Aula 00 Demonstrativa TCDF 2013 Cargo 8 Seguranca Da Informacao

Segurana Aula 00
TCDF Cargo 8 Teoria e Exerccios

Diego Ajukas
AULA 00: Segurana da Informao
Sumrio
1. Apresentao. ................................................................................................................................. 2
1.1. A Banca. ...................................................................................................................................... 2
1.2. Metodologia das aulas. ............................................................................................................... 3
2. Contedo programtico e planejamento das aulas (Cronograma) ................................................ 5
3. Conceitos e fundamentos de segurana ......................................................................................... 7
3.1. Confidencialidade ....................................................................................................................... 8
3.2. Integridade .................................................................................................................................. 9
3.3. Disponibilidade ......................................................................................................................... 10
3.4. Autenticidade ............................................................................................................................ 11
3.5. No-repdio ou Irretratabilidade ............................................................................................. 11
4. Controle de acesso ........................................................................................................................ 12
5. Segurana/Controles lgicos e fsicos ........................................................................................... 15
6. Mtodos de autenticao ............................................................................................................. 16
7. Exerccios de fixao. .................................................................................................................... 20
8. Lista das Questes Utilizadas na Aula. .......................................................................................... 23
9. Gabarito. ....................................................................................................................................... 26
Ol concurseiros,
Meu nome Diego Ajukas, sou professor de TI, mas especificamente das reas de Redes e
Segurana. Sou formado em Engenharia de Computao pelo ITA e desde que conclui minha
graduao venho me especializando na parte de Segurana de Redes, j tendo feito ps-
graduao e obtido diversas certificaes na rea.
Minha vida como professor comeou cedo. Primeiro com meu irmo mais novo no ensino
fundamental (o cabra dava trabalho...) e depois em aulas particulares de matemtica e
fsica no ensino mdio. Em seguida vieram os cursos preparatrios para vestibulares na
poca da faculdade. J formado e trabalhando, sempre que tinha oportunidade, participava
como instrutor em cursos internos, alm de monitoria em cursos de graduao.
Comecei a focar mais em concursos h alguns anos quando (assim como vrios servidores
pblicos) vim parar em Braslia. Na verdade, j vinha produzindo material para concursos,
www.tiparaconcursos.net Pgina 1 de 26
Segurana Aula 00
Diego Ajukas
mesmo antes de chegar capital do pas, mas de uma forma mais despretensiosa, para uso
pessoal e para ajudar aos colegas concurseiros.
De l pra c vim ganhando experincia, conhecendo as bancas e otimizando esse material.

Este ano tive a felicidade de receber o convite dos professores Gabriel Pacheco e Walter
Cunha para participar do tiparaconcursos.net e no medirei esforos nem pensarei duas
vezes antes de virar noites preparando o melhor material possvel para que vocs possam
obter a to sonhada aprovao.
Sem mais demora, vamos ao que interessa!
1. Apresentao.
1.1. A Banca.
A banca escolhida para realizao deste certame foi o Centro de Seleo e de Promoo de
Eventos, ou para os ntimos, CESPE!
Como sabido pela maioria, o CESPE uma das principais bancas, sendo responsvel por
diversos concursos todos os anos. Deste fato e de uma breve anlise dos anos anteriores
podemos tirar duas concluses importantes (Uma boa e outra no to boa).
A primeira e boa concluso que temos um grande espao amostral de questes para
trabalharmos. Veremos no nosso curso que provavelmente s as questes do ano de 2013
j sero suficientes para varrer grande parte do nosso contedo programtico.
Eventualmente, passaremos por questes de 2012 e 2011 para falar de assuntos que
constam neste edital e no so to cobrados ou que so recorrentes e que, portanto,
possuem grande chance de serem cobrados novamente.
A segunda e no to boa concluso que, justamente por essa necessidade de formular

novas questes, o CESPE vem mesclando assuntos na hora de cobr-los. Por isso, veremos
muitas questes de Redes com Sistemas Operacionais, Redes com Segurana e por a vai...
Portanto, senhores e senhoras, abram bem os olhos e a mente, despluguem da matrix

porque precisamos no s estar estudando todos os assuntos, mas tambm fazendo o
esforo mental de relaciona-los sempre que possvel. Como professor, me empenharei em
Segurana Aula 00
Diego Ajukas
ajuda-los nesta rdua tarefa, mas adianto que vocs sero os principais guerreiros nessa
batalha.
E para enfrentar os desafios que nos esperam preciso traar uma estratgia para super-
los: precisamos de uma boa metodologia de aprendizagem!
1.2. Metodologia das aulas.

