Glossário de Segurança da Informação

Este Glossário de Segurança da Informação tem como objetivo reunir alguns dos termos mais comuns que são levantados aqui no site, com explicações claras e em português.

Importante frisar que meu intuito não é tornar este o maior glossário de termos técnicos e terminologias de segurança da informação, afinal, existem inúmeras empresas de renome que oferecem glossários internet afora. O objetivo é apenas reunir explicações de diferentes locais e contribuir com conteúdo e informação de qualidade.

Note que, no final deste documento, são referenciadas as fontes das informações.

ABCDEFHIJMPSXZ

A

Adware

Formado pela junção das palavras “advertisement” (do inglês “anúncio”) e “software”. É qualquer software que reproduz, mostra ou baixa conteúdo publicitário para o equipamento de um usuário, normalmente sem o seu conhecimento, embora também seja instalado com autorização (no caso em que é realizado o download de aplicativos que o possuem). Tipicamente aparece na forma de pop-up ou mudanças nas configurações da página inicial e o motor de busca do navegador. O conteúdo costuma aparecer de forma inesperada e indesejada pelo usuário.

APT (Advanced Persistent Threat)

Em português, significa “Ameaça Persistente Avançada”. Trata-se de um conjunto de ataques reiterados no tempo que tentam burlar a segurança de uma entidade específica. Essas ameaças normalmente utilizam complexas ferramentas e envolvem vários vetores de ataque, tirando proveito do elo mais fraco no sistema.

ARP (Address Resolution Protocol)

É um protocolo de camada de link no modelo OSI de comunicações, que é responsável por correlacionar (resolver) endereços IP e MAC. Os equipamentos que utilizam esse protocolo possuem tabelas onde armazenam essas relações, que podem estar sujeitas a ataques como ARP Spoofing ou ARP Poisoning.

ARP Spoofing

ARP Spoofing é um ataque também conhecido como envenenamento das tabelas ARP, ou ARP Poisoning, no qual o atacante inunda a rede com pacotes ARP que contém informação maliciosa, associando seu endereço MAC ao IP do equipamento da vítima e recebendo qualquer pacote direcionado para ele, podendo realizar modificações e novos envios praticamente sem ser detectado.

ATM – Automatic Teller Machine

A sigla ATM vem do inglês “Automatic Teller Machine”, nada mais é do que “Caixa Automático” ou “Caixa Eletrônico”. Em outras palavras, é que um meio criado pelos bancos para facilitar as transações bancárias; no caixa automático, o cliente é responsável por toda a operação e, desta forma, os custos da transação nas ATM’s são mais baratas do que aqueles realizados na boca do caixa.

Autenticação de Dois Fatores

“Algumas coisas você sabe, algumas você tem”. Os sistemas de login que requerem apenas um nome de usuário e senha correm o risco de serem violados quando alguém obtém (ou adivinha) essas poucas informações. Os serviços que oferecem a autenticação de dois fatores requerem também que seja fornecido separadamente uma confirmação de que é quem afirma ser. O segundo fator pode ser um código secreto, um número gerado por um programa executado no telefone celular ou um dispositivo.

B

Backdoor

Um backdoor é um código malicioso inserido em um software com a finalidade de fornecer ao autor acesso secreto às máquinas que executam o programa.

Em outras palavras, é um tipo de trojan que permite o acesso ao sistema infectado e o seu controle remoto. O atacante pode enviar, eliminar ou modificar arquivos, executar programas e comandos, enviar emails de forma massiva, instalar ferramentas maliciosas e extrair informações da vítima para que sejam reenviadas a si mesmo.

Normalmente é combinado com funcionalidades de registro de pulsações do teclado (keylogging) e captura de tela, com o propósito de espionar e roubar dados.

Banker

Conhecido também como trojan bancário, tem como objetivo roubar dados privados das contas bancárias dos usuários. Permite coletar informações confidenciais por meio de diversos métodos como captura de tela, vídeo ou teclas, ou redirecionamento do tráfego web para, em seguida, enviar ao atacante pelo e-mail ou hospedá-lo em um servidor.

