Upload
rafael-salema-marques
View
21
Download
0
Embed Size (px)
Citation preview
ESCOLA DE APERFEIOAMENTO DE OFICIAIS DA AERONUTICA
DIVISO DE ENSINO
TRABALHO DE CONCLUSO DE CURSO
Malware: uma ameaa real aos sistemas computacionais
Ttulo do Trabalho
ADMINISTRAO MILITAR
LINHA DE PESQUISA
289
CDIGO
CAP 2/2012
Curso e Ano
PLANO DE PESQUISA
Malware: uma ameaa real aos sistemas computacionais
Ttulo do Trabalho
ADMINISTRAO MILITAR
LINHA DE PESQUISA
23/OUTUBRO/2012
DATA
CAP 2/2012
Curso e Ano
Este documento o resultado dos trabalhos do aluno do Curso de
Aperfeioamento da EAOAR. Seu contedo reflete a opinio do autor, quando
no for citada a fonte da matria, no representando, necessariamente, a
poltica ou prtica da EAOAR e do Comando da Aeronutica.
1
1 CONTEXTUALIZAO
Concomitantemente com o advento do computador e com os diversos
benefcios que foram obtidos ao se utilizar as mquinas para automatizar processos
e trafegar mensagens com celeridade, surgiram novas vulnerabilidades relacionadas
ao trato das informaes.
Para que as redes de computadores possam ter uma aplicao prtica,
necessria uma interface que envie instrues por meio de uma linguagem que a
mquina seja capaz de interpretar. Por definio, essa sentena composta por um
encadeamento de comandos chamada de software.
Ao decodificar as informaes recebidas, o computador executa as
tarefas para as quais o software foi projetado. Entretanto, rapidamente foram
vislumbradas aplicaes com cunho mal-intencionado para o software. Assim
surgiram os malwares.
O termo malware proveniente de um trocadilho da lngua inglesa
malicious software, que significa software malicioso. Geralmente, o objetivo do
malware infiltrar-se em um sistema computacional alheio - de forma ilcita - e
causar algum dano (como, por exemplo, uma interrupo de servio, alterao de
funes da mquina, ou mesmo roubo de informaes).
Tendo em vista as possibilidades de emprego do malware, vislumbrou-se
sua utilizao em operaes de espionagem, concorrncia desleal e roubo de dados
sigilosos utilizando-se da engenharia social.
Por definio, a engenharia social usa a influncia e a persuaso para
enganar pessoas e convenc-las de que o atacante na verdade algum que ele
no , manipulando o comportamento da vtima para se beneficiar de alguma forma.
Como resultado, o engenheiro social pode aproveitar-se das pessoas
para obter as informaes com ou sem o uso da tecnologia (MITNICK; SIMON,
2003)1.
Como medida de preveno para esse tipo de ameaa, verificou-se a
necessidade da criao de procedimentos e polticas na utilizao dos meios
computacionais. Esse processo teria a finalidade de minimizar a atuao dos
engenheiros sociais e proteger a propriedade intelectual bem como o acesso s
1MITNICK, K. D.; SIMON, W. L. A arte de enganar: Ataques de Hackers: Controlando o Fator Humano na Segurana da Informao. So Paulo: Pearson Education, 2003.
2
informaes sensveis por pessoas no autorizadas.
Em consequncia desse fato, surgiu o conceito de Segurana da
Informao (SI): Segurana de informaes define-se como o processo de proteo
de informaes e ativos digitais armazenados em computadores e redes de
processamento de dados (OLIVEIRA, 2001) 2.
Quando se discorre sobre ataques de engenharia social em SI, est se
referindo a quaisquer procedimentos utilizados para obter vantagens ou acesso
indevido a informaes sigilosas por meio de enganao (MITNICK; SIMON, 2003).
importante frisar que a engenharia social pode ser utilizada em
mltiplos campos da SI. Porm, neste trabalho, a engenharia social ser abordada
com foco na utilizao do malware como vetor de ataque a redes de computadores.
A Fora Area Brasileira, inserida nos sistemas computacionais,
compulsada a adaptar-se s ameaas inerentes a SI e engenharia social em seus
sistemas computacionais. A inadequada adaptao poder trazer consequncias
desastrosas, sob a severa pena de deteriorar sua capacidade de comando e
controle, culminando com a perda da soberania do espao areo brasileiro.
Nesse ambiente, os pontos fortes e as possveis fragilidades dos sistemas
computacionais aparecem, respectivamente, como importantes elos ou vulnerveis
gargalos das organizaes modernas. Dentro desse contexto, surge uma
inquietao ao se observar que as fragilidades seja por falta de conhecimento ou
de capacidade tcnica so os grandes alvos a serem atacados por possveis
malwares de engenheiros sociais, podendo comprometer toda a rede da
organizao. E onde estariam essas fragilidades? Quais seriam os pontos fracos
nos elos do sistema? com esse pensamento que buscar-se responder ao
seguinte problema de pesquisa: Qual o perfil do usurio da rede de computadores
do 2/1 GCC mais suscetvel a ser alvo de um engenheiro social por meio de um
malware?
Este trabalho se prope a averiguar variveis diretamente relacionadas a
uma vertente especfica da SI e a comportamentos indesejveis durante a gesto da
informao nos sistemas computacionais no mbito do 2/1 GCC. Portanto
considerando o tema abordado este trabalho est enquadrado na linha de
pesquisa da Administrao Militar.
2OLIVEIRA, W. J. Segurana da Informao. Florianpolis: Visual Books Ltda, 2001.
