Conceitos de Proteo e Segurana

  • Published on
    19-Jul-2015

  • View
    578

  • Download
    0

Transcript

Segurana da Informao e Comunicao. Princpios bsicos; Dispositivos de armazenamentos de dados; Cpia de segurana (backup); Certificao e assinatura digital.Conceitos de Proteo e Segurana da Informao e ComunicaoSegurana de Informao est relacionada com a proteo existente ou necessria sobre dados que possuem valor para algum ou uma organizao. Possui aspectos bsicos como confidencialidade, integridade e disponibilidade da informao que nos ajuda a entender as necessidades de sua proteo e que no se aplica ou est restrita sistemas computacionais, nem a informaes eletrnicas ou qualquer outra forma mecnica de armazenamento. Ela se aplica a todos os aspectos de proteo e armazenamento de informaes e dados, em qualquer forma. O nvel de segurana de um sistema operacional de computador pode ser tipificado pela configurao de seus componentes. Um dos padres de segurana mais conhecidos o BS7799, que estabelece melhores prticas para implementao e na gesto da segurana da informao. Conceito se Segurana A Segurana da Informao refere-se proteo existente sobre as informaes de uma determinada empresa, instituio governamental ou pessoa, isto , aplica-se tanto as informaes corporativas quanto as pessoais. Entende-se por informao todo e qualquer contedo ou dado que tenha valor para alguma organizao ou pessoa. Ela pode estar guardada para uso restrito ou exposta ao pblico para consulta ou aquisio. Podem ser estabelecidas mtricas (com o uso ou no de ferramentas) para a definio do nvel de segurana existente e, com isto, serem estabelecidas as bases para anlise da melhoria ou piora da situao de segurana existente. A segurana de uma determinada informao pode ser afetada por fatores comportamentais e de uso de quem se utiliza dela, pelo ambiente ou infraestrutura que a cerca ou por pessoas mal intencionadas que tem o objetivo de furtar, destruir ou modificar a informao. Antes de proteger, devemos saber: O que proteger. De quem proteger. Pontos vulnerveis. Processos a serem seguidos.

AtivoAtivo todo recurso que pode sofrer algum tipo de ataque, logo, precisa de proteo. Portanto todos os recursos que necessitam de alguma proteo, considerado um ATIVO. Avaliao Colete informaes suficientes para analisar o estado atual da Segurana no ambiente, e classificar quais bens esto protegidos. Com base nessa anlise ser possvel classificar os ativos e lig-los s suas respectivas ameaas. Avaliar e Quantificar os Ativos Avaliao e Quantificao dos recursos: definir o valor das informaes e dos servios do ponto de vista dos terceiros envolvidos e do esforo necessrio para recriar as informaes. Baseado no custo da perda ou roubo de informao e/ou na queda de um servio, podemos avaliar o custo deste recurso. O valor de um recurso deve refletir todos os custos identificados que poderiam surgir se houvesse algum problema com esse recurso. Defina a prioridade do recurso baseando-se na avaliao anterior e no custo monetrio do recurso.

Prioridades do Ativo

O servidor fornece funcionalidade bsica, mas no tem impacto financeiro nos negcios. O servidor hospeda informaes importantes, mas que podem ser recuperados rapidamente e com facilidade. O Servidor possui dados importantes e que demorariam muito tempo para serem recuperados. O servidor possui informaes para os objetivos de negcio da empresa. A perda destas informaes pode interromper projetos e o servio dirio de todos os usurios, o que causaria uma queda muito grande na produtividade da empresa. O servidor causa um grande impacto no negcio da empresa. A perda deste servidor ou a divulgao destas informaes poderiam causar desvantagem competitiva da sua empresa. Veja o exemplo: A trade CIA (Confidentiality, Integrity and Availability) - Confidencialidade, Integridade e Disponibilidade - representa as principais propriedades que, atualmente, orientam a anlise, o planejamento e a implementao da segurana para um determinado grupo de informaes que se deseja proteger. Outras propriedades esto sendo apresentadas (legitimidade e autenticidade) na medida em que o uso de transaes comerciais em todo o mundo, atravs de redes eletrnicas (pblicas ou privadas) se desenvolve. Os conceitos bsicos podem ser explicados conforme abaixo: A Disponibilidade: o sistema deve estar disponvel de forma que quando o usurio necessitar possa usar. Dados crticos devem estar disponveis ininterruptamente. Portanto, consiste na proteo dos servios prestados pelo sistema de forma que eles no sejam degradados ou se tornem indisponveis sem autorizao, assegurando ao usurio o acesso aos dados sempre que deles precisar. Isto pode ser chamado tambm de continuidade dos servios. A Utilizao: o sistema deve ser utilizado apenas para os determinados objetivos.

A Integridade: o sistema deve estar sempre ntegro e em condies de ser usado. A integridade consiste em proteger a informao contra modificao sem a permisso explcita do proprietrio daquela informao. A modificao inclui aes como escrita, alterao de contedo, alterao de status, remoo e criao de informaes. Deve-se considerar a proteo da informao nas suas mais variadas formas, como por exemplo, armazenada em discos ou fitas de backup. Integridade significa garantir que se o dado est l, ento no foi corrompido, encontra-se ntegro. Isto significa que aos dados originais nada foi acrescentado, retirado ou modificado. A integridade assegurada evitando-se alterao no detectada de mensagens (ex. trfego bancrio) e o forjamento no detectado de mensagem (aliado violao de autenticidade). A Autenticidade: o sistema deve ter condies de verificar a identidade dos usurios, e este ter condies de analisar a identidade do sistema. O controle de autenticidade est associado com identificao correta de um usurio ou computador. O servio de autenticao em um sistema deve assegurar ao receptor que a mensagem realmente procedente da origem informada em seu contedo. Normalmente, isso implementado a partir de um mecanismo de senhas ou de assinatura digital. A verificao de autenticidade necessria aps todo processo de identificao, seja de um usurio para um sistema, de um sistema para o usurio ou de um sistema para outro sistema. Ela a medida de proteo de um servio/informao contra a personificao por intrusos. A Confidencialidade: dados privados devem ser apresentados somente aos donos dos dados ou ao grupo por ele liberado. Significa proteger informaes contra sua revelao para algum no autorizado - interna ou externamente. Consiste em proteger a informao contra leitura e/ou cpia por algum que no tenha sido explicitamente autorizado pelo proprietrio daquela informao. A informao deve ser protegida qualquer que seja a mdia que a contenha, como por exemplo, mdia impressa ou mdia digital. Deve-se cuidar no apenas da proteo da informao como um todo, mas tambm de partes da informao que podem ser utilizadas para interferir sobre o todo. No caso da rede, isto significa que os dados, enquanto

