Glossário de Segurança - Security 101



Um guia das terminologias encontradas no Relatório Symantec de Ameaças à Segurança na Internet Vol. XV e em outros materiais relacionados à segurança da informação.



Adware

Adware é um software, geralmente indesejado, que facilita a apresentação de conteúdo publicitário no computador.


Aplicativos enganosos (misleading applications)

Aplicativos enganosos é um programa que leva o usuário a executar ações que induzem ao download de malware ou à divulgação de informações pessoais e confidenciais. Um exemplo é o software de segurança trapaceiro, também conhecido como scareware.


Ameaça (threat)

Ameaça ao computador é qualquer circunstância, evento ou pessoa que podem causar danos a um sistema sob a forma de roubo, destruição, divulgação, alteração de dados e/ou negação de serviço (DoS).


Ameaças polimórficas

Ameaças polimórficas são aquelas em que o malware sofre mutação. As alterações automatizadas no código não alteram a funcionalidade do malware, mas praticamente tornam as tecnologias tradicionais de detecção antivírus inúteis contra elas.


Antispam

Antispam é qualquer produto, ferramenta, serviço ou práticas que atuam para impedir o envio de spams por e-mail, antes que eles se tornem um incômodo para os usuários. O antispam deve ser parte de uma abordagem multicamadas de segurança.


Antivírus

Antivírus é uma categoria de software de segurança contra vírus. Geralmente protege o computador detectando o invasor em tempo real, mas também por meio d a varredura do sistema, de quarentena e remoção de vírus. O antivírus deve ser parte de uma abordagem multicamadas de segurança.


Assinatura do antivírus

Assinatura de antivírus é um arquivo que fornece ao software de antivírus informações sobre como encontrar e eliminar riscos de segurança. As assinaturas de antivírus oferecem proteção contra todos os vírus, worms, cavalos de Tróia e outros riscos de segurança identificados recentemente. As assinaturas de antivírus também são conhecidas como definições de vírus.


Arquivo de definição de vírus

Definição de vírus é um arquivo que fornece ao software de antivírus informações sobre como encontrar e eliminar riscos de segurança. Os arquivos de definição oferecem proteção contra todos os vírus, worms, cavalos de Tróia e outras ameaças de segurança identificados recentemente. As definições de vírus também são conhecidas como assinaturas de antivírus.


Ataque baseado na Web

Ataque baseado na Web é qualquer ataque realizado contra uma aplicação-cliente originado de um ponto na Web, sejam sites legítimos infectados ou sites mal-intencionados que foram criados propositadamente para atacar usuários na Web.


Ataque multiestágio

Ataque multiestágio é uma infecção que normalmente envolve uma ação inicial, seguido pela instalação de um código mal-intencionado adicional. Um exemplo são os cavalos de Tróia que fazem o download e instalam adware.


Back door

Back door é um código malicioso que abre caminho para o acesso remoto a um computador contaminado.


Blacklisting

Lista negra é o processo de identificação de programas, e-mails, endereços IP ou domínios mal-intencionados ou danosos para bloqueá-los.


Bot

Bot é um computador isolado infectado com malware e parte de uma botnet.


Botnet

Botnet, ou rede de bots (bot network), é um conjunto de computadores sob o controle de um bot mestre por meio de um canal de comando e controle. Eles estão geralmente distribuídos pela Internet e são usados para atividades mal-intencionadas, como o envio de spam e o ataque distribuído de negação de serviço (Denial of Service - DoS). As botnets são criadas por meio da contaminação dos computadores por um malware que libera ao invasor acesso à máquina. Os donos dos computadores infectados, em geral, não sabem que sua máquina faz parte de uma botnet, a menos que tenham um software de segurança que os informa da infecção.


Canal de comando e controle

Canal de comando e controle é o meio pelo qual um invasor se comunica e controla os computadores infectados com malware que fazem parte de uma botnet.


Cavalo de Tróia (Trojan)

Cavalo de Tróia é um tipo de código que demonstra ser algo que não é. Uma diferença muito importante entre este vírus com os outros é que não infectam outros arquivos e não se propagam automaticamente. Cavalos de Tróia contêm código mal-intencionado que, quando acionado, causa a perda ou mesmo o roubo de dados. Em geral, também possuem um componente backdoor, que oferece ao invasor a capacidade de fazer download de outros agentes ameaçadores para a máquina infectada. Tipicamente, este tipo de vírus se difunde via drive-by downloads, anexos em e-mails ou pelo download e a execução de arquivo da Internet, geralmente após um invasor ter utilizado a engenharia social para convencer o usuário a fazê-lo.


Cibercrime

Cibercrime é qualquer crime cometido usando um computador, rede ou dispositivo de hardware. A máquina ou dispositivo pode ser o agente, o facilitador ou o alvo do crime. O golpe pode acontecer estritamente no computador ou incluir outros locais.


