Glossário de Terminologia sobre Ciberespaço
Transcrição
Glossário de Terminologia sobre Ciberespaço
Documento draft em revisão Este é um documento draft que tem por base um glossário relativo ao Ciberespaço, com enfâse na cibersegurança, elaborado na Republica Checa sob a coordenação da AFCEA daquele país em cooperação com entidades institucionais do mesmo. Nesse contexto, o ponto de partida será a terminologia inglesa associada a esse glossário com a respetiva tradução em português (que está de momento a ser ainda sujeita a sucessivas revisões). Partindo dos termos em inglês, o vosso contributo é útil no sentido de informar quais os termos que consideram não ajustados na aplicação ao contexto português e se considerarem pertinente propor uma terminologia completamente diferente agradece-se essa sugestão referindo a fonte (nem que seja o próprio). No caso de concordarem com a terminologia inglesa e considerarem desajustada a tradução portuguesa apela-se ao envio de propostas para o email: [email protected]. Reforça-se que a prioridade é validar a definição em inglês. Estamos também preparando simultaneamente um draft onde colocaremos outras descrições (recolhidas na literatura) para os mesmos termos. A vossa cooperação é particularmente pertinente até ao dia 7 de Outubro embora este seja um glossário continuado no tempo. PS. A lista está ordenado por ordem ascendente dos termos em inglês. PT-terminologia ENGL-terminologia ENGLISH AFCEA-Definição PT-Definição Conexão abortada Aborted connection Conexão terminada mais cedo, ou de um outro modo, do que o prescrito. Algumas vezes, pode proporcionar o acesso não autorizado a pessoas não autorizadas. Controle de acesso Access control Connection terminated earlier, or in another way, than prescribed. It can often provide unauthorized access to unauthorized persons. Making sure that access to an asset is authorized and limited on the basis of business (entrepreneurial) and security requirements. Security certificate containing information on access control. Any information used for the purpose of access control including context information. List of authorizations attached to some object (e.g. a disc file); it determines which subject has the right to access the object and which operations it can do with it. In the security certificado de controle de acesso Informações de controle de acesso (ACI) Lista de controle de acessos (ACL) Access control certificate Access control information (ACI) Access control list (ACL) Certificar-se de que o acesso a um ativo está autorizado e limitado a base do negócio (empresas ) e aos requisitos de segurança. Certificado de segurança contendo informação sobre os controlos de acesso Qualquer informação utilizada para efeitos de controlo de acessos , incluindo informações de contexto . Lista das autorizações associadas a alguma entidade/sujeito (por exemplo, um ficheiro de disco), que determina quem ou o quê tem o direito de aceder ao objeto e quais as operações que ele pode fazer com ela. No modelo de segurança usando o sistema ACL, ele procura ACL antes de realizar qualquer Pg. 1/85 Política de controle de acessos Nível de acesso período de acesso Permissão de acesso Access control policy Access level Access period Access permission Direito de acesso Access right Tipo de acesso Access type model using the ACL system, it searches ACL prior to performing any operation and looks up the corresponding record and on the basis of it makes a decision if the operation may be executed. Set of principles and rules which define conditions to provide an access to a certain object. Level of authorization required to access protected sources. Time period during which access to a certain object is allowed. All access rights of a subject related to a certain object. Permission for a subject to access a concrete object for a specific type of operation. In computer security, type of an operation specified by an access right. operação e olha para o registro correspondente. Com base nisso toma uma decisão se a operação pode ser executada. Conjunto de princípios e regras que definem as condições para proporcionar um acesso a um determinado objeto. Nível de autorização necessária para aceder fontes protegidas. Período de tempo durante o qual o acesso a um determinado objeto é permitido. Todos os direitos de acesso de um sujeito relacionado a um determinado objeto . Permissão para um sujeito/subordinado aceder a um objeto concreto para um tipo específico de operação. Em segurança de computador significa tipo de uma operação especificada por um direito de acesso. Responsabilidade de uma entidade pela sua atividade e decisão. Responsabilidade Accountability A security principle indicating that individuals must be identifiable and must be held responsible for their actions Utilizador credenciado Accredited user User having certain right or permission to work in the information system and with the applications in accordance with defined access guidelines. Utilizador que tem certos direitos ou permissão para trabalhar no sistema de informação e com as aplicações, de acordo com as diretrizes de acesso definidos. Active threat Any threat of an intentional change in the state of a data processing system or computer network. Threat which would result in messages modification, inclusion of false messages, false representation, or service denial. Address resolution protocol (ARP) Protocol defined in the document RFC 826 enables the resolution (translation) of network layer addresses (IP) to data-link (hardware) Qualquer risco de uma alteração intencional no estado de um sistema de processamento de dados ou a rede de computadores. Ameaça que resultaria na modificação de mensagens, inclusão de mensagens falsas, representação falsa ou de negação de serviço. Protocolo definido no documento RFC 826 permite a tradução de endereços de rede (IP ) para endereços de hardware (MAC). ARP não usa a autenticação e portanto, não pode ser mal utilizado para ataques, por exemplo, do tipo MITM . ameaça ativa Protocolo de Resolução de Endereços (ARP) Pg. 2/85 MAC addresses. ARP does not use authentication hence it cannot be misused for attacks, e.g. of the MITM type. Address space espaço de endereços Segurança administrativa / processual Administrative / procedural security Administrator administrador Ameaças persistentes avançadas (APT) Adware; Publicidade suportada no software; Denotação TIC para um intervalo contínuo de endereços . O Espaço de endereços é constituído por um conjunto de identificadores únicos (endereços IP) . No ambiente da Internet , a organização IANA é o administrador dos endereços . Person responsible for the management of a part of a system (e.g. information system) for which he/she usually has the highest access privileges (supervisor rights). Responsável pela gestão de uma parte de um sistema (por exemplo, sistema de informação) no qual ele / ela geralmente tem os mais elevados privilégios de acesso (direitos de supervisor) . Finalidade típica da APT é uma infiltração de longo prazo e persistente, e abuso de, o sistema alvo usando técnicas avançadas e adaptativas (ao contrário dos habituais ataques únicos) . Medidas administrativas para garantir a segurança do computador. Estas medidas podem ser procedimentos operacionais ou procedimentos relacionados à responsabilidade, procedimentos de análise de incidentes de segurança e revisão de registros de auditoria. Advanced persistent threat (APT) Typical purpose of APT is a long-term and persistent infiltration into, and abuse of, the target system using advanced and adaptive techniques (unlike usual single attacks). Advertising supported software; Adware Type of software licence whose use is free, a commercial appears in the programme, which is used to finance programme development. Tipo de licença de software cujo uso é gratuito mas em que publicidade é exibida no programa. É usado para financiar o desenvolvimento do programa. Controlled loss or limitation of information or equipment, usually by aggregation, merge, or statistical methods. Perda controlada ou limitação de informação ou de equipamentos, geralmente por agregação, fusão, ou métodos estatísticos. Finite ordered set of completely defined rules in order to solve some problem. Login into network and access to its resources without authentication of the party. Conjunto ordenado finito de regras completamente definidos com vista a resolver algum problema . Entrar na rede e aceder a seus recursos sem autenticação agregação Aggregation Algoritmo Algorithm Login anônimo ICT denotation for a continuous range of addresses. Address space is made up of a set of unique identifiers (IP addresses). In the Internet environment, IANA organization is the administrator of globally unique address ranges. Administrative measures to ensure computer security. These measures can be operational procedures or procedures related to responsibility, procedures for examining security incidents and revision of audit records. Anonymous login Pg. 3/85 antispam Antispam Técnica Anti-stealth Anti-stealth technique antivírus programa antivírus Antivirus Antivirus Program. Ativos Proprietário do ativo Operador do Ativo (sistema de informação ) Valor dos ativos Sofisticated software comparing each email with a number of defined rules and if the email satisfies a rule, counts in the weight of the rule. The weights can vary in value, positive and negative. When the total of weights exceeds a certain value, it is labelled as spam. Ability of an antivirus programme to detect even stealth-viruses (sub-stealth-viruses) which are active in memory, for example by using direct disc reading bypassing the operating system. See Antivirus Program. Single-purpose or multipurpose programme doing one or more of the following functions: searching for computer viruses (by a single or several different techniques, often with a possibility of their selection or setting mode for search – scanning, heuristic analysis, methods of checksums, monitoring of suspicious activities), healing of infected files, backup and recovery of system sectors on the disc, storing control information on files on disc, providing information on viruses, etc. Asset Anything that has value to an individual, company or public administration. Asset owner An individual or entity whom the organization management has assigned the responsibility for production, development, maintenance, use and security of an asset. Individual (entity) who enables information processing or service providing and acts towards other natural and legal persons in the information system as the bearer of rights and obligations connected to operating the system. Objective expression of a generally perceived value or a subjective evaluation of the Assets (information system) Operator Assets value Software sofisticado que compara cada e-mail com uma série de regras definidas e se o e-mail satisfaz uma regra, conta com o peso da regra. Os pesos podem variar em termos de valor, positivo e negativo. Quando o total de pesos excede um determinado valor, ele é marcado como spam. Capacidade de um programa antivírus para detetar até mesmo stealth- vírus (vírus com muita discrição) ( sub- stealth- vírus ) que estão ativos na memória , por exemplo, utilizando leitura direta do disco ignorando o sistema operacional. Ver programa antivírus. Programa simples ou de multiuso fazendo uma ou mais das seguintes funções: busca de vírus de computador (por uma única ou várias técnicas diferentes, muitas vezes com a possibilidade de sua seleção ou modo de ajuste para pesquisa - verificação, análise heurística , os métodos de somas de verificação, monitorização de atividades suspeitas), a cura/limpeza de arquivos infetados, backup e recuperação de setores do sistema no disco, armazenar as informações de controle sobre os arquivos no disco, fornecendo informações sobre vírus, etc Qualquer coisa que tem valor para um individuo, empresa ou a administração pública. Este é considerado um indivíduo ou entidade a quem a gestão da organização atribuiu a responsabilidade pela produção, desenvolvimento, manutenção, utilização e segurança de um ativo. Individuo ( entidade) que permite o processamento de informações ou prestação de serviços e atos em relação a outras pessoas singulares e coletivas no sistema de informação como portador de direitos e deveres ligados ao funcionamento do sistema. Expressão objetiva de um valor geralmente percebido ou uma avaliação subjetiva da importância (criticidade) de um ativo, ou uma combinação de ambas as abordagens. Pg. 4/85 importance (criticality) of an asset, or a combination of both approaches. criptografia assimétrica Ataque superfície de ataque auditar evento de auditoria trilho da auditoria Asymmetric cryptography Asymmetric cryptography (also public-key cryptography) is a group of cryptographic methods where different keys are used for encrypting and decrypting – more precisely a pair of mathematically-bound keys. The pair is made up of a public key and a private key. Public key is the encryption key, key owner makes it public, and anyone can encrypt messages for the owner; decryption key is private, the owner holds it in secrecy and uses it to decrypt messages. In addition to making the content of communication secret, asymmetric communication is used also for the electronic (digital) signature that is the possibility to verify the author of data. Criptografia assimétrica (também criptografia de chave pública) é um grupo de métodos de criptografia , onde chaves diferentes são usadas para criptografar e descriptografar mais precisamente um par de chaves matematicamente ligados . A dupla é composta por uma chave pública e uma chave privada. Chave pública é a chave de criptografia, proprietário da chave torna-a pública, e qualquer um pode criptografar mensagens para o proprietário; a chave de descodificação é privada, o proprietário mantém em sigilo e usa-as para descriptar mensagens. Além disso, para tornar o conteúdo da comunicação secreta, a comunicação assimétrica é usado também para a assinatura eletrónica (digital), que é a possibilidade de verificar o autor de dados. Attack Attempt at destruction, exploit of a vulnerability, exposure to a threat, unwanted change, putting out of operation, stealing or obtaining an unauthorized access to an asset or execution of an unauthorized use of an asset. Tentativa de destruição, exposição a uma ameaça, alteração indesejada , colocar fora de operação, roubo ou a obtenção de um acesso não autorizado a um ativo ou a execução de um uso não autorizado de um ativo. Code within a computer system that can be run by unauthorized users. Código dentro de um sistema de computador que pode ser executado por utilizadores não autorizados. Processo sistemático de obtenção e avaliação de registros de auditoria, cujo objetivo é determinar se as atividades do sistema estão em conformidade com as políticas de segurança definidas e os procedimentos operacionais. Attack surface Audit Audit event Audit trail Systematic process of unbiased obtaining and evaluation of audit records, whose objective is to determine whether system activities are in accordance with defined security policies and operational procedures. Event detected by the system and resulting in triggering and recording the audit. Chronological record of those system activities which suffice for restoring, backtracking and evaluation of the sequence of states in the environment as well as activities related to operations and procedures from their inception to the final result. Evento detetado pelo sistema e que resulta no despoletar e registo de auditoria. Registro cronológico daquelas atividades do sistema que são suficientes para a restauração, retrocesso e avaliação da sequência de estados no ambiente, bem como atividades relacionadas a operações e procedimentos desde a sua criação até ao resultado final. Pg. 5/85 Autenticação Troca de autenticação Authentication Authentication exchange Informação da autenticação Authentication information Autenticidade Authenticity autorização Authorization Disponibilidade Automated security incident measurement (ASIM) Availability Backdoor / alçapão Backdoor / trapdoor Medição de incidente de segurança automatizado (ASIM) Process of validation a subject’s identification. Mechanism whose objective is to find out the identity of an entity (subject) by way of information exchange. Information used to establish validity of proclaimed identity of a given entity. Attribute confirming that the entity is what it claims to be. Granting rights including granting access on the basis of access rights. Process of rights granting to a subject to perform defined activities in the information system. Automatic monitoring of network operations with the detection of non-authorized activities and undesirable events. Processo de verificação da identidade. Mecanismo cujo objetivo é descobrir a identidade de uma entidade (sujeito) por meio de troca de informações. Property of availability and usability at the request of an authorized entity. Hidden software or hardware mechanism usually created for testing and error removal, which can be used to bypass computer security. A method in a computer system or in an algorithm which allows the attacker to bypass the normal user authentication at the access to a program or system and simultaneously allows to have this access hidden from normal checks. Firewall can be bypassed, in order to penetrate into the operating system, for example, by pretending to be a web browser. This code can assume the form of an independently installed program or it could be a modification of an existing system. The access to the system as Propriedade de disponibilidade e usabilidade, a pedido de uma entidade autorizada. Informações utilizadas para estabelecer a validade da identidade proclamada por uma determinada entidade. Atributo que confirma que a entidade é o que afirma ser. Concessão de direitos, incluindo a concessão de acesso na base dos direitos de acesso. Processo de concessão de direitos a um sujeito para realizar atividades definidas no sistema de informação. Monitorização automática de operações da rede com a deteção de atividades não autorizadas e eventos indesejáveis. Mecanismo de software ou hardware escondida geralmente criado para testes e remoção de erros que pode ser usado para contornar a segurança do computador. Um método num sistema de computador ou num algoritmo que permite ao invasor ignorar a autenticação de utilizador normal no acesso a um programa ou sistema e, simultaneamente, permite ter esse acesso escondido de controlos normais. Firewall pode ser ignorada, a fim de penetrar no sistema operacional, por exemplo, fingindo ser um navegador web. Este código pode assumir a forma de um programa instalado de forma independente ou pode ser uma modificação de um sistema existente. O acesso ao sistema como tal, tende a ter a forma de um nome de utilizador e senha fictícia que o sistema atacado aceita sem verificação e atribui aos direitos administrativos do utilizador. Pg. 6/85 Arquivo de backup Procedimento de backup Baiting Backup file Backup procedure Baiting Controles básicos Baseline controls Basic Input Output System (BIOS) Basic input output system (BIOS) Batch viruses; vírus de lote Batch viruses such tends to have the form of a fictitious user name and password which the attacked system accepts without checking and assigns to the user administrative rights. Data file created with the objective of a possible future data reconstruction. Copies of data stored on another carrier (or even in a different place). Backup data are used in case of a loss, corruption or any other need to work with data stored in the past. Procedure to enable data reconstruction in case of a failure or contingency. Mode of attack when the attacker leaves an infected CD, flashdisc or another storage medium where the victim can find it with a high probability, e.g. in a lift, on the car park. This leaves curiosity to play out and sooner or later the victim inserts the medium into the computer. This results in virus installation with which the attacker gets an access to the computer or the whole companywide computer network. Minimal set of protective measures set for a certain system or organization. Low-level software used during the startup of a computer for initialization and configuration of connected hardware devices and subsequent start of the operating system. Computer viruses created using batch files. An interesting possibility for some operating systems (e.g. UNIX), exist however even for MS- Ficheiro de dados criado com o objetivo de uma possível reconstrução de dados futuros . Cópias de dados armazenados num outro transportador (ou mesmo num local diferente) . Os dados de backup são utilizados em caso de uma perda ou corrupção de qualquer outra necessidade de trabalhar com os dados armazenados no passado. Procedimento para permitir a reconstrução de dados em caso de falha ou de contingência. Modo de ataque quando o atacante deixa um CD infetado, flashdisc ou outro meio de armazenamento em que a vítima pode encontrá-lo com uma alta probabilidade, por exemplo, num elevador, no parque de estacionamento. Isso leva à curiosidade de jogar fora e, mais cedo ou mais tarde, a vítima insere o média (‘medium’) no computador. Isto resulta numa instalação com a qual o vírus invasor obtém acesso a um computador ou à totalidade da rede de computador da empresa. Conjunto mínimo de medidas de proteção estabelecidas para um determinado sistema ou organização. Software usado durante o arranque de um computador para inicialização e configuração de dispositivos de hardware conectados e posterior início do sistema operativo. Vírus de computadores criados usando arquivos em lote. Uma possibilidade interessante para alguns sistemas operacionais (por exemplo, UNIX) , existem não obstante, também para MSDOS. Eles não são muito difundidos e são uma raridade. Pg. 7/85 Melhores práticas Best practice Biométricas Biometric BitTorrent BitTorrent Chapéu Preto Black Hat Preto Chapéu Preto Tela azul da morte (BSOD ) Black hat Blue screen of death (BSOD) Bot (robô; zombie ) Bot (Robot) Bot wrangler Bot wrangler DOS. They are not too widespread and are more of a rarity. Well-tested method or procedure which in the given area offers the most effective solution which has been repeatedly proven as right and leads towards optimum results. Related to the use of specific attributes reflecting the unique bio-physiological characteristics, as is a fingerprint or voice record to validate personal identity. Tool for peer-to-peer (P2P) distribution of files which spreads out the load of data transfers among all clients downloading data. A hacker who violates computer security for malicious or personal gain motives Método ou procedimento bem testado que em determinada área oferece a solução mais eficaz que tem sido repetidamente provado como certo e que leva para os melhores resultados. Relacionado ao uso de atributos específicos que reflitam as características bio- fisiológicos únicos como é o caso de as impressões digitais (fingerprint) ou gravação de voz para validar a identidade pessoal. Ferramenta para distribuição peer-to-peer (P2P) de arquivos que distribui a carga de transferência de dados entre todos os clientes que façam download de dados. Veja Cracker . See Cracker XXX? XXX? Slang expression for an error message displayed Gíria para uma mensagem de erro exibida pelo sistema operativo Microsoft Windows quando há um erro de sistema by the Microsoft Windows operating system if sério a partir do qual o sistema não pode recuperar. Esta there is a serious system error from which the mensagem de erro ocupa a o ecrã, letras brancas sobre um system cannot recover. This error message is fundo azul (daí o nome). screen-wide, white letters on blue background (hence the name). No âmbito da cibercriminalidade: programas que são inseridos Within the framework of cyber criminality: nos computadores na rede e que são usados para atividades programs which take over computers in the criminosas, por exemplo, ataques distribuídos (DDoS) e network and use them for criminal activities – distribuição massificada de e-mails comerciais não solicitados. for example, distributed attacks (DDoS) and Bots individuais são a base para grandes grupos de robôs mass distribution of unsolicited commercial conhecidos como botnets (redes de Bots). Computador que emails. Individual bots are the basis for large seja tomado total ou parcialmente por um bot é conhecido groups of robots known as botnets. Computer wholly or partially taken over by a bot is known como " zombie". as "zombie". (1) Cracker que controla um grande número de máquinas (1) Cracker who controls a large number of Pg. 8/85 Botnet Botnet Brecha//Violação Breach Ataque de força bruta licença BSD Bug Continuidade de negócios Brute force attack BSD license Bug Business continuity comprometidas, bots (robôs, zombies ) . compromised machines (robots, bots, zombies). (2) O computador de topo (comando) na hierarquia do rede (2) The topmost computer in the botnet Bot (botnet) que controla computadores comprometidos hierarchy controlling compromised computers nessa botnet. of the given botnet. Rede de computadores infectados (infestados) controlada por Network of infested computers controlled by a um único cracker que tem a possibilidade de aceder “às single entity who thus has the possibility to capacidades” de muitos milhares de máquinas ao mesmo access the power of many thousands of tempo. Permite a realização de atividades ilegais em grande machines at the same time. It allows for illegal escala - em particular, ataques como DDoS e distribuição de activities on a large scale – in particular, attacks spam. as DDoS and spam distribution. Quebra ilegal num sistema. (1) Illegal breach into a system. (2) Browser Reconnaissance and Exfiltration via Adaptive Compression of Hypertext - a security exploit against the HTTPS protocol. Método para encontrar senhas quando o programa tenta Method to find passwords when the attacking atacar todas as combinações de caracteres existentes para program tries all existing character uma possível senha. Este método é muito demorado. Seu combinations for a possible password. This sucesso depende do comprimento senha e o poder de method is very time-consuming. Its success computação do computador utilizado. depends on password length and the computing power of the used computer. Família de licenças de software livre permitidas, impondo A family of permissive free software licenses, restrições mínimas sobre a redistribuição de software coberto imposing minimal restrictions on the redistribution of covered software Term in ICT to denote a programming error that Termo usado nas TIC para evidenciar um erro de programação que causa um problema de segurança no causes a security problem in software. The software. O atacante utiliza desse modo a vulnerabilidade para attacker utilizes such a vulnerability to control controlar o computador, executar um serviço disfuncional ou the computer, make a running service em forma inadequada, para modificar dados e similares. dysfunctional or running improperly, to modify data and similar. Processos e / ou procedimentos para assegurar uma operação Processes and/or procedures to ensure contínua de uma organização. continuous operation of critical business Pg. 9/85 Gestão de continuidade de negócios ( BCM) Business continuity management (BCM) Sistema de gestão de continuidade de negócios (SGCN) Business continuity management system (BCMS) Plano de continuidade de negócios Business continuity plan (CAPTCHA) teste de Turing público completamente automatizado para diferenciar computadores de humanos CAPTCHA (Completely automated public Turing test to tell computers from humans) functions of an organization. Holistic management model which identifies possible threats and their potential impact on the operations of an organization and which provides a framework for deepening the immunity of an organization by expanding its capabilities to respond effectively to emergency events and thus protect the interests of its key partners and customers, its reputation and its activities. Part of the overall system of managing an organization that defines, introduces, operates, monitors, re-analyses, maintains and improves operating continuity of an organization. Documented set of procedures and information, which is made up and maintained in readiness for use during an incident in order to enable an organization to implement its critical activities at an acceptable and previously set level. Turing test used on the web in an effort to automatically differentiate real users from robots, for example when entering comments, at registration, etc. t The test usually consists of an image with a deformed text and the task for the user is to rewrite the pictured text into the entry field. It is assumed that the human brain can properly recognize even corrupted text but an internet robot using OCR technology cannot do. Disadvantage of the image CAPTCHA is its unavailability for users with visual impairment; hence usually there is the option of having the letters from the image read aloud. Modelo de gestão holística que identifica possíveis ameaças e seu potencial impacto sobre o funcionamento de uma organização e que fornece um quadro para o aprofundamento da imunidade de uma organização , expandindo suas capacidades para responder eficazmente às situações de emergência e, assim, proteger os interesses dos seus principais parceiros e clientes , a sua reputação e suas atividades. Parte do sistema global de gestão de uma organização que define, introduz, opera , monitoriza , reanalisa , mantém e melhora a continuidade operacional (de funcionamento) de uma organização. Conjunto de procedimentos e informações que é feito e mantido em prontidão para o uso durante um incidente, a fim de permitir uma organização implementar suas atividades críticas num nível aceitável previamente definido e documentado. Teste de Turing usado na web com vista a diferenciar automaticamente os utilizadores reais de robôs, por exemplo quando requerem inserir comentários, no momento da inscrição, etc t O teste geralmente consiste de uma imagem com um texto deformado e a tarefa para o utilizador é reescrever o texto retratado no campo de entrada . Supõe-se que o cérebro humano é capaz de reconhecer corretamente um texto mesmo que corrompido enquanto um robô da internet utilizando a tecnologia OCR não o pode fazer. A desvantagem do CAPTCHA imagem é a sua indisponibilidade para utilizadores com deficiência visual, embora haja a opção de ter as letras da imagem lidas em voz alta . Pg. 10/85 Certificação Certification autoridade de certificação Certification authority (CA) Organismo de Certificação Certification body documento de Certificação Certification document Chain letter Chain letter bate-papo; chat Desobstrução Chat Clearing (1) Procedure in the computer security by means of which a third party gives a guarantee that the whole system or its part meets security requirements. (2) Process for verification of the competence of communication and information systems for handling classified information, approval of such competence and issuance of a certificate. In computer security, a third