Fundamentos de Cibersegurança (PSP)

MÓDULO 4: CIBERHIGIENE

Unidade didática 2: Segurança na Internet

Autor: Luís Dias, PhD

[MÓDULO 4 – Unidade didática 1] de [Luís Dias] é

disponibilizado sob a Licença Creative Commons-
Atribuição - NãoComercial-CompartilhaIgual 4.0
1 Internacional
1
 Obetivos

Aplicar boas práticas para a utilização segura das aplicações e dos sistemas operativos

• Cuidados genéricos no correio eletrónico, redes sociais e cloud

• Cuidados a ter na utilização e configuração de redes Wi-fi
• Gestão segura de dispositivos IoT (Internet das coisas)
• Identificar notícias falsas na Internet
• Procedimentos na resposta a incidentes

2
2
 Segurança na Internet

✓ Cuidados genéricos a ter:

➢ Não abrir e-mails nem ligações de conteúdo/origem duvidosa/desconhecida nem responder a

contactos suspeitos ou de fontes desconhecidas. Em caso de dúvida, contactar a empresa/entidade
por outros meios (e.g., telefonema, pesquisa online) e validar fidedignidade.

➢ Acesso a sites de instituições de crédito:

✓ Escrever o endereço em vez de clicar em links.
✓ Verificar se inicia em https://: (nunca apenas http://)
✓ Memorizar e observar o endereço URL (especificamente o domínio, e.g, cgd.pt; santander.pt)
✓ Verificar o certificado se persistirem dúvidas e analisar o domínio contido (slide 5)

cgd.pt diferente de cgb.pt santander.pt diferente de santandertota.pt

3
 Segurança na Internet

✓ Cuidados genéricos a ter:

➢ Não divulgar dados pessoais ou códigos de acesso através de e-mail ou telefone ou outros meios na
internet (os códigos de acesso são pessoais e intransmissíveis)

➢ Não fazer compras online fornecendo os dados do cartão (real) de crédito/débito às lojas online:
✓ Usar cartões virtuais/temporários utilizando serviços como Mbnet
✓ Ou use uma entidade intermediária reconhecidamente segura como o PayPal
✓ Avisar imediatamente a instituição de crédito se houver problemas.

4
 Segurança na Internet

✓ Cuidados genéricos a ter:

➢ Evite ligar-se a redes wi-fi públicas, se não for possível: nunca aceda a informação sensível… (na
dúvida verifique os certificados e domínios das ligações HTTPS).

5
 Segurança na Internet

✓ Cuidados a ter no e-mail:

➢ Não reutilizar passwords de serviços importantes

✓ Verifique se a sua foi comprometida em: https://haveibeenpwned.com/

➢ Não colocar listas grandes de contatos em CC, preferir usar BCC (evita o potencial uso em spam/phishing)

➢ Desativar previsualização automática (clientes de email) de anexos

➢ Nunca esqueça: nenhum serviço (banco, loja online, etc.) lhe vai pedir informação sensível (e.g.,
login/password, etc.) via e-mail

➢ Não reencaminhe sequências de emails internos para o exterior (por vezes acontece em resposta a pedidos
externos)

➢ Verifique sempre o URL (antes de clicar num link verifique associação link/url)
• Basta passar o cursor do mouse sobre os links
• Além disso, verificar também o endereço de e-mail
(e.g., netbancoempresas@santander.pt diferente de netbancoempresas@santandder.biz)
• O url do link deve corresponder ao assunto do mail e/ou ao domínio no endereço do remetente.

➢ Faça o teste e treine em: https://phishingquiz.withgoogle.com/

6
 Segurança na Internet

✓ Cuidados a ter nas redes sociais:

➢ Após partilhar dificilmente poderá voltar atrás…

➢ Não partilhe com desconhecidos informações pessoais, localização, planos de viagens, etc.

➢ Valide as definições de privacidade e confirme que não torna públicas as informações pessoais de perfil,
assim como publicações reservadas ao núcleo de amigos... na dúvida.. não partilhe essas informações.

