aula0 ti prodemge 20224

CURSO ON-LINE TECNOLOGIA DA INFORMAO EM EXERCCIOS P/ANALISTA DE SISTEMAS (CARGO 1) - PRODEMGE PROFESSORES: PATRCIA QUINTO E ALEXANDRE LNIN

AULA 0 - APRESENTAO Ol pessoal, nossos cumprimentos!!! Estamos aqui no Ponto para mais um curso on-line da disciplina Tecnologia da Informao e Comunicao em Exerccios, que tem como foco o concurso para o cargo 1: ANALISTA FUNO ANALISTA DE SISTEMAS da Companhia de Tecnologia da Informao do Estado de Minas Gerais - PRODEMGE, em conformidade com o edital n 01/2011, de 26/04/2011. A satisfao e motivao esto cada vez maiores, e ser um enorme prazer trabalhar com cada um de vocs neste curso rumo ao to sonhado cargo pblico! Para ns, muito importante fazer parte desta conquista. Nossa tarefa transmitir o contedo na forma de resoluo de exerccios com didtica e objetividade, de forma a facilitar o aprendizado. Cumpriremos o objetivo com muita seriedade e dedicao. Bem, antes de falarmos sobre o curso, faamos uma breve apresentao. Vamos l! A professora Patrcia Lima Quinto, 37 anos, leciona em cursos preparatrios para concursos desde 2003, j tendo dado aulas de informtica em cursos presenciais e em inmeros cursos on-line do Ponto dos Concursos (visando certames como Polcia Federal, MPU, TCU, Ministrio da Fazenda, MPOG, PRF, dentre outros). Tambm leciona disciplinas tcnicas do curso de Sistemas de Informao e Cincia da Computao, tanto na graduao, quanto na ps graduao, alm de coordenar a rea de Segurana da Informao na Prefeitura de Juiz de Fora (MG). Quanto sua formao, mestre em Engenharia de Sistemas e Computao pela COPPE/UFRJ, ps-graduada em Gerncia de Informtica e bacharel em Informtica pela UFV. Tambm atua como membro da Sociedade Brasileira de Computao e do Comit Brasileiro de Processamento de Dados da ABNT, que cria as normas sobre gesto da Segurana da Informao no Brasil; tem certificaes tcnicas na rea de segurana, redes e percia forense; alm de artigos publicados a nvel nacional e internacional com temas da nossa rea. E como no poderia deixar de ser, nas horas vagas, tambm concurseira, j tendo sido nomeada para assumir o cargo em vrios concursos, como Analista de Sistemas no SERPRO (2001 e 2005); Analista Judicirio (rea de Informtica) no Tribunal Regional Federal - 2 Regio (2003); Professora titular do Depto de Cincia da Computao do Instituto Federal de Educao, Cincia e Tecnologia (2010), Professora substituta do Depto de Cincia da Computao da UFJF (2011), dentre outros.Profs. Lnin e Patrcia

www.pontodosconcursos.com.br

1


O professor Alexandre Lnin Carneiro, 38 anos, Analista de Planejamento e Oramento do Ministrio do Planejamento, da rea de Tecnologia da Informao. Trabalha na Secretaria de Patrimnio da Unio Regional Gois, desenvolvendo projetos para integrao dos sistemas e gerao de informaes estratgicas para alinhamentos de polticas pblicas e patrimnio da Unio. Foi analista da Secretaria de Planejamento e Investimentos Estratgicos desenvolvimento e manuteno dos principais sistemas da Secretaria, participando dos grupos de trabalho da rea de Tecnologia da Informao e dos processos de contratao de servios de Tecnologia da Informao para o Ministrio, alm de participar da gesto tcnica do Portal do Planejamento. professor de informtica desde os 18 anos (1990), tendo lecionado em cursos tcnicos, graduao e ps-graduao. Tambm Mestre em Cincia da Computao pela UnB, com formao na rea de Inteligncia Artificial. No servio pblico, foi funcionrio do Serpro, Ibama e Receita Federal. Bem, passada a apresentao inicial, vamos detalhar nosso curso. Organizao do curso O curso abordar a maior parte do contedo listado no edital da prova de conhecimentos especficos para o cargo 1: ANALISTA FUNO ANALISTA DE SISTEMAS e est distribudo em 7 (sete) aulas contendo exerccios comentados especficos para este certame. O cronograma das aulas est ilustrado no quadro a seguir, sendo que a ordem das aulas poder ser modificada para adequar a necessidades didticas. AULA1

CONTEDOAnlise e Projeto de Sistemas - Anlise e projeto de sistemas; Anlise e projeto orientado a objetos com notao UML (Unified Modeling Language): conceitos gerais, diagrama de casos de uso, diagrama de classes, diagrama de estados; diagrama de colaborao/comunicao; diagrama de sequncia, diagrama de atividades, diagrama de componentes. Testes de Software Conhecimento de metodologias e tcnicas de testes: caixa branca, caixa preta, testes de regresso, testes unitrios, testes de integrao, de usabilidade e de desempenho. Segurana da Informao - Conceitos bsicos, Polticas de segurana da informao, Classificao de informaes, Anlise de vulnerabilidade, Plano de Continuidade de Negcio, Gesto de pessoas em segurana da informao, Normas e procedimentos de segurana, Controle de acesso lgico e fsico, Normas ISO 27001 e 27002, Ambientes de controles internos, Noes da Lei Sarbanes Oxley SOX.

2

Profs. Lnin e Patrcia


2


AULA3

CONTEDOConhecimentos bsicos de redes de computadores Arquiteturas e topologias de redes de computadores. Fundamentos de comunicao de dados. Meios fsicos de transmisso. Elementos de interconexo de redes de computadores (gateways, hubs, repetidores, bridges, switches, roteadores). Tecnologias de redes locais e de longa distncia. Protocolos: IPv4, TCP, UDP, IPSec, ARP, SNMP, SSH, DNS, DHCP, SMTP, HTTP, FTP, LDAP, H.323, SIP; Gateways de aplicao; NAT; Qualidade de servio (QoS). Processos de Metodologias de Desenvolvimento - Princpios de Engenharia de Software; Processos de Software engenharia de sistemas e da informao; Engenharia de Requisitos; Especificao de Casos de Uso; Manuteno; Modelos de ciclo de vida; Processo de desenvolvimento de software unificado Unified Process; MPS.BR (Melhoria de Processo do Software Brasileiro), CMMI (Capability Maturity Model Integration) para desenvolvimento (Gerncia e desenvolvimento de Requisitos; Soluo Tcnica; Integrao do Produto.