party which issues digital certificates and uses its authority to confirm the authenticity of data that exist in the freely accessible part of the certificate. Third party that assesses and certifies a system, for example system for the control of computer security for a client organization, with regard to international standards and other documentation needed for a certified system. Document stating that any system of control, for example system for the control of information security, meets the required standard, and other documentation needed for a certified system. Letter sent out to many recipients and containing information which each recipient has to pass on to many other addressees. It is a frequently used method of pressure ("If you do not send this letter to 25 other people, something terrible happens to you in 25 days”). Way of direct (online) communication of several persons using the Internet. Targeted overwriting or erasure of classified (1) Procedimento na segurança do computador por meio do qual um terceiro dá uma garantia de que todo o sistema ou a sua parte atende aos requisitos de segurança. (2) Processo para verificação da capacidade (competência) dos sistemas de comunicação e informação para tratar informações classificadas, a aprovação de tal competência e emissão de um certificado. Em segurança de computadores: um terceiro que emite certificados digitais e usa sua autoridade para confirmar a autenticidade dos dados que existem na parte de acesso livre do certificado. Terceiro que avalia e certifica um sistema, por exemplo, sistema de controle de segurança de computadores para uma organização cliente, no que respeita a padrões internacionais e outros documentos necessários para um sistema certificado. Documento afirmando que qualquer sistema de controle, por exemplo, sistema de controle de segurança da informação, atende aos padrões exigidos, e outra documentação necessária para um sistema certificado . Carta enviada a vários destinatários e contendo informações em que cada beneficiário tem de passar para muitos outros destinatários. É um método frequentemente utilizado de pressão ("Se você não enviar esta carta para 25 outras pessoas, algo terrível acontece com você em 25 dias ") . Forma de comunicação direta (online) de várias pessoas que usam a Internet. Transcrição do alvo ou eliminação de dados sigilosos sobre Pg. 11/85 Fechado Computação em nuvem; Cloud computing Closed Cloud computing Segurança das Comunicações (COMSEC) Communication security (COMSEC) Sistema de comunicações Communication system data on a data medium which has a special security classification and security category so that the given medium could be repeatedly used for a record in the same security classification and security category. Environment where special attention (by a form of authorizations, security checks, configuration control, etc.) is given to protection of data and sources from accidental or intentional actions. Mode of utilization of computing technology whereby scalable and flexible IT functions are accessible to users as a service. The advantage of clouds: easy software upgrade, unsophisticated client stations and software, cheap access to a mighty computing power without hardware investments, guaranteed availability. Disadvantages: confidential data are available also to the cloud provider. Use of such security measures in communications which prohibit unauthorized persons to obtain information which could be gained from access to communication traffic and its evaluation, or which ensure the authenticity of the communication process. Computer security as applied to data communications – data transfer. A system that provides for the transfer of information among end users. It includes end communication devices, transfer environment, system administration, handling by personnel and operational conditions and procedures. It um suporte de dados que tem uma classificação de segurança especial e categoria de segurança de modo que o meio dado pode ser usado repetidamente por um registro na mesma classificação de segurança e categoria de segurança . Ambiente onde é dada uma atenção especial (por uma forma de autorizações, verificações de segurança, controle de configuração, etc.) para a proteção de dados e fontes de ações acidentais ou intencionais. Modo de utilização da tecnologia de computação em que funções escaláveis e flexíveis de TI estão acessíveis aos utilizadores como um serviço. A vantagem da nuvem: fácil atualização de software, estações clientes e software não sofisticados, acesso barato a um poder de computação poderoso sem investimentos em hardware, disponibilidade garantida. Desvantagens: os dados confidenciais estão disponíveis também ao fornecedor de serviços da nuvem. Uso de medidas de segurança nas comunicações que proíbem que pessoas não autorizadas possam obter informações que possam ser obtidos a partir de acesso ao tráfego de comunicação, e sua avaliação, ou que assegurem a autenticidade do processo de comunicação. Segurança informática (de computadores) quando aplicada à comunicação de dados - transferência de dados. Sistema que possibilita a transferência de informação entre os utilizadores finais . Inclui dispositivos de comunicação, meio ambiente de transferência, administração do sistema, manipulação por pessoal e as condições e procedimentos operacionais . Pode também incluir meios de proteção criptográfica . Pg. 12/85 Comprometimento; Comprometido Compromising Abuso de computador Computer abuse Cibercrime; Crime de computador Computer crime / Cyber crime Equipa de Resposta a Emergência de Computadores (CERT) Fraude informática Computer emergency response team (CERT) Computer fraud Capacidade de resposta a incidentes de computador ( CIRC ) Computer incident response capability (CIRC) Rede de computadores Computer network may also include means of cryptographic protection. Compromise of information security which may result in program or data modification, their destruction, or their availability to unauthorized entities. Unauthorized activity caused by intent or negligence which impacts computer security of a data processing system, or is related to it. Crime committed using a data processing system or computer network or directly related to them. CERT is another name for CSIRT; unlike CSIRT, CERT is a registered trade mark. See CSIRT. Fraud committed using a data processing system or computer network or directly related to them. Capability of responding to computer incidents. It is part of cyber defense and uses in particular measures of INFOSEC. Ensures centralized capability for fast and effective reaction to risks and vulnerabilities in systems provides methodology for reporting and managing incidents provides support and help to the operational and security managements of systems. It is part of the emergency (crisis) planning for cases of system recovery. Collection of computers and communication infrastructure (communication lines, hardware, software and configuration data) which allows the computers to send, receive and share data. Comprometimento da segurança da informação que pode resultar em na modificação de um programa ou dados, a sua destruição ou a sua disponibilidade a entidades não autorizadas. Atividade não autorizada causada por dolo ou negligência que afeta a segurança do computador de um sistema de processamento de dados, ou está relacionado a ele. Crime cometido usando um sistema de processamento de dados ou rede de computadores ou diretamente relacionados a eles. CERT é outro nome para CSIRT. Ao contrário de CSIRT , CERT é uma marca registada . Veja CSIRT. Fraude cometida através de um sistema de processamento de dados ou rede de computadores ou diretamente relacionados a elas. Capacidade de resposta a incidentes de computador. É parte da ciberdefesa e usa em especial as medidas de INFOSEC . Garante capacidade centralizada para reação rápida e eficaz a riscos e vulnerabilidades em sistemas; possibilita metodologia para a elaboração de relatórios e gestão de incidentes; fornece suporte e ajuda ao funcionamento e aos sistemas de gestão de segurança. Faz parte do planeamento de emergência (crise) nos casos de recuperação do sistema. Agregado de computadores conjuntamente com a infraestrutura de comunicação ( linhas de comunicação , hardware, software e dados de configuração ) com a qual os computadores podem enviar e partilhar dados. Pg. 13/85 Ataque à rede de Computador (CNA) Computer network attack (CNA) Exploração da rede de Computador (Computer network exploitation,CNE) A segurança do computador (OMPUSEC ) Computer network exploitation (CNE) Auditoria de segurança de computadores Computer security audit Computer security (COMPUSEC) Activity done in order to corrupt, block, degrade or destroy information stored in a computer or on a computer network, or the computer or computer network as such. Attack on a computer network is a certain sort of cyber attack. Abuse of information stored on the computer or computer network. Atividade feito para corromper, bloquear, degradar ou destruir informações armazenadas num computador ou numa rede de computadores, ou o computador ou rede de computadores como tal. Ataque a uma rede de computadores é um certo tipo de ciberataque. Branch of informatics dealing with securing of information in computers (discovering and lowering risks connected to the use of the computer). Computer security includes: (1) enabling protection against unauthorized manipulation with the devices of a computer system, (2) protection against unauthorized data manipulation, (3) protection of information against pilferage (illegal creation of data copies), (4) secure communication and data transfer (cryptography), (5) secure data storage, (6) availability, integrity and authenticity of data. It is also the introduction of security properties of hardware, firmware and software into the computer system so that it is protected against unauthorized disclosure, amendments, changes or erasure of facts or to prevent these, or against access denial. Protection of data and sources against accidental or harmful activities. Independent verification of measures implementation and their efficiency with the view of attaining computer security. Ramo da informática que lida com a segurança de informações em computadores (descoberta e redução dos riscos ligados ao uso do computador). A segurança do computador inclui: (1) capacitar proteção contra manipulação não autorizada com os dispositivos de um sistema de computador, (2) proteção contra a manipulação de dados não autorizada, (3) proteção da informação contra furtos (criação ilegal de cópias de dados) , (4) comunicação segura e transferência de dados ( criptografia) , (5) armazenamento seguro de dados, (6) disponibilidade, integridade e autenticidade dos dados . É também a introdução de propriedades de hardware, firmware e software para o sistema de segurança do computador para que ele seja protegido contra a divulgação não autorizada, alterações, alterações ou eliminação dos fatos ou para evitar estes ou contra a negação de acesso. Proteção de dados e fontes de contra atividades acidentais ou prejudiciais. Abuso de informação armazenada no computador ou rede de computadores. Verificação independente das medidas de implementação e sua eficiência com o fim de alcançar a segurança do computador. Pg. 14/85 Equipe de resposta a incidentes de segurança informática (CSIRT) Computer security incident response team (CSIRT) Auditoria do sistema de computador Computer system audit Vírus de computador Computer , computador pessoal (PC) Computer virus Computer, personal computer (PC) Team of experts in information security whose task is to tackle security incidents. CSIRT provides its clients with the necessary services for solutions of security incidents and helps them in recovering the system after a security incident. In order to minimize incident risks and minimize their number, CSIRT offices provide also preventive and educational services. For clients, they provide information on detected weaknesses of used hardware and software instruments and about possible attacks, which make use of these weaknesses so that the clients may quickly address these weaknesses. Analysis of procedures used in data processing in order to evaluate their efficiency and correctness, and to recommend improvements Computer program that replicates itself by attaching its copies to other programs. It may contain a part which activates it when certain conditions are met (e.g. time) in the host device. It is distributed using the Internet (electronic mail, downloading programs from unreliable sources), using mobile storage media and others. This is done in order to obtain various types of data, for identity theft, for putting the computer out of operation, etc. In accordance with the wording of CSN 36 9001 this is "a data processing machine executing independent sequences of various arithmetic and logical operations." In other words: a machine characterized by processing data Equipe de especialistas em segurança da informação, cuja tarefa é a de resolver incidentes de segurança. CSIRT oferece aos seus clientes os serviços necessários para soluções de incidentes de segurança e ajuda-os a recuperar o sistema depois de um incidente de segurança. A fim de minimizar os riscos de incidentes e minimizar o seu número, escritórios CSIRT prestam também serviços preventivos e educacionais. Para os clientes, eles fornecem informações sobre os pontos fracos detetados no hardware utilizado e nos instrumentos de software e sobre possíveis ataques que façam uso desses pontos fracos de modo que os clientes possam rapidamente resolver estas deficiências. Análise dos procedimentos utilizados no processamento de dados com vista a avaliar a sua eficiência e precisão, e recomendar melhorias. Programa de computador que se replica a si próprio, anexando suas cópias para outros programas. Pode conter uma parte que ativa quando forem respeitadas determinadas condições (por exemplo, tempo) no dispositivo hospitaleiro. Ele é distribuído usando a Internet ( correio eletrônico, baixar programas de fontes não confiáveis) , usando a “media” de armazenamento móveis e outros. Este é realizado, a fim de obter diversos tipos de dados, por roubo de identidade, para colocar o computador fora de funcionamento, etc. De acordo com o texto da CSN 36- 9001, computador é " uma máquina de processamento de dados que executa sequências independentes de várias operações aritméticas e lógicas . " Por outras palavras: uma máquina que é caracterizado por processamento de dados de acordo com um programa previamente criado armazenado na sua memória. Pg. 15/85 confidencialidade Confidentiality Baseline de configuração Configuration baseline Item de configuração (CI) Configuration item (CI) Configuration management database (CMDB) Base de dados de gestão de configuração (CMDB) Consequência Contaminação Plano de contingência Consequence Contamination Contingency plan Procedimento de contingência Contingency procedure Melhoria contínua Continual improvement Control Controle according to a previously created program stored in its memory. Characteristic that information is not available or is not disclosed to unauthorized individuals, entities or processes. Configuration information formally related to a certain time in the lifetime of a service, or element of the service. Element that must be controlled in order to deliver a service or services. Data warehouse used for records of configuration items' attributes and relations among configuration items during their whole life cycle. Result of an event which affects the objectives. Input of data with a certain security classification or security category into a wrong security category. Plan for backup procedures, response to an unforeseen event and recovery after a contingency. An alternative to the normal procedure, triggered in case of an occurrence of an unusual but assumed situation. Repeated activity for the increase of a capability to meet the requirements It means control of a risk, including all policies, procedures, directives, usual procedures (practices) or organizational structures, which may be of an administrative, technological, management or legal character. Característica que significa que a informação não está disponível ou não é divulgada a pessoas não autorizadas, entidades ou processos. Informação de configuração formalmente relacionada a um determinado tempo de vida de um serviço, ou elemento do serviço. Elemento que deve ser controlado com vista a proporcionar um serviço ou serviços. Armazenamento de dados usado para registos de configuração dos atributos dos itens e relações entre os itens de configuração durante o seu ciclo de vida. Resultado de um evento que afeta os objetivos. Entrada de dados com uma certa classificação de segurança ou categoria de segurança numa categoria de segurança errado. Plano para procedimentos de backup, resposta a um acontecimento imprevisto e recuperação após ocorrência de uma contingência. Procedimento que é uma alternativa ao procedimento normal, no caso da ocorrência de uma situação invulgar mas assumida. Atividade repetida para o aumento de uma capacidade atender às exigências . Significa controle de um risco, incluindo todas as políticas , procedimento, diretivas, procedimentos habituais (práticas) ou estruturas organizacionais, que podem ser de caráter administrativo, tecnológico, de gestão ou legal. Pg. 16/85 Objectivo de Controle Sistema de acessos controlado (CAS) Cookie HTTP proteção contra cópia Ação corretiva contramedida Covert Channel crack Cracker Control objective Statement describing what is to be achieved by introducing a measure. Controlled access Means for automating of the physical control of system (CAS) access (e.g. use of badges equipped with magnetic strips, smart cards, biometric sensors). Cookie / HTTP cookie Data which a web application can store in the computer of a signed-in user. The browser then sends these data automatically to the application at every future access. Cookie is at present mostly used for the recognition of a user who visited the application before, or for storing user setting of the web application. Nowadays, discussions are underway about cookies in connection to watching the movements and habits of users by some webs. Copy protection Use of a special technique for the detection or prevention of unauthorized copying of data, software and firmware. Corrective action Action to remove the cause of an identified noncompliance or other undesirable situation. Countermeasure Activity, equipment, procedure, technology intended to minimize vulnerability. Covert Channel Transmission channel which could be used for data transfer in a way impairing security policy. Crack Cracker Unauthorized infringement of program or system security protection, its integrity or system of its registration/activation. Individual trying to obtain an unauthorized access to a computer system. These individuals Declaração descrevendo o que deve ser alcançado ao introduzir uma medida . Meios para a automatização do controle físico de acesso (por exemplo, o uso de crachás equipados com tiras magnética, cartões inteligentes, sensores biométricos). Os dados que uma aplicação web pode armazenar no computador de um utilizador conectado (signed –in) . O navegador (browser) envia esses dados automaticamente para a aplicação em cada acesso no futuro . Cookie é atualmente usado principalmente para o reconhecimento de um utilizador que visitou o aplicativo antes, ou para o armazenamento de configuração do utilizador da aplicação web. Hoje em dia, estão em curso discussões sobre cookies em ligação com a observação dos movimentos e hábitos dos utilizadores por alguns web. O uso de uma técnica especial para a deteção ou prevenção de cópia não autorizada de dados, software e firmware. Ação para eliminar a causa de uma não-conformidade identificada ou outra situação indesejável. Atividade, equipamento , procedimentos , tecnologia destinada a minimizar a vulnerabilidade.. Canal de transmissão o qual poderia ser usado para a transferência de dados de uma política de segurança de maneira que prejudique. Violação não autorizada de programa ou sistema de proteção de segurança, sua integridade ou o sistema de seu registro/ativação. Pessoa tentando obter um acesso não autorizado a um sistema de computador. Estes indivíduos são muitas vezes prejudiciais e possuem meios para invadir um sistema. Pg. 17/85 Creative commons credenciais Crise Creative commons (CC). Credentials Crisis situação de Crise / emergência Crisis / Emergency situation Gestão de crises Crisis management Medidas de crise Crisis measure are often harmful and possess means for breaking into a system. A non-profit organization headquartered in Mountain View, California, United States devoted to expanding the range of creative works available for others to build upon legally and to share. The organization has released several copyright – licenses known as Creative commons licenses free of charge to the public. Data transferred in order to establish proclaimed identity of a given entity, credentials. Situation where the equilibrium among the basic components of the system on the one hand, and approach of the environment on the other hand, is disrupted in a serious way. Emergency situation as per the law on integrated emergency system, compromise of the critical infrastructure, or any other danger when a state of hazard, state of emergency, or threat to the state is announced (henceforth only "emergency situation"). Collection of management activities of the bodies of crisis management aimed at the analysis and evaluation of security risks and planning, organization, implementation and verification of activities conducted in connection with Preparation for crisis situations and their solution or protection of critical infrastructure. Organizational or technical measure to solve a A organização sem fins lucrativos sedeada em Mountain View, Califórnia , Estados Unidos, dedicada a expandir uma gama de trabalhos criativas disponibilizando-os para outros construírem por cima legalmente e partilharem. A organização lançou vários copyright - licenças conhecidas como licenças Creative Commons gratuitas para o público. Os dados transferidos a fim de estabelecer a identidade proclamada de uma dada entidade, credenciais. Situação em que o equilíbrio entre os componentes básicos do sistema por um lado, e uma abordagem do meio ambiente, por outro lado, é interrompido de uma forma séria. Situação de emergência é, de acordo com a lei, relativo a um sistema integrado de emergência , ao comprometimento da infra-estrutura crítica , ou qualquer outro perigo que coloca um estado de risco/perigos, estado de emergência ou de ameaça ao estado é anunciada (passa a chamar-se " situação de emergência " ) . Conjunto das atividades de gestão dos organismos de gestão de crises com a finalidade de analisar e avaliar riscos de segurança e planeamento, organização, implementação e verificação das atividades realizadas em conjunto com a preparação para situações de crise e sua solução ou a proteção da infraestrutura crítica. Medida organizacional ou técnica para resolver uma situação Pg. 18/85 Plano de crise Planeamento crise Preparação para crises Estado de crise Crisis plan Crisis planning Crisis preparedness Crisis state crisis situation and remedy its consequences, including measures interfering with the rights and obligations of people. Aggregate planning document elaborated by entities set forth by law and which contains a set of measures and procedures to solve crisis situations. Activity of the relevant bodies of crisis management aimed at minimizing (prevention of) the origin of crisis situations. Searching for the most suitable ways of anti-crisis intervention, optimization of methods and forms to handle these unwanted phenomena (that is, reduction of the impacts of crisis situations) and establishing the most rational and economical ways of recovery for the affected systems and their return into the normal daily state. Preparation of measures to solve own crisis situations and partially participate in solving crisis situations in the neighbourhood. Legislative measure announced by the Parliament of the Czech Republic (threat to the state, and the state of war), by the Government of the Czech Republic (state of emergency) or governer of the region/mayor (state of danger), in order to solve a crisis situation. de crise e remediar as suas consequências, incluindo medidas que interferem com os direitos e obrigações das pessoas. Documento de planeamento integrado elaborado pelas entidades previstas na lei e que contém um conjunto de medidas e procedimentos para resolver situações de crise. Atividade dos organismos relevantes da gestão de crises com a finalidade de minimizar (prevenção) a origem de situações de crise. Procurando as formas mais adequadas de intervenção anti- crise, otimização de métodos e formas de lidar com esses fenômenos indesejados (isto é , a redução dos impactos de situações de crise ) e estabelecer as formas mais racionais e econômicos de recuperação para os sistemas afetados e seu retorno ao estado normal do dia a dia. Preparação de medidas para resolver as próprios situações de crise e participar parcialmente na solução de situações de crise na “proximidade/vizinhança”. Medida legislativa anunciada pelo Presidente (ameaça ao estado, eo estado de guerra), pelo Governo da República (estado de emergência) ou governador da região autonoma ou presidente de camara (estado de perigo) com a finalidade de resolver uma situação de crise. Pg. 19/85 Infra-estrutura de comunicação crítica Infra-estrutura de informação crítica Infra-estrutura crítica Proteção de infraestrutura crítica Critérios de transversalidade/Critérios de interdependência/ Cross-section criteria Cross- site scripting (XSS), Critical communication infrastructure Critical information infrastructure Critical infrastructure Critical infrastructure protection Cross-section criteria Cross-site scripting (XSS) In case of the state: complex of services or networks of electronic communications, clearly defined by law, whose unfunctionality would result in a serious impact on state security, public administration and provision of the basic daily needs of the population. Complex of information systems clearly defined by law, whose unfunctionality would result in a serious impact on state security, economy, public administration and provision of the basic daily needs of population. Systems and services whose unfunctionality or wrong functionality would result in a serious impact on state security, its economy, public administration and in the end on provision of the basic daily needs of population. Measures aimed at lowering the risk of corruption of an element of the critical infrastructure. Set of viewpoints to assess how serious is the corruption of an element in the critical infrastructure with bounds which include the scope of life losses, impact on the health of people, extraordinary serious economic impact or impact on the public due to an extensive limitation of providing the necessary services or any other serious intervention into the daily life. Attack on web applications consisting in an attempt to find a security error in the application and using this for the insertion of own code. The inserted code usually tries to get No caso do Estado: complexo de serviços ou redes de comunicações eletrónicas, claramente definidas por lei, cuja disfuncionalidade resulta num sério impacto sobre a segurança do Estado , da administração pública e da prestação das necessidades diárias básicas da população . Complexo de sistemas de informação claramente definidas em lei, cujo disfuncionalidade ou dirupção resultaria num sério impacto sobre a segurança do Estado, na economia, na administração pública e no fornecimento de necessidades diárias básicas da população (ex: àgua, energia, telecomunicações,…), Sistemas e serviços cujos disfuncionalidade ou má funcionalidade resulta num sério impacto sobre a segurança do Estado, a sua economia , administração pública e, em ultimo no fornecimento de necessidades diárias básicas da população (ex: àgua, energia, telecomunicações,…). Medidas destinadas a reduzir o risco de corrupção de um elemento da infraestrutura crítica. Conjunto de pontos de vista para avaliar o quão grave é a corrupção de um elemento na infraestrutura crítica, com limites que incluem a finalidade de perdas de vida , o impacto sobre a saúde das pessoas , extraordinariamente impacto econômico sério ou impacto sobre o público devido a uma limitação de fornecer os serviços necessários ou qualquer outra intervenção séria na vida diária . Ataque a aplicações da web que consistem numa tentativa de encontrar um erro de segurança na aplicação e usá-lo para a inserção do próprio código. O código introduzido geralmente tenta obter dados pessoais dos utilizadores, conteúdo de Pg. 20/85 Cryptography Cliente Ciberataque Contra-ataque Cibernético Cibercrime Cryptography Customer Cyber attack Cyber counterattack Cyber crime personal data of users, content of database or to bypass the security elements of an application. Science of cryptography – a discipline covering the principles, means and methods to transform data in order to conceal their semantic content, to prevent an unauthorized use or prevent unrecognized modification. Organization or its part receiving a service or services. Attack on IT infrastructure having the objective of causing damage and obtaining sensitive or strategically important information. It is used most often in the context of either politically or militarily motivated attacks. Attack on IT infrastructure as a response to a previous cyber attack. It is used most often in the context of either politically or militarily motivated attacks. Criminal activity in which a computer appears in some way as an aggregate of hardware and software (including data), or only some of its components may appear, or sometimes a larger number of computers either standalone or interconnected into a computer network appear, and this either as the object of interest of this criminal activity (with the exception of such criminal activity whose objects are the described devices considered as immovable property) or as the environment (object) or as the instrument of criminal activity (See bases de dados ou para ignorar os elementos de segurança de uma aplicação. Ciência da criptografia - uma disciplina que abrange os princípios, meios e métodos para transformar dados com vista a esconder o seu conteúdo semântico, para evitar/prevenir um uso não autorizado ou impedir uma modificação não reconhecido. Organização ou a sua parte recebe um serviço ou serviços. Ataque à infraestrutura de TI tendo como objetivo causar danos e obter informação sensível ou estrategicamente importante. Ciberataques são usados frequentemente no contexto tanto de ataques motivados quer politica ou militarmente. Ataque à infraestrutura de TI como uma resposta a um ataque cibernético anterior. Ela é usada mais frequentemente no contexto de ataques quer politicamente ou militarmente motivados. Atividade criminosa em que no objeto de interesse desta atividade aparece um computador de alguma forma