Fundamentos de Cibersegurança (PSP)

MÓDULO 4: CIBERHIGIENE

Unidade didática 1: Segurança e hardening em sistemas

Autor: Luís Dias, PhD

[MÓDULO 4 – Unidade didática 1] de [Luís Dias] é

disponibilizado sob a Licença Creative Commons-
Atribuição - NãoComercial-CompartilhaIgual 4.0
1 Internacional
1
 Obetivos

Aplicar boas práticas para a utilização segura das aplicações e dos sistemas operativos

2
2
 CIBERHIGIENE - INTRODUÇÃO

✓ A tecnologia é útil… mas a dependência desta acarreta perigos.

✓ Todas as tecnologias são vulneráveis! Pensar diferente é pura ilusão.

➢ É importante conhecer os perigos e estar preparado!

Fonte da imagem: Kaspersky Lab

3
 CIBERHIGIENE - INTRODUÇÃO

✓ A ciber segurança é uma responsabilidade de todos… e não só dos administradores

de IT, das empresas, dos fabricantes de software, etc…

✓ Os computadores são máquinas lógicas, não cometem erros… são desenhados, operados
e mantidos por pessoas com intenção (boa ou má).

Cibersegurança visa adotar medidas para manter o ciberespaço Seguro.

➢ Consciencialização para a ciber-segurança -> “Antivirus/Firewall Humano” (a primeira linha de

defesa!)

4
 CIBERHIGIENE - INTRODUÇÃO

✓ O Cibercrime tem vindo a aumentar… e vai continuar.

Fonte: Relatório Anual de Segurança Interna – ano 2021

Figura - Evolução dos crimes Informáticos reportados

5
 CIBERHIGIENE - INTRODUÇÃO

✓ O Cibercrime tem vindo a aumentar… e vai continuar.

Consideram-se “crimes relacionados com a informática”, com base na

categorização da Direção-Geral da Política de Justiça , a soma entre os
“crimes informáticos”, os crimes por “devassa por meio informático” e os
crimes por “burla informática/comunicações”.

Tendência de convergência ?

Fonte: Relatório Riscos e Conflitos (observatório de cibersegurança)– ano 2021

6
 CIBERHIGIENE - INTRODUÇÃO

✓ O Cibercrime tem vindo a aumentar… e vai continuar…

Exemplos de phishing genérico:

Exemplo 1: Exemplo 2:

7
 CIBERHIGIENE - INTRODUÇÃO

✓ O Cibercrime tem vindo a aumentar… e vai continuar…

Exemplos de phishing direcionado clientes CGD (spear phishing):

Endereço inexistente

8
 CIBERHIGIENE - INTRODUÇÃO

✓ O Cibercrime tem vindo a aumentar… e vai continuar…

Exemplos de spear phishing direcionado para empresas (ex. secretária CEO)

✓ spear-phishing, uma forma direcionada de phishing que envolve o envio de um e-mail personalizado
a uma possível vítima que foi previamente investigada (gostos, interesses … “vulnerabilidades”).

9
 CIBERHIGIENE - INTRODUÇÃO

✓ O Cibercrime tem vindo a aumentar… e vai continuar…

Outro exemplo de phishing através de um site com layout aparentemente fidedigno:

10
 CIBERHIGIENE - INTRODUÇÃO

✓ O Cibercrime tem vindo a aumentar… e vai continuar…

Exemplo de Ransomware… no estado final (dados e sistema inacessíveis)

11
 CIBERHIGIENE - INTRODUÇÃO

✓ E estamos preparados??

“Com 100 mil euros e uma equipa deitava abaixo um governo em 15 dias…
a fragilidade dos nossos sistemas vitais, dos sistemas críticos que fazem a sociedade
funcionar é assustadora,….
Portugal sofre de uma falta de pensamento na cibersegurança”
Fonte: entrevista do Prof. Universitário José Tribolet à Lusa

✓ Talvez com menos dinheiro ainda, e sem ser preciso uma equipa…
É necessário criatividade para conseguir aplicar técnicas de engenharia social e efetuar um golpe de
spear-phishing. Conhecimentos técnicos para conseguir penetrar na rede e explorá-la.

