Aula2

Question 1

Web

Answer 1

Existe a Web que é utilizada pelos utilizadores comuns.

Question 2

Deep Web

Answer 2

Conjunto de informação muito valiosa, tipicamente informação privada/confidencial. Quem tiver acesso a ela tem uma vantagem competitiva (informação académica, médica, legal, governamental e de subscrições).

Question 3

Dark Web

Answer 3

Área pouca abordada a nível académico. Tem o objetivo de garantir um meio de comunicação privado, preservar o anonimato, onde consta informação ilegal que é aquilo que não pode ser visível na camada superior da web. É também utilizada para transações diárias ilegais como drogas, medicamentos, etc e que não pode ser navegada nos meios tradicionais.

Question 4

Information Security Overview

Answer 4

• Segurança da informação engloba Segurança Técnica e Segurança Administrativa
• Segurança técnica engloba a segurança IT e a segurança física.
• Dentro da IT security temos a segurança dos computadores e a segurança das comunicações.

Question 5

Confidencialidade

Answer 5

Apenas os utilizadores que realmente sejam autorizados à informação têm acesso à mesma. Em suma, apenas quem realmente pode aceder à informação, tem acesso a ela. Prevenção do acesso não autorizado ou divulgação da informação sensível.
Proteção de informação e da privacidade.

Question 6

Integridade

Answer 6

A informação criada é integra, ela não pode ser modificada nem destruída pelos utilizadores. Proteção contra modificações, adulterações ou destruição da informação.
Garantia de autenticidade e não repúdio.

Question 7

Disponibilidade

Answer 7

O conteúdo tem que estar disponível. Garantia no acesso oportuno e fiável à informação. Nota: Um ataque de DoS ou DDoS é um ataque à disponibilidade da informação.

Question 8

Malware

Answer 8

Qualquer pedaço de código ou software desenvolvido que permite um ataque não autorizado em que pode colocar em risco o acesso ao computador ou a sua execução. O malware é obrigado a uma execução do utilizador.

Question 9

Vírus

Answer 9

Um vírus de computador é apenas um tipo de malware. Todos os vírus são malware, mas nem todo malware é um vírus. Um vírus de computador é projetado para se copiar e se espalhar para o maior número possível de outros dispositivos, de mesma maneira que um vírus biológico infecta o seu hospedeiro, replica-se automaticamente e espalha-se para novos hospedeiros. Proliferam infetando aplicações e e-mail, e podem ser transmitidos por mídias de armazenamento removível, sites infetados, anexos de e-mail e até routers.

Question 10

Worm

Answer 10

É um malware isolado (standalone) que se replica, espalhando-se em outros sistemas de computadores.

Question 11

Trojan

Answer 11

É um malware e aparece dissimulado como um software legitimo, tentando escapar aos antivírus.

Question 12

Spyware

Answer 12

É um malware instalado num computador em que não existe o conhecimento ou a permissão do utilizador, com o propósito de espiar e coletar informações. Os spywares são muitas vezes utilizados juntamente com outros ataques (tipicamente está na camada inicial), e consegue-se obter o comportamento do utilizador, o acesso às portas, comunicação, etc e permite explorar e potenciar outros tipos de ataques. Os keyloggers e os Screenloggers são exemplos de spyware, que permitem armazenar em memoria ou enviar remotamente para alguém para ou algum servidor aquilo que o utilizador digitou ou realizou no seu dispositivo.

Question 13

Adware

Answer 13

É um malware em que o processo de injeção está associado à publicidade não solicitada como os pop-ups, banners, vídeos), normalmente acontece quando o utilizador está a navegar na internet.