como um agregado de hardware e software (incluindo dados), ou apenas alguns de seus componentes podem aparecer, ou às vezes um número maior de computadores autónomos ou interligados numa rede de computador ou como o ambiente (objeto) ou como instrumento da atividade criminosa (Veja crime computador).Com a exceção de tal atividade criminosa cujos objetos são os dispositivos descritos considerados como bens imóveis. Pg. 21/85 Ciber Defesa Cyber defense Ciberspionagem Cyber espionage Ciber aliciamento (Child grooming, Cybergrooming) Cyber grooming (Child grooming, Cybergrooming) Cibersegurança Cyber security Ciberestratégia Cyber strategy ciberterrorismo Cyber terrorism Computer crime). Defence against a cyber attack and mitigation of its consequences. Also, resistence of the subject towards an attack and a capability to defend itself effectively. Obtaining strategically sensitive or strategically important information from individuals or organizations by using or targetting IT means. It is used most often in the context of obtaining a political, economic or military supremacy. Behaviour of users of internet communication instruments (chat, ICQ, et al.) who try to get the trust of a child in order to either abuse the child (especially sexually) or misuse the child for illegal activity. Collection of legal, organizational, technological and educational means aimed at providing protection of cyberspace. General approach to the development and use of capabilities to operate in cyberspace, integrated and coordinated with other areas of operation, in order to achieve or support the set objectives by using identified means, methods and instruments in a certain timetable. Criminal activity done using or targeting primarily IT means with the objective of creating fear or inadequate response. It is used most often in the context of attacks having an extremist, nationalistic or politically motivated character. Defesa contra um cibertaque e mitigação de suas conseqüências. Além disso é também a resistência do sujeito a um ataque e uma capacidade de se defender de forma eficaz. Obtenção de informações estrategicamente sensível ou estrategicamente importante de indivíduos ou organizações , utilizando ou destinada significa TI. Ele é usado na maioria das vezes , no contexto de obtenção de uma supremacia política , econômica ou militar. Comportamento dos utilizadores dos instrumentos de comunicação da internet (chat , ICQ, e outros) que tentam obter a confiança de uma criança com o propósito quer de abuso da criança (especialmente sexual ) ou fazer recurso da criança para a atividades ilegais. Conjunto de meios legais, organizacionais, tecnológicos e educacionais que têm como fim proporcionar proteção do ciberespaço Abordagem geral para o desenvolvimento e uso das capacidades para operar no ciberespaço, integrado e coordenado com outras áreas de atuação, a fim de alcançar ou apoiar os objetivos definidos através de meios identificados, métodos e instrumentos numa determinada calendarização. Atividade criminosa que faz uso ou estabelece como alvos principalmente meios de TI com o objetivo de criar medo ou resposta inadequadas. Ele é usado na maioria das vezes, no contexto de ataques que têm um caráter extremista, nacionalista ou politicamente motivados. Pg. 22/85 Ciberguerra, guerra cibernética Cyberbullying; ciber assédio; Ciberofensas; cibermolestação Cyber war, Cyber warfare Cyberbullying Ciber-assédio Cyber-harassment Ciberespaço Cyberspace Cybersquatting; cibercócoras Ciberassédio; cyberstalking Cybersquatting Cyberstalking Use of computers and the Internet to wage a war in cyberspace. System of extensive, often politically motivated, related and mutually provoked organized cyber attacks and counterattacks. Type of bullying using electronic means such as mobile phones, emails, pagers, internet, blogs and similar for sending harassing, offending or attacking mails and SMSs, creation of pages and blogs defaming selected individuals or groups of people. Internet harassment (even an individual case) usually of an obscene or vulgar character. It is often part of cyberstalking. See also Cyberstalking. Digital environment enabling the origin, processing and exchange of information, made up of information systems and the services and networks of electronic communications. Registration of the domain name related to the name or trade mark of another company, with the purpose of subsequent offering the domain to this company at a high financial amount. Different kinds of stalking and harassment using electronic media (especially using emails and social networks), the objective being for example to instill a feeling of fear in the victim. The culprit obtains information about the victim most often from web pages, forums, or other mass communication tools. Often such an activity is merely an intermediate step to a O uso de computadores e da Internet para desenrolar/desenvolver uma guerra no ciberespaço. Sistema de um vasto número de ciberataques e contrataques, muitas vezes motivados políticamente, relacionados e mutuos . Tipo de bullying que recorre a meios eletrônicos, como telefones celulares, e-mails, pagers, internet blogs e similar para o envio de assédios, ofender ou atacar mails e SMS, criação de páginas e blogs difamando indivíduos selecionados ou grupos de pessoas . Assédio pela Internet (mesmo um caso individual), geralmente de caráter obsceno ou vulgar. Muitas vezes, é parte de cyberstalking . Veja também Cyberstalking . Ambiente digital que permite a fonte, processamento e troca de informações. É composto de sistemas de informação e os serviços e redes de comunicações eletrónica. Registro do nome de domínio relacionado com o nome ou marca de outra empresa, com o objetivo de oferecer subsequentemente o domínio a esta empresa num montante financeiro elevado. Diferentes tipos de perseguição e assédio por meios eletrônicos (especialmente usando e-mails e redes sociais), com o objetivo, por exemplo, de incutir um sentimento de medo na vítima. O culpado (cúmplice, delinquente) obtém informações sobre a vítima na maioria das vezes a partir de páginas web, fóruns ou outras ferramentas de comunicação em massa. Muitas vezes, essa atividade é apenas um passo intermediário para um ato criminoso que pode incluir uma limitação substancial dos direitos humanos da vítima, ou uso incorreto de comportamentos da vítima para roubar, enganar, Pg. 23/85 Dados autenticação dos dados Corrupção de dados Integridade dos dados Proteção de dados Data Data authentication Data corruption Data integrity Data protection Reconstrução de dados Data reconstruction Restauração de dados / recuperação de dados Data restoration/ Data recovery criminal act which may include a substantial limitation of human rights of the victim, or misuse the behaviour of the victim to steal, defraud, blackmail, etc. From the ICT point of view, this is a representation of information in a formalized way suitable for communication, explanation and processing. Process used to verify data integrity (verification that received and sent data are identical, verification that program is not infected by a virus, for example). Accidental or intentional corruption of data integrity. Assurance that data were not changed. In the figurative sense denotes also the validity, consistency and accuracy of data, e.g. databases or file systems. It tends to be implemented by checksums, hash functions, self-correcting codes, redundancy, journalling, etc. In cryptography and information security in general, integrity means data validity. Administrative, technological, procedural, staffing or physical measures implemented in order to protect data against an unauthorized access or against corruption of data integrity. Method of data reconstruction by analyzing the original sources. Act of re-creation, or re-acquisition, of data lost, or whose integrity was compromised. Methods include copying from an archive, restoration of data from source data, or repeated establishment of data from alternative sources. chantagear, etc. Do ponto de vista da empresa, esta é uma representação da informação de um modo adequado para a comunicação formalizada, explicação e processamento. Processo utilizado para verificar a integridade dos dados (verificação de que os dados recebidos e enviados são idênticos, a verificação de que o programa não está infetado por um vírus, por exemplo). Corrupção acidental ou intencional da integridade dos dados. Garantia de que os dados não foram alterados. No sentido figurativo refere-se também a validade, a consistência e a precisão dos dados, por exemplo, base de dados ou sistemas de ficheiros. Tende a ser implementada por somas de verificação, funções hash, códigos de auto- correção, redundância, journaling (retorno), etc Na criptografia e segurança da informação em geral, integridade significa a validade dos dados. Medidas administrativas, tecnológicas, processuais, recursos humanos ou físicos implementadas , a fim de proteger os dados contra acesso não autorizado ou contra a corrupção da integridade dos dados . Método de reconstrução dos dados por meio da análise das fontes originais. Ato de recriação, ou re-aquisição, de dados perdidos, ou cuja integridade foi comprometida. Métodos incluem a cópia de um arquivo, restauração de dados a partir de dados originais, ou o estabelecimento repetido de dados a partir de fontes alternativas . Pg. 24/85 Segurança dos dados Validação de dados base de dados Inspeção detalhada de Pacotes ( DPI); Deep Inspection Packet Desfiguração Infra-estrutura de Defesa Data security Data validation Database Deep packet Inspection (DPI) Defacement Defence Computer security applied to data. Includes for example control of access, definition of policies and ensuring data integrity. Process used to determine if data are accurate, complete, or satisfy specified criteria. Data validation may contain checks of format, checks for completeness, control key tests, logical and limit checks. Set of data arranged by a notional structure which describes properties of these data and relations among corresponding entities, serves one or more application areas. A form of computer network packet filtering that examines the data part (and possibly also the header) of a packet as it passes an inspection point, searching for protocol noncompliance, viruses, spam, intrusions, or defined criteria to decide whether the packet may pass or if it needs to be routed to a different destination, or, for the purpose of collecting statistical information. Breaking into the web server of an adversary and replacing its internet pages by the content created by the attacker. Corruption is not hidden, quite the reverse, it aims at medialization and its psychological power rests on the one hand in creating a feeling of threat and mistrust in own information systems of the infected party, on the other hand in presenting the ideology or points of view of the attacker. Set of objects, buildings, ground plots and Segurança informática aplicada aos dados. Inclui, por exemplo, controle de acessos, definição de políticas e garantia da integridade dos dados. Processo usado para determinar se os dados são precisos, completos ou satisfazem critérios especificados. A validação de dados pode conter verificações de formato, verificações de integridade, testes de controlo fundamentais, lógicos e verificações de limite. Conjunto de dados organizados por uma estrutura teórica que descreve as propriedades desses dados e as relações entre as entidades correspondentes, serve uma ou mais áreas de aplicação. Uma forma de filtragem de pacotes de rede de computador que analisa a parte de dados ( e possivelmente também o cabeçalho ) de um pacote que passa um ponto de inspeção , procurando por protocolo de não-conformidade, vírus, spam, intrusões, ou critérios definidos para decidir se o pacote pode passar, ou se ele precisa ser encaminhado para um destino diferente, ou , com a finalidade de recolher informação estatística. Invadir o servidor web de um adversário e substituir suas páginas de internet pelo conteúdo criado pelo atacante. A corrução não está escondida, antes pelo contrário, visa mediatizar e o seu poder psicológico baseia-se por um lado na criação de um sentimento de ameaça e desconfiança nos próprios sistemas de informação do “infetado”, por outro lado, na apresentação da ideologia ou pontos de vista do atacante. Conjunto de objetos, construções, lotes de terra e Pg. 25/85 infrastructure Zona desmilitarizada (DMZ) Negação de serviço (DoS) Dialer Demilitarized zone (DMZ) Denial of service (DoS) Dialer equipment including necessary services, production and non-production systems needed to ensure their operation, regardless of the form of ownership and the way of utilization; whose destruction, damage or limitation of activity would, under situation of threat to the state or a state of war, put in danger fulfilment of tasks: (1) of Armed Forces of the Czech Republic (CZE) during the implementation of the Plan of defence of CZE as well as operational plans including plans for mobilization, (2) of experts during implementation of their partial plans of defence and other elements of security system of CZE, (3) of allied armed forces during the implementation of their operational plans, (4) of protection of population. Part of the network infrastructure of an organization which concentrates services provided to someone in the neighbourhood, or to the whole internet. These external (public) services are usually the easiest target of an internet attack; a successful attacker however only gets to DMZ, not straight into the internal network of the organization. Denial of service is the technique of attack by many coordinated attackers on the internet services or pages resulting in flooding by requests or breakdown or unfunctionality or unavailability of the system for other users. Harmful programme which connects the computer or smart phone of the user to Internet by a commuted line using a very equipamentos, incluindo os serviços necessários , sistemas de produção e de não-produção necessários para assegurar o seu funcionamento , independentemente da forma de pertença e o modo de utilização , cuja destruição , dano ou limitação de atividade seria, em situação de de ameaça ao Estado ou a um estado de guerra , colocaria em perigo o cumprimento de tarefas: (1) das Forças Armadas nacionais , durante a implementação do Plano Nacional de Defesa, bem como os planos operacionais , incluindo planos para a mobilização , (2) de especialistas durante a implementação de seus planos parciais de defesa e outros elementos do sistema de segurança nacional (3), das forças armadas aliadas durante a implementação de seus planos operacionais , (4) de proteção da população. Parte da infraestrutura de rede de uma organização que concentra serviços prestados a alguém na vizinhança, ou para toda a internet. Estes serviços externos (públicos) são geralmente o alvo mais fácil de um ataque internet, um atacante de sucesso no entanto só fica (atinge) a DMZ, e não entra diretamente para a rede interna da organização. Negação de serviço é a técnica de ataque recorrida por muitos atacantes coordenados contra os serviços de internet ou páginas , resultando em inundações por solicitações ou degradação ou disfuncionalidade ou indisponibilidade do sistema para outros utilizadores. Programa nocivo que se conecta ao computador ou smartphone do utilizador à Internet por uma linha comutada usando um fornecedor de serviço muito caro (geralmente do atacante ) . Pg. 26/85 Ataque dicionário Dictionary attack Assinatura digital / assinatura eletrônica Digital signature / electronic signature Plano de recuperação de desastres / Plano de Contingência Disaster recovery plan / Contingency plan Disclosure Divulgação Ambiente de computação distribuída (DCE) Distributed computing environment (DCE) expensive service provider (usually of the attacker). Method for finding passwords when the cracking program tries out all dictionary words in a dictionary for the password. This is a relatively fast method, depending on the size of the dictionary and whether the victim uses simple passwords. Data attached to a message which allows the receiver to verify the source of the message. Asymmetric cryptography is often used (signature is created by the private part of key and is verified by the public part). Goes usually hand in hand with the verification of data of the message. Plan for backup procedures, response to an unforeseen event and recovery after a contingency. In IT context it is usually used for the expression of the fact that data, information or mechanisms were disclosed which should be hidden on the basis of policies and technical measures. A software system developed in the early 1990s by a consortium that included Apollo Computer (later part of Hewlett-Packard), IBM, Digital Equipment Corporation, and others. The DCE supplies a framework and toolkit for developing client/server applications. Método para encontrar senhas quando o programa tenta quebrar todas as palavras do dicionário num dicionário de senhas. Este é um método relativamente rápido, dependendo do tamanho do dicionário e se a vítima usa senhas simples. Dados anexados a uma mensagem que permitem que ao recetor verificar (credibilizar) a origem da mensagem. A Criptografia assimétrica é frequentemente utilizado (assinatura é criada pela parte privada da chave e é verificada pela parte pública). Vai geralmente de mãos dadas com a verificação dos dados da mensagem. Plano para procedimentos de backup, resposta a um acontecimento imprevisto e recuperação após uma contingência. No contexto TI, é geralmente usado como uma expressão para o facto de que foram revelados dados , a informação ou os mecanismos que devem ser escondidos na base de políticas e medidas técnicas. Um sistema de software desenvolvido no início de 1990 por um consórcio que incluía Apollo Computer (mais tarde parte da Hewlett -Packard), IBM, Digital Equipment Corporation, e outros. O DCE fornece uma estrutura e conjunto de ferramentas para desenvolvimento de aplicações cliente/servidor. A computação distribuída, ou sistema distribuído, é uma referência à computação paralela e descentralizada, realizada por dois ou mais computadores conectados através de uma rede, cujo objetivo é concluir uma tarefa em comum. (wiki) Pg. 27/85 Negação de serviço distribuída (DDoS) Documento Distributed denial of service (DDoS) Document nome de domínio Domain name Registro de nomes de domínio Domain name registry Sistema de nomes de domínio (DNS) Domain name system (DNS) Extensão da segurança do sistema de nomes de Domínio (DNSSEC ) Domain name system security extensions (DNSSEC) Distributed denial of service is the technique of attack by many coordinated attackers on the internet services or pages resulting in flooding by requests or breakdown or unfunctionality or unavailability of the system for other users. Information in a readable form. Document may be in a paper form or an electronic form as for example specification of policies, service level agreement, incident record or diagram of the computer room arrangement. See also Record. Name to identify a computer, equipment or service in the network (including the internet). Example of a domain name: www.afcea.cz. A database of all domain names registered in a top-level domain or second-level domain extension. Distributed hierarchical name system used on the Internet network. It translates domain names into numerical IP addresses and back, contains information about which machines provide the relevant service (e.g. accepts electronic mail or show the content of web pages). Set of specifications which enable the security of information provided to DNS by a system in IP networks (Internet, for example). DNSSEC uses asymmetric encryption (one key for encryption and the second one for decryption). The owner of the domain which uses DNSSEC generates both the private and the public key. Using its private key it then electronically signs technical data about the domain which are then input into DNS. Using the public key which is É a técnica de ataque realizado por muitos atacantes simultaneanente coordenados sobre os serviços de internet ou páginas, resultando numa inundação (saturação) por solicitações ou degradação ou disfuncionalidade ou indisponibilidade do sistema para outros utilizadores. Informações numa forma legível (compreensível). O documento pode ser em forma de papel ou de um formulário eletrónico como por exemplo a especificação de políticas, acordo de nível de serviço, registro de incidente ou diagrama do arranjo sala de informática. Veja também Registo. Nome para identificar um computador, equipamento ou serviço na rede (incluindo a Internet). Exemplo de um nome de domínio: www.afceaportugal.pt. Uma base de dados de todos os nomes de domínio registrados num domínio de nível superior ou extensão de domínio de segundo nível. Sistema de nomes hierarquicamente distribuído utilizado na rede Internet. Traduz os nomes de domínio em endereços IP numéricos e por trás, contém informação sobre quais as máquinas que oferecem o serviço em questão (por exemplo, aceita correio eletrônico ou mostra o conteúdo de páginas web) . Conjunto de especificações que permitem a segurança das informações prestadas ao DNS por um sistema nas redes IP (Internet, por exemplo). DNSSEC utiliza criptografia assimétrica (uma chave para a encriptação e a segunda para a descodificação). O dono do domínio que usa DNSSEC gera tanto a chave privada como a pública. Usando sua chave privada, então assina (reconhece) eletronicamente os dados técnicos acerca dos domínios que são, de seguida, os dados de entrada em DNS. Utilizando a chave pública que é armazenada numa autoridade superior à do domínio, é possível verificar a autenticidade da assinatura. Um elevado Pg. 28/85 stored at an authority superior to the domain, it is possible to verify the authenticity of the signature. A number of large servers use DNSSEC at present. Servidor do Sistema de nomes de domínio (Servidor DNS) Ovo de Páscoa (Easter egg) Espionagem eficácia Eficiência Domain name system server (DNS server) Easter egg Eavesdropping Effectiveness Efficiency Distributed hierarchical name system used in the Internet network. It translates the names of domains to numerical IP addresses and back, contains information about which machines provide the relevant service (e.g. receive emails or show content of web applications) etc. Hidden and officially undocumented function or property of a computer program, DVD or CD. Mostly these are puns and jokes doing no harm, graphics symbols, animations, subtitles with authors' names and similar. This hidden function is not activated in the usual way (menu, key, etc.) but by an unorthodox combination of the usual user activities, pushing a mouse key on an unusual place, special sequence of keys, and so on. Often, eggs are hidden on the screen under "About" where these can be displayed by tapping on various parts of this panel while holding the key ALT and similar. Unauthorized catching of information. Scope in which planned activities are implemented and planned results are achieved. Relation between the achieved results and how well have the sources been used. número de servidores já usam DNSSEC no presente (AFCEA). DNSSEC é, no fundo, um padrão internacional que estende a tecnologia DNS. O que é adicionado por DNSSEC é um sistema de resolução de nomes mais seguro, reduzindo o risco de manipulação de dados e domínios forjados, fazendo recurso a um mecanismo baseado na tecnologia de criptografia que emprega assinaturas (wik). Sistema de nomes hierarquicamente distribuído utilizado na rede de Internet. Ele traduz os nomes de domínios para endereços numéricos IP e por de trás, contém informações acerca de quais as máquinas que oferecem o serviço em questão (por exemplo, receber e-mails ou mostrar o conteúdo de aplicações web), etc Função escondida e oficialmente não documentado ou propriedade de um programa de computador, DVD ou CD. Maioritariamente são trocadilhos e piadas que não fazem mal nenhum , símbolos gráficos , animações , legendas com os nomes dos autores e similares. Esta função oculta não é ativado da maneira usual (menu , chave, etc), mas por uma combinação pouco convencional das atividades dos utilizadores habituais, pressionar um botão do mouse num lugar incomum, sequência especial de chaves, e assim por diante . Muitas vezes, os ovos são escondidos a tela debaixo de "Sobre ", onde estes podem ser exibidas clicando em várias partes do painel , mantendo a tecla ALT e similar. Captura não autorizada de informação. Âmbito em que as atividades planeadas são implementadas e os resultados planeados são alcançados. Relação entre os resultados alcançados e quão bem têm sido as fontes utilizadas. Pg. 29/85 Ataque eletrônico Electronic attack Serviço de comunicações eletrónicas Electronic communication service Defesa eletrônica Electronic defense Correio eletrônico (E- mail) Electronic mail (E-mail) Meios eletrónicos Electronic means Use of electromagnetic energy for the purposes of an attack. Includes weapons with directed energy, high-power microwave and electromagnetic pulses and RF equipment. Service usually provided for a fee which consists wholly or predominantly of signal transmission over electronic communication networks, including telecommunication services and transmission services in networks used for radio and television broadcast and networks for cable television, excluding services which provide content using the networks and services of electronic communications or have editing supervision of the content transmitted over the networks and provided services of electronic communications; it does not include services of the information society which do not rest wholly or predominantly on the transmission of signals over networks of electronic communications. Use of electromagnetic energy to provide protection and to secure useful utilization of the electromagnetic spectrum (includes protection of forces, spaces, etc.). Text, voice or picture message sent using public network of electronic communications which can be stored in the network or enduser terminal until collected by the user. Primarily a network of electronic communications, electronic communication equipment, terminals, automatic call and Uso de energia eletromagnética para efeitos de um ataque. Inclui armas com energia dirigida, micro-ondas de alta potência e impulsos eletromagnéticos e equipamentos de RF. Serviço normalmente fornecido por uma taxa , que consiste total ou predominantemente de transmissão de sinais através de redes de comunicações eletrónicas, incluindo os serviços de telecomunicações e serviços de transmissão em redes utilizadas para a transmissão de rádio e televisão e redes de televisão por cabo , excluindo os serviços que fornecem conteúdo usando as redes e serviços de comunicações eletrónicas ou ter supervisão da edição de conteúdos transmitido por meio das redes e dos serviços prestados de comunicações eletrónicas , o que não inclui os serviços da Sociedade da Informação que não incumbe exclusiva ou predominantemente na transmissão de sinais através de redes de comunicações eletrónicas. Uso de energia eletromagnética para fornecer proteção e garantir boa utilização do espectro eletromagnético (inclui a proteção de forças, de espaços, etc.) Mensagem de texto, voz ou imagem enviada usando a rede pública de comunicações eletrónicas a qual pode ser armazenada na rede ou no terminal do utilizador final até serem recolhidas pelo utilizador. Principalmente uma rede de comunicações eletrónicas, equipamentos de comunicação eletrônica, terminais, sistemas de atendimento e comunicação automática, telecomunicações e correio eletrônico. Pg. 30/85 Assinatura eletrônica Guerra eletrônica Electronic signature Electronic warfare Elemento da infraestrutura crítica Element of the critical infrastructure Emulação Emulation Criptografar Encryption Entidade / autenticação de identidade armadilha Entity / identity Authentication Entrapment communication systems, telecommunication and electronic mail. See Digital signature. Military activity using electromagnetic energy in support of offensive and defensive actions in order to achieve offensive and defensive supremacy. This means engaging in fighting in the environment using electromagnetic radiation. It is a separate discipline but as one of the elements it support cyber security within NNEC. Building, equipment, device or public infrastructure in particular, determined using the cross-criteria and sector criteria; if the element in the critical infrastructure is a part of the European critical infrastructure, it is considered to be an element of the European critical infrastructure. Use of a data processing system to emulate another data processing system; emulating system receives the same data, runs the same programs and exhibits the same results as the emulated system. Cryptographic transformation of data, also the science about methods of hiding the meaning of messages by a transformation into a form which is readable with special knowledge only. Execution of tests making it possible for a data processing system to recognize and authenticate the entity. Intentional placement of obvious defects into a data processing system in order to detect Veja assinatura digital. Atividade militar usando a energia eletromagnética em apoio das ações ofensivas e defensivas com vista a alcançar a supremacia ofensiva e defensiva. Isso significa empenhar-se em combate num ambiente utilizando radiação eletromagnética. É uma disciplina separada mas também um dos elementos que suporta a cibersegurança dentro da NNEC. Construção, equipamento, o dispositivo de infraestrutura ou público, em especial , determinados usando os critérios cruzadas (de interdependência) e critérios de sector e, se o elemento crítico na infraestrutura faz parte da infraestrutura crítica europeia , é considerado ser um elemento de infraestrutura crítica europeia. Utilização de um sistema de processamento de dados para emular um outro sistema de processamento de dados, sistema de emulamento recebe os mesmos dados, executa os mesmos programas e apresenta os mesmos resultados que o sistema emulado. Transformação criptográfica de dados. Ciência sobre os métodos de esconder o significado de mensagens por uma transformação para uma forma que possa ser lida apenas com conhecimento especial. Execução dos testes que torna possível para um sistema de processamento de dados reconhecer e autenticar a entidade. Colocação intencional de defeitos óbvios dentro de um sistema de processamento de dados , a fim de detetar Pg. 31/85 penetration attempts, or to deceive an adversary who should use the defect. Establishing the limits of external and internal parameters to be taken into account during risk management and setting of the risk validity ranges and risk criteria for the risk management policy. Critical infrastructure in the territory of a any European country whose infringement would result in a serious impact also on another member of the European union. tentativas de penetração , ou de enganar um adversário que tenha de usar por defeito. European network and information security agency (ENISA) Agency founded in 2004 