a) Nossas aulas aqui no tiparaconcursos.net sero diretas, mas ao mesmo tempo
descontradas. Tentarei manter um padro de at 40 pginas por aula, dependendo
do assunto tratado, mas tentando sempre manter prximo a isso de modo a no
prejudicar o planejamento do aluno (que precisa estudar mais uma montanha de
contedos).
b) Como toda aula que preze por uma boa didtica, nossas aulas comearo com
algumas conceituaes sempre de forma objetiva, mas nunca deixando de prezar
pela completude. Logo em seguida aplicaremos os conhecimentos adquiridos em
uma srie de exerccios (alguns durante a teoria e outro ao final da aula),
evidenciando a maneira pela qual a matria cobrada nas provas.
c) Procuro sempre estudar o edital, o rgo, a banca, provas anteriores e tudo mais
que possa contribuir para definir o grau de abordagem dos assuntos. Assim, veremos
que no nosso curso alguns contedos sero abordados de forma mais bsica e
outros de forma mais aprofundada. Mas no se preocupem porque buscarei sempre
nivelar por cima. Nada do seu edital deixar de ser abordado.
d) Eu particularmente gosto muito de exerccios. So eles que vo gerar as conexes
neurais mais persistentes no nosso crebro e que sero responsveis por garantir
que lembraremos o assunto na hora da prova. importante estudar a teoria, mas
sem exerccios o aluno nunca saber como o assunto cobrado. Ainda, tentarei
colocar questes recentes e que abordem somente o j estudado, de modo tornar o
aluno apto a respond-la. Contudo, algumas questes que misturam diversos
contedos s apareceram no final de captulos ou do curso. Por isso resistam at o
final!!!
e) Outra dica importante quanto aos exerccios a maneira de encar-los. Logo abaixo
do enunciado, vm os comentrios do professor e s no final o gabarito da questo.
Segurana Aula 00
Diego Ajukas
Isso feito de propsito para que o aluno ao terminar de ler a questo no veja a
resposta logo na linha seguinte. IMPORTANTISSMO: Tentem responder a questo
antes de ler os comentrios!!! Se tiver dvida, volte teoria e tente mais uma vez.
Dessa forma, melhoramos muito nossa capacidade de absoro do contedo.
f) Por ltimo e no menos importante: prestem ateno as nossas dicas! Os
professores estudam, pesquisam, discutem e saem na porrada para dar a vocs
todos os atalhos e macetes mais sinistros de cada matria. Ento no desperdicem
essas valiosas informaes...
Segurana Aula 00
Diego Ajukas
2. Contedo programtico e planejamento das aulas (Cronograma)

Seguiremos nossas aulas de modo a abordar todos os tpicos do edital conforme elaborado
pela banca organizadora, fazendo os devidos rearranjos para garantir uma boa fluidez e um
bom entendimento do assunto.
Sempre que possvel, fecharemos um ou mais tpicos por aula de modo que o aluno no
precise esperar a prxima aula para concluir o raciocnio. Entretanto, alguns assuntos mais
extensos ou de maior relevncia podero ser abordados em duas aulas.
Cada um tem seu ritmo, ento verifiquem seu planejamento e encaixem nossas aulas em
suas agendas de modo a no acumular muita matria para os dias que antecedem a prova.
Aula Contedo a ser trabalhado
Aula 00
Apresentao do Curso e Metodologia a ser aplicada.
Demonstrativa
13/01/2014 Conceitos e fundamentos de segurana de rede.
Conceitos e fundamentos de controle de acesso.
Segurana fsica e lgica.
Mtodos de autenticao (senhas, tokens, certificados e

biometria).
Aula 01
Cpias de segurana (backup): tipos, ciclos e principais
27/01/2014
dispositivos e meios de armazenamento.
Preveno e combate de softwares maliciosos: vrus, worm,

cavalo-de-tria (trojan), spyware, adware, backdoors.
Aula 02
Conceito de DMZ.
10/02/2014
Conceito de filtragem de pacotes, NAT, PAT, VPN e dispositivos
de segurana (firewalls, IDS, IPS, proxies).
Segurana Aula 00
Diego Ajukas
Aula 03
Criptografia: conceitos bsicos e aplicaes.
17/02/2014
Sistemas criptogrficos simtricos e assimtricos e principais
protocolos.
Aula 04
Infraestrutura de chave pblica (PKI).
24/02/2014
E agora, finalmente, a parte boa: Nossa aula!!!
Segurana Aula 00
Diego Ajukas
3. Conceitos e fundamentos de segurana
Antes de falarmos sobre alguns conceitos de segurana de redes, precisamos entender os

conceitos de segurana de uma forma mais abrangente. Existem diversos ramos de estudo
da segurana que variam desde a segurana fsica (provavelmente uma das reas mais
antigas) at o conceito de segurana relacionado proteo da vida. Apenas para
exemplificar, em sistemas automotivos nos temos o security (segurana contra roubo,
alarmes, rastreamento GPS etc.) e safety (segurana contra acidentes, airbags, sistemas ABS
e EBD etc.).
O foco da Tecnologia da Informao : adivinhem? A informao. Tanto que na literatura

no incomum aparecer o termo Segurana da Informao. Desse modo, antes mesmo de
estudarmos os conceitos de segurana, preciso entender o que a informao.
O patrimnio de uma empresa composto pelo que chamamos de ativos e passivos. Os

ativos, de uma forma bem simples, representam todos os bens e direitos de uma empresa.
Fazem parte dos ativos as edificaes, o mobilirio, os produtos desenvolvidos (direitos
autorais etc.) e, claro, todas as informaes produzidas pela empresa. sempre
complicado dar valor as coisas, mas nos dias de hoje, as informaes produzidas pela
maioria das organizaes so provavelmente seus bens mais valiosos. Da a importncia que
cada vez mais vem se dando a segurana da informao.
Exerccio
1. (BASA TCNICO CIENTFICO SEGURANA DA INFORMAO 2012)
54 Ativo, em segurana da informao, refere-se aos itens financeiros que precisam ser
protegidos, pois representam valor para a organizao e devem ser preservados.
Comentrios: Os ativos de uma empresa, quando falamos em segurana da informao,

so em primeiro lugar as prprias Informaes. Podem ser arquivos, sistemas, bancos de
dados e por a vai. Esses ativos possuem alto valor para a empresa, mas normalmente
no so quantificados em termos financeiros. Os Recursos Humanos e Computacionais,
como hardware e software, tambm fazem parte dos ativos protegidos pela segurana da
informao. Questo Errada.
Segurana Aula 00
Diego Ajukas
No vamos entrar muito na parte referente gesto da segurana da informao, mas

