SEGURANA FRAUDE TECNOLOGIA SPAM INT MALWARE PREVENO VRUS BANDA LARGA TROJAN PRIVACIDADE PHISHING WIRELESS

SPYWARE ANTIVRUS WORM BLUETOOTH SC

CRIPTOGRAFIA BOT SENHA ATAQUE FIREWAL INCIDENTE

BACKDOOR COOKIES KEYLOGGER PATCHES R PREVENO VRUS BANDA LARGA TROJAN

Cartilha de Segurana PRIVACIDADE PHISHING WIRELESS SPYWARE para Internet ANTIVRUS WORM BLUETOOTH SCAM
INCIDENTE SEGURANA FRAUDE

TECNOLOGIA SPAM INTERNET MA

CRIPTOGRAFIA BOT SENHA ATAQUE FIREWAL

BACKDOOR COOKIES KEYLOGGER PATCHES R MALWARE PREVENO VRUS BANDA LARGA TROJAN PRIVACIDADE PHISHING WIRELESS

Glossrio

INTERNET

SPYWARE ANTIVRUS WORM BLUETOOTH SC

Verso 3.0 Setembro de 2005 http://cartilha.cert.br/

CRIPTOGRAFIA BOT SENHA ATAQUE FIREWAL

BACKDOOR COOKIES KEYLOGGER PATCHES R

INCIDENTE SEGURANA FRAUDE TECNOLOGIA

CERT.br Centro de Estudos, Resposta e Tratamento de Incidentes de Seguranc a no Brasil

Cartilha de Seguranc a para Internet Glossario

3.0 Setembro de 2005 Versao

http://cartilha.cert.br/

 Glossario

Gloss ario
802.11 AC ADSL es desenvolvidas pelo IEEE para tecnologias Refere-se a um conjunto de especicac o de redes sem o. Veja Autoridade certicadora. o das Do Ingl es Asymmetric Digital Subscriber Line. Sistema que permite a utilizac a linhas telef onicas para transmiss ao de dados em velocidades maiores que as permitidas por um modem convencional. Do Ingl es Advertising Software. Software especicamente projetado para apresentar propagandas. Constitui uma forma de retorno nanceiro para aqueles que desenvolvem software livre ou prestam servic os gratuitos. Pode ser considerado um tipo de o na spyware, caso monitore os h abitos do usu ario, por exemplo, durante a navegac a Internet para direcionar as propagandas que ser ao apresentadas. Programa ou software especicamente desenvolvido para detectar, anular e eliminar de um computador v rus e outros tipos de c odigo malicioso. Do Ingl es Access Point. Dispositivo que atua como ponte entre uma rede sem o e uma rede tradicional. qualquer informac o deixada por um invasor em um sisDe forma geral, artefato e a tema comprometido. Pode ser um programa ou script utilizado pelo invasor em atividades maliciosas, um conjunto de ferramentas usadas pelo invasor, logs ou arquivos deixados em um sistema comprometido, a sa da gerada pelas ferramentas do invasor, etc.

Adware

Antiv rus AP Artefato

Assinatura digital C odigo utilizado para vericar a integridade de um texto ou mensagem. Tamb em mesmo quem diz pode ser utilizado para vericar se o remetente de uma mensagem e ser. Atacante Ataque o de um ataque. Veja tamb Pessoa respons avel pela realizac a em Ataque. Tentativa, bem ou mal sucedida, de acesso ou uso n ao autorizado a um programa ou o de servic computador. Tamb em s ao considerados ataques as tentativas de negac a o.

Autoridade certicadora Entidade respons avel por emitir certicados digitais. Estes certicados podem ser emitidos para diversos tipos de entidades, tais como: pessoa, computador, departa o, instituic o, etc. mento de uma instituic a a Backdoor Banda Bandwidth Bluetooth Programa que permite a um invasor retornar a um computador comprometido. Nor colocado de forma a n malmente este programa e ao ser notado. Veja Largura de banda. Veja Largura de banda. ncia (RF) de baixo alcance, Termo que se refere a uma tecnologia de r adio-freq ue utilizada para a transmiss ao de voz e dados.

