada do destinatrio que vai decifrar a mensagem. Veja que as chaves so dependentes e se completam para o processo da criptografia assimtrica acontecer. Simtrica x Assimtrica Simtrica Utiliza uma nica chave. A chave que cifra a mesma que decifra. A chave deve ser compartilhada entre os usurios Assimtrica Utiliza duas chaves distintas. Uma chave cifra e outra decifra. A chave privada deve ser mantida em segredo e no deve ser compartilhada, a pblica a que deve ser compartilhada. Considerada menos segura j que a chave mais segura, pois a chave que decrifra a deve ser compartilhada mensagem est mantida em segredo, e s quem a tem pode decifrar uma mensagem. Processo rpido e simples de criptografia. Processo mais lento e complexo. Algoritmos DES, 3DES, AES Algoritmo RSA Questo: (ESAF 2006 MTE Auditor Fiscal) Um algoritmo de criptografia simtrica requer que uma chave secreta seja usada na criptografia e uma chave pblica diferente e complementar da secreta, utilizada no processo anterior, seja utilizada na decriptografia. Devido sua baixa

Professor Lo Matos | Informtica para Concursos

velocidade, a criptografia simtrica usada quando o emissor de uma mensagem precisa criptografar pequenas quantidades de dados. A criptografia simtrica tambm chamada criptografia de chave pblica. (ERRADA) Questo: (FGV 2006 SEFAZ/MS) No contexto da criptografia, um mtodo emprega um tipo de chave, em que o emissor e o receptor fazem uso da mesma chave, usada tanto na codificao como na decodificao da informao. Esse mtodo conhecido por: a) b) c) d) e) assinatura digital. assinatura cifrada. chave simtrica. chave primria. chave assimtrica.

24

Questo: (FUNIVERSA PCDF 2009) Criptografia uma ferramenta que pode ser usada para manter informaes confidenciais e garantir sua integridade e autenticidade. Os mtodos criptogrficos podem ser subdivididos em trs grandes categorias, de acordo com o tipo de chave utilizada: criptografia de chave nica, criptografia de chave pblica e criptografia de chave privada. (ERRADA). Questo: (CESPE 2010 AGU) Um arquivo criptografado fica protegido contra contaminao por vrus. (ERRADO) Questo: (CESPE IPOJUCA 2010) A criptografia uma soluo indicada para evitar que um arquivo seja decifrado, no caso de ele ser interceptado indevidamente, garantindo-se, assim, o sigilo das informaes nele contidas. (CERTO). Vimos que a criptografia assimtrica utilizada nos exemplos anteriores garante que o usurio A troque informaes como o usurio B de forma sigilosa garantindo o principio da confidencialidade, mas tambm pode ser utilizada para garantir o principio da autenticidade e no repdio quando utilizada na assinatura digital.

Assinatura digital A assinatura digital utiliza a criptografia assimtrica para garantir que o destinatrio possa conferir a Autenticidade do documento recebido. As chaves so aplicadas no sentido inverso de quando so utilizadas para garantir sigilo. O autor de um documento utiliza sua chave privada para assin-lo de modo a garantir sua autoria em um documento, j que s ele conhece sua chave privada, garantindo que ningum possa ter uma assinatura igual a sua, princpio da Autenticidade.

Professor Lo Matos | Informtica para Concursos

25

Se o usurio A assinar um documento com sua chave privada e enviar para o usurio B, ele poder conferir se a assinatura verdadeira, pois tem acesso chave pblica de A. Alm disto, qualquer outra pessoa que possui a chave pblica de A poder conferir tambm a assinatura.