importante que o aluno tenha sempre em mente que a proteo das informaes e do
conhecimento de uma empresa vital para a continuidade do negcio.
Aprofundando um pouco mais a parte tcnica, existem alguns conceitos chaves que,
dependendo de cada situao, so necessrios para que possamos proteger uma
informao. So esses os seguintes alicerces da segurana da informao:
Confidencialidade;
Integridade;
Autenticidade;
Disponibilidade;
Irretratabilidade ou No repdio.
Normalmente eles so cobrados nessa ordem de relevncia, isso porque inicialmente

falvamos apenas da trade CIA (os trs primeiros). Depois a literatura comeou a incluir o
quarto (de onde vem um mnemnico conhecido: DICA).
Na literatura atual, passivo o entendimento de que todos eles tm igual importncia. Para
memorizar, acho que cada um deve procurar o melhor mnemnico, j ouvi DICA ou DICA
No repdio, uma vez que esse ltimo costuma ser um pouco mais difcil de memorizar.
Um aluno uma vez deu uma sugesto baseada nos nome da apple: iDICA = Irretratabilidade
mais DICA. Fica a critrio de cada um =)
O importante ter todos esses conceitos e seus significados bem gravados na memria.
3.1. Confidencialidade
Veremos que muitos desses conceitos podem ser vistos por dois ngulos (e os dois so
cobrados em prova!). O Primeiro do lado de quem protege, ou seja, de quem est
preocupado com os ataques. E o segundo de quem efetivamente quer utilizar a
informao, o lado da garantia. Essa diferena fica mais clara medida que vamos definindo
cada principio da segurana da informao. Vamos ver o conceito de confidencialidade.
1 viso: Confidencialidade quando uma determinada informao protegida de acessos

no autorizados.
Segurana Aula 00
Diego Ajukas
2 viso: Confidencialidade quando uma determinada informao acessada somente por

aquele possuem tal autorizao.
Observem que esses dois conceitos so equivalente. Se eu tenho um, eu tambm tenho o
outro.
No geral, confidencialidade refere-se ao impedimento da divulgao de informaes s

pessoas ou sistemas no autorizados. Por exemplo, uma transao com carto de crdito na
Internet exige o nmero do carto de crdito a ser transmitido a partir do computador do
comprador ao sistema do comerciante, e do comerciante a uma rede de processamento de
transaes do banco ou da operadora do carto.
Todo esse sistema faz uso da confidencialidade, criptografando o nmero do carto durante
a transmisso, limitando os lugares onde ele pode aparecer (em bancos de dados, arquivos
de log, backups, recibos impressos, e assim por diante), e restringindo o acesso aos locais
onde ele armazenado. Se uma parte no autorizada obtm o nmero do carto de alguma
maneira, ocorre uma quebra de confidencialidade.
Definio de acordo com a ISO/IEC 27.001: propriedade de que a informao no esteja

disponvel ou revelada a indivduos, entidades ou processos no autorizados.
Exerccio
2. (MEC GERENTE DE SUPORTE 2011)
130 Confidencialidade requer que a informao no esteja disponvel ou revelada a pessoa

fsica, sistema, rgo ou entidade no autorizado e credenciado.
Comentrios: O examinador apenas escreveu o conceito de confidencialidade com outras

palavras. Questo Correta.
3.2. Integridade
Definimos integridade como a proteo contra uma modificao no autorizada, ou sobre

outra tica, a modificao somente pelas partes autorizadas.
Segurana Aula 00
Diego Ajukas
Na prtica, a integridade significa manter os dados, assegurando a preciso e a consistncia

sobre todo o seu o ciclo de vida. Isso significa que os dados no podem ser modificados de
forma no autorizada ou sem ser detectada.
A integridade violada quando uma mensagem ativamente modificada, tanto localmente

como em trnsito.
Definio de acordo com a ISO/IEC 27.001: propriedade de salvaguarda da exatido e

completeza de ativos.
3.3. Disponibilidade
Podemos definir disponibilidade como a garantia de que o acesso s informaes estar

disponvel s entidades autorizadas sempre que necessrio.
Agora vamos prestar bem ateno porque aqui onde as bancas mais gostam de pegar o
candidato. Isso devido ao fato que muitos fazem confuso entre os conceitos de
confidencialidade e disponibilidade. Observem que o foco da confidencialidade est no
contedo, enquanto que o da disponibilidade est na ao do acesso.
Para garantir a confidencialidade, precisamos de mecanismos que verifiquem a relao

sigilo das informaes versus nvel de acesso do usurio.
J para garantir a disponibilidade, necessrio que todo o sistema esteja funcionando e seja
utilizvel. Para isso, as informaes armazenadas por ele devem estar disponveis quando
forem necessrias. Isto significa que os sistemas de computao utilizados para armazenar e
processar as informaes, os sistemas usados para controlar a segurana, e os canais de
comunicao utilizados para acessar tais informaes devem estar funcionando
corretamente.
Sistemas de alta disponibilidade, por exemplo, permanecem disponveis em todos os

momentos, evitando interrupes de servio, devido falta de energia, falhas de hardware
e atualizaes do sistema. Assegurar a disponibilidade envolve tambm preveno de
ataques de negao de servio.
Uma dica importante pros concurseiros procurar por termos como sempre que
necessrio, sempre que preciso, sob demanda e por ai vai.
Segurana Aula 00
Diego Ajukas
Definio de acordo com a ISO/IEC 27.001: propriedade de estar acessvel e utilizvel sob
demanda por uma entidade autorizada.
3.4. Autenticidade
Para que tenhamos autenticidade, preciso que o remetente e/ou destinatrio sejam
sempre corretamente identificados.
Em segurana da informao, assim como nos negcios tradicionais, necessrio garantir

que todos os dados envolvidos em transaes, comunicaes ou documentos sejam
genunos. Alm disso, tambm importante confirmar que ambas as partes envolvidas so
quem eles dizem ser.
Alguns sistemas de segurana da informao incorporam recursos de autenticao, tais

como "assinaturas digitais", que do indcios de que os dados da mensagem so genunos e
foram enviados por algum que possua a chave de assinatura apropriada.
3.5. No-repdio ou Irretratabilidade
A maioria das normas utiliza o termo No repdio, mas comum encontramos tambm o
termo irretratabilidade. Mais importante que o termo utilizado, o conceito. Ento vamos
pra ele...
No repdio nada mais do que uma proteo contra rejeio de envio ou recebimento de
determinada informao.
Um exemplo claro do nosso dia a dia de ferramenta contra o no repdio o contrato.