Cartilha de Seguranc a para Internet c 2005 CERT.br

2/9

 Glossario

Boato

E-mail que possui conte udo alarmante ou falso e que, geralmente, tem como reme o, empresa importante tente ou aponta como autora da mensagem alguma instituic a rg ou o ao governamental. Atrav es de uma leitura minuciosa deste tipo de e-mail, nor poss malmente, e vel identicar em seu conte udo mensagens absurdas e muitas vezes sem sentido. Programa que, al em de incluir funcionalidades de worms, sendo capaz de se propa o de vulnerabilidades existentes ou falhas gar automaticamente atrav es da explorac a o de softwares instalados em um computador, disp na congurac a oe de mecanismos o com o invasor, permitindo que o programa seja controlado remode comunicac a tamente. O invasor, ao se comunicar com o bot, pode orient a-lo a desferir ataques contra outros computadores, furtar dados, enviar spam, etc. Redes formadas por diversos computadores infectados com bots. Podem ser usadas o de servic em atividades de negac a o, esquemas de fraude, envio de spam, etc.

Bot

Botnets

Cable modem Modem projetado para operar sobre linhas de TV a cabo. Cavalo de tr oia Programa, normalmente recebido como um presente (por exemplo, cart ao virtual, lbum de fotos, protetor de tela, jogo, etc), que al es para as a em de executar func o quais foi aparentemente projetado, tamb em executa outras func oes normalmente maliciosas e sem o conhecimento do usu ario. Certicado digital Arquivo eletr onico, assinado digitalmente, que cont em dados de uma pessoa ou ins o, utilizados para comprovar sua identidade. Veja tamb tituic a em Assinatura digital. C odigo malicioso es maTermo gen erico que se refere a todos os tipos de programa que executam ac o liciosas em um computador. Exemplos de c odigos maliciosos s ao os v rus, worms, bots, cavalos de tr oia, rootkits, etc. Com ercio eletr onico qualquer forma de transac o comercial onde Tamb em chamado de e-commerce, e a as partes interagem eletronicamente. Conjunto de t ecnicas e tecnologias computa es comerciais de bens e servic cionais utilizadas para facilitar e executar transac o os atrav es da Internet. Comprometimento Veja Invas ao. Conex ao segura Conex ao que utiliza um protocolo de criptograa para a transmiss ao de dados, como por exemplo, HTTPS ou SSH. o de seguranc Correc a a o especicamente desenvolvida para eliminar falhas de seguranc Correc a a em um software ou sistema operacional. Criptograa parte de Ci encia e arte de escrever mensagens em forma cifrada ou em c odigo. E es secretas. E usada, dentre outras um campo de estudos que trata das comunicac o es banc nalidades, para: autenticar a identidade de usu arios; autenticar transac o arias; proteger a integridade de transfer encias eletr onicas de fundos, e proteger o sigilo de es pessoais e comerciais. comunicac o
3/9

Cartilha de Seguranc a para Internet c 2005 CERT.br

 Glossario

DDoS

o de servic Do Ingl es Distributed Denial of Service. Ataque de negac a o distribu do, utilizado para tirar de operac o um ou mais ou seja, um conjunto de computadores e a ` Internet. Veja Negac o de servic servic os ou computadores conectados a a o. Do Ingl es Domain Name System. Servic o que traduz nomes de dom nios para enderec os IP e vice-versa. o de servic Do Ingl es Denial of Service. Veja Negac a o. Veja Com ercio eletr onico. um n nico para cada computador conectado a ` Internet, comEste enderec o e umero u ncia de 4 n posto por uma seq ue umeros que variam de 0 at e 255, separados por .. Por exemplo: 192.168.34.25.

DNS DoS E-commerce Enderec o IP

Engenharia social M etodo de ataque onde uma pessoa faz uso da persuas ao, muitas vezes abusando da es que podem ser utilizaingenuidade ou conanc a do usu ario, para obter informac o es. das para ter acesso n ao autorizado a computadores ou informac o Exploit Programa ou parte de um programa malicioso projetado para explorar uma vulnerabilidade existente em um software de computador.

Falsa identidade Ato onde o falsicador atribui-se identidade ileg tima, podendo se fazer passar por outra pessoa, com objetivo de obter vantagens indevidas, como por exemplo, obter cr edito, furtar dinheiro de contas banc arias das v timas, utilizar cart oes de cr edito de terceiros, entre outras. Firewall o de software e hardware, utilizado para diviDispositivo constitu do pela combinac a dir e controlar o acesso entre redes de computadores.