em trnsito, no sero vistos, alterados, ou extrados da rede por pessoas no autorizadas ou capturados por dispositivos ilcitos. Para a montagem desta poltica, tem que se ter em conta: Riscos associados falta de segurana; Benefcios; Custos de implementao dos mecanismos. Mecanismos de Segurana O suporte para as recomendaes de segurana pode ser encontrado em: Controles fsicos: so barreiras que limitam o contato ou acesso direto a informao ou a infraestrutura (que garante a existncia da informao) que a suporta. Devemos atentar para ameaas sempre presentes, mas nem sempre lembradas; incndios, desabamentos, relmpagos, alagamentos, problemas na rede eltrica, acesso indevido de pessoas aos servidores ou equipamentos de rede, treinamento inadequado de funcionrios, etc. Medidas de proteo fsica, tais como servios de guarda, uso de no-breaks, alarmes e fechaduras, circuito interno de televiso e sistemas de escuta so realmente uma parte da segurana da informao. As medidas de proteo fsica so freqentemente citadas como segurana computacional, visto que tm um importante papel tambm na preveno dos itens citados no pargrafo acima. O ponto-chave que as tcnicas de proteo de dados por mais sofisticadas que sejam, no tm serventia nenhuma se a segurana fsica no for garantida. Instalao e Atualizao A maioria dos sistemas operacionais, principalmente as distribuies Linux, vem acompanhada de muitos aplicativos que so instalados opcionalmente no processo de instalao do sistema. Sendo assim, torna-se necessrio que vrios pontos sejam observados para garantir a segurana desde a instalao do sistema, dos quais podemos destacar: Seja minimalista: Instale somente os aplicativos necessrios, aplicativos com problemas podem facilitar o acesso de um atacante. Devem ser desativados todos os servios de sistema que no sero utilizados: Muitas vezes o sistema inicia automaticamente diversos aplicativos que no so necessrios, esses aplicativos tambm podem facilitar a vida de um atacante. Deve-se tomar um grande cuidado com as aplicaes de rede: problemas nesse tipo de aplicao podem deixar o sistema vulnervel a ataques remotos que podem ser realizados atravs da rede ou Internet. Use parties diferentes para os diferentes tipos de dados: a diviso fsica dos dados facilita a manuteno da segurana. Remova todas as contas de usurios no utilizadas: Contas de usurios sem senha, ou com a senha original de instalao, podem ser facilmente exploradas para obter-se acesso ao sistema. De acordo com diversos anncios publicados pelo CERT (2000:web), grande parte das invases na Internet acontece devido falhas conhecidas em aplicaes de rede, as quais os administradores de sistemas no foram capazes de corrigir a tempo. Essa afirmao pode ser confirmada facilmente pelo simples fato de que quando uma nova vulnerabilidade descoberta, um grande nmero de ataques realizado com sucesso. Por isso extremamente importante que os administradores de sistemas se mantenham atualizados sobre os principais problemas encontrados nos aplicativos utilizados, atravs dos sites dos desenvolvedores ou especficos sobre segurana da Informao. As principais empresas comerciais desenvolvedoras de software e as principais distribuies Linux possuem boletins peridicos informando sobre as ltimas vulnerabilidades encontradas e suas devidas correes. Alguns sistemas chegam at a possuir o recurso de atualizao automtica, facilitando ainda mais o processo.

Desenvolvimento Seguro de Aplicaes WEBO desenvolvimento de aplicaes que iro utilizar a internet como interface, designadas aqui como Aplicaes WEB, exige uma maior preocupao com a segurana no processamento e armazenamento dos dados. Esse tipo de aplicao fica exposta um grande nmero de usurios e ameaas. Hackers esto constantemente testando as aplicaes em busca de vulnerabilidades que possam facilitar o acesso a um sistema, ou simplesmente falhas que possam negar um servio, como nos ataques DoS ou DDoS. Sendo assim, podemos destacar algumas das principais prticas para o desenvolvimento seguro de aplicaes WEB: No use mais poder do que o necessrio: As aplicaes devem rodar num nvel de acesso suficiente para utilizar somente os recursos necessrios do servidor, no em nveis superiores, pois em caso de falhas na aplicao, ela somente ter acesso aos seus recursos e no aos pertencentes a outros processos. No use o mtodo GET para mandar informaes sensveis: O mtodo GET um mecanismo para passagens de parmetro entre pginas WEB, as informaes transmitidas podem ser facilmente capturadas, sendo que muitas vezes nem o protocolo SSL pode solucionar esse problema. Nunca confie nas informaes fornecidas pelo usurio: As aplicaes sempre devem validar as informaes enviadas pelo usurio, verificando o formato e tamanho dos dados para evitar possveis Buffers Overflows ou outros problemas. No guarde as senhas de acesso ao banco de dados ou outros recursos dentro de pginas pr-processadas ou scripts cgi: Muitas vezes possvel obter o seu cdigo fonte, obtendo-se assim senhas e outras informaes sensveis. Use criptografia para armazenar informaes sensveis no servidor: Dessa maneira possvel proteger nmeros de carto de crdito em sites de comrcio eletrnico, ou qualquer outra informao importante. Procure no utilizar programas externos linguagem: Em alguns casos mais fcil utilizar chamadas a programas executveis diretamente no sistema operacional em vez de implementar um procedimento num programa. Esse tipo de ao acaba por expor o aplicativo falhas de segurana de outros aplicativos, como tambm a problemas de validao que possam permitir a execuo remota de comandos. No deixe comentrio no cdigo de produo: Caso possam ser visualizados eles podem auxiliar muito o trabalho de algum invasor. Verifique e personalize as mensagens de erro: Muitas vezes as mensagens de erro padro de uma linguagem podem fornecer informaes valiosas sobre o servidor. Utilize ferramentas, linguagens e bibliotecas atualizadas: Caso elas possuam algum problema de segurana todo o sistema estar comprometido.