3
Assim, com a finalidade de responder ao problema proposto, as aes de
pesquisa do trabalho foram limitadas temporalmente ao perodo de agosto a outubro
de 2012. Alm disso, foram estabelecidas trs questes norteadoras:
QN1 Quais as faixas etrias e patentes dos usurios da rede de
computadores do 2/1 GCC que apresentam maior conhecimento em SI e
engenharia social?
QN2 Quais integrantes do 2/1 GCC, arranjados por hierarquia e idade,
so mais propensos a um ataque de engenharia social utilizando um malware?
QN3 Existe correlao entre o nvel de conhecimento em SI e
engenharia social dos usurios da rede do 2/1 GCC com incidentes relacionados a
malware?
A pesquisa em pauta focar no objetivo geral de identificar qual o perfil
dos usurios da rede interna de computadores do 2/1 GCC mais suscetvel a ser
alvo de engenharia social por meio de um malware.
Para direcionar corretamente as aes de pesquisa, os seguintes
objetivos especficos (OE):
OE1 Identificar o nvel de conhecimento em SI e engenharia social do
efetivo do 2/1 GCC, e classificar os resultados em faixas etrias, patentes e
escolaridade.
OE2 Identificar quais usurios da rede de computadores do 2/1 GCC
seriam alvo de engenharia social por meio de um malware, e classificar os dados por
faixas de idade, hierarquia e escolaridade.
OE3 Analisar se h correlao entre o nvel de conhecimento em SI e
engenharia social com incidentes relacionados a malware no 2/1 GCC.
Quanto relevncia da pesquisa, esses resultados podero indicar as
principais caractersticas - dos usurios da rede de computadores do 2/1 GCC -
desejveis para os engenheiros sociais na disseminao de malware, permitindo ao
responsvel pela SI, do Esquadro, definir aes efetivas com o intuito de reduzir
significantemente os incidentes envolvendo cdigo malicioso.
Outro fator importante a possibilidade da aplicao da pesquisa em
outras organizaes militares do Comando da Aeronutica (COMAer), tendo em
vista a semelhana nos recursos de softwares, estrutura lgica e fsica das redes de
computadores e sistemas corporativos em uso.
Tal pesquisa poder ser aproveitada tambm em outras Foras Armadas
4
ou rgos governamentais, para que possam identificar o perfil do usurio mais
vulnervel em suas redes de computadores e realizar trabalhos de conscientizao
do efetivo quanto s boas prticas no trato dos recursos computacionais.
2 REFERENCIAL TERICO
A pesquisa tomar como referncia as teorias de Mitnick e Simon, que
apontam o fator humano como sendo o elo mais fraco da SI. Paralelamente, citam
seis tendncias (autoridade, afabilidade, reciprocidade, consistncia, validao
social e escassez) mais usadas por engenheiros sociais para desferir seus ataques,
conforme detalhamento do presente trabalho.
Outra importante abordagem desses tericos, com aplicao direta neste
trabalho, diz respeito capacidade de manipulao e de uso dos sistemas de
tecnologia da informao por parte daqueles que praticam a engenharia social:
Um engenheiro social vive de sua capacidade de manipular as pessoas para que elas faam coisas que o ajudem a atingir o seu objetivo, mas o sucesso quase sempre requer uma grande dose de conhecimento e habilidade com os sistemas de computador e telefonia (MITNICK; SIMON, 2003).
luz dessas referncias tericas, sero aplicados conhecimentos
especficos e habilidades de programao para elaborar um malware, de forma que
o programa possa ser usado como um teste no 2/1 GCC.
Alm disso, ser utilizada a teoria estatstica da regresso linear3, para
verificar se h ou no relao significativa entre duas variveis. Os procedimentos
estatsticos sero esmiuados no artigo cientfico.
3 METODOLOGIA
Tendo em vista o objetivo geral, buscar-se- definir quais as principais
caractersticas dos usurios da rede de computadores do 2/1 GCC mais
suscetveis a um ataque de engenharia social por meio de um malware.
3MERRILL, W. C. e FOX, K. A. ma ntrodu o S o Paulo: Editora Atlas, 1980.
5
Sendo assim, a fim de cumprir o primeiro Objetivo Especfico (OE1), ser
enviado, para os 64 usurios disponveis da rede de computadores do 2/1 GCC,
um questionrio anexado a um correio eletrnico.
As respostas sero analisadas com vistas a mensurar o nvel de
conhecimento sobre os assuntos em pauta (SI e engenharia social), gerando uma
nota final (porcentagem de acertos) que permitir a tabulao dos resultados e a
classificao em faixas etrias, hierrquicas e escolares.
Para cumprir o segundo Objetivo Especfico (OE2), ser desferido um
ataque de engenharia social para todos os militares que tenham respondido ao
questionrio anterior, como forma de teste do sistema e aquisio dos dados
necessrios resposta do problema de pesquisa.
O ataque consistir na disseminao de um malware desenvolvido
especificamente para utilizao no presente trabalho, de forma que seja possvel
averiguar quais usurios seriam vtimas de cdigo malicioso caso houvesse um
ataque de engenharia social.
Esse cdigo malicioso ser apresentado ao usurio de duas formas: na
figura de um arquivo com nome sugestivo plantado no servidor de arquivos do
Esquadro e como uma mensagem eletrnica persuasiva enviada a todo o efetivo.
Ao ser executado em ambas as formas, o cdigo malicioso enviar o
nome do usurio, o vetor do ataque arquivo implantado ou mensagem eletrnica
e o nome do computador da vtima para um banco de dados administrado pelo
pesquisador.