Bot

O termo bot vem de “robot“. É um programa informático cuja função é realizar tarefas automatizadas através da Internet, geralmente são funções simples que requerem certa repetição. Os cibercriminosos usam esse tipo de software para realizar ações maliciosas por meio de redes botnet como a distribuição de spam, download de malware ou outros ataques através dos computadores zumbis. O termo “bot” também pode ser usado para descrever computadores zumbis que foram infectados e controlados por um operador.

Botnet

O termo botnet é a combinação das palavras “robot” e “network”. Uma botnet é uma coleção de programas conectados à Internet que se comunicam com outros programas semelhantes para executar tarefas. As tarefas de uma botnet podem ser tão comuns quanto manter o controle de um canal de IRC ou podem ser usadas para enviar e-mails de spam ou participar de ataques DDoS.

Em outras palavras, trata-se de um grupo de dispositivos infectados por códigos maliciosos que se comunicam entre si e/ou com seus servidores de comando e controle (sigla de C&C), controlados por um atacante de forma transparente ao usuário, dispondo dos seus recursos para que trabalhem de forma conjunta e distribuída. Cada sistema infectado (zumbi) interpreta e executa as ordens emitidas. Oferece aos criminosos uma importante fonte de recursos que podem trabalhar de forma conjunta e distribuída.

Frequentemente são utilizadas para envio de spam, distribuição de malware, hospedagem de material ilegal ou para a realização de ataques de negação de serviço distribuído. Os proprietários de tais computadores membros podem não estar cientes de que seu dispositivo carrega e encaminha essa ameaça.

Buffer Overflow

Buffer Overflow, em português, significa “transbordamento de dados”. Geralmente ocorre quando você tenta copiar dados em um buffer sem verificar se há espaço suficiente, fazendo com que os dados sejam sobrescritos nas células vizinhas.

A RAM é dividida em células de memória com cada célula capaz de armazenar um único byte por conta própria. Os aplicativos usam tamanhos diferentes do mesmo tipo de dados para atender às suas necessidades computacionais, que podem variar entre um único ou vários (arrays) ou alocados dinamicamente (ponteiros). Os problemas geralmente surgem quando desenvolvedores de software empregam o uso de matrizes ou ponteiros sem verificar se o buffer de destino tem espaço suficiente ou adequado.

char Target[10];
char Input[20];
strcpy( Target, Input); // 1st Parametro: Destino, 2nd Parameter: Dados

O código listado acima, mais certas condições, podem exibir um buffer-overflow corruption. Se o coder não tomar as precauções necessárias para validar o alvo/input, isso resultará em dados sendo alimentados em células de memória adjacentes, corrompendo qualquer conteúdo armazenado neles. Tais resultados podem ser devastadores, pois afetam a integridade geral do sistema.

Em outras palavras, ocorre quando um programa tenta armazenar uma quantidade excessiva de dados em um buffer do que pode armazenar, já que há um limite na quantidade de dados que um buffer pode armazenar, os excedentes de dados excedem os buffers adjacentes.

Assim, sobrescrevendo os dados armazenados nesses buffers e desencadeando consequências imprevisíveis. Essas falhas são utilizadas por atacantes para executar código arbitrário em um computador e, potencialmente, tomar o controle do mesmo ou realizar um ataque de Negação de Serviço (DoS).

C

Certificate Authority (CA)

Uma “Autoridade Certificadora” é um terceiro independente que verifica a identidade online de uma entidade. Eles emitem certificados digitais que contém informações sobre o proprietário do certificado e detalhes dos certificados, verificando, assim, a identidade do proprietário.

Checksum

O checksum serve para verificar, por exemplo, se um arquivo é exatamente o mesmo arquivo depois de uma transferência. Para verificar se não foi alterado por terceiros ou se não está corrompido. A ideia é, por exemplo, pegar nos bytes todos de um arquivo e somá-los, um a um, e obter um valor, o checksum. Depois de uma transferência, esse valor do checksum deve ser o mesmo tanto no arquivo enviado pelo remetente quanto no recebido pelo destinatário.

Em outras palavras, um checksum (ou hash sum) é um dado de tamanho fixo calculado a partir de um bloco arbitrário de dados digitais com o objetivo de detectar erros acidentais que possam ter sido introduzidos durante sua transmissão ou armazenamento. A integridade dos dados pode ser verificada em qualquer momento posterior, recalculando o checksum e comparando-o com o armazenado. Esse processo não garante que os dados não tenham sido corrompidos, mas é uma boa indicação.

