Integração e Gestão de Sistemas de Informação

Categoria: CorporateNews&Info

Mantenha-se informado sobre as novidades da HJFR.Info e as últimas tendências do setor tecnológico que impactam o seu negócio.
Esta categoria é o seu canal direto para acompanhar a evolução da nossa empresa, conhecer os nossos projetos mais recentes e estar a par das inovações que moldam o futuro da tecnologia empresarial em Portugal e no mundo.
O que encontrará aqui:
Novidades da Empresa
Anúncios sobre novos serviços, parcerias estratégicas, certificações obtidas e marcos importantes no desenvolvimento da HJFR.Info.
Projetos e Cases de Sucesso
Histórias reais de implementações bem-sucedidas, desafios superados e soluções inovadoras desenvolvidas para os nossos clientes.
Tendências do Mercado
Análises sobre as principais tendências tecnológicas, transformação digital e como estas afetam as empresas portuguesas de todos os setores.
Atualizações de Serviços
Informações sobre melhorias nos nossos serviços existentes, novas funcionalidades e expansão da nossa oferta tecnológica.
Eventos e Participações
Presença da HJFR.Info em eventos do setor, workshops, formações e outras iniciativas que reforçam o nosso compromisso com a excelência e a partilha de conhecimento.
Insights da Indústria
Perspetivas profissionais sobre regulamentação, segurança da informação, conformidade e outros temas relevantes para gestores e decisores de TI.
Fique a par de tudo o que acontece na HJFR.Info e no universo tecnológico que impacta diretamente a competitividade e segurança do seu negócio.

  • Meta Vai Remover Encriptação Ponta-a-Ponta no Instagram: Privacidade vs. Regulamentação Europeia

    Meta Vai Remover Encriptação Ponta-a-Ponta no Instagram: Privacidade vs. Regulamentação Europeia

    Artigo de sensibilização sobre privacidade digital — baseado na notícia original publicada por Ravie Lakshmanan em 13 de março de 2026 no The Hacker News.

    O que está a acontecer?

    A Meta anunciou que vai descontinuar o suporte à encriptação ponto-a-ponto (E2EE) nas mensagens diretas do Instagram a partir de 8 de maio de 2026.

    Os utilizadores afetados receberão instruções para descarregar as suas mensagens e conteúdos multimédia antes da remoção da funcionalidade.

    A justificação oficial da Meta é simples: “Muito poucos utilizadores estavam a optar pela encriptação ponta-a-ponta nas mensagens diretas, pelo que vamos remover esta opção do Instagram nos próximos meses.”

    A empresa recomenda que os utilizadores que pretendam comunicações encriptadas migrem para o WhatsApp.

    O contexto europeu: entre a privacidade e a segurança

    Esta decisão não surge isolada.

    Insere-se num debate mais amplo que atravessa toda a Europa sobre o equilíbrio entre o direito à privacidade e as necessidades de segurança pública.

    A Comissão Europeia tem vindo a preparar um Roteiro Tecnológico sobre encriptação, que procura encontrar soluções de acesso legal para as autoridades policiais sem comprometer as proteções de cibersegurança.

    Na União Europeia, dois pilares regulamentares fundamentais estão em tensão:

    • O Regulamento Geral sobre a Proteção de Dados (RGPD): consagra o direito à privacidade e à proteção de dados pessoais, incentivando medidas técnicas robustas como a encriptação;
    • Propostas legislativas de combate ao abuso sexual de menores (CSAM) e ao terrorismo: exigem que as plataformas possam detetar e reportar conteúdos ilegais, o que se torna tecnicamente impossível quando as comunicações são encriptadas de ponta a ponta.

    A este cenário junta-se o Digital Services Act (DSA), que impõe obrigações acrescidas de moderação de conteúdos às grandes plataformas, e o Digital Markets Act (DMA), que promove a interoperabilidade — ambos com implicações indiretas na forma como a encriptação é implementada.