by the European Union as a cooperative centre in the area of network and information security. Its role is to create an information platform for the exchange of information, knowledge and "best practices" and thus help EU, its member states, private sector and the public in the prevention and solutions of security problems. Agência fundada em 2004 pela União Europeia como um centro de cooperação na área de rede e segurança da informação. Seu papel é criar uma plataforma de informação para a troca de informações, conhecimento e "melhores práticas" e, assim, ajudar a União Europeia, os seus Estados membros, o setor privado e o público na prevenção e solução de problemas de segurança. Evento Event Explorar Exploit Occurrence or change of a certain set of circumstances. (1) Error, or an error in a program, software, command sequence, or a code enabling a user to use programs, computers or systems unexpectably or in an unauthorized way. (2) Also a security hole or a case using a security hole. Possibility that a concrete attack would use a specific vulnerability of a data processing system. External environment where an organization strives to achieve its objectives. Analogy of the intranet, available however on a Ocorrência ou mudança de um determinado conjunto de circunstâncias. (1 ) Erro ou um erro num programa, software, sequência de comandos, ou um código que permita que o utilizador utilize programas, computadores ou sistemas não expetáveis ou de forma não autorizada. (2) Além disso, um buraco de segurança ou um caso usando uma brecha na segurança . Estabelecendo o contexto Infra-estrutura crítica europeia Agência Europeia de Segurança da Rede e da Informação (ENISA ) exposição Contexto externo Extranet Establishing the context European critical infrastructure Exposure External context Extranet Estabelecer os limites de parâmetros externos e internos a serem levados em consideração durante a gestão de riscos e definição das faixas de validade de risco e critérios de risco para a política de gestão de riscos. Infraestruturas críticas no território nacional cuja violação resultaria num sério impato também noutro estado-membro da União Europeia. A possibilidade de que um ataque concreto usaria uma vulnerabilidade específico de um sistema de processamento de dados. Ambiente externo onde uma organização se esforça para alcançar seus objetivos. Analogia da intranet, disponível, porém, numa maior escala do que para as necessidades internas, mas só está totalmente Pg. 32/85 failover acesso falhado Ficheiros Failover Failure access File Proteção de arquivos File protection Sistema de arquivos File system Protocolo de transferência de ficheiros (FTP) Firewall File transfer protocol (FTP) Firewall larger scale than for internal needs only but fully public – for example, for business partners or foreign branches. Automatic switch to a backup system or process at the instant of failure of the previous one in order to achieve a very short time of outage and increase in reliability. Unauthorized and usually unintentional access to data in a data processing system which is the result of hardware or software failure. General named set of data. It can be a document, multimedia data, database or practically any other content, which the user or software may find useful to have permanently available under a concrete name. Implementation of suitable administrative, technological or physical means for the protection against unauthorized access, modification or erasure of a file. Method of organization and storage of data in the form of files so that access to them would be easy. File systems are stored on a suitable type of electronic memory which can be located directly in the computer (hard disc) or can be made accessible using a computer network. An Internet standard (RFC 959) for transferring files between a client and a server. público - por exemplo, para os parceiros de negócios ou filiais estrangeiras. Comprehensive system of security measures which should prevent unauthorized electronic access to a computer or concrete services in the network. Also, a system of devices or set of devices, which could be configured in such a Sistema abrangente de medidas de segurança que devem impedir o acesso eletrônico não autorizado a um computador ou serviços específicos na rede. Além disso, é um sistema ou conjunto de dispositivos, que podem ser configurados de modo a permitir, proibir, criptografar ou descriptografar ou agir como um mediador (proxy) para todas as comunicações entre Pg. 33/85 Interruptor automático para um sistema de cópia de segurança ou processo no instante de fracasso do anterior, a fim de garantir curtos tempo de quebra e aumento da fiabilidade. O acesso não autorizado e geralmente não intencional a dados num sistema de processamento de dados o qual é o resultado de falha de hardware ou de software. Geralmente nomeado conjunto de dados. Ele pode ser um documento, dados multimídia, base de dados ou praticamente qualquer outro conteúdo que o utilizador ou o software pode achar útil ter permanentemente disponíveis sob um nome concreto. Implementação de meios adequados administrativos, tecnológicos ou físicos para proteção contra acesso não autorizado, alteração ou o eliminação de um ficheiro. Método de organização e armazenamento de dados na forma de arquivos /ficheiros de modo que o acesso a eles seja fácil. Os sistemas de arquivos são armazenados num tipo o de memória eletrônica adequado que pode ser colocado diretamente no computador ( disco rígido) ou pode ser acessível através de uma rede de computador. Uma norma de Internet (RFC 959) para transferir arquivos entre um cliente e um servidor. firmware Falha / brecha inundação Firmware Flaw / loophole Flooding A análise forense / investigação Forensic analysis / investigation Fórum de resposta a incidentes e equipes de segurança (FIRST) Forum for incident response and security teams (FIRST) Freeware Gratuito (Licença gratuita de Software ??) TLD genéricos Inundação de tráfego genérico GNU / GPL Generic TLD Generic traffic flood GNU / GPL way as to allow, forbid, encrypt, decrypt or act as a mediator (proxy) for all computer communications among various security domains, based on a set of rules and other criteria. Firewall can be implemented as hardware or software, or a combination of both. Program controlling hardware. Operational dysfunction, omission, or oversight making it possible to bypass protective mechanisms or put them out of action. Accidental or intentional insertion of a large volume of data resulting in a service denial. Analysis used on digital data to obtain proofs about the activities of users (attackers) in the area of information and communication technologies. Worldwide organization uniting about 200 workplaces of the CSIRT/CERT type. computadores em diferentes domínios de segurança, com base num conjunto de regras e outros critérios. Firewall pode ser implementada como hardware ou software, ou uma combinação de ambos. Proprietary software usually distributed free (or for a symbolic reward). We speak sometimes about a kind of software license. Conditions for the free use and distribution are defined in the license agreement. The author of the freeware usually retains the copyright. See TLD. Form of a DDoS attack. Software proprietário normalmente distribuído gratuitamente (ou por uma recompensa simbólica). Falamos algumas vezes acerca de um tipo de licença de software. As condições para a utilização e distribuição gratuita são definidos no contrato de licença. O autor de o freeware geralmente mantém os direitos autorais. General public license GNU – licence for free Licença Pública Geral GNU - licença para software livre requerendo que as criações relacionadas estão disponíveis Pg. 34/85 Programa de controlo de hardware. Disfunção operacional, omissão ou descuido fazendo o possível para contornar os mecanismos de proteção ou colocá-los fora de ação. Inserção acidental ou intencional de um grande volume de dados resultando numa negação de serviço. Análise usada em dados digitais para obter provas sobre as atividades dos utilizadores (atacantes) na área das tecnologias de informação e comunicação. Organização mundial que une cerca de 200 locais de trabalho do tipo de CSIRT/CERT. Veja TLD. Forma de um ataque DDoS GNU Privacy Guard (GPG ) Governo/governança GNU privacy guard (GPG) Governance chapéu cinzento Grey hat Diretriz Guideline Hack / hack Hacking / Hacking Hacker Hack / Hacking Hack / Hacking Hacker software requesting that related creations be available under the same licence. Free version of PGP. See PGP. sob a mesma licença . Making sure that security policies and strategies be really implemented and that the required processes be correctly adhered to. An individual who according to the activity stands between White hat and Black hat hackers, since the individual abuses security weakness of systems or a product in order to publicly draw attention to their vulnerability. However, publicizing these sensitive information may be an opportunity to persons of the Black hat character to commit criminal acts. (Binding) recommendation of what is expected to be done in order to achieve a certain target. Often used in the sense under the entry Crack. The second usual use is in the sense of a fitting, unusual, witty, or fast solution of a programming or administrative issue. Person: (1) who engages in the study and analysis of details of programmable systems most often for an intellectual inquisitiveness and keeps on improving this ability (White hat); (2) who enjoys programming and who programs well and fast; (3) who is an expert for a certain operating system or a program, e.g. UNIX. The idea of Hacker is often improperly used for persons who abuse their knowledge during breaking into an information system and thus Certificar-se de que as políticas e estratégias de segurança estejam realmente implementadas e que os processos necessários sejam corretamente seguidos. Versão gratuita do PGP. Veja PGP. Indivíduo que de acordo com a atividade fica entre hackers de chapéu branco (white hat) e chapéu preto (black hat), visto que o indivíduo abusa de fraquezas de segurança dos sistemas ou de um produto com vista a chamar a atenção do público para a sua vulnerabilidade. No entanto, a divulgação dessas informações sigilosas pode ser uma oportunidade para as pessoas do perfil chapéu preto cometerem atos criminosos. (Binding) Recomendação do que esperado ser feito de modo a atingir um determinado alvo. Muitas vezes usado num sentido sob a lógica de crack. O segundo uso mais comum é no sentido de uma solução adequada, incomum, gracioso/generosa, ou de rápida solução de uma questão de programação ou de ordem administrativa. Pessoa: (1) que se ocupa do estudo e análise de detalhes de sistemas programáveis na maioria das vezes por uma curiosidade intelectual e para continua a melhorar essa capacidade (chapéu branco), (2) que gosta de programação e que programa bem e rápido, (3) que é um especialista para um determinado sistema operacional ou um programa, por exemplo, UNIX. A ideia de Hacker é muitas vezes usado indevidamente por pessoas que abusam de seus conhecimentos durante a intrusão (invasão) num sistema de informação e, assim, quebra a lei. Veja Cracker . Pg. 35/85 Hackers para aluguer (H4H) Hackers for hire (H4H) hacktivismo Hactivism hardware Hardware Secretária de ajuda; Help desk Help desk Crime de alta tecnologia High-tech crime break the law. See Cracker. Acronym for hackers who offer their services to other criminal, terrorist or extremist groups (hired hackers). Use of hacker skills and techniques to achieve political objectives and to support political ideology. Physical components of a system (equipment) or their parts (e.g. a computer, printer, peripheral devices). Online (as a rule, telephone) service offered by an automated information system and through which users can get help for using shared or specialized services of the system. Criminal activity focused on advanced technology as the objective, means or instrument of the criminal act perpetrator (often it is also the activity which could be labeled as "computer" or "information" criminality). In essence, in all of these versions it may be a very diverse mixture of activities when concrete technology may be the item of interest, the object (environment), or the instrument for the act. This can, as the final consequence, lead to the approach when the above-mentioned set of principles is considered: (1) rather broadly ("any criminal or otherwise harmful activity with the elements of computing technology"), including the case when, for example, a computer system is used for money or stock counterfeiting; (2) rather Acrónimo para hackers que oferecem seus serviços a outros grupos criminosos, terroristas ou extremistas (hackers contratados). O uso de competências (habilidades) hacker e de técnicas para atingir objetivos políticos e apoiar ideologia (ou ideiais) política. Componentes físicos de um sistema (equipamento) ou suas partes (por exemplo, um computador, impressora, dispositivos periféricos) . Serviço on-line oferecido (como regra , telefone) por um sistema de informação automatizado e através do qual os utilizadores podem obter ajuda para a utilização de serviços partilhados ou especializado do sistema . Atividade criminosa que está focada em tecnologia avançada como objetivo, meio ou instrumento do ato criminoso do agressor (muitas vezes também é a atividade que poderia ser rotulada como criminalidade de "computador" ou de "informação"). Na essência, em todas essas versões, pode ser uma mistura muito diversa de atividades em que a tecnologia, em concreto, pode ser o item de interesse, o objeto (meio ambiente) , ou o instrumento para o ato . Isto pode, como consequência final, conduzir a uma abordagem em que o conjunto de princípios acima mencionado é considerado: (1 ) um pouco amplo ( " qualquer atividade criminosa ou de outra forma de atividade prejudicial com os elementos de tecnologia de computação"), incluindo o caso quando, por exemplo, um sistema de computador é usado por dinheiro ou para açõesde falsificação , (2 ) mais do que aquela visão estrita são atos cometidos/dirigidos contra as tecnologias de informação , que não podem ser cometidos por qualquer outro meio , nem contra qualquer outro alvo. Pg. 36/85 brincadeira Pote de mel; honeypot Hoax Honeypot Protocolo de transferência de hipertexto (HTTP) Hypertext transfer protocol (HTTP) Protocolo de transferência de hipertexto seguro (HTTPS) Hypertext transfer protocol secure (HTTPS) inundação ICMP ICMP flood narrowly that is as acts committed against information technologies, which cannot be committed by any other means nor against any other target. It tries to create an impression of trustworthiness by its content. It informs, for example, about the spread of viruses or it inveighs against the social feeling of the addressee. It may contain harmful code or a link to internet pages with harmful content. Serves as a bait luring the attacker (malware) and after trapping a potentionally dangerous software there is an automatic analysis. An application protocol for distributed, collaborative, hypermedia information systems. HTTP is the foundation of data communication for the World Wide Web. A widely used communications protocol for secure communication over a computer network, with especially wide deployment on the Internet. Technically, it is not a protocol in and of itself; rather, it is the result of simply layering the Hypertext Transfer Protocol (HTTP) on top of the SSL/TLS protocol, thus adding the security capabilities of SSL/TLS to standard HTTP communications. An attack using the ICMP protocol. Most often used are ICMP echo (Ping) packets which serve to establish if the remote (target) equipment is available. Sending out a large number of these ICMP messages (or large ICMP echo packets) Tenta criar uma impressão de confiança pelo seu conteúdo. Informa, por exemplo, sobre a propagação do vírus ou censura o sentimento social do destinatário. Ele pode conter código nocivo ou um link para páginas da Internet com conteúdos nocivos. Serve como uma isca para atrair o atacante (malware) e depois ao prender um software potencialmente perigoso, há uma análise automática. Um protocolo de aplicação para sistemas de informação de hipermédia, distribuídos e colaborativos . HTTP é a base da comunicação de dados para a World Wide Web (www) . Um protocolo de comunicações largamente utilizado para comunicação segura através de uma rede de computadores, especialmente com grande implantação na Internet. Tecnicamente, não é um protocolo em si, mas é o resultado de simplesmente mergulhar o Hypertext Transfer Protocol (HTTP) por cima do protocolo SSL / TLS, adicionando assim as capacidades de segurança SSL / TLS em comunicações HTTP padrão. Um ataque usando o protocolo ICMP. Na maioria das vezes são usados de eco ICMP (ping ) , que servem para estabelecer se o equipamento remoto (alvo) está disponível. O envio de um grande número dessas mensagens ICMP ( ou grandes pacotes de eco ICMP) pode resultar em entupimento do sistema remoto e sua desaceleração ou indisponibilidade Pg. 37/85 identificação Identification Identificador Identifier Identidade Identity Token de identidade Validação de identidade Identity token Identity validation impacto impact Incidente Incident Info- crime Info-crime Informação Information may result in clogging the remote system and its slowdown or total unavailability. This is a simply executed attack of the DDoS type. Act or process during which an entity submits an identifier to the system and on its basis the system can recognize the entity and differentiate it from other entities. Identity information that unambiguously distinguishes one entity from another one in a given domain. Set of attributes which uniquely define a definite object – a thing, person, and event. Token used to find out and verify (authenticate) the identity. Execution of tests enabling a system to recognize and validate entities on the basis of data processing. (1) Adverse change in the attained degree of objectives. (2) Consequences of a certain act or event. Incident in the ICT environment assumed to be an event which is usually related to the outage of a network, service, or to a deterioration of its quality. Criminal activity with a determined relation to software, data, more precisely to stored information, more precisely all activities resulting in unauthorized reading, handling, erasing, abusing, changing or other data interpreting. Any sign expression which makes sense for the total. Este é um ataque executado simplesmente do tipo DDoS Ato ou o processo durante o qual uma entidade envia um identificador para o sistema e sobre a sua base o sistema pode reconhecer e diferenciar a entidade de outras entidades. Informação da identidade que de forma inequívoca que distingue uma pessoa de outra num dado domínio. Conjunto de atributos que definem exclusivamente um objeto definido - uma coisa, pessoa, e evento. Token usado para descobrir e verificar (autenticar) a identidade. Execução de testes que permitam a um sistema reconhecer e validar as entidades na base no processamento de dados. (1) alteração adversa no grau alcançado de objetivos. (2) consequências de um determinado ato ou evento. Incidente no ambiente de TIC assumido como um evento que geralmente está relacionado à falta de uma rede, serviço ou a uma deterioração da sua qualidade. Atividade criminosa em relação a determinado software, dados , mais precisamente a informação armazenada , mais precisamente todas as atividades resultando de leitura não autorizada, manipulação , apagamento, abuso, alteração ou outros dados de interpretação. Qualquer expressão de sinal que faz sentido para o comunicador e recetor. Pg. 38/85 sociedade da (ciber) Informação Information (cyber) society Tecnologia de informação e comunicação (TIC) Information and communication technology (ICT) Ativo de informação Information asset Garntia da informação Operação da Informação ( IO ) Information assurance Information operation (IO) communicator and receiver. Society capable of utilizing, and indeed utilizing, information and communication technologies. The basis is an incessant exchange of knowledge and information and handling them under the assumption of understanding these. This society considers creation, distribution and manipulation of information as the most significant economic and cultural activity. Under information and communication technology we understand all technology dealing with processing and transfer of information, in particular computing and communication technology and software. Knowledge and data of value (importance) to an organization. Set of measures to achieve the required level of confidence in the protection of communication, information and other electronic as well nonelectronic systems and information stored, processed or transferred in these systems with regard to confidentiality, integrity, availability, undeniability and authenticity. Planned, goal-oriented and coordinated activity done in support of political and military objectives of an operation, to influence the decision-making process of a possible adversary and its allies by affecting its information, information processes and communication infrastructure and at the same using information and protection for own information and communication infrastructure. IO is Sociedade capaz de utilizar e, que de fato utiliza tecnologias de comunicação e informação. A base é uma troca incessante de conhecimento e informação e manuseá-los sob a suposição de compreender isso. Esta sociedade considera a criação, distribuição e manipulação da informação como mais significativa atividade econômica e cultural. Sob a Tecnologia da informação e comunicação entende-se como toda a tecnologia lidando com o processamento e transferência de informações, em particular computação e tecnologia de comunicação e software Conhecimentos e dados de valor (importância) para uma organização. Conjunto de medidas para atingir o nível necessário de confiança na proteção de comunicação, informação e outros eletrônicos e também sistemas não -eletrônicos e informações armazenados, processados ou transferidos nesses sistemas no que diz respeito à confidencialidade, integridade , disponibilidade e autenticidade incontestabilidade . Atividade planeada, orientada a metas e coordenada feito em apoio de objetivos políticos e militares de uma operação, para influenciar o processo de tomada de decisão de um possível adversário e seus aliados, afetando sua informação, os processos de informação e infra-estrutura de comunicação e, ao mesmo utilizando informações e proteção para o própria infraestrutura de informação e comunicação. IO é exclusivamente uma atividade militar que tem de coordenar as atividades de informações militares com o objetivo de influenciar o pensamento (vontade), a compreensão e as capacidades do adversário ou potencial adversário. Todas as Pg. 39/85 Information processing facilities Instalações de processamento de informações Segurança da informação Information security evento de segurança da informação Information security event Gestão de incidentes de segurança da informação Information security incident management Gestão de incidentes de segurança da informação Information security incident management Sistema de Gestão de Segurança da Informação (SGSI) Information security management system (ISMS) Risco de segurança da Information security exclusively a military activity which has to coordinate military information activities with the objective of influencing the thinking (will), understanding and capabilities of the adversary or potential adversary. All information activities should be conducted in line with the objectives of the military operation and to support them at the same time. Any system, service or infrastructure processing information, or the localities of their placement. atividades de informação deve ser realizada em consonância com os objetivos da operação militar e para apoiá-los ao mesmo tempo. Security (protection) of confidentiality, integrity and availability of information. Identified occurrence of a state of the system, service or network noting a possible breaking of policy, information security or a failure of measures or of formerly unknown situation which could be important for security. Processes for detection, reporting and assessing of security incidents, response to security incidents, handling and learning from security incidents. Processes for detection, reporting and assessing of security incidents, response to security incidents, handling and learning from security incidents. Part of the management system, based on the attitude towards security risks, definition, implementation, operation, monitoring, reanalysing, administration and improvement of information security. Aggregate of possibilities that a threat would Proteção de confidencialidade, integridade e disponibilidade da informação. Qualquer sistema, serviço ou infra-estrutura de processamento de informações, ou as localidades de sua colocação. Ocorrência identificada de um estado de sistema, serviço ou rede observando uma possível quebra da política de segurança da informação ou de falha de medidas ou de situação anteriormente desconhecida que possa ser importante para a segurança. Processos para a deteção, relato e avaliação de incidentes de segurança , resposta a incidentes de segurança , manuseio e aprendizagem com os incidentes de segurança . Processos para a deteção, notificação e avaliação de incidentes de segurança, resposta a incidentes de segurança, manuseio e aprendizagem a partir dos incidentes de segurança Parte do sistema de gestão, baseado na atitude em relação a riscos de segurança, definição, implementação , operação, monitoramento , re-análise, administração e melhoria da segurança da informação. Agregado de possibilidades em que uma ameaça utilizará o Pg. 40/85 informação risk Ameaça à segurança da informação Information security threat Serviço da sociedade da informação Information society service Sistema de informação Information system Guerra de informação Information warfare utilize the vulnerability of an asset or group of assets and thus cause damage to an organization. Potential cause of an undesirable event which may result in a damage to system and its assets, e.g. destroying, undesired accessing (compromising), data modification or inaccessibility of services. Any service provided by electronic means at the individual request of a user and put in by electronic means, usually provided for a fee. The service is provided by electronic means if it is sent by means of an electronic communication network and picked up by the user from electronic equipment for data storage. (1) A functional aggregate enabling goaloriented and systematic acquisition, processing, storage and access to information and data. Includes data and information sources, mediums, hardware, software and utilities, technologies and procedures, related standards and employees; (2) A complex of elements existing in mutual interaction (L. von Bertallanfy, 1956). Integrated use of all military capabilities including information security, deception, psychological operations, electronic warfare and destruction. All forms of reconnaissance, communication and information systems contribute to it. The objective of information vulnerabilidade de um ativo ou grupo de ativos e, assim, causar danos a uma organização. Causa potencial de um evento indesejável que pode resultar num dano para o sistema e seus ativos, por exemplo, destruição, acesso indesejado (comprometimento), modificação de dados ou inacessibilidade dos serviços. Qualquer serviço prestado por via eletrónica, a pedido individual de um utilizador e colocado por meios eletrónicos , geralmente fornecidos mediante uma taxa . O serviço é fornecido por meio eletrônico se for enviado por meio de uma rede de comunicações eletrónicas e recolhido/obtido pelo utilizador a partir de equipamentos eletrônicos para armazenamento de dados . (1) Um agregado funcional capacitando orientação a metas e aquisição sistemática, processamento, armazenamento e acesso à informação e dados. Inclui dados e fontes de informação, meios, hardware, software e utilidades (serviços), tecnologias e procedimentos, normas afins e funcionários; (2) Um complexo de elementos existentes em interação mútua (L. von Bertallanfy , 1956) . Uso integrado de todas as capacidades militares, incluindo a segurança da informação, decepção , operações psicológicas , guerra eletrônica e destruição. Todas as formas de sistemas de reconhecimento, de informação e comunicação contribuem para isso. O objetivo da guerra de informação é colocar obstáculos no fluxo de informação, influência e diminuição de eficiência ou liquidar "o sistema de comando e controle do Pg. 41/85 Informatização da sociedade INFOSEC (Segurança da informação) Infoware informante Informatisation of society INFOSEC (Information security) Infoware Insider warfare is to put obstacles in the flow of information, influence and decrease efficiency or liquidate 'the system of command and control of the adversary, and at the same time to protect own systems of command and control from similar actions of the adversary. Process of promoting new literacy in a society focused on adopting new methods of work with computers, information and information technology. Implementation of general security measures and procedures for: (1) protection of information against loss or compromise (loss of confidentiality, integrity and reliability), or as the case may be for their detection and adoption of remedial actions. (2) Continuation of information accessibility and ability to work with them within the scope of functional rights. Measures INFOSEC cover security of computers, transmission, emissions and encryption security and exposing threats to facts and systems and prevention thereof. Application for the automatic support of classical battle events, more precisely a set of activities serving to protect, mine out, damage, supress or destroy information or information sources, with the objective of achieving a significant advantage in a battle or victory over a concrete adversary. The notion of Infoware must not be mistaken with the notion Infowar that is information war. Dangerous user (employee, intern) who abuses a legal access to the communication and adversário, e ao mesmo tempo proteger seus próprios sistemas de comando e controle de ações semelhantes do adversário. Processo de promoção de uma nova literacia numa sociedade centrada (focada) na adoção de novos métodos de trabalho com tecnologia de computadores , informações e informações. Implementação de medidas e procedimentos de segurança em geral: (1) proteção das informações contra perda ou comprometimento (perda de confidencialidade, integridade e confiabilidade), ou para a sua deteção e adoção de ações corretivas. (2) Continuação do acesso à informação e a capacidade de trabalhar com eles no âmbito dos direitos funcionais. Medidas INFOSEC cobrem segurança de computadores, transmissão, emissões e segurança de encriptação e expondo as ameaças a factos e sistemas e prevenção dos mesmos. Aplicação para apoio automático