FirewallsDefinimos o firewall como sendo uma barreira inteligente entre duas redes, geralmente a rede local e a Internet, atravs da qual s passa trfego autorizado. Este trfego examinado pelo firewall em tempo real e a seleo feita de acordo com um conjunto de regras de acesso Ele tipicamente um roteador (equipamento que liga as redes com a Internet), um computador rodando filtragens de pacotes, um software proxy, um firewall-in-a-box (um hardware proprietrio especfico para funo de firewall), ou um conjunto desses sistemas. Pode-se dizer que firewall um conceito ao invs de um produto. Ele a soma de todas as regras aplicadas a rede. Geralmente, essas regras so elaboradas considerando as polticas de acesso da organizao. A figura abaixo, descreve o modelo mais comumente utilizado para implementao de um firewall:

Podemos observar que o firewall nico ponto de entrada da rede, quando isso acontece o firewall tambm pode ser designado como chock point. De acordo com os mecanismos de funcionamentos dos firewalls podemos destacar trs tipos principais: Filtros de pacotes Stateful Firewalls Firewalls em Nvel de Aplicao Filtros de Pacotes Esse o tipo de firewall mais conhecido e utilizado. Ele controla a origem e o destino dos pacotes de mensagens da Internet. Quando uma informao recebida, o firewall verifica as informaes sobre o endereo IP de origem e destino do pacote e compara com uma lista de regras de acesso para determinar se pacote est autorizado ou no a ser repassado atravs dele. Atualmente, a filtragem de pacotes implementada na maioria dos roteadores e transparente aos usurios, porm pode ser facilmente contornada com IP Spoofers. Por isto, o uso de roteadores como nica defesa para uma rede corporativa no aconselhvel. Mesmo que filtragem de pacotes possa ser feita diretamente no roteador, para uma maior performance e controle, necessria a utilizao de um sistema especfico de firewall. Quando um grande nmero de regras aplicado diretamente no roteador, ele acaba perdendo performance. Alm disso, Firewall mais avanados podem defender a rede contra spoofing e ataques do tipo DoS/DDoS. Stateful Firewalls Um outro tipo de firewall conhecido como Stateful Firewall. Ele utiliza uma tcnica chamada Stateful Packet Inspection, que um tipo avanado de filtragem de pacotes. Esse tipo de firewall examina todo o contedo de um pacote, no apenas seu cabealho, que contm apenas os endereos de origem e destino da informao. Ele chamado de stateful porque examina os contedos dos pacotes para determinar qual o estado da conexo, Ex: Ele garante que o computador destino de uma informao tenha realmente solicitado anteriormente a informao atravs da conexo atual. Alm de serem mais rigorosos na inspeo dos pacotes, os stateful firewalls podem ainda manter as portas fechadas at que uma conexo para a porta especfica seja requisitada. Isso permite uma maior proteo contra a ameaa de port scanning. Firewalls em Nvel de Aplicao Nesse tipo de firewall o controle executado por aplicaes especficas, denominadas proxies, para cada tipo de servio a ser controlado. Essas aplicaes interceptam todo o trfego recebido e o envia para as aplicaes correspondentes; assim, cada aplicao pode controlar o uso de um servio.

Apesar desse tipo de firewall ter uma perda maior de performance, j que ele analisa toda a comunicao utilizando proxies, ele permite uma maior auditoria sobre o controle no trfego, j que as aplicaes especficas podem detalhar melhor os eventos associados a um dado servio. A maior dificuldade na sua implementao a necessidade de instalao e configurao de um proxy para cada aplicao, sendo que algumas aplicaes no trabalham corretamente com esses mecanismos. Consideraes sobre o uso de Firewalls Embora os firewalls garantam uma maior proteo, e so inestimveis para segurana da informao, existem alguns ataques que os firewalls no podem proteger, como a interceptao de trfego no criptografado, ex: Interceptao de e-mail. Alm disso, embora os firewalls possam prover um nico ponto de segurana e auditoria, eles tambm podem se tornar um nico ponto de falha o que quer dizer que os firewalls so a ltima linha de defesa. Significa que se um atacante conseguir quebrar a segurana de um firewall, ele vai ter acesso ao sistema, e pode ter a oportunidade de roubar ou destruir informaes. Alm disso, os firewalls protegem a rede contra os ataques externos, mas no contra os ataques internos. No caso de funcionrios mal intencionados, os firewalls no garantem muita proteo. Finalmente, como mencionado os firewalls de filtros de pacotes so falhos em alguns pontos. - As tcnicas de Spoofing podem ser um meio efetivo de anular a sua proteo. Para uma proteo eficiente contra as ameaas de segurana existentes, os firewalls devem ser usados em conjunto com diversas outras medidas de segurana. Existem, claro, outros mecanismos de segurana que apiam os controles fsicos: Portas / trancas / paredes / blindagem / guardas / etc .. Controles lgicos: so barreiras que impedem ou limitam o acesso a informao, que est em ambiente controlado, geralmente eletrnico, e que, de outro modo, ficaria exposta a alterao no autorizada por elemento mal intencionado. Existem mecanismos de segurana que apiam os controles lgicos: Mecanismos de encriptao. A criptografia vem, na sua origem, da fuso de duas palavras gregas: CRIPTO = ocultar, esconder GRAFIA = escrever Criptografia arte ou cincia de escrever em cifra ou em cdigos. ento um conjunto de tcnicas que tornam uma mensagem incompreensvel permitindo apenas que o destinatrio que conhea a chave de encriptao possa decriptar e ler a mensagem com clareza. Permitem a transformao reversvel da informao de forma a torn-la ininteligvel a terceiros. Utiliza-se para tal, algoritmos determinados e uma chave secreta para, a partir de um conjunto de dados no encriptados, produzir uma sequncia de dados encriptados. A operao inversa a desencriptao. Assinatura digital. Um conjunto de dados encriptados, associados a um documento do qual so funo, garantindo a integridade do documento associado, mas no a sua confidencialidade. A assinatura digital, portanto, busca resolver dois problemas no garantidos apenas com uso da criptografia para codificar as informaes: a Integridade e a Procedncia. Ela utiliza uma funo chamada one-way hash function, tambm conhecida como: compression function, cryptographic checksum, message digest ou fingerprint. Essa funo gera uma string nica sobre uma informao, se esse valor for o mesmo tanto no remetente quanto destinatrio, significa que essa informao no foi alterada. Mesmo assim isso ainda no garante total integridade, pois a informao pode ter sido alterada no seu envio e um novo hash pode ter sido calculado.