Cleartext

São dados em formato ASCII ou dados que não estão codificados ou criptografados. Todas as aplicações e máquinas suportam texto simples.

Cross-site Scripting (XSS)

XSS é um tipo de vulnerabilidade do sistema de segurança de um computador, encontrado normalmente em aplicações web que ativam ataques maliciosos ao injetarem client-side scripts dentro das páginas web vistas por outros usuários. Quanto a sua classificação:

  • Não-persistente: Também chamada de refletida, é o tipo de XSS mais comum. Estas falhas aparecem quando os dados fornecidos por um cliente web, mais comumente em parâmetros de consulta HTTP ou envios de formulários HTML, são imediatamente utilizado pelos scripts do lado do servidor para analisar e exibir uma página de resultados de e para o usuário, sem a limpeza adequada do pedido.
  • Persistentes: Também chamada de armazenada, é uma variante mais devastadora de uma falha XSS que ocorre quando os dados fornecidos pelo atacante são salvos pelo servidor e, em seguida, exibidos em páginas “normais” retornadas para outros usuários no curso de uma navegação normal, sem HTML adequada.

Em outras palavras, XSS é um ataque a sites confiáveis e seguros, injetando scripts maliciosos. Os invasores segmentam sites que não filtram entradas do usuário para strings ou caracteres comuns em um script. Trata-se de uma vulnerabilidade que permite a inserção de código HTML em formulários web, alterando a aparência original. Também é possível a inserção de scripts nos campos que serão gravados na base de dados e, posteriormente, executados no navegador ao visitar o site vulnerável.

D

Denial of Service (DoS)

Em português, significa “Ataque de Negação de Serviço”, baseado no envio de pedidos “lixo” ao servidor com o objetivo de diminuir ou impossibilitar sua capacidade de resposta para solicitações de usuários legítimos, provocando a eventual saturação e a caída do serviço. Os ataques DoS são feitos de forma pontual, única, com um atacante mirando um alvo.

Em outras palavras, é o ataque intencional de uma máquina ou recurso, com o objetivo de tornar indisponível os usuários pretendidos, muitas vezes sobrecarregando-o com solicitações criadas artificialmente.

Os mais comuns são ataques baseados em rede que enviam para a máquina de destino um grande número de solicitações criadas artificialmente. Estes podem ser apenas pedidos comuns ou podem ser intencionalmente ajustados ou quebrados para criar mais carga do que o habitual. Ataques triviais são fáceis de impedir, bloqueando o endereço IP de origem, mas ataques mais avançados podem usar endereços IP distribuídos de todo o mundo.

Os ataques de DoS violam as políticas de uso aceitáveis de praticamente todos os provedores de serviços de Internet (assim como as leis oficiais de certas nações).

Existem várias soluções de softwares e hardwares que ajudam a proteger os serviços de tais ataques.

Distributed Denial of Service (DDoS)

Em português, significa “Ataque Distribuído de Negação de Serviço”. É uma ampliação do ataque DoS que se realiza gerando um grande fluxo de informação nos vários pontos de conexão, geralmente através de uma botnet. O ataque é realizado por meio do envio de determinados pacotes de dados ao servidor para que sature a sua capacidade de trabalho, fazendo com que o serviço deixe de funcionar. Diferente do ataque DoS, o ataque DDoS consiste em vários dispositivos realizando ataque DoS ao mesmo tempo contra um mesmo alvo.

Em outras palavras, um ataque distribuído de negação de serviço (DDoS) ocorre quando vários sistemas inundam a largura de banda ou recursos de um sistema alvo, geralmente um ou mais servidores web.

DNS Spoofing

Ataque que altera os endereços correspondentes aos servidores DNS da vítima, ofuscados por endereços de servidores DNS malicioso, ganhando assim o controle sobre as buscas que são realizadas e redirecionando à vítima para os sites que o atacante deseja.

E

Engenharia Reversa

A engenharia reversa é o processo de descobrir os princípios tecnológicos de um dispositivo, objeto ou sistema feito por um humano através da análise de sua estrutura, função e operação.