Question 14

Ransomware

Answer 14

Malware desenvolvido para restringir a disponibilidade do acesso aos sistemas de computadores (a informação do utilizador é encriptada) onde a vítima é instruída a realizar um pagamento avultado (tipicamente em criptomoedas) para, eventualmente, ficar novamente com acesso aos seus dispositivos e informações. Normalmente é precedido de um ataque de phishing e/ou engenharia social ganhando, por exemplo, acesso administrativo ilegítimo para disseminar o ransowmare e encriptar a informação do utilizador. Tipicamente a informação é primeiramente extraída pelos atacantes e depois é realizada a encriptação da informação do sistema da vítima e pedido o resgate. No entanto, o pagamento do resgate não é sinonimo de garantia, é necessário que o utilizador ou organização façam resiliência de backups disponíveis, pois, não há garantia que mesmo pagando o resgate o atacante forneça a chave de desencriptação.
CONTRAMEDIDAS/MEDIDAS DE MITIGAÇÃO PARA DESENCRIPTAR UMA MÁQUINA COM RANSOMWARE: validar os logs para perceber de onde é que o ataque veio, existem também sites que disponibilizem chaves de desencriptação, mas a taxa de sucesso é relativamente baixa.

Question 15

Backdoor

Answer 15

É colocar uma área em que é permitido o acesso para passar o perímetro/a camada de proteção. Genericamente é negativo, porque um backdoor é um sistema não controlado. Há casos em que também é/seria positivo, exemplo disso é a Guerra Ucrânia/Rússia. Se a UE tivesse um backdoor no sistema nuclear da Rússia seria bom para a UE. Há formas de contornar o fator da segurança digital, e o facto de trocar de passwords de forma periódica nem sempre resulta para as organizações, porque muitas pessoas guardam as passwords em post-its e, por exemplo, devido a uma fraca política de controlos de acesso, pessoas como empregados de limpeza eram subornados para fornecerem essas passwords a atacantes/invasores. É por isso importante pensar numa solução integrada e não passar a responsabilidade para os outros.

Question 16

Exploit

Answer 16

Um pedaço de código ou software que executa ou estabelece uma dada vulnerabilidade de uma dada aplicação ou framework. Ou seja, é a exploração de algo ou exploração de uma vulnerabilidade que já existe no sistema.

Question 17

Scanning

Answer 17

Associado ao ataque de DoS. É quando um atacante envia um conjunto de pedidos/solicitações muito elevado no sentido de encontrar pontos vulneráveis no sistema e recolher informação, tipicamente é um ataque de força bruta que vai tentar as várias possibilidades.

Question 18

Sniffing

Answer 18

Observação silenciosa e passiva, com o intuito de analisar o comportamento da rede, como tráfego, portas, entre outros, sendo importante para potenciar outros ataques. Este ataque é passivo e os operadores e as próprias empresas não têm conhecimento deste tipo de ataque, tornando-se assim vítimas deste ataque silencioso.

Question 19

Spam

Answer 19

Conjunto de mensagens em massa recebidas (não solicitadas), geralmente para fins de publicidade e tipicamente associado ao email, mas também ligado a outras plataformas como SMS, WhatsApp, entre outros.

Question 20

Login Attack

Answer 20

Várias tentativas, geralmente automáticas, de adivinhar as credenciais de acesso aos sistemas de autenticação, seja por força bruta ou com credenciais roubadas/compradas. Uma das estratégias para contornar este tipo de ataques, é restringir o número de logins que são realizados num curto espaço de tempo, mas pode não resultar sobretudo devido à robustez da password. O modelo de password seguro pode envolver tipicamente pelo menos 8 caracteres (caracteres especiais, números, maiúsculas, minúsculas, etc). Ataques de dicionário são também bastante utilizados para este tipo de ataque.
ATAQUE DE DICIONÁRIO é um conjunto de passwords que estão num ficheiro que já foram identificadas em ataques anteriores e que se podem utilizar para força bruta para tentar adivinhar essas passwords. O ataque de dicionário pode ir mais à letra, como a utilização efetiva de um dicionário de um dado idioma.

Question 21

Phishing

Answer 21

Tem como objetivo estabelecer um canal de comunicação com o humano em que se pretende passar uma mensagem de algo que aparente é correto (lícito) com o objetivo de obter dados pessoais, como por exemplo dados de acessos a sistemas, contas bancárias, etc.
Estes atacantes fazem-se passar por entidades ou pessoas respeitáveis e desta forma aproveitarem-se das vítimas para concretizar o ataque.
COMO DETETAR ESQUEMAS DE PHISHING: a questão do dialeto, pois, muitas vezes as mensagens vêm em português do Brasil e são assim fáceis de identificar. O cabeçalho da mensagem, a assinatura, o próprio endereço de email são similares ao que era suposto, mas efetivamente tratam-se de emails e assinaturas fraudulentas.