Crimeware

Software que realiza ações ilegais não previstas pelo usuário que o executa. Essas ações se destinam a gerar benefícios financeiros para o distribuidor do software.


Criptografia

Criptografia é um método de embaralhar ou codificar dados para impedir que usuários não autorizados os leiam ou adulterem. Apenas pessoas com acesso a uma senha ou chave podem descriptografar e utilizar os dados. É comum programas malware utilizarem criptografia para se esconder do software de segurança. Ou seja, o malware criptografado codifica o seu kernel (código-fonte) para torná-lo mais difícil de detectar.


Denial of Service (DoS, negação de serviço)

Denial of Service, ou negação de serviço é um ataque no qual o autor tenta tornar os recursos de um computador ou de uma rede indisponível aos usuários. Um ataque distribuído de negação de serviço (DDoS) é aquele em que o autor utiliza uma rede de computadores, como uma botnet, para realizar o ataque.


Drive-by download

Drive-by download é o download de um malware que explora a vulnerabilidade de um navegador Web, de um programa de e-mail ou de um plug-in de navegador, sem qualquer intervenção do usuário. O download drive-by pode acontecer ao se visitar um site, ler uma mensagem de e-mail ou clicar em uma janela pop-up enganosa.


Economia underground

A economia underground on-line é o mercado digital onde são comprados e vendidos os bens e serviços obtidos pelo cibercrime para utilização do cibercrime. Duas das plataformas mais comuns disponíveis aos integrantes da economia underground on-line são canais em servidores IRC e fóruns baseados na Web. Ambos mantêm grupos de discussão que os participantes usam para comprar e vender bens e serviços fraudulentos. Entre os itens vendidos estão dados de cartão de crédito, senhas de contas bancárias, contas de e-mail e toolkits para criação de malware. Entre os serviços estão agentes financeiros que podem transferir fundos de contas roubadas em moeda real, phishing, hospedagem de páginas para golpes e anúncios de emprego para funções como desenvolvedores de recurso para golpes ou parceiros para phishing.


Engenharia social

Engenharia social é um método utilizado pelos invasores para induzir os usuários a realizarem uma ação que normalmente resulta em consequências negativas, como o download de malware ou a divulgação de informações pessoais. Muitas vezes, ataques de phishing exploram táticas de engenharia social.


Exploit

Exploits são programas ou técnicas que tirar proveito de vulnerabilidades em software, que podem ser usadas para quebrar a segurança ou também atacar um computador em uma rede.


Firewall

Firewall é uma aplicação de segurança desenvolvida para bloquear conexões em determinadas portas do sistema, independentemente do tráfego ser mal-intencionado ou não. O firewall deve ser parte de uma abordagem multicamadas de segurança.


Greylisting

Lista cinza é um método de defender os usuários de e-mail contra spam. Os e-mails são rejeitados temporariamente sempre que o agente de transferência de mensagens não reconhece o remetente. Se o e-mail for legítimo, o servidor de origem tentará novamente e o e-mail será aceito, caso contrário, a mensagem provavelmente não será reenviada.


Keystroke logger

Keystroke logger é um tipo de malware desenvolvido para capturar as teclas digitadas e os movimentos/cliques do mouse, geralmente clandestinamente, em uma tentativa de roubar informações pessoais, como senhas e números de cartão de crédito.


Malware

Malware é uma descrição genérica geral para qualquer programa de computador que produza efeitos indesejados ou mal-intencionados. São considerados malware os vírus, worms, cavalos de Tróia e back doors. A ameaça utiliza, muitas vezes, ferramentas de comunicação populares, como e-mails e mensagens instantâneas, bem como mídias removíveis, como dispositivos USB, para se difundir. Além disso, também se espalha através de drive-by downloads e explorando vulnerabilidades de segurança em software. Atualmente, a maioria dos principais tipos de malware procura roubar informações pessoais que podem ser usadas para fins criminosos.


Mecanismo de propagação

Mecanismo de propagação é o método que um agente ameaçador utiliza para infectar um sistema.


Payload

Payload é uma atividade mal-intencionada exercida pelo malware. O payload é uma ação separada da instalação e da propagação que o malware realiza.


Pharming

Pharming é um método de ataque que redireciona o tráfego de um site normalmente desenvolvido para imitar o site legítimo. O objetivo é fazer com que os usuários ignorem o redirecionamento e repassem informações pessoais, como senhas de bancos on-line, no site fraudulento. O pharming pode ser praticado ao se alterar arquivos no computador da vítima ou explorando uma vulnerabilidade no software do servidor DNS.