Geralmente envolve separar algo (por exemplo, um dispositivo mecânico, componente eletrônico ou programa de software) e analisar seu funcionamento detalhadamente para ser usado na manutenção, ou tentar criar um novo dispositivo ou programa que faça a mesma coisa sem usar ou simplesmente duplicar (sem entender) qualquer parte do original.

A engenharia reversa tem suas origens na análise de hardware para vantagem comercial ou militar. O objetivo é deduzir as decisões de design dos produtos finais com pouco ou nenhum conhecimento adicional sobre os procedimentos envolvidos na produção original. As mesmas técnicas são pesquisadas posteriormente para aplicação em sistemas de software legados, não para fins industriais ou de defesa, mas para substituir a documentação incorreta, incompleta ou indisponível.

As técnicas de engenharia reversa do software consistem em descompilar, analisar, hooking e aplicar patches.

Engenharia Social

A engenharia social é uma técnica “não-técnica” bastante utilizada. Baseia-se na interação humana e, muitas das vezes, envolve enganar as pessoas para quebrar procedimentos normais de segurança.

Em outras palavras, trata-se de um conjunto de técnicas utilizadas para enganar o usuário através de uma ação ou comportamento social.

Também pode ser entendido como uma manipulação psicológica e persuasão para que voluntariamente a vítima forneça informações pessoais ou realize qualquer ação que ponha em risco o seu próprio sistema.

Esse método é normalmente utilizado para obter senhas, números de cartão de crédito ou PIN, entre outros. Muitas vezes, ataques de phishing exploram táticas de engenharia social.

Entropia

Entropia é uma medida da incerteza em uma variável aleatória. O termo geralmente se refere à entropia de Shannon, que quantifica o valor esperado das informações contidas em uma mensagem. A entropia é tipicamente medida em bits, nats ou bans. A entropia de Shannon é a imprevisibilidade média em uma variável aleatória, que é equivalente ao seu conteúdo informacional.

Em outras palavras, refere-se à inconsciência inerente dos dados à observadores externos. Se um bit pode ser tanto um 1 como 0 e um usuário não sabe qual é, então o bit contém um bit de entropia.

Exploit

Um exploit é um software, um conjunto de dados ou uma sequência de comandos que aproveita um bug, uma falha ou uma vulnerabilidade para causar um comportamento indesejado ou imprevisto. Isso geralmente inclui coisas como ganhar o controle de um sistema de computador, permitir a escalação de privilégios ou um ataque de negação de serviço.

Em outras palavras, é um código que permite um atacante aproveitar uma fraqueza ou uma falha no sistema para penetrar, atacar. Trata-se de um fragmento de código que permite ao atacante aproveitar uma falha no sistema para ganhar o controle sobre o mesmo. Uma vez que isso ocorre, o invasor pode escalar privilégios, roubar informações, instalar outros códigos maliciosos, entre outras ações prejudiciais.

F

Fingerprinting

Nas redes de informação, é o processo de acumulação de dados sobre as características particulares dos equipamentos que se encontram na rede. Entre outras propriedades, se identificam modelos de componentes físicos ou sistemas operacionais em execução, permitindo que um atacante conheça as vulnerabilidades que se aplicam ao dispositivo.

Footprinting

Nas redes de informação, é o processo que acumula todos os dados possíveis sobre uma rede com o objetivo de compreender sua arquitetura, e identificar potenciais pontos de acesso. Essa atividade se realiza na etapa inicial de um ataque conhecida como reconhecimento, ou em testes de penetração.

H

Hardening

Também é conhecido como “system hardening” e refere-se ao fornecimento de proteção a um sistema de computador em várias camadas, como host, aplicação, sistema operacional, usuário, níveis físicos e todos os outros sub níveis intermediários.

Um hardened computer system é um sistema de computador mais seguro. O hardening elimina tantos riscos e ameaças para um sistema de computador quanto necessário.

Hijacking

É um ataque de segurança de rede pelo qual o intruso assume o controle de uma conexão, enquanto uma sessão está em andamento. O intruso obtém acesso não autorizado à informação.

Honeypot

Um honeypot é um programa de segurança de computador que finge ser vulnerável visando atrair ataques para colher informações sobre a forma como esses ataques são realizados. Em ambientes corporativos, esses componentes permitem desviar a atenção dos atacantes de ativos valiosos para a empresa.