Para solucionar esse problema, utilizada a criptografia assimtrica com a funo das chaves num sentido inverso, onde o hash criptografado usando a chave privada do remetente, sendo assim o destinatrio de posse da chave pblica do remetente poder decriptar o hash. Dessa maneira garantimos a procedncia, pois somente o remetente possui a chave privada para codificar o hash que ser aberto pela sua chave pblica. J o hash, gerado a partir da informao original, protegido pela criptografia, garantir a integridade da informao. Mecanismos de garantia da integridade da informao. Usando funes de "Hashing" ou de checagem, consistindo na adio. Mecanismos de controle de acesso. Palavras-chave, sistemas biomtricos, firewalls, cartes inteligentes. Mecanismos de certificao. Atesta a validade de um documento. O Certificado Digital, tambm conhecido como Certificado de Identidade Digital, associa a identidade de um titular a um par de chaves eletrnicas (uma pblica e outra privada) que, usadas em conjunto, fornecem a comprovao da identidade. uma verso eletrnica (digital) de algo parecido a uma Cdula de Identidade - serve como prova de identidade, reconhecida diante de qualquer situao onde seja necessria a comprovao de identidade. O Certificado Digital pode ser usado em uma grande variedade de aplicaes, como comrcio eletrnico, groupware (Intranet's e Internet) e transferncia eletrnica de fundos. Dessa forma, um cliente que compre em um shopping virtual, utilizando um Servidor Seguro, solicitar o Certificado de Identidade Digital deste Servidor para verificar: a identidade do vendedor e o contedo do Certificado por ele apresentado. Da mesma forma, o servidor poder solicitar ao comprador seu Certificado de Identidade Digital, para identific-lo com segurana e preciso. Caso qualquer um dos dois apresente um Certificado de Identidade Digital adulterado, ele ser avisado do fato, e a comunicao com segurana no ser estabelecida. O Certificado de Identidade Digital emitido e assinado por uma Autoridade Certificadora Digital (Certificate Authority). Para tanto, esta autoridade usa as mais avanadas tcnicas de criptografia disponveis e de padres internacionais (norma ISO X.509 para Certificados Digitais), para a emisso e chancela digital dos Certificados de Identidade Digital. Podemos destacar trs elementos principais: Informao de atributo: a informao sobre o objeto que certificado. No caso de uma pessoa, isto pode incluir seu nome, nacionalidade e endereo e-mail, sua organizao e o departamento da organizao onde trabalha. Chave de informao pblica: a chave pblica da entidade certificada. O certificado atua para associar a chave pblica informao de atributo, descrita acima. A chave pblica pode ser qualquer chave assimtrica, mas usualmente uma chave RSA. Assinatura da Autoridade em Certificao (CA): A CA assina os dois primeiros elementos e, ento, adiciona credibilidade ao certificado. Quem recebe o certificado verifica a assinatura e acreditar na informao de atributo e chave pblica associadas se acreditar na Autoridade em Certificao. Existem diversos protocolos que usam os certificados digitais para comunicaes seguras na Internet: Secure Socket Layer ou SSL Secured Multipurpose Mail Extensions - S/MIME Form Signing Authenticode / Objectsigning O SSL talvez a mais difundida aplicao para os certificados digitais e usado em praticamente todos os sites que fazem comrcio eletrnico na rede (livrarias, lojas de CD, bancos etc.). O SSL teve uma primeira fase de adoo onde apenas os servidores estavam

identificados com certificados digitais, e assim tnhamos garantido, alm da identidade do servidor, o sigilo na sesso. Entretanto, apenas com a chegada dos certificados para os browsers que pudemos contar tambm com a identificao na ponta cliente, eliminando assim a necessidade do uso de senhas e logins. O S/Mime tambm um protocolo muito popular, pois permite que as mensagens de correio eletrnico trafeguem encriptadas e/ou assinadas digitalmente. Desta forma os e-mails no podem ser lidos ou adulterados por terceiros durante o seu trnsito entre a mquina do remetente e a do destinatrio. Alm disso, o destinatrio tem a garantia da identidade de quem enviou o e-mail. O Form Signing uma tecnologia que permite que os usurios emitam recibos online com seus certificados digitais. Por exemplo: o usurio acessa o seu Internet Banking e solicita uma transferncia de fundos. O sistema do banco, antes de fazer a operao, pede que o usurio assine com seu certificado digital um recibo confirmando a operao. Esse recibo pode ser guardado pelo banco para servir como prova, caso o cliente posteriormente negue ter efetuado a transao. O Authenticode e o Object Signing so tecnologias que permitem que um desenvolvedor de programas de computador assine digitalmente seu software. Assim, ao baixar um software pela Internet, o usurio tem certeza da identidade do fabricante do programa e que o software se manteve ntegro durante o processo de download. Os certificados digitais se dividem em basicamente dois formatos: os certificados de uso geral (que seriam equivalentes a uma carteira de identidade) e os de uso restrito (equivalentes a cartes de banco, carteiras de clube etc.). Os certificados de uso geral so emitidos diretamente para o usurio final, enquanto que os de uso restrito so voltados basicamente para empresas ou governo. Integridade. Medida em que um servio/informao genuno, isto , esta protegido contra a personificao por intrusos. Honeypot: o nome dado a um software, cuja funo detectar ou de impedir a ao de um cracker, de um spammer, ou de qualquer agente externo estranho ao sistema, enganando-o, fazendo-o pensar que esteja de fato explorando uma vulnerabilidade daquele sistema.

Ameaas SeguranaAmeaa algo que oferece um risco e tem como foco algum ativo. Uma ameaa tambm pode aproveitar-se de alguma vulnerabilidade do ambiente. Identificar Ameaas de Segurana Identificar os Tipos de Ataques a base para chegar aos Riscos. Lembre-se que existem as prioridades; essas prioridades so os pontos que podem comprometer o Negcio da Empresa, ou seja, o que crucial para a sobrevivncia da Empresa crucial no seu projeto de Segurana. Abaixo temos um conjunto de ameaas, chamado de FVRDNE: Falsificao Falsificao de Identidade quando se usa nome de usurio e senha de outra pessoa para acessar recursos ou executar tarefas. Seguem dois exemplos: Falsificar mensagem de e-mail Executar pacotes de autenticao Um ataque de Falsificao pode ter incio em um PostIt com sua senha, grudado no seu monitor. Violao A Violao ocorre quando os dados so alterados: Alterar dados durante a transmisso Alterar dados em arquivos