Question 22

Malvertising

Answer 22

Malvertising é o uso de anúncios/publicidade online para distribuir programas maliciosos. Os cibercriminosos incorporam um script especial num banner ou redirecionam os utilizadores que clicam num anúncio para uma página especial contendo código para realizar o download do malware. Em alguns casos, os visitantes nem precisam clicar num anúncio falso, o código executa quando o anúncio é exibido.

Question 22

Malvertising

Answer 22

Malvertising é o uso de anúncios/publicidade online para distribuir programas maliciosos. Os cibercriminosos incorporam um script especial num banner ou redirecionam os utilizadores que clicam num anúncio para uma página especial contendo código para realizar o download do malware. Em alguns casos, os visitantes nem precisam clicar num anúncio falso, o código executa quando o anúncio é exibido.

Question 23

Social Engineering

Answer 23

Conjunto de técnicas que permitem, de alguma forma, estabelecer a comunicação com a vítima, ganhar a sua confiança, utilizando métodos não técnicos, tais como a mentira, a trapaça, suborno, chantagem, etc. São dos ataques com mais sucesso, devido à proximidade que o atacante estabelece com a vítima, resultando numa extração de informações.

Question 24

Data Breach

Answer 24

É a movimentação ou divulgação não autorizada de informações confidenciais, geralmente, para uma parte externa da organização, que não está autorizada a aceder às informações. Também pode acontecer internamente, devido à competição entre os grupos dentro das empresas.

Question 25

Intrusion Detection

Answer 25

Relacionado com a área de mitigação. Processo e métodos baseados em logs, para analisar informações de redes e sistemas de informação para determinar se houve uma quebra de segurança (data breach) ou violação de segurança (security violation).

Question 26

Denial of Service (DoS)

Answer 26

O ataque de DoS é simples de resolver, deve-se validar os pedidos que estão a ser feitos, de onde (qual a sua origem) e bloquear o IP da máquina. O problema do DoS é a identificação, depois é relativamente fácil de bloquear o acesso. O DoS só envolve uma máquina, ao contrário do DDoS que envolve várias máquinas para ser um ataque bem sucedido. Por vezes, existe a dificuldade de distinguir os pedidos lícitos dos ilícitos, sendo que há ataques de DDoS como, por exemplo, o não realizar o ataque todo ao mesmo tempo, mas sim realizá-lo por fases.

Question 27

Distributed Denial of Service (DDoS)

Answer 27

Um ataque de DDos pode ser combatido com bons mecanismos, ou seja, os ataques são mitigados, mas não são completamente evitados, e temos técnicas como por exemplo analisar o tráfego, com mecanismos de DNS para apontar para outros servidores, firewalls de estado que bloqueiam determinados IP’s depois de várias tentativas, existem providers específicos para este tipo de mitigação.
São ataques à disponibilidade de sistemas por meio de bombardeio de alto volume e/ou solicitações, muitas vezes também quebrando a integridade e a confiabilidade do sistema.

Question 28

Advanced Persistent Threats (APT)

Answer 28

Um ataque de rede ou host altamente direcionado no qual um intruso permanece intencionalmente não detetado por longos períodos de tempo para roubar e extrair dados. O ataque tipicamente não é detetado e congestiona a rede, a empresa tem a noção que não esta a ter o melhor desempenho, nem consegue resolver o problema, nem identifica-lo, e que persiste durante um tempo elevado, e portanto tem um risco bastante elevado.

Question 29

Zero Day Vulnerability

Answer 29

Uma fraqueza ou bug em software ou sistemas de computador que é desconhecido pelo fornecedor de serviços/vendedor, permitindo a exploração potencial (chamado de ataque de dia zero) antes que o fornecedor tenha a hipótese de corrigir o problema. É o período de tempo desde que um possível de ataque é conhecido e não existe um mecanismo para corrigir, é o dia zero.