A assinatura digital garante a AUTENTICIDADE e o NO REPDIO. O usurio que receber o documento assinado tem a garantia de que a assinatura realmente do remetente e que ele no pode negar a autoria; Imagine! Se eu enviar uma mensagem avisando de um curso que estou fazendo no valor de 800,00 e assino digitalmente com a minha chave privada, envio para vrias pessoas que tem minha chave pblica para conferir. No posso negar que fui eu que enviei, concorda? Principio do No repdio! E se algum alterar o contedo da mensagem no caminho? Por exemplo, algum interceptou e alterou o valor do curso para 8,00 e chegou assim para todas as pessoas que enviei. Logo depois chegou algum e falou: Legal a sua iniciativa de colocar o valor do curso de 8,00. Eu viro e falo: Eu no coloquei isso, o preo 800,00. A pessoa vira e fala: No professor! voc assinou, eu conferi com sua chave pblica, e o senhor no pode negar. dentro deste exemplo que se percebe que a Assinatura digital tem que usar algum mecanismo para garantir que a mensagem no seja alterada durante o transito garantindo o principio da integridade, esse mecanismo chamado de FUNO DE HASH. A funo de HASH um resumo da mensagem que ser enviada. um mtodo matemtico que utiliza criptografia para garantir a integridade (no modificao) dos dados que sero enviados. Teoricamente o "hash a transformao de uma grande quantidade de informaes em uma pequena quantidade de informaes, ou seja, um resumo. Depois de criado o hash da mensagem, ser enviado junto com a mensagem ao destinatrio, que atravs de um programa ir calcular o hash para ver se tem exatamente as mesmas caractersticas do documento enviado.

Professor Lo Matos | Informtica para Concursos

26

O resumo criptogrfico o resultado retornado por uma funo de hash. Este pode ser comparado a uma impresso digital, pois cada documento possui um valor nico de resumo e at mesmo uma pequena alterao no documento, como a insero de um espao em branco, resulta em um resumo completamente diferente garantindo assim que o destinatrio possa saber se a mensagem foi alterada durante o envio. Os algoritmos de Hash mais utilizados so MD4 e MD5 que utilizam 148 bits e o SHA-1 que utiliza 160 bits. A assinatura digital garante: Autenticidade, No repdio (utilizando as chaves da criptografia assimtrica) Integridade (utilizando o HASH) e a Integridade. No garante a Confidencialidade, pois no cifra o contedo da mensagem, utiliza a criptografia para assinar e conferir documentos. Questo: (CESPE - CEHAP PB 2009 ) Assinatura digital um conjunto de instrues matemticas embasadas na criptografia que permite conferir autenticidade, privacidade e inviolabilidade a documentos digitais e transaes comerciais efetuadas pela Internet. (ERRADO) Comentrio: Inviolabilidade est sendo utilizado como sinnimo de Integridade. Questo: (CESPE - CEF 2010) A assinatura digital facilita a identificao de uma comunicao, pois baseia-se em criptografia simtrica de uma nica chave. (ERRADO)

Questo: (CESPE CEF 2010) Acerca de certificao e assinatura digital, assinale a opo correta. a) O uso da assinatura digital no garante que um arquivo tenha autenticidade no seu trmite. b) A assinatura digital uma ferramenta que garante o acesso a determinados ambientes eletrnicos por meio de biometria, com uso do dedo polegar. c) A assinatura digital do remetente utilizada para criptografar uma mensagem que ser decriptografada pelo destinatrio possuidor da respectiva chave pblica. d) A chave privada do remetente de uma mensagem eletrnica utilizada para assinar a mensagem. e) Para verificar se a mensagem foi de fato enviada por determinado indivduo, o destinatrio deve utilizar a chave privada do remetente. Questo: (CESPE 2010 Pref. Boa Vista) Por princpio, considera-se que qualquer documento assinado digitalmente est criptografado. (ERRADO)

Professor Lo Matos | Informtica para Concursos

Questo:(CESGRANRIO 2008 CEF) Quais princpios da segurana da informao so obtidos com o uso da assinatura digital? A. B. C. D. Autenticidade, confidencialidade e disponibilidade. Autenticidade, confidencialidade e integridade. Autenticidade, integridade e no-repdio. Autenticidade, confidencialidade, disponibilidade, integridade e norepdio. E. Confidencialidade, disponibilidade, integridade e norepdio.