4

5

Programao e Estrutura de Dados - Constantes e variveis; Expresses lgicas, aritmticas e literais; Comandos de entrada e sada; Estruturas sequenciais, condicionais e de repetio, Vetores e Matrizes; Registros; Listas lineares, Pilhas, Filas e Deques; Estruturas em rvores; Algoritmos e estrutura de dados Complexidade de algoritmo; rvores balanceadas; Busca e ordenao; Pesquisa e hashing; Programao estruturada; Modularizao; Subrotinas (passagem de parmetros por referncia e valor); Escopo de Variveis; Tipos de dados (vinculao; verificao de tipos; tipificao forte); Acoplamento e coeso; Programao orientada a objetos (conceitos de orientao por objetos, herana, polimorfismo, atributo, encapsulamento). Banco de Dados - Conceitos: Padro ANSI para arquitetura de SGBD; Modelo relacional de dados; Formas normais, Transao. Modelo de Dados: Entidades; Atributos; Relacionamentos; Cardinalidade; Generalizao e especializao de entidades; Tipos de dados; Criao de domnios; Criao de tabelas; Manipulao de dados (insert, update, delete); Clusula select; Expresses condicionais (operadores, IS, BETWEEN, LIKE, IN, MATCH, ALL, ANY, EXISTS, UNIQUE); Subqueries; Vises (atualizao de dados); Restries (de domnio, chave candidata, chave estrangeira, definidas para tabela, assertivas). Tecnologias de sistemas de informao Workflow, datamining, datawarehouse, ERP, ECM, CRM, SCM e SOA. Conceitos de armazenamento de dados - Conceitos de Storage Area Networks (SAN) e Network Attached Storage (NAS); Protocolos Common Internet File System (CIFS) e Network File System (NFS); Redundant Array of Inexpensive Disks (RAID); Backup: Polticas de backup; Tipos de backup; (completo, incremental e diferencial).

6

7



3


As demais aulas esto estruturadas conforme o quadro anterior, dando nfase aos contedos de MAIOR RELEVNCIA a este certame. Impossvel esgotar todo o contedo em questes, mas trabalharemos as ltimas questes cobradas pela banca e em algumas aulas daremos um reforo terico para reforar os conceitos. Nas demais sete aulas de Tecnologia da Informao sero apresentadas mais de 175 questes (em mdia teremos cerca de 25 questes por aula) a fim de familiarizar voc com o estilo de questes normalmente utilizado pela banca. Cabe destacar que, sempre que for necessrio, apresentaremos questes de outras bancas (como CESPE, FGV, CESGRANRIO, FCC e ESAF) para complementar ou mesmo para introduzir um determinado contedo. Sempre que fizermos isso ser levando em conta o formato e a profundidade das questes de informtica que costumamos encontrar nas provas da FUMARC. Por fim, para aqueles que venham a se matricular no curso, ainda teremos o frum para troca de informaes e/ou esclarecimento de dvidas que porventura surgirem. Crticas e/ou sugestes so bem-vindas! Grande abrao, Patrcia e Lnin ATENO: esta uma aula demonstrativa para que voc possa avaliar o nosso trabalho. Para esta demonstrao, selecionamos tpicos constantes do edital do concurso.



4


SEGURANA DA INFORMAO Nesta aula demonstrativa, faremos um complemento terico sobre os conceitos bsicos e resolveremos algumas questes de segurana para demonstrar nossa forma de trabalho. 1. Conceitos de Segurana da Informao Segundo a norma ABNT NBR ISO/IEC 27.002, a informao um ativo que, como qualquer outro ativo importante, essencial para os negcios de uma organizao e consequentemente necessita ser adequadamente protegida. (...) Segurana da informao a proteo da informao de vrios tipos de ameaas para garantir a continuidade do negcio, minimizar o risco ao negcio, maximizar o retorno sobre os investimentos e as oportunidades de negcio. H um ditado popular, muito citado pelos especialistas em segurana, que diz que nenhuma corrente mais forte do que o seu elo mais fraco. De nada adianta uma corrente ser a mais resistente de todas se existe um elo que fraco. claro que a resistncia da corrente ser a resistncia do elo mais fraco e no dos demais. Se a corrente passar por um teste de esforo, certamente o elo que partir ser o mais fraco. Essa mesma ideia aplica-se ao contexto da informao. Quando precisamos garantir a segurana da informao, precisamos eliminar os elos fracos do ambiente em que a informao est armazenada. J que eliminar, neste contexto sempre difcil, ento buscamos sempre reduzir ao mximo os riscos de que a segurana da informao seja violada. Podemos afirmar que a informao um dos ativos mais valiosos de uma organizao ou uma pessoa. Informao, aqui, considerada como qualquer dado que tenha valor para uma organizao ou pessoa. um diferencial competitivo e, nesse sentido, a Segurana da Informao preocupa-se com a proteo deste patrimnio com claro intuito de preservar o valor que ele possui. Mas observe que, apesar de sempre pensarmos em segurana da informao como segurana de computadores, no se trata da mesma coisa. A segurana da informao mais ampla envolvendo outros aspectos da proteo s informaes, desde a segurana fsica dos prdios at aos mecanismos para evitar a interrupo dos negcios em caso de catstrofe. Normalmente queremos proteger os dados e nos esquecemos de que as pessoas que manipulam os dados esto envolvidas no processo. No adianta assegurar que os sistemas informatizados esto seguros nem que o acesso aos equipamentosProfs. Lnin e Patrcia