    O dilema da encriptação: dois lados da mesma moeda

    A favor da encriptação ponta-a-ponta

    • Proteção da privacidade: A E2EE garante que apenas o remetente e o destinatário podem ler as mensagens, protegendo contra vigilância indevida, fugas de dados e acessos não autorizados;
    • Segurança de grupos vulneráveis: Jornalistas, ativistas, dissidentes políticos e vítimas de violência doméstica dependem de comunicações seguras para a sua proteção;
    • Confiança dos utilizadores: A encriptação é um fator de confiança fundamental na relação entre utilizadores e plataformas digitais;
    • Conformidade com o RGPD: A encriptação é expressamente mencionada como uma medida técnica adequada para proteger dados pessoais.

    Argumentos para limitar a encriptação

    • Combate à criminalidade: As autoridades policiais argumentam que a E2EE cria “zonas escuras” onde não é possível investigar crimes graves, como o abuso sexual de menores;
    • Deteção de conteúdos ilegais: Em 2019, alertas internos da própria Meta indicaram que a encriptação dificultaria a deteção de material de abuso sexual infantil (CSAM) e propaganda terrorista;
    • Responsabilidade das plataformas: O DSA obriga as grandes plataformas a agir contra conteúdos ilegais — uma obrigação difícil de cumprir quando o conteúdo é invisível para a própria plataforma.

    A decisão da Meta: pragmatismo ou recuo na privacidade?

    A remoção da E2EE no Instagram levanta questões pertinentes.

    A Meta argumenta que a baixa adesão justifica a decisão, mas é legítimo questionar se esta funcionalidade alguma vez foi devidamente promovida junto dos utilizadores. A E2EE no Instagram nunca foi ativada por defeito e manteve-se como opção limitada desde os primeiros testes em 2021.

    Esta abordagem contrasta com o WhatsApp, onde a encriptação é ativada por defeito desde 2016.

    A estratégia da Meta parece ser a de consolidar a encriptação numa única plataforma (WhatsApp), simplificando a sua posição regulatória ao reduzir o número de serviços que necessitam de cumprir com requisitos técnicos complexos.

    Não podemos ignorar que esta decisão também pode ser vista como uma cedência preventiva face à pressão regulatória europeia.

    A Comissão Europeia está ativamente a explorar mecanismos de “acesso legal” à encriptação, e a Meta pode estar a posicionar-se estrategicamente antes que novas regras sejam impostas.

    Tendência mais ampla: o TikTok também recua

    A decisão da Meta não é isolada.

    O TikTok anunciou recentemente que não irá introduzir encriptação ponta-a-ponta nas suas mensagens diretas, citando preocupações com a segurança dos utilizadores.

    Está a formar-se uma tendência preocupante em que as grandes plataformas recuam na implementação de medidas de privacidade, possivelmente antecipando o quadro regulatório europeu.

    O que significa isto para os utilizadores europeus?

    Para os cidadãos europeus, esta situação tem implicações práticas e de princípio:

    1. Menos privacidade por defeito: As mensagens no Instagram deixarão de ter a opção de encriptação, ficando acessíveis à Meta e, potencialmente, a autoridades mediante pedido legal;
    2. Fragmentação da segurança: Os utilizadores terão de escolher conscientemente plataformas com E2EE (como o WhatsApp ou Signal) se pretenderem comunicações verdadeiramente privadas;
    3. Precedente regulatório: Se esta tendência se consolidar, poderá abrir caminho para que outras plataformas também removam ou limitem funcionalidades de encriptação;
    4. Ação antes de maio: Os utilizadores do Instagram que utilizam mensagens encriptadas devem descarregar os seus conteúdos antes de 8 de maio de 2026.

    Recomendações de privacidade

    • Avalie as suas comunicações: Identifique quais as conversas que requerem encriptação e migre-as para plataformas que ofereçam E2EE por defeito;
    • Não confie apenas numa plataforma: Diversifique os canais de comunicação sensíveis e não dependa de uma única empresa para garantir a sua privacidade;
    • Mantenha-se informado: Acompanhe a evolução do Roteiro Tecnológico da Comissão Europeia sobre encriptação, pois terá impacto direto nos serviços que utiliza;
    • Exerça os seus direitos: O RGPD confere-lhe o direito de saber como os seus dados são tratados — utilize-o para questionar as plataformas sobre as suas políticas de encriptação.