Question 30

DMZ (Demilitarized Zone)

Answer 30

O acesso à internet passa por um ponto intermedio, surge em empresas de alguma dimensão, mas também já começa existir em PME’s, ou seja, alguns serviços são realmente acedidos pela internet e outros são acedidos internamente junto da empresa, para diminuir o risco de exposição, assim o ataque surge ao nível do DMZ e não ao nível da internet, permitindo aumentar a robustez do sistema.

Um segmento ou sub-rede de uma rede privada onde os recursos são hospedados e acedidos pelos utilizadores em geral a partir da Internet. A DMZ é isolada da rede privada e utiliza uma firewall, sendo protegida contra abusos e ataques óbvios da Internet utilizando uma firewall.

Question 31

Honeypot

Answer 31

Estratégia para tentar reduzir o potencial risco. Nunca conseguimos evitar riscos de segurança, conseguimos é minimizar a sua probabilidade de ocorrência e o seu impacto, nunca conseguimos eliminá-lo, não conseguimos ter um sistema com risco zero.
Honeypot é a forma de iludir um potencial atacante, expondo uma parte do sistema que é robusto, ou que a informação exposta não é relevante/correta/critica para a empresa, e deixa-se lá para servir de isco, sendo esta vulnerabilidade conhecida para que o atacante ataque nesse mesmo sentido, fazendo-o perder tempo.
Uma armadilha para os atacantes, um honeypot é usado para distrair os atacantes a fim de impedi-los de atacar os sistemas de produção reais. É um sistema falso que é configurado para parecer e funcionar como um sistema de produção. Um honeypot pode conter dados falsos para induzir os atacantes a gastar tempo e esforço consideráveis atacando e explorando o sistema falso. Um honeypot também pode descobrir novos ataques ou a identidade dos invasores.

Question 32

Hacktivism

Answer 32

Atacantes que hackeiam por uma causa ou crença ao invés de alguma forma de ganho pessoal. Hacktivismo é frequentemente visto pelos atacantes como uma forma de protesto ou luta por “justiça” ou “justiça percebida”. A causa pode ser de justiça, protesto, ambiental, democrática, etc. No entanto, ainda é uma ação ilegal na maioria dos casos quando a tecnologia ou os dados da vítima são abusados, prejudicados ou destruídos.

Question 33

CAPTCHA

Answer 33

É uma camada adicional de segurança, garantindo que é um humano que está a conseguir ler, seja por texto, imagem, som, combinação de ambos, etc para, efetivamente, garantir que o acesso ao sistema está a ser realizado por aquele utilizador. Um CAPTCHA (teste de Turing público completamente automatizado para diferenciar computadores e humanos) é um teste de resposta de desafio comumente usado por sites para verificar se o utilizador é um humano real e não um bot. Eles podem incluir aritmética simples e perguntas sobre imagens, que os bots têm dificuldade em responder.

Question 34

Brute Force Attack

Answer 34

Este é um método para adivinhar uma password (ou a password utilizada para criptografar uma mensagem) que envolve tentar sistematicamente um grande volume de combinações possíveis de caracteres até que a password correta seja encontrada. Uma maneira de reduzir a suscetibilidade a um ataque de força bruta é limitar o número de tentativas permitidas para inserir uma password, por exemplo, permitindo apenas três tentativas com falha e permitindo outras tentativas somente após 15 minutos. Num sistema de login nunca dizer que a password está errada, mas sim que as credenciais estão erradas.

Question 35

Cyberbullying

Answer 35

É quando as pessoas têm uma inteiração negativa (bullying) aplicada pela internet, tendo um efeito negativo nas vítimas, afetando por exemplo o desenvolvimento das crianças e adolescentes vítimas desta situação, originando problemas com grande impacto. Cyberbullying é o uso de meios eletrónicos, principalmente mensagens e plataformas de media social, para intimidar e assediar uma vítima. O cyberbullying tornou-se um grande problema, afetando especialmente os jovens, pois, permite que os agressores ampliem o seu comportamento agressivo, ridicularizem publicamente as vítimas em grande escala e realizem atividades danosas de uma maneira difícil de detetar por pais e professores.