5


est controlado, se as pessoas que acessam a informao no participam do processo de segurana e revelam os dados a terceiros no autorizados, no cuidam das cpias impressas, no se preocupam com as senhas e outros detalhes importantes para manter os ativos seguros. Era mais fcil perceber o envolvimento das pessoas no tempo em que informaes eram armazenadas em papel, quando no existiam os sistemas computadorizados. Naquela poca, bastava guardar o material em um local seguro (como um cofre) e no permitir a presena de pessoas no autorizadas neste local. Assim, somente as pessoas com acesso informao ou sala onde ela estava armazenada seriam os elos fracos da corrente. Mas hoje, com os sistemas informatizados, envolvidos com o armazenamento e processamento das informaes, no podemos restringir um grupo de pessoas ao conjunto de elos fracos. Agora, com a expanso da conectividade, todas as pessoas devem preocupar-se com a segurana. Basta uma delas permitir que algum conhea uma forma de acessar o sistema para que a segurana seja quebrada. Pior ainda, depois da Internet, nem mais preciso que a pessoa permita ou colabore, mas que o ponto de entrada para os sistemas no esteja adequadamente protegido. Por isso cada vez mais as organizaes e os indivduos esto preocupados com os mecanismos de proteo da informao. Especialmente porque os sistemas de computao possuem fragilidades conhecidas de todos. Voc j sabe que um simples e-mail pode conter um programa aparentemente inocente, mas que abre uma porta dos fundos para agentes interessados em obter informaes no autorizadas. Conhecer segurana da informao , sem dvida, importante para todos, empresas e pessoas. Observe que apesar de os conceitos de segurana da informao e segurana computacional estarem interligados, existe uma diferena bsica: enquanto a segurana informtica pretende proteger sistemas informticos (aplicaes, base de dados, sistemas operacionais), a segurana da informao pretende proteger a informao crtica de negcio nos seus vrios formatos (documentos em papel, base de dados, etc.). comum usar o termo de segurana da informao quando queremos tratar de segurana computacional, j que esta est inserida naquela. Mesmo sabendo esta diferena, no vamos brigar com a banca! Vamos estudar segurana da informao, abordando-a com a viso da informtica! A segurana da informao obtida a partir da implementao de um conjunto de controles adequados, incluindo polticas, processos, procedimentos, estruturas organizacionais e funes de software e hardware. Estes controles precisam ser estabelecidos, implementados, monitorados, analisados criticamente e melhorados,Profs. Lnin e Patrcia


6


onde necessrio, para garantir que os objetivos do negcio e de segurana da organizao sejam atendidos. Convm que isto seja feito em conjunto com outros processos de gesto do negcio. (ABNT: www.abnt.org.br) J percebemos que a informao, os processos e os sistemas so ativos importantes para uma organizao. Ento, uma concluso natural a necessidade de trabalhar a segurana da informao de modo a garantir a competitividade, o fluxo de caixa, a lucratividade, o atendimento aos requisitos legais e a imagem da organizao junto ao mercado. Mas tambm notrio que todos os ativos descritos at aqui esto expostos a diversos tipos de ameaas segurana da informao, incluindo fraudes eletrnicas ou no, espionagem, sabotagem, vandalismo, incndio e outras. Sem contar as inmeras ameaas virtuais, cada dia mais presentes nos ambientes computacionais: vrus, invases de redes, escutas no autorizadas, cavalos de troia etc. Independente do pblico a que estamos nos referindo organizaes pblicas, privadas ou pessoas fsicas no h como refutar a importncia da segurana da informao. Podemos afirmar que a funo da segurana da informao viabilizar os negcios, tanto pblicos (governo eletrnico), quanto privados (como o comrcio eletrnico), e reduzir os riscos mais importantes. Agora, vale observar que muitos sistemas de informao no foram construdos para serem seguros. Concorda? So feitos por seres humanos sujeitos a falhas e muitos deles projetados com base em tecnologias que ficam ultrapassadas em pouco tempo. Por isso, a gesto eficaz e os procedimentos adequados devem ser considerados to importantes quanto as prprias tcnicas de proteo computacional. Neste contexto, um bom planejamento essencial para o sucesso da implementao. A base para o sucesso da empreitada , com certeza, a participao de todos os colaboradores da organizao e, em especial, o apoio e comprometimento da alta direo. Princpios de segurana da informao Ao estudarmos o tema, deparamo-nos com alguns princpios norteadores, segundo os padres internacionais. Dentre estes princpios, podemos destacar a trade CID Confidencialidade, Integridade e Disponibilidade. Estes trs atributos orientam a anlise, o planejamento e a implementao da segurana da informao nas organizaes. Segundo a norma ABNT-ISO-IEC 27001, adicionalmente outras propriedades, tais comoProfs. Lnin e Patrcia


7


autenticidade, responsabilidade, no repdio e confiabilidade, podem tambm estar envolvidas. Estudemos, primeiramente, as trs propriedades que fazem parte do conceito de segurana da informao. Confidencialidade: preocupa-se com quem acessa as informaes. Dizemos que existe confidencialidade quando somente as pessoas autorizadas possuem acesso informao. Quando contamos um segredo a algum - fazemos uma confidncia - estamos dando acesso informao. Mas no queremos que outras pessoas tenham acesso ao segredo, exceto a pessoa a quem estamos contando. Em outras palavras, a confidencialidade protege as informaes de uma eventual revelao a algum no autorizado. Observe que esta proteo no se aplica apenas informao em sua forma digital; aplica-se a quaisquer mdias onde a informao esteja armazenada: CD, DVD, mdia impressa, entre outros. Alm disso, nem mesmo uma pequena parte da informao poder ser violada. A informao deve ser completamente protegida contra acessos indevidos. Se pensarmos, como exemplo, na Internet, onde os dados trafegam por vrios caminhos e passam por diversas redes de computadores at chegarem ao destino, a confidencialidade deve garantir que os dados no sero vistos nem copiados por agentes no autorizados durante todo o percurso que realizarem na grande rede mundial. Integridade: a informao deve manter todas as caractersticas originais durante sua existncia. Estas caractersticas originais so as estabelecidas pelo proprietrio da informao quando da criao ou manuteno da informao (se a informao for alterada por quem possui tal direito, isso no invalida a integridade). Existem vrios exemplos de ataques feitos integridade da informao: alterao em mensagens que trafegam na rede; modificao de sites da Internet; substituio de textos impressos ou em mdia digital etc. Em resumo, a integridade o princpio da proteo da informao contra a criao ou modificao no autorizada. A violao da integridade pode estar relacionada com erro humano, por atos dolosos ou no. Esta violao pode tornar a informao sem valor ou, at, perigosa, especialmente se a violao for uma alterao da informao, o que pode levar a decises equivocadas e causadoras de prejuzos. A quebra de integridade pode ser considerada sob 2 aspectos: 1. alteraes nos elementos que suportam a informao so feitas alteraes na estrutura fsica e lgica em que umaProfs. Lnin e Patrcia