    Fonte original: Lakshmanan, R. (2026, 13 de março). Meta to Shut Down Instagram End-to-End Encrypted Chat Support Starting May 2026. The Hacker News. https://thehackernews.com/2026/03/meta-to-shut-down-instagram-end-to-end.html

    Este artigo tem como objetivo a sensibilização para a privacidade e cibersegurança. A informação apresentada é uma análise baseada na notícia original, elaborada para fins educativos e de consciencialização.

  • Personalizar o Terminal Bash no Debian — Prompt Minimalista e Funcional

    Personalizar o Terminal Bash no Debian — Prompt Minimalista e Funcional

    Personalizar o Terminal Bash no Debian — Prompt Minimalista e Funcional

    HJFR Cybersecurity Training — Fevereiro 2026

    O prompt predefinido do Bash no Debian é funcional, mas básico. Neste artigo, vamos transformá-lo num prompt minimalista que mostra informação útil sem ruído: utilizador, diretório atual, branch do Git, indicador de alterações pendentes e código de saída do último comando.

    Antes e Depois

    Prompt original do Debian

    user@hostname:~/path$

    Novo prompt

    ┌─[hjfr@debian]─[~/code/myproject]─[main]
└─$

    Com alterações pendentes no Git

    ┌─[hjfr@debian]─[~/code/myproject]─[main *]
└─$

    Quando o último comando falha

    ┌─[hjfr@debian]─[~/code/myproject]─[main]─[✘ 1]
└─$

    Funcionalidades

    Funcionalidade Descrição
    Utilizador e hostname Apresenta o utilizador e a máquina em ciano, para identificação rápida.
    Diretório atual Mostra o caminho completo em azul, facilitando a navegação.
    Branch do Git Quando dentro de um repositório Git, mostra a branch atual em verde.
    Indicador de alterações Adiciona um asterisco (*) quando existem alterações não commitadas.
    Código de saída Quando o último comando falha, mostra o código de erro em vermelho (✘).
    Duas linhas Separa a informação (linha 1) do cursor de escrita (linha 2), evitando linhas demasiado longas.

    Passos de Instalação

    Passo 1: Abrir o ficheiro .bashrc

    nano ~/.bashrc

    Passo 2: Localizar o bloco do PS1

    Procurar as linhas que contêm if [ "$color_prompt" = yes ]; then e o PS1= original.

    Passo 3: Substituir o bloco do PS1

    Apagar desde o if [ "$color_prompt" até ao esac do xterm title e colar o código novo (ver abaixo).

    Passo 4: Guardar e sair

    No nano: Ctrl+O para guardar, Ctrl+X para sair.

    Passo 5: Recarregar o .bashrc

    source ~/.bashrc

    Código Completo

    Substituir o bloco do PS1 no ficheiro ~/.bashrc pelo seguinte código:

    # Custom prompt: minimal + useful
# Colors
_C_RESET='\[\033[0m\]'
_C_GRAY='\[\033[38;5;244m\]'
_C_CYAN='\[\033[38;5;37m\]'
_C_BLUE='\[\033[38;5;33m\]'
_C_GREEN='\[\033[38;5;35m\]'
_C_RED='\[\033[38;5;196m\]'
_C_YELLOW='\[\033[38;5;220m\]'

# Git branch + dirty indicator
__git_prompt() {
    local branch
    branch=$(git symbolic-ref --short HEAD 2>/dev/null || git rev-parse --short HEAD 2>/dev/null)
    if [ -n "$branch" ]; then
        local dirty=""
        local status=$(git status --porcelain 2>/dev/null)
        if [ -n "$status" ]; then
            dirty=" *"
        fi
        echo "─[\033[38;5;35m${branch}${dirty}\033[0m]"
    fi
}