➢ Não se ligue a desconhecidos

➢ Não esqueça: o seu perfil, gostos, partilhas, podem ser usados contra si… para perceber os seus pontos
fracos/sensíveis a ser usados num ataque de spear-phishing por exemplo

➢ Assegure a sua reputação digital!!

➢ Se suspeitar que o seu perfil foi comprometido, altere a sua password

7
 Segurança na Internet

✓ Cuidados a ter na cloud (e.g., google drive, Dropbox, etc.):

➢ A cloud permite um sistema de backup acessível em qualquer parte… mas, os próprios serviços
são vulneráveis…

➢ Não envie nada para a cloud que tenha receio que seja acedido por outros…

➢ … Se tiver de o fazer.. encripte informação sensível antes de enviar para a cloud.

➢ Garanta redundância: use pelo menos dois serviços de cloud ou armazene informação em local
controlado por si
➢ regra de backups:
3 cópias dos dados - 2 em diferentes dispositivos – 1 em local externo (pode ser a cloud)

✓ Em qualquer dos casos: cloud, email, netbanco, ou outro, tenha passwords únicas, não partilhadas
entre outros serviços online

➢ Veremos como criar passwords seguras…

8
 Segurança na Internet

✓ Recomendação geral para autenticação com passwords

1. Utilizar (autenticação multi-fator) MFA sempre que possível!

2. Quando não for possível usar MFA, usar gestor de passwords se permitir criar passwords complexas, longas e
aleatórias para cada um dos serviços a aceder.

3. Se nenhum dos anteriores for possível, usar passwords longas (passphrase) ou acrónimos.

✓ Em qualquer situação:

➢ nunca use passwords comuns (e.g., “password”, “12345”) ou demasiado pessoais e previsíveis (e.g.,
Luis1978)
➢ nunca deixe a password por defeito do equipamento que comprou
➢ … e muito importante, nunca reutilize as passwords entre serviços (pelo menos os mais críticos)!

9
 Segurança na Internet

✓ Recomendação geral para autenticação com passwords (cont. 1)

1. Utlizar MFA sempre que possível!

• Exemplo: Google 2-step verification

➢ Insira a password
➢ Insira o código recebido no telemóvel

➢ Pode adicionar o computador à lista dos confiáveis e não ter que repetir este processo…

Ver mais em: https://www.google.com/landing/2step/

10
 Segurança na Internet

Recomendação geral para autenticação com passwords (cont. 2)

2. Usar gestor de passwords 6

1
Exemplo: keepass

1. Aceder a https://keepass.info/
2. Download e Instale versão profissional
(grátis)
3. Execute o programa
4. Crie uma base de dados nova
5. Escolha uma Master Secret segura!
(memorize-a… use passphrase ou
acrónimo… longo)
8
6. Faça check em todos os tipos de
caracteres a usar para gerar passwords e
coloque minimo de 30 caracteres
(tamanho).
7. Adicione as suas contas…
8. Agora é só usar….

9. Apague e deixe de salvar passwords

guardadas nos browsers!
11
 Segurança na Internet

Recomendação geral para autenticação com passwords (cont. 3)

Apague e deixe de salvar passwords guardadas nos browsers!

Aplicações como o WebBrowserPassView (ou outras usadas por cibercriminosos) permitem ver todas as
passwords guardadas nos browsers

12
 Segurança na Internet

Recomendação geral para autenticação com passwords (cont. 4)

3. Se nenhum dos anteriores for possível, usar passwords longas (passphrase) ou acrónimos complexos.

Evitar: Como memorizar:

✓ nomes de família, animais, amigos.
✓ Utilizar uma frase que lhe diga respeito emocionalmente e a
✓ Palavras de dicionário (e.g., cassete)
mais ninguém, como ponto de partida: e.g., Eu gosto muito de
✓ Informação pessoal (e.g., numero de aluno e
navegar nos mares da Noruega mas gosto mais ainda de
nome, nome filho e ano nascimento);
bacalhau.
✓ Informação pública (e.g. atividades de tempos
livres, gostos).
✓ Possível estratégia (complexa…): usar primeira letra de cada
✓ Clássicos (e.g. 12345, qwerty)
palavra, substituir letra E por 4, alternar maiúsculas e minúsculas,
colocar @ em vez dos a.