8


informao est armazenada. Por exemplo quando so alteradas as configuraes de um sistema para ter acesso a informaes restritas; 2. alteraes do contedo dos documentos: ex1.: imagine que algum invada o notebook que est sendo utilizado para realizar a sua declarao do Imposto de Renda deste ano, e, momentos antes de voc envi-la para a Receita Federal a mesma alterada sem o seu consentimento! Neste caso, a informao no ser transmitida da maneira adequada, o que quebra o princpio da integridade; ex2: Figura 1). alterao de sites por hackers (vide

Figura 1. Site que teve seu contedo alterado indevidamente (Fonte: http://www.attrition.org) Disponibilidade: garante que a informao esteja sempre disponvel quando um usurio autorizado quiser acessar. A informao est l quando for necessrio recuperla. Claro que no consiste em uma violao da disponibilidade as interrupes dos servios de acesso de forma autorizada ou programada, como nos casos de manuteno preventiva do sistema. A disponibilidade aplica-se informao e aos canais de acesso a ela. Veja o quadro a seguir. Resumimos os trs princpios bsicos em segurana da informao.



9


Segurana da Informao Princpio bsico Conceito Propriedade de que a informao no esteja disponvel ou revelada a indivduos, entidades ou processos no autorizados. Propriedade de salvaguarda da exatido e completeza de ativos. Propriedade de estar acessvel e utilizvel sob demanda por uma entidade autorizada. Objetivo

Confidencialidade

Proteger contra o acesso no autorizado, mesmo para dados em trnsito.

Integridade

Proteger informao contra modificao sem permisso; garantir a fidedignidade das informaes. Proteger contra indisponibilidade dos servios (ou degradao); garantir aos usurios com autorizao, o acesso aos dados.

Disponibilidade

Vale ressaltar que os atributos confidencialidade e disponibilidade possuem algo em comum: a restrio de estar acessvel apenas aos autorizados. Mas observe que a confidencialidade apenas isto, enquanto a disponibilidade foca em poder acessar quando se deseja, ou seja, estar l quando for preciso. Podemos dizer assim: a confidencialidade o segredo e a disponibilidade poder acessar o segredo quando quiser. Vejamos outros atributos importantes: Autenticidade: a garantia da identidade de quem acessa as informaes, seja uma pessoa, entidade ou sistema. a garantia da veracidade da fonte que acessa as informaes. por meio da autenticao que se confirma a identidade da pessoa ou entidade que presta ou acessa as informaes. A autenticao est relacionada com a garantia de que a comunicao realizada autntica. Se pensarmos em uma mensagem simples, como uma mensagem telefnica (SMS), um email, ou similar, a autenticao deve garantir a quem recebe a mensagem que quem enviou quem est informado na mensagem. J no caso de uma transao que acontece em tempoProfs. Lnin e Patrcia


10


real, como nas conexes bancrias, a autenticidade deve garantir que ambos os participantes so quem alegam ser. No iramos querer garantir que somos realmente o correntista do banco, sem ter a certeza de que do outro lado quem nos ouve realmente o banco! No-repdio (irretratabilidade): a garantia de que no se possa negar a autoria de uma ao. Por exemplo, a garantia de que algum no poder dizer que no foi ele quem enviou o tal email, ou que apagou tal informao ou que no recebeu o comunicado. O no-repdio importante para a validade jurdica de documentos e operaes no mundo digital. claro que depende de outros atributos da segurana, especialmente a Autenticidade e Integridade, ou seja, s poderemos ter o no-repdio se pudermos garantir a origem da mensagem e que a mesma no foi alterada. Confiabilidade: a garantia de que um sistema funcionar de forma eficiente e eficaz, atendendo s especificaes de suas funcionalidades, dentro de condies definidas. Legalidade: aderncia do sistema legislao. Auditoria: a possibilidade de rastrear o histrico dos eventos de um sistema para determinar quando e onde ocorreu uma violao de segurana, bem como identificar os envolvidos nesse processo. Privacidade: diz respeito ao direito fundamental de cada indivduo de decidir quem deve ter acesso aos seus dados pessoais. A privacidade a capacidade de um sistema manter incgnito um usurio (capacidade de um usurio realizar operaes em um sistema sem que seja identificado), impossibilitando a ligao direta da identidade do usurio com as aes por este realizadas. Privacidade uma caracterstica de requerida, por exemplo, em eleies secretas.

segurana

Uma informao privada deve ser vista, lida ou alterada somente pelo seu dono. Esse princpio difere da confidencialidade, pois uma informao pode ser considerada confidencial, mas no privada.