# Exit code indicator
__exit_prompt() {
    if [ $1 -ne 0 ]; then
        echo "─[\033[38;5;196m✘ $1\033[0m]"
    fi
}

__build_prompt() {
    local exit_code=$?
    local git_info=$(__git_prompt)
    local exit_info=$(__exit_prompt $exit_code)
    PS1="\n${_C_GRAY}┌─${_C_RESET}[${_C_CYAN}\u@\h${_C_RESET}]─[${_C_BLUE}\w${_C_RESET}]${git_info}${exit_info}\n${_C_GRAY}└─${_C_RESET}\$ "
}

PROMPT_COMMAND=__build_prompt

    Explicação do Código

    Variáveis de cor

    As variáveis _C_RESET, _C_CYAN, _C_BLUE, etc. guardam os códigos ANSI de cor. Usamos \[…\] para indicar ao Bash que estes caracteres não ocupam espaço visual, evitando problemas com o cálculo do comprimento da linha.

    Função __git_prompt()

    Esta função usa git symbolic-ref para obter o nome da branch atual. Se não estiver dentro de um repositório Git, não mostra nada. Executa também git status --porcelain para verificar se existem alterações pendentes, adicionando um asterisco (*) caso existam.

    Função __exit_prompt()

    Recebe o código de saída do último comando. Se for diferente de zero (erro), mostra ✘ seguido do código em vermelho.

    Função __build_prompt()

    Esta é a função principal, chamada automaticamente antes de cada prompt através de PROMPT_COMMAND. Captura o código de saída ($?), chama as funções auxiliares e constrói o PS1 final com duas linhas.

    PROMPT_COMMAND

    Ao atribuir __build_prompt a PROMPT_COMMAND, o Bash executa esta função antes de apresentar cada prompt, garantindo que a informação está sempre atualizada.

    Dicas Adicionais

    • Para testar sem alterar o .bashrc, pode colar o código diretamente no terminal — o efeito é temporário.
    • Se usar tmux ou screen, confirme que o TERM está definido como xterm-256color para as cores funcionarem.
    • Para personalizar as cores, consulte a tabela de 256 cores ANSI: cada número (0-255) representa uma cor diferente.
    • Se preferir um prompt de uma única linha, remova o \n e os caracteres ┌─ e └─ do PS1.

    HJFR Cybersecurity Training — www.hjfr-info.pt

  • Anatomia de um Ataque:

    Anatomia de um Ataque:

    Como Detetar e Bloquear Tentativas de Acesso a Ficheiros de Backup

    Introdução

    Recentemente, durante a análise rotineira dos logs do servidor, deparei-me com uma entrada que ilustra perfeitamente um dos vetores de ataque mais comuns (e perigosos) na web:

    a tentativa de acesso a ficheiros de backup.

    Neste artigo, vou analisar em detalhe esta tentativa de ataque, explicar porque representa um risco crítico de segurança e mostrar como podemos implementar mecanismos de deteção com Wazuh e proteção com ModSecurity.

    A Entrada de Log Maliciosa

    Vamos começar por examinar a entrada que acionou os nossos alertas de segurança:

    xxx.xxx.xxx.xxx - - [27/Jan/2026:11:13:10 +0000] "GET /wwwroot.bak HTTP/1.1" 404 98749 "https://xxx-xxx.com/wwwroot.bak" "Mozilla/5.0 (Linux; Android 6.0.1; Nexus 5X Build/MMB29P) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/124.0.6367.201 Mobile Safari/537.36 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"

    À primeira vista, pode parecer apenas mais uma entrada num oceano de logs.

    No entanto, uma análise cuidadosa revela várias red flags críticas que identificam esta como uma tentativa de ataque deliberada.

    Análise Técnica: Porque é Malicioso?

