{"id":2164,"date":"2025-08-21T17:34:15","date_gmt":"2025-08-21T17:34:15","guid":{"rendered":"https:\/\/incendio.pt\/mse\/?p=2164"},"modified":"2026-02-08T18:03:16","modified_gmt":"2026-02-08T18:03:16","slug":"vulnerabilidades-ciberseguranca","status":"publish","type":"post","link":"https:\/\/incendio.pt\/mse\/vulnerabilidades-ciberseguranca\/","title":{"rendered":"Vulnerabilidades – CiberSeg"},"content":{"rendered":"\n

Em ciberseguran\u00e7a, uma vulnerabilidade<\/strong> \u00e9 uma fraqueza num sistema, rede, aplica\u00e7\u00e3o, procedimento ou controlo de seguran\u00e7a que pode ser explorada por uma amea\u00e7a de forma a obter acesso n\u00e3o autorizado.<\/p>\n\n\n\n

As vulnerabilidades s\u00e3o as portas entreabertas que os atacantes procuram de forma a ser poss\u00edvel aceder ao sistema.<\/p>\n\n\n\n

\n\n\n\n

Descri\u00e7\u00e3o das Principais Vulnerabilidades<\/h3>\n\n\n\n

Vulnerabilidades de Software<\/strong><\/h3>\n\n\n\n

S\u00e3o as falhas mais comuns. Ocorrem em aplica\u00e7\u00f5es, sistemas operativos, navegadores e qualquer tipo de software devido a erros de programa\u00e7\u00e3o, design ou l\u00f3gica.<\/p>\n\n\n\n

    \n
  • Causas:<\/strong> Press\u00e3o de tempo para lan\u00e7amento (time-to-market), complexidade de c\u00f3digo, falta de revis\u00f5es de c\u00f3digo (code review) e testes inadequados (como testes de penetra\u00e7\u00e3o).<\/li>\n\n\n\n
  • Exemplos Not\u00f3rios:<\/strong>\n
      \n
    • Buffer Overflow:<\/strong> Ocorre quando um programa tenta escrever mais dados num bloco de mem\u00f3ria (buffer) do que aquele que foi alocado. Isso pode permitir que um atacante execute c\u00f3digo arbitr\u00e1rio.<\/li>\n\n\n\n
    • Inje\u00e7\u00e3o de SQL (SQLi):<\/strong> Uma vulnerabilidade em aplica\u00e7\u00f5es web que interagem com bases de dados. O atacante “injeta” um comando SQL malicioso num campo de entrada (como um formul\u00e1rio de login), podendo roubar, modificar ou apagar dados da base de dados.<\/li>\n\n\n\n
    • Cross-Site Scripting (XSS):<\/strong> Permite que um atacante injete scripts maliciosos (normalmente JavaScript) em p\u00e1ginas web visualizadas por outros utilizadores. Estes scripts podem roubar cookies de sess\u00e3o, redirecionar a v\u00edtima para sites falsos ou deface a p\u00e1gina.<\/li>\n\n\n\n
    • Falta de Valida\u00e7\u00e3o de Input:<\/strong> Quando uma aplica\u00e7\u00e3o n\u00e3o verifica ou sanitiza corretamente os dados fornecidos pelo utilizador, abrindo caminho para v\u00e1rias explora\u00e7\u00f5es, incluindo as mencionadas acima.<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n\n\n\n

      Vulnerabilidades de Configura\u00e7\u00e3o<\/strong><\/h3>\n\n\n\n

      Estas vulnerabilidades n\u00e3o s\u00e3o causadas por um “bug” no c\u00f3digo, mas sim por uma configura\u00e7\u00e3o incorreta ou insegura de sistemas, dispositivos de rede ou software.<\/p>\n\n\n\n

        \n
      • Causas:<\/strong> Desconhecimento, neglig\u00eancia, uso de configura\u00e7\u00f5es por defeito ou pol\u00edticas de seguran\u00e7a fracas.<\/li>\n\n\n\n
      • Exemplos Comuns:<\/strong>\n
          \n
        • Credenciais por Defeito:<\/strong> Manter as passwords de administrador que v\u00eam predefinidas nos equipamentos (ex.: routers, c\u00e2maras IP, impressoras).<\/li>\n\n\n\n
        • Permiss\u00f5es Excessivas:<\/strong> Atribuir a um utilizador ou a uma aplica\u00e7\u00e3o mais privil\u00e9gios do que aqueles que s\u00e3o necess\u00e1rios para a sua fun\u00e7\u00e3o (violando o princ\u00edpio do menor privil\u00e9gio).<\/li>\n\n\n\n
        • Portos de Rede Desnecess\u00e1rios Abertos:<\/strong> Ter portos de rede (ex.: Telnet – porta 23) abertos e acess\u00edveis publicamente sem qualquer necessidade, servindo como ponto de entrada.<\/li>\n\n\n\n
        • Servi\u00e7os Desnecess\u00e1rios Ativos:<\/strong> Executar servi\u00e7os no sistema operativo que n\u00e3o s\u00e3o usados, mas que podem conter falhas explor\u00e1veis.<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n\n\n\n