27

A assinatura digital tem validade jurdica? Assinatura digital uma forma eficaz de garantir autoria de documentos eletrnicos, ento surge em agosto de 2001, a Medida Provisria 2.200 que garante a validade jurdica de documentos eletrnicos e a utilizao de certificados digitais para atribuir autenticidade e integridade aos documentos tornando a assinatura digital com validade jurdica. Muitas pessoas devem imaginar que fcil encontrar uma assinatura digital igual para vrios usurios, isso quase impossvel, porque vimos anteriormente que a assinatura digital utiliza uma chave privada juntamente com o resumo da mensagem para criar o cdigo que ser anexado a mensagem. Portanto a assinatura gerada diferente para cada documento, pois est relacionada ao resumo do documento + chave privada do usurio. Veja abaixo:

Para que a assinatura digital tenha validade jurdica as chaves devem ser adquiridas ou (e) registradas por uma entidade certificadora que seja reconhecida pelo Brasil. A autoridade certificadora emitir um Certificado digital que garante que as chaves do usurio realmente existem e que esto registradas para ele. Se eu assinar um documento digitalmente e envio para o destinatrio ele ir utilizar a minha chave pblica para conferir o documento, se quiser ter certeza que a chave pblica realmente verdadeira lcita eu apresento meu certificado digital e ele poder verificar se alguma autoridade certificadora garante que a chave pblica que est utilizando pertence a minha pessoa. CERTIFICADO DIGITAL O certificado digital um arquivo eletrnico que contm dados de uma pessoa ou instituio, utilizados para comprovar sua identidade. Um Certificado Digital normalmente apresenta as seguintes informaes:

Professor Lo Matos | Informtica para Concursos

nome da pessoa ou entidade a ser associada chave pblica perodo de validade do certificado chave pblica nome e assinatura da entidade que assinou o certificado nmero de srie

28

O Certificado digital a garantia de que a chave pblica que ser utilizada tanto na conferncia de uma Assinatura digital quanto na criptografia de dados faz parte realmente da instituio que o usurio est se comunicando. Questo: (CESPE 2010 CEF) Um certificado digital pessoal, intransfervel e no possui data de validade. (ERRADO). Questo: (CESPE - CEHAP PB 2009 ) Certificado digital um arquivo eletrnico que contm dados referentes a uma pessoa ou instituio, que podem ser utilizados para comprovar sua identidade. (CERTO). Questo: (FCC BACEN 2010) O Certificado Digital um arquivo eletrnico que contm os dados de uma pessoa ou instituio, utilizados para comprovar sua identidade. Dentre as principais informaes encontradas em um Certificado Digital, referentes ao usurio, citamse: (A) cdigos de acesso ao sistema. (B) informaes biomtricas para leitura tica. (C) nmero de srie e perodo de validade do certificado. (D) dados de identificao pessoal: RG, CPF ou CNPJ. (E) dados de localizao: endereo e Cep.

Professor Lo Matos | Informtica para Concursos

Os certificados digitais so emitidos por uma entidade chamada de AC ou CA (Autoridade Certificadora) que atesta que a chave pblica do usurio registrado autentica.

29

Entre os campos obrigatrios do certificado digital encontra-se a identificao e a assinatura da entidade que o emitiu, os quais permitem verificar a autenticidade e a integridade do certificado, veja no exemplo acima que a organizao Thawte Premium Server foi a Autoridade que Emitiu o certificado para o Banco do Brasil. A AC o principal componente de uma Infra-Estrutura de Chaves Pblicas e responsvel pela emisso dos certificados digitais. Devo confiar em uma Autoridade Certificadora? Confiar em um certificado emitido por uma AC similar ao que ocorre em nosso dia a dia por transaes que no ocorrem de modo eletrnico. Por exemplo, uma pessoa ao chegar em uma loja para fazer compras parceladas ir utilizar documentos como CPF ou RG para se identificar antes de efetuar a compra para dar garantir uma garantia a empresa que ir efetuar o pagamento. Estes documentos normalmente so emitidos pela Secretaria de Segurana de Pblica e pela Secretaria da Receita Federal e a empresa que est vendendo tem que confiar que esses documentos realmente existem. Da mesma forma, os usurios podem escolher uma AC qual desejam confiar emisso de um certificado digital.