    1. O Alvo: Ficheiros de Backup Expostos

    O elemento mais crítico desta tentativa de ataque é o caminho solicitado: /wwwroot.bak

    Ficheiros de backup são um dos alvos mais apetecíveis para atacantes porque frequentemente contêm:

    • Código-fonte completo da aplicação incluindo lógica de negócio sensível
    • Credenciais hardcoded como passwords de bases de dados, chaves API e tokens de autenticação
    • Informação sobre a estrutura da aplicação que facilita outros ataques
    • Dados sensíveis que não deveriam estar acessíveis publicamente
    • Vulnerabilidades conhecidas em versões antigas do código

    Extensões comuns de ficheiros de backup que os atacantes procuram:

    • .bak, .backup, .old, .orig, .copy
    • .zip, .tar.gz, .rar, .7z
    • .sql, .sql.gz, .dump
    • ~, .swp, .tmp

    2. User-Agent Spoofing: Disfarçado de Googlebot

    Outro indicador claro de atividade maliciosa é o User-Agent utilizado:

    Mozilla/5.0 (Linux; Android 6.0.1; Nexus 5X Build/MMB29P) AppleWebKit/537.36 
(KHTML, like Gecko) Chrome/124.0.6367.201 Mobile Safari/537.36 
(compatible; Googlebot/2.1; +http://www.google.com/bot.html)

    O atacante está a tentar fazer-se passar pelo Googlebot, o crawler oficial do Google. Esta é uma técnica comum chamada User-Agent Spoofing com vários objetivos:

    • Evitar bloqueios automáticos: Muitos sistemas confiam em User-Agents legítimos
    • Contornar rate limiting: Bots de motores de busca geralmente têm limites mais elevados
    • Reduzir suspeitas: Administradores podem ignorar pedidos aparentemente do Google
    • Explorar whitelists: Alguns sistemas permitem acesso privilegiado a crawlers conhecidos

    Como verificar se é realmente o Googlebot: O Googlebot legítimo faz reverse DNS lookup para googlebot.com ou google.com. Pedidos do IP xxx.xxx.xxx.xxx nunca seriam do Google real.

    3. Padrão de Reconhecimento Automatizado

    Analisando o contexto mais amplo (embora não visível nesta entrada específica), este tipo de pedido faz parte de um scanning automatizado onde o atacante:

    1. Identifica websites potencialmente vulneráveis
    2. Testa múltiplos caminhos de ficheiros de backup comuns
    3. Procura por respostas que indiquem a existência de ficheiros (mesmo 403 Forbidden é útil)
    4. Faz download de qualquer ficheiro encontrado para análise offline

    4. O Código 404: Será que Estamos Seguros?

    Neste caso, o servidor respondeu com 404 Not Found, o que é positivo – o ficheiro não existe ou não está acessível.

    No entanto, isto não significa que estamos completamente seguros:

    • O atacante pode estar a testar centenas ou milhares de variações
    • Outros ficheiros de backup podem existir com nomes diferentes
    • A tentativa em si revela que o site está a ser ativamente alvo de reconhecimento
    • Múltiplas tentativas podem indicar uma campanha mais ampla de ataque

    Deteção com Wazuh SIEM

    Agora que compreendemos a anatomia do ataque, vamos implementar regras de deteção no Wazuh para identificar automaticamente estas tentativas.

    Regra personalizada hipotética para Ficheiros de Backup

    Adicione esta regra ao ficheiro /var/ossec/etc/rules/local_rules.xml:

    <group name="web,attack,">
  <!-- Deteção de tentativas de acesso a ficheiros de backup -->
  <rule id="100200" level="10">
    <if_sid>31101</if_sid>
    <regex type="pcre2">(?i)\.bak|\.backup|\.old|\.orig|\.copy|\.tmp|\.swp|~|\.sql|\.tar\.gz|\.zip</regex>
    <description>Tentativa de acesso a ficheiro de backup detetada</description>
    <mitre>
      <id>T1083</id>
      <id>T1530</id>
    </mitre>
  </rule>

