Embed Size (px)
Citation preview
ESCOLA DE APERFEIÇOAMENTO DE OFICIAIS DA AERONÁUTICA
DIVISÃO DE ENSINO
TRABALHO DE CONCLUSÃO DE CURSO
Malware: uma ameaça real aos sistemas computacionais
Título do Trabalho
ADMINISTRAÇÃO MILITAR
LINHA DE PESQUISA
289
CÓDIGO
CAP 2/2012
Curso e Ano
PLANO DE PESQUISA
Malware: uma ameaça real aos sistemas computacionais
Título do Trabalho
ADMINISTRAÇÃO MILITAR
LINHA DE PESQUISA
23/OUTUBRO/2012
DATA
CAP 2/2012
Curso e Ano
Este documento é o resultado dos trabalhos do aluno do Curso de
Aperfeiçoamento da EAOAR. Seu conteúdo reflete a opinião do autor, quando
não for citada a fonte da matéria, não representando, necessariamente, a
política ou prática da EAOAR e do Comando da Aeronáutica.
1
1 CONTEXTUALIZAÇÃO
Concomitantemente com o advento do computador e com os diversos
benefícios que foram obtidos ao se utilizar as máquinas para automatizar processos
e trafegar mensagens com celeridade, surgiram novas vulnerabilidades relacionadas
ao trato das informações.
Para que as redes de computadores possam ter uma aplicação prática, é
necessária uma interface que envie instruções por meio de uma linguagem que a
máquina seja capaz de interpretar. Por definição, essa sentença composta por um
encadeamento de comandos é chamada de software.
Ao decodificar as informações recebidas, o computador executa as
tarefas para as quais o software foi projetado. Entretanto, rapidamente foram
vislumbradas aplicações com cunho mal-intencionado para o software. Assim
surgiram os malwares.
O termo malware é proveniente de um trocadilho da língua inglesa
malicious software, que significa software malicioso. Geralmente, o objetivo do
malware é infiltrar-se em um sistema computacional alheio - de forma ilícita - e
causar algum dano (como, por exemplo, uma interrupção de serviço, alteração de
funções da máquina, ou mesmo roubo de informações).
Tendo em vista as possibilidades de emprego do malware, vislumbrou-se
sua utilização em operações de espionagem, concorrência desleal e roubo de dados
sigilosos utilizando-se da engenharia social.
Por definição, a engenharia social usa a influência e a persuasão para
enganar pessoas e convencê-las de que o “atacante” na verdade é alguém que ele
não é, manipulando o comportamento da vítima para se beneficiar de alguma forma.
Como resultado, o engenheiro social pode aproveitar-se das pessoas
para obter as informações com ou sem o uso da tecnologia (MITNICK; SIMON,
2003)1.
Como medida de prevenção para esse tipo de ameaça, verificou-se a
necessidade da criação de procedimentos e políticas na utilização dos meios
computacionais. Esse processo teria a finalidade de minimizar a atuação dos
engenheiros sociais e proteger a propriedade intelectual bem como o acesso às
1MITNICK, K. D.; SIMON, W. L. A arte de enganar: Ataques de Hackers: Controlando o Fator Humano na Segurança da Informação. São Paulo: Pearson Education, 2003.
2
informações sensíveis por pessoas não autorizadas.
Em consequência desse fato, surgiu o conceito de Segurança da
Informação (SI): “Segurança de informações define-se como o processo de proteção
de informações e ativos digitais armazenados em computadores e redes de
processamento de dados” (OLIVEIRA, 2001) 2.
Quando se discorre sobre ataques de engenharia social em SI, está se
referindo a quaisquer procedimentos utilizados para obter vantagens ou acesso
indevido a informações sigilosas por meio de enganação (MITNICK; SIMON, 2003).
É importante frisar que a engenharia social pode ser utilizada em
múltiplos campos da SI. Porém, neste trabalho, a engenharia social será abordada
com foco na utilização do malware como vetor de ataque a redes de computadores.