Requisitos de uma boa password: Resultado: 4gMdNnMdNmGm@dB

✓ Maiúsculas/Minúsculas ✓ Ou (preferível), junte apenas as palavras com pequenas

✓ Números variações:
✓ Caracteres especiais
✓ Pelo menos 12 caracteres Resultado:
✓ Não decifrável “eugostomuitodenavegarnosmaresdaNORUEG@”
✓ Aceitável e fácil: e.g., combinação de várias
palavras com pequenas alterações

13
 Segurança na Internet

✓ Nas redes Wi-Fi públicas, nunca aceder a informação sensível. Se necessário aceder, garantir que utiliza ligações
seguras (https://) e tem firewall ativa (modo rede pública).

✓ Na rede wi-fi de casa, deve garantir que:

• Utiliza o protocolo mais recente de comunicação (e.g., WPA3 ou WPA2… em vez de WPA)

• Altera o SSID de rede predefinido

• Altera a password (pre-shared key) da rede e renova-a com frequência.

• Desabilita o WPS e UPnP

• Configure a rede guest para convidados.

• Limita o acesso ao interface de administração do router apenas por ethernet (cabo).

• Altera o login por defeito no interface de administração do router.

• Atualizar o firmware do router (normalmente será automático)

14
 Segurança na Internet

Equipamentos de rede diversos (Internet of Things)

✓ Alterar sempre o login por defeito

✓ Atualizar sempre as versões de firmware

✓ Se visivel na internet, alterar os portos (e.g., valor alto aleatório 80 passa a 51023)

✓ Se possível, segmentar as redes, isolando os dispositivos IoT no mesmo segmento.

✓ Riscos… exemplo: shodan

15
 Segurança na Internet

Utilização de VPN

✓ A utilização de TLS (https://) é fundamental para garantirmos confidencialidade entre duas partes (e.g.,
cliente e servidor). Nota: HTTPS não significa que o site é seguro, significa que a ligação para o site é segura.

✓ Se quisermos garantir todas as comunicações seguras entre o nosso PC e um provedor de VPN,

devemos usar VPN. Esta é uma boa solução para nos protegermos em redes públicas, escondermos a
nossa identidade (IP) e protegermos as nossas comunicações (entre cliente e provedor de VPN) de
diversos atores.

Fonte: https://restoreprivacy.com/vpn/

✓ Como alternativa, para obter anonimato e confidencialidade, poder-se-á utilizar a rede TOR
(normalmente usado por jornalistas ou outros agentes, mas também agentes de ameaça)
Nota: Para comunicações seguras de e-mail poder-se-á usar PGP/GPG.

16
 Segurança na Internet

✓ Cuidados a ter na utilização de VPN:

➢ Nunca deverá confiar em serviços de VPN grátis (podem intercetar todo o seu tráfego, incluindo https).

➢ 84% das VPN grátis para android são inseguras (fonte: An Analysis of the Privacy and Security Risks of Android
VPN Permission-enabled Apps)

➢ Se precisar de VPN (nem sempre será necessário) … escolha um provedor com reputação e pago.

➢ Lembre-se: a VPN não deve ser utilizada para contornar leis nacionais, infringindo a lei

Fonte: https://restoreprivacy.com/vpn/

Nota: com alguns serviços de VPN, pode escolher a localização de onde “acede” à internet… era assim que muita gente acedia ao netflix… ou que se compram bilhetes de avião a bom preço...

17
 Segurança na Internet

✓ Emulação de software
➢ Execução em ambiente protegido dentro do SO. Evita que certas zonas dos sistema (e.g.,
memoria, disco) possam ser acedidas.
➢ Ex. sandboxie.

✓ Virtualização:
➢ Máquinas virtuais que contém SO próprios.
➢ Os SO virtuais ficam isolados do SO principal
➢ Virtual Box, VMWare

Utilizar para testar programas, navegar na Web, visitar sites inseguros.

