<?xml version="1.0" encoding="utf-8" standalone="yes"?><rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom"><channel><title>Cibersegurança on Defesa em profundidade</title><link>https://www.defesa-em-profundidade.net/temas/ciberseguran%C3%A7a/</link><description>Recent content in Cibersegurança on Defesa em profundidade</description><generator>Hugo</generator><language>pt-pt</language><copyright>CC BY-NC 4.0</copyright><lastBuildDate>Sat, 08 Nov 2025 00:00:00 +0000</lastBuildDate><atom:link href="https://www.defesa-em-profundidade.net/temas/ciberseguran%C3%A7a/index.xml" rel="self" type="application/rss+xml"/><item><title>Pinning de certificados TLS: utilização em aplicações modernas</title><link>https://www.defesa-em-profundidade.net/pubs/2025/11/certificate-pinning/</link><pubDate>Sat, 08 Nov 2025 00:00:00 +0000</pubDate><guid>https://www.defesa-em-profundidade.net/pubs/2025/11/certificate-pinning/</guid><description>&lt;p>&lt;strong>&lt;code>#!/intro&lt;/code>&lt;/strong>&lt;/p>
&lt;p>As comunicações de aplicações modernas recorrem quase sempre a TLS para proteger dados em trânsito. O sistema operativo ou a biblioteca TLS tratam da negociação de parâmetros criptográficos, do handshake autenticado e da validação da cadeia de certificados até uma autoridade de certificação presente no repositório de confiança do sistema. Em teoria, isto basta para garantir confidencialidade, integridade e autenticação do servidor. Na prática, este modelo de confiança alargada expõe uma superfície de ataque difícil de aceitar em serviços com requisitos elevados de segurança.&lt;/p></description></item><item><title>O incidente da AMA: a análise possível</title><link>https://www.defesa-em-profundidade.net/pubs/2025/07/incidente-ama/</link><pubDate>Sat, 12 Jul 2025 00:00:00 +0000</pubDate><guid>https://www.defesa-em-profundidade.net/pubs/2025/07/incidente-ama/</guid><description>&lt;p>&lt;strong>&lt;code>#!/intro&lt;/code>&lt;/strong>&lt;/p>
&lt;p>A 10 de Outubro de 2024, a Agência para a Modernização Administrativa (AMA), entidade responsável por uma vasta gama de serviços digitais centrais ao funcionamento do Estado, foi alvo de um dos ataques de ransomware mais devastadores de que há registo na administração pública portuguesa.
O incidente comprometeu por completo a sua infraestrutura tecnológica e teve impacto direto em serviços críticos, paralisando plataformas como o portal Autenticação.gov, a Chave Móvel Digital, o ePortugal e serviços de suporte a entidades como a Autoridade Tributária e Aduaneira, a Segurança Social e o Serviço Nacional de Saúde.&lt;/p></description></item><item><title>A normalização do clique: o risco invisível das hiperligações</title><link>https://www.defesa-em-profundidade.net/pubs/2025/06/envio-de-links/</link><pubDate>Sat, 14 Jun 2025 00:00:00 +0000</pubDate><guid>https://www.defesa-em-profundidade.net/pubs/2025/06/envio-de-links/</guid><description>&lt;p>&lt;strong>&lt;code>#!/intro&lt;/code>&lt;/strong>&lt;/p>
&lt;p>O envio de hiperligações tornou-se uma das práticas mais comuns nas comunicações digitais.
Em mensagens de correio eletrónico, aplicações móveis, redes sociais ou sistemas de notificação, é frequente recebermos instruções ou pedidos acompanhados por uma ligação direta.
Esta prática, tida como útil e eficiente, é amplamente aceite, replicada e incentivada em diferentes contextos.&lt;/p>
&lt;p>Contudo, por trás desta conveniência, esconde-se um risco que é frequentemente ignorado: o envio de hiperligações é, na sua essência, uma prática insegura.
Trata-se de um método que transfere, de forma passiva, a responsabilidade pela validação da informação para o destinatário, ao mesmo tempo que encoraja a automatização de um gesto que deveria ser crítico.&lt;/p></description></item><item><title>A validade das palavras-passe: uma prática obsoleta</title><link>https://www.defesa-em-profundidade.net/pubs/2024/12/validade-palavras-passe/</link><pubDate>Thu, 12 Dec 2024 00:00:00 +0000</pubDate><guid>https://www.defesa-em-profundidade.net/pubs/2024/12/validade-palavras-passe/</guid><description>&lt;p>&lt;strong>&lt;code>#!/intro&lt;/code>&lt;/strong>&lt;/p>
&lt;p>A autenticação por palavra-passe continua a ser um dos mecanismos mais usados para controlar o acesso a sistemas digitais.