11


QUESTES DA AULA DEMONSTRATIVA 1. (FUMARC - 2010 - CEMIG-TELECOM - Analista de TI Jnior) Observe as afirmativas abaixo sobre segurana de dados na Internet: I. A Internet tem permitido atos de violncia fsica ou psicolgica, intencionais e repetidos, praticados com o objetivo de intimidar ou agredir outro indivduo (ou grupo de indivduos) incapaz de se defender. II. A Internet inundada por e-mails alarmantes ou falsos, tambm conhecidos como lendas urbanas, que simulam notificaes de rgos governamentais ou empresas idneas, e tm por objetivo causar falsos alardes ou propagar vrus, causando embaraos ao usurio. III. Destinatrios de e-mail tentam se passar por uma pessoa ou entidade confivel, como com o objetivo de obter dados pessoais ou informaes privilegiadas do usurio. As afirmativas I, II e III descrevem, respectivamente, conceitos de: a) bullying, hoax e phishing scams b) hoax, spoofing e spam c) trojan horse, spoofing e phishing scam d) spam, bullying e trojan horse Comentrios Vamos responder esta questo analisando todos os itens. I) O assunto abordado aqui est em ampla discusso no Brasil e no mundo. Trata-se do bullying (do ingls bully, "tiranete" ou "valento"). Bullying so todas as formas de atitudes agressivas intencionais e repetitivas que ridicularizam o outro. Atitudes como comentrios maldosos, apelidos ou gracinhas que caracterizam algum, e outras formas que causam dor e angstia, e executados dentro de uma relao desigual de poder que so caractersticas essenciais que tornam possvel a intimidao da vtima. II) Esta a descrio do hoax ("embuste" em uma traduo literal, ou farsa). III) Aqui encontramos o phishing scams. Phishing Scam um tipo de fraude eletrnica projetada para roubar informaes particulares que sejam valiosas para cometer um roubo ou fraude posteriormente. O golpe de phishing realizado por uma pessoa mal-intencionada atravs da criao de um website falso e/ou do envio de uma mensagem eletrnica falsa, geralmente um e-mail ou recado atravs de scrapbooks como no stio Orkut, entre outros exemplos. Utilizando de pretextos falsos, tenta enganar o receptor da mensagem e induzi-lo a fornecer informaes sensveis (nmeros de cartes de crdito, senhas, dados de contas bancrias, entre outras). As duas figuras seguintes apresentam iscas (e-mails) utilizadas emProfs. Lnin e Patrcia


12


golpes de phishing, uma envolvendo o Banco de Brasil e a outra o Serasa.

Figura. Isca de Phishing Relacionada ao Banco do Brasil

Figura. Isca de Phishing Relacionada ao SERASA A palavra phishing (de fishing) vem de uma analogia criada pelos fraudadores, em que iscas (e-mails) so usadas para pescar informaes sensveis (senhas e dados financeiros, por exemplo) de usurios da Internet. Atualmente, este termo vem sendo utilizado tambm para se referir aos seguintes casos: mensagem que procura induzir o usurio instalao de cdigos maliciosos, projetados para furtar dados pessoais e financeiros; mensagem que, no prprio contedo, apresenta formulrios para o preenchimento e envio de dados pessoais e financeiros de usurios. A partir da anlise dos trs itens, temos a sequncia descrita na letra A. Gabarito: letra A.Profs. Lnin e Patrcia


13


2. (FUMARC - 2010 - CEMIG-TELECOM - Analista de TI Jnior-Adaptada) De acordo com a norma ISO 17799 (renumerada para NBR ISO/IEC 27002:2005), assinale a alternativa que descreve corretamente um fator crtico de sucesso para a implantao da segurana da informao dentro de uma organizao: a) Anlise/avaliao e gesto de risco, por parte dos diretores da organizao, para avaliar os pontos de falha no cumprimento das polticas de segurana da informao e propor melhorias nos processos organizacionais de gesto de incidentes de segurana da informao. b) Comprometimento e apoio visvel dos funcionrios da organizao, engajados na determinao e no cumprimento das polticas de segurana da informao, objetivos e atividades, que reflitam os objetivos do negcio. c) Prover mecanismos para alocao emergencial de recursos financeiros para as atividades de combate a incidentes de segurana da informao atravs da contratao de auditoria especializada. d) Divulgao eficiente da segurana da informao, incluindo a distribuio de diretrizes e normas sobre a poltica de segurana da informao, para todos os gerentes, funcionrios e outras partes envolvidas para se alcanar a conscientizao. Comentrios Item A. Tornou-se falso ao destacar que a anlise/avaliao e gesto de riscos realizada por parte dos diretores (Eles iro receber o resultado dessa anlise!). Item falso. Item B. A determinao das polticas de segurana no realizada por todos os funcionrios. Item falso. Item C. A segurana deve trabalhar de maneira pr-ativa, e no reativa. Deve ser feito um planejamento organizado, para alocao dos recursos, e no necessria a contratao de auditoria especializada para lidar com alocao emergencial de recursos. Item falso. Item D. Dentre os itens mencionados na questo, merece destaque o listado na assertiva D que menciona como fator crtico de sucesso a divulgao (propaganda) da segurana da informao para todos os gestores e demais funcionrios, alm das partes envolvidas com ativos da instituio, como fornecedores, terceirizados, etc. Gabarito: letra D. As questes 3 e 4 objetivam trazer um contedo ainda no abordado ou acrescentar mais informaes tericas.



14


3. (CESPE - 2010 - TRE-BA - Analista Judicirio - Anlise de Sistemas/Segurana da Informao) Com relao segurana da informao, julgue o item seguinte. Um ativo, segundo a norma ISO/IEC 27002, qualquer elemento que tenha valor para a organizao. Os ativos fornecem suporte aos processos de negcios, portanto, devem ser protegidos. Um dos agrupamentos que os ativos podem assumir informaes, hardware, software, ambiente fsico e pessoas. Comentrios Segundo Smola (2003), ativo tudo aquilo que tem um valor significativo para a empresa. So os elementos que compem e processam a informao, incluindo ela mesma. O termo ativo tem origem na rea financeira, podendo ser descrito como um elemento de valor para um indivduo ou empresa, e, portanto, merece ser protegido. Exemplificando, os ativos seriam as informaes, equipamentos, usurios, aplicaes, ambientes fsicos e processos de apoio. A norma ABNT NBR ISO/IEC 27002, destaca vrios tipos de ativos, como: a) ativos de informao: base de dados e arquivos, contratos e acordos, documentao de sistema, informaes sobre pesquisa, manuais de usurio, material de treinamento, procedimentos de suporte ou operao, planos de continuidade do negcio, procedimentos de recuperao, trilhas de auditoria e informaes armazenadas; b) ativos de software: aplicativos, sistemas, ferramentas de desenvolvimento e utilitrios; c) ativos fsicos: equipamentos computacionais, equipamentos de comunicao, mdias removveis e outros equipamentos; d) servios: servios de computao e comunicaes, utilidades gerais, por exemplo aquecimento, iluminao, eletricidade e refrigerao; e) pessoas e suas qualificaes, habilidades e experincias; f) intangveis, organizao. tais como a reputao e a imagem da