Firewall pessoal Software ou programa utilizado para proteger um computador contra acessos n ao autorizados vindos da Internet. E um tipo espec co de rewall. GnuPG GPG Harvesting Hoax HTML HTTP HTTPS Identity theft Conjunto de programas gratuito e de c odigo aberto, que implementa criptograa de nica, de chaves p chave u ublica e privada e assinatura digital. Veja GnuPG. T ecnica utilizada por spammers, que consiste em varrer p aginas Web, arquivos de listas de discuss ao, entre outros, em busca de enderec os de e-mail. Veja Boato. Do Ingl es HyperText Markup Language. Linguagem universal utilizada na elabora o de p c a aginas na Internet. Do Ingl es HyperText Transfer Protocol. Protocolo usado para transferir p aginas Web entre um servidor e um cliente (por exemplo, o browser). o de HTTP com Quando utilizado como parte de uma URL, especica a utilizac a algum mecanismo de seguranc a, normalmente o SSL. Veja Falsa identidade.
4/9

Cartilha de Seguranc a para Internet c 2005 CERT.br

 Glossario

IDS IEEE

Do Ingl es Intrusion Detection System. Programa, ou um conjunto de programas, cuja o e detectar atividades maliciosas ou an func a omalas. o Acr onimo para Institute of Electrical and Electronics Engineers, uma organizac a composta por engenheiros, cientistas e estudantes, que desenvolvem padr oes para a ind ustria de computadores e eletro-eletr onicos. o ou destruic o de informaAtaque bem sucedido que resulte no acesso, manipulac a a es em um computador. c o o de uma invas Pessoa respons avel pela realizac a ao (comprometimento). Veja tamb em Invas ao. Veja Enderec o IP. Programa capaz de capturar e armazenar as teclas digitadas pelo usu ario no teclado de o do keylogger e condicionada a uma ac o um computador. Normalmente, a ativac a a pr evia do usu ario, como por exemplo, ap os o acesso a um site de com ercio eletr onico ou Internet Banking, para a captura de senhas banc arias ou n umeros de cart oes de cr edito.

Invas ao Invasor IP Keylogger

Largura de banda o, em Quantidade de dados que podem ser transmitidos em um canal de comunicac a um determinado intervalo de tempo. Log Registro de atividades gerado por programas de computador. No caso de logs relativos a incidentes de seguranc a, eles normalmente s ao gerados por rewalls ou por IDSs. Do Ingl es Malicious software (software malicioso). Veja C odigo malicioso. Do Ingl es Multimedia Message Service. Tecnologia amplamente utilizada em tele udio e v fonia celular para a transmiss ao de dados, como texto, imagem, a deo. Dispositivo que permite o envio e recebimento de dados utilizando as linhas telef onicas.

Malware MMS Modem

o de servic Negac a o o Atividade maliciosa onde o atacante utiliza um computador para tirar de operac a ` Internet. um servic o ou computador conectado a Numero IP Opt-in Veja Enderec o IP. proibido mandar e-mails comerciRegra de envio de mensagens que dene que e ais/spam, a menos que exista uma concord ancia pr evia por parte do destinat ario. Veja tamb em Soft opt-in. permitido mandar e-mails comerciRegra de envio de mensagens que dene que e ais/spam, mas deve-se prover um mecanismo para que o destinat ario possa parar de receber as mensagens. Acr onimo para peer-to-peer. Arquitetura de rede onde cada computador tem funcionalidades e responsabilidades equivalentes. Difere da arquitetura cliente/servidor, normalonde alguns dispositivos s ao dedicados a servir outros. Este tipo de rede e mente implementada via softwares P2P, que permitem conectar o computador de um
5/9

Opt-out

P2P

Cartilha de Seguranc a para Internet c 2005 CERT.br

 Glossario

usu ario ao de outro para compartilhar ou transferir dados, como MP3, jogos, v deos, imagens, etc. Password Patch PGP Veja Senha. o de seguranc Veja Correc a a. Do Ingl es Pretty Good Privacy. Programa que implementa criptograa de chave nica, de chaves p u ublica e privada e assinatura digital. Possui vers oes comerciais e gratuitas. Veja tamb em GnuPG. Tamb em conhecido como phishing scam ou phishing/scam. Mensagem n ao solici o de uma instituic o conhecida, como um banco, tada que se passa por comunicac a a empresa ou site popular, e que procura induzir usu arios ao fornecimento de dados pessoais e nanceiros. Inicialmente, este tipo de mensagem induzia o usu ario ao ` acesso a p aginas fraudulentas na Internet. Atualmente, o termo tamb em se refere a ` mensagem que induz o usu ario a instalac ao de c odigos maliciosos, al em da mensagem que, no pr oprio conte udo, apresenta formul arios para o preenchimento e envio de dados pessoais e nanceiros.