A Força Aérea Brasileira, inserida nos sistemas computacionais, é
compulsada a adaptar-se às ameaças inerentes a SI e engenharia social em seus
sistemas computacionais. A inadequada adaptação poderá trazer consequências
desastrosas, sob a severa pena de deteriorar sua capacidade de comando e
controle, culminando com a perda da soberania do espaço aéreo brasileiro.
Nesse ambiente, os pontos fortes e as possíveis fragilidades dos sistemas
computacionais aparecem, respectivamente, como importantes elos ou vulneráveis
gargalos das organizações modernas. Dentro desse contexto, surge uma
inquietação ao se observar que as fragilidades – seja por falta de conhecimento ou
de capacidade técnica – são os grandes alvos a serem atacados por possíveis
malwares de engenheiros sociais, podendo comprometer toda a rede da
organização. E onde estariam essas fragilidades? Quais seriam os pontos fracos
nos elos do sistema? É com esse pensamento que buscar-se á responder ao
seguinte problema de pesquisa: Qual o perfil do usuário da rede de computadores
do 2º/1º GCC mais suscetível a ser alvo de um engenheiro social por meio de um
malware?
Este trabalho se propõe a averiguar variáveis diretamente relacionadas a
uma vertente específica da SI e a comportamentos indesejáveis durante a gestão da
informação nos sistemas computacionais no âmbito do 2º/1º GCC. Portanto –
considerando o tema abordado – este trabalho está enquadrado na linha de
pesquisa da Administração Militar.
2OLIVEIRA, W. J. Segurança da Informação. Florianópolis: Visual Books Ltda, 2001.
3
Assim, com a finalidade de responder ao problema proposto, as ações de
pesquisa do trabalho foram limitadas temporalmente ao período de agosto a outubro
de 2012. Além disso, foram estabelecidas três questões norteadoras:
QN1 – Quais as faixas etárias e patentes dos usuários da rede de
computadores do 2º/1º GCC que apresentam maior conhecimento em SI e
engenharia social?
QN2 – Quais integrantes do 2º/1º GCC, arranjados por hierarquia e idade,
são mais propensos a um ataque de engenharia social utilizando um malware?
QN3 – Existe correlação entre o nível de conhecimento em SI e
engenharia social dos usuários da rede do 2º/1º GCC com incidentes relacionados a
malware?
A pesquisa em pauta focará no objetivo geral de identificar qual o perfil
dos usuários da rede interna de computadores do 2º/1º GCC mais suscetível a ser
alvo de engenharia social por meio de um malware.
Para direcionar corretamente as ações de pesquisa, os seguintes
objetivos específicos (OE):
OE1 – Identificar o nível de conhecimento em SI e engenharia social do
efetivo do 2º/1º GCC, e classificar os resultados em faixas etárias, patentes e
escolaridade.
OE2 – Identificar quais usuários da rede de computadores do 2º/1º GCC
seriam alvo de engenharia social por meio de um malware, e classificar os dados por
faixas de idade, hierarquia e escolaridade.
OE3 – Analisar se há correlação entre o nível de conhecimento em SI e
engenharia social com incidentes relacionados a malware no 2º/1º GCC.
Quanto à relevância da pesquisa, esses resultados poderão indicar as
principais características - dos usuários da rede de computadores do 2º/1º GCC -
desejáveis para os engenheiros sociais na disseminação de malware, permitindo ao
responsável pela SI, do Esquadrão, definir ações efetivas com o intuito de reduzir
significantemente os incidentes envolvendo código malicioso.
Outro fator importante é a possibilidade da aplicação da pesquisa em
outras organizações militares do Comando da Aeronáutica (COMAer), tendo em
vista a semelhança nos recursos de softwares, estrutura lógica e física das redes de
computadores e sistemas corporativos em uso.
Tal pesquisa poderá ser aproveitada também em outras Forças Armadas
4
ou órgãos governamentais, para que possam identificar o perfil do usuário mais
vulnerável em suas redes de computadores e realizar trabalhos de conscientização
do efetivo quanto às boas práticas no trato dos recursos computacionais.
2 REFERENCIAL TEÓRICO
A pesquisa tomará como referência as teorias de Mitnick e Simon, que
apontam o fator humano como sendo o elo mais fraco da SI. Paralelamente, citam
seis tendências (autoridade, afabilidade, reciprocidade, consistência, validação
social e escassez) mais usadas por engenheiros sociais para desferir seus ataques,
conforme detalhamento do presente trabalho.