Repudiao A Repudiao talvez seja uma das ltimas etapas de um ataque bem sucedido, pois o ato de negar algo que foi feito. Isso pode ser feito apagando as entradas do Log aps um acesso indevido. Exemplos: Excluir um arquivo crtico e negar que excluiu Comprar um produto e mais tarde negar que comprou Divulgao A Divulgao das Informaes pode ser to grave e/ou custar to caro quanto um ataque de Negao de Servio, pois informaes que no podiam ser acessadas por terceiros, agora esto sendo divulgadas ou usadas para obter vantagem em negcios. Dependendo da informao ela pode ser usada como objeto de chantagem. Abaixo exemplos de Divulgao: Expor informaes em mensagens de erro Expor cdigo em sites Negao de Servio (DoS) (Denial of Service, DoS): A forma mais conhecida de ataque que consiste na perturbao de um servio, devido a danos fsicos ou lgicos causados no sistema que o suportam. Para provocar um DoS, os atacantes disseminam vrus, geram grandes volumes de trfego de forma artificial, ou muitos pedidos aos servidores que causam sub-carga e estes ltimos ficam impedidos de processar os pedidos normais. O objetivo deste ataque parar algum servio. Exemplo: Inundar uma rede com pacotes SYN (Syn-Flood) Inundar uma rede com pacotes ICPM forados O alvo deste tipo de ataque pode ser um Web Server contendo o site da empresa, ou at mesmo inundar o DHCP Server Local com solicitaes de IP, fazendo com que nenhuma estao com IP dinmico obtenha endereo IP. Elevao de Privilgios Acontece quando o usurio mal-intencionado quer executar uma ao da qual no possui privilgios administrativos suficientes: Explorar saturaes do buffer para obter privilgios do sistema Obter privilgios de administrador de forma ilegtima Este usurio pode aproveitar-se que o Administrador da Rede efetuou logon numa mquina e a deixou desbloqueada, e com isso adicionar a sua prpria conta aos grupos Domain Admins, e Remote Desktop Users. Com isso ele faz o que quiser com a rede da empresa, mesmo que esteja em casa. Quem pode ser uma ameaa? Quem ataca a rede/sistema so agentes maliciosos, muitas vezes conhecidos como crackers, (hackers no so agentes maliciosos, tentam ajudar a encontrar possveis falhas). Estas pessoas so motivadas para fazer esta ilegalidade por vrios motivos. Os principais motivos so: notoriedade, auto-estima, vingana e o dinheiro. sabido que mais de 70% dos ataques partem de usurios legtimos de sistemas de informao (Insiders) -- o que motiva corporaes a investir largamente em controles de segurana para seus ambientes corporativos (intranet). necessrio identificar quem pode atacar a minha rede, e qual a capacidade e/ou objetivo desta pessoa. Principiante no tem nenhuma experincia em programao e usa ferramentas de terceiros. Geralmente no tem noo do que est fazendo ou das conseqncias daquele ato. Intermedirio tem algum conhecimento de programao e utiliza ferramentas usadas por terceiros. Esta pessoa pode querer algo alm de testar um Programinha Hacker. Avanado Programadores experientes, possuem conhecimento de Infra-Estrutura e Protocolos. Podem realizar ataques estruturados. Certamente no esto s testando os seus programas.

Estas duas primeiras pessoas podem ser funcionrios da empresa, e provavelmente esto se aproveitando de alguma vulnerabilidade do seu ambiente. Vulnerabilidades Os ataques com mais chances de dar certo so aqueles que exploram vulnerabilidades, seja ela uma vulnerabilidade do sistema operacional, aplicativos ou polticas internas. Veja algumas vulnerabilidades: Roubo de senhas Uso de senhas em branco, senhas previsveis ou que no usam requisitos mnimos de complexidade. Deixar um Postit com a sua senha grudada no monitor uma vulnerabilidade. Software sem Patches Um gerenciamento de Service Packs e HotFixes mal feito uma vulnerabilidade comum. Veja casos como os ataques do Slammer e do Blaster, sendo que suas respectivas correes j estavam disponveis bem antes dos ataques serem realizados. Configurao Incorreta Aplicativos executados com contas de Sistema Local, e usurios que possuem permisses acima do necessrio. Engenharia Social O Administrador pode alterar uma senha sem verificar a identidade da chamada. Segurana fraca no Permetro Servios desnecessrios, portas no seguras. Firewall e Roteadores usadas incorretamente. Transporte de Dados sem Criptografia Pacotes de autenticao usando protocolos de texto simples, dados importantes enviados em texto simples pela Internet. Identifique, entenda como explor-las e mesmo que no seja possvel elimin-las, monitore e gerencie o risco de suas vulnerabilidades. Nem todos os problemas de segurana possuem uma soluo definitiva, a partir disso inicia-se o Gerenciamento de Risco, analisando e balanceando todas as informaes sobre Ativos, Ameaas, Vulnerabilidades, probabilidade e impacto. Nvel de segurana Depois de identificado o potencial de ataque, as organizaes tm que decidir o nvel de segurana a estabelecer para um rede ou sistema os recursos fsicos e lgicos a necessitar de proteo. No nvel de segurana devem ser quantificados os custos associados aos ataques e os associados implementao de mecanismos de proteo para minimizar a probabilidade de ocorrncia de um ataque. Polticas de segurana De acordo com o RFC 2196 (The Site Security Handbook), uma poltica de segurana consiste num conjunto formal de regras que devem ser seguidas pelos usurios dos recursos de uma organizao. As polticas de segurana deve ter implementao realista, e definir claramente as reas de responsabilidade dos usurios, do pessoal de gesto de sistemas e redes e da direo. Deve tambm adaptar-se a alteraes na organizao. As polticas de segurana fornecem um enquadramento para a implementao de mecanismos de segurana, definem procedimentos de segurana adequados, processos de auditoria segurana e estabelecem uma base para procedimentos legais na sequncia de ataques. O documento que define a poltica de segurana deve deixar de fora todos os aspetos tcnicos de implementao dos mecanismos de segurana, pois essa implementao pode variar ao longo do tempo. Deve ser tambm um documento de fcil leitura e compreenso, alm de resumido. Algumas normas definem aspectos que devem ser levados em considerao ao elaborar polticas de segurana. Entre essas normas esto a BS 7799 (elaborada pela British Standards Institution) e a NBR ISO/IEC 17799 (a verso brasileira desta primeira).

Existem duas filosofias por trs de qualquer poltica de segurana: a proibitiva (tudo que no expressamente permitido proibido) e a permissiva (tudo que no proibido permitido). Enfim, implantar Segurana em um ambiente no depende s da Tecnologia usada, mas tambm dos Processos utilizados na sua implementao e da responsabilidade que as Pessoas tm neste conjunto. Estar atento ao surgimento de novas tecnologias no basta, necessrio entender as necessidades do ambiente, e implantar polticas que conscientizem as pessoas a trabalhar de modo seguro. Seu ambiente nunca estar seguro, no imagine que instalando um bom Antivrus voc elimina as suas vulnerabilidades ou diminui a quantidade de ameaas. extremamente necessrio conhecer o ambiente e fazer um estudo, para depois poder implementar ferramentas e solues de segurana.