Quando estabelecemos um contrato com uma empresa ou pessoa, estamos estabelecendo
os direitos e deveres de cada um. Se alguma parte se nega a fazer determinada ao
prevista em contrato, ser verificado se tal ao realmente est prevista e se ambas as
partes assinaram aquele documento.
Em um processo de comunicao entre usurios e/ou sistemas, implica que uma parte da
transao no pode negar ter recebido determinada informao e nem a outra parte pode
negar ter enviado.
Segurana Aula 00
Diego Ajukas
importante notar que, na tecnologia da informao, sistemas criptogrficos podem ajudar

nos esforos para garantia do no repdio. Em sua essncia um conceito jurdico que
transcende o domnio da tecnologia. Vamos ver a seguinte situao:
No , por exemplo, suficiente mostrar que a mensagem correspondente a uma assinatura

digital foi assinada com a chave privada de um remetente, para provar que s o remetente
poderia ter enviado a mensagem e ningum mais poderia t-la alterado em trnsito.
Em sua defesa, o suposto remetente pode demonstrar que o algoritmo de assinatura digital
vulnervel ou imperfeito, ou alegar que sua chave de assinatura foi comprometida.
A culpa por estas violaes pode ou no pode estar com o prprio remetente, e tais
afirmaes podem ou no aliviar o remetente da responsabilidade.
O fato que tal afirmao invalida a premissa de que a assinatura comprova

necessariamente a autenticidade e a integridade e, portanto, nesse caso no possvel
garantir o no repdio.
Com a explicao sobreo conceito de no repdio, fechamos essa parte introdutria, mas
voltaremos a falar dela quando estivermos estudando os sistemas criptogrficos, pois
atravs deles, conseguimos implementar vrios desses princpios (e tambm porque os
avaliadores adoram perguntar sobre isso).
4. Controle de acesso
Pode parecer bvio, mas a primeira coisa que precisamos saber para entender os
mecanismos de controle de acesso : porque eu preciso de controle de acesso. E a resposta
tambm bvia: o acesso as informaes protegidas deve ser restrito s pessoas que esto
autorizadas a acessar essas informaes.
Usurios, programas e, em muitos casos, os prprios computadores precisam ser

autorizados toda vez que forem acessar determinada informao protegida. Isso exige que
mecanismos sejam implementados para controlar o acesso a tal informao. A sofisticao
dos mecanismos de controle de acesso deve estar em paridade com o valor da informao a
ser protegida - quanto mais sensvel e valiosa for a informao, mais fortes precisam ser os
Segurana Aula 00
Diego Ajukas
mecanismos do controle de acesso. A base sobre a qual so construdos os mecanismos de

controle de acesso comea com a identificao e autenticao.
A identificao consiste em uma afirmao de algo ou algum dizendo quem ele . Por
exemplo, quando uma pessoa responde a pergunta qual o seu nome? ela na verdade
est fazendo uma reivindicao a uma determinada identidade. No entanto, essa
reivindicao pode ou no ser verdade. Antes de conceder o acesso s informaes
protegidas para uma pessoa aps ela dizer seu nome, necessrio verificar se a pessoa
quem ela realmente afirma ser. A que entra o processo de autenticao.
Autenticao o ato de verificar a reivindicao de uma identidade. Quando vamos

embarcar em um voo, o funcionrio da empresa pede o bilhete do voo (pra verificar se
existe uma permisso de acesso no seu nome) e um documento de identidade (pra verificar
se voc quem deveria estar embarcando). Se seu nome constar no bilhete e no seu
documento, e se voc for igual a foto na carteira de identidade, o funcionrio ter lhe
autenticado e voc ser autorizado a passar por aquele controle de acesso.
Existem trs tipos diferentes de informaes que podem ser usadas para autenticao:
Algo que voc sabe: como um PIN, uma senha ou o nome da sua professora na
alfabetizao.
Algo que voc tem: como um carto magntico ou um token.
Algo que voc : biometria como impresses digitais, impresses de voz e scans de
retina.
O nome de usurio a forma mais comum de identificao em sistemas e a senha a forma

mais comum de autenticao. Dependendo do nvel de segurana requerido, nomes de
usurios e senhas podem cumprir a tarefa, mas em outros casos j no so mais adequados.
Assim, o uso de nomes de usurios e senhas exclusivamente est sendo substitudos por
mecanismos de autenticao mais fortes.
Definimos como autenticao forte um processo que requeira fornecimento de mais de um

tipo de informao de autenticao (se escolhemos dois tipos, dizemos que temos uma
autenticao de dois fatores ou de duas etapas).
Exerccio
Segurana Aula 00
Diego Ajukas
3. (MC NVEL SUPERIOR ESPECIALIDADE 6 2013)
O notebook de um analista de tecnologia da informao (TI) foi furtado nas dependncias

da empresa em que trabalha. O acesso ao notebook feito mediante login protegido por
senha, mas no h cifrao de volume para o armazenamento no voltil.
Segundo relato do analista, o computador continha cpias de documentos relevantes