✓ Exemplo:
“hackers éticos realizaram alguns testes … em mais de 50 universidades no Reino Unido.. Nem sequer
necessitaram de duas horas para conseguirem ter acesso a dados de alto valor”. Fator da taxa de
sucesso: spear-phishing!!

12
 CIBERHIGIENE - INTRODUÇÃO

✓ E estamos preparados??

Será só Portugal que tem “falta de pensamento” para a Ciber Segurança??

Ver vídeo: https://www.youtube.com/watch?v=opRMrEfAIiI

13
 CIBERHIGIENE - INTRODUÇÃO

✓ Em suma…

➢ A tecnologia traz-nos coisas boas… e devemos usá-la.

➢ Mas… devemos usá-la bem…

➢ Então… como nos protegemos ?

1. Estando conscientes dos perigos e termos cuidado (comportamento).

2. Implementando mecanismos e controlos de segurança (políticas e tecnologia).

14
 CIBERHIGIENE - INTRODUÇÃO

Por exemplo, a higiene oral, os cuidados ao caminhar de noite, o conhecimento dos sinais de
trânsito, são uma responsabilidade individual.

No ciberespaço é igual, somos os responsáveis por nós mesmos, temos que adotar a:

“Ciber Higiene”!

15
 Segurança e hardening em sistemas

16
 Segurança e hardening em sistemas Windows

✓ Ter apenas o software necessário instalado:

➢ Botão iniciar -> escrever “painel de controlo” -> desinstalar um programa

➢ Por exemplo, desinstalar o Bloatware – aplicações previamente instaladas na compra do PC

✓ Verificar software suspeito/indesejado no arranque do PC

➢ Utilizar a aplicação autoruns.exe da sysinternals (logon autoruns).
➢ Download sysinternals: https://download.sysinternals.com/files/SysinternalsSuite.zip
➢ Com o autoruns pode fazer submissão automática para o “Virus Total”

17
 Segurança e hardening em sistemas Windows

✓ Ter o user account control (UAC) ativado no nível máximo:

➢ Botão iniciar -> escrever “UAC” -> alterar definições de controlo de conta -> Notificar-me sempre

18
 Segurança e hardening em sistemas Windows

✓ A conta de utilização diária (normal) não deve ter privilégios de

administrador:

➢ Botão iniciar -> painel de controlo -> Contas de utilizador

➢ Criar um user frequente sem privilégios de administração
➢ Criar um user com privilégios para quando é necessário instalar programas ou
alterar definições de sistema

19
 Segurança e hardening em sistemas Windows

✓ O Sistema Operativo, o Antivírus e demais software (e.g., java, browsers, etc) devem estar
permanentemente atualizados.

➢ Botão iniciar -> procurar atualizações -> configurar atualizações automáticas

➢ Utilizar software updater (e.g., ninite pro) ou atualizar manualmente as aplicações.

✓ Firewall ativada

➢ Botão iniciar -> firewall do Windows defender

➢ Optar por defeito pela rede pública ou de convidado (e.g., limita os acessos a serviços do Windows)

20
 Segurança e hardening em sistemas Windows

✓ Criar partição lógica para armazenamento de dados (opcional)

➢ Botão iniciar -> criar e formatar partições do disco rígido (cuidado pode danificar o PC se não tiver a certeza de como fazer)
➢ Os dados não devem ficar guardados na partição do Sistema Operativo.

21
 Segurança e hardening em sistemas Windows

✓ Antivírus ativo

➢ Quando compra um pc pode estar instalada uma versão

limitada de um qualquer AV

➢ Pode desinstalar esse AV (..e outro Bloatware) e o AV

incluído na Segurança do Windows será ativado
automaticamente (atualmente é suficiente…)

➢ Botão iniciar –> segurança do Windows

✓ Proteção contra Ransomware

➢ Ativar o acesso controlado a pastas – Anti-Ransomware
(colocar a partição lógica de “dados” protegida, ou outra
pasta).
➢ Deve ativar um serviço de cloud (e.g., one drive ) para
backup (o backup é fundamental) de informação não
sensível.
➢ A informação sensível deve ser encriptada antes de se
enviar para a cloud, ou melhor ainda: deve guardar/copiar
(redundância) essa informação (encriptada) num suporte
físico offline, e.g., pen ou disco.

