# 🔐 Segurança da Informação — Resumo para Concursos (Banca FCC) --- ## 1. Princípios Fundamentais — CID (CIA Triad) | Princípio | Definição | Exemplo de Violação | |---|---|---| | **Confidencialidade** | Acesso apenas por pessoas autorizadas | Vazamento de dados de usuários | | **Integridade** | Dados não alterados sem autorização | Adulteração de um documento | | **Disponibilidade** | Sistema acessível quando necessário | Ataque DDoS derruba o site | > 💡 Outros princípios complementares cobrados pela FCC: > - **Autenticidade** — garantia de que o emissor é quem afirma ser > - **Não-repúdio (Irretratabilidade)** — o autor não pode negar a autoria de uma ação > - **Legalidade** — conformidade com a legislação vigente --- ## 2. Ameaças, Vulnerabilidades e Riscos ``` Risco = Ameaça × Vulnerabilidade × Impacto ``` - **Ameaça**: Qualquer evento que possa causar dano (ex: hacker, desastre natural) - **Vulnerabilidade**: Fraqueza que pode ser explorada (ex: software desatualizado) - **Risco**: Probabilidade de uma ameaça explorar uma vulnerabilidade - **Impacto**: Consequência caso o risco se concretize - **Ativo**: Qualquer coisa de valor para a organização (dados, sistemas, pessoas) - **Controle**: Medida para reduzir o risco --- ## 3. Tipos de Malware | Malware | Característica Principal | |---|---| | **Vírus** | Precisa de um arquivo hospedeiro para se propagar | | **Worm** | Propaga-se sozinho pela rede, sem necessidade de hospedeiro | | **Trojan (Cavalo de Tróia)** | Parece legítimo, mas executa ações maliciosas ocultas | | **Ransomware** | Criptografa arquivos e exige resgate. Existem dois tipos de ransomware:Ransomware Locker: impede que você acesse o equipamento infectado.Ransomware Crypto: impede que você acesse aos dados armazenados no equipamento infectado, geralmente usando criptografia. | | **Spyware** | Monitora atividades do usuário sem seu conhecimento | | **Adware** | Exibe propagandas indesejadas | | **Rootkit** | Rootkit é um conjunto de ferramentas ou código malicioso que permite acesso não autorizado com privilégios elevados (geralmente nível de administrador/root) e que atua para esconder processos, arquivos, registros ou atividades no sistema comprometido. | | **Keylogger** | Captura teclas digitadas (senhas, etc.) | | **Botnet** | Rede de máquinas infectadas controladas remotamente | | **Backdoor** | Porta de acesso oculta deixada pelo atacante | **Bot** | Bot é um programa malicioso que dispõe de mecanismos de comunicação com o invasor que permitem que ele seja controlado remotamente. Possui processo de infecção e propagação similar ao do worm, ou seja, é capaz de se propagar automaticamente, explorando vulnerabilidades existentes em programas instalados em computadores. Tipos de Trojan: Trojan Downloader: instala outros códigos maliciosos, obtidos de sites na Internet. Trojan Dropper: instala outros códigos maliciosos, embutidos no próprio código do trojan. Trojan Backdoor: inclui backdoors, possibilitando o acesso remoto do atacante ao computador. Trojan DoS: instala ferramentas de negação de serviço e as utiliza para desferir ataques. Trojan Destrutivo: altera/apaga arquivos e diretórios, formata o disco rígido e pode deixar o computador fora de operação. Trojan Clicker: redireciona a navegação do usuário para sites específicos, com o objetivo de aumentar a quantidade de acessos a estes sites ou apresentar propagandas. Trojan Proxy: instala um servidor de proxy, possibilitando que o computador seja utilizado para navegação anônima e para envio de spam. Trojan Spy: instala programas spyware e os utiliza para coletar informações sensíveis, como senhas e números de cartão de crédito, e enviá-las ao atacante. Trojan Banker ou Bancos: coleta dados bancários do usuário, através da instalação de programas spyware que são ativados quando sites de Internet Banking são acessados. É similar ao Trojan Spy porém com objetivos mais específicos.  ## 4. Tipos de Ataques ### 4.1 Ataques à Rede - **DDoS (Distributed Denial of Service)**: sobrecarga de um servidor com requisições massivas - **Man-in-the-Middle (MitM)**: interceptação da comunicação entre duas partes - **Sniffing**: captura de pacotes de rede para análise indevida - **Spoofing**: falsificação de identidade (IP, e-mail, DNS) - **SQL Injection**: inserção de comandos SQL maliciosos em formulários - **XSS (Cross-Site Scripting)**: injeção de scripts maliciosos em páginas web - **SYN Flood:** Um ataque de SYN flood é um tipo de ataque DDoS (Negação de Serviço Distribuído) que visa tornar um servidor indisponível, consumindo seus recursos com solicitações TCP falsas. Ele explora o "handshake" (aperto de mão) de três vias do protocolo TCP, enviando múltiplos pacotes SYN e ignorando a resposta SYN-ACK do servidor. - **Jamming:** Um jamming attack (ataque de interferência) é uma forma de negação de serviço que bloqueia ou degrada comunicações sem fio (Wi-Fi, GPS, Bluetooth, celular). O atacante emite ruído de radiofrequência (RF) para sobrecarregar o sinal legítimo, tornando o receptor inoperante. Pode ser deliberado ou acidental, visando interromper redes de dados ou localização. ### 4.2 Engenharia Social - **Phishing/Scam**: phishing é um tipo de cibercrime que usa **engenharia social** para enganar pessoas, roubando informações confidenciais (senhas, dados bancários) ou instalando malwares. Golpistas fingem ser empresas confiáveis (bancos, marcas) por e-mail, SMS ou redes sociais, geralmente com tom de urgência ou ameaças de bloqueio de conta. - **Spear Phishing**: phishing direcionado a uma pessoa ou organização específica - **Vishing**: phishing por voz/telefone - **Smishing**: phishing por SMS - **Baiting**: isca física ou digital (ex: pen drive deixado no chão) - **Pretexting**: criação de um cenário fictício para enganar a vítima - **Pharming**: Pharming é um tipo sofisticado de ataque cibernético que redireciona usuários para sites falsos, mesmo quando o endereço correto (URL) é digitado. Ao corromper o sistema DNS ou infectar computadores, o atacante rouba dados sensíveis, como senhas e informações bancárias, agindo como um "phishing sem isca". --- ## 5. Criptografia ### 5.1 Princípio de Kerckhoffs > 🔑 **"A segurança de um sistema criptográfico deve depender exclusivamente do segredo da chave, e não do segredo do algoritmo."** Formulado por Auguste Kerckhoffs em 1883, este princípio estabelece que: - O **algoritmo** de criptografia pode (e deve) ser **público e conhecido** - Apenas a **chave** precisa ser mantida em **segredo** - Um sistema não deve ser considerado seguro só porque seu funcionamento interno é desconhecido ("segurança por obscuridade" **não é segurança real**) **Consequências práticas:** - Algoritmos abertos permitem **auditoria pública** e identificação de vulnerabilidades - A segurança não colapsa se o algoritmo for descoberto pelo atacante — apenas se a chave for comprometida - É a base do design de algoritmos modernos como **AES, RSA e SHA** > ⚠️ A FCC pode cobrar esse princípio em contraposição à "segurança por obscuridade". Lembre-se: **obscuridade não é um mecanismo de segurança válido**. --- ### 5.2 Tipos de Criptografia | Tipo | Chaves | Velocidade | Uso | |---|---|---|---| | **Simétrica** | Mesma chave para cifrar e decifrar | Rápida | Grandes volumes de dados | | **Assimétrica** | Par de chaves: pública + privada | Lenta | Certificados, assinaturas | | **Híbrida** | Combina simétrica + assimétrica | Intermediária | SSL/TLS, HTTPS | ### 5.3 Algoritmos Importantes - **Simétricos**: AES (mais usado), DES, 3DES, RC4 - **Assimétricos**: RSA, ECC, Diffie-Hellman - **Hash (não reversível)**: MD5 (128 bits), SHA-1 (160 bits), SHA-256, SHA-512 > ⚠️ MD5 e SHA-1 são considerados **comprometidos** e não recomendados para uso seguro. ### 5.4 Como funciona a Assinatura Digital 1. O emissor gera um **hash** do documento 2. O hash é **cifrado com a chave privada** do emissor → gera a assinatura digital 3. O receptor **decifra a assinatura com a chave pública** do emissor 4. Compara o hash decifrado com o hash do documento recebido 5. Se forem iguais, a autenticidade e integridade estão garantidas --- ### 5.5 PKI — Infraestrutura de Chave Pública A **PKI (Public Key Infrastructure)** é o conjunto de políticas, processos, hardware, software e pessoas necessários para criar, gerenciar, distribuir, usar, armazenar e revogar certificados digitais. É a base tecnológica que sustenta a