Sendo assim, poder-se- definir qual a forma de ataque mais eficiente e
quais as principais caractersticas (faixas de patentes, etrias e de escolaridade) dos
militares do 2/1 GCC mais suscetveis a um ataque de engenharia social por meio
de um malware.
Por fim, para checar se h correlao entre o conhecimento de SI e
engenharia social com o ndice de incidentes relacionados a malware, ser
empregada a regresso linear, tendo como objetivo principal verificar se h
correlao entre as variveis supracitadas.
ARTIGO CIENTFICO
Malware: uma ameaa real aos sistemas computacionais
Ttulo do Trabalho
ADMINISTRAO MILITAR
LINHA DE PESQUISA
23/OUTUBRO/2012
DATA
CAP2/2012
Curso e Ano
Este documento o resultado dos trabalhos do aluno do Curso de
Aperfeioamento da EAOAR. Seu contedo reflete a opinio do autor, quando
no for citada a fonte da matria, no representando, necessariamente, a
poltica ou prtica da EAOAR e do Comando da Aeronutica.
Malware: uma ameaa real aos sistemas computacionais
RESUMO
O presente artigo tem por objetivo analisar qual o perfil de usurio da rede do 2/1 GCC mais suscetvel a ser alvo de engenharia social por meio de um malware. A pesquisa apresenta caractersticas descritivas, pois estabeleceu relao entre variveis e relata as caractersticas dos usurios que influenciam em um incidente de segurana da informao (SI) e engenharia social relacionado a cdigo malicioso. No que diz respeito a procedimentos tcnicos utilizados, esta pesquisa classificada como de levantamento, pois o trabalho busca informaes relativas ao comportamento dos militares do 2/1 GCC no trato de sistemas computacionais, utilizando-se de um questionrio e um teste. Com o intuito de nortear o trabalho e baseado na teoria de Kevin Mitnick, que o elo mais fraco da SI o fator humano, a pesquisa buscou correlacionar faixa etria e hierrquica com o nvel de conhecimento especfico, e correlacionar as mesmas variveis com o ndice de incidentes com malware. Alm disso, buscou-se verificar, utilizando regresso linear aliada ao coeficiente de determinao, se h correlao entre o nvel de conhecimento especfico com a quantidade de incidentes envolvendo software malicioso. Aps a tabulao e anlise dos dados coletados, verificou-se a necessidade de aprimoramento do conhecimento especfico do efetivo, que as faixas hierrquicas e etrias mais suscetveis a um ataque de engenharia social por meio de cdigo malicioso, no 2/1 GCC, so os Soldados e Cabos de 19 a 29 anos. Vislumbrou-se ainda que no h correlao entre o conhecimento em pauta com incidentes relacionados a malware. Palavras-chave: Segurana da informao. Engenharia Social. Malware. Perfil de usurio.
ABSTRACT
This article aims to analyze which user profile network of 2/1 GCC more likely to be targeted by social engineering by way of malware. The research presents descriptive characteristics, as established relationship between variables and reports the characteristics of users in an incident affecting information security (IS) and social engineering related to malicious code. Regarding the technical procedures used, this research is classified as lifting because work seeks information relating to the conduct of the military from 2/1 GCC in dealing with computer systems, using a questionnaire and a test. In order to guide the work, and based on the theory that Kevin Mitnick the weakest link in the SI is the human factor, the research sought to correlate with age and hierarchical level of expertise, and correlating these variables with the index incident with malware. Further study assessed using linear regression combined with the coefficient of determination, whether there is a correlation between the level of expertise with the number of incidents involving malicious software. After tabulating and analyzing the data collected, there was the need of increase the specific knowledge of the actual, the band hierarchical and group most susceptible to a social engineering attack via malicious code on the 2/1 GCC are the Soldiers and Corporals from 19 to 29 years old, and there is no correlation between knowledge of IS and social engineering with incidents related to malware. Keywords: Information security. Social engeneering. Malware. User profile.
2
INTRODUO
Com o advento dos computadores e a capacidade de comunicao
desses equipamentos via rede, surgiram diversas plataformas e tecnologias que
visam a reduo da carga de trabalho com automaes e facilidades nas gestes de
processos.
Entretanto, para que essas tecnologias e facilidades possam ter uma
aplicao prtica, necessria uma interface que envie instrues por meio de uma
linguagem que a mquina seja capaz de interpretar. Por definio, essa sentena
composta por um encadeamento de comandos chamada de software.
Ao decodificar as informaes recebidas, o computador executa as
tarefas para as quais o software foi projetado.
Porm, rapidamente foram vislumbradas aplicaes com cunho mal-
intencionado para o software. Assim surgiram os malwares.
O termo malware proveniente de um trocadilho da lngua inglesa
malicious software, que significa software malicioso. Geralmente, o objetivo do
malware infiltrar-se em um sistema computacional alheio - de forma ilcita - e
causar algum dano (como, por exemplo, uma interrupo de servio, alterao de
funes da mquina, ou mesmo roubo de informaes).
Tendo em vista que a cada dia a sociedade se torna mais dependente do
tratamento rpido e efetivo da informao pelas redes de computadores, vislumbrou-
se o grande potencial da utilizao de malwares em operaes de espionagem,
concorrncia desleal e roubo de dados sigilosos utilizando-se da engenharia social.
Por definio, a engenharia social usa a influncia e a persuaso para
enganar pessoas e convenc-las de que o atacante na verdade algum que ele
no , manipulando o comportamento da vtima para se beneficiar de alguma forma.