referentes aos projetos por ele desenvolvidos na empresa, alm de seus dados pessoais.
Com referncia situao hipottica descrita no texto, julgue os itens a seguir.
61 O controle de acesso na forma de login protegido por senha no constitui proteo

suficiente contra possveis quebras de confidencialidade dos dados armazenados no
notebook.
Comentrios: Perfeito, controle de acesso no constitui proteo para confidencialidade. Os

dados esto nos disco e como o notebook foi furtado, nada impede que seu disco seja
removido e acessado em outro computador. Mecanismos como a criptografia do disco,
dentre outros (que veremos nas prximas aulas) possuem maior eficincia na manuteno
da confidencialidade. Questo Correta.
Depois de identificado e autenticado deve-se determinar quais os recursos informacionais

que esto autorizados a serem acessados e quais aes podem ser realizadas (ver, criar,
apagar ou mudar). Isto o que chamamos de autorizao.
A autorizao para acessar informaes e outros servios de computao comea com

polticas e procedimentos de segurana. As polticas descrevem quais informaes e
servios de computao podem ser acessados, por quem e em que condies. Os
mecanismos de controle de acesso, por sua vez, so configurados para aplicar essas
polticas.
Os mecanismos de controle de acesso que um sistema oferece ir basear-se em uma das

trs seguintes abordagens, ou pode ser derivada a partir de uma combinao dos trs
mtodos.
Segurana Aula 00
Diego Ajukas
A abordagem no-discricionria consolida todo o controle de acesso sob uma administrao

centralizada. O acesso informao e outros recursos geralmente baseado na funo do
usurio na organizao ou nas tarefas que o usurio deve realizar.
A abordagem discricionria d ao criador ou proprietrio do recurso de informao a

capacidade de controlar o acesso a esses recursos.
Por ltimo, na abordagem de controle de acesso obrigatrio ou mandatrio, o acesso

concedido ou negado baseando-se na classificao de segurana atribuda fonte de
informao.
Exerccio
4. (MEC ADMINISTRADOR DE REDE 2011)
114 Em um sistema de controle de acesso discricionrio, o administrador do sistema

estabelece os direitos de acesso dos usurios aos recursos disponveis. Com o uso de listas
de controle de acesso, os direitos de acesso so concedidos diretamente pelo dono do
recurso.
Comentrios: A prpria questo entra em contradio. Em um momento, o administrador

estabelece os direitos de acesso (controle no discricionrio). Em outro, os direitos so
concedidos pelos prprios donos dos recursos (controle discricionrio). Questo mistura os
dois conceitos. Item errado.
5. Segurana/Controles lgicos e fsicos
Existem dois tipos de controles que so bastante cobrados: os controles fsicos e os lgicos.
Controles fsicos monitoram e controlam o ambiente do local de trabalho e os recursos

fsicos de computao. Eles tambm monitoram e controlam o acesso para as instalaes
onde esses ativos esto localizados. Portas, fechaduras, alarmes de incndio, sistemas de
extino de incndios, cmeras, barreiras e cercas so exemplos de controles fsicos.
Controles lgicos usam softwares e dados para monitorar e controlar o acesso informao
e a sistemas de computao. Senhas, cartes magnticos, impresses digitais, scans de
Segurana Aula 00
Diego Ajukas
retina, firewalls baseados em host e rede, sistemas de deteco de intruso de rede, listas
de controle de acesso e criptografia de dados so exemplos de controles lgicos.
H ainda quem considere outros tipos, como o controle hbrido (controle que combina os
controles fsicos e lgicos em um s) e o controle administrativo (controle imposto atravs
de procedimentos, campanhas educativas etc.).
6. Mtodos de autenticao
Falamos um pouco sobre o que autenticao nos tpicos anteriores e agora iremos nos
aprofundar um pouco mais em alguns dos principais mtodos.
Antes, precisamos entender que o processo de autenticao deve se basear em uma anlise
de risco. Sistemas, aplicaes e informao de alto risco exigem diferentes formas de
autenticao que confirmam de forma mais precisa a identidade digital do usurio do que
seria uma aplicao de baixo risco, em que a confirmao da identidade digital no to
importante do ponto de vista do risco. Naquele caso, dizemos que se faz necessrio uma
"autenticao forte".
Processos de autenticao so dependentes de processos de verificao de identidade e de

registro. Por exemplo, quando Joo da Silva contratado em uma empresa, ele dever
fornecer a empresa suas informaes pessoais (por exemplo, nome, endereo, carteira de
motorista, certido de nascimento, CPF, passaporte etc.). A empresa, por sua vez, pode
optar por aceitar imediatamente essas informaes ou executar verificaes de
antecedentes sobre Joo para ver se ele quem ele diz ser e determinar se ele tem algum
registro criminal, por exemplo. Quando as verificaes voltarem favoravelmente, a empresa
vai aceitar a sua identidade e inseri-las em seus sistemas. O processo de registro de
identidade geralmente envolve a emisso de mecanismos de autenticao, tais como nome
de usurio (ID), senha, token de segurana, certificado digital e/ou registro de alguns de
seus dados biomtricos .
O processo de autenticao totalmente dependente do processo de validao de

identidade e registro usado pela empresa. Se uma pessoa apresentar um token, roubado de
Joo e este ainda estiver vlido, ento a pessoa que atua como Joo ser autenticado
Segurana Aula 00
Diego Ajukas
positivamente. Portanto, a segurana de autenticao to boa quanto o elo mais fraco da

cadeia de autenticao.
Feita essa introduo, vamos falar de alguns mtodos.
Autenticao por senha
A autenticao por senha ou palavra-chave o mtodo mais comum de autenticao. Ele