de eventos de batalha clássica, mais precisamente um conjunto de atividades servindo para proteger , explorar, danificar , suprimir ou destruir informações ou fontes de informação, com o objetivo de alcançar uma vantagem significativa em uma batalha ou uma vitória sobre um adversário concreto . A noção de Infoware não deve ser confundido com a noção de Infowar que é guerra de informação. Utilizador perigoso ( empregado , estagiário ) que abusa de um acesso legal ao sistema de comunicação e informação de Pg. 42/85 Integridade Parte interessada Interface Contexto interno Grupo interno Internet Autoridade de Afetação dos Números da Internet (Internet Assigned Numbers Authority, IANA) Integrity Interested party Interface Internal context Internal group Internet Internet assigned numbers authority (IANA) information system of an organization, in particular in order to perform unauthorized pilferage of sensitive data and information. Attribute of protection for accuracy and completeness of assets. Subject having an interest in the efficiency or success of an organization. Location and mode of interconnecting systems or their parts. Internal environment where an organization strives to achieve its objectives. Part of an organization of a service provider which has concluded a documented contract with the service provider about its share in the design, handover, delivery and improvement of a service or services. Global system of interconnected computer networks which use the standard internet protocol (TCP/IP). Internet serves billions of users around the world. It is a network of networks consisting of millions of private, public, academic, commercial and government networks, with a local to global outreach, that are all interconnected by a wide range of electronic, wireless and optical network technologies. Authority oversseing IP address assignment, administration of DNS zones (assignment of TLD domains and the creation of generic domains) and the administration and development of internet protocols. At present, IANA is one of the departments of the ICANN organization. uma organização, em particular , a fim de realizar furtos (não autorizada) de dados confidenciais e informação . Atributo de proteção pela exatidão e integridade de ativos. Sujeito que tem interesse na eficiência ou sucesso de uma organização. Localização e modo de sistemas de interconexão ou de suas partes . Ambiente interno onde uma organização se esforça para encontrar seus objetivos. Parte de uma organização de um prestador de serviços que tenha celebrado um contrato documentado com o fornecedor de serviços sobre a sua participação no projeto, entrega (handover), entrega e melhoria de um serviço ou serviços. Sistema global de redes de computadores interligados que utilizam o protocolo padrão da Internet (TCP / IP). A Internet serve milhares de milhões de utilizadores em todo o mundo. É uma rede de redes que consiste de milhões de redes públicas, académicas, comerciais e governamentais privadas, com um local de alcance global, que estão todos interligados por uma ampla gama de tecnologias de rede eletrônica, sem fio e ópticas. Autoridade encarregue da atribuição de endereço IP, a administração de zonas DNS (atribuição de domínios TLD e a criação de domínios genéricos) e a administração e desenvolvimento de protocolos de internet. No momento, IANA é um dos departamentos da organização ICANN. Pg. 43/85 Protocolo de Controlo de Mensagens na Internet (ICMP) Organização da internet para Atribuição de Nomes e Números (ICANN) Protocolo de Internet (IP) Internet Relay Chat (IRC) Segurança na Internet Internet control message protocol (ICMP) This is a service protocol which is part of the IP protocol. Its main mission is to report error messages regarding the availability of services, computers or routers. For these purposes, ping or tracerout instruments are used, for example. Internet corporation Non-profit organization responsible for the for assigned names administration of domain names assignment as and numbers well IP adresses, for the maintenance of (ICANN) operational stability of internet, support of economic competition, achievement of broad representation of the global internet community, and which develops its mission by a bottom-to-top management and consensual processes. Internet protocol (IP) Protocol by which all equipment in the Internet mutually communicate. Today, the most used is the fourth revision (IPv4); however, step by step there will be a transition to a newer version (IPv6). Internet relay chat Form of live (real-time) communication of text (IRC) messages (chat) or synchronous conferences. These are systems intended primarily for group communications in discussion forums, so-called channels, but it enables also one-to-one communication via a private message, as well as a chat and data transfer using direct clientto-client. Today, it is not used so much; it has been replaced by newer instruments such as Skype, ICQ or Jabber. Internet security Protection of confidentionality, integrity and accessibility of information in the Internet Este é um protocolo de serviço, que é parte do protocolo IP. Sua principal missão é apresentar mensagens de erro sobre a disponibilidade de serviços, computadores ou roteadores. Para estes fins são usados, por exemplo, os instrumentos de ping ou tracerout. Organização sem fins lucrativos responsável pela administração da atribuição de nomes de domínio bem como de endereços IP, para a manutenção da estabilidade operacional da internet, apoio da competição econômica, realização de uma ampla representação da comunidade global da Internet , e que desenvolve a sua missão por administração de baixo para cima (bottom-up) e processos consensuais . Protocolo pelo qual todos os equipamentos na Internet comunicam -se mutuamente. Hoje, o mais utilizado é a quarta revisão/versão (IPv4), no entanto, passo a passo, haverá uma transição para uma nova versão (IPv6), que começa a ter alguma expressão. Forma de comunicação em tempo real de mensagens de texto (chat, bate-papo) ou conferências síncronas. Estes são sistemas destinados especialmente para a comunicação de grupos em fóruns de discussão, os chamados canais , mas permite também comunicação de um para um (one-to-one) através de uma mensagem privada, bem como um bate-papo (chat) e a transferência de dados num uso direto de cliente para cliente. Hoje, não é tão usada, e estão sendo “substituído” por instrumentos mais recentes, como Skype , ICQ ou Jabber . Proteção da confidencialidade, integridade e acessibilidade da informação na rede Internet. Pg. 44/85 Provedor de serviços de Internet (ISP) Interoperability Intranet Internet service provider (ISP) Interoperability Intranet Sistema de deteção de intrusão (IDS) Intrusion detection system (IDS) Sistema de prevenção de intrusões ( IPS) Intrusion prevention system (IPS) Endereço IP IP address Spoofing IP IP spoofing network. Organization offering access to internet to its customers. Capability to act jointly in fulfilling set objectives, or the capability of systems, units or organizations to provide services to other systems, units or organizations and accept these from them and thus use shared services for an effective common activity. Private (internal) computer network using the classical Internet technology making it possible for employees of an organization to communicate effectively and share information. Technical system that is used to identify that an intrusion has been attempted, is occurring, or has occurred and possibly respond to intrusions in information systems and networks. Variant on intrusion detection systems that are specifically designed to provide an active response capability. Number which uniquely identifies a network interface which uses IP (internet protocol) and serves for the differentiation of interfaces connected in the computer network. At present, the most widespread version IPv4 uses a number of 32 bits written in decimal in groups of eight bits (e.g. 123.234.111.222). Substituting a spurious IP address on a device (a computer) which triggers connection (with a recipient) in order to hide the real sender. This technique is used particularly in attacks of DoS Organização que oferece acesso à internet aos seus clientes. Capacidade de agir em conjunto no cumprimento dos objetivos fixados, ou a capacidade de sistemas, unidades ou organizações para fornecer serviços a outros sistemas, unidades ou organizações e aceitar também dos deles e, assim, possibilitar o uso de serviços partilhados para uma atividade comum eficaz. Rede de computadores privada (interna), utilizando a tecnologia da Internet clássica, para tornar possível que os funcionários de uma organização se comuniquem efetivamente e compartilhem informações. Sistema técnico que é usado para identificar que uma intrusão tem sido tentada, está a ocorrer ou tem ocorrido e possivelmente responde a intrusões em sistemas de informação e redes. Variante nos sistemas de deteção de intrusão que são projetados/concebidos especificamente para fornecer uma capacidade de resposta ativa. Número que identifica de modo único um interface de rede que utiliza o protocolo IP (Internet Protocol) e que serve para a diferenciar os interfaces ligados na rede de computadores. Actualmente, o mais disseminado versão IPv4 (que começa dando lugar ao IPv6) utiliza um número de 32 bits escritos em decimal, em grupos de oito bits (por exemplo 123.234.111.222). Substituindo um endereço IP espúria num dispositivo ( computador ), que desencadeia a conexão (com um recetor) , a fim de esconder o verdadeiro remetente. Esta técnica é usada principalmente em ataques do tipo DoS . Pg. 45/85 Política de segurança de SI Projeto ISMS Rede de TI política de segurança de TI Sistema de TI autenticação da chave Keylogger ( keystroke logger ) type. IS security policy General purpose of management and direction in the control of information system security with the definition of criteria to assess risks. ISMS project Structured activities executed by an organization during the ISMS introduction. IT network Geographically distributed system formed by interconnected IT systems for information exchange and containing different components of the interconnected systems and their interfaces with data communication networks which complement them. IT security policy Rules, directives and practices deciding how are assets including sensitive information administered, protected and distributed inside the organization and its ICT systems. IT system Set of devices, methods, data, metadata, procedures and sometimes persons that is arranged so as to fulfil some functions during information processing Key authentication Process of verification that the public key truly belongs to that person. Keylogger (Keystroke Software reading when individual keys are logger) pushed; may however be regarded as a virus by an antivirus programme, in case of software it may be a certain form of spyware but there are even hardware keyloggers. It is often used for secret monitoring of all PC activities, is invisible for other users and protected by a password. It enables automatic logging of all keystrokes (written text, passwords, etc.), visits to www pages, chats and discussions over ICQ, MSN and Propósito geral da administração e direção no controle da segurança dos sistemas de informação com a definição de critérios para avaliar os riscos. Atividades estruturadas executado por uma organização durante a introdução ISMS. Sistema geograficamente distribuído formado por sistemas de TI interligados para troca de informações e contendo diferentes componentes dos sistemas interligados e suas interfaces com as redes de comunicação de dados que os complementam. Normas, diretrizes e práticas de decidir como são ativos, incluindo informações confidenciais administrados, protegidos e distribuídos dentro da organização e de seus sistemas de TIC. Conjunto de dispositivos, métodos, dados, metadados, procedimentos e às vezes as pessoas, que são organizados de modo a cumprir algumas funções durante o processamento de informação. Processo de verificação de que a chave pública realmente pertence a essa pessoa. Software que faz a leitura das teclas individuais (teclado) que são premidas. Pode, contudo, ser considerado como um vírus por um programa antivirus, no caso de software poder de uma certa forma ser um spyware mas há também keyloggers de hardware. Ele é frequentemente usado para monitorização secreta de todas as atividades do PC, é invisível para os outros utilizadores e protegido por uma senha (password). Ele permite registro automático de todas as teclas (texto escrito , senhas, etc) , visitas a páginas www , chats e discussões sobre ICQ , MSN e , que executam aplicativos semelhantes, screenshots de trabalho do computador , manipulação de arquivos do utilizador e outros . Os dados registrados podem Pg. 46/85 Base de conhecimento Erro conhecido lamer Leetspeak Nível de nível de risco / risco Knowledge base Known error Lamer Leetspeak Level of risk / risk level Licença Licence vida útil Life cycle Probabilidade Linkage / fusão Likelihood Linkage / Fusion similar, running applications, screenshots of computer work, user file handling and other. Logged data could be secretly sent by email. Database containing reference rules and information about the experience and professional knowledge in a certain area. Problem whose primary cause is known, or for which a method is established, to decrease or remove the impact of the problems on a service, using a substitute solution. Person, usually a complete beginner, who is unfamiliar with the given IT issues. Language replacing the letters of the Latin alphabet by numerals and printable ASCII characters. It is used quite a lot in the internet (chat and online games). This computer dialect, usually of the English language, has no fixed grammatical rules and words may be formed by shortening, e.g. by omissions of letters or corruption ("nd" – end, "U" – you, "r" – are). Magnitude of risk expressed as the combination of consequences and the possibility of their occurrence. Permission as well as to the document recording that permission. Collection of stages through which a system transits from the moment of development beginning up to end of life or liquidation, including the implementation of changes. Possibility that something occurs. Useful combination of data or information from ser enviados secretamente por e-mail . Base de dados contendo normas de referência e informações sobre a experiência e o conhecimento profissional numa determinada área. Problema cuja principal causa é conhecida, ou para o qual é um método estabelecido, para diminuir ou eliminar o impacto dos problemas no serviço, usando uma solução substituta (de reserva). Pessoa, geralmente um iniciante, que não está familiarizado com determinados problemas/questões de TI. Língua substituindo as letras do alfabeto latino por números e caracteres ASCII imprimíveis. É bastante usado na internet (chat e jogos online) . Este dialeto computador, geralmente da língua Inglesa, não tem regras gramaticais fixas e as palavras podem ser formadas pelo encurtamento , por exemplo por omissões de letras ou de corrupção ( " nd" - end, "U" - you , "r" – are; português: kdo: quando K que, quê,…) . Magnitude do risco expressado como a combinação de consequências e a possibilidade de sua ocorrência. Refere-se à Permissão, bem como ao documento que regista aquela permissão. Coleção de etapas pelas quais um sistema transita desde o momento do desenvolvimento inícial até ao fim da vida ou da liquidação, incluindo a implementação de mudanças. A possibilidade de que alguma coisa ocorra. Combinação útil de dados ou informações provenientes de um sistema de processamento de dados, com dados ou Pg. 47/85 Rede de área local (LAN) Local area network (LAN) Registro da Internet Local (LIR) Local internet registry (LIR) log Ficheiro log Controle de acesso lógico bomba lógica Log Log file Logical access control Logical bomb one data processing system, with data or information from another system, so as to declassify protected information. Term for small networks, usually within administratively uniform aggregates – companies, buildings, communities, which are formed with the aim to facilitate sharing of means (IS, data, services, equipment) and to enable an effective protection against undesirable phenomena. Organization, usually active in one network, which is assigned a block of IP addresses from RIR. LIR assigns the IP address blocks to its customers connected to the given network. Most LIRs are internet service providers, companies or academic institutions. Related expressions – RIR. Shortened expression for Log file. File containing information on the activities of subjects in the system, access to this file is controlled. Use of mechanisms related to data or information to enable control of access. Harmful logic causing damage to a data processing system and being triggered by certain specific system conditions. Programme (subset of Malware) which is secretly put into applications or into an operating system where, under predetermined conditions, it performs destructive activities. Predetermined specified condition triggering the logical bomb may be, for example, a fixed date (anniversary of a informações de outro sistema, de modo a desclassificar informações protegidas. Termo usado para redes pequenas, geralmente dentro agregados uniformes administrativamente - empresas, edifícios , comunidades, que são constituídos com o objetivo de facilitar a partilha de meios (IS, dados, serviços, equipamentos ) e para permitir uma proteção eficaz contra os fenômenos indesejáveis. Organização, geralmente ativa numa rede, à qual é atribuído um bloco de endereços IP a partir de RIR . LIR atribui os blocos de endereços IP para seus clientes conectados à rede dada. A maioria dos LIRs são fornecedores de serviços da internet, empresas ou instituições acadêmicas. Expressões relacionadas - RIR Expressão abreviada para ficheiro log . Arquivo contendo informações sobre as atividades de indivíduos no sistema, o acesso a esse arquivo é controlado. O uso de mecanismos relacionados a dados ou informações para permitir o controle de acessos. Lógica perigosa que causa danos a um sistema de processamento de dados e que será provocado (despoletado) sob certas condições específicas do sistema. Programa (subconjunto de Malware ), que é secretamente colocado em aplicações ou num sistema operativo, onde , sob condições predeterminadas, executa atividades destrutivas. Condição especificadas pré-determinadamente provocam o inicio da bomba lógica. Pode ser, por exemplo, uma data fixa (aniversário de um determinado evento - Veja , por exemplo, "Virus 17 de Novembro. " ). Neste caso, o tipo é um assim chamado bomba-relógio . Pg. 48/85 perda endereço MAC Hook de manutenção Consulta malformado Lógica maliciosa Malware - software malicioso Homem no meio; Man in the middle (MITM ) Sistema de gestão Manipulação / detecção de modificação certain event – See for example "Virus 17. November"). In this case the type is a so-called time bomb. Loss Quantitative measure of damage or loss as a consequence of a compromise. MAC address MAC = Media Access Control. Unique identifier of a network device allotted by the manufacturer. Maintenance hook Loophole in software which enables easy maintenance and addition of other characteristics and which can enable an access to a program in unusual locations or without the usual checks. Malformed query (1) Erroneous query which may result in triggering a nonstandard or unexpected behaviour of a system. (2) Mode of an attack. Malicious logic Program implemented in hardware, firmware or software whose purpose is to perform some unauthorized or harmful action (e.g. a logical bomb, Trojan horse, virus, worm, etc.). Malware – malicious This is the general name for harmful programs. software Harmful software includes computer viruses, Trojan horses, worms, spyware. Man in the middle Type of attack whereby the attacker intercepts, (MITM) reads and modifies communication between two communicating parties without their knowledge. Management system Framework of policies, procedures, directives and affiliated sources to achieve the objectives of an organization. Manipulation / Procedure to ascertain whether data were Medida quantitativa da perda ou dano como consequência de um compromisso. MAC = Media Control Access. Identificador único de um dispositivo de rede atribuído pelo fabricante. Fenda de software que permite uma fácil manutenção e acréscimo de outras características e que pode permitir o acesso a um programa em locais anormais ou sem as habituais verificações (1) Consulta errada que pode resultar no desencadeamento de um comportamento atípico ou inesperado de um sistema. (2) Modo de um ataque. Programa implementado no hardware, firmware ou software cujo objetivo é realizar uma ação não autorizada ou prejudicial (por exemplo, uma bomba lógica, cavalo de tróia, vírus, worms , etc.) Este é o nome geral para programas nocivos. Software nocivo inclui vírus de computador, cavalos de Tróia, worms, spyware. Tipo de ataque em que o atacante intercepta, lê e modifica a comunicação entre duas partes que se comunicam sem o seu conhecimento. Quadro de políticas, procedimentos, diretrizes e recursos filiados para atingir os objetivos de uma organização. Procedimento para determinar se os dados foram modificados, seja por acidente ou por design. Pg. 49/85 Masquerade (Mascaramento de IP) Mensagem de autenticação de dados / autenticação da origem modification detection Masquerade (IP masquerading) Message authentication / data origin authentication Código de autenticação de mensagem Message authentication code Objetivo mínimo da continuidade do negócio (MBCO) Minimum business continuity objective (MBCO) Monitoring Monitorização Autoridade nacional Ciberespaço nacional Conselho de Segurança National authority National cyberspace National security modified, either by accident or by design. Mechanism which allows to connect to the Internet a large number of devices for which no so-called public IP addresses are available. These devices are assigned so-called private IP addresses and access to the Internet is implemented through the mechanism of address translation (NAT, Network Address Translation). Verification that message was sent by the alleged originator to the intended receiver and that this message was not changed in transmission. Verification of the identity of information source-sender of the message. Frequently, digital signature is used. Bit string which is a function of data (in an encrypted or plain form) and the secret key, and is attached to data in order to authenticate them. Minimal level of services and/or products which is acceptable to attain the objectives of an organization during a contingency. Mecanismo que permite conectare à Internet um grande número de dispositivos para os quais nenhum dos chamados endereços IP públicos estão disponíveis. Estes dispositivos são atribuídos aos chamados endereços IP privados e o acesso à Internet é implementado através do mecanismo de tradução de endereços (NAT , Network Address Translation). Permanent checking, supervision, critical observation or determination of status in order to identify a change from the required or expected level of performance. State authority responsible for the issues of cyber security (guarantee). Cyberspace under the jurisdiction of the Nation/State. Permanent working body of the government for Verificação permanente , supervisão, observação crítica ou determinação do estatuto com o propósito de identificar uma mudança do nível de desempenho requerido ou esperado. Verificação de que a mensagem foi enviada pelo suposto remetente ao destinatário pretendido e que esta mensagem não foi alterada na transmissão. A verificação da identidade da fonte remetente de informação da mensagem. Frequentemente é usada a assinatura digital. String que é uma função de dados (numa forma criptografada ou simples) e a chave secreta, e está ligada aos dados, a fim de autenticá-los Nível mínimo de serviços e / ou produtos que é aceitável para atingir os objectivos de uma organização durante uma contingência. Autoridade estatal responsável pelas questões de cibersegurança (garantia). Ciberespaço sob a jurisdição nacional . Comissão de trabalho permanente do governo para a Pg. 50/85 Nacional Centro de Excelência de Ciberdefesa Cooperativa da NATO, CCDCOE Ciber autoridade de gestão Ciber defesa NATO; CDMA Capacidade NATO de resposta a incidentes computador - Centro Técnico (NCIRT TC ) Rede Tradução de endereços de rede (NAT) deteção de anomalias no comportamento da rede (NBAD) council NATO CCD COE; NATO Cooperative cyber defence Centre of excellence NATO CDMA NATO Cyber defence management authority NATO computer incident response capability – Technical centre (NCIRT TC) Network Network address translation (NAT) Network behavior anomaly detection (NBAD) the coordination of national security and preparation of proposals to implement them. NATO centre for cooperation in cyber security (Filters tee 12, Tallinn 10132, Estonia, http://www.ccdcoe.org). coordenação da segurança nacional e elaboração de propostas para implementá-las . NATO authority to manage cyber defence with the aim of providing an umbrella and interconnections for existing capabilities of cyber defence within the Alliance. NATO CIRC technical support centre – second level. It enables the capability to respond to incidents, monitor incidents, perform system recovery, and provides a direct technical support and help to the operational and security management of the operational NATO information systems. Set of computer terminals (workstations) and servers which are mutually interconnected in order to exchange data and communicate. Mechanism enabling access of several computers from a local network to the Internet under one public IP address. Computers from the local address are assigned so-called private IP addresses. The border element of such a local network provides for the translation of a private IP address to a public one. See also Private IP address. A solution for helping protection against zeroday attacks on the network. NBAD is the continuous monitoring of a network for unusual Autoridade da NATO para gerir defesa cibernética com o objetivo de proporcionar um guarda-chuva e interconexões às capacidades de defesa cibernética existentes no seio da Aliança. Centro de excelência da NATO para a cooperação em ciberdefesa (http://www.ccdcoe.org ) Centro de Apoio técnico NATO CIRC - segundo nível . Garante a capacidade de resposta a incidentes, acompanhar/monitorizar incidentes , executar a recuperação do sistema e fornece um apoio técnico direto e ajuda a gestão de segurança e o funcionamento dos sistemas de informação da NATO Conjunto de terminais de computadores (estações de trabalho) e os servidores que estão mutuamente interligados, a fim de trocarem dados e comunicarem entre si. Mecanismo que permite o acesso de vários computadores de uma rede local à Internet sob um endereço IP público. Computadores do endereço local é atribuído os chamados endereços IP privados . O elemento de fronteira de uma rede local possibilita a tradução de um endereço de IP privado para um público. Veja também endereço IP privado . A solução para ajudar a proteção contra ataques de dia zero dirigidos à rede. NBAD é a monitorização contínua de uma rede quanto a eventos ou tendências invulgares (não usuais). NBAD é parte integrante da análise do comportamento da Pg. 51/85 Núcleo da rede Network core integridade da rede Network integrity Rede de comunicações electrónicas Network of electronic communications Não conformidade Não-repúdio Nonconformity Non-repudiation events or trends. NBAD is an integral part of network behavior analysis, which offers security in addition to that provided by traditional antithreat applications such as firewalls, antivirus software and spyware-detection software. Central part of a telecommunication network that provides various services to customers who are connected by the access network. Functionality and operational capability of interconnected networks of electronic communications, protection of these networks against failures caused by electromagnetic jamming or operational loading. Transmission systems, or as the case may be, communication and routing equipment and other devices, including elements of the network which are not active, which make for the transmission of signals over wire lines, by radio, optical or other electromagnetic devices, including satellite networks, fixed lines with commuted circuits or packets, and mobile ground networks, networks for the distribution of electrical energy in the extent to transmit signals, networks for radio and television broadcast and networks for cable television, regardless of the type of transmitted information. Non-conformity with a request. Capability to prove the occurrence of an alleged event or activity, and originating entities with the objective to solve controversies about the rede, o qual oferece segurança adicional à prevista pelas aplicações anti-ameaça tradicionais, tais como firewalls, software antivírus e software de deteção de spyware. Parte central de uma rede de telecomunicações que oferece vários serviços aos clientes que estão conectados pela rede de acesso. Funcionalidade e capacidade operacional de redes interconectadas de comunicações eletrónicas, proteção destas redes contra falhas causadas por interferência eletromagnética ou de carga operacional. Sistemas de transmissão, ou como seja o caso, equipamentos de comunicação e roteamento e outros dispositivos, incluindo elementos da rede que não estão ativos, os quais podem fazer a transmissão de sinais através de linhas (de fio), por rádio, dispositivos eletromagnéticos óticos ou outros, incluindo por redes satélite, linhas fixas com circuitos comutados ou pacotes e redes móveis terrestres, redes de distribuição de energia elétrica estendidas para transmitir sinais, redes de rádio e televisão para a televisão por cabo, independentemente do tipo de informação transmitida. Não conformidade com um pedido. Capacidade de provar a ocorrência de um suposto evento ou atividade, e entidades originários, com o objetivo de solucionar controvérsias sobre a ocorrência de um evento ou de uma ausência de uma ocorrência, ou sobre a atividade e Pg. 52/85 Sistema de comunicação aberto Open communication system Fundação de Software Aberto (OSF) Open software foundation (OSF) Ambiente segurança aberta( OSE) Open-security environment (OSE) Sistema operativo Operating system Documentação do operacional/funcionamento Operational documentation Operador do sistema de informação da administração pública. Operator of the information system of public administration. Operador do sistema de informação da administração pública. Operator of the information system occurrence of an event or an absence of an occurrence, or about the activity and involvement of entities into the events. It represents (includes) a global computer network including all its functions and supported both by private companies and public institutions. A not-for-profit organization founded in 1988 under the U.S. National Cooperative