Como resultado, o engenheiro social pode aproveitar-se das pessoas
para obter as informaes com ou sem o uso da tecnologia (MITNICK; SIMON,
2003).
Como medida de preveno para esse tipo de ameaa, verificou-se a
necessidade da criao de procedimentos e polticas na utilizao dos meios
computacionais. A proposta desse processo minimizar a atuao dos engenheiros
sociais e proteger a propriedade intelectual bem como o acesso s informaes
3
sensveis por pessoas no autorizadas.
Em consequncia desse fato, surgiu o conceito de Segurana da
Informao (SI): Segurana de informaes define-se como o processo de proteo
de informaes e ativos digitais armazenados em computadores e redes de
processamento de dados (OLIVEIRA, 2001).
Quando se discorre sobre ataques de engenharia social em SI, refere-se
a quaisquer procedimentos utilizados para obter vantagens ou acesso indevido a
informaes sigilosas por meio de enganao (MITNICK; SIMON, 2003).
importante frisar que a engenharia social pode ser utilizada em
mltiplos campos da SI. Porm, todos apresentam um ponto em comum: a
explorao de comportamentos e convenes sociais no elemento mais vulnervel
de uma estrutura de segurana - o fator humano. Neste trabalho, a engenharia
social foi abordada com foco na utilizao do malware como vetor de ataque a redes
de computadores.
A Fora Area Brasileira, inserida nos sistemas computacionais, cada vez
mais depende dos softwares capazes de acelerar o complexo processo do trmite
da informao para cumprir sua misso. Logo, compulsada a adaptar-se s
ameaas inerentes SI e engenharia social em suas redes de computadores, sob a
severa pena de deteriorar sua capacidade de comando e controle, culminando com
a perda da soberania do espao areo brasileiro.
O Segundo Esquadro do Primeiro Grupo de Comunicaes e Controle
(2/1 GCC) uma organizao militar integrante do Sistema de Controle do Espao
Areo Brasileiro (SISCEAB), que presta servios relevantes e extremamente
dependentes de sistemas computacionais, como - por exemplo - o controle dos
vetores de defesa area em uma operao militar.
Nesse ambiente, os pontos fortes e as possveis fragilidades dos sistemas
computacionais aparecem, respectivamente, como importantes elos ou vulnerveis
gargalos das organizaes modernas. Dentro desse contexto, surge uma
inquietao ao observar-se que as fragilidades seja por falta de conhecimento ou
de capacidade tcnica so os grandes alvos a serem atacados por possveis
malwares de engenheiros sociais, podendo levar ao caos toda a rede da
organizao. E onde estariam essas fragilidades? Quais seriam os pontos fracos
nos elos desse sistema? com esse pensamento que se buscou responder ao
seguinte problema de pesquisa: Qual o perfil do usurio da rede de computadores
4
do 2/1 GCC mais suscetvel a ser alvo de um engenheiro social por meio de um
malware?
A pesquisa em pauta se props a averiguar variveis diretamente
relacionadas a uma vertente especfica da SI e a comportamentos indesejveis
gesto da informao nos sistemas computacionais no mbito do 2/1 GCC.
Portanto considerando o tema abordado este trabalho est enquadrado na linha
de pesquisa da Administrao Militar.
Assim, com a finalidade de responder ao problema proposto, as aes de
pesquisa do trabalho foram limitadas temporalmente ao perodo de agosto a outubro
de 2012. Alm disso, foram estabelecidas trs questes norteadoras:
QN1 Quais as faixas etrias e patentes dos usurios da rede de
computadores do 2/1 GCC que apresentam maior conhecimento em SI e
engenharia social?
QN2 Quais integrantes do 2/1 GCC, arranjados por hierarquia e idade,
so mais propensos a um ataque de engenharia social utilizando um malware?
QN3 Existe correlao entre o nvel de conhecimento em SI e
engenharia social dos usurios da rede do 2/1 GCC com incidentes relacionados a
malware?
A pesquisa em pauta focou no objetivo geral de identificar qual a faixa
etria e hierrquica mais suscetveis a serem alvo de engenharia social por meio de
um malware no mbito do 2/1 GCC.
Para direcionar corretamente as aes de pesquisa, foram estabelecidos os
seguintes objetivos especficos (OE):
OE1 Identificar o nvel de conhecimento em SI e engenharia social do
efetivo do 2/1 GCC, e classificar os resultados em faixas etrias e patentes.
OE2 Identificar quais usurios da rede de computadores do 2/1 GCC
seriam alvo de engenharia social por meio de um malware, e classificar os dados em
faixas de idade e hierarquia.
OE3 Analisar se h correlao entre o nvel de conhecimento em SI e
engenharia social com incidentes relacionados a malware no 2/1 GCC.
Quanto relevncia da pesquisa, esses resultados puderam indicar as
principais caractersticas - dos usurios da rede de computadores do 2/1 GCC -
desejveis para os engenheiros sociais na disseminao de malware, permitindo ao
responsvel pela SI no Esquadro definir aes efetivas com o intuito de reduzir
5
significantemente os incidentes envolvendo cdigo malicioso.
Outro fator importante a possibilidade da aplicao da pesquisa em
outras organizaes militares do Comando da Aeronutica (COMAer), tendo em
vista a semelhana nos recursos de softwares, estrutura lgica e fsica das redes de
computadores e sistemas corporativos em uso.
Tal pesquisa poder ser aproveitada tambm em outras Foras Armadas
ou rgos governamentais, para que possam identificar o perfil do usurio mais
vulnervel em suas redes de computadores e realizar trabalhos de conscientizao
do efetivo quanto s boas prticas no trato dos recursos computacionais.