considerado tambm por muitos autores o menos seguro. Normalmente, a autenticao por
senha requer a identidade para introduzir um ID de usurio e uma senha para fazer o login.
Comprimento, tipo de caracteres utilizados e a validade (tempo para expirar) das senhas
esto entre as principais preocupaes das empresas no processo de gerenciamento de
senhas.
O crescente avano no desempenho dos computadores e consequentemente no aumento

da capacidade de quebrar senhas fizeram com que as empresas implementassem uma
estratgia de segurana em camadas. Geralmente, um usurio entra com seu ID e senha
para login inicial e obteno de acesso a informaes de baixo risco, enquanto utiliza outras
formas de autenticao mais sofisticadas para as informaes de alto risco.
Autenticao por token
Diferentes das senhas, que pertencem s informaes que voc sabe, os tokens atuam de
outra forma, adicionando informaes que voc tem. Durante o processo de login, ou
para acesso de uma aplicao de maior risco, necessrio, para validao da autenticao,
entrar com os nmeros/caracteres que aparecem do token. Uma vez que os nmeros
mudam aleatoriamente para o usurio (mas entendida pelo servidor de autenticao
central), h um maior grau de confiana associado a esta forma de autenticao.
Segurana Aula 00
Diego Ajukas
No entanto, os custos operacionais para os tokens de autenticao de segurana so

maiores do que o uso de senha e ID, uma vez que devem ser emitidas fisicamente (via
hardware ou software) e precisam ser substituiu/recuperado em caso de perda ou extravio.
Autenticao por certificados
Autenticao por certificados ou de chave pblica de infra-estrutura (PKI), outro mtodo

de autenticao que envolve o que voc tem. Uma identidade associada a um
certificado digital assinado por uma autoridade certificadora (CA). Este , ento,
apresentado durante o processo de autenticao para verificao da identidade. O nvel de
autenticao de confiana varia de acordo com os certificados digitais, dependendo do nvel
de verificao de identidade feito durante o processo de registro de identidade, bem como
do processo de revogao do certificado digital.
Atualmente, os certificados digitais esto se tornando cada vez mais importante para
autenticao e verificao de uma identidade, principalmente em sistemas de
gerenciamento de documentos e em servios web.
Autenticao biomtrica
Muitos associam a biometria com a leitura de impresses digitais. Contudo, esta apenas
uma das formas de se utilizar a biometria.
De forma bem simples, a biometria consiste em identificar padres no corpo humano e

aplicar estatsticas de modo a calcular o quo comum cada padro estudado.
Assim, cada caracterstica do corpo humano que possui um certo grau de unicidade pode
ser usado para autenticao por biometria. Dentre os mais comuns podemos cita as
impresses digitais, ris/retina e face (reconhecimento facial).
Segurana Aula 00
Diego Ajukas
Basicamente, o processo de autenticao biomtrica consiste em digitalizar uma "medio

do seu corpo", criando uma espcie de assinatura digital. A vantagem desse mtodo que
voc no precisa saber e nem ter nenhuma informao. A informao o que voc .
Para cada caracterstica, existe nveis de facilidade de uso, erro, preciso, aceitao do
usurio, segurana etc.
Abaixo segue uma tabela com uma comparao entre os mtodos de biometria retirado do
livro Segurana de Redes em Ambientes Cooperativos - Fundamentos, Tcnicas,
Tecnologias, Estratgias.
Exerccio
5. (TRT17 ANALISTA JUDICIRIO 2013)
40 O fator de segurana da biometria menor que o fator de segurana de outras solues

de identificao, como, por exemplo, o uso de cartes e de senhas.
Comentrios: Vimos que isso vai depender da biometria utilizada e do politica de senha
empregado. Um exemplo claro disso que uma senha numrica com poucos dgitos
milhes de vezes mais fcil de se quebrar do que uma autenticao por impresso digital
(isso teoricamente e estatisticamente falando, sem levar em conta implementaes etc.).
Item errado.
Segurana Aula 00
Diego Ajukas
7. Exerccios de fixao.
Exerccio
6. (PC-ES PERITO CRIMINAL 2010)
38 A confidencialidade, um dos princpios bsicos da segurana da informao em

ambiente eletrnico, est relacionada necessidade de no alterao do contedo de uma
mensagem ou arquivo; o qual deve ser garantido por meio de uma poltica de cpia de
segurana e redundncia de dados.
Comentrios: Caso tipo de mistura de conceitos. Quem cuida da alterao ou no do

contedo de uma mensagem a integridade. Questo errada.
7. (TJDFT TCNICO JUDICIRIO 2013)
36 Autenticidade um critrio de segurana para a garantia do reconhecimento da

identidade do usurio que envia e recebe uma informao por meio de recursos
computacionais.
Comentrios: Aqui uma das pegadinhas preferidas. Autenticidade refere-se a veracidade

no contedo, e isso inclui a prpria mensagem e quem a assinou (quem envia). Contudo,
no h de se falar em identidade de quem recebe. Quem garante informaes sobre o
recebimento ou no o conceito de no repdio ou irretratabilidade. Questo errada.
8. (SAEBSEI ESPECIALISTA EM PRODUO DE INFORMAES 2012)
98 Um evento de segurana da informao pode ser definido como uma ocorrncia

identificada de um estado de sistema, servio ou rede, indicando uma possvel violao na
preservao da confidencialidade, integridade ou na disponibilidade da informao.
Comentrios: Podemos incluir ai tambm violaes no demais pilares da segurana da

informao. Mas como a questo no foi restritiva, apenas apresentou esse trs conceitos
de forma exemplificativa, a questo est correta.
9. (CNJ ANALISTA JUDICIRIO 2013)
9 A implantao de controle de acesso a dados eletrnicos e a programas de computador