Para a emisso dos certificados, as ACs possuem deveres e obrigaes que so descritos em um documento chamado de Declarao de Prticas de Certificao DPC. A DPC dever ser pblica, para permitir que as pessoas possam saber como foi emitido o certificado digital. Entre as atividades de uma AC, a mais importante verificar a identidade da pessoa ou da entidade antes da emisso do certificado digital. O certificado digital emitido deve conter informaes confiveis que permitam a verificao da identidade do seu titular. ICP BRASIL (Infra-Estrutura de Chaves Pblicas do BRASIL) Para autenticar, homologar, auditar e fiscalizar o certificado digital, necessrio uma estrutura que seja uma espcie de cartrio virtual, comeando pela Autoridade Certificadora Raiz (AC Raiz), que o principal n de confiana para todos os outros abaixo dele - podem ser outras AC subordinadas, que devem possuir uma cpia da chave pblica da AC Raiz, e/ou Autoridades de Registro (AR) para ajud-las, j que necessrio ir fisicamente a uma AR e provar, com documentao, que voc realmente quem diz ser ou que o dono de uma empresa, criando assim uma ICP (Infra-estrutura de chaves pblicas).

Professor Lo Matos | Informtica para Concursos

A Infraestrutura de Chaves Pblicas Brasileira (ICP-Brasil) uma cadeia hierrquica e de confiana que permite a emisso de certificados digitais para identificao de um usurio ou entidade quando efetuada transaes no meio eletrnico como a Internet. A Infraestrutura da ICP Brasil composto de:

30

(AC Raiz) Autoridade certificador Raiz: Autoridade certificadora raiz o topo da infra-estrutura ICP-Brasil sendo responsvel por controlar a emisso das chaves pblicas e garantir que Autoridades Certificadoras intermedirias so legais. A AC RAIZ emite um certificado digital para as Autoridades intermedirias, mas no pode emitir certificados para os usurios finais. O ITI (instituto de tecnologia da Informao) vinculada ao governo Brasileiro a AC RAIZ da ICP-Brasil. (AC) Autoridade certificadora intermediria: So subordinadas a AC RAIZ e devem seguir as regras para emisso dos certificados digitais para os usurios finais. Qualquer organizao pode ser uma AC e fazer parte da ICP-Brasil; para isso, basta se adequar s prticas, processos, regulamentos e polticas exigidos pela infra-estrutura de chave pblica brasileira, que esto descritos em feita pelo Comit Gestor, e requisitar o seu devido registro junto AC Raiz. Assim que essa nova AC se incorpora ICP-Brasil, os certificados emitidos por ela valem em todo o territrio nacional e tm validade jurdica. Existem ACs pblicas e privadas. Ex.: AC CEF (caixa econmica), AC Certisign, AC JUS, AC Serpro e outros. (AR ) Autoridade de Registro: So autoridades que ajudam as AC com os pedidos para obteno de certificados digitais, j que necessrio ir fisicamente a uma AR e provar, com documentao, que voc realmente quem diz ser ou que o dono de uma empresa. A obteno de um certificado digital pode ser feito por qualquer pessoa jurdica ou fsica, bastando apresentar a documentao necessria a uma AR, que passar esses dados para a AC qual subordinada. A AR cria um par de chaves para o usurio e envia a chave pblica para AC que assina e devolve o certificado para AR, com o nome, o e-mail, o CPF/CNPJ e a chave pblica do seu titular, alm do nome e sua assinatura (Autoridade Certificadora emissora), perodo de validade e nmero de srie do certificado digital. A AR deve entregar o par de chaves (pblica e privada) para o usurio, onde poder optar pelo certificado em Software (enviado por e-mail ou armazenado no seu computador) ou em Hardware (Smart Cards ou Tokens USB).