Phishing

Porta dos fundos Veja Backdoor. Proxy Servidor que atua como intermedi ario entre um cliente e outro servidor. Normal utilizado em empresas para aumentar a performance de acesso a determimente e ` Internet. Proxies nados servic os ou permitir que mais de uma m aquina se conecte a mal congurados podem ser abusados por atacantes e utilizados como uma forma de es na Internet, como atacar outras redes ou enviar spam. tornar an onimas algumas ac o Rede que permite a conex ao entre computadores e outros dispositivos atrav es da o de sinais de r transmiss ao e recepc a adio. Conjunto de programas que tem como nalidade esconder e assegurar a presenc a de um invasor em um computador comprometido. E importante ressaltar que o nome rootkit n ao indica que as ferramentas que o comp oem s ao usadas para obter acesso privilegiado (root ou Administrator) em um computador, mas sim para manter o acesso privilegiado em um computador previamente comprometido. es enganosas e/ou fraudulentas. Normalmente, t Esquemas ou ac o em como nalidade obter vantagens nanceiras. T ecnica normalmente implementada por um tipo de programa, projetado para efetuar varreduras em redes de computadores. Veja Scanner. Programa utilizado para efetuar varreduras em redes de computadores, com o intuito de identicar quais computadores est ao ativos e quais servic os est ao sendo disponibilizados por eles. Amplamente utilizado por atacantes para identicar potenciais alvos, pois permite associar poss veis vulnerabilidades aos servic os habilitados em um computador. o do cursor e a tela apreForma avanc ada de keylogger, capaz de armazenar a posic a clicado, ou armazenar a regi sentada no monitor, nos momentos em que o mouse e ao o onde o mouse e clicado. Veja tamb que circunda a posic a em Keylogger.

Rede sem o Rootkit

Scam Scan Scanner

Screenlogger

Cartilha de Seguranc a para Internet c 2005 CERT.br

6/9

 Glossario

Senha Site SMS

nico do usu Conjunto de caracteres, de conhecimento u ario, utilizado no processo de o de sua identidade, assegurando que ele e realmente quem diz ser. vericac a Local na Internet identicado por um nome de dom nio, constitu do por uma ou mais es multim p aginas de hipertexto, que podem conter textos, gr acos e informac o dia. Do Ingl es Short Message Service. Tecnologia amplamente utilizada em telefonia celular para a transmiss ao de mensagens de texto curtas. Diferente do MMS, per limitada em 160 caracteres alfamite apenas dados do tipo texto e cada mensagem e num ericos. Dispositivo ou programa de computador utilizado para capturar e armazenar dados trafegando em uma rede de computadores. Pode ser usado por um invasor para cap es sens turar informac o veis (como senhas de usu arios), em casos onde estejam sendo utilizadas conex oes inseguras, ou seja, sem criptograa. o quando j Regra semelhante ao opt-in, mas neste caso prev e uma excec a a existe uma o comercial entre remetente e destinat necess relac a ario. Desta forma, n ao e aria a permiss ao expl cita por parte do destinat ario para receber e-mails deste remetente. Veja Opt-in. Termo usado para se referir aos e-mails n ao solicitados, que geralmente s ao enviados exclusivamente comercial, para um grande n umero de pessoas. Quando o conte udo e referenciada como UCE (do Ingl este tipo de mensagem tamb em e es Unsolicited Commercial E-mail). Pessoa que envia spam. Termo utilizado para se referir a uma grande categoria de software que tem o obje es coletadas para tivo de monitorar atividades de um sistema e enviar as informac o terceiros. Podem ser utilizados de forma leg tima, mas, na maioria das vezes, s ao utilizados de forma dissimulada, n ao autorizada e maliciosa. Do Ingl es Secure Shell. Protocolo que utiliza criptograa para acesso a um compu o de comandos, transfer tador remoto, permitindo a execuc a encia de arquivos, entre outros. nico de caracteres que identica uma Do Ingl es Service Set Identier. Conjunto u rede sem o. O SSID diferencia uma rede sem o de outra e um cliente normalmente s o pode conectar em uma rede sem o se puder fornecer o SSID correto. Do Ingl es Secure Sockets Layer. Protocolo que fornece condencialidade e integri o entre um cliente e um servidor, atrav dade na comunicac a es do uso de criptograa. Veja tamb em HTTPS. Fuso hor ario. Veja Cavalo de tr oia. Do ingl es Unsolicited Commercial E-mail. Termo usado para se referir aos e-mails comerciais n ao solicitados. ncia de caracteres que indica a localiDo Ingl es Universal Resource Locator. Seq ue o de um recurso na Internet, como por exemplo, http://cartilha.cert.br/. zac a
7/9