15


Figura. Ativos (TECHNET, 2006) Gabarito: item certo. 4. (FUNIVERSA - 2010 - MPE-GO - Tcnico de Informtica) Segurana da informao e segurana de redes de computadores so temas relativamente recentes da rea da Cincia da Computao e tm como principal motivao os crescentes ataques s redes, em especial aquelas conectadas Internet. O nome do equipamento de rede utilizado para restringir o acesso a uma rede de computadores, evitando assim um ataque indesejado, a) gateway. b) firewall. c) roteador. d) switch. e) chaveador. Comentrios Esta questo no da banca organizadora deste concurso, mas interessante para demonstrao de uma questo direta que podemos usar para complementar a teoria. A banca trouxe uma funcionalidade do equipamento chamado firewall. Em poucas palavras, o firewall um sistema para controlar o acesso s redes de computadores, e foi desenvolvido para evitar acessos no autorizados em uma rede local ou rede privada de uma corporao. Pode ser desde um software sendo executado no ponto de conexo entre as redes de computadores ou um conjunto complexo de equipamentos e softwares. A norma internacional sobre o tema (RFC 2828) define o termo firewall como sendo uma ligao entre redes de computadores que restringem o trfego de comunicao de dados entre a parte da rede que est dentro ou antes do firewall, protegendo-a assim das ameaas da rede de computadores que est fora ou depois doProfs. Lnin e Patrcia


16


firewall. Esse mecanismo de proteo geralmente utilizado para proteger uma rede menor (como os computadores de uma empresa) de uma rede maior (como a Internet).

Um firewall deve ser instalado no ponto de conexo entre as redes, onde, atravs de regras de segurana, controla o trfego que flui para dentro e para fora da rede protegida. Deve-se observar que isso o torna um potencial gargalo para o trfego de dados e, caso no seja dimensionado corretamente, poder causar atrasos e diminuir a performance da rede. Gabarito: item B. A questo 5 um exemplo de questo que objetiva fixar um determinado contedo j abordado na teoria ou em outra questo. Alm disso, aproveitamos o tema abordado pela questo para acrescentar ou destacar um ponto que consideramos importante. 5. (FUNIVERSA - 2009 - PC-DF - Agente de Polcia) O Windows Vista um sistema operacional desenvolvido pela Microsoft para uso em computadores pessoais, incluindo computadores residenciais e de escritrios, laptops, Tablet PC. Entre os recursos disponibilizados no Windows, tem-se uma linha de defesa principal, fundamental para proteger o computador contra muitos tipos de softwares mal- intencionados. Esse recurso chamado a) Windows Firewall. b) Windows Aero. c) Windows SuperFetch. d) Windows ReadyBoost. e) Windows SideShow. Comentrios Questo bem parecida com a anterior, que destaca claramente o conceito de firewall! Vrios objetivos para a segurana de uma rede de computadores podem ser atingidos com a utilizao de firewalls.Profs. Lnin e Patrcia


17


Dentre eles destacam-se: segurana: evitar que usurios externos, vindos da Internet, tenham acesso a recursos disponveis apenas aos funcionrios da empresa autorizados. Com o uso de firewalls de aplicao, pode-se definir que tipo de informao os usurios da Internet podero acessar (somente servidor de pginas e correio eletrnico, quando hospedados internamente na empresa); confidencialidade: pode ocorrer que empresas tenham informaes sigilosas veiculadas publicamente ou vendidas a concorrentes, como planos de ao, metas organizacionais, entre outros. A utilizao de sistemas de firewall de aplicao permite que esses riscos sejam minimizados; produtividade: comum os usurios de redes de uma corporao acessarem sites na Internet que sejam improdutivos como sites de pornografia, piadas, chat etc. O uso combinado de um firewall de aplicao e um firewall de rede pode evitar essa perda de produtividade; performance: o acesso Internet pode tornar-se lento em funo do uso inadequado dos recursos. Pode-se obter melhoria de velocidade de acesso a Internet mediante controle de quais sites podem ser visitados, quem pode visit-los e em que horrios sero permitidos. A opo de gerao de relatrios de acesso pode servir como recurso para anlise dos acessos. Gabarito: letra A. A questo 6 ainda sobre Firewall um exemplo de questo que aponta uma dica, macete ou busca chamar a ateno para pontos duvidosos e pegadinhas. importante destacar que a FUMARC possui poucas questes sobre os assuntos presentes neste edital e, por isso, em diversos momentos usaremos questes de outras bancas. 6. (CESPE/2010/EMBASA/Analista de Saneamento/Analista de Tecnologia da Informao Desenvolvimento) O princpio da autenticao em segurana diz que um usurio ou processo deve ser corretamente identificado. Alm disso, todo processo ou usurio autntico est automaticamente autorizado para uso dos sistemas. Comentrios Cuidado aqui! A segunda parte da afirmao est incorreta. Um usurio ou processo (programa) autenticado no est automaticamente apto para uso dos sistemas. Isto depender do nvel de acesso que ele possuir. possvel, por exemplo, que um usurio tenha permisso apenas para visualizar a caixa deProfs. Lnin e Patrcia