Professor Lo Matos | Informtica para Concursos

31

Smart Card criptogrfico

Veja acima o certificado digital do Google e perceba a hierarquia da infra-estrutura. A empresa Google adquiriu seu certificado com a AR Thawte SGC que est vinculada com Autoridade Certificadora Verisign que subordinada AC Raiz do Brasil. Validade do certificado O certificado digital, diferentemente dos documentos utilizados usualmente para identificao pessoal como CPF e RG, possui um perodo de validade. S possvel utilizar o certificado digital para assinar ou criptografar um documento enquanto o certificado vlido. possvel, no entanto, conferir as assinaturas realizadas mesmo aps o certificado expirar. Questo: (CESPE 2010 CEF) Acerca de certificao digital, assinale a opo correta.

A. A infraestrutura de chaves pblicas uma rede privada que garante que seus usurios possuem login e senha pessoais e intransferveis. B. Uma autoridade de registro emite o par de chaves do usurio que podem ser utilizadas tanto para criptografia como para assinatura de mensagens eletrnicas. C. A autoridade certificadora raiz emite certificados para usurios de mais alto nvel de sigilo em uma organizao com uma chave de criptografia de 128 bits.

Professor Lo Matos | Informtica para Concursos

D. A autoridade de registro recebe as solicitaes de certificados dos usurios e as envia autoridade certificadora que os emite. E. uso de certificado digital garante o repdio de comunicaes oriundas de usurios ou stios que possuem certificados vlidos e emitidos por entidades confiveis.

32

SSL (Secure Socket Layer) um protocolo de segurana que utiliza criptografia para fazer comunicao entre o navegador e o servidor de forma sigilosa. Hoje a Internet utilizada por muitas empresas para transaes financeiras como o caso de sites de comrcio eletrnico e de bancos. Essas aplicaes disponibilizaro ao cliente formulrio para preenchimento de dados necessrios para realizar a transao, como um site de comrcio eletrnico faz disponibilizando campos, nome, endereo, telefone, CPF, nmero do carto de crdito e outros. Assim o usurio deseja ter confiana de que estes dados preenchidos no sero vistos por pessoas no autorizadas. muito importante antes de efetuar qualquer transao via formulrios verificar se o site que voc est utilizando garante o sigilo da comunicao entre voc e o servidor, e para fazer isso basta verificar o endereo do site. Se possuir o endereo com o protocolo HTTP quer dizer que o navegador no est se comunicando com o servidor de forma sigilosa, e se possuir HTTPS a utilizao do protocolo HTTP sobre uma camada de segurana (SSL) que criptografa as informaes trocadas entre o navegador e o servidor.

No exemplo acima estamos observando a rea de contatos do meu site com o endereo URL http://www.leomatos.com.br, que apresenta um formulrio que ser preenchido e enviado de forma no criptografada para o servidor, no garantindo o sigilo da comunicao.

Professor Lo Matos | Informtica para Concursos

33

No exemplo acima estamos rea de abertura de contas do site do Banco do Brasil com a URL HTTPS:// www16.bancodobrasil.com.br,que apresenta um formulrio que ser preenchido e enviado de forma criptografada para o servidor garantindo que se algum interceptar as informaes no caminho no conseguir entend-las garantindo o principio da confidencialidade. Embora o servio que mais utilize o SSL seja o servio de navegao na Web no se limita apenas essa finalidade. Naturalmente quando acessos um site que utiliza o protocolo HTTPS podemos observar a presena de um cadeado ao lado do endereo no navegador utilizado.

A presena do cadeado no garante que o site autntico (verdadeiro) podendo at mesmo o usurio estar utilizando um site falso (golpe de phishing). At mesmo os sites falsos podem apresentar o desenho do cadeado. Ento o que garante que o usurio est preenchendo um formulrio e que o servidor que receber a mensagem verdadeiro? O usurio deve verificar se o site est utilizando realmente a chave pblica do Banco do Brasil para criptografar os dados do formulrio atravs do certificado digital. Para visualizar o certificado digital do Banco do Brasil basta o usurio clicar sobre o cadeado e pedir para exibi-lo.