          Vulnerabilidades Humanas (o Elo Mais Fraco)<\/strong><\/h3>\n\n\n\n

          Muitos dos ataques bem-sucedidos exploram o fator humano, atrav\u00e9s de engenharia social.<\/p>\n\n\n\n

            \n
          • Causas:<\/strong> Falta de consciencializa\u00e7\u00e3o, curiosidade, press\u00e3o, excesso de confian\u00e7a ou simples distra\u00e7\u00e3o.<\/li>\n\n\n\n
          • Exemplos:<\/strong>\n
              \n
            • Phishing:<\/strong> E-mails, mensagens ou chamadas fraudulentas que se fazem passar por entidades leg\u00edtimas para enganar o utilizador e lev\u00e1-lo a revelar informa\u00e7\u00f5es sens\u00edveis (credenciais, dados banc\u00e1rios) ou a clicar num link malicioso.<\/li>\n\n\n\n
            • Pretexting:<\/strong> Criar um cen\u00e1rio fict\u00edcio (um pretexto) para ganhar a confian\u00e7a da v\u00edtima e levar a que esta partilhe informa\u00e7\u00f5es ou execute a\u00e7\u00f5es.<\/li>\n\n\n\n
            • Uso de Dispositivos USB Desconhecidos:<\/strong> Ligar um pen drive encontrado no ch\u00e3o ou recebido de uma fonte n\u00e3o confi\u00e1vel, que pode conter malware.<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n\n\n\n

              Vulnerabilidades de Hardware<\/strong><\/h3>\n\n\n\n

              Falhas f\u00edsicas ou de design em componentes de hardware.<\/p>\n\n\n\n

                \n
              • Causas:<\/strong> Erros de fabrico, design flawed ou caracter\u00edsticas n\u00e3o documentadas.<\/li>\n\n\n\n
              • Exemplos:<\/strong>\n
                  \n
                • Meltdown e Spectre (2018):<\/strong> Vulnerabilidades cr\u00edticas no design de processadores modernos (CPU) que permitiam a programas maliciosos roubar dados que estavam a ser processados noutros programas. Exploravam a execu\u00e7\u00e3o especulativa.<\/li>\n\n\n\n
                • Firmware:<\/strong> O software embebido no hardware (ex.: BIOS, UEFI) tamb\u00e9m pode conter vulnerabilidades, que s\u00e3o particularmente perigosas porque o malware pode persistir mesmo ap\u00f3s uma reinstala\u00e7\u00e3o do sistema operativo.<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n\n\n\n

                  Vulnerabilidades de Rede<\/strong><\/h3>\n\n\n\n

                  Falhas nos protocolos de comunica\u00e7\u00e3o, dispositivos de rede ou na sua arquitetura.<\/p>\n\n\n\n

                    \n
                  • Causas:<\/strong> Protocolos antigos sem seguran\u00e7a incorporada, configura\u00e7\u00e3o fraca ou equipamentos desatualizados.<\/li>\n\n\n\n
                  • Exemplos:<\/strong>\n
                      \n
                    • Homem-no-Meio (Man-in-the-Middle – MitM):<\/strong> Um atacante posiciona-se secretamente entre duas partes que comunicam (ex.: um utilizador e um site) para intercetar, escutar ou modificar a comunica\u00e7\u00e3o.<\/li>\n\n\n\n
                    • Nega\u00e7\u00e3o de Servi\u00e7o (DoS\/DDoS):<\/strong> Exploram a forma como os recursos de rede s\u00e3o alocados para sobrecarregar um sistema, servidor ou rede com um volume tr\u00e1fego absurdamente alto, tornando-o inacess\u00edvel para utilizadores leg\u00edtimos.<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n\n\n\n