Question 36

1. Explique em que consiste um ataque de XSS.

Answer 36

É um tipo de ataque onde existe a injeção de código malicioso em formulários web que pode comprometer a aplicação web tanto do lado do cliente como do lado do servidor, e expor dados sensíveis como dados de autenticação de sessão, etc. Expor o lado do servidor apresenta maior risco, e para evitar este tipo de ataques devemos fazer a validação do input que o servidor está a receber e aceitar ou não essa informação.

Question 37

2. Explique o que é um ataque “pharming”.

Answer 37

É manipular os registos de DNS que existem no computador e quando tentamos aceder a um site legitimo ele vai direcionar para um site ilegítimo. Através desta página ilegítima podem ser potenciados novos ataques, onde a vítima pode ser, eventualmente, alvo de phishing. O problema pode estar no lado do servidor como do cliente.

Question 38

3. Qual é a diferença entre vírus e spyware?

Answer 38

O spyware recolhe informação, o vírus é um pedaço de código ou software que vai causar dano e que tem a capacidade de se ir replicando. O vírus necessita de uma execução de um dado código, enquanto que o spyware está numa tentativa de encontrar algo.

Question 39

4. Comente a seguinte informação: “O Scam é um tipo de ataque similar ao Phishing”.

Answer 39

O scam são mensagens enganosas que afirmam que o leitor foi “agraciado” com algum produto. Exemplos corriqueiros incluem sorteios, oferta de empregos, abertura do próprio negócio, etc.
Phishing são mensagens usadas para obter dados pessoais (tais como números de contas bancárias, cartão de crédito, passwords, entre outros) de destinatários. Normalmente, induzem o leitor a aceder o URL indicado na mensagem, clicar na imagem de uma empresa ou preencher algum tipo de formulário.
Um ataque de spam pode levar a um ataque de phishing e podem ser assim complementares.

Question 40

5. Quais são os principais problemas dos sistemas de deteção de intrusão?

Answer 40

Os IDS’s baseiam-se em listas que têm que ser alimentadas, e se houverem falhas na alimentação ou nas atualizações, e se não estiver atualizado podem trazer vulnerabilidades aos sistemas. O IDS é um sistema de deteção de padrões, tal como o machine learning. Os padrões trazem dois problemas, é a novidade, pois, eles alteram-se e os padrões partem de um prossuposto que nem sempre é verdade. O grande problema dos sistemas IDS’s é que partem do pressuposto que todos os ataques são automáticos, no entanto alguns deles poderão ser manuais, e os sistemas têm muitas dificuldades em detetar os ataques manuais porque não seguem o padrão e ficam vulneráveis a esse nível quando não conseguem mapeá-los no padrão.

Question 41

6. Explique qual é o objetivo de uma “graylist”.

Answer 41

Bloqueiam temporariamente até à segunda tentativa, enquanto que a blacklist é um bloqueio permanente. Greylist é uma lista intermédia, está relacionada com o protocolo SMTP, ou seja, se o servidor que está a receber não conhecer o remetente, se for a primeira vez que o está a receber, mete-o numa lista designada por greylist, e o servidor envia um erro específico de volta dessa greylist. E passado algum tempo o servidor inicial vai tentar reenviar a mensagem e então o servidor do recetor vai ter em consideração que a mensagem passa a ser fidedigna, porque se for uma mensagem de scam ou de phishing já não vai ter esta metodologia de retry e assim conseguem fazer uma análise dos servidores que estão a enviar spam e os que não estão.
Muitos servidores de email estabelecem um limite do número de remetentes que podemos colocar numa mensagem, levando por vezes a mensagem a ser considerada/detetada como spam. Depende também de questões como o próprio conteúdo, o próprio assunto, depende também principalmente dos destinatários da mensagem etc. A lista de spam é um exemplo de greylist. A greylist é uma questão temporária para perceber se é uma situação de spam e é enviado apenas uma única vez.