2 REFERENCIAL TERICO
A pesquisa tomou como referncia as teorias de Mitnick e Simon (2003),
que apontam o fator humano como sendo o elo mais fraco da SI. Paralelamente,
citam seis tendncias mais usadas por engenheiros sociais para desferir seus
ataques: autoridade, afabilidade, reciprocidade, consistncia, validao social e
escassez.
Para o caso especfico desta pesquisa, foram aplicadas apenas trs
tendncias:
a. A validao social, que considera que as pessoas cooperam quando
h uma conveno social sendo cumprida e o falso sentimento de um
procedimento corriqueiro.
b. A escassez, que sugere o aproveitamento do sentimento de falta de
demanda ou baixa disponibilidade, buscando criar um falso senso na
vtima da necessidade de se tomar uma deciso em um curto perodo
de tempo.
c. A autoridade, que consiste na tendncia dos indivduos em atender a
uma solicitao prontamente caso acredite que o solicitante possui
autorizao para tal. Geralmente o engenheiro faz-se passar por um
superior na escala hierrquica para conseguir seus objetivos.
Outra importante abordagem destes tericos, com aplicao direta no trabalho, diz respeito capacidade de manipulao e de uso dos sistemas de tecnologia da informao por parte daqueles que praticam a engenharia social:
Um engenheiro social vive de sua capacidade de manipular as pessoas para que elas faam coisas que o ajudem a atingir o seu objetivo, mas o sucesso quase sempre requer uma grande dose de conhecimento e
6
habilidade com os sistemas de computador e telefonia (MITNICK; SIMON, 2003).
luz dessas referncias tericas, foram aplicados conhecimentos
especficos e habilidades de programao para elaborar um malware, de forma que
esse programa possa se usado como um teste no 2/1 GCC.
Esse cdigo malicioso foi enviado como anexo em um correio eletrnico
falsificado, simulando uma ordem com o prazo exguo vinda do Comandante do
Esquadro para todo o efetivo.
Para realizar testes estatsticos necessrios na pesquisa, optou-se por
utilizar a regresso linear aliada ao coeficiente de determina o R), tendo como
objetivo principal verificar se h correlao entre as variveis propsito
fundamental da anlise de regresso linear segundo Merrill e Fox (1998).
Ainda fazendo referncia aos ltimos autores, no foi possvel estimar-se
a re a o entre duas vari veis sem que se criassem hip teses so re a forma da
re a o que no presente caso, foi fundamentada nas funes ineares
A representa o algbrica de uma fun o inear apresenta a seguinte
forma: (y = + .x), onde e s o constantes constante chamada
coeficiente linear. A constante o coeficiente angular.
O foco da questo se baseia em prever os par metros a e b da equa o
de regress o ara todos os pontos (x,y e iste uma reta de regress o (y = + .x).
qua idade da regress o rea i ada pode ser indicada pelo coeficiente de
determina o R), que uma medida estat stica. Esse coeficiente que varia de 0
a 1 define a porcentagem de y vari ve dependente que pode ser identificada
pe a equa o de regress o inear
A partir de R poss ve ava iar se os va ores de x permitem ou n o
proceder a uma boa estimativa de y. Em outras palavras: Quanto mais R se
aproxima de 1 maior a correlao e a possibilidade em se preverem as variveis.
3 METODOLOGIA
Tomando como base as definies de Gil (2010), a pesquisa qualificada
como descritiva, pois descreve as caractersticas dos usurios da rede de
computadores do 2/1 GCC que influenciam um incidente de SI relacionado a
malware. Atrelado a isso, o presente trabalho buscou relacionar o nvel de
conhecimento (de SI e engenharia social) e a quantidade de incidentes envolvendo
7
malware com as diversas faixas etrias e hierrquicas que compem o universo de
militares, visando apontar as principais caractersticas do usurio da rede de
computadores do 2/1 GCC mais propenso a ser alvo de engenharia social por meio
de software malicioso.
No que diz respeito a procedimentos tcnicos utilizados, esta pesquisa
classificada como de levantamento, conforme Gil (2010).
Essa classificao se justifica pois o trabalho buscou informaes
relativas ao comportamento dos militares do 2/1 GCC no trato de sistemas
computacionais, utilizando-se de um questionrio e um teste.
Buscando cumprir o primeiro Objetivo Especfico (OE1), foi enviado para
os 64 usurios disponveis da rede de computadores do 2/1 GCC, um questionrio
anexado a um correio eletrnico.
Esse questionrio foi estruturado da seguinte forma: foi realizada a coleta
da patente e da idade do militar, havendo 17 questes de mltipla escolha. Dentre
as perguntas constantes no questionrio, 03 delas envolviam conhecimento mistos
(sobre SI e engenharia social), 07 delas somente sobre engenharia social e 07
somente sobre SI.
Os dados foram analisados com vistas a mensurar o nvel de
conhecimento sobre os assuntos em pauta, gerando uma nota final (porcentagem de
acertos) de forma que se possa tabular os resultados em faixas etrias e
hierrquicas.
Para cumprir o segundo Objetivo Especfico (OE2), foi desferido um
ataque de engenharia social para todos os militares que haviam respondido ao
questionrio anterior utilizando um e-mail com anexo malicioso. Essa mensagem foi
produzida de forma a trazer consigo trs das seis tendncias mais usadas por
engenheiros sociais para fazer seus ataques, - j definidas anteriormente: a
va ida o socia a escasse e a autoridade
Caracterizando a tendncia da validao social, o texto da mensagem
versava sobre uma pesquisa de satisfao do Departamento de Controle do Espao
Areo (DECEA); sendo este um assunto em voga na Organizao Militar, o texto
acabou por transmitir um senso de familiaridade aos usurios da rede de
computadores do 2/1 GCC.