                      Vulnerabilidades de Criptografia<\/strong><\/h3>\n\n\n\n

                      Falhas na implementa\u00e7\u00e3o ou uso de algoritmos criptogr\u00e1ficos que tornam a cifra fraca ou quebr\u00e1vel.<\/p>\n\n\n\n

                        \n
                      • Causas:<\/strong> Uso de algoritmos obsoletos, chaves de encripta\u00e7\u00e3o demasiado curtas ou gera\u00e7\u00e3o inadequada de n\u00fameros aleat\u00f3rios.<\/li>\n\n\n\n
                      • Exemplos:<\/strong>\n
                          \n
                        • Uso de Protocolos Antigos:<\/strong> Manter ativos protocolos como SSL 2.0\/3.0 ou TLS 1.0, que t\u00eam vulnerabilidades conhecidas (ex.: POODLE).<\/li>\n\n\n\n
                        • Chaves de Encripta\u00e7\u00e3o Fracas:<\/strong> Utilizar passwords simples para proteger chaves criptogr\u00e1ficas.<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n\n\n\n
                          \n\n\n\n

                          O Ciclo de Vida de uma Vulnerabilidade<\/h3>\n\n\n\n
                            \n
                          1. Descoberta:<\/strong> Um investigador de seguran\u00e7a, um hacker \u00e9tico ou malicioso descobre a falha.<\/li>\n\n\n\n
                          2. Divulga\u00e7\u00e3o:<\/strong> A vulnerabilidade \u00e9 reportada ao vendor (fabricante do software\/hardware) de forma respons\u00e1vel.<\/li>\n\n\n\n
                          3. Patch\/Corre\u00e7\u00e3o:<\/strong> O vendor desenvolve e lan\u00e7a uma atualiza\u00e7\u00e3o (patch) para corrigir a falha.<\/li>\n\n\n\n
                          4. Aplica\u00e7\u00e3o:<\/strong> Os administradores de sistemas e utilizadores finais aplicam o patch nos seus sistemas.<\/li>\n\n\n\n
                          5. Explora\u00e7\u00e3o:<\/strong> Se o patch n\u00e3o for aplicado a tempo, os cibercriminosos exploram a “janela de vulnerabilidade” entre a divulga\u00e7\u00e3o do patch e a sua aplica\u00e7\u00e3o generalizada.<\/li>\n<\/ol>\n\n\n\n

                            <\/p>\n\n\n\n

                            Principais vulnerabilidades t\u00e9cnicas e digitais<\/strong><\/h3>\n\n\n\n
                            Categoria \/ Termo<\/strong><\/th>Descri\u00e7\u00e3o resumida<\/strong><\/th><\/tr><\/thead>
                            Malware<\/strong><\/td>Software malicioso que causa danos ou permite acesso n\u00e3o autorizado.<\/td><\/tr>
                            Ransomware<\/strong><\/td>Malware que encripta ficheiros ou dispositivos, exigindo resgate online.<\/td><\/tr>
                            Spyware<\/strong><\/td>Monitora atividades e rouba informa\u00e7\u00f5es sens\u00edveis (ex.: passwords, dados banc\u00e1rios).<\/td><\/tr>
                            Adware<\/strong><\/td>Exibe an\u00fancios e pode recolher informa\u00e7\u00f5es do utilizador.<\/td><\/tr>
                            Trojan (Cavalo de Troia)<\/strong><\/td>Programa disfar\u00e7ado que executa fun\u00e7\u00f5es maliciosas.<\/td><\/tr>
                            Virus de computador<\/strong><\/td>C\u00f3digo malicioso anexado a outros programas; requer intera\u00e7\u00e3o para propaga\u00e7\u00e3o.<\/td><\/tr>
                            Emotet \/ GandCrab \/ Ryuk \/ TrickBot<\/strong><\/td>Exemplos de malware avan\u00e7ado, incluindo trojans banc\u00e1rios e ransomware.<\/td><\/tr>
                            Keylogger<\/strong><\/td>Regista secretamente teclas e a\u00e7\u00f5es do utilizador.<\/td><\/tr>
                            Cryptojacking<\/strong><\/td>Malware que utiliza recursos do dispositivo para minera\u00e7\u00e3o de criptomoedas.<\/td><\/tr>
                            Malvertising<\/strong><\/td>Publicidade online que distribui malware sem intera\u00e7\u00e3o do utilizador.<\/td><\/tr>
                            Backdoor<\/strong><\/td>M\u00e9todo que permite contornar a seguran\u00e7a e obter acesso privilegiado.<\/td><\/tr>
                            Phishing \/ Pharming<\/strong><\/td>Engano que induz o utilizador a fornecer dados sens\u00edveis ou ser redirecionado para sites falsos.<\/td><\/tr>
                            Spoofing<\/strong><\/td>Fingir identidade ou sistema para ganhar confian\u00e7a ou acesso n\u00e3o autorizado.<\/td><\/tr>
                            DDoS (Distributed Denial of Service)<\/strong><\/td>Sobrecarga de sistemas com tr\u00e1fego falso para indisponibilizar servi\u00e7os.<\/td><\/tr>
                            SQL Injection<\/strong><\/td>Explora\u00e7\u00e3o de vulnerabilidades em aplica\u00e7\u00f5es web para acesso n\u00e3o autorizado a bases de dados.<\/td><\/tr>
                            Exploits<\/strong><\/td>Aproveitamento de falhas em software ou sistemas operativos para comprometer a seguran\u00e7a.<\/td><\/tr>
                            Spam \/ Robocalls \/ Scam calls<\/strong><\/td>Comunica\u00e7\u00e3o em massa indesejada, muitas vezes usada para fraudes ou roubo de dados.<\/td><\/tr>
                            Hacking \/ Engenharia social<\/strong><\/td>Ataques que exploram comportamento humano ou t\u00e9cnicas de intrus\u00e3o.<\/td><\/tr>
                            Roubo de identidade (Identity theft)<\/strong><\/td>Uso de dados pessoais de terceiros para fraude ou ganhos financeiros.<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