Phishing

Phishing é um golpe que usa spam e mensagens instantâneas para levar pessoas a divulgarem informações confidenciais, como senhas de banco e dados de cartão de crédito. Normalmente, os ataques de phishing demonstram ser algo que não são como comunicados de instituições financeiras.


Plug-in

Um plug-in é uma espécie de aplicativo menor e mais simples, projetado para aumentar as funcionalidades de um programa mais robusto. As vulnerabilidade existentes em plug-ins de segurança são frequentemente alvo de ataques, principalmente os plug-ins para browser.


Proteção baseada em comportamento (Behavioral-Based Protection)

Ao contrário de sistemas de varredura baseados em heurística ou assinaturas, o software de segurança fundamentado em comportamentos se integra ao sistema operacional de um computador e monitora o comportamento dos programas em tempo real em busca de ações mal-intencionadas. Esse tipo de software bloqueia ações potencialmente negativas antes que elas tenham a chance de causar danos ao sistema. A proteção baseada em comportamento deve ser parte de uma abordagem multicamadas de segurança.


Proteção baseada em heurística (Heuristics-Based Protection)

Heurística é uma forma de tecnologia antivírus que detecta agentes de infecção ao examinar a estrutura geral do programa, suas instruções e outros dados contidos no arquivo. Um sistema de varredura baseado em heurística faz uma avaliação da probabilidade de o programa ser mal-intencionado como base na sua lógica aparente. Esse método pode detectar agentes de infecção desconhecidos, pois procura lógicas suspeitas em vez de buscar assinaturas de algum malware específico, como fazem as abordagens tradicionais de antivírus baseadas em assinatura. A proteção baseada em heurística deve ser parte de uma abordagem multicamadas de segurança.


Rede Peer-to-Peer (P2P)

Rede peer-to-peer é uma rede virtual distribuída de integrantes que tornam disponível parte de seus recursos computacionais para outros integrantes da rede, tudo sem a necessidade de servidores centralizados. A rede peer-to-peer é comumente usada para compartilhar músicas, filmes, jogos e outros arquivos. Além disso, a rede peer-to-peer também é um mecanismo muito comum para distribuir vírus e outros tipos de malware.


Rootkit

Rootkit é um componente de malware que se dissimula para se manter uma presença indetectável em um computador. As ações executadas por um rootkit, como instalação e a execução de qualquer forma de código, são feitas sem o conhecimento e o consentimento do usuário.
Os rootkits não infectam máquinas por si só, como vírus ou worms, mas procuram fornecer um ambiente não detectável para que um código malicioso seja executado. Os invasores normalmente se aproveitam de vulnerabilidades na máquina de destino ou usam técnicas de engenharia social para instalar manualmente os rootkits. Ou, em alguns casos, os rootkits podem ser instalados automaticamente após a execução de um vírus ou worm ou simplesmente quando se navega por sites maliciosos.
Uma vez instalado o rootkit, o invasor pode executar praticamente qualquer função no sistema para permitir acesso remoto, espionagem ou para ocultar processos, arquivos, chaves do registro e canais de comunicação.


Sistema de Detecção de Intrusos

Um sistema de deteção de intrusos é um serviço que monitora e analisa eventos de sistema para encontrar e enviar avisos em tempo real o sobre possíveis ataques ao sistema de forma não-autorizada. Essa detecção de ataques ocorre por meio da revisão periódica dos logs ou outras informações disponíveis no sistema. Um sistema para detecção de intrusos deve ser parte de uma solução multi-tier de segurança.


Sistema de Prevenção de Intrusos

Um sistema de prevenção de intrusos é qualquer programa (hardware ou software) que monitore a rede e/ou as atividades do sistema em relação a comportamentos indesejados ou maliciosos. Esse sistema reage em tempo real para bloquear ou prevenir esse tipo de atividade. Um sistema de prevenção de intrusos deve ser parte de uma solução de segurança multi-tier.


Segurança baseada em reputação

Segurança baseada em reputação é uma abordagem de identificação de ameaças que classifica as aplicações de acordo com determinados critérios ou atributos a fim de determinar se elas são mal-intencionadas ou benignas. Esses atributos podem ser elementos como a idade do arquivo, a fonte de onde foi feito o download de arquivo, a assinatura digital e a popularidade do arquivo. Os atributos são combinados para determinar a reputação de segurança do arquivo. As classificações de reputação são utilizadas pelos usuários para determinar melhor o que é seguro para ter em seus sistemas. A segurança baseada em reputação deve ser parte de uma abordagem multicamadas de segurança.


Sistema de detecção de invasão

Sistema de detecção de invasão é um serviço que monitora e analisa os eventos do sistema para identificar e dar avisos em tempo real sobre tentativas de acesso não autorizado aos recursos do sistema. Esta é uma detecção de invasão ou de tentativas que analisam os registros ou outras informações disponíveis em uma rede. O sistema de detecção de invasão deve ser parte de uma abordagem multicamadas de segurança.