18


mensagens dele ou, ainda, para ler os arquivos de sua pasta particular. Gabarito: item ERRADO. A questo 7 um exemplo de questo de fixao. Aborda um assunto diretamente mas pode exigir um trabalho de deduo da resposta correta. Nem sempre o contedo abordado pela questo est explcito na teoria ou demais questes. 7. (CESPE/2010/TRE-BA/Tcnico Judicirio rea Administrativa) Uma das formas de bloquear o acesso a locais no autorizados e restringir acessos a uma rede de computadores por meio da instalao de firewall, o qual pode ser instalado na rede como um todo, ou apenas em servidores ou nas estaes de trabalho. Comentrios O Firewall uma das ferramentas da segurana da informao, que interage com os usurios de forma transparente, permitindo ou no o trfego da rede interna para a Internet, como da Internet para o acesso a qualquer servio que se encontre na rede interna da corporao e/ou instituio. Desta forma todo o trfego, tanto de entrada como de sada em uma rede, deve passar por este controlador que aplica de forma implcita algumas das polticas de segurana adotadas pela corporao. Gabarito: item CERTO. As questes 8 e 9 so questes adaptadas. Em muitos casos, optamos por resolver questes bem elaboradas pela banca do concurso (ou por outra banca de renome), mas que originalmente est em formato diferente do desejado ou que contm informaes desatualizadas. Nestes casos, faremos a atualizao dos dados ou da forma da questo e anotaremos no incio da questo a palavra ADAPTADA. 8. (ADAPTADA CESPE / 2010 / UERN /Agente Tcnico Administrativo) Uma das formas de se garantir a segurana das informaes de um website no coloc-lo em rede, o que elimina a possibilidade de acesso por pessoas intrusas. Comentrios Negativo. Colocar um site fora da rede significa que ningum ter acesso via rede ao site, nem mesmo as pessoas autorizadas. Alm



19


disso, no se esquea dos acessos feitos localmente, direto na mquina onde o site est hospedado! Gabarito: item ERRADO. 9. (FGV/2008/SEFAZ-RJ/Fiscal de Rendas) Analise os casos descritos a seguir, referentes a fraudes envolvendo o comrcio eletrnico e Internet Banking. I. O usurio recebe um e-mail de um suposto funcionrio da instituio que mantm o site de comrcio eletrnico ou de um banco, que persuade o usurio a fornecer informaes sensveis, como senhas de acesso ou nmero de cartes de crdito. II. Um hacker compromete o DNS do provedor do usurio, de modo que todos os acessos a um site de comrcio eletrnico ou Internet Banking so redirecionados para uma pgina Web falsificada, semelhante ao site verdadeiro, com o objetivo de o atacante monitorar todas as aes do usurio, como a digitao de sua senha bancria. Nesta situao, normalmente o usurio deve aceitar um novo certificado (que no corresponde ao site verdadeiro), e o endereo mostrado no browser do usurio diferente do endereo correspondente ao site verdadeiro. III. O usurio recebe um e-mail, cujo remetente o gerente do seu banco e que contm uma mensagem que solicita a execuo pelo usurio de um programa anexo ao e-mail recebido, a ttulo de obter acesso mais rpido s informaes mais detalhadas em sua conta bancria. IV. O usurio utiliza computadores de terceiros para acessar sites de comrcio eletrnico ou de Internet Banking, possibilitando o monitoramento de suas aes, incluindo a digitao de senhas ou nmero de cartes de crdito, por meio de programas especificamente projetados para esse fim. Comentrios Engenharia Social uma tcnica em que o atacante (se fazendo passar por outra pessoa) utiliza-se de meios, como uma ligao telefnica ou e-mail, para PERSUADIR o usurio a fornecer informaes ou realizar determinadas aes. Exemplo: algum desconhecido liga para a sua casa e diz ser do suporte tcnico do seu provedor de acesso. Nesta ligao ele informa que sua conexo com a Internet est apresentando algum problema e, ento, solicita sua senha para corrigi-lo. Caso a senha seja fornecida por voc, este suposto tcnico poder realizar uma infinidade de atividades maliciosas com a sua conta de acesso Internet e, portanto, relacionando tais atividades ao seu nome. Vamos resoluo da questo:



20


Item I. A descrio envolve o uso da engenharia social, j que algum (via e-mail neste caso, poderia ser por telefone!) faz uso da persuaso, da ingenuidade ou confiana do usurio, para obter informaes como nmero do carto de crdito e senha do usurio. O item I VERDADEIRO. Item II. Nesse caso, como no houve contato entre o hacker e a vtima, o golpe no pode ser configurado como engenharia social. O golpe em destaque intitulado Pharming (tambm conhecido como DNS Poisoining - envenamento de DNS). O item II FALSO. isso mesmo pessoal!! Muita ateno neste tipo de golpe! O enunciado do item II o descreve claramente, e gostaria de complementar .... O Pharming um tipo de golpe bem mais elaborado que o Phishing, pois envolve algum tipo de redirecionamento da vtima para sites fraudulentos, atravs de alteraes nos servios de resoluo de nomes (DNS). Lembre-se de que no Pharming o servidor DNS do provedor do usurio comprometido, de modo que todos os acessos a um site de comrcio eletrnico ou Internet Banking so redirecionados para uma pgina Web falsificada, semelhante ao site verdadeiro, com o objetivo de o atacante monitorar todas as aes do usurio, como a digitao de sua senha bancria. Exemplo: pode envolver alterao, no servidor DNS, do endereo IP associado ao endereo www.bradesco.com.br para que aponte para um site rplica do banco Bradesco. Item III. Novamente, o usurio recebe uma mensagem do suposto gerente do banco, induzindo-o a executar um programa qualquer. O item III VERDADEIRO. Item IV. No h engenharia social neste caso. O item IV FALSO. Gabarito: item ERRADO. CONSIDERAES FINAIS Bem, chegamos ao final da aula demonstrativa. Mais uma dica: USE O FRUM!!! Um forte abrao a todos e esperamos vocs em breve participando de nossas aulas. timos estudos! Patrcia Quinto e Alexandre LninProfs. Lnin e Patrcia