Outra importante abordagem desses teóricos, com aplicação direta neste
trabalho, diz respeito à capacidade de manipulação e de uso dos sistemas de
tecnologia da informação por parte daqueles que praticam a engenharia social:
Um engenheiro social vive de sua capacidade de manipular as pessoas para que elas façam coisas que o ajudem a atingir o seu objetivo, mas o sucesso quase sempre requer uma grande dose de conhecimento e habilidade com os sistemas de computador e telefonia (MITNICK; SIMON, 2003).
À luz dessas referências teóricas, serão aplicados conhecimentos
específicos e habilidades de programação para elaborar um malware, de forma que
o programa possa ser usado como um teste no 2º/1º GCC.
Além disso, será utilizada a teoria estatística da regressão linear3, para
verificar se há ou não relação significativa entre duas variáveis. Os procedimentos
estatísticos serão esmiuçados no artigo científico.
3 METODOLOGIA
Tendo em vista o objetivo geral, buscar-se-á definir quais as principais
características dos usuários da rede de computadores do 2º/1º GCC mais
suscetíveis a um ataque de engenharia social por meio de um malware.
3MERRILL, W. C. e FOX, K. A. ma ntroduç o S o Paulo: Editora Atlas, 1980.
5
Sendo assim, a fim de cumprir o primeiro Objetivo Específico (OE1), será
enviado, para os 64 usuários disponíveis da rede de computadores do 2º/1º GCC,
um questionário anexado a um correio eletrônico.
As respostas serão analisadas com vistas a mensurar o nível de
conhecimento sobre os assuntos em pauta (SI e engenharia social), gerando uma
nota final (porcentagem de acertos) que permitirá a tabulação dos resultados e a
classificação em faixas etárias, hierárquicas e escolares.
Para cumprir o segundo Objetivo Específico (OE2), será desferido um
ataque de engenharia social para todos os militares que tenham respondido ao
questionário anterior, como forma de teste do sistema e aquisição dos dados
necessários à resposta do problema de pesquisa.
O ataque consistirá na disseminação de um malware desenvolvido
especificamente para utilização no presente trabalho, de forma que seja possível
averiguar quais usuários seriam vítimas de código malicioso caso houvesse um
ataque de engenharia social.
Esse código malicioso será apresentado ao usuário de duas formas: na
figura de um arquivo com nome sugestivo plantado no servidor de arquivos do
Esquadrão e como uma mensagem eletrônica persuasiva enviada a todo o efetivo.
Ao ser executado em ambas as formas, o código malicioso enviará o
nome do usuário, o vetor do ataque – arquivo implantado ou mensagem eletrônica –
e o nome do computador da vítima para um banco de dados administrado pelo
pesquisador.
Sendo assim, poder-se-á definir qual a forma de ataque mais eficiente e
quais as principais características (faixas de patentes, etárias e de escolaridade) dos
militares do 2º/1º GCC mais suscetíveis a um ataque de engenharia social por meio
de um malware.
Por fim, para checar se há correlação entre o conhecimento de SI e
engenharia social com o índice de incidentes relacionados a malware, será
empregada a regressão linear, tendo como objetivo principal verificar se há
correlação entre as variáveis supracitadas.
ARTIGO CIENTÍFICO
Malware: uma ameaça real aos sistemas computacionais
Título do Trabalho
ADMINISTRAÇÃO MILITAR
LINHA DE PESQUISA
23/OUTUBRO/2012
DATA
CAP2/2012
Curso e Ano
Este documento é o resultado dos trabalhos do aluno do Curso de
Aperfeiçoamento da EAOAR. Seu conteúdo reflete a opinião do autor, quando
não for citada a fonte da matéria, não representando, necessariamente, a
política ou prática da EAOAR e do Comando da Aeronáutica.