Sniffer

Soft opt-in

Spam

Spammer Spyware

SSH

SSID

SSL

Time zone Trojan horse UCE URL

Cartilha de Seguranc a para Internet c 2005 CERT.br

 Glossario

V rus

Programa ou parte de um programa de computador, normalmente malicioso, que se , inserindo c propaga infectando, isto e opias de si mesmo e se tornando parte de outros o do programa programas e arquivos de um computador. O v rus depende da execuc a ou arquivo hospedeiro para que possa se tornar ativo e dar continuidade ao processo o. de infecc a ` construc o de uma Do Ingl es Virtual Private Network. Termo usado para se referir a a rede privada utilizando redes p ublicas (por exemplo, a Internet) como infra-estrutura. Estes sistemas utilizam criptograa e outros mecanismos de seguranc a para garantir que somente usu arios autorizados possam ter acesso a rede privada e que nenhum dado ser a interceptado enquanto estiver passando pela rede p ublica.

VPN

Vulnerabilidade o ou congurac o de um software ou sistema operaFalha no projeto, implementac a a o da seguranc cional que, quando explorada por um atacante, resulta na violac a a de um computador. Web bug Imagem, normalmente muito pequena e invis vel, que faz parte de uma p agina Web ou projetada para monitorar quem est de uma mensagem de e-mail, e que e a acessando esta p agina Web ou mensagem de e-mail. Do Ingl es Wired Equivalent Privacy. Protocolo de seguranc a para redes sem o que implementa criptograa para a transmiss ao dos dados. Este protocolo apresenta algumas falhas de seguranc a. Do Ingl es Wireless Fidelity. Termo usado para se referir genericamente a redes sem o que utilizam qualquer um dos padr oes 802.11. Veja Rede sem o. Do Ingl es Wireless Local-Area Network. Refere-se a um tipo de rede que utiliza ncia, ao inv o entre os ondas de r adio de alta freq ue es de cabos, para a comunicac a computadores. Programa capaz de se propagar automaticamente atrav es de redes, enviando c opias de si mesmo de computador para computador. Diferente do v rus, o worm n ao embute c opias de si mesmo em outros programas ou arquivos e n ao necessita ser explici o se d o tamente executado para se propagar. Sua propagac a a atrav es da explorac a o de softwares instalados em de vulnerabilidades existentes ou falhas na congurac a computadores. Do Ingl es Wi-Fi Protected Access. Protocolo de seguranc a para redes sem o desenvolvido para substituir o protocolo WEP, devido a suas falhas de seguranc a. Esta es de software, operar com protecnologia foi projetada para, atrav es de atualizac o dutos Wi-Fi que disponibilizavam apenas a tecnologia WEP. Inclui duas melhorias o ao protocolo WEP que envolvem melhor criptograa para transmiss em relac a ao de o de usu dados e autenticac a ario.

WEP

Wi-Fi Wireless WLAN

Worm

WPA

Cartilha de Seguranc a para Internet c 2005 CERT.br

8/9

 Glossario

Como Obter este Documento

periodicamente Este documento pode ser obtido em http://cartilha.cert.br/. Como ele e atualizado, certique-se de ter sempre a vers ao mais recente. Caso voc e tenha alguma sugest ao para este documento ou encontre algum erro, entre em contato atrav es do enderec o doc@cert.br.

o Nota de Copyright e Distribuic a

Copyright c 2000-2005 CERT.br. Ele pode ser livremente copiado desde que Este documento e es: sejam respeitadas as seguintes condic o permitido fazer e distribuir c opias inalteradas deste documento, completo ou em partes, 1. E o seja mantida em todas as c contanto que esta nota de copyright e distribuic a opias, e que a o n distribuic a ao tenha ns comerciais. es de como obt 2. Se este documento for distribu do apenas em partes, instruc o e-lo por completo devem ser inclu das. vedada a distribuic o de vers o a oes modicadas deste documento, bem como a comercializac a 3. E de c opias, sem a permiss ao expressa do CERT.br. o deste documento, o CERT.br n Embora todos os cuidados tenham sido tomados na preparac a ao o absoluta das informac es nele contidas, nem se responsabiliza por eventuais congarante a correc a o ncias que possam advir do seu uso. seq ue

Agradecimentos
o deste documento, enviando coO CERT.br agradece a todos que contribu ram para a elaborac a ment arios, cr ticas, sugest oes ou revis oes.

Cartilha de Seguranc a para Internet c 2005 CERT.br

9/9