18
 Segurança na Internet

✓ Notícias Falsas – Conceitos relacionados

➢ A desinformação, erradamente reduzida a “fake news”, segundo Humprecht et al. (2020) é informação
falsa estrategicamente partilhada para obter lucros ou causar danos e prejuízo público (ambiente,
segurança, processos democráticos, etc.)

➢ Misinformation - partilha não intencional de conteúdos falsos ou enganosos

➢ Malinformation como informação genuína (e.g., privada), partilhada para causar danos

➢ Propaganda é a persuasão e influência sobre atitudes e opiniões do público-alvo, com fins ideológicos,
políticos ou comerciais, através da divulgação de informação parcial (que pode ou não ser factual)

➢ Deepfakes - manipulação de imagens ou vídeos através de inteligência artificial (ver link)

➢ No caso da COVID-19, houve um pouco de tudo, culpando grupos raciais, imigrantes ilegais e mesmo
governos pela propagação do vírus, campanhas para obtenção de vantagens políticas ou comerciais, etc.

19
 Segurança na Internet

✓ Notícias Falsas - Conceitos

Sites de Fake News em Portugal

Fonte: Disponível em Os truques da imprensa portuguesa (2018).

20
 Segurança na Internet

✓ Detetar noticias Falsas

➢ As notícias falsas normalmente são assentes em meias-verdades… pode ser fácil iludirmos-mos

➢ Assegure-se de que a notícia é veiculada por fontes reconhecidas

➢ Seja crítico, pense e confirme sempre em outras fontes

➢ Analise as imagens – se parece falsa é porque deve ser, não partilhe!

➢ Não partilhe nada sem inspecionar bem, e.g., leia tudo, não partilhe apenas pelo título

➢ Na dúvida não partilhe! Se partilhar está a prejudicar os outros e provavelmente a piorar a democracia!

21
 Segurança na Internet

✓ Combate às fake-news e desinformação

➢ Entidade Reguladora para a Comunicação Social (ERC)

Supervisiona Código de Conduta contra a Desinformação nas plataformas digitais

➢ Investigação e verificadores de factos

Academia (e.g., Medialab do ISCTE)
Polígrafo, Observador – “A Hora da Verdade” (TVI), Público.

➢ Rede eleitoral
Regras relativas às atividades em linha – ERC, MAI, CNE, etc.

22
 Segurança na Internet

✓ Procedimentos para resposta a incidentes

✓ Em contexto pessoal

➢ comunicação à autoridade judiciária ou ao órgão de polícia criminal competente quando esses

incidentes configurem também um ilícito criminal

➢ notificação de incidente ao Centro Nacional de Cibersegurança https://www.cncs.gov.pt/certpt/notificar-

incidente/

✓ Em contexto profissional

➢ Deve em primeiro lugar ser avisado o helpdesk ou canal de reporte próprio. Informar a Cadeia
de Comando da organização.

➢ Utilizar o canal de comunicação estabelecido (definido em políticas/normas internas) pela

empresa para comunicar incidentes.

23
 Segurança na Internet

✓ Exemplo numa grande organização

➢ Os utilizadores são alertados para as suas responsabilidades através de normas técnicas que definem os
procedimentos a adotar.

➢ Para além da resposta a incidentes, as normas estabelecem as regras em vigor para utilização segura dos
sistemas:

❑ ao nível dos utilizadores (responsabilidades)

❑ dos administradores de rede (procedimentos técnicos no local)
❑ ao nível dos decisores em cibersegurança (infraestrutura/instalação/tecnologia/mecanismos de segurança)

incidente

Utilizador

CNCS Plataforma reporte de

Equipa de incidentes
PJ cibersegurança
Outras equipas do mesmo Setor

24
 Fundamentos de Cibersegurança (PSP)

MÓDULO 4: CIBERHIGIENE

Unidade didática 1: Segurança e hardening em sistemas Windows

Autor: Luís Dias, PhD

[MÓDULO 4 – Unidade didática 1] de [Luís Dias] é

disponibilizado sob a Licença Creative Commons-
Atribuição - NãoComercial-CompartilhaIgual 4.0
25 Internacional
25