A escassez foi inserida no contexto do ataque ao se determinar um prazo
exguo de uma manh para que a tarefa fosse terminada.
8
A tendncia da autoridade foi aplicada ao ludibriar o destinatrio com
dados inverdicos do emissor da mensagem, passando a impresso de que o autor
do e-mail tinha sido o Comandante do Esquadro.
Foi criado um malware especificamente para utilizao no presente
trabalho, com a finalidade de averiguar quais usurios seriam vtimas de cdigo
malicioso caso houvesse um ataque de engenharia social. Esse software mal
intencionado foi anexado a uma mensagem de correio eletrnico, simulando o
questionrio da pesquisa de satisfao anteriormente citada.
Caso o militar fosse ludibriado e executasse o cdigo malicioso, o artefato
enviaria para um banco de dados o nome do usurio e computador utilizado.
Por fim, para verificar se houve correlao entre o conhecimento de SI e
engenharia social com o ndice de incidentes causados por malware, utilizou-se uma
regresso linear aliada ao coeficiente de determina o R.
O objetivo do autor, ao aplicar o referido clculo estatstico, foi checar a
qua idade da regress o rea i ada verificando o resu tado do coeficiente de
determina o, que indica se realmente h alguma re a o significante entre as
vari veis citadas.
4 DISCUSSES E ANLISES
A fim de responder s questes norteadoras e proporcionar uma anlise
lgica e concisa, decidiu-se dividir o captulo em cinco sees: Nvel de
conhecimento, Ataque de engenharia social, Influncia da faixa etria, Influncia da
patente e Correlao entre o nvel de conhecimento de SI e engenharia social com o
ndice de incidentes relacionados a malware.
O programa Excel4 foi utilizado em todas as fases da pesquisa para
tabular resultados, converter as informaes obtidas em grficos e para realizar o
tratamento estatstico dos dados.
4 Programa Excel: programa (software) da Microsoft utilizado para a tabulao de dados e elaborao de grficos, tabelas e demais recursos afins.
9
4.1 Nvel de conhecimento
O questionrio de conhecimento especfico sobre SI e engenharia social
foi respondido por 57 de 64 militares disponveis, atingindo 89,06% do universo de
pesquisa.
Logo, pde-se mensurar o conhecimento dos usurios da rede de
computadores do 2/1 GCC calculando um percentual de acerto das respostas do
questionrio em questo, que foi organizado por faixas etrias e hierrquicas.
Ao verificar a mdia geral dos usurios, foi encontrado o valor de 50,57%
de nvel de conhecimento em SI e engenharia social.
Sendo assim, percebe-se que o conhecimento dos militares do 2/1 GCC
deve ser aprimorado, tendo em vista que o desconhecimento de aproximadamente
50% das informaes constantes no questionrio crtica para o trato da informao
em uma rede de computadores.
4.2 Ataque de engenharia social
Ao ser desferido, o ataque foi bem sucedido em 42 dos 57 usurios que
haviam respondido ao questionrio, totalizando uma expressiva marca de 73,68%
computadores comprometidos. Sendo assim, pde-se definir quais as patentes e as
faixas etrias dos militares do 2/1 GCC que apresentaram maior suscetibilidade a
um ataque de engenharia social por meio de um malware.
4.3 Influncia da faixa etria
Foram definidas faixas etrias de forma a dividir todo o grupo em 04
partes equivalentes de quantidade de anos, conforme Tabela 1:
Tabela 1 Conhecimento arranjado por faixas etrias
FAIXA ETRIA MDIA CONHECIMENTO
19 a 29 46,32%
30 a 39 57,35%
40 a 49 57,65%
50 a 59 45,1%
Foi calculada a mdia percentual de acertos das faixas etrias conforme a
10
Tabela 1, e seus dados projetados graficamente na Figura 1, com o intuito de
facilitar as subsequentes anlises.
Figura 1: Mdia percentual da faixa etria obtida pelo resultado do questionrio de conhecimento sobre SI e engenharia social.
Ao estudarem-se os dados apresentados na Figura 1, percebeu-se que a
diferena das mdias foi muito pequena. Verificou-se a significncia estatstica dos
dados pelo coeficiente de determinao (R).
Utilizando o programa Excel para fazer os clculos, foi encontrado um R
aproximadamente igual a 0,004, informao que denota uma qualidade
extremamente baixa na correlao das variveis. Alm disso, pde-se perceber uma
tendncia linear praticamente paralela ao eixo das faixas etrias, demonstrando uma
variao insignificante do grau de conhecimento obtido pelo questionrio.
Sendo assim, os militares que responderam ao questionrio
demonstraram nveis semelhantes de conhecimento em SI e engenharia social
quando arranjados por idade.
Outra anlise interessante foi obtida ao serem analisados os dados da
Tabela abaixo:
Tabela 2 ndice de incidentes arranjado por faixas etrias
FAIXA ETRIA INCIDENTE
19 a 29 78,13%
30 a 39 75%
40 a 49 70%
50 a 59 33,33%
Ao cruzarem-se os dados de faixa etria com o ndice de incidentes
11
gerados pelo ataque citado, puderam-se representar os dados conforme a Figura 2.
Figura 2: ndice de incidentes relacionados a malware por faixa etria.