No entanto, apesar da sua ampla utilização, este método de autenticação apresenta vulnerabilidades que, se não forem devidamente mitigadas, podem comprometer a segurança dos sistemas que se destina a proteger.&lt;/p>
&lt;p>A robustez do modelo de autenticação por palavra-passe depende, em larga medida, da forma da gestão do seu ciclo de vida.
Neste contexto, o conceito de validade da palavra-passe tem sido aplicado durante décadas como uma das medidas padrão de segurança.
Esta prática, amplamente adotada, raramente é questionada, sendo muitas vezes mantida sem uma análise rigorosa da sua eficácia.&lt;/p></description></item><item><title>O incidente CrowdStrike: análise, impacto e implicações</title><link>https://www.defesa-em-profundidade.net/pubs/2024/10/incidente-crowdstrike/</link><pubDate>Wed, 09 Oct 2024 00:00:00 +0000</pubDate><guid>https://www.defesa-em-profundidade.net/pubs/2024/10/incidente-crowdstrike/</guid><description>&lt;p>&lt;strong>&lt;code>#!/intro&lt;/code>&lt;/strong>&lt;/p>
&lt;p>Em julho de 2024, uma atualização mal-sucedida do software Falcon, da CrowdStrike, provocou falhas graves em sistemas operativos Microsoft, afetando milhares de organizações em vários países.
O impacto foi significativo, com consequências operacionais em sectores como os transportes, os serviços financeiros e a saúde, comprometendo a continuidade de serviços essenciais.&lt;/p>
&lt;p>A escala do incidente evidenciou fragilidades críticas na gestão dos sistemas de informação, nomeadamente a dependência excessiva de fornecedores únicos, a ausência de mecanismos eficazes de controlo na distribuição automática de atualizações e a escassa preparação para falhas técnicas com efeitos generalizados.
Este episódio expôs vulnerabilidades amplamente conhecidas, mas que continuam, em muitos casos, a ser negligenciadas na prática.&lt;/p></description></item><item><title>Backdoor no XZ Utils: análise, impacto e implicações</title><link>https://www.defesa-em-profundidade.net/pubs/2024/05/backdoor-xz/</link><pubDate>Fri, 31 May 2024 00:00:00 +0000</pubDate><guid>https://www.defesa-em-profundidade.net/pubs/2024/05/backdoor-xz/</guid><description>&lt;p>&lt;strong>&lt;code>#!/intro&lt;/code>&lt;/strong>&lt;/p>
&lt;p>Em março de 2024, foi anunciada uma vulnerabilidade crítica introduzida de forma maliciosa na biblioteca de compressão XZ Utils, amplamente utilizada em sistemas baseados em Unix. Esta biblioteca, essencial para a compressão e descompressão de dados, é também utilizada em processos de autenticação de SSH, tornando o impacto potencial desta ameaça particularmente grave.&lt;/p>
&lt;p>O incidente expôs fragilidades sistémicas no modelo de confiança do software de código aberto, em especial no que respeita à governação de projetos críticos mantidos por um número reduzido de colaboradores e sem auditorias formais regulares.&lt;/p></description></item><item><title>Gestores de credenciais: utilização segura das palavras-passe</title><link>https://www.defesa-em-profundidade.net/pubs/2024/04/gestores-de-palavras-passe/</link><pubDate>Wed, 17 Apr 2024 00:00:00 +0000</pubDate><guid>https://www.defesa-em-profundidade.net/pubs/2024/04/gestores-de-palavras-passe/</guid><description>&lt;p>&lt;strong>&lt;code>#!/intro&lt;/code>&lt;/strong>&lt;/p>
&lt;p>A autenticação por palavra-passe continua, desde há décadas, a ser o método mais comum de controlo de acesso a sistemas digitais.
A sua popularidade advém da facilidade de implementação e da familiaridade junto dos utilizadores. Contudo, esta simplicidade acarreta um conjunto de fragilidades que, se não forem devidamente mitigadas, podem comprometer seriamente a segurança dos sistemas.