Procedimentos, aplicativos e dispositivos para armazenamento de dados e para realizao de cpia de segurana (backup).Existem muitas maneiras de perder informaes em um computador involuntariamente. Uma criana usando o teclado como se fosse um piano, uma queda de energia, um relmpago, inundaes. E algumas vezes o equipamento simplesmente falha. Em modos gerais o backup uma tarefa essencial para todos os que usam computadores e / ou outros dispositivos, tais como mquinas digitais de fotografia, leitores de MP3, etc. O termo backup tambm pode ser utilizado para hardware significando um equipamento para socorro (funciona como um pneu socorro do veculo) pode ser uma impressora, cpu ou monitor etc.. que servir para substituir temporariamente um desses equipamentos que estejam com problemas. Atualmente os mais conhecidos meios de backups so: CD-ROM, DVD e Disco Rgido Externo e fitas magnticas. Na prtica existem inmeros softwares para criao de backups e a posterior reposio. Como por exemplo o Norton Ghost da Symantec. Se voc costuma fazer cpias de backup dos seus arquivos regularmente e os mantm em um local separado, voc pode obter uma parte ou at todas as informaes de volta caso algo acontea aos originais no computador. A deciso sobre quais arquivos incluir no backup muito pessoal. Tudo aquilo que no pode ser substitudo facilmente deve estar no topo da sua lista. Antes de comear, faa uma lista de verificao de todos os arquivos a serem includos no backup. Isso o ajudar a determinar o que precisa de backup, alm de servir de lista de referncia para recuperar um arquivo de backup. Eis algumas sugestes para ajud-lo a comear: Dados bancrios e outras informaes financeiras Fotografias digitais Software comprado e baixado atravs da Internet Projetos pessoais Seu catlogo de endereos de e-mail Seu calendrio do Microsoft Outlook Seus favoritos do Internet Explorer O detalhe mais importante antes de fazer um backup formatar o disquete. Isso pode ser feito clicando com o boto direito do mouse sobre o cone do disquete, dentro do cone "Meu Computador" e selecionar a opo formatar. Para ter certeza que o disquete no est danificado, escolha a formatao completa, que verificar cada setor do disquete e mostrar para voc se o disquete tem algum dano. Sempre que um disquete tiver problemas, no copie arquivos de backups para ele.

Bem, agora que voc j sabe fazer cpias de segurana, conhea os dois erros mais banais que voc pode cometer e tornar o seu backup intil: 1- Fazer uma cpia do arquivo no mesmo disco. Isso no backup, pois se acontecer algum problema no disco voc vai perder os dois arquivos. 2- Fazer uma cpia e apagar o original. Isso tambm no backup, por motivos bvios. Disquetes tm uma capacidade limitada, de 1,44 MB, e no so uma boa opo para backups pois logo voc vai estar com uma pilha de disquetes na gaveta. Outro problema quando voc quer fazer o backup de um arquivo maior que a capacidade do disquete. A, o nico jeito recorrer a programas compactadores, como o Winzip ou o PKZip, da Pkware. Alm de reduzir o tamanho do arquivo original, eles permitem fazer split, isto , dividir o arquivo em vrios pedaos de 1,4 Mb, que depois podem ser unidos novamente, com o mesmo programa. Muitas pessoas compactam seus arquivos antes de fazer o backup, porque um arquivo compactado ocupa menos espao no disquete, assim sobra mais espao para um nmero maior de arquivos. Mas o correto deixar pelo menos uma cpia descompactada dos arquivos realmente insubstituveis. Se algo de errado acontecer com um nico bit de dados de um arquivo compactado, talvez ele no possa mais ser descompactado. Procure utilizar arquivos compactados apenas como backups secundrios, como imagens que geralmente ocupam um espao muito grande. Nesse caso, outra possibilidade a utilizao de um recurso do Pkzip que recupera arquivos danificados. Porm, nem todo o contedo que foi compactado ser recuperado, se voc copiou diversos arquivos, alguns podero ser salvos. Se voc possui um volume muito grande de arquivos para becapar, recomendvel comprar uma mdia removvel, como o Zip, da Iomega. Com esses discos de 100 Mb essa tarefa vai ficar bem mais fcil. No o suficiente? Use discos Jaz de 2 Gb da Iomega.

Copiando Arquivos de um Disco Rgido (H.D.) para um Disquete (Fazendo Backup) Clique no boto Iniciar (canto inferior esquerdo); Escolha Programas; e no menu que abre escolha Windows Explorer. O Windows Explorer dividido em duas partes. Do lado esquerdo so exibidas as pastas (diretrios) e do lado direito o contedo das pastas; Para ver o contedo de uma pasta clique uma vez sobre a pasta desejada(no lado esquerdo), e ele ser exibido do lado direito. Para ver o contedo de uma subpasta (uma pasta dentro de outra pasta) clique duas vezes sobre a pasta desejada do lado direito do Windows Explorer; Depois de visualizar os arquivos ou pastas que se deseja copiar no lado direito do Windows Explorer, selecione-os (clicando sobre o arquivo ou pasta, este ficar destacado); Clique com o boto direito do mouse sobre o arquivo Copiar; Clique em Disquete de 3 no lado esquerdo do Windows Explorer; Clique com o boto direito do mouse no espao em branco do lado direito, e escolha Colar;

Selecionando Vrios Arquivos Para selecionar vrios arquivos ou pastas, aps selecionar o primeiro segure a tecla Ctrl e clique nos outros arquivos ou pastas desejadas. Todos os arquivos (ou pastas) selecionadas ficaro destacadas.

Fazendo Backup do seu OutlookTodos sabemos do risco que no termos backup dos nossos dados, e dentre eles se inclui as informaes que guardamos no OUTLOOK. J imaginou ter que entrar com todos os contatos novamente? E seus compromissos no calendrio? Pior, como que vai recuperar as mensagens de e-mail que voc tinha guardado? Como fazer o backup das informaes do Outlook, no uma atividade muito simples (pelo menos no h nele nada automatizado), listamos aqui algumas maneiras de executar este backup e se garantir contra qualquer problema! Exemplo para Outlook.

1 - Copie todas as mensagens para uma pasta separada (com isso voc ter feito o backup das mensagens) 2 - V em Ferramentas -> Contas l selecione todas contas que deseja salvar e selecione Exportar. Cada conta ser salva com a extenso (IAF) na pasta que voc quiser. 3 - Para exportar todos os seus contatos, abra o seu catlogo de endereos do seu Outlook, ento clique em Arquivo -> Exportar -> Catlogo de endereos (WAB). Com esse procedimento todos os seus contatos sero armazenados num arquivo de extenso (WAB) com o nome que voc quiser e na pasta que voc quiser. 4 - Para as assinaturas simples, basta copiar o contedo de cada assinatura que voc utiliza em arquivos de texto (TXT) separados. Depois voc poder utilizar as suas assinaturas a partir dos arquivos que criou. 5 - Para as regras (ou filtros), voc dever ir em Ferramentas -> Assistente de Regras -> Clicar em OPES -> Clicar em Exportar Regras. Ser salvo um arquivo com a extenso RWZ. Fazer todos esses procedimentos mais trabalhoso, porm muito mais seguro. Outra soluo, utilizar programas especficos para backup do Outlook.