Na figura acima, percebeu-se que h um decrscimo no ndice de
incidentes conforme a idade aumentava. Essa correlao mostrou-se relevante,
tendo em vista que o coeficiente de determinao encontrado foi de
aproximadamente 0,74. Ou seja, h correlao entre o ndice de incidentes com as
faixas etrias e os usurios de 19 a 29 anos so mais suscetveis a ser alvo de
um engenheiro social no 2/1 GCC.
4.4 Influncia da patente
Para que se pudessem analisar os dados com base na patente, o grupo
foi arranjado em 04 faixas hierrquicas, com foco na similaridade das tarefas
executadas e o nvel de deciso inerente a patente no Esquadro, conforme a
Tabela 2.
Tabela 3 Conhecimento arranjado por faixas hierrquicas
FAIXA HIERRQUICA MDIA
Soldados de segunda classe (S2), Soldados de Primeira classe (S1) e Cabos (CB) 42,65%
Terceiros Sargentos (3S), Segundos Sargentos (2S) e Primeiros Sargentos (1S) 55,15%
Suboficiais (SO) e Segundos Tenentes (2T) 49,26%
Primeiros Tenentes (1T) e Capites (CP) 62,35%
De forma a consolidar a metodologia proposta, foi utilizado o mesmo
procedimento adotado anteriormente para a anlise do conhecimento (resultados do
12
questionrio). Porm, nesta seo, as notas foram agrupadas por patente, conforme
ilustrado na Figura 3.
Figura 3: Mdia percentual da faixa hierrquica obtida pelo resultado do questionrio de conhecimento sobre SI e engenharia social.
Na Figura 3, a proximidade nos graus do questionrio novamente foi
verificada, conforme seo anterior. Sendo assim, novamente foi aplicada a
regresso linear, resultando em um R aproximadamente igual a 0,67.
Esse resultado remeteu a um grau significativo de correlao entre a faixa
hierrquica e o conhecimento. Sendo assim, algumas consideraes necessitaram
ser feitas:
a. Na Figura 3 pde-se observar um coeficiente angular positivo, que
remeteu a um maior conhecimento com a idade.
b. Entretanto na faixa hierrquica dos SO e 2T, percebeu-se um valor
um pouco abaixo da faixa dos 3S, 2S e 1S. Provavelmente, isso
ocorreu devido ao fato da grande maioria dos militares na faixa
hierrquica dos SO e 2T estar na faixa etria de 50 a 59 anos, onde
foi observado o menor conhecimento sobre SI e engenharia social.
c. Alm dos fatores citados, existiu a possibilidade do nvel de instruo
influenciar o resultado, pois geralmente quanto maior o grau
hierrquico maior o nvel de instruo do militar.
Prosseguindo na anlise, obteve-se outra relevante informao ao se
confrontar os dados da Tabela 4 e o ndice de incidentes com a faixa hierrquica,
como possvel verificar no grfico da Figura 4.
13
Tabela 4 ndice de incidentes arranjado por faixas hierrquicas
FAIXA HIERRQUICA INCIDENTE
Soldados de segunda classe (S2), Soldados de Primeira classe (S1) e Cabos (CB) 80%
Terceiros Sargentos (3S), Segundos Sargentos (2S) e Primeiros Sargentos (1S) 79,17%
Suboficiais (SO) e Segundos Tenentes (2T) 62,5%
Primeiros Tenentes (1T) e Capites (CP) 40%
Figura 4: ndice de incidentes relacionados a malware por faixa hierrquica.
Na Figura 4 ficou claro que, quanto menor a patente do militar, maior a
quantidade de incidentes relacionados a malware. Alm disso, pde-se dizer que a
qualidade da correlao foi alta, tendo em vista que o expressivo valor encontrado
para R foi de aproximadamente 0,88. Ou seja, a faixa hierrquica mais propensa
a ser alvo de um engenheiro social no 2/1 GCC foram os Soldados e Cabos.
4.5 Correlao entre o nvel de conhecimento de SI e engenharia social com o
ndice de incidentes relacionados a malware
De posse dos graus percentuais obtidos a partir do questionrio, em
conjunto com o resultado do teste realizado pelo envio do malware a todos os
usurios da rede de computadores do 2/1 GCC que responderam ao questionrio,
foi possvel verificar a correlao entre o conhecimento em SI e engenharia social
com o ndice de incidentes relacionado a cdigo malicioso, conforme dados
constantes na tabela abaixo:
14
Tabela 5 Graus obtidos arranjados por porcentagem de acertos
PERCENTUAL DE ACERTOS
MDIA DO GRAU OBTIDO
QUANTIDADE DE USURIOS
USURIOS INFECTADOS
NDICE DE INCIDENTES
0 a 25% 14,71% 4 3 75%
26 a 50% 40,69% 24 17 70,83%
51 a 75% 58,29% 22 16 72,73%
76 a 100% 80,67% 7 6 85,71%
O objetivo da separao por faixas percentuais de acertos foi poder criar
um ndice de incidentes relacionados a malware.
A coluna ndice de incidentes foi obtida a partir do resultado percentual da
diviso da coluna quantidade de usurios pelos dados constantes na coluna
usurios infectados.
Finalmente, verificou-se a correlao calculando a regresso linear aliada
ao coeficiente de determina o (R), conforme representado na Figura 5.
Figura 5: Mdia da faixa de graus percentuais obtidos com o ndice de incidentes com malware.
A partir da Figura 5, perceberam-se os seguintes fatos:
a. A tendncia linear apresentou um coeficiente angular positivo devido
ao elevado ndice de incidncia do malware nos militares que
atingiram os maiores graus no questionrio, resultado que corrobora
com a falta de correlao entre as variveis em questo.