Research Act of 1984 to create an open standard for an implementation of the UNIX operating system. Environment where data and source protection against accidental or intentional acts is achieved by using standard operational procedures. Software which controls program executions and which can offer various services, e.g. assignment of devices, schedulling, control of input and output and data administration. Examples of operating systems are the MS DOS system, LINUX, UNIX, Solaris, and other. Documentation of the information system of public administration describing the functional and technological features of the information system. Subject performing at least some of the activities related to the information system. The administrator of the information system of public administration can commission other subjects unless prohibited by a law. Subject who by law determines the objective and means for information processing and is participação de entidades nos acontecimentos. O Sistema representa (isto é inclui) a rede mundial de computadores, incluindo todas as suas funções e é suportado tanto por empresas privadas como instituições públicas. Uma organização sem fins lucrativos fundada em 1988 ao abrigo da Lei Investigação Cooperativa Nacional, dos EUA, de 1984, com a finalidades de criar um padrão aberto para a implementação do sistema operacional UNIX . Ambiente onde dados e a proteção de fontes contra atos acidentais ou intencionais é conseguido através de procedimentos de funcionamento padrão. Software que controla as execuções do programa e que podem oferecer vários serviços, como por exemplo atribuição de dispositivos, schedulling (agendamento), controlo de entrada e saída e administração de dados. Exemplos de sistemas operacionais são o sistema MS-DOS , Linux, Unix , Solaris , e outros . Documentação do sistema de informação da administração pública descrevendo as características funcionais e tecnológicas do sistema de informação. Sujeito que realiza pelo menos algumas das atividades relacionadas ao sistema de informação. O administrador do sistema de informação da administração pública pode encomendar outros assuntos, a menos que proibido por lei. Pessoa que, por lei determina o objetivo e os meios para o processamento de informação e é responsável pelo sistema de informação. Pg. 53/85 pacote of public administration. Packet Ameaça passiva Passive threat senha Quebra Senhas; password Cracker Remendo (patch) Peer to peer (P2P); Ponto a ponto Penetração Password Password cracker Patch Peer to peer (P2P) Penetration responsible for the information system. Block of data transferred in computer networks and using the technology of "packet switching". A packet consists of control data and user data. Control data contain information necessary for packet delivery (destination address, source address, checksums, and information on packet priority). User data contain those data items which should be delivered to the target (destination addressee). Threat of making an access to data without actually changing the state of the data processing system or the computer network. Character string used as part of the authentication information. General instrument to authenticate a user signing up to a computer, accessing files, programs and services. Program designed to crack passwords either by the Brute force attack or Dictionary attack. Update which removes a security problem or unstable behaviour of an application expands its possibilities and enhances its performance. This is a computer network where individual clients communicate directly. This model is primarily used in interchangeable networks. Total transmission capability grows as a rule with the growing number of users in this model. In the classic model client-server this is quite the reverse. Unauthorized access to a computer system, Bloco de dados transferidos nas redes de computadores utilizando a tecnologia de " packet switching " . Um pacote é composto de dados controlo e de dados do utilizador. Dados de controle contêm informação necessária para a entrega de pacotes ( endereço de destino , endereço de origem , checksums , e informação sobre a prioridade do pacote) . Os dados do utilizador contém os itens de dados que devem ser entregues ao destino (endereço de destino). Ameaça de fazer um acesso aos dados sem alterar o estado do sistema de processamento de dados ou a rede de computadores. Cadeia de caracteres usada como parte da informação de autenticação. Instrumento geral para autenticar um utilizador a se inscrever (ligar) num computador, a aceder a arquivos, programas e serviços. Programa projetado para quebrar senhas ou pelo ataque de força bruta ou ataques de dicionário. Atualização que remove um problema de segurança ou comportamento instável de uma aplicação e que expande suas possibilidades e melhora o seu desempenho. Esta é uma rede de computadores , onde os clientes individuais se comunicam diretamente. Este modelo é usado principalmente em redes intercambiáveis. Capacidade de transmissão total cresce como uma regra com o número crescente de usuários neste modelo. No modelo clienteservidor clássico isso é muito pelo contrário. Acesso não autorizado a um sistema de computador, rede ou Pg. 54/85 Testes de penetração Penetration testing Equipamentos periféricos Peripheral equipment Pharming Pharming Phishing Phishing network or service. Analysis of functions of a computer system and networks with the objective of finding out weak spots in computer security so that these could be removed. Equipment controlled by a computer and able to communicate with it, e.g. input/output devices and auxiliary memory. Fraudulent method used on the Internet to obtain sensitive data from the victim of the attack. The principle is an attack on DNS and rewriting the IP address which results in redirecting the client to a false address of internetbanking, email, social network, etc., after inserting the URL into the browser. These pages are as a rule indistinguishable from the real pages of a bank and even experienced users may not recognize this change (unlike the related technique of phishing). Fraudulent method having the objective of stealing the digital identity of a user, the signon names, passwords, bank account numbers and accounts etc. in order to subsequently misuse these (drawing cash from the account, unauthorized access to data etc). Creation of a fraudulent message distributed mostly by electronic mail trying to elicit the mentioned data from the user. The messages may be masqueraded so as to closely imitate a trustworthy sender. It may be a forged request from a bank whose services the user accesses serviço. Análise de funções de um sistema de computador e redes com o objetivo de descobrir os pontos fracos na segurança de computadores para que estes possam ser removidos. Equipamento controlado por um computador e capaz de comunicar com ele, por exemplo, dispositivos de entrada / saída e memória auxiliares. Método fraudulento usado na Internet para obter dados confidenciais da vítima do ataque. O princípio usado é um ataque ao DNS e reescrever o endereço IP o que resulta em redirecionar o cliente para um endereço falso de Internetbanking , email, rede social , etc , depois de inserir a URL no navegador. Estas páginas são, em regra indistinguíveis das páginas reais de um banco e até mesmo utilizadores experientes podem não reconhecer essa mudança (ao contrário da técnica de phishing relacionada) . Método fraudulento que tem o objetivo roubar a identidade digital de um utilizador, o sign-on nomes, senhas, números de contas bancárias e contas , etc , com o objetivo de, posteriormente, abusar delas (desviar dinheiro da conta , acesso não autorizado aos dados , etc.) Criação de uma mensagem fraudulenta distribuída principalmente por correio eletrônico para tentar obter os dados mencionados do utilizador. As mensagens podem ser mascaradas, de forma a imitar de perto um remetente confiável. Pode ser um pedido forjado a partir de um banco a cujos serviços o utilizador acede com um pedido para enviar o número da conta e senha para uma verificação de rotina ( uso da janela de diálogo que se apresenta como uma janela do banco - chamado spoofing ) . Assim, o “criminoso” (da fraude) tenta convencer as pessoas que acedam que eles estão no endereço certo em cuja Pg. 55/85 phishing via telefone Phone phishing phreaker Phreaker phreaking Phreaking with a request to send the account number and PIN for a routine check (use of the dialog window purporting to be a bank window – socalled spoofing). Thus the fraudster tries to convince accessing persons that they are at the right address whose security they trust (pages of electronic shops etc.). Also, very often credit card numbers and PINS are stolen in this fashion. This technique uses a false voice automaton (Interactive Voice Response) with a structure similar to the original banking automaton ("For a change of password press 1, for connection to a bank advisor press 2"). The victim is usually asked in an email to call the bank for information verification. Here, sign-on is requested using a PIN or a password. Some automata subsequently transfer the victim to a contact with the attacker playing the role of a telephone bank advisor which allows for other possibilities for questions. Person doing "hacking" on the phone, using various tricks manipulating the services of telephone companies. Denotation for tapping into a somebody else's telephone line in distribution panels, public telephone booths or directly in the ground/below ground telephone lines and thanks to these: (1) it is possible to call anywhere free of charge, (2) surf the internet free of charge, and (3) listen to somebody else's segurança eles confiam (páginas de lojas de eletrônicos, etc.) Também, muitas vezes os números de cartão de crédito e os pinos são roubados desta forma. Esta técnica utiliza uma automação de voz falsa (Resposta de Voz Interativa) com uma estrutura semelhante à automação bancária original ("Para uma mudança de senha pressione 1 , para conexão a um assistente do banco prima 2"). À vítima geralmente é pedido num e-mail para ligar ao banco para verificação de informações. Aqui, sign-on (ligação/entrada) é solicitada usando um PIN ou uma senha. Alguns autómatos, posteriormente, transferem a vítima para um contato com o atacante que faz o papel de um assistente de telefone do banco que permite outras possibilidades para perguntas. Pessoa que está fazendo "hacking " no telefone , utilizando vários truques para manipular os serviços de companhias telefónicas. Apropriação na linha telefônica de uma outra pessoa nos painéis de distribuição , cabines telefónicas públicas ou diretamente no solo / abaixo as linhas telefônicas terrestres e graças a estes: (1) é possível ligar para qualquer lugar gratuitamente (2), navegar na internet gratuitamente, e (3) ouvir as conversas telefônicas de outra pessoa . O pagamento das chamadas é, naturalmente, à custa da vítima (utilizador registado da linha, ou a companhia telefônica ) . Entrar numa (apropriar-se) rede móvel usando vários métodos ou o fabrico Pg. 56/85 Controle de acesso físico Physical access control Ativo físico Entrada de sobreposto (Piggyback) Physical asset Piggyback entry Ping inundação Ping Ping da morte Porta Ping Ping flood Ping of death Port telephone conversations. Payment for the call is of course at the cost of the victim (registered user of the line, or the telephone company). Tapping into a mobile network by using various methods or the manufacture of listening devices is also considered phreaking. Use of physical mechanisms to enable control of access (e.g. placing the computer in a locked room). See Access Control. Asset having a material character. Unauthorized access to the system using a legitimate link of an authorized user. Instrument used in computer networks for testing computer availability over IP networks. Ping measures the time of response and records the volume of lost data (packets). Simple DoS attack when the attacker floods the victim with requests "ICMP Echo Request" (ping). The attack is successful provided the attacker has a wider bandwidth than the victim, or, the attacker can at the same time cooperate with other attackers. See ICMP flood. Type of an attack on a computer which includes an ICMP pack sent in error or an otherwise dangerous packet, e.g. a packet sent larger than the maximum size of IP packet which collapses the target computer, or, by sending the packet the attacker exceeds the maximum size of IP packets which results in a failure of the system. It is used for communication using the TCP or de dispositivos de escuta também é considerado phreaking . O uso de mecanismos físicos para ativar o controle de acesso (por exemplo, colocar o computador em uma sala trancada). Veja Controle de Acessos. Ativos que têm uma natureza material Acesso não autorizado ao sistema usando um link legítimo de um utilizador autorizado. Instrumento utilizado nas redes de computadores para testar a disponibilidade de computador em redes IP . Ping mede o tempo de resposta e regista o volume de dados perdidos (pacotes) . Ataque DoS simples quando o atacante inunda a vítima com pedidos " ICMP Echo Request " (ping) . O ataque é bem sucedido desde que o atacante tenha uma largura de banda maior do que a vitima, ou, o atacante pode, ao mesmo tempo cooperar com outros atacantes. Veja inundação ICMP. Tipo de um ataque a um computador que inclui uma pack ICMP enviado com erro ou um pacote de outra forma perigosa , por exemplo, um pacote enviado com um tamanho maior do que o tamanho máximo do pacote IP o qual colapsa o computador alvo ou, pelo envio do pacote o atacante excede o tamanho máximo de pacotes IP o que resulta numa falha do sistema. É usado para a comunicação com os protocolos TCP ou UDP. Pg. 57/85 Port Knocking Port Knocking Scanner de portas portal Port scanner Portal Pretexting; pretexto Pretexting UDP protocols. It defines the individual net applications running on one computer. It may take on values in the range 0 – 65535. For example, web pages are usually accessible on port 80, server to send out electronic mail on port 25, ftp server on port 21. These values may be changed and with some network services the administrators sometimes set other than normally used port numbers in order to deceive a potential attacker. Denotes a method in computer networks how to gain access from an untrusted computer into a computer or computer network protected by a firewall, without the need to sign on with the computer protected by a firewall and change the setting like an administrator. This way creates a semblance that the firewall is closed to untrusted computers and yet gives a chance of changing the setting by a special secret sequence. The method bypasses abuse of security errors in programmes serving permanently open ports. Program to test open ports. Information (content regions, pages, applications, and data from external sources) concentrated in one central place which can be accessed using a web browser. One kind of social engineering. It creates and uses fictitious screenplay with the objective of convincing the victim to perform the required action, or to obtain the required information. Define as aplicações individuais que correm (se executam) num computador. Pode assumir valores no intervalo 0-65535 . Por exemplo , as páginas web são geralmente acessíveis na porta 80 , o servidor para enviar correio eletrônico na porta 25 , o servidor ftp na porta 21 . Estes valores podem ser alterados e com alguns serviços de rede, por vezes, os administradores definem diferente números de portas que são normalmente utilizados para enganar um potencial invasor (atacante). Evidencia um método nas redes de computadores de como obter acesso a partir de um computador não confiável a um outro computador ou rede de computadores protegido por uma firewall, sem a necessidade de assinar com o computador protegido por uma firewall e alterar a configuração como um administrador. Desta forma, cria uma aparência de que o firewall está fechada (vedada) a computadores não confiáveis mas ainda dá a hipóteses/oportunidade de mudar a configuração por uma sequência de segredo especiais. O método ignora o abuso de erros de segurança em programas que servem as portas permanentemente abertas. Programa para testar portas abertas . Informações ( regiões de conteúdo , páginas , aplicativos e dados de fontes externas ) concentrados num lugar central, que pode ser acedido através de um navegador web. Um tipo de engenharia social. Ele cria e utiliza roteiro fictício com o objetivo de convencer a vítima a executar a ação necessária, ou para obter as informações necessárias. Pg. 58/85 Pretty Good Privacy (PGP) Privacidade Endereço IP privado Problema Procedimento Pretty good privacy (PGP) Privacy Private IP address Problem Procedure Processo Process Programa Program protocolo Protocol Mechanism/program enabling encryption and signature of data. Most typically it is used for encrypting the content of messages (emails) and for providing these messages with an electronic signature. Privacy is the capability or right of an individual or group to retain information about themselves. Privacy is also the material or mental space of the subject. Groups of IP addresses defined under RFC 1918 as reserved for use in internal networks. These IP addresses are not routed from the internet. Here are these ranges: 10.0.0.0 – 10.255.255.255, 172.16.0.0 – 172.31.255.255 and 192.168.0.0 – 192.168.255.255. Primary cause of one or more incidents. Specified manner of executing an activity or process. Set of mutually related or mutually influencing activities transforming inputs into outputs/ Syntactic unit satisfying the rules of a certain programming language; it consists of descriptions (declarations) and commands or instructions necessary to fulfil some function or solve some task or problem. Agreement or standard which controls or enables a link, communication and data transfer among computers, in general among end devices. Protocols can be implemented by hardware, software, or a combination of both. Mecanismo / programa que permite a criptografia e assinatura de dados. Tipicamente é usado para encriptar o conteúdo de mensagens ( e-mails ) e para fornecer essas mensagens com uma assinatura eletrônica. A privacidade é a capacidade ou direito de um indivíduo ou grupo de reter informações sobre si mesmos. Privacidade é também o material ou espaço mental do individuo. Grupos de endereços IP definido no RFC 1918 como reservado para uso em redes internas. Estes endereços IP não são direcionados/roteados a partir da internet. Aqui estão esses intervalos: 10.0.0.0 - 10.255.255.255, 172.16.0.0 172.31.255.255 e 192.168.0.0 - 192.168.255.255. Causa primária de um ou mais incidentes . Modo especificado de executar uma atividade ou processo. Conjunto de atividades mutuamente inter-relacionadas ou influenciadoras que transformam insumos (inputs) em produtos / Unidade sintática satisfazendo as regras de uma determinada linguagem de programação , que consiste de descrições (declarações) e os comandos ou instruções necessárias para cumprir alguma função ou resolver alguma tarefa ou problema. Acordo ou padrão que controla ou permite a ligação, a comunicação e a transferência de dados entre computadores, em geral entre os dispositivos finais. Os protocolos podem ser implementadas por hardware, software, ou uma combinação de ambos. Pg. 59/85 Trojan Proxy Software de domínio público Sistema de informação pública Endereço IP público Proxy trojan Public domain software Public information system Public IP address Infrastructura de Chaves Publicas (PKI) Public Key Infrastructure (PKI) Portal do setor público Public sector portal Rede pública de telecomunicações Public telecommunication network Masks other computers as infected. Enables the attacker to abuse the infected computer for an access to other computers in the network and thus aids the attacker to hide its identity. Software that has been placed in the public domain, in other words there is absolutely no ownership such as copyright, trademark, or patent. Information system providing services to the public and having relations to information system of the public administration. IP address which is routable in the Internet. Such an address is then accessible from the whole Internet network unless prohibited for example by firewall or router configuration. This in cryptography denotes infrastructure for the management and distribution of public keys from asymmetric cryptography. PKI, thanks to transfer of confidence, enables the use of unfamiliar public keys for the verification of electronic signature without having to verify each individually. The transfer of confidence can be implemented either by means of the certification authority (X.509) or by trusted network (e.g. PGP). Information system created and operated with the intention of facilitating remote access to, and communication with, the necessary information from the public administration. Network of electronic communications serving wholly or predominantly to provide publicly available services of electronic communications and which supports information transfer among Mascara outros computadores como infetados. Permite que o atacante abuser do computador infetado para um acesso a outros computadores na rede e, assim, auxilia o atacante a esconder sua identidade. Software que foi colocado no domínio público, ou seja, não há absolutamente nenhuma propriedade tais como direitos de autor (copyright), marca registrada ou patente. Sistema de informação de prestação de serviços ao público e que tem relações ao Sistema de Informações da Administração Pública . Endereço IP que pode ser roteado na Internet. Tal endereço é então acessível a partir de toda a rede de Internet a menos que proibido por exemplo, firewall ou configuração do roteador. Refere-se a criptografia e releva uma infra-estrutura para a gestão e distribuição de chaves públicas de criptografia assimétrica. PKI , graças à transferência de confiança, permite o uso de chaves públicas desconhecidos para a verificação de assinatura electrónica sem a necessidade de verificar cada um individualmente. A transferência de confiança pode ser implementado por meio da autoridade de certificação ( X.509 ) ou por rede de confiança (por exemplo, PGP) . Sistema de informação criado e operado com a intenção de facilitar acesso remoto e comunicação com as informações necessárias provenientes da administração pública. Rede de comunicações eletrónicas que servem total ou predominantemente para fornecer publicamente serviços acessíveis de comunicações eletrónicas e que suporta transferência de informações entre os pontos finais da rede, ou uma rede de comunicações eletrónicas através do qual Pg. 60/85 Rede telefónica pública Public telephone network Serviço de comunicações eletrónicas publicamente disponíveis Publicly available electronic communications service Ransom ware Resgate ware Registo Record Objetivo de tempo de recuperação (RTO) Recovery point objective (RPO) Recovery time objective (RTO) Re -dial , utensílios de crime Pharming Re-dial, Pharming crime ware objetivo de ponto de recuperação ( RPO) the endpoints of the network, or a network of electronic communications through which radio and television broadcast are provided as a service. Network of electronic communications to provide publicly available telephone services and which allows for the transmission of voiced speech as well as other forms of communications, such as facsimiles and data transmissions, among the endpoints of the networks. Service of electronic communications from whose use no one may be a priori excluded. rádio e transmissão televisiva são fornecidas como um serviço. Program which encrypts data and offers to decrypt them after a ransom payment (e.g. a virus, Trojan horse). Document with the record of achieved results or in which proofs about completed activities are provided. Point in time when data must be recovered after a breakdown. Time period during which a minimal level of services and/or products and support systems, applications or functions, must be recovered after a disaster. Programs (subset of Malware) whose task is to redirect users to certain pages instead of those originally intended to be visited. On these pages there is an installation of other Crimeware (virus), or there is a substantial increase in the Internet connection fee (using telephone lines Programa que criptografa os dados e possibilita decifrar -los após um pagamento de resgate (por exemplo, vírus, cavalo de tróia) . Documento com o registro dos resultados alcançados ou em que as provas sobre as atividades concluídas são fornecidos. Rede de comunicações eletrónicas para prestação de serviços telefónicos acessíveis ao público e que permite a transmissão de voz, bem como outras formas de comunicação, tais como fac-símiles e transmissões de dados entre os pontos finais das redes. Serviço de comunicações eletrónicas de cujo uso ninguém pode ser excluído à priori . O ponto no tempo em que os dados devem ser recuperados após uma avaria. Período de tempo durante o qual um nível mínimo de serviços e/ou produtos e sistemas de apoio , aplicações ou funções , devem ser recuperados após um desastre. Programas (subconjunto de Malware), cuja tarefa é a de redirecionar os utilizadores para determinadas páginas em vez daqueles originalmente destinado a ser visitado . Nestas páginas há uma instalação de outros crimeware ( vírus ), ou há um substancial aumento na taxa de conexão com a Internet (usando linhas telefônicas com uma taxa mais elevada ) . Pg. 61/85 Redundância Registro da Internet Regional ( RIR) Release Confiança Replay, ataque replay Pedido Pedido de mudança Pedido de comentário Redundancy Regional internet registry (RIR) Release Reliability Replay, replay attack Request Request for change Request for with a higher rate). General meaning is redundancy, abundance. In IT it is used in the sense of backup. For example, a redundant (backup) power supply, redundant (backup) data. Organization looking after the assignment of public IP address ranges, autonomous systems in its geographical scope. There are five RIRs at present: RIPE NCC – Europe and Near East, ARIN – USA and Canada, APNIC – Asia – Pacific Region, LACNIC – Latin America, AfriNIC – Africa. Aggregate of one or more new or changed configuration items which are put into the operational environment as the result of one or more changes. Attribute of consistent intentional behavior or results. Situation when a copy of a legitimate transaction (data sequence) is intercepted, repeatedly replayed by an unauthorized subject usually with illegal intent (e.g. to open a car with a central lock). Request for information, in general as a formal request sent to a database or to a browser, or a signal from one computer to another, or to a server with the request for concrete information or data item. Proposal to make a change of a service, element of a service or a system of service control. It is used to denote standards describing Significado geral é redundância, abundância. Em IT é utilizado no sentido de cópia de segurança. Por exemplo, uma redundância (backup) fonte de alimentação , os dados redundantes ( backup). Organização cuida da atribuição de conjuntos de endereços IP públicos , sistemas autônomos no seu âmbito geográfico. Há cinco RIRs no momento: RIPE NCC - Europa e Oriente Médio, ARIN - EUA e Canadá, APNIC - Ásia - Pacífico , LACNIC América Latina, AfriNIC - Africa. Agregado de um ou mais itens de configuração novos ou modificados, que são colocados no meio ambiente de funcionamento, como o resultado de uma ou mais alterações. Atributo de um comportamento intencional consistente ou resultados. Situação em que uma cópia de uma transação legítima (sequência de dados) é intercetada, repetidamente várias vezes por um sujeito não autorizado geralmente com a intenção ilegais (por exemplo, para abrir um carro com uma trava central). Pedido de informações, em geral, como um pedido formal enviado a uma base de dados ou um navegador, ou um sinal de um computador para outro, ou para um servidor com o pedido de informações concretas ou item de dados. Proposta de fazer uma mudança de um serviço, elemento de um serviço ou de um sistema de controle de serviço. Ele é utilizado para designar as normas que descrevem Pg. 62/85 (RFC) comment (RFC) Dados residuais Residual data Risco residual Residual risk Resiliência Revisão Risco Resilience Review Risk Aceitação de riscos Análise de risco Risk acceptance Avaliação de riscos Risk assessment Atitude de risco Risk analysis Risk attitude internet protocols, systems and other items related to internet operation. For example, RFC 5321 describes the SMTP protocol for the exchange and processing of electronic mail. Data left behind in a data medium after the erasure of a file or part of it. It need not be, however, only data left after the erasure of disc files, unwanted residual data can be left on the local computer, for example, even by work using a remote connection (VPN). It could be data collected (into a cache), for example, of an application. Risk remaining even after an application of the appropriate measures. Capability of an organization, system or network to resist threats and brace itself against the influence of outages. Activity done in order to assess the suitability, adequacy and efficiency of the analyzed subject to achieve set objectives. (1) Danger, possibility of damage, loss, failure. (2) Effect of uncertainty to achieve objectives. (3) Possibility that a certain threat would utilize vulnerability of an asset or group of assets and cause damage to an organization. Decision to accept risk. Process of understanding the nature of risks and establishing a risk level. Overall process of risk identification, risk analysis and risk assessment. Approach of an organization towards assessing risk and, also, dealing with risk, sharing risk, protocolos de internet, sistemas e outros itens relacionados ao funcionamento da internet. Por exemplo, RFC 5321 descreve o protocolo SMTP para a troca e processamento de correio eletrônico. Dados deixados para trás num suporte de dados após a eliminação de um arquivo ou parte dele. Não precisa ser , no entanto, apenas os dados deixados após a eliminação de ficheiros do disco, os dados residuais indesejáveis podem ser deixados no computador local, por exemplo, mesmo usando uma conexão remota (VPN). Podem ser dados recolhidos (num cache), por exemplo, de uma aplicação. Risco remanescente mesmo depois de uma aplicação das medidas adequadas. Capacidade de uma organização, sistema ou rede de resistir a ameaças e escudar-se a si própria contra a influência de interrupções Atividade realizada, a fim de avaliar a conveniência , adequação e eficácia do assunto analisado para alcançar os objetivos estabelecidos. (1) Perigo, possibilidade de dano, perda, fracasso. (2 ) Efeito de incerteza para alcançar os objetivos . (3) Possibilidade de que uma determinada ameaça iria utilizar a vulnerabilidade de um ativo ou grupo de ativos e causar danos a uma organização. Decisão de aceitar o risco. Processo de compreender a natureza dos riscos e estabelecimento de um nível de risco. Processo