Malware: uma ameaça real aos sistemas computacionais
RESUMO
O presente artigo tem por objetivo analisar qual o perfil de usuário da rede do 2º/1º GCC mais suscetível a ser alvo de engenharia social por meio de um malware. A pesquisa apresenta características descritivas, pois estabeleceu relação entre variáveis e relata as características dos usuários que influenciam em um incidente de segurança da informação (SI) e engenharia social relacionado a código malicioso. No que diz respeito a procedimentos técnicos utilizados, esta pesquisa é classificada como de levantamento, pois o trabalho busca informações relativas ao comportamento dos militares do 2º/1º GCC no trato de sistemas computacionais, utilizando-se de um questionário e um teste. Com o intuito de nortear o trabalho e baseado na teoria de Kevin Mitnick, que o elo mais fraco da SI é o fator humano, a pesquisa buscou correlacionar faixa etária e hierárquica com o nível de conhecimento específico, e correlacionar as mesmas variáveis com o índice de incidentes com malware. Além disso, buscou-se verificar, utilizando regressão linear aliada ao coeficiente de determinação, se há correlação entre o nível de conhecimento específico com a quantidade de incidentes envolvendo software malicioso. Após a tabulação e análise dos dados coletados, verificou-se a necessidade de aprimoramento do conhecimento específico do efetivo, que as faixas hierárquicas e etárias mais suscetíveis a um ataque de engenharia social por meio de código malicioso, no 2º/1º GCC, são os Soldados e Cabos de 19 a 29 anos. Vislumbrou-se ainda que não há correlação entre o conhecimento em pauta com incidentes relacionados a malware. Palavras-chave: Segurança da informação. Engenharia Social. Malware. Perfil de usuário.
ABSTRACT
This article aims to analyze which user profile network of 2º/1º GCC more likely to be targeted by social engineering by way of malware. The research presents descriptive characteristics, as established relationship between variables and reports the characteristics of users in an incident affecting information security (IS) and social engineering related to malicious code. Regarding the technical procedures used, this research is classified as lifting because work seeks information relating to the conduct of the military from 2º/1º GCC in dealing with computer systems, using a questionnaire and a test. In order to guide the work, and based on the theory that Kevin Mitnick the weakest link in the SI is the human factor, the research sought to correlate with age and hierarchical level of expertise, and correlating these variables with the index incident with malware. Further study assessed using linear regression combined with the coefficient of determination, whether there is a correlation between the level of expertise with the number of incidents involving malicious software. After tabulating and analyzing the data collected, there was the need of increase the specific knowledge of the actual, the band hierarchical and group most susceptible to a social engineering attack via malicious code on the 2º/1º GCC are the Soldiers and Corporals from 19 to 29 years old, and there is no correlation between knowledge of IS and social engineering with incidents related to malware. Keywords: Information security. Social engeneering. Malware. User profile.
2
INTRODUÇÃO
Com o advento dos computadores e a capacidade de comunicação
desses equipamentos via rede, surgiram diversas plataformas e tecnologias que
visam a redução da carga de trabalho com automações e facilidades nas gestões de
processos.
Entretanto, para que essas tecnologias e facilidades possam ter uma
aplicação prática, é necessária uma interface que envie instruções por meio de uma
linguagem que a máquina seja capaz de interpretar. Por definição, essa sentença
composta por um encadeamento de comandos é chamada de software.
Ao decodificar as informações recebidas, o computador executa as
tarefas para as quais o software foi projetado.
Porém, rapidamente foram vislumbradas aplicações com cunho mal-
intencionado para o software. Assim surgiram os malwares.
O termo malware é proveniente de um trocadilho da língua inglesa
malicious software, que significa software malicioso. Geralmente, o objetivo do
malware é infiltrar-se em um sistema computacional alheio - de forma ilícita - e
causar algum dano (como, por exemplo, uma interrupção de serviço, alteração de
funções da máquina, ou mesmo roubo de informações).
Tendo em vista que a cada dia a sociedade se torna mais dependente do
tratamento rápido e efetivo da informação pelas redes de computadores, vislumbrou-
se o grande potencial da utilização de malwares em operações de espionagem,
concorrência desleal e roubo de dados sigilosos utilizando-se da engenharia social.