insuficiente para garantir o sigilo de informaes de uma corporao.
Segurana Aula 00
Diego Ajukas
Comentrios: O sigilo da informao, ou seja, sua proteo depende de diversos pilares

como foi mencionado. A implantao de um controle de acesso no cobre todos esse
espectro. Portanto, controle de acesso somente insuficiente para garantir o sigilo de
informaes. Questo correta.
10. (MPU ANALISTA SUPORTE E INFRAESTRUTURA 2013)
102 A utilizao de um sistema de controle de acesso mandatrio aplicvel nos casos em

que a estrutura de classificao de dados do banco de dados esttica.
Comentrios: O sistema de controle de acesso mandatrio perfeitamente aplicvel a

estruturas cuja classificao do dado esttica. Por exemplo, consideremos que um
determinado dado possui nvel de segurana A, e outro nvel de segurana B. Informaes
derivadas do grau de segurana A tambm tero grau A, derivadas de B tero B e assim
sucessivamente. Essa configurao esttica, ou seja, no h reclassificao desses dados.
Assim, no problema em se fazer isso, pois como dito, no h risco de reclassificao. Dessa
forma, totalmente aplicvel escolhermos um sistema de controle que use a fonte da
informao como critrio de classificao. Questo correta.
11. (TRE-RJ ANALISTA JUDICIRIO ANLISE DE SISTEMAS 2012)
114 Adota-se, para o controle de acesso em ambientes protegidos, a estrutura do tipo que
se denomina camadas de cebola, por meio da qual se delimitam vrias camadas de
proteo, entre as quais a camada central a mais protegida, procurando-se, ainda,
manter em locais com acesso restrito a poucas pessoas as mquinas que no precisem de
operador para funcionar.
Comentrios: Essa questo interessante porque faz meno a uma filosofia extremamente
importante quando projetamos um arquitetura de segurana. Aqui se faz analogia a uma
cebola, por possuir vrias camadas, levando essa mesma ideia aos mecanismos de controle
de acesso.
Sabemos que nenhum sistema de segurana 100% seguro. Dessa forma, uma maneira de
mitigar certos riscos implementarmos uma arquitetura em camadas, de modo que se uma
camada for ultrapassada, havero outras at o centro, onde o ativo a ser protegido se
Segurana Aula 00
Diego Ajukas
encontra. Questo certinha.
Segurana Aula 00
Diego Ajukas
8. Lista das Questes Utilizadas na Aula.

1. (BASA TCNICO CIENTFICO SEGURANA DA INFORMAO 2012)
54 Ativo, em segurana da informao, refere-se aos itens financeiros que precisam ser
protegidos, pois representam valor para a organizao e devem ser preservados.
2. (MEC GERENTE DE SUPORTE 2011)
130 Confidencialidade requer que a informao no esteja disponvel ou revelada a pessoa

fsica, sistema, rgo ou entidade no autorizado e credenciado.
3. (MC NVEL SUPERIOR ESPECIALIDADE 6 2013)
O notebook de um analista de tecnologia da informao (TI) foi furtado nas dependncias

da empresa em que trabalha. O acesso ao notebook feito mediante login protegido por
senha, mas no h cifrao de volume para o armazenamento no voltil.
Segundo relato do analista, o computador continha cpias de documentos relevantes

referentes aos projetos por ele desenvolvidos na empresa, alm de seus dados pessoais.
Com referncia situao hipottica descrita no texto, julgue os itens a seguir.
61 O controle de acesso na forma de login protegido por senha no constitui proteo

suficiente contra possveis quebras de confidencialidade dos dados armazenados no
notebook.
4. (MEC ADMINISTRADOR DE REDE 2011)
114 Em um sistema de controle de acesso discricionrio, o administrador do sistema

estabelece os direitos de acesso dos usurios aos recursos disponveis. Com o uso de listas
de controle de acesso, os direitos de acesso so concedidos diretamente pelo dono do
recurso.
5. (BRB ANALISTA DE TECNOLOGIA DA INFORMAO 2011)
117 Conforme disposto na norma ISO/IEC 27002, sistemas biomtricos podem ser
utilizados como mecanismos de controle de acesso. Considerando-se essa informao,
correto afirmar que uma porta com dispositivo biomtrico de leitura de impresso digital
Segurana Aula 00
Diego Ajukas
para se acessar uma sala de servidores caracteriza um controle de acesso lgico.
6. (TRT17 ANALISTA JUDICIRIO 2013)
40 O fator de segurana da biometria menor que o fator de segurana de outras solues

de identificao, como, por exemplo, o uso de cartes e de senhas.
7. (PC-ES PERITO CRIMINAL 2010)
38 A confidencialidade, um dos princpios bsicos da segurana da informao em

ambiente eletrnico, est relacionada necessidade de no alterao do contedo de uma
mensagem ou arquivo; o qual deve ser garantido por meio de uma poltica de cpia de
segurana e redundncia de dados.
8. (TJDFT TCNICO JUDICIRIO 2013)
36 Autenticidade um critrio de segurana para a garantia do reconhecimento da

identidade do usurio que envia e recebe uma informao por meio de recursos
computacionais.
9. (SAEBSEI ESPECIALISTA EM PRODUO DE INFORMAES 2012)
98 Um evento de segurana da informao pode ser definido como uma ocorrncia

identificada de um estado de sistema, servio ou rede, indicando uma possvel violao na
preservao da confidencialidade, integridade ou na disponibilidade da informao.
10. (CNJ ANALISTA JUDICIRIO 2013)
9 A implantao de controle de acesso a dados eletrnicos e a programas de computador