A eficácia deste mecanismo depende, em grande medida, da adoção de boas práticas e de uma gestão criteriosa das credenciais.&lt;/p></description></item><item><title>Infraestrutura de chave pública: verificação da validade</title><link>https://www.defesa-em-profundidade.net/pubs/2023/06/pki-validade/</link><pubDate>Sun, 11 Jun 2023 00:00:00 +0000</pubDate><guid>https://www.defesa-em-profundidade.net/pubs/2023/06/pki-validade/</guid><description>&lt;p>&lt;strong>&lt;code>#!/intro&lt;/code>&lt;/strong>&lt;/p>
&lt;p>Certificados digitais desempenham um papel fundamental na criação de relações de confiança no meio digital.
Ao associarem de forma segura uma chave pública a uma identidade, permitem assegurar que as comunicações e transações eletrónicas ocorrem entre partes legítimas.&lt;/p>
&lt;p>No entanto, essa confiança depende da garantia de que o certificado apresentado continua válido no momento em que é utilizado.
Um certificado pode deixar de ser válido por motivos diversos, como o termo do seu período de validade ou alterações no contexto da sua emissão.
Por isso, é essencial dispor de mecanismos que permitam verificar, de forma eficiente e precisa, se um certificado permanece válido.
Esta verificação é um passo crítico na prevenção de falhas de confiança e na proteção da integridade das comunicações e transações digitais.&lt;/p></description></item><item><title>Engenharia social: princípios, técnicas e tipos de ataque</title><link>https://www.defesa-em-profundidade.net/pubs/2023/03/engenharia-social-principios/</link><pubDate>Tue, 28 Mar 2023 00:00:00 +0000</pubDate><guid>https://www.defesa-em-profundidade.net/pubs/2023/03/engenharia-social-principios/</guid><description>&lt;p>&lt;strong>&lt;code>#!/intro&lt;/code>&lt;/strong>&lt;/p>
&lt;p>A engenharia social destaca-se como uma das ameaças mais significativas no contexto da cibersegurança contemporânea. Em vez de explorar falhas técnicas, centra-se na manipulação comportamental, visando diretamente vulnerabilidades humanas como a confiança, a impulsividade ou o respeito por figuras de autoridade.&lt;/p>
&lt;p>Recorrendo a estratégias refinadas, os atacantes assumem identidades credíveis e ajustam os seus métodos ao perfil do alvo, induzindo-o a partilhar informações confidenciais ou a executar ações que comprometem a segurança.&lt;/p></description></item><item><title>Boas práticas em cibersegurança: a ilusão da tecnologia</title><link>https://www.defesa-em-profundidade.net/pubs/2022/12/boas-praticas-ciberseguranca/</link><pubDate>Wed, 14 Dec 2022 00:00:00 +0000</pubDate><guid>https://www.defesa-em-profundidade.net/pubs/2022/12/boas-praticas-ciberseguranca/</guid><description>&lt;p>&lt;strong>&lt;code>#!/intro&lt;/code>&lt;/strong>&lt;/p>
&lt;p>Ao longo dos anos, a cibersegurança tem assistido a uma verdadeira avalanche de ferramentas, frameworks e soluções que prometem revolucionar a forma como protegemos sistemas e dados.
Desde plataformas XDR, sistemas SIEM, arquiteturas zero trust até soluções EDR e SOAR, não faltam opções.
No entanto, por detrás dos conceitos mais avançados, um princípio permanece inalterável:
a eficácia reside na implementação, não no marketing.&lt;/p>
&lt;p>É inegável que recorrer a ferramentas robustas é essencial.
Poucos questionariam o valor de tecnologias consolidadas e amplamente adotadas.
Contudo, nenhuma solução, por mais sofisticada que seja, compensa fragilidades básicas, como a definição inadequada de perfis de acesso, a ausência de segmentação de rede, ou o armazenamento inseguro de segredos.