Meios disponveis para Backups em armazenamento externoEntende-se por armazenamento externo qualquer mecanismo que no se encontre dentro do seu PC. Existem vrias opes, e apresentamos uma tabela com os mais comuns, vantagens e desvantagens:

CD-RW um CD em que pode guardar/gravar suas informaes. Arquivos realmente preciosos que precisam ser guardados com 100% de certeza de que no sofrero danos com o passar do tempo devem ser becapeados em CDs. A maioria dos computadores atuais inclui uma unidade para gravar em CD-RW. O CD-ROM a forma mais segura de fazer grandes backups. Cada CD armazena at 650 Mb e, por ser uma mdia tica, onde os dados so gravados de maneira fsica, muito mais confivel que mdias magnticas sujeitas a interferncias eltricas.

DVD-RW um CD mas em formato DVD. A capacidade de armazenamento muito maior, normalmente entre 4 e 5 gibabytes. necessrio comprar o gravador de DVD; muitas vezes no contm software para fazer backups; deve ser operado manualmente.

Flash USB (Pen Drive)So dispositivos bastante pequenos que se conectam a uma porta USB do seu equipamento. So muito portteis, freqentemente so do tipo chaveiro, ideais para backups rpidos e para mover arquivos entre mquinas. No tm muita capacidade; voc deve escolher um modelo que no seja muito frgil.

Backups utilizando o WindowsFazer backups de sua informao no tem que ser um trabalho complicado. Voc pode simplesmente recorrer ao mtodo Copiar e Colar, ou seja, aproveitar as ferramentas dependendo da verso do Sistema Operacional (Windows, Linux, etc.) que voc utiliza.

Cpias ManuaisVoc pode fazer backups da sua informao com estes passos simples: 1. Clique com o boto direito sobre o arquivo ou pasta de que seja fazer backup e depois clique na opo Copiar no menu exibido. 2. Agora marque a unidade de backup, clique com o boto direito sobre ela e escolha Colar

no menu exibido. Voc pode marcar a unidade de backup ao localiz-la no cone Meu Computador, ou seja, como uma das unidades do Windows Explorer. Isso tudo. No se esquea de verificar o backup para se certificar que ele coube na unidade de backup e o mantenha protegido.

Utilizando a ferramenta inclusa no Windows XP Professional.Se voc trabalha com o Windows XP Professional, voc dispe de uma ferramenta muito til que se encarrega de fazer os backups que voc marcar. Siga estes passos para utiliz-la: 1. Clique em Iniciar e depois em Todos os Programas. 2. Dentro de Acessrios, aponte para Ferramentas de Sistema. 3. Escolha a opo Backup. Se for a primeira vez que voc utiliza essa ferramenta, aparecer o Assistente de backup ou restaurao. Clique em Avanar e siga as instrues na tela. Se voc deseja um guia passo a passo de como usar essa ferramenta, pode obt-lo em Backup do Windows XP Facilitado (em ingls). Sugesto: Se voc no sabe qual verso de sistema operacional utiliza, d um clique com o boto direito sobre o cone Meu Computador e escolha Propriedades. Dentro da guia Sistema voc encontrar a verso do seu sistema operacional.

Para utilizar a ferramenta de backups no Windows XP Home Edition.Se seu PC tem o Windows XP Home Edition, voc precisa adicionar a ferramenta de backups que vem no seu CD original seguindo estes passos: 1. Insira o CD do Windows XP (ou o que veio com seu equipamento se ele foi pr-carregado) na unidade de CD. Se a tela de apresentao no aparecer, d um clique duplo sobre o cone da unidade de CD dentro de Meu Computador. 2. Na tela de apresentao, escolha a opo Executar tarefas adicionais. 3. Clique em Explorar este CD. 4. O Windows Explorer se abrir. Localize a pasta ValueAdd e d um clique duplo sobre ela, depois em Msft e depois em NtBackup. 5. Agora, d um clique duplo sobre o arquivo NtBackup.msi para instalar a ferramenta de backup. Nota: Ao terminar a instalao, provvel que seja solicitado que voc reinicie seu equipamento. Para utilizar a ferramenta, siga estes passos: 1. Clique em Iniciar e depois em Todos os Programas. 2. Dentro de Acessrios, aponte para Ferramentas de Sistema. 3. Escolha a opo backup. Se for a primeira vez que voc utiliza essa ferramenta, aparecer o Assistente de backup ou restaurao. Clique em Avanar e siga as instrues na tela. Se voc deseja um guia passo a passo de como usar essa ferramenta, pode obt-lo em Backup do Windows XP Facilitado (em ingls). Sugesto: Se voc no sabe qual verso de sistema operacional utiliza, d um clique com o boto direito sobre o cone Meu Computador e escolha Propriedades. Dentro da guia Sistema voc encontrar a verso do seu sistema operacional.

Recomendaes para proteger seus backups.Fazer backups uma excelente prtica de segurana bsica. Agora lhe damos conselhos simples para que voc esteja a salvo no dia em que precisar deles:

1. Tenha seus backups fora do PC, em outro escritrio, e, se for possvel, em algum recipiente prova de incndios, como os cofres onde voc guarda seus documentos e valores importantes. 2. Faa mais de uma cpia da sua informao e as mantenha em lugares separados. 3. Estabelea uma idade mxima para seus backups, melhor comprimir os arquivos que j sejam muito antigos (quase todos os programas de backup contam com essa opo), assim voc no desperdia espao til. 4. Proteja seus backups com uma senha, de maneira que sua informao fique criptografada o suficiente para que ningum mais possa acess-la. Se sua informao importante para seus entes queridos, implemente alguma forma para que eles possam saber a senha se voc no estiver presente.