Por definição, a engenharia social usa a influência e a persuasão para
enganar pessoas e convencê-las de que o “atacante” na verdade é alguém que ele
não é, manipulando o comportamento da vítima para se beneficiar de alguma forma.
Como resultado, o engenheiro social pode aproveitar-se das pessoas
para obter as informações com ou sem o uso da tecnologia (MITNICK; SIMON,
2003).
Como medida de prevenção para esse tipo de ameaça, verificou-se a
necessidade da criação de procedimentos e políticas na utilização dos meios
computacionais. A proposta desse processo é minimizar a atuação dos engenheiros
sociais e proteger a propriedade intelectual bem como o acesso às informações
3
sensíveis por pessoas não autorizadas.
Em consequência desse fato, surgiu o conceito de Segurança da
Informação (SI): “Segurança de informações define-se como o processo de proteção
de informações e ativos digitais armazenados em computadores e redes de
processamento de dados” (OLIVEIRA, 2001).
Quando se discorre sobre ataques de engenharia social em SI, refere-se
a quaisquer procedimentos utilizados para obter vantagens ou acesso indevido a
informações sigilosas por meio de enganação (MITNICK; SIMON, 2003).
É importante frisar que a engenharia social pode ser utilizada em
múltiplos campos da SI. Porém, todos apresentam um ponto em comum: a
exploração de comportamentos e convenções sociais no elemento mais vulnerável
de uma estrutura de segurança - o fator humano. Neste trabalho, a engenharia
social foi abordada com foco na utilização do malware como vetor de ataque a redes
de computadores.
A Força Aérea Brasileira, inserida nos sistemas computacionais, cada vez
mais depende dos softwares capazes de acelerar o complexo processo do trâmite
da informação para cumprir sua missão. Logo, é compulsada a adaptar-se às
ameaças inerentes à SI e engenharia social em suas redes de computadores, sob a
severa pena de deteriorar sua capacidade de comando e controle, culminando com
a perda da soberania do espaço aéreo brasileiro.
O Segundo Esquadrão do Primeiro Grupo de Comunicações e Controle
(2º/1º GCC) é uma organização militar integrante do Sistema de Controle do Espaço
Aéreo Brasileiro (SISCEAB), que presta serviços relevantes e extremamente
dependentes de sistemas computacionais, como - por exemplo - o controle dos
vetores de defesa aérea em uma operação militar.
Nesse ambiente, os pontos fortes e as possíveis fragilidades dos sistemas
computacionais aparecem, respectivamente, como importantes elos ou vulneráveis
gargalos das organizações modernas. Dentro desse contexto, surge uma
inquietação ao observar-se que as fragilidades – seja por falta de conhecimento ou
de capacidade técnica – são os grandes alvos a serem atacados por possíveis
malwares de engenheiros sociais, podendo levar ao caos toda a rede da
organização. E onde estariam essas fragilidades? Quais seriam os pontos fracos
nos elos desse sistema? É com esse pensamento que se buscou responder ao
seguinte problema de pesquisa: Qual o perfil do usuário da rede de computadores
4
do 2º/1º GCC mais suscetível a ser alvo de um engenheiro social por meio de um
malware?
A pesquisa em pauta se propôs a averiguar variáveis diretamente
relacionadas a uma vertente específica da SI e a comportamentos indesejáveis à
gestão da informação nos sistemas computacionais no âmbito do 2º/1º GCC.
Portanto – considerando o tema abordado – este trabalho está enquadrado na linha
de pesquisa da Administração Militar.
Assim, com a finalidade de responder ao problema proposto, as ações de
pesquisa do trabalho foram limitadas temporalmente ao período de agosto a outubro
de 2012. Além disso, foram estabelecidas três questões norteadoras:
QN1 – Quais as faixas etárias e patentes dos usuários da rede de
computadores do 2º/1º GCC que apresentam maior conhecimento em SI e
engenharia social?
QN2 – Quais integrantes do 2º/1º GCC, arranjados por hierarquia e idade,
são mais propensos a um ataque de engenharia social utilizando um malware?
QN3 – Existe correlação entre o nível de conhecimento em SI e
engenharia social dos usuários da rede do 2º/1º GCC com incidentes relacionados a
malware?