criptografia assimétrica em larga escala. **Componentes da PKI:** | Componente | Função | |---|---| | **AC Raiz** | Topo da cadeia de confiança; assina os certificados das ACs subordinadas | | **AC Intermediária** | Emite certificados para usuários finais ou outras ACs | | **AR (Autoridade de Registro)** | Valida a identidade do solicitante antes da emissão | | **Repositório** | Armazena e publica certificados e CRLs | | **CRL** | Lista de certificados revogados antes do vencimento | | **OCSP** | Protocolo para verificar revogação em tempo real (alternativa à CRL) | **Cadeia de confiança (Chain of Trust):** A PKI funciona de forma hierárquica. A AC Raiz assina o certificado da AC Intermediária, que por sua vez assina o certificado do usuário final. Para validar um certificado, o sistema percorre essa cadeia até chegar à AC Raiz, que é inerentemente confiável (âncora de confiança). **Como ocorre a validação de um certificado:** 1. O sistema recebe o certificado digital do servidor/usuário 2. Verifica a assinatura da AC emissora (com a chave pública da AC) 3. Verifica se o certificado está dentro da validade 4. Consulta a CRL ou o OCSP para verificar se não foi revogado 5. Sobe a cadeia até a AC Raiz confiável — se chegar, o certificado é válido **No contexto brasileiro — ICP-Brasil:** A ICP-Brasil é a PKI nacional oficial. Sua AC Raiz é gerida pelo ITI (Instituto Nacional de Tecnologia da Informação). A estrutura segue o modelo hierárquico descrito acima, com ACs de 1º nível (subordinadas à Raiz) e ACs de 2º nível (subordinadas às de 1º nível). > 🎯 **Ponto FCC:** A diferença entre **AC** (emite e assina certificados) e **AR** (apenas valida identidade — não emite certificados) é muito cobrada. A AR **não** possui poder de emissão. > 🎯 **Ponto FCC:** O **OCSP** é mais eficiente que a CRL para verificação em tempo real, pois não exige o download de uma lista inteira — responde apenas sobre o certificado consultado. ---   ## 6. Certificação Digital - **ICP-Brasil**: Infraestrutura de Chaves Públicas Brasileira — padrão oficial no Brasil - **Certificado Digital**: documento eletrônico que associa a chave pública a uma pessoa/entidade - **AC (Autoridade Certificadora)**: emite e assina os certificados digitais - **AR (Autoridade de Registro)**: valida as identidades antes da emissão do certificado - **CRL (Lista de Certificados Revogados)**: lista de certificados cancelados antes do vencimento ### Tipos de Certificado (ICP-Brasil) | Tipo | Uso | |---|---| | **e-CPF (A1/A3)** | Pessoa física — assinatura de documentos | | **e-CNPJ** | Pessoa jurídica | | **A1** | Armazenado em software (arquivo) | | **A3** | Armazenado em hardware (token ou smart card) | --- ## 7. Ferramentas e Mecanismos de Segurança | Ferramenta | Função | |---|---| | **Firewall** | Filtra tráfego de rede com base em regras | | **IDS (Intrusion Detection System)** | Detecta intrusões e gera alertas | | **IPS (Intrusion Prevention System)** | Detecta e bloqueia intrusões ativamente | | **Antivírus** | Detecta e remove malwares | | **Proxy** | Intermediário entre usuário e internet (pode filtrar conteúdo) | | **VPN** | Cria túnel criptografado para comunicação segura | | **DMZ** | Zona desmilitarizada — rede intermediária entre internet e rede interna | | **WAF** | Web Application Firewall — protege aplicações web | | **SIEM** | Correlaciona eventos de segurança em tempo real | | **MFA** | Autenticação com dois ou mais fatores | --- ## 8. Protocolos de Segurança | Protocolo | Porta | Função | |---|---|---| | **HTTPS** | 443 | HTTP seguro com criptografia TLS | | **SSH** | 22 | Acesso remoto seguro | | **SFTP** | 22 | Transferência segura de arquivos | | **TLS** | — | Sucessor do SSL; garante confidencialidade na comunicação | | **SSL** | — | Protocolo antigo (depreciado) | | **S/MIME** | — | Criptografia e assinatura de e-mails | | **IPSec** | — | Segurança na camada de rede (usado em VPNs) | --- ## 9. LGPD — Lei Geral de Proteção de Dados (Lei 13.709/2018) ### Conceitos-chave - **Titular**: pessoa natural a quem os dados se referem - **Controlador**: decide como e por que os dados são tratados - **Operador**: realiza o tratamento em nome do controlador - **Encarregado (DPO)**: canal entre controlador, titulares e ANPD - **ANPD**: Autoridade Nacional de Proteção de Dados — fiscaliza a lei ### Bases Legais para Tratamento de Dados 1. Consentimento do titular 2. Obrigação legal ou regulatória 3. Execução de políticas públicas 4. Estudos por órgão de pesquisa 5. Execução de contrato 6. Exercício regular de direitos 7. Proteção da vida 8. Tutela da saúde 9. Legítimo interesse 10. Proteção do crédito ### Dados Sensíveis (art. 5º, II) Origem racial/étnica, convicção religiosa, opinião política, saúde, vida sexual, dados genéticos/biométricos, filiação a sindicato. > ⚠️ Dados sensíveis exigem **consentimento específico e destacado** ou outras bases legais restritas. ### Direitos dos Titulares - Confirmação e acesso aos dados - Correção de dados incompletos ou desatualizados - Anonimização, bloqueio ou eliminação - Portabilidade - Informação sobre compartilhamento - Revogação do consentimento --- ## 10. Normas e Frameworks de Segurança | Norma/Framework | O que é | |---|---| | **ISO/IEC 27001** | Requisitos para um SGSI (Sistema de Gestão de Segurança da Informação) | | **ISO/IEC 27002** | Boas práticas e controles de segurança | | **ISO/IEC 27005** | Gestão de riscos de segurança da informação | | **NIST Cybersecurity Framework** | Framework americano: Identificar, Proteger, Detectar, Responder, Recuperar | | **COBIT** | Governança e gestão de TI (inclui segurança) | | **ITIL** | Gerenciamento de serviços de TI (inclui gestão de incidentes) | --- ## 11. Gestão de Continuidade e Recuperação - **Plano de Continuidade de Negócios (PCN/BCP)**: mantém operações durante e após incidentes - **Plano de Recuperação de Desastres (DRP)**: foco em recuperar a TI após um desastre - **RTO (Recovery Time Objective)**: tempo máximo aceitável para restaurar os serviços - **RPO (Recovery Point Objective)**: quantidade máxima de dados que se pode perder (tempo) - **Backup**: tipos cobrados — completo, incremental e diferencial | Tipo de Backup | O que grava | Velocidade de backup | Velocidade de restauração | |---|---|---|---| | **Completo** | Tudo | Lenta | Rápida | | **Incremental** | Apenas o que mudou desde o último backup (qualquer tipo) | Rápida | Lenta | | **Diferencial** | Tudo que mudou desde o último backup **completo** | Média | Média | --- ## 12. Controle de Acesso ### Modelos de Controle - **DAC (Discretionary Access Control)**: o dono do recurso define quem acessa - **MAC (Mandatory Access Control)**: acesso definido por políticas obrigatórias do sistema (ex: militar) - **RBAC (Role-Based Access Control)**: acesso baseado em papéis/cargos — o mais comum em organizações - **ABAC (Attribute-Based Access Control)**: acesso baseado em atributos (contexto, hora, local etc.) ### Fatores de Autenticação (MFA) 1. **Algo que você sabe** — senha, PIN 2. **Algo que você tem** — token, smart card, celular 3. **Algo que você é** — biometria (digital, iris, voz) --- ## 13. Questões-Padrão FCC — Pontos de Atenção > 🎯 A FCC adora cobrar esses detalhes: - Worm **não precisa** de hospedeiro; vírus **precisa** - Ransomware **criptografa** dados e pede resgate - Assinatura digital garante **autenticidade e integridade**, não confidencialidade - Criptografia assimétrica: **cifra com chave pública**, **decifra com chave privada** - HTTPS usa **TLS** (não SSL — SSL está depreciado) - **IDS detecta**, **IPS detecta e bloqueia** - Na LGPD, o **encarregado (DPO)** não precisa ser necessariamente um advogado - Backup **incremental** é mais rápido para gravar, mais lento para restaurar - **SHA-256** é mais seguro que MD5 e SHA-1 - **Phishing** é engenharia social por e-mail; **Vishing** é por voz; **Smishing** é por SMS - Pelo **Princípio de Kerckhoffs**, a segurança deve estar na **chave**, não no sigilo do algoritmo — "segurança por obscuridade" **não é válida** - Na PKI, a **AR não emite certificados** — apenas valida identidade; quem emite é a **AC** - O **OCSP** verifica revogação em tempo real; a **CRL** é uma lista baixada periodicamente - A **AC Raiz** é a âncora de confiança no topo da cadeia — seu certificado é autoassinado --- *Resumo elaborado com foco no perfil de cobrança da Banca FCC — concursos da área judiciária (TRT, TRF, TCE, MP).*