Professor Lo Matos | Informtica para Concursos

34

O certificado digital trar informaes suficientes para ter a garantia de que a chave pblica utilizada realmente de um site verdadeiro (autntico) e no de um fraudador que criou um site falso que colocou uma chave pblica falsa para criptografar os dados.

Questo: (CESPE - CEHAP PB 2009 ) Secure Sockets Layer (SSL) consititui protocolo de segurana que prev privacidade na comunicao realizada por meio da Internet. (CERTO). Questo: (CESPE 2010 BRB) O uso de HTTPS (HTTP seguro) permite que as informaes enviadas e recebidas em uma conexo na Internet estejam protegidas por meio de certificados digitais. (CERTO). Questo: (CESPE ABIN 2010) No Internet Explorer, ao acessar uma pgina por meio do protocolo seguro HTTP, que utiliza o algoritmo de criptografia SSL (secure socket layer), o usurio

Professor Lo Matos | Informtica para Concursos

informado pelo navegador, mediante a exibio de um cone contendo um cadeado, de que a conexo segura. (ERRADO). Questo: (CESPE 2011 TRT 21) O acesso a um endereo de um stio na Internet que se inicie com https feito por meio de uma conexo segura. Nesse contexto, a informao trafega em um canal seguro, usando uma rede cuja segurana no garantida. (CERTO). VPN (Virtual private network Rede Virtual privada) natural que muitas empresas tenham a expanso dos negcios em filiais espalhadas por muitos estados ou at mesmo pases. Quando essas filiais querem trocar informaes natural utilizar a Internet, mas como uma rede pblica no existe privacidade nessas comunicaes j que muitas pessoas tambm esto conectadas o que torna a comunicao mais vulnervel a interceptaes de dados. Quando uma empresa queria conectar suas filiais de forma privada era comum contratarem servios de telefonia dedicada a essas operaes o que por sinal muito invivel financeiramente falando. Hoje empresas utilizam a VPN que um canal (tnel) virtual privado que utiliza a prpria rede pblica (Internet) para comunicao entre suas filiais. Esse conceito parece um tanto contraditrio! Como utilizar uma rede que pblica para comunicao de forma privada? A resposta est nos protocolos utilizados no momento da comunicao pela VPN, por tunelamento, que feita utilizando protocolos que criptografam as comunicaes garantindo que somente pessoas autorizadas tenho acesso a essas informaes. O projeto mais comum de uma VPN equipar cada filial com um Firewall e criar tneis pela Internet entre todos os pares de filiais utilizando os protocolos de criptografia. Veja abaixo:

35

Nota: As Intranets de Empresas podem ou no utilizar a VPN para que as filiais troquem informaes de forma criptografada.

Professor Lo Matos | Informtica para Concursos

Questo (FCC BB 2011) No contexto de segurana do acesso a distncia a computadores, o processo que encapsula o pacote de dados, previamente protegido por mecanismos que o torna ilegvel, podendo, dessa forma, trafegar em uma rede pblica at chegar ao seu destino, onde desencapsulado e tornado legvel. Trata-se de: (A) autenticao. (B) gerenciador de chaves digitais. (C) conexo segura. (D) criptografia. (E) tunelamento. Questo: (ESAF 2005 SRF) Uma VPN formada pelo conjunto de tunelamento que permite a utilizao de uma rede pblica para o trfego de informaes e, com o auxlio da criptografia, permite um bom nvel de segurana para as informaes que trafegam por essa conexo. (CERTO). Questo: (CESPE 2010 CEF) Uma VPN uma rede virtual privada utilizada como alternativa segura para usurios que no desejam utilizar a Internet. (ERRADO) Questo: (CESPE 2008 SERPRO) Um usurio pode fazer um acesso seguro intranet do SERPRO usando a tecnologia VPN, que cria um tnel virtual com o computador do usurio, usando criptografia. (CERTO).

36

Professor Lo Matos | Informtica para Concursos

37

Professor Lo Matos | Informtica para Concursos

38