21


- LISTA DAS QUESTES APRESENTADAS NA AULA 1. (FUMARC - 2010 - CEMIG-TELECOM - Analista de TI Jnior) Observe as afirmativas abaixo sobre segurana de dados na Internet: I. A Internet tem permitido atos de violncia fsica ou psicolgica, intencionais e repetidos, praticados com o objetivo de intimidar ou agredir outro indivduo (ou grupo de indivduos) incapaz de se defender. II. A Internet inundada por e-mails alarmantes ou falsos, tambm conhecidos como lendas urbanas, que simulam notificaes de rgos governamentais ou empresas idneas, e tm por objetivo causar falsos alardes ou propagar vrus, causando embaraos ao usurio. III. Destinatrios de e-mail tentam se passar por uma pessoa ou entidade confivel, como com o objetivo de obter dados pessoais ou informaes privilegiadas do usurio. As afirmativas I, II e III descrevem, respectivamente, conceitos de: a) bullying, hoax e phishing scams b) hoax, spoofing e spam c) trojan horse, spoofing e phishing scam d) spam, bullying e trojan horse 2. (FUMARC - 2010 - CEMIG-TELECOM - Analista de TI JniorAdaptada) De acordo com a norma ISO 17799 (renumerada para NBR ISO/IEC 27002:2005), assinale a alternativa que descreve corretamente um fator crtico de sucesso para a implantao da segurana da informao dentro de uma organizao: a) Anlise/avaliao e gesto de risco, por parte dos diretores da organizao, para avaliar os pontos de falha no cumprimento das polticas de segurana da informao e propor melhorias nos processos organizacionais de gesto de incidentes de segurana da informao. b) Comprometimento e apoio visvel dos funcionrios da organizao, engajados na determinao e no cumprimento das polticas de segurana da informao, objetivos e atividades, que reflitam os objetivos do negcio. c) Prover mecanismos para alocao emergencial de recursos financeiros para as atividades de combate a incidentes de segurana da informao atravs da contratao de auditoria especializada. d) Divulgao eficiente da segurana da informao, incluindo a distribuio de diretrizes e normas sobre a poltica de segurana da informao, para todos os gerentes, funcionrios e outras partes envolvidas para se alcanar a conscientizao.Profs. Lnin e Patrcia


22


3. (CESPE - 2010 - TRE-BA - Analista Judicirio - Anlise de Sistemas/Segurana da Informao) Com relao segurana da informao, julgue o item seguinte. Um ativo, segundo a norma ISO/IEC 27002, qualquer elemento que tenha valor para a organizao. Os ativos fornecem suporte aos processos de negcios, portanto, devem ser protegidos. Um dos agrupamentos que os ativos podem assumir informaes, hardware, software, ambiente fsico e pessoas. 4. (FUNIVERSA - 2010 - MPE-GO - Tcnico de Informtica) Segurana da informao e segurana de redes de computadores so temas relativamente recentes da rea da Cincia da Computao e tm como principal motivao os crescentes ataques s redes, em especial aquelas conectadas Internet. O nome do equipamento de rede utilizado para restringir o acesso a uma rede de computadores, evitando assim um ataque indesejado, a) gateway. b) firewall. c) roteador. d) switch. e) chaveador. 5. (FUNIVERSA - 2009 - PC-DF - Agente de Polcia) O Windows Vista um sistema operacional desenvolvido pela Microsoft para uso em computadores pessoais, incluindo computadores residenciais e de escritrios, laptops, Tablet PC. Entre os recursos disponibilizados no Windows, tem-se uma linha de defesa principal, fundamental para proteger o computador contra muitos tipos de softwares mal- intencionados. Esse recurso chamado a) Windows Firewall. b) Windows Aero. c) Windows SuperFetch. d) Windows ReadyBoost. e) Windows SideShow. 6. (CESPE/2010/EMBASA/Analista de Saneamento/Analista de Tecnologia da Informao Desenvolvimento) O princpio da autenticao em segurana diz que um usurio ou processo deve ser corretamente identificado. Alm disso, todo processo ou usurio autntico est automaticamente autorizado para uso dos sistemas. 7. (CESPE/2010/TRE-BA/Tcnico Judicirio rea Administrativa) Uma das formas de bloquear o acesso a locaisProfs. Lnin e Patrcia


23


no autorizados e restringir acessos a uma rede de computadores por meio da instalao de firewall, o qual pode ser instalado na rede como um todo, ou apenas em servidores ou nas estaes de trabalho. 8. (ADAPTADA CESPE / 2010 / UERN /Agente Tcnico Administrativo) Uma das formas de se garantir a segurana das informaes de um website no coloc-lo em rede, o que elimina a possibilidade de acesso por pessoas intrusas. 9. (FGV/2008/SEFAZ-RJ/Fiscal de Rendas) Analise os casos descritos a seguir, referentes a fraudes envolvendo o comrcio eletrnico e Internet Banking. I. O usurio recebe um e-mail de um suposto funcionrio da instituio que mantm o site de comrcio eletrnico ou de um banco, que persuade o usurio a fornecer informaes sensveis, como senhas de acesso ou nmero de cartes de crdito. II. Um hacker compromete o DNS do provedor do usurio, de modo que todos os acessos a um site de comrcio eletrnico ou Internet Banking so redirecionados para uma pgina Web falsificada, semelhante ao site verdadeiro, com o objetivo de o atacante monitorar todas as aes do usurio, como a digitao de sua senha bancria. Nesta situao, normalmente o usurio deve aceitar um novo certificado (que no corresponde ao site verdadeiro), e o endereo mostrado no browser do usurio diferente do endereo correspondente ao site verdadeiro. III. O usurio recebe um e-mail, cujo remetente o gerente do seu banco e que contm uma mensagem que solicita a execuo pelo usurio de um programa anexo ao e-mail recebido, a ttulo de obter acesso mais rpido s informaes mais detalhadas em sua conta bancria. IV. O usurio utiliza computadores de terceiros para acessar sites de comrcio eletrnico ou de Internet Banking, possibilitando o monitoramento de suas aes, incluindo a digitao de senhas ou nmero de cartes de crdito, por meio de programas especificamente projetados para esse fim. 1. 2. 3. 4. 5. Letra A. Letra D. Item CERTO. Letra B. Letra A. GABARITO 6. Item 7. Item 8. Item 9. Item ERRADO. CERTO. ERRADO. ERRADO.



24

aula0 ti prodemge 20224

Documents