A pesquisa em pauta focou no objetivo geral de identificar qual a faixa
etária e hierárquica mais suscetíveis a serem alvo de engenharia social por meio de
um malware no âmbito do 2º/1º GCC.
Para direcionar corretamente as ações de pesquisa, foram estabelecidos os
seguintes objetivos específicos (OE):
OE1 – Identificar o nível de conhecimento em SI e engenharia social do
efetivo do 2º/1º GCC, e classificar os resultados em faixas etárias e patentes.
OE2 – Identificar quais usuários da rede de computadores do 2º/1º GCC
seriam alvo de engenharia social por meio de um malware, e classificar os dados em
faixas de idade e hierarquia.
OE3 – Analisar se há correlação entre o nível de conhecimento em SI e
engenharia social com incidentes relacionados a malware no 2º/1º GCC.
Quanto à relevância da pesquisa, esses resultados puderam indicar as
principais características - dos usuários da rede de computadores do 2º/1º GCC -
desejáveis para os engenheiros sociais na disseminação de malware, permitindo ao
responsável pela SI no Esquadrão definir ações efetivas com o intuito de reduzir
5
significantemente os incidentes envolvendo código malicioso.
Outro fator importante é a possibilidade da aplicação da pesquisa em
outras organizações militares do Comando da Aeronáutica (COMAer), tendo em
vista a semelhança nos recursos de softwares, estrutura lógica e física das redes de
computadores e sistemas corporativos em uso.
Tal pesquisa poderá ser aproveitada também em outras Forças Armadas
ou órgãos governamentais, para que possam identificar o perfil do usuário mais
vulnerável em suas redes de computadores e realizar trabalhos de conscientização
do efetivo quanto às boas práticas no trato dos recursos computacionais.
2 REFERENCIAL TEÓRICO
A pesquisa tomou como referência as teorias de Mitnick e Simon (2003),
que apontam o fator humano como sendo o elo mais fraco da SI. Paralelamente,
citam seis tendências mais usadas por engenheiros sociais para desferir seus
ataques: autoridade, afabilidade, reciprocidade, consistência, validação social e
escassez.
Para o caso específico desta pesquisa, foram aplicadas apenas três
tendências:
a. A validação social, que considera que as pessoas cooperam quando
há uma convenção social sendo cumprida e o falso sentimento de um
procedimento corriqueiro.
b. A escassez, que sugere o aproveitamento do sentimento de falta de
demanda ou baixa disponibilidade, buscando criar um falso senso na
vítima da necessidade de se tomar uma decisão em um curto período
de tempo.
c. A autoridade, que consiste na tendência dos indivíduos em atender a
uma solicitação prontamente caso acredite que o solicitante possui
autorização para tal. Geralmente o engenheiro faz-se passar por um
superior na escala hierárquica para conseguir seus objetivos.
Outra importante abordagem destes teóricos, com aplicação direta no trabalho, diz respeito à capacidade de manipulação e de uso dos sistemas de tecnologia da informação por parte daqueles que praticam a engenharia social:
Um engenheiro social vive de sua capacidade de manipular as pessoas para que elas façam coisas que o ajudem a atingir o seu objetivo, mas o sucesso quase sempre requer uma grande dose de conhecimento e
6
habilidade com os sistemas de computador e telefonia (MITNICK; SIMON, 2003).
À luz dessas referências teóricas, foram aplicados conhecimentos
específicos e habilidades de programação para elaborar um malware, de forma que
esse programa possa se usado como um teste no 2º/1º GCC.
Esse código malicioso foi enviado como anexo em um correio eletrônico
falsificado, simulando uma ordem com o prazo exíguo vinda do Comandante do
Esquadrão para todo o efetivo.
Para realizar testes estatísticos necessários na pesquisa, optou-se por
utilizar a regressão linear aliada ao coeficiente de determinaç o R²), tendo como
objetivo principal verificar se há correlação entre as variáveis – propósito
fundamental da análise de regressão linear – segundo Merrill e Fox (1998).