insuficiente para garantir o sigilo de informaes de uma corporao.
11. (MPU ANALISTA SUPORTE E INFRAESTRUTURA 2013)
102 A utilizao de um sistema de controle de acesso mandatrio aplicvel nos casos em

que a estrutura de classificao de dados do banco de dados esttica.
12. (TRE-RJ ANALISTA JUDICIRIO ANLISE DE SISTEMAS 2012)
114 Adota-se, para o controle de acesso em ambientes protegidos, a estrutura do tipo que
se denomina camadas de cebola, por meio da qual se delimitam vrias camadas de
Segurana Aula 00
Diego Ajukas
proteo, entre as quais a camada central a mais protegida, procurando-se, ainda,

manter em locais com acesso restrito a poucas pessoas as mquinas que no precisem de
operador para funcionar.
Segurana Aula 00
Diego Ajukas
9. Gabarito.
1. E
2. C
3. C
4. E
5. C
6. E
7. E
8. E
9. C
10. C
11. C
12. C

Aula 00 Demonstrativa TCDF 2013 Cargo 8 Seguranca Da Informacao

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Aula 00 Demonstrativa TCDF 2013 Cargo 8 Seguranca Da Informacao

Uploaded by

Copyright:

Available Formats

Segurana Aula 00

TCDF Cargo 8 Teoria e Exerccios

AULA 00: Segurana da Informao

De l pra c vim ganhando experincia, conhecendo as bancas e otimizando esse material.

Sem mais demora, vamos ao que interessa!

A segunda e no to boa concluso que, justamente por essa necessidade de formular

Portanto, senhores e senhoras, abram bem os olhos e a mente, despluguem da matrix

1.2. Metodologia das aulas.

2. Contedo programtico e planejamento das aulas (Cronograma)

Aula Contedo a ser trabalhado

Conceitos e fundamentos de controle de acesso.

Segurana fsica e lgica.

Mtodos de autenticao (senhas, tokens, certificados e

Preveno e combate de softwares maliciosos: vrus, worm,

E agora, finalmente, a parte boa: Nossa aula!!!

3. Conceitos e fundamentos de segurana

Antes de falarmos sobre alguns conceitos de segurana de redes, precisamos entender os

O foco da Tecnologia da Informao : adivinhem? A informao. Tanto que na literatura

O patrimnio de uma empresa composto pelo que chamamos de ativos e passivos. Os

Comentrios: Os ativos de uma empresa, quando falamos em segurana da informao,

No vamos entrar muito na parte referente gesto da segurana da informao, mas

Normalmente eles so cobrados nessa ordem de relevncia, isso porque inicialmente

1 viso: Confidencialidade quando uma determinada informao protegida de acessos

2 viso: Confidencialidade quando uma determinada informao acessada somente por

No geral, confidencialidade refere-se ao impedimento da divulgao de informaes s

Definio de acordo com a ISO/IEC 27.001: propriedade de que a informao no esteja

130 Confidencialidade requer que a informao no esteja disponvel ou revelada a pessoa

Comentrios: O examinador apenas escreveu o conceito de confidencialidade com outras

Definimos integridade como a proteo contra uma modificao no autorizada, ou sobre

Na prtica, a integridade significa manter os dados, assegurando a preciso e a consistncia

A integridade violada quando uma mensagem ativamente modificada, tanto localmente

Definio de acordo com a ISO/IEC 27.001: propriedade de salvaguarda da exatido e

Podemos definir disponibilidade como a garantia de que o acesso s informaes estar

Para garantir a confidencialidade, precisamos de mecanismos que verifiquem a relao

Sistemas de alta disponibilidade, por exemplo, permanecem disponveis em todos os

Em segurana da informao, assim como nos negcios tradicionais, necessrio garantir

Alguns sistemas de segurana da informao incorporam recursos de autenticao, tais

3.5. No-repdio ou Irretratabilidade

Um exemplo claro do nosso dia a dia de ferramenta contra o no repdio o contrato.

importante notar que, na tecnologia da informao, sistemas criptogrficos podem ajudar

No , por exemplo, suficiente mostrar que a mensagem correspondente a uma assinatura

O fato que tal afirmao invalida a premissa de que a assinatura comprova

Usurios, programas e, em muitos casos, os prprios computadores precisam ser

mecanismos do controle de acesso. A base sobre a qual so construdos os mecanismos de

Autenticao o ato de verificar a reivindicao de uma identidade. Quando vamos

O nome de usurio a forma mais comum de identificao em sistemas e a senha a forma

Definimos como autenticao forte um processo que requeira fornecimento de mais de um

3. (MC NVEL SUPERIOR ESPECIALIDADE 6 2013)

O notebook de um analista de tecnologia da informao (TI) foi furtado nas dependncias

Segundo relato do analista, o computador continha cpias de documentos relevantes

Com referncia situao hipottica descrita no texto, julgue os itens a seguir.

61 O controle de acesso na forma de login protegido por senha no constitui proteo

Comentrios: Perfeito, controle de acesso no constitui proteo para confidencialidade. Os

Depois de identificado e autenticado deve-se determinar quais os recursos informacionais

A autorizao para acessar informaes e outros servios de computao comea com

Os mecanismos de controle de acesso que um sistema oferece ir basear-se em uma das

A abordagem no-discricionria consolida todo o controle de acesso sob uma administrao

A abordagem discricionria d ao criador ou proprietrio do recurso de informao a

Por ltimo, na abordagem de controle de acesso obrigatrio ou mandatrio, o acesso

114 Em um sistema de controle de acesso discricionrio, o administrador do sistema

Comentrios: A prpria questo entra em contradio. Em um momento, o administrador

5. Segurana/Controles lgicos e fsicos

Controles fsicos monitoram e controlam o ambiente do local de trabalho e os recursos