Sistema de prevenção de invasão

Sistema de prevenção de invasão é qualquer dispositivo (hardware ou software) que monitora as atividades na rede e/ou no sistema em busca de comportamentos mal-intencionados ou indesejados e que pode reagir em tempo real para bloquear ou impedir essas atividades. O sistema de prevenção de invasão deve ser parte de uma abordagem multicamadas de segurança.


Software de segurança falso (Rogue Security Software)

Software de segurança trapaceiro é um tipo de aplicação enganosa que finge ser um software de segurança legítimo, como um antivírus ou um sistema que limpa registros, mas que, na verdade, oferece ao usuário pouca ou nenhuma proteção e, em alguns casos, chega a facilitar a instalação de código mal-intencionado que simula proteção.


Spam

Também conhecido como junk e-mail, spam são mensagens quase idênticas enviadas a vários destinatários. Um exemplo comum é mensagem comercial não solicitada. Frequentemente, o malware é utilizado para propagar mensagens de spam, infectando máquinas, vasculhando endereços de e-mail e, em seguida, usam essas máquinas para enviar as mensagens indesejadas. Os spans são geralmente utilizados como um método de propagação de ataques de phishing.


Spyware

Spyware é qualquer software que rastreia e envia informações pessoais ou confidenciais a terceiros. Informações pessoais são aquelas que podem ser rastreadas para uma pessoa específica, como um nome completo e incluem dados que a maioria das pessoas não estaria disposta a partilhar com alguém. Os terceiros podem ser sistemas remotos ou alguém com acesso local.


Toolkit

Toolkit é qualquer software desenvolvido para ajudar os hackers na criação e na propagação de códigos mal-intencionados. Em geral, automatizam a criação e a propagação de malware de modo que mesmos cibercriminosos novatos possam utilizar ameaças complexas. Também podem ser usados para lançar ataques baseados na Web, enviar spam e criar sites e e-mails de phishing.


Variantes

Variantes são novas variedades de malware que emprestam código, em diferentes graus, diretamente de outros vírus conhecidos. Normalmente identificadas por uma ou mais letras, após o nome da família do malware, por exemplo, W32.Downadup.A, W32.Downadup.B e assim por diante.


Vetor de ataque

Vetor de ataque é o método que o agente ameaçador utiliza para atacar um sistema.


Violação de dados (data breach)

Violação de dados é qualquer ação danosa em um sistema que expõe informações em um ambiente não confiável. Esta ação é, geralmente, resultado de ataques mal-intencionados que procuram obter informações confidenciais que podem ser usadas para fins criminais ou mal-intencionados.


Vírus

Um vírus é um programa escrito para alterar a maneira como um computador opera, sem a permissão ou conhecimento do usuário. Um vírus deve atender a dois critérios:

  • Deve executar a si mesmo. Em geral, a ameaça coloca seu próprio código no caminho de execução de outro programa.
  • Deve se replicar. Por exemplo, ele pode substituir outros arquivos executáveis por uma cópia do arquivo do vírus. Os vírus podem infectar estações de trabalho e servidores de rede.

Muitos dos atuais vírus são programados para trabalhar de modo furtivo no computador do usuário a fim de roubar informações pessoais para fins criminosos. Outros danificam o computador corrompendo programas, excluindo arquivos ou reformatando o disco rígido.
Há ainda aqueles que não foram desenvolvidos para cometer qualquer dano, mas simplesmente para se replicar e tornar sua presença reconhecida pela apresentação de textos, vídeos e mensagens de áudios. Esse tipo de ataque de notoriedade está cada vez menos comum à medida que os criadores de vírus e outros tipos de malware estão cada vez mais vislumbrando ganhos financeiros criminosos.


Vulnerabilidade

Vulnerabilidade é uma falha em um sistema de computação (ou conjunto de sistemas) que afeta as propriedades de confidencialidade, integridade e disponibilidade do sistema. As vulnerabilidades podem:

  • Permitir que um invasor execute comandos como qualquer usuário
  • Permitir que um invasor acesse dados, descumprindo as restrições de acesso especificadas para aquelas informações
  • Permitir que um invasor se passe por outra entidade
  • Permitir que um invasor realize um ataque de negação de serviço

Whitelisting

Lista branca é uma abordagem usada pelos programas que bloqueiam spam para identificar endereços e nomes de domínio conhecidos e permitir que suas mensagens passem pelo software de segurança.


Wild

Uma ameaça é dita quando já se espalhou entre os usuários de computador.


Worm

Worm é um programa mal-intencionado que se replicar de um sistema para outro sem o uso de um arquivo hospedeiro – diferentemente do que acontece com os vírus, que exigem a propagação de um arquivo hospedeiro infectado.