global de identificação de riscos, análise de risco e avaliação de riscos. Abordagem de uma organização para a avaliação de risco e , também, como lida com o risco , partilha de risco , assumir ou Pg. 63/85 Prevenção de riscos Comunicação de risco Critérios de risco Risk avoidance Risk communication Risk criteria Estimação do risco Risk estimation Avaliação de risco Risk evaluation Identificação de riscos Risk identification Gestão de riscos Risk management Estrutura de gestão de risco Risk management framework Plano de gestão de risco Risk management plan Política de gestão de risco Risk management policy Processo de gestão de risco Risk management process taking over or refusal of risk. Decision not to allow an involvement into risk situations, or to exclude these. Exchange or sharing of information between the decision-maker and other participating parties. Reference values of parameters which are used to assess risk severity. Process to determine values of probability and consequences of risk. Process to compare the results of risk analyses with risk criteria to find out if the risk level is acceptable. Process of looking for, recognizing, and describing risks. Coordinated activities to manage and control an organization in view of the risks. Set of components providing the fundamentals and organizational arrangement for the design, implementation, monitoring, re-analysis and continuously improvement of risk management in the whole organization. Scheme in the framework of risks specifying access, parts of management and sources to be used for risk management. Statement on the overall intentions and direction of an organization related to risk management. Systematic implementation of management policies, procedures and well-established practices for the activities of sharing, recusa de risco Decisão de não permitir um envolvimento em situações de risco, ou de exclui-los. Troca ou partilha de informação entre os decisores e outras partes envolvidas. Referência a valores de parâmetros que são utilizados para avaliar a gravidade de risco. Processo para determinar os valores de probabilidade e consequências de risco. Processo para comparar os resultados das análises de risco com critérios de risco para saber se o nível de risco é aceitável. Processo de procurar, reconhecer e descrever riscos. Atividades coordenadas para dirigir e controlar uma organização face aos riscos . Conjunto de componentes que fornecem os fundamentos e arranjo organizacional para a desenho , implementação, monitorização , reanálise e continuamente melhora de gestão de riscos em toda a organização. Esquema no âmbito (quadro) de riscos que especifica o acesso, as partes de gestão e fontes a ser utilizado para gestão de riscos. Declaração sobre as intenções e princípios gerais de uma organização relacionadas com a gestão de riscos. Implementação sistemática de políticas de gestão, procedimentos e práticas bem estabelecidas para as atividades de partilha, consultoria, configuração de contexto , e descoberta, análise, avaliação , tratamento, monitoramento e Pg. 64/85 Proprietário do risco Risk owner Perfil de risco Redução do risco Risk profile Risk reduction Retenção de risco Risk retention Fonte de risco Risk source Transferência de risco Risk transfer Tratamento de riscos Papel Risk treatment Role Rootkit Rootkit Caixa de areia; sandbox Sandbox Script Script consulting, context setting, and finding out, analyzing, evaluating, treating, monitoring and cross-checking risks. Person or entity with the responsibility and authority to control risk and monitor events which cause the risk. Description of any set of risks. Activity to lower the probability and lessen negative consequences, or both of these parameters linked to risk. Accepting the burden of a loss or benefit from profit ensuring from a certain risk. Element, which either alone or in combination with other elements, has the internal capability to cause a risk. Sharing of costs with another party or sharing of benefits from profit flowing from risk. Process to modify (change) a risk. Aggregate of specified activities and necessary authorizations for a subject operating in the information or communication system. Programs making it possible for insidious software to mask its presence in a computer. Thus they can hide from the user selected running processes, files on disc or other system data. They exist for Windows, LINUX and UNIX. Security mechanism serving to separate running processes from the operating system proper. It is used, for example, in testing suspicious software. Set of instructions written in some formal riscos de verificação cruzada. Pessoa ou entidade com a responsabilidade e autoridade para controlar risco e monitorizar eventos que causem o risco. Descrição de qualquer conjunto de riscos . Atividade para reduzir a probabilidade e diminuir as consequências negativas, ou de ambos estes parâmetros ligados ao risco. Aceitando o peso de uma perda ou benefício assegurando o proveito de um certo risco. Elemento, que por si só ou em combinação com outros elementos, tem a capacidade interna para provocar um risco. Partilha dos custos com outro ou repartição de benefícios de proveitos que fluem de risco . Processo para modificar (alterar) um risco. Agregado de atividades especificadas e autorizações necessárias para alguém operar no sistema de informação ou comunicação. Programas tornando possível a um software insidioso mascarar a sua presença num computador. Assim, eles podem se esconder do utilizador selecionado realizando processos, arquivos em disco ou outros dados do sistema. Eles existem para Windows, Linux e UNIX. Mecanismo de segurança que serve para separar os processos em execução do sistema de funcionamento propriamente. É usado, por exemplo, em testes de software suspeito. Conjunto de instruções escritas numa linguagem formal, que Pg. 65/85 critérios do setor Secure Shell (SSH) Secure socket layer (SSL) segurança Gestor de contas da Segurança objetivo de segurança Sector criteria Secure shell (SSH) Secure socket layer (SSL) Security Security account manager Security aims language which control the workings of devices, program or system. Technological or operational values to determine an element of critical infrastructure in the sectors of energy, water management, food and agriculture, health, transport, communication and information systems, finance market and currencies, emergency services and public administration. A protocol that provides secure remote login utilising an insecure network. Protocol or a layer inserted between the transport layer (e.g. TCP/IP) and the application layer (e.g. HTTP) which enables communication security by encryption and authentication of the communicating parties. Property of an element (e.g. an information system) which is at a certain level protected against losses, or also a state of protection (at a certain level) against losses. IT security covers protection of confidentiality, integrity and availability during processing, storage, distribution and presentation of information. Administrator for securing the accounts in the Windows operating system, e.g. a database, where user passwords are kept (passwords in Windows NT operating system may be kept, for example, in the directory c:\\winnt\repair and c:\\winnt\config). State of security which the given system or product has to reach. controlam o funcionamento de dispositivos, programa ou sistema. Valores tecnológicos e operacionais para determinar um elemento de infraestrutura crítica nos setores de sistemas de informação de energia, gestão de água, alimentos e agricultura, saúde, transporte , sistemas de informação e comunicação, mercados financeiros e moedas, serviços de emergência e administração pública. Um protocolo que fornece login remoto seguro utilizando uma rede insegura . Protocolo ou uma camada inserida entre a camada de transporte (por exemplo, TCP/ IP) e a camada de aplicação (por exemplo, HTTP), que permite a segurança da comunicação por encriptação e autenticação das partes comunicantes. Propriedade de um elemento (por exemplo, um sistema de informação) que está num determinado nível de proteção contra perdas, ou também um estado de proteção (num determinado nível) contra perdas. Segurança de TI abrange a proteção da confidencialidade , integridade e disponibilidade durante o processamento, armazenamento, distribuição e apresentação (acesso a) a informação . Administrador para proteger as contas no sistema operativo Windows, por exemplo, uma base de dados , onde senhas de utilizadores são mantidos ( senhas no sistema operativol Windows NT podem ser mantidos, por exemplo, na pasta c: \ \ winnt \ repair e c: \ \ winnt \ config) . Estado de segurança que um dado sistema ou produto tem de alcançar. Pg. 66/85 Auditoria de segurança Security audit Autoridade de segurança Security authority categoria segurança Security category classificação de segurança credenciação de segurança Security classification Security clearance Domínio de segurança Security domain Eventos de segurança Security event Independent revision and analysis of records in the data processing system as well as activities for testing of the suitability of system controls, checking compliance with accepted security policy and operational procedures, detection of security infringements and recommendation for any indicated changes in the control, security policy and procedures. Independent testing of the information system activity and records thereof. The objective is to determine if checks are appropriate, if there is compliance with security policy, recommendation of eventual changes in the system of countermeasures. As rule is, it is done by an external or an internal auditor. Entity responsible for the administration of security policy within the security domain. Grouping of sensitive information used when controlling data access. Determination which level of protection for data or information is required before access, together with noting this level of protection. Clearance given to an individual for accessing data or information on or below the specified security level. Group of users and systems subject to common security policy. Event which may result in or cause the infringement of information systems and technologies and rules defined for the protection (security policy). Revisão independente e análise de registos no sistema de processamento de dados bem como as atividades para o teste da adequação dos controles do sistema, verificando se está em conformidade com a política de segurança aceite e procedimentos operacionais, a deteção de violações de segurança e recomendação para as alterações indicadas no controle, a política de segurança e procedimentos. Testes independentes da atividade de sistema de informação e o registo dos mesmos. O objetivo é determinar se as verificações são adequados, se há o cumprimento (comprometimento de acordo com) da política de segurança, recomendação de eventuais mudanças no sistema de contramedidas. Como regra (principio), é feito por uma fonte externa ou um auditor interno. Entidade responsável pela administração da política de segurança no domínio da segurança. Agrupamento de informação sensível (por níveis de proteção) usado durante o controle de acesso de dados. Determinação de qual o nível de proteção dos dados ou informações que é necessário no acesso, juntamente com a notação deste nível de proteção. Autorização dada a um indivíduo para o acesso a dados ou informações sob um nível de segurança especifico. Grupo de utilizadores e sistemas sujeitos a política de segurança comum . Evento que pode resultar em ou causar a violação de sistemas e tecnologias e regras definidas para a proteção (política de segurança) da informação. Pg. 67/85 Filtro de segurança Incidente de segurança Segurança da Informação e Gestão da de eventos (SIEM) Nível de segurança Security filter Security incident Security information and event management (SIEM) Security level Gestor de segurança Security manager Política de segurança Security policy Requisitos de segurança Security requirements Trusted computer system enabling security policy for data passing through the system. Infringement or an imminent threat of infringement, of security policies, security principles or standard security rules of operation for the information and communication technologies. System whose task is to acquire, analyze and correlate data – events in the network. SIEM systems combine the methods of detection and analysis of abnormal events in the network, provide information usable for network management and operated services. Combination of a hierarchic security classification and security category, representing sensitivity of an object or security clearance of an individual. Employee role to act as a guarantee for IT security with the definition of responsibility and authority. (1) At the level of an organization, basic document which defines the structure of security risk, responsibility for information protection within an organization, level of information protection. (2) At the system level, a set of rules and practices specifying or regulating how the system (or organization) provides security services in order to protect sensitive or critical system resources. Requirements put on the information system which follow from laws, instructions, legal Sistema de computador confiável permite (possibilita, capacita) a política de segurança para os dados que passam pelo sistema. Infração/violação ou a uma ameaça iminente de violação, das políticas de segurança, de princípios de segurança ou regras de segurança padrão de operação para as tecnologias da informação e comunicação. Sistema cuja tarefa é adquirir, analisar e correlacionar dados eventos em rede. Sistemas SIEM combinam os métodos de deteção e análise de eventos anormais na rede, fornecem informação útil para a gestão de redes e serviços operados. Combinação de uma classificação de segurança hierárquica e categoria de segurança, representando a sensibilidade (o quão sensível é) de um objeto ou credenciação de segurança de um indivíduo. Papel de funcionário que agirá como um garante (guardião) para a segurança de TI com responsabilidade e autoridade definidas. (1) Ao nível da organização, documento básico que define a estrutura de risco de segurança, responsabilidade para a proteção das informações dentro de uma organização, o nível de proteção da informação. (2) Ao nível do sistema, um conjunto de regras e práticas que especificam ou regulam a forma como o sistema (ou organização) fornece serviços de segurança, a fim de proteger os recursos sensíveis ou sistema críticos. Requisitos colocados sobre o sistema de informação que decorrem a partir de leis, instruções, as alterações legais, Pg. 68/85 Salvaguarda de segurança Security safeguards Desativar software de segurança Security software disabler Security standards Normas de segurança Vulnerabilidade de segurança Security vulnerability amendments, binding standards, internal regulations of an organization; environment where the system operates and the mission it fulfills; necessary for ensuring confidentiality, availability and integrity of information processed in the system. Protective measures to ensure security requirements put on the system. May vary in character (physical protection of equipment and information, personnel security – checking of employees, organizational measures – operational rules, and similar). It blocks software to secure the PC (Firewall, Antivirus). Set of recommendations and general principles to define, maintain and improve information security inside an organization. Intentional error or unintended defect or software error in general or in firmware of the communication infrastructure equipment which may be used by a potential attacker for harmful activity. These vulnerabilities are either known or published but yet untreated by the manufacturer, or hidden and undetected. In case of hidden vulnerabilities it is important whether these are detected sooner by the attacker, manufacturer, security analyst or user. Security vulnerabilities are therefore potential security threats. Security vulnerabilities can be eliminated by consequential security patches for the system. normas vinculativas, regulamentos internos de uma organização; ambiente em que o sistema opera e a missão (papel) que ele cumpre; necessários para assegurar a confidencialidade, disponibilidade e integridade das informações processadas no sistema. Medidas de proteção para garantir os requisitos de segurança colocados no sistema. Pode variar de caracter ( proteção física de equipamentos e de informações, segurança de pessoal - a verificação de empregados, medidas organizacionais - as regras de funcionamento , e similares). Ele bloqueia software para proteger o PC (Firewall, Antivírus ) . Conjunto de recomendações e princípios gerais para definir , manter e melhorar a segurança da informação dentro de uma organização . Erro intencional ou defeito não desejado ou erro de software em geral, ou no firmware dos equipamentos da infra-estrutura de comunicação que pode ser usada por um potencial invasor (atacante) para a atividade prejudicial. Essas vulnerabilidades são conhecidas ou publicadas, mas ainda não estão tratadas pelo fabricante, ou mesmo estarem escondidas e não serem ainda detetadas. No caso de vulnerabilidades ocultas é importante saber se têm sido detetadas anteriormente pelo atacante, fabricante, analista de segurança ou utilizador. As vulnerabilidades de segurança são, portanto, potenciais ameaças à segurança. As vulnerabilidades de segurança pode ser eliminadas por consequentes patches (remendos) de segurança para o sistema. Pg. 69/85 Dados sensíveis Informação Sensível (confidencial) Sensibilidade Cluster de servidor Serviço Sensitive data Sensitive information Sensitivity Server cluster Service Componente de serviço Service component Continuidade de serviço Service continuity Protected data having fundamental importance for the operation of an organization. Its leakage, abuse, unauthorized alteration or unavailability would mean damage to the organization, or, as the case may be, the organization would be unable to meet its objectives. Information which, on the basis of a decision by the relevant authority, must be protected, because access to it, modification, destruction, or loss would cause a substantial damage to someone or something. Measure of importance assigned to information by the owner of the information, describing the need for protection. Group of network servers used to increase the efficiency of internal processes by distributing load among individual linked components in order to speed up computing processes by using the power of more servers. When one server in the farm fails, another one can replace it. Activity of the information system meeting the given requirements of an authorized subject related to the function of the operating system. Independent component of a service which, when united with other components provides the whole service. Capability to manage risks and events which could seriously impact services, with the objective of providing continuous services at Dados protegidos que têm importância fundamental para o funcionamento de uma organização. Sua fuga, abuso, alteração não autorizada ou indisponibilidade significaria dano para a organização, ou, conforme o caso, a organização seria incapaz de cumprir os seus objectivos. Informação que, com base numa decisão da autoridade competente, deve ser protegida, porque o acesso a ela, modificação, destruição ou perda causaria um dano substancial a alguém ou a alguma coisa. Medida da importância atribuída à informação pelo proprietário da informação, que descreve a necessidade de uma proteção . Grupo de servidores de rede usados para aumentar a eficiência dos processos internos através da distribuição de carga entre os componentes individuais ligados, com vista a acelerar os processos de computação, usando o poder de mais servidores. Quando um servidor neste “viveiro” falhar, outro pode substitui -lo. Atividade do sistema de informação de acordo com os requisitos de um dado sujeito autorizado relacionado com a função do sistema operacional. Componente independente de um serviço o qual, quando unidos com outros componentes fornece todo o serviço. Capacidade de gerir riscos e eventos que podem afetar seriamente os serviços , e que tem como objetivo prestar serviços contínuos nos níveis acordados Pg. 70/85 Acordo de nível de serviço (SLA) Service level agreement (SLA) Declaração do nível Serviço (SLD) Service level declaration (SLD) Gestão de serviços Service management Service pack Service pack; pacote serviço Fornecedor de serviços Service provider Solicitação de serviço Service request Requisito de serviço Service requirement Identificador do conjunto de serviços (SSID) Service set identifier (SSID) Sexting Sexting the agreed levels. Documented agreement between the service provider and the customer which defines services and their parameters. Specification of offered services which can change on the basis of individual agreements according to the actual needs of individual customers. Hence, a more detailed SLA. See SLA. Set of capabilities and processes to manage and control the activities and sources of the service provider for the design, handover, delivery and improvement of services so that the requirements placed on them be met. Collection (pack) of several updates which could all be installed at the same time. Any natural or legal person providing some of the services of the information society. Request for information, advice, access to service, or for a previously agreed change. Needs of customers and users of services, including requirements for the service level and the needs of a service provider. Unique identifier (name) of every wireless (WiFi) computer network. Electronic distribution of text messages, photographies or videos with a sexual content. These materials often originate in partner relations. Such materials, however, may represent a risk that one partner, out of various motives, would publish photographs or videos of the other partner. Acordo sustentado em documento, entre o prestador de serviços e o cliente, que define os serviços e seus parâmetros. Especificação dos serviços oferecidos que podem mudar em função de acordos individuais de acordo com as reais necessidades dos clientes individuais. Assim, um SLA mais detalhado. Veja SLA. Conjunto de recursos e processos para gerir e controlar as atividades e fontes do prestador de serviços para a conceção, entrega (handover), entrega e melhoria dos serviços de modo que as exigências colocadas sobre eles sejam cumpridos. Coleção/conjunto (pacote) de diversas atualizações que poderão ser instaladas ao mesmo tempo. Qualquer pessoa singular ou coletiva que preste alguns dos serviços da sociedade da informação. Pedido de informação, aconselhamento, acesso ao serviço, ou para uma mudança previamente acordado. Necessidades dos clientes e usuários dos serviços, incluindo os requisitos para o nível de serviço e as necessidades de um prestador de serviços. Identificador único ( nome) de cada rede de computadores sem fio (WiFi) . Distribuição eletrônica de mensagens de texto , fotografias ou vídeos com conteúdo sexual. Estes materiais muitas vezes têm origem nas relações com parceiros. Esses materiais, no entanto, pode representar um risco de que um parceiro, por motivos diversos, irá publicar ou vídeos do outro parceiro. Pg. 71/85 Shareware Partilhar Protocolo de transferência de emails simples (SMTP) Simulação Sniffer A engenharia social rede social Shareware Sharing Simple mail transfer protocol (SMTP) Simulation Sniffer Social engineering Social network Freely distributed software protected by copyright. In case the user decides to use this software longer than the author permits, the user is obliged to satisfy conditions for use. These can be, for example, payment of a certain financial amount, user registration, etc. Possibility to have a portion at the same time of one or more information sources, memory or devices. Internet protocol for the transmission of messages of electronic mail. It describes communication among mail servers. Use of a data processing system to extract selected properties in the behavior of a physical or abstract system. Programe for the eavesdropping of all the protocols which a computer receives/sends (it is used, for example, for eavesdropping of access names or passwords, numbers of credit cards). Way of people manipulation in order to perform a certain action or to obtain a certain information. Interconnected group of people who interact. It is formed on the basis of interests, family ties or other reasons. This idea is at present often used in connection with internet and the onset of webs which are directly targeted at social networks (Facebook, Lidé.cz etc.), social networks can also form in interest communities around certain web sites, for example at their forums. Software distribuído livremente protegido por direitos de autores. Caso o utilizador decida utilizar este software mais do que as licenças de autor permitam, o utilizador é obrigado a satisfazer as condições para o seu uso. Estes podem ser, por exemplo , o pagamento de uma determinada quantia financeira , o registo do utilizador, etc Possibilidade de ter uma porção, ao mesmo tempo, de uma ou mais fontes de informação, memórias ou dispositivos. Protocolo de Internet para a transmissão de mensagens de correio eletrônico. Descreve a comunicação entre os servidores de correio. Uso de um sistema de processamento de dados para extrair as propriedades selecionadas no comportamento de um sistema físico ou abstrato. Programa para a escuta de todos os protocolos que um computador recebe / envia ( é utilizado , por exemplo, para escutas de nomes ou senhas de acesso , números de cartões de crédito ) . Modo de manipulação de pessoas, a fim de executar uma determinada ação ou obter uma determinada informação. Grupo interligado de pessoas que interagem. É formado com base em interesses, laços familiares ou outros motivos. Essa ideia é, atualmente, muitas vezes usada na conexão com internet e no aparecimento de telas que são diretamente direcionados às redes sociais (Facebook, Linkedin etc ), As redes sociais podem também se formar em comunidades de interesse em torno de determinados sites , por exemplo, em sua fóruns. Pg. 72/85 Software Pirataria de software Software Software piracy Spam Spam Spam Spamming Spear phishing Spoofing Spear phishing Spoofing Set of programs used in a computer which execute data processing or a concrete task. Software can be further subdivided into: a) system software – input/output devices, operating systems or graphics operation systems; b) application software – applications, simple utilities or complex programming systems; c) firmware – hardware control program. Unauthorized use, copying or distribution or software. Unsolicited mail such as commercials, or another unsolicited message, usually of a commercial character, which is distributed on the Internet. Most often these are offers for afrodisiacs, medicaments or pornography. Unless the system is adequately protected, unsolicited mail can make up a substantial part of electronic correspondence. Mass distribution of unsolicited messages by electronic means – most often by electronic mail. More sophisticated attack than Phishing, which uses prior obtained information about the victim. Thanks to a more focused targeting on a concrete user this method attains higher effect than a standard attack of the Phishing type. See Phishing Activity with the objective of deceiving (misleading) a user or operator usually by sporting a false identity. Conjunto de programas usados num computador que executam processamento de dados ou uma tarefa concreta. Software pode ser subdividido em: a) o software do sistema os dispositivos de entrada / saída , sistemas operativos ou sistemas de funcionamento gráfico, b) aplicação de software aplicativos , utilitários simples ou sistemas de programação complexas , c) firmware - programa de controle de hardware. O uso não autorizado, cópia ou distribuição ou software. Mensagens não solicitadas, tais como comerciais, ou outra mensagem não solicitadas, geralmente de caráter comercial, que é disseminado na Internet. Na maioria das vezes estas são ofertas para afrodisíacos, medicamentos ou pornografia . A menos que o sistema está devidamente protegido , correio não solicitado pode tornar -se uma parte substancial da correspondência eletrônica . Distribuição em massa de mensagens não solicitadas por meio eletrônico - na maioria das vezes por correio electrónico . Mais sofisticado ataque de phishing, que utiliza as informações antes obtidas sobre a vítima. Graças a um direcionamento mais focado sobre um usuário concreto este método alcança maior efeito do que um padrão de ataque do tipo phishing. Veja Phishing. Atividade com o objetivo de enganar (enganador) um utilizador ou operador geralmente ostentando uma identidade falsa. Pg. 73/85 Spyware Spyware Injeção de SQL SQL injection Estado de ciberperigo State of cyber danger Declaração de aplicabilidade Statement of applicability Prevenção Linguagem de Query estruturadas ( SQL) Stuxnet Stealth Structured query language (SQL) Stuxnet Program which secretly monitors the behavior of an authorized computer or system user. The findings are sent by these programs continuously (e.g. at every startup) to the subject which created the program or distributed it. Such programs are frequently installed on the target computer together with another program (utility, computer game), however, they bear no relation to it. Injection technique which abuses security errors occuring in the database layer of an application. This security error manifests itself by infiltrating unauthorized characters into an SQL command of an authorized user, or by taking over user access, to execute the SQL command. Under cyber danger we understand such a state when there is a large measure of danger to information security in information systems or security of services or of electronic communications. Documented statement describing the objectives of measures and the measures which are relevant and applicable for the ISMS of a given organization. Prevention or limitation of object's identification. Standard query language used to work with data in relational databases. Computer worm created to attack industrial control systems of the SCADA type used to Programa que monitoriza secretamente o comportamento de um utilizador de computador ou sistema autorizado. Os resultados são enviados por esses programas de forma contínua (por exemplo, a cada inicialização) para o sujeito que criou o programa ou distribuiu. Tais programas são frequentemente instalados no computador de destino , juntamente com outro programa (utilitário, jogo de computador ), no entanto, eles não têm relação com ele. Técnica de injeção que abusa da ocorrência de erros de segurança na camada de base de dados de uma aplicação. Este erro de segurança manifesta-se a si próprio por infiltração de caracteres não autorizadas num comando SQL de um utilizador autorizado , ou por tomar (assumir) o acesso do utilizador , para executar o comando SQL. Sob