  <!-- Severidade elevada se múltiplas tentativas do mesmo IP -->
  <rule id="100201" level="12" frequency="5" timeframe="300">
    <if_matched_sid>100200</if_matched_sid>
    <same_source_ip />
    <description>Múltiplas tentativas de acesso a ficheiros de backup do mesmo IP: $(srcip)</description>
    <mitre>
      <id>T1083</id>
      <id>T1530</id>
    </mitre>
  </rule>

  <!-- User-Agent Spoofing detetado -->
  <rule id="100202" level="8">
    <if_sid>31101</if_sid>
    <regex type="pcre2">(?i)Googlebot|bingbot|slurp</regex>
    <not_group>known_crawler_ips</not_group>
    <description>Possível User-Agent Spoofing detetado: $(http_user_agent)</description>
    <mitre>
      <id>T1036</id>
    </mitre>
  </rule>

  <!-- Combinação: Backup file + Spoofed User-Agent -->
  <rule id="100203" level="14">
    <if_sid>100200</if_sid>
    <regex type="pcre2">(?i)Googlebot|bingbot|slurp</regex>
    <description>CRÍTICO: Tentativa de acesso a backup com User-Agent falsificado</description>
    <mitre>
      <id>T1083</id>
      <id>T1530</id>
      <id>T1036</id>
    </mitre>
  </rule>
</group>

    Configuração de Alertas e Respostas Ativas

    Configure respostas ativas para bloquear automaticamente IPs suspeitos:

    <!-- Em /var/ossec/etc/ossec.conf -->
<active-response>
  <command>firewall-drop</command>
  <location>local</location>
  <rules_id>100201,100203</rules_id>
  <timeout>1800</timeout> <!-- 30 minutos -->
</active-response>

    Dashboard Kibana para Monitorização

    Crie visualizações no Kibana para monitorizar:

    1. Mapa de calor geográfico de tentativas de acesso a backups
    2. Timeline de tentativas por hora/dia
    3. Top 10 IPs mais agressivos
    4. Top 10 ficheiros mais procurados
    5. Correlação entre User-Agents e padrões de ataque

    Proteção com ModSecurity WAF

    Enquanto o Wazuh nos ajuda a detetar ataques, o ModSecurity permite-nos prevenir ativamente estas tentativas antes que cheguem à aplicação.

    Regras personalizadas hipotéticas ModSecurity

    Crie o ficheiro /etc/modsecurity/custom_rules.conf:

    # =====================================
# Proteção contra Acesso a Ficheiros de Backup
# =====================================

# Bloqueio de extensões de ficheiros de backup
SecRule REQUEST_URI "@rx (?i)\.(bak|backup|old|orig|copy|tmp|swp|save|~)$" \
    "id:1000200,\
    phase:1,\
    block,\
    t:none,\
    msg:'Tentativa de acesso a ficheiro de backup bloqueada',\
    logdata:'URI: %{REQUEST_URI}, IP: %{REMOTE_ADDR}',\
    tag:'attack-backup-files',\
    tag:'OWASP_CRS/WEB_ATTACK/FILE_ACCESS',\
    severity:'CRITICAL',\
    setvar:'tx.anomaly_score_pl1=+5',\
    setvar:'ip.backup_file_attempts=+1'"

# Bloqueio de ficheiros SQL comprimidos
SecRule REQUEST_URI "@rx (?i)\.(sql|sql\.gz|sql\.zip|sql\.bz2|dump)$" \
    "id:1000201,\
    phase:1,\
    block,\
    t:none,\
    msg:'Tentativa de acesso a ficheiro SQL bloqueada',\
    logdata:'URI: %{REQUEST_URI}, IP: %{REMOTE_ADDR}',\
    tag:'attack-database-dump',\
    severity:'CRITICAL',\
    setvar:'tx.anomaly_score_pl1=+5',\
    setvar:'ip.sql_file_attempts=+1'"