I

IDS (Intrusion Detection System)

Do inglês “Intrusion Detection System” (ou “Sistema de Detecção de Intrusão”). Aplicativo que analisa o conteúdo, comportamento e o tipo de tráfego de rede. Seu objetivo é detectar e relatar o acesso não autorizado e atividades como a exploração de portos.

IPS (Intrusion Prevention System)

Do inglês “Intrusion Prevention System” (ou “Sistema de Prevenção de Intrusão”). Dispositivo que exerce o controle de acesso em uma rede informática para proteger aos sistemas computacionais de ataque e abusos. Apesar da semelhança com o IDS, a diferença está em que o IPS não apenas informa a detecção de uma intrusão como também estabelece políticas de prevenção e proteção que são executadas imediatamente após a detecção.

J

Jackpotting

Jackpotting é uma técnica de hackear caixas eletrônicos que funciona da seguinte forma: um criminoso realiza um acesso físico à máquina (computador dentro do caixa eletrônico) e substitui o disco rígido. Dessa maneira, por meio de um endoscópio industrial, ele encontra e pressiona um botão dentro da caixa que faz um reset no sistema. Com acesso ao sistema, um software malicioso é instalado e, a partir deste ponto, comandos para o caixa “cuspir” dinheiro são realizados.

M

Man In The Browser (MITB)

Do inglês “Man In The Browser” (ou “Homem no Navegador”). Caso particular de ataque MITM que aproveita vulnerabilidades no navegador do equipamento da vítima para injetar código nas páginas navegadas, espionar o tráfego de rede e capturar dados na memória. As páginas alteradas não possuem diferença com as originais, tornando esse ataque praticamente indetectável pelo usuário.

Man In The Middle (MITM)

Tradução para “Homem no Meio”, em referência ao atacante que intercepta os dados. É um tipo de ataque no qual o agressor intercepta uma comunicação assumindo o papel de intermediário entre as duas partes vítimas, mantendo vínculos independentes com cada uma delas e simulando uma conexão íntegra por meio da leitura, inserção e modificação de mensagens.

Para entender melhor este tipo de ataque, suponha que você acredita que está falando com o seu amigo Roberto por meio de um aplicativo criptografado de mensagem instantânea.

Para verificar se realmente está conversando com ele, peça que diga qual é o nome da cidade onde vocês se conheceram. Se receber a resposta “Belo Horizonte”, ela está correta! Infelizmente alguém online pode interceptar todas as comunicações de vocês sem que saibam disso.

Quando inicialmente conectou-se com o Roberto, na realidade, você ligou-se a esse alguém que, por sua vez, estabeleceu conexão com ele. Enquanto pensava que estava perguntando ao Roberto, essa pessoa recebeu sua mensagem, retransmitiu a pergunta a ele, recebeu a resposta dele e, em seguida, a enviou para você. Mesmo que pense que está se comunicando com o Roberto de modo seguro, na verdade está apenas conversando com o espião de modo seguro; da mesma maneira, essa pessoa está mantendo comunicação com o Roberto!

Esse é o ataque do homem do meio. Ele pode espionar comunicações ou mesmo inserir mensagens falsas ou enganosas em suas conversas. Um software de comunicações pela internet, focado em segurança, precisa defender-se dos ataques do homem do meio para estar seguro dos invasores, que têm o controle de qualquer parte da internet entre dois comunicadores.

P

Payload

Atividade mal-intencionada exercida pelo malware. O payload é uma ação separada da instalação e da propagação que o malware realiza. É um código que executa no sistema após a exploração.

Em outras palavras, tratam-se de efeitos secundários que podem possuir certas ameaças ou códigos maliciosos. Por exemplo, as mudanças na configuração do sistema, eliminação de arquivos e substituição do disco, entre outros.

Phishing

Ataque cometido por meio do uso de Engenharia Social para, de forma fraudulenta, adquirir informações pessoais/confidenciais da vítima, tais como senhas ou detalhes do cartão de crédito, contas das redes sociais, corporativas ou de jogos online.

Para efetuar o engano, o golpista tenta se passar por uma pessoa ou empresa de confiança, falsificando e-mails, telefonemas ou mensagens instantâneas, e geralmente direciona os usuários a inserir detalhes em um site falso cuja aparência é quase idêntica à legítima. Os emails de phishing podem conter links para sites infectados com malware.