22
 Segurança e hardening em sistemas Windows

✓ Utilizar software para emulação de execução de aplicações

➢ Executa o software num local contido não afetando o Sistema Operativo

➢ E.g., sandboxie, virtualização (Windows sandbox – apenas versão Win Pro ou Enterprise)

23
 Segurança e hardening em sistemas Windows

✓ Não utilizar software pirata e desconfiar do software grátis

➢ Software pirata é ilegal…. e não deve haver quase nenhum que não tenha “prémio” (e.g., interesses maliciosos, spyware, trojan)

➢ Desconfiar sempre do software grátis (deve usar sempre o virustotal para verificar)

➢ Software grátis é diferente de software opensource. O software de código aberto deve também ser sempre verificado (e.g., Vírus
Total). Apesar de estar aberto e a comunidade poder inspecionar o código, tem havido muitos relatos de comprometimento de
repositórios de código aberto (e.g., github).

24
 Segurança e hardening em sistemas Windows

✓ Outras medidas

➢ Ativar login com palavra-passe/pin/impressão digital

➢ Proteger PCs com informação crítica contra roubos encriptando o disco (e.g., bitlocker https://support.microsoft.com/pt-
pt/help/4028713/windows-10-turn-on-device-encryption)
➢ Limitar funcionalidades não desejáveis do SO (e.g., botão iniciar -> privacidade -> desabilitar funcionalidades)
➢ Limitar aplicações de sistema não necessárias (e.g., botão iniciar -> ativar ou desativar funcionalidades do
Windows)
➢ Monitorizar eventos/logs do sistema (e.g., botão iniciar -> visualizador de eventos)
➢ Bloquear sessão quando ausente
➢ Não suspender PC se informação contida nele for crítica (passwords encriptação podem ser recuperadas).
➢ Ativar pesquisa segura no browser, desativar extensões/plugins não necessários
➢ Fazer backups regularmente para local externo ao pc.
➢ Se usar um PC público, utilize navegação InPrivate

✓ Nota: no macOS os conceitos são semelhantes… acessíveis através do menu de configuração de

privacidade e segurança.

25
 Segurança e hardening em plataformas móveis

✓ Manter o SO do smartphone e as aplicações sempre atualizadas

✓ Ativar proteção por password/pin ou Impressão digital.

✓ Não fazer jailbrake nem usar apps fora da app store. (novamente… “ninguém dá nada a ninguém”)
• Versões mais recentes de android têm o google play protect.. ative-o:
Settings > Google > Security > Play Protect
• Atenção às permissões solicitadas pelas aplicações (mesmo as da appstore) – devem corresponder ao context da
aplicação

✓ Desative o Bluetooth se não está a usar.

✓ Evite ligar-se a redes wi-fi públicas, se não for possível: nunca aceda a informação sensível… (e se tiver que o fazer verifique os
certificados e domínios das ligações HTTPS).

✓ Fazer backups regulares para disco externo e/ou serviço de cloud.

26
 Segurança e hardening em plataformas móveis

✓ Instalar software de segurança (validar a fidedignidade… não cair em falsos alarmes de segurança durante a navegação)

✓ Verificar definições de privacidade (e.g., permissões de georreferenciação)

✓ Evite ter informação sensível, se tiver… encripte-a ou encripte todo o dispositivo

✓ Verifique ativação do “Find My Phone” ou “Find my iPhone”

• Settings > Google > Security > Find My Phone

• Se tem android teste num pc com sessão iniciada no gmail: https://www.google.com/android/find

Notas:
Há software de encriptação disponível.. Mas o android permite encriptar todo o dispositivo (análise custo benefício – atenção à funcionalidade)
É fácil extrair informação do telemóvel, basta ligar a um PC por cabo ou Wi-Fi (ou retirar e usar o sd card) - não é necessário password..

27
 Fundamentos de Cibersegurança (PSP)

MÓDULO 4: CIBERHIGIENE

Unidade didática 1: Segurança e hardening em sistemas Windows

Autor: Luís Dias, PhD

[MÓDULO 4 – Unidade didática 1] de [Luís Dias] é

disponibilizado sob a Licença Creative Commons-
Atribuição - NãoComercial-CompartilhaIgual 4.0
28 Internacional
28