# Bloqueio de ficheiros comprimidos suspeitos na raiz
SecRule REQUEST_URI "@rx (?i)^/[^/]*\.(zip|tar|tar\.gz|tgz|rar|7z)$" \
    "id:1000202,\
    phase:1,\
    block,\
    t:none,\
    msg:'Tentativa de acesso a arquivo comprimido na raiz bloqueada',\
    logdata:'URI: %{REQUEST_URI}, IP: %{REMOTE_ADDR}',\
    tag:'attack-archive-files',\
    severity:'WARNING',\
    setvar:'tx.anomaly_score_pl1=+3',\
    setvar:'ip.archive_attempts=+1'"

# =====================================
# Deteção de User-Agent Spoofing
# =====================================

# Bloqueio de crawlers falsos do Google
SecRule REQUEST_HEADERS:User-Agent "@rx (?i)googlebot" \
    "id:1000203,\
    phase:1,\
    chain,\
    t:none,\
    msg:'User-Agent Googlebot falsificado detetado',\
    logdata:'User-Agent: %{REQUEST_HEADERS.User-Agent}, IP: %{REMOTE_ADDR}',\
    tag:'attack-user-agent-spoofing'"

SecRule REMOTE_ADDR "!@ipMatchFromFile /etc/modsecurity/google-crawlers.txt" \
    "t:none,\
    block,\
    severity:'WARNING',\
    setvar:'tx.anomaly_score_pl1=+4',\
    setvar:'ip.spoofing_attempts=+1'"

# =====================================
# Rate Limiting Baseado em Comportamento Suspeito
# =====================================

# Bloqueio temporário após múltiplas tentativas
SecRule IP:backup_file_attempts "@ge 3" \
    "id:1000204,\
    phase:1,\
    block,\
    t:none,\
    msg:'IP bloqueado temporariamente: múltiplas tentativas de acesso a backups',\
    logdata:'Total de tentativas: %{IP.backup_file_attempts}, IP: %{REMOTE_ADDR}',\
    tag:'attack-rate-limit',\
    severity:'ERROR',\
    expirevar:'ip.backup_file_attempts=600'"

# =====================================
# Logging Avançado para Análise Forense
# =====================================

# Log detalhado de todas as tentativas suspeitas
SecRule IP:backup_file_attempts "@ge 1" \
    "id:1000205,\
    phase:5,\
    pass,\
    t:none,\
    nolog,\
    setvar:'tx.outbound_anomaly_score=+0'"

    Criar Lista de IPs Legítimos do Google

    # Obter IPs reais do Googlebot
curl -s https://developers.google.com/search/apis/ipranges/googlebot.json | \
jq -r '.prefixes[].ipv4Prefix // .prefixes[].ipv6Prefix' > \
/etc/modsecurity/google-crawlers.txt

# Adicionar IPs do Bing (opcional)
echo "20.168.0.0/16" >> /etc/modsecurity/google-crawlers.txt
echo "40.77.167.0/24" >> /etc/modsecurity/google-crawlers.txt

    Configuração de Resposta Personalizada

    Edite /etc/modsecurity/modsecurity.conf:

    # Ação para pedidos bloqueados
SecDefaultAction "phase:1,log,auditlog,deny,status:403"

# Resposta HTML customizada
ErrorDocument 403 "<!DOCTYPE html><html><head><title>Acesso Negado</title></head><body><h1>403 Forbidden</h1><p>O seu pedido foi bloqueado pelo nosso sistema de segurança.</p><p>Ref ID: %{UNIQUE_ID}</p></body></html>"

    Boas Práticas de Prevenção

    Além da deteção e bloqueio ativo, é crucial implementar medidas preventivas:

    1. Gestão Segura de Ficheiros de Backup

    # NUNCA fazer isto:
cp -r /var/www/html /var/www/html.bak

# Fazer isto em vez disso:
# Backup fora do webroot
mkdir -p /backup/websites
tar -czf /backup/websites/site-$(date +%Y%m%d-%H%M%S).tar.gz \
    -C /var/www html \
    --exclude='*.log' \
    --exclude='cache/*'

# Proteger com permissões adequadas
chmod 600 /backup/websites/*.tar.gz
chown root:root /backup/websites/*.tar.gz

    2. Configuração do Servidor Web

    Apache (.htaccess):