perigo cibernético entendemos como um estado em que há uma grande medida de perigo para a segurança da informação nos sistemas de informação ou segurança dos serviços ou de comunicações eletrônicas. Declaração documentada que descreve os objetivos das medidas e as medidas que são relevantes e aplicáveis para o SGSI de uma dada organização. Prevenção ou limitação de identificação do objeto. Linguagem de consulta padrão usado para trabalhar com dados em bases de dados relacionais. Virus (Worm) de computador criado para atacar sistemas do tipo SCADA usado para controlar as grandes empresas Pg. 74/85 Sujeito/individuo Sujeito da infra-estrutura crítica Sistemas de Supervisão e Aquisição de Dados (SCADA) SYN -cookies SYN -flood Subject Subject of critical infrastructure Supervisory control and data acquisition (SCADA) SYN-cookies SYN-flood control large industrial enterprises, for example factories, power generating plants, product lines and even military objects. In computer security, an active entity which can access objects. Operator of an element of critical infrastructure; if it is an operator of an element of the European critical infrastructure, the operator is considered to be a subject of the European critical infrastructure. Computer system for the dispatcher control and data acquisition. It could be industrial control systems, or computer systems for monitoring and process control. The processes could be industrial ones (e.g. electrical energy generation, manufacture and purification of fuel), infrastructural (e.g. treatment and distribution of drinking water, taking away and purification of sewage, oil and gas pipes, civilian systems of antiaircraft defence – sirens, and large communication systems), and facilities (e.g. airports, railway stations and hubs). Element of defence against a flooding by packets in the TCP protocol with the attribute SYN. See SYN-Flood. Cyber attack (Denial of Service type) on a server by flooding with packets in the TCP protocol. The attacker sends a flood of TCP/SYN packets with a forged heading of the sender. The server accepts every such packet as a normal request for a connection. Server then sends out the industriais de grande controlo, por exemplo, fábricas, centrais de geração de energia , linhas de produtos e objetos e mesmo de objetos militares . Em segurança de computadores, uma entidade ativa, que pode aceder a objetos . Operador de um elemento de infraestrutura crítica. Se é um operador de um elemento de infraestrutura crítica Europeu, o operador é considerado ser um operador de infraestrutura crítica europeia. Sistema de computador para o controle despachante e aquisição de dados. Podem ser sistemas de controle industrial, ou sistemas de computador para monitorização e controle de processos. Os processos podem ser industriais (por exemplo, a produção de energia elétrica, fabricação e purificação de combustível), de infraestruturas (por exemplo, tratamento e distribuição de água potável, saneamento e tratamento de esgotos, pipelines de petróleo e gás, sistemas civis de defesa antiaérea - sirenes e grandes sistemas de comunicação), e instalações (por exemplo, aeroportos, estações ferroviárias e hubs ) . Em suma, são sistemas que utilizam software para monitorizar e supervisionar as variáveis e os dispositivos de sistemas de controle conectados através de controladores (drivers) específicos. Estes sistemas podem assumir topologia mono-posto, cliente-servidor ou múltiplos servidores-clientes (wiki). Elemento de defesa contra a inundação de pacotes no protocolo TCP com o atributo SYN . Veja SYN- Flood . Ciberataque (Negação do tipo de serviço ) a um servidor por inundação/saturação com pacotes no protocolo TCP. O atacante envia um elevado fluxo (inundação) de pacotes TCP / SYN com um título do remetente forjado. O servidor aceita todos os pacotes, como um pedido normal para ligação. O servidor então envia o pacote SYN- ACK e aguarda o ACK . Este, porém, nunca chega porque o título do remetente foi Pg. 75/85 Administrador de sistema Integridade do sistema TCP SYN floods System administrator System Integrity TCP SYN flood TERENA TERENA TF- CSIRT TF-CSIRT SYN-ACK packet and waits for the ACK packet. This however never arrives as the heading of the sender was forged. Such a semi-open request blocks out, for some time, other legitimate requests for a connection. See DoS, DDoS, SYN-cookie. Person responsible for the management and maintenance of a computer system. Quality of a data processing system fulfilling its operational purpose and at the same time preventing unauthorized users from making changes in resources or from using the resources or from improper use of these. Property that a system performs its intended function without disruption, without intentional or accidental non-automated system manipulation. Type of a DDoS attack, it sends a flood of TCP/SYN packets with a forged heading of the sender. Each such packet is accepted by the server as a normal request for a connection. Server then sends out a TCP/SYN-ACK packet and waits for TCP/ACK. This however never arrives as the user heading was forged. Thus a half-open request blocks, for some time, other legitimate requests for a connection. Trans-European Research and Education Networking Association, a European international organization supporting activities in the area of internet, infrastructures and services in the academic community. International forum enabling the cooperation of forjado. Tal pedido semiaberto bloqueia , por algum tempo, outros pedidos legítimos para uma conexão. Veja DoS, DDoS, SYN- cookie. Responsável pela gestão e manutenção de um sistema de computador. Qualidade de um sistema de processamento de dados cumprindo seu propósito operacional e ao mesmo tempo impedindo que utilizadores não autorizados façam alterações em recursos ou usem os recursos ou façam utilização indevida desses. Propriedade que se refere a que um sistema executa sua função sem interrupção, sem manipulação no sistema não- automatizado intencional ou acidental Tipo de um ataque DDoS que envia uma inundação de pacotes TCP / SYN com um título do remetente forjado. Cada um desses pacotes é aceite pelo servidor como um pedido normal para uma conexão. O servidor então envia um pacote TCP / SYN- ACK e aguarda por TCP/ACK . Este, porém, nunca chega porque o título de utilizador foi forjado. Assim, pedidos semi-aberto bloqueiam, por algum tempo, outros pedidos legítimos para uma conexão. Associação da Rede de Pesquisa e Educação Transeuropeia (TERENA, Trans-European Research and Education Networking Association ) é uma organização internacional Europeia para apoiar atividades na área de internet, infra-estruturas e serviços na comunidade acadêmica. Fórum internacional que permite a colaboração de equipes Pg. 76/85 Terceiros Third party ameaça Threat Análise de ameaças bomba lógica Domínio de nível superior (TLD ) Threat analysis Time bomb Top level domain (TLD) CSIRT teams on a European level. It is divided into two groups – a closed one which is open only to accredited teams, and an open one which is accessible to all parties interested in the CSIRT teams' work. TF-CSIRT is one of the activities of the TERENA international organization. Working group TF-CSIRT meets usually several times per year. Person or organization independent both of the person or the organization which submits the object to be judged for compliance (product, service) and also independent of the purchaser of the object. Potential cause of an unwanted incident which may result in damage to a system or organization. CSIRT ao nível europeu . Ele é dividido em dois grupos - um fechado que apenas está aberto para as equipes credenciadas, e um aberto, que é acessível a todas as partes interessadas no trabalho das equipes CSIRT. TF- CSIRT é uma das atividades da organização internacional TERENA . Grupo de trabalho TF- CSIRT reune geralmente várias vezes por ano. Analysis of activities and events which could negatively affect IT service quality (system of data processing and transfer) and/or data proper. Análise de atividades e eventos que podem afetar negativamente a qualidade dos serviços de TI (sistema de processamento de dados e transferência ) e /ou dados propriamente. bomba lógica ativada em um tempo pré-determinado. Logical bomb activated at a predetermined time. This is the internet domain at the highest level in the tree of internet domains. In the domain name, top level domain is given at the end (e.g. in nic.cz, cz is the top level domain). Top level domains are fixed by the internet standards organization IANA: a) National TLD (countrycode TLD, ccTLD) unites domains in one country. Their name has two letters, with exceptions corresponding to country code per ISO 3166-1, e.g. cz for the Czech Republic; b) Pessoa ou organização independente tanto da pessoa ou da organização que submete o objeto a ser julgado pela conformidade (produto, serviço) e que é também independente do comprador do objeto. Potencial causa de um incidente indesejado que pode resultar em danos para um sistema ou entidade/organização. Este é o domínio internet ao mais alto nível na árvore de domínios de internet. No nome de domínio, o domínio de nível superior (TLD) é dado no final (por exemplo, em xxx.pt , PT é o domínio de nível superior) .Os domínios de nível superior são fixados pela organização de normas da internet (IANA): a) TLD Nacional (country -code TLD, ccTLD) une domínios num país. Seu nome tem duas letras, com exceções correspondentes ao código de país ISO 3166-1 , por exemplo, PT para Portugal , b) TLD genérico ( TLD genéricos , gTLD ) é comum para um determinado tipo de temas (por exemplo, aero, biz , com, info, museu , org, ... ), não vinculados a um país concreto (com exceções TLD mil e gov que por razões históricas são Pg. 77/85 Alta administração/gestão de topo torrente Análise de tráfego Transição Protocolo de Transmissão de Controlo (TCP) Top management Torrent Traffic analysis Transition Transmission control protocol (TCP) Generic TLD (generic TLD, gTLD) is common for a given type of subjects (e.g. aero, biz, com, info, museum, org,...) not tied to one concrete country (with exceptions TLD mil and gov which out of historical reasons are assigned for military and government computer networks in the U.S.A.); c) Infrastructure TLD used for the internal mechanisms of the internet. At present there is just one such TLD: arpa, used by the DNS system. Person or a group of persons who lead the organization at the highest level. This is a file with the ending .Torrent which contains information about one or more files to be downloaded. See BitTorrent. Simple and advanced mathematical and visual methods for the analysis of data traffic TCP/IP in a computer network. See Analysis. Activity related to a shift of new or altered service into or out of the operational environment. It is one of the basic protocols in the protocol set of the Internet; more precisely it represents the transport layer. Using the TCP, applications on interconnected computers can link up and transmit data over the links. The protocol guarantees a reliable delivery as well as delivery in the right order. TCP also differentiates data for multiple concurrently running applications (e.g. a web server and email server) running on the same computer. TCP is supported by many of the application protocols and applications designados para redes de computadores militares e do governo dos EUA ), c ) Infraestrutura TLD usada para os mecanismos internos da internet. Atualmente, existe apenas um desses TLD: arpa, usado pelo sistema DNS. Pessoa ou um grupo de pessoas que lideram a organização ao mais alto nível. Este é um ficheiro com o final. Torrente que contém informação acerca de um ou mais ficheiros a serem baixados (download). Veja BitTorrent. Métodos matemáticos simples e avançados e métodos visuais para análise do tráfego de dados TCP / IP numa rede de computadores . Veja Análise. Atividade relacionada a uma mudança de serviço novo ou alterado dentro ou fora do ambiente operacional. É um dos protocolos de base no conjunto de protocolo da Internet; mais precisamente representa a camada de transporte. Usando o protocolo TCP, as aplicações sobre computadores interligados podem ligar e transmitir dados sobre os links. O protocolo garante uma entrega confiável, bem como a entrega na ordem certa. TCP também diferencia os dados para várias aplicações correndo simultaneamente (por exemplo, um servidor web e servidor de email) no mesmo computador. TCP é suportado por muitos dos protocolos de aplicação e aplicações populares na internet, incluindo WWW , e-mail e SSH. Pg. 78/85 Segurança do nível transporte (TLS) Transport layer security (TLS) Segurança na camada de transporte (TLS, Transport Layer Security) Transport layer security (TLS) Cavalo de Tróia Trojan horse Sistema de computador confiável Trusted computer system Apresentador confiável Trusted introducer popular on the internet, including WWW, email and SSH. A cryptographic protocol that provide communication security over the Internet. They use asymmetric cryptography for authentication of key exchange, symmetric encryption for confidentiality and message authentication codes for message integrity. Several versions of the protocols are in widespread use in applications such as web browsing, electronic mail, Internet faxing, instant messaging and voice-over-IP (VoIP). A cryptographic protocol that provide communication security over the Internet. They use asymmetric cryptography for authentication of key exchange, symmetric encryption for confidentiality and message authentication codes for message integrity. Several versions of the protocols are in widespread use in applications such as web browsing, electronic mail, Internet faxing, instant messaging and voice-over-IP (VoIP). Program which executes a useful function, taken at face value, but in reality has also some hidden harmful function. Trojan horse does not self-replicate, it is distributed thanks to the visible utility it provides Data processing system having sufficient computer security to allow for a concurrent access to data to users with different access rights and to data with different security classification and security categories. Authority uniting European security teams of Um protocolo criptográfico que garante segurança da comunicação naa Internet. Usa criptografia assimétrica para autenticação de troca de chaves, a criptografia simétrica para confidencialidade e e códigos de autenticação de mensagens para a integridade da mensagem . Várias versões de protocolos estão em uso generalizado nas aplicações, tais como navegação na web, correio eletrônico, fax Internet, mensagens instantâneas e voz sobre IP (VoIP). Um protocolo criptográfico que fornece segurança de comunicação sobre (através de) a Internet. Eles usam criptografia assimétrica para autenticação de troca de chaves , a criptografia simétrica de confidencialidade e de códigos de autenticação de mensagens para a integridade da mensagem . Várias versões de protocolos estão em uso generalizado nas aplicações, tais como navegação na web, correio eletrônico, fax Internet, mensagens instantâneas e voz sobre IP (VoIP). Programa que executa uma função útil, tomada como certa , mas na realidade também tem uma função prejudicial (nociva) escondida. Os Cavalo de Troia não se auto-replicam, é distribuído graças à utilidade visível que ele proporciona. Sistema de processamento de dados que tem suficiente segurança do computador para permitir um acesso simultâneo a dados por utilizadores com diferentes direitos de acesso e a dados com classificação de segurança e categorias de segurança diferentes. Autoridade unindo equipas europeias do tipo CERT / CSIRT Pg. 79/85 inundação UDP UDP flood Localizador de Recursos Uniforme (Uniform Resource Locator, URL) Uniform resource locator (URL) Identificador único universal (UUID) Universal unique identifier (UUID) URL trojan Utilizador Protocolo datagrama do utilizador (User Datagram URL trojan User User datagram the type CERT/CSIRT. At the same time it also helps in creating the CERT/CSIRT teams and provides for their accreditation and certification. It is operated by the TERENA organization. See TERENA. This is a type of an attack using the User datagram protocol (UDP). The attacker sends out an unspecified number of packets to a random port of the system of the victim. Receiving system of the victim is unable to determine which application requested such a packet, which generates an ICMP packet of undeliverabilty of the UDP packet. If more UDP packets arrive in the receiving port of the victim, the system may collapse. Source identifier describing the location of a concrete source, including a protocol, serving to link to this source. The best known such an example is http://www.somedomain.somewhere. An identifier standard used in software construction, standardized by the Open Software Foundation (OSF) as part of the Distributed Computing Environment (DCE). It redirects infected computers connected via the dial-in Internet connection to more expensive rates. See Dialer and Trojan Horse. Any natural or legal person using a service of the information society in order to look for, or make access to, information. An Internet networking protocol for segurança. Ao mesmo tempo, também ajuda na criação das equipas CERT / CSIRT e possibilita a sua acreditação e certificação. é operada pela organização TERENA . Veja TERENA . Este é um tipo de ataque utilizando o protocolo de datagrama de utilizador (UDP). O atacante envia um número indeterminado de pacotes para uma porta aleatória do sistema da vítima. O sistema recetor da vítima é incapaz de determinar qual aplicativo solicitou um tal pacote , o que gera um pacote ICMP de não entrega do pacote UDP. Se houver mais pacotes UDP a chegar à porta de receção da vítima, o sistema pode entrar em colapso . Identificador de fonte que descreve a localização de uma fonte, incluindo um protocolo, que serve para ligar a essa fonte. O exemplo mais conhecido é http://www.somedomain.somewhere . Um padrão de identificador utilizado na construção de software, padronizada pela Fundação de Software Open (Open Software Foundation, OSF) como parte do Ambiente de Computação Distribuído (DCE) . Ele redireciona computadores infetados conectados via dialem conexão com a Internet para as taxas mais caras. Veja Dialer e cavalo de tróia . Qualquer pessoa singular ou coletiva que utiliza um serviço da sociedade da informação com a finalidade de procurar, ou condicionar o acesso a informações. Um protocolo de rede Internet para comunicação sem conexão (RFC 768). Pg. 80/85 Protocol UDP) Identificação do utilizador Perfil do utilizador Rede local virtual (VLAN) Rede virtual privada (VPN) Vírus Análise de vírus protocol (UDP) User identification User profile Virtual local area network (VLAN) Virtual private network (VPN) Virus Virus analysis connectionless communications (RFC 768) Character string or a formula used by a data processing system for user identification. Description of a user typically used for access control. It may include data such as user ID, user name, password, access rights and other attributes. Logically independent network in the framework of one or more devices. Virtual networks can be defined as the domains of alldirectional broadcast (See LAN) with the objective of making the logical network organization independent of the physical network. This is a private computer network allowing for the connection of remote users to the target LAN via the Internet. Security is tackled using an encrypted tunnel between two points (or among one and several points). Identity of both parties is verified using digital certificates when making the connection. Type of malware spreading from one computer to another by attaching itself to other applications. Consequently it may cause unwanted and dangerous activity. Usually it has a built-in mechanism for further distribution or mutations. Complex activity including the analysis of computer virus behaviour (how it spreads, hides, damage caused by the virus), analysis of virus code, finding of the virus and its removal from files, or rectification of damage caused by the virus. More also in disassembly, debugger, tracing, code emulation. Cadeia de caracteres ou uma fórmula usada por um sistema de processamento de dados para identificação do utilizador Descrição de um utilizador típico usado para controle de acesso. Pode incluir dados como ID de usuário, nome de utilizador, senha, direitos de acesso e outros atributos . Rede independente logicamente no âmbito de um ou mais dispositivos. Redes virtuais podem ser definidas como os domínios de transmissão multi-direcional (Veja LAN) com o objetivo de tornar a organização de rede lógica independente da rede física. Esta é uma rede de computadores privada (particular) que permite a ligação dos utilizadores remotos ao LAN alvo através da Internet. A segurança é abordado através de um túnel criptografado entre dois pontos (ou entre um e vários pontos). Identidade de ambas as partes é verificada usando de certificados digitais ao fazer a conexão. Tipo de malware espalhado de um computador para outro, unindo-se a outras aplicações . Em consequência, pode causar atividade indesejada e perigosa. Geralmente tem um mecanismo de built-in para posterior distribuição ou mutações. Atividade complexa que inclui a análise do comportamento do vírus de computador (como ele se espalha, se esconde, os danos causados pelo vírus), a análise do código do vírus, encontrando o vírus e a sua remoção de ficheiros, ou retificação dos danos causados pelo vírus. Inclui ainda a desmontagem, depurador (debugger), deteção, emulação de código. Pg. 81/85 assinatura de vírus Virus signature vulnerabilidade Vulnerability Análise de vulnerabilidades Vulnerability analysis Avaliação da vulnerabilidade Vulnerability assessment A avaliação da vulnerabilidade e gestão de vulnerabilidades (VA / VM ) Gestão de vulnerabilidades Wardriving Warez Vulnerability assessment and vulnerability management (VA/VM) Vulnerability management Wardriving Warez Unique bit string which sufficiently identifies the virus and which can be used by a scanning program to detect virus presence. Weak spot of an asset or control which can be made use of by a threat. Systematic analysis of a system and operating services in view of security weaknesses and the efficiency of security measures. Process of identifying, quantifying, and prioritizing (or ranking) the vulnerabilities in a system. See Vulnerability assessment and Vulnerability management. Cyclical practice of identifying, classifying, remediating, and mitigating vulnerabilities. This practice generally refers to software vulnerabilities in computing systems however it can also extend to organizational behavior and strategic decision-making processes. Searching for insecure wireless Wi-Fi networks by a person sitting in a means of transport, using a notebook, PDA or smartphone. Term from the computer slang denoting copyright-protected creations which are treated in violation of the copyright. Warez is sometimes split into gamez (computer games), appz (applications), crackz (cracks) and also moviez (films). Today, the most frequent way of distribution is mainly the Internet. Cadeia única de bit que identifica suficientemente o vírus e que pode ser usado por um programa de verificação para detetar a presença de vírus. Ponto fraco de um ativo ou controle os quais podem ser usados por uma ameaça. Análise sistemática de um sistema e operação de serviços tendo em vista as falhas de segurança e a eficiência de medidas de segurança. Processo de identificação, quantificação e priorização (ou ranking) das vulnerabilidades num sistema. Ver Avaliação de vulnerabilidade e gestão de vulnerabilidades. Prática cíclica de identificar, classificar, corrigindo e atenuar vulnerabilidades. Esta prática geralmente se refere a vulnerabilidades de software nos sistemas de computação no entanto isso também pode ser estendido ao comportamento organizacional e dos processos de tomada de decisão estratégica. Procura de redes sem fio Wi- Fi inseguras (desprotegidas) levada a cabo por uma pessoa sentada num meio de transporte, usando um notebook, PDA ou smartphone. Termo da gíria de computadores revelando criações protegidos por direitos de autor que são tratados na violação do direito de autor. Warez às vezes é dividido em gamez (jogos de computador) , appz ( aplicações ), crackz (cracks) e também moviez (cinema). Hoje em dia, a forma mais frequente de distribuição é, maioritariamente, a Internet . Pg. 82/85 watchdog timer; temporizador cão de guarda Watchdog timer Vandalismo Web Web vandalism Webtapping Chapéu branco Webtapping White hat Whois Whois WiFi WiFi An electronic timer that is used to detect and recover from computer malfunctions. During normal operation, the computer regularly restarts the watchdog timer to prevent it from elapsing, or "timing out". If, due to a hardware fault or program error, the computer fails to restart the watchdog, the timer will elapse and generate a timeout signal. The timeout signal is used to initiate corrective action or actions. The corrective actions typically include placing the computer system in a safe state and restoring normal system operation. Attack which alters (defaces) web pages or causes a service denial (denial-of-service attacks). Monitoring of web pages which may contain classified or sensitive information, and of people, who have access to them. Ethical hacker who is often employed as an expert in computer security, programmer or network administrator. He or she specializes on penetration tests and other testing methodologies to ensure IT security in an organization. Internet service to find contact data of the owners of internet domains and IP addresses. Wireless technology for data distribution ("by air"), suitable for the creation of network infrastructures in places where the building of a classical cable network is impossible, difficult or not cost-effective (cultural monuments, sports Um temporizador eletrónico que é utilizado para detetar e recuperar do mau funcionamento do computador. Durante o funcionamento normal, o computador reinicia regularmente o temporizador de vigilância para impedir que decorra muito tempo, ou esteja " fora de tempo ". Se, devido a uma falha de hardware ou erro de programa, o computador não consegue reiniciar o watchdog, o temporizador irá decorrer e gera um sinal de fora de tempo (timeout). O sinal de tempo limite é utilizado para iniciar ações corretivas ou ações. As ações corretivas normalmente incluem a colocação do sistema de computador num estado (state) seguro e restaurar a operação normal do sistema. Ataque que altera (desfigura) páginas da web ou causa uma negação de serviço (ataques de negação de serviço). Monitorização de páginas da web que podem conter informação classificada ou sensível, e de pessoas, que têm acesso a eles. Hacker ético que muitas vezes é empregado como um especialista em segurança de computadores, programador ou administrador de rede. É alguém especializado em testes de penetração e outras metodologias de testes para garantir a segurança de TI numa organização. Serviço de Internet para encontrar dados de contacto dos proprietários de domínios de internet e endereços IP. Tecnologia sem fio para a distribuição de dados ("pelo ar"), apropriada para a criação de rede de infraestruturas em locais onde a construção duma rede de cabo clássica é impossível, difícil ou não rentável (monumentos culturais, instalações desportivas, espaços de feiras). Sucessivos pontos de acesso adequadamente situados ao longo do trajeto a partir do transmissor para o recetor são suficientes para a transmissão Pg. 83/85 WiMax Wireshark WiMax Wireshark Wiretapping Wiretapping Estação de trabalho Workstation World Wide Web ( WWW) Verme; worm World wide web (WWW) Worm facilities, fair grounds). Suitably located successive points of access along the route from the transmitter to the recipient are sufficient for data transmission. Telecommunication technology providing wireless data transmission using various transmission modes, from point-to-multipoint to completely mobile internet access for the transmission. Formerly Ethereal. Protocol analyzer and packet sniffer which enables eavesdropping of all protocols which the computer receives and sends via an interface. Wireshark can decode the whole packet and show it in a way as sent out by the computer. Its advantage is that it is distributed under a free license GNU/GPL. This is any tapping of a telephone transmission or conversation done without the consent of both parties, by accessing the telephone signal proper. Functional unit, usually with specific computing capabilities, having user input and output devices, e.g. a programmable terminal or a stand-alone computer. Graphically-oriented service of the Internet – a system of interconnected hypertext pages using formatted text, graphics, animation and sounds. Autonomous programme (subset of Malware) capable of creating its copies which it then sends out to other computer systems (networks) where these pursue further de dados. Tecnologia de telecomunicações fornecendo transmissão de dados sem fio usando vários modos de transmissão, a partir do ponto -multiponto para acesso a internet completamente móvel para a transmissão. Anteriormente Ethereal. Analisador de protocolo e Sniffer de pacote que permite escuta de todos os protocolos que o computador recebe e envia através de uma interface. Wireshark pode descodificar o pacote inteiro e mostrá-lo de uma forma como enviado pelo computador. Sua vantagem é que ele é distribuído sob uma licença livre GNU / GPL. Este é qualquer batida de uma transmissão de telefone ou conversa feita sem o consentimento de ambas as partes, através do acesso a sinal de telefone adequado. Unidade funcional, geralmente com recursos de computação específicos, com a entrada para o utilizador e os dispositivos de saída, por exemplo, um terminal programável ou um computador autónomo. Serviço graficamente orientada da Internet - um sistema de páginas de hipertexto interligados através de texto formatado, gráficos, animações e sons. Programa autônomo (subconjunto de malware ) capaz de criar suas cópias que envia para outros sistemas computacionais (redes) , onde estes prosseguem as atividades para que foram programados. Muitas vezes, ele pode servir para detetar falhas de segurança em sistemas ou programas de correio (mail). Pg. 84/85 X.509 zombie X.509 Zombie activities they have been programmed for. Often it may serve to detect security holes in systems or mail programmes. Standard for systems based on the public key (PKI) for simple signatures. X.509 specifies, for example, the format of a certificate, lists of cancelled certificates, parameters of certificates and methods for checking the validity of certificates. Infected computer which is part of botnet networks. Padrão para sistemas baseados na chave pública (PKI) para assinaturas simples. X.509 especifica, por exemplo, o formato de um certificado, lista de certificados cancelados, parâmetros de certificados e métodos para verificação da validade dos certificados. Computador infetado, que faz parte das redes botnet. Pg. 85/85