15
b. O resultado do coeficiente de determina o R) foi de
aproximadamente 40%, ou seja, a correlao entre as variveis em
questo no foi significativa.
Sendo assim, pelos clculos estatsticos empregados na anlise percebe-
se que no h correlao significativa entre o nvel de conhecimento em SI e
engenharia social com a incidncia de malware levando em considerao os
usurios da rede de computadores do 2/1 GCC.
CONCLUSO
Para que uma Fora Armada moderna cumpra sua misso com
excelncia, necessrio que seja capaz de tramitar as informaes de forma rpida
e segura. Sendo assim, a Fora Area Brasileira depende, cada vez mais, de
sistemas computacionais capazes de acelerar os complexos processos da guerra.
Logo, compulsada a defender-se dos perigos que afetam os sistemas de
informao.
Dentre as diversas ameaas que assolam a integridade das redes de
computadores, pode-se citar a ao de pessoas que exploram o fator humano - elo
mais fraco da SI por meio de enganao, potencializado pelo uso de softwares
maliciosos para conseguir seus objetivos.
O presente trabalho se props a responder seguinte pergunta: Qual o
perfil do usurio da rede de computadores do 2/1 GCC mais suscetvel a ser alvo
de um engenheiro social utilizando um malware?
Para que se alcance uma resposta adequada indagao, foram
traados os seguintes objetivos especficos: Identificar o nvel de conhecimento em
SI e engenharia social do efetivo do 2/1 GCC; identificar quais usurios da rede de
computadores do 2/1 GCC so mais suscetveis a um ataque de engenharia social
por meio de um malware e Analisar se h correlao entre o nvel de conhecimento
em SI e engenharia social com incidentes relacionados a malware no 2/1 GCC.
Inicialmente, foram definidas duas variveis para serem analisadas pela
pesquisa: a idade e a patente dos usurios da rede de computadores do 2/1 GCC
no efetivo disponvel durante o perodo de agosto a outubro de 2012.
Tomando como base a metodologia de pesquisa descrita, foram
estudadas as variveis supracitadas em relao ao ndice de ataques de engenharia
16
social bem sucedidos. Com isso, verificou-se que a maior incidncia de cdigo
malicioso foi percebida nos militares da menor grau hierrquico (Soldados e Cabos)
e de menor faixa etria (19 a 29 anos).
Em seguida, foi aplicada a teoria estatstica da regresso linear aliada ao
coeficiente de determinao nos dados relativos aos graus obtidos no questionrio e
ndice de incidentes relacionados a malware arranjados por faixa de notas, com o
objetivo de constatar se existe algum tipo de correlao entre as variveis.
No contexto do presente trabalho, concluiu-se que no h correlao
significativa entre o nvel de conhecimento em SI e engenharia social com a
incidncia de malware, devido a baixa qualidade de correlao representada por R,
ao se analisar as variveis em questo.
Alm disso, foi constatado que o conhecimento dos militares do 2/1
GCC homogneo e deve ser aprimorado, tendo em vista que o desconhecimento
da grande maioria das informaes constantes no questionrio crtica para o trato
da informao em uma rede de computadores.
Os resultados obtidos demonstraram relevncia, pois apontam
caractersticas do usurio da rede de computadores do 2/1 GCC que corroboram
para um ataque de engenharia social bem sucedido por disseminao de malware.
De posse dessa informao, o responsvel pela SI no Esquadro poder
definir aes mais efetivas e pontuais, com o intuito de minimizar os incidentes
envolvendo cdigo malicioso, gerando conscincia no trato das informaes.
Vislumbra-se tambm a possibilidade da aplicao da presente pesquisa
em outras organizaes militares do Comando da Aeronutica (COMAer), tendo em
vista a semelhana nos recursos de softwares, estrutura lgica e fsica das redes de
computadores e sistemas corporativos em uso.
Tal pesquisa poder ser aproveitada em outras Foras Armadas ou
rgos governamentais, para que possam identificar o perfil do usurio mais
vulnervel em suas redes de computadores e realizar trabalhos de conscientizao
do efetivo quanto s boas prticas no trato dos recursos computacionais.
REFERNCIAS
17
BRASIL. Comit Gestor da Internet no Brasil. Cartilha de Segurana para Internet: 4. ed. So Paulo: CERT.br, 2012.
CARUSO, C. A. A.; STEFFEN, F. D. Segurana em informtica e de informaes. 2. ed. So Paulo: Editora SENAC, 1999.
EGOSHI, K.; ROMANO, M. Como atacam: Worms. Aprenda Fcil, So Paulo, n.1, 2003.
GIL, A. C. Como elaborar projetos de pesquisa. 5. ed. So Paulo: Atlas, 2010.
MERRILL, W. C. e FOX, K. A. ma ntrodu o S o au o Editora Atlas, 1980.
MITNICK, K. D.; SIMON, W. L. A arte de enganar: Ataques de Hackers: Controlando o Fator Humano na Segurana da Informao. So Paulo: Pearson Education, 2003.
MONTEIRO, E. S. Segurana em ambientes corporativos. Florianpolis: Visual Books Ltda, 2003.
OLIVEIRA, W. J. Segurana da Informao. Florianpolis: Visual Books Ltda, 2001.
PEIXOTO, M. C. P. Engenharia social e Segurana da Informao 1. ed. So Paulo: Brasport, 2006.
TANENBAUM, A. S. Redes de Computadores. 3. ed. Rio de Janeiro: Campus, 1997.