    # Bloquear acesso a ficheiros de backup
<FilesMatch "\.(bak|backup|old|orig|copy|tmp|swp|save|~|sql|gz|zip|tar)$">
    Require all denied
</FilesMatch>

# Bloquear acesso a ficheiros ocultos
<FilesMatch "^\.">
    Require all denied
</FilesMatch>

    Nginx:

    # Bloquear ficheiros de backup
location ~* \.(bak|backup|old|orig|copy|tmp|swp|save|~|sql|gz|zip|tar)$ {
    deny all;
    return 404;
}

# Bloquear ficheiros ocultos
location ~ /\. {
    deny all;
    return 404;
}

    3. Automação com Scripts de Segurança

    Crie um script de auditoria /usr/local/bin/check-backup-files.sh:

    #!/bin/bash
# Script para detetar ficheiros de backup no webroot

WEBROOT="/var/www/html"
ALERT_EMAIL="security@exemplo.com"

# Procurar por ficheiros de backup
FINDINGS=$(find "$WEBROOT" -type f \( \
    -name "*.bak" -o \
    -name "*.backup" -o \
    -name "*.old" -o \
    -name "*.orig" -o \
    -name "*.copy" -o \
    -name "*.tmp" -o \
    -name "*.swp" -o \
    -name "*~" -o \
    -name "*.sql" -o \
    -name "*.sql.gz" \
\) 2>/dev/null)

if [ -n "$FINDINGS" ]; then
    echo "⚠️  ALERTA: Ficheiros de backup encontrados no webroot!" | \
    mail -s "Alerta de Segurança: Ficheiros de Backup Expostos" "$ALERT_EMAIL" <<EOF
Os seguintes ficheiros de backup foram encontrados no webroot:

$FINDINGS

Ação recomendada: Remover ou mover estes ficheiros imediatamente.
EOF
fi

    Agende com cron:

    # Verificar diariamente às 02:00
0 2 * * * /usr/local/bin/check-backup-files.sh

    4. Monitorização de File Integrity (FIM)

    Configure o Wazuh FIM para alertar sobre criação de ficheiros suspeitos:

    <!-- Em /var/ossec/etc/ossec.conf -->
<syscheck>
  <directories check_all="yes" realtime="yes">/var/www/html</directories>
  
  <!-- Alertar sobre ficheiros de backup -->
  <ignore type="sregex">\.bak$</ignore>
  <ignore type="sregex">\.backup$</ignore>
  <ignore type="sregex">\.old$</ignore>
  <ignore type="sregex">\.sql$</ignore>
  
  <alert_new_files>yes</alert_new_files>
</syscheck>

    Conclusão e Recomendações

    A tentativa de acesso a ficheiros de backup que analisámos pode parecer inofensiva à primeira vista, mas representa um vetor de ataque sério que pode levar a:

    • Exposição de código-fonte e propriedade intelectual
    • Fuga de credenciais e chaves API
    • Comprometimento completo da aplicação
    • Exfiltração de dados sensíveis

    Checklist de Segurança:

    Implementar regras Wazuh para deteção pro-ativa
    Configurar ModSecurity para bloqueio em tempo real
    Auditar webroot regularmente para ficheiros expostos
    Criar backups seguros fora do webroot
    Configurar alertas para tentativas de acesso suspeitas
    Validar User-Agents contra listas de IPs conhecidos
    Implementar rate limiting para prevenir scanning automatizado
    Manter logs centralizados para análise forense

    Recursos Adicionais:

    Nota de Segurança: Os IPs e domínios mencionados neste artigo foram mascarados ou alterados para fins de privacidade. As configurações apresentadas devem ser adaptadas ao seu ambiente específico antes da implementação em produção.

    Sobre o Autor: Este artigo faz parte da série sobre segurança de infraestrutura e monitorização com SIEM. Para mais conteúdo técnico sobre cibersegurança, siga o blog.

    Última atualização: Janeiro 2026