Em outras palavras, o phishing é um tipo de fraude na Internet que busca adquirir as credenciais de um usuário por engano. Isso inclui o roubo de senhas, números de cartão de crédito, detalhes de contas bancárias e outras informações confidenciais.

As comunicações supostamente de sites sociais populares, sites de leilão, bancos, processadores de pagamento online ou administradores de TI são comumente usadas para atrair públicos desavisados. Os e-mails de phishing podem conter links para sites infectados com malware. O phishing é normalmente realizado por falsificação de e-mails ou mensagens instantâneas, e geralmente direciona os usuários a inserir detalhes em um site falso cuja aparência é quase idêntica à legítima. Phishing é um exemplo de técnicas de engenharia social usadas para enganar os usuários.

S

Servidor de comando e controle (C&C ou C2)

Um servidor de comando e controle (C&C ou C2) é um computador que dá ordens aos aparelhos infectados por um malware e que recebe informação desses aparelhos. Alguns servidores de controlam milhões de dispositivos.

Em outras palavras, é um servidor administrado por um botmaster que permite controlar e administrar os equipamentos zumbis infectados por um bot, rootkit, worm ou outro tipo de malware, que integram a botnet. Possibilita o envio remoto de ordens em forma de comandos aos mesmos, seja para baixar o código malicioso, a execução de determinados processos ou qualquer outra instrução.

Não precisa contar com o mesmo sistema operacional que os computadores que controla. Normalmente, é executado em um servidor web que foi previamente comprometido ou adquirido usando cartões de crédito roubados.

Skimming

Um “skimming device” é um dispositivo projetado para roubar informações, seja ela senha do cliente ou os dados de seu cartão. No Brasil, esses dispositivos do mal são mais conhecidos como “chupa-cabras”, e são largamente utilizados nas fraudes em ATM’s e demais terminais de auto atendimento.

Spoofing

Conjunto de técnicas que permitem a falsificação de alguma característica das partes intervenientes de uma comunicação informática. Existem inúmeros tipos de spoofing, segundo o dado que está sendo falsificado. Assim, temos por exemplo:

  • IP Spoofing: geração de pacotes com endereços IP ilegítimos;
  • MAC Spoofing: geração de tramas com um endereço MAC diferente ao do cartão da rede emissora;
  • ARP Spoofing: emissão de pacotes ARP falsos para alterar a tabela ARP e beneficiar o atacante;
  • DNS Spoofing: respostas DNS que vinculam um domínio real a um IP malicioso, ou vice-versa;
  • Dentre outros.

SQL Injection

SQL Injection é um tipo de vulnerabilidade de segurança encontrado em aplicativos com bancos de dados SQL que permite que invasores injetem comandos SQL maliciosos no banco de dados a partir da entrada do usuário (por exemplo, para despejar o conteúdo do banco de dados para o invasor).

A vulnerabilidade está presente quando a entrada do usuário é usada diretamente nos comandos SQL, em vez de como parâmetros ou filtrando-os corretamente para caracteres de escape. Isso ocorre principalmente devido ao manuseio de SQL mal escrito em aplicativos clientes.

X

XSRF ou CSRF (Cross-Site Request Forgery)

Em português, “falsificação de solicitação entre sites”. É um ataque que força ao navegador web da vítima, validado em algum serviço (como por exemplo, e-mail ou home banking) para enviar uma solicitação a um aplicativo web vulnerável, que (em seguida) realize a ação maliciosa através da vítima, considerando que a atividade será processada em nome do usuários autenticado.

Z

Zero day (0-day)

Vulnerabilidade que tenha sido recentemente descoberta em um sistema ou protocolo, e para a qual ainda não exista um patch de segurança que resolva o problema. Esse tipo de falha pode ser aproveitada pelos atacantes para propagar outras ameaças informáticas como trojans, rootkits, vírus e worms.

* * * * *

Fontes das Informações:

A seguir, os locais que me baseei para confeccionar este glossário:

Imagem deste post: Chevanon / Freepik (banco de imagens)

Deixe o seu comentário:

Seu endereço de e-mail não será publicado.

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.