A robustez das ferramentas pouco vale se os erros humanos, a má configuração ou a inexistência de procedimentos eficazes continuarem a ser a principal porta de entrada.&lt;/p></description></item><item><title>O incidente Vodafone Portugal: a realidade não perdoa</title><link>https://www.defesa-em-profundidade.net/pubs/2022/02/incidente-vodafone/</link><pubDate>Mon, 21 Feb 2022 00:00:00 +0000</pubDate><guid>https://www.defesa-em-profundidade.net/pubs/2022/02/incidente-vodafone/</guid><description>&lt;p>&lt;strong>&lt;code>#!/intro&lt;/code>&lt;/strong>&lt;/p>
&lt;p>O incidente que afetou a Vodafone Portugal em fevereiro de 2022 não deve ser tratado como mais uma indisponibilidade provocada por um ciberataque. Essa leitura é demasiado branda para a dimensão do que aconteceu. Uma operadora pode ser atacada. Uma infraestrutura complexa pode ter vulnerabilidades, erros de configuração, dívida técnica, sistemas legacy, dependências de fornecedores e zonas difíceis de defender. Nada disso é excecional. O que é difícil de aceitar é que uma organização daquela dimensão, integrada num grupo multinacional e responsável por comunicações críticas, tenha ficado com serviços nucleares indisponíveis de forma tão ampla.&lt;/p></description></item><item><title>O incidente Log4Shell: é difícil proteger o que não se conhece</title><link>https://www.defesa-em-profundidade.net/pubs/2022/01/incidente-log4shell/</link><pubDate>Mon, 03 Jan 2022 00:00:00 +0000</pubDate><guid>https://www.defesa-em-profundidade.net/pubs/2022/01/incidente-log4shell/</guid><description>&lt;p>&lt;strong>&lt;code>#!/intro&lt;/code>&lt;/strong>&lt;/p>
&lt;p>O Log4Shell demonstrou, de forma particularmente clara, que uma vulnerabilidade crítica nem sempre está no sistema mais visível, no serviço mais exposto ou no componente diretamente administrado pelas equipas de segurança.&lt;/p>
&lt;p>Neste caso, a falha estava numa biblioteca.&lt;/p>
&lt;p>O CVE-2021-44228, associado ao Apache Log4j, afetou o componente &lt;code>log4j-core&lt;/code> em versões vulneráveis do Log4j 2 e permitiu, em determinadas condições, execução remota de código através do abuso de lookups JNDI processados a partir de dados registados pela aplicação.&lt;/p></description></item><item><title>O incidente do Facebook: quando a rede se desliga a si própria</title><link>https://www.defesa-em-profundidade.net/pubs/2021/10/incidente-facebook/</link><pubDate>Sat, 09 Oct 2021 00:00:00 +0000</pubDate><guid>https://www.defesa-em-profundidade.net/pubs/2021/10/incidente-facebook/</guid><description>&lt;p>&lt;strong>&lt;code>#!/intro&lt;/code>&lt;/strong>&lt;/p>
&lt;p>No dia 4 de outubro, durante quase seis horas, o Facebook, o Instagram e o WhatsApp desapareceram da Internet.&lt;/p>
&lt;p>A indisponibilidade começou por parecer uma falha de DNS. Os servidores autoritativos deixaram de estar acessíveis e os prefixos usados pelo serviço deixaram de ser anunciados através de BGP. Para o resto da Internet, era como se a infraestrutura do Facebook tivesse deixado de existir.&lt;/p>
&lt;p>Mas o DNS não esteve na origem do incidente.&lt;/p></description></item><item><title>Defesa em profundidade: a falha deve fazer parte da arquitetura</title><link>https://www.defesa-em-profundidade.net/pubs/2021/06/defesa-em-profundidade/</link><pubDate>Fri, 11 Jun 2021 00:00:00 +0000</pubDate><guid>https://www.defesa-em-profundidade.net/pubs/2021/06/defesa-em-profundidade/</guid><description>&lt;p>&lt;strong>&lt;code>#!/intro&lt;/code>&lt;/strong>&lt;/p>
&lt;p>A defesa em profundidade é um dos princípios fundamentais da cibersegurança. Apesar disso, é frequentemente reduzida a uma enumeração de ferramentas e controlos.&lt;/p>
&lt;p>A expressão tem origem na doutrina militar de defesa em profundidade. Em vez de concentrar a capacidade defensiva numa única posição, esta é distribuída por várias linhas e zonas sucessivas. O objetivo é retardar e canalizar a progressão do adversário, reduzir a sua capacidade de manobra e impedir que a rutura de uma posição provoque o colapso de todo o dispositivo defensivo. A estratégia assume, portanto, que uma linha pode ser ultrapassada e que as restantes devem conter o avanço, limitar o impacto e permitir a reorganização da resposta.&lt;/p></description></item></channel></rss>