EXERCCIOS DE FIXAOOs gabaritos encontram-se no final dos exerccios

01) A tcnica que consiste na utilizao de mtodos de modificao de texto, visando a no transmiti-los em sua forma clara, protegendo-os em relao a eventual interceptao, conhecida como: A) modulao; B) backup incremental; C) proxy; D) criptografia; E) firewall. 02) Observe as seguintes afirmativas sobre segurana em senhas de acesso. I - Todo vrus com extenso EXE instala um programa espio para roubo de senhas. II - Quanto menor o tamanho de uma senha, maior sua segurana. III - Quanto maior a aleatoriedade de uma senha, maior sua segurana. Est(o) correta(s), somente, a(s) afirmativa(s): A) I B) II C) III D) I eIII E) II e III 03) NO considerado um programa malicioso: A) KeyLogger B) Worm C) Firewall D) Trojan E) Spyware 04) Juvncio recebeu um e-mail reportando que seu CPF estava cadastrado no Sistema de Proteo ao Crdito. Mesmo no havendo possibilidade disso acontecer, pois paga suas contas em dia ele, inadvertidamente, clicou no link que havia no corpo do e-mail. O link remetia para o seguinte endereo: http://www.vocecaiu.com/invadi.exe. A partir desse momento, o programa executado (invadi.exe) se instalou na mquina e capturou sua senha de banco. Esse um procedimento caracterstico de infeco por: A) vrus de boot B) vrus de macro C) worm D) trojan

E) spam 05) Considere as assertivas abaixo sobre criptografia: I. Criptografia o conjunto de tcnicas matemticas utilizadas para embaralhar uma mensagem. II. Na criptografia simtrica a mesma chave utilizada para encriptar e decriptar uma mensagem. III. Na criptografia assimtrica so usadas duas chaves, uma privativa e uma pblica. Esto corretas: A) I e II apenas B) I e III apenas C) II e III apenas D) I, II e III E) Todas esto incorretas 06) No so propriedades da comunicao segura: (A) confidencialidade e disponibilidade; (B) autenticao e criptografia; (C) disponibilidade e controle de acesso; (D) integridade e no-repdio de mensagens; (E) roteamento e escalonamento. 07) .Em relao aos vrus de Informtica, NO um objetivo desses programas: A) retardar o processamento da mquina; B) introduzir figuras ou objetos em movimento na tela, atrapalhando a visualizao dos dados e dificultando seu processamento; C) apagar todas as informaes contidas no disco rgido do equipamento; D) causar destruio dos programas e aplicativos; E) prover alimentao eltrica sem interrupo para os servidores e equipamentos ativos, evitando uma interrupo brusca no processamento. 08) Em relao s formas de contaminao por vrus na Informtica, aquela que considerada a maior forma de contaminao por vrus : A) disquete de driver do fabricante de placa de vdeo; B) arquivos da Internet; C) CD-ROM (R) oficial de instalao do Windows; D) jogos com licenas e mdias oficiais; E) arquivos do backup. 09) Sobre segurana na Internet, considere as afirmativas a seguir. I. Sempre abrir arquivos anexados a e-mails. II. Manter sempre um programa anti-vrus instalado e atualizado. III. Instalar um firewall para aumentar a segurana. IV. Clicar em links de bancos recebidos por e-mail. Apresentam hbitos que diminuem os riscos no uso da Internet, apenas as afirmativas: a) I e II. b) II e III. c) I e IV. d) I, III e IV. e) II, III e IV. 10) Para impedir que usurios no autorizados abram um documento, voc deve: a) atribuir uma senha em Ferramentas - Opes - Salvar b) No menu Ferramentas, clique em Proteger documento. c) Salvar como e marcar a caixa de seleo Recomendvel somente leitura. d) Salvar como pgina da web 11) O dispositivo fsico, utilizado para realizar uma cpia de segurana local, que permite o resgate de informaes importantes ou programas em caso de falha do disco rgido, pode ser definido como:

A) Backup; B) Restore; C) Sistema Operacional; D) Disquete; E) Browser. 12) Dentre as alternativas a seguir indique qual a CORRETA quando se quer definir, no ambiente Internet, o que significa spam: A) mensagens eletrnicas enviadas para usurios sem que estes as tenham solicitado. B) conjunto de endereos de domnios inexistentes. C) bloqueadores de endereos de domnios inexistentes. D) nome de um vrus que se espalha via correio eletrnico. 13) Selecione a melhor forma de privacidade para dados que estejam trafegando em uma rede: A) Criptografia. B) Chaves de segurana e bloqueio de teclados. C) Emprego de sistema de senhas e autenticao de acesso. D) Mtodos de Backup e recuperao eficientes. E) Desativao da rede e utilizao dos dados apenas em "papel impresso". 14) Sobre as cpias de segurana tambm chamadas de "backup", podemos afirmar: A) Backups de arquivos e de banco de dados so procedimentos extremamente necessrios nas instalaes de informtica das organizaes. Eles no permitem re-processamentos, mas, entre outras finalidades, permitem recuperar transaes processadas. B) Backups de arquivos e de banco de dados so procedimentos extremamente necessrios nas instalaes de informtica nas organizaes. Eles no permitem re-processamentos, mas, entre outras finalidades, permitem recuperar situaes passadas e facilitam trabalhos de auditoria. C) Os backups e logs (histrico) de transaes so fundamentais em atividades de auditoria e na recuperao de transaes processadas, possibilitando re-processamentos. D) uma boa estratgia fazer um backup total do sistema diariamente, principalmente em ambientes com grandes bases de dados. E) Os backups geralmente so gravados em dispositivos com grande capacidade de armazenamento e de alta velocidade de acesso para facilidade das operaes. 15) Sobre o hardware utilizado para armazenamento de dados e informaes nos computadores, podemos afirmar: A) Os discos magnticos so unidades exclusivamente de sada e servem para armazenar os arquivos e banco de dados das aplicaes nos computadores. B) Todo disco magntico e CD-ROM, nos ambientes de microcomputadores, podem ser reutilizados (regravados). C) Os arquivos de dados e de aplicaes so gravados nos discos magnticos e no CD-ROM numa estrutura constituda por trilhas concntricas. D) Os arquivos de dados e de aplicaes so gravados nos discos magnticos numa estrutura constituda por trilhas concntricas, todas com a mesma capacidade de armazenamento. E) Nas trilhas mais prximas do centro (raio menor) dos discos magnticos e dos CD-ROM, a quantidade de informaes gravadas menor do que nas suas trilhas mais externas (raio maior).

16) Um funcionrio utiliza o webmail corporativo da empresa em que trabalha. Ele recebe uma mensagem com o assunto "urgente", contendo um arquivo anexo executvel, mas no reconhece o nome do remetente. Entre as atitudes a seguir, qual representa maior risco para a segurana do sistema? A) Abrir o arquivo imediatamente. Pode ser importante. B) Deixar a mensagem guardada, mas sem abrir, aguardando algum contato telefnico que indique sua origem. C) Apagar a mensagem imediatamente. Se ele no conhece o remetente, no est esperando nenhuma mensagem dele. D) Abrir e ler a mensagem, mas no executar o anexo. E) Tentar descobrir quem o remetente, ligando, por exemplo, para a telefonista da empresa.

Gabarito01 - D 11 -D 02 - C 12 - A 03 -C 13 - A 04 - D 14 - C 05 - D 15 - D 06 - E 16 - A 07 - E *** 08 - B *** 09 - B *** 10 - A ***