                            Ferramentas de mitiga\u00e7\u00e3o \/ prote\u00e7\u00e3o<\/strong><\/h3>\n\n\n\n
                              \n
                            • Antivirus \/ Anti-malware<\/strong> \u2013 Prote\u00e7\u00e3o b\u00e1sica contra malware conhecido.<\/li>\n\n\n\n
                            • EDR (Endpoint Detection & Response)<\/strong> \u2013 Monitoriza\u00e7\u00e3o e resposta avan\u00e7ada em endpoints corporativos.<\/li>\n\n\n\n
                            • VPN<\/strong> \u2013 Prote\u00e7\u00e3o de tr\u00e1fego e anonimato na rede.<\/li>\n\n\n\n
                            • Password managers<\/strong> \u2013 Gest\u00e3o segura de credenciais com encripta\u00e7\u00e3o.<\/li>\n\n\n\n
                            • Atualiza\u00e7\u00f5es regulares e patches<\/strong> \u2013 Mitiga\u00e7\u00e3o de exploits conhecidos.<\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"

                              Em ciberseguran\u00e7a, uma vulnerabilidade \u00e9 uma fraqueza num sistema, rede, aplica\u00e7\u00e3o, procedimento ou controlo de seguran\u00e7a que pode ser explorada por uma amea\u00e7a de forma a obter acesso n\u00e3o autorizado. As vulnerabilidades s\u00e3o as portas entreabertas que os atacantes procuram de forma a ser poss\u00edvel aceder ao sistema. Descri\u00e7\u00e3o das Principais Vulnerabilidades Vulnerabilidades de Software S\u00e3o as […]<\/p>\n","protected":false},"author":1,"featured_media":2427,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[30],"tags":[],"class_list":{"0":"post-2164","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-ciberseguranca"},"image_feature":"https:\/\/incendio.pt\/mse\/wp-content\/uploads\/CIBER_VULNER.png","author_name":"gvb","_links":{"self":[{"href":"https:\/\/incendio.pt\/mse\/wp-json\/wp\/v2\/posts\/2164","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/incendio.pt\/mse\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/incendio.pt\/mse\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/incendio.pt\/mse\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/incendio.pt\/mse\/wp-json\/wp\/v2\/comments?post=2164"}],"version-history":[{"count":4,"href":"https:\/\/incendio.pt\/mse\/wp-json\/wp\/v2\/posts\/2164\/revisions"}],"predecessor-version":[{"id":2438,"href":"https:\/\/incendio.pt\/mse\/wp-json\/wp\/v2\/posts\/2164\/revisions\/2438"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/incendio.pt\/mse\/wp-json\/wp\/v2\/media\/2427"}],"wp:attachment":[{"href":"https:\/\/incendio.pt\/mse\/wp-json\/wp\/v2\/media?parent=2164"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/incendio.pt\/mse\/wp-json\/wp\/v2\/categories?post=2164"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/incendio.pt\/mse\/wp-json\/wp\/v2\/tags?post=2164"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}