Ainda fazendo referência aos últimos autores, não foi possível estimar-se
a re aç o entre duas vari veis sem que se criassem hip teses so re a forma da
re aç o que no presente caso, foi fundamentada nas funções ineares
A representaç o algébrica de uma funç o inear apresenta a seguinte
forma: (y = α + β.x), onde α e β s o constantes constante α chamada
coeficiente linear. A constante β o coeficiente angular.
O foco da questão se baseia em prever os par metros a e b da equaç o
de regress o ara todos os pontos (x,y e iste uma reta de regress o (y = α + β.x).
qua idade da regress o rea i ada pode ser indicada pelo coeficiente de
determinaç o R²), que uma medida estat stica. Esse coeficiente – que varia de 0
a 1 – define a porcentagem de y vari ve dependente que pode ser identificada
pe a equaç o de regress o inear
A partir de R² poss ve ava iar se os va ores de x permitem ou n o
proceder a uma boa estimativa de y. Em outras palavras: Quanto mais R² se
aproxima de 1 maior a correlação e a possibilidade em se preverem as variáveis.
3 METODOLOGIA
Tomando como base as definições de Gil (2010), a pesquisa é qualificada
como descritiva, pois descreve as características dos usuários da rede de
computadores do 2º/1º GCC que influenciam um incidente de SI relacionado a
malware. Atrelado a isso, o presente trabalho buscou relacionar o nível de
conhecimento (de SI e engenharia social) e a quantidade de incidentes envolvendo
7
malware com as diversas faixas etárias e hierárquicas que compõem o universo de
militares, visando apontar as principais características do usuário da rede de
computadores do 2º/1º GCC mais propenso a ser alvo de engenharia social por meio
de software malicioso.
No que diz respeito a procedimentos técnicos utilizados, esta pesquisa é
classificada como de levantamento, conforme Gil (2010).
Essa classificação se justifica pois o trabalho buscou informações
relativas ao comportamento dos militares do 2º/1º GCC no trato de sistemas
computacionais, utilizando-se de um questionário e um teste.
Buscando cumprir o primeiro Objetivo Específico (OE1), foi enviado para
os 64 usuários disponíveis da rede de computadores do 2º/1º GCC, um questionário
anexado a um correio eletrônico.
Esse questionário foi estruturado da seguinte forma: foi realizada a coleta
da patente e da idade do militar, havendo 17 questões de múltipla escolha. Dentre
as perguntas constantes no questionário, 03 delas envolviam conhecimento mistos
(sobre SI e engenharia social), 07 delas somente sobre engenharia social e 07
somente sobre SI.
Os dados foram analisados com vistas a mensurar o nível de
conhecimento sobre os assuntos em pauta, gerando uma nota final (porcentagem de
acertos) de forma que se possa tabular os resultados em faixas etárias e
hierárquicas.
Para cumprir o segundo Objetivo Específico (OE2), foi desferido um
ataque de engenharia social para todos os militares que haviam respondido ao
questionário anterior utilizando um e-mail com anexo malicioso. Essa mensagem foi
produzida de forma a trazer consigo três das seis tendências mais usadas por
engenheiros sociais para fazer seus ataques, - já definidas anteriormente: a
“va idaç o socia ” a “escasse ” e a “autoridade”
Caracterizando a tendência da validação social, o texto da mensagem
versava sobre uma pesquisa de satisfação do Departamento de Controle do Espaço
Aéreo (DECEA); sendo este um assunto em voga na Organização Militar, o texto
acabou por transmitir um senso de familiaridade aos usuários da rede de
computadores do 2º/1º GCC.
A escassez foi inserida no contexto do ataque ao se determinar um prazo
exíguo de uma manhã para que a tarefa fosse terminada.
8
A tendência da autoridade foi aplicada ao ludibriar o destinatário com
dados inverídicos do emissor da mensagem, passando a impressão de que o autor
do e-mail tinha sido o Comandante do Esquadrão.
Foi criado um malware especificamente para utilização no presente
trabalho, com a finalidade de averiguar quais usuários seriam vítimas de código
malicioso caso houvesse um ataque de engenharia social. Esse software mal
intencionado foi anexado a uma mensagem de correio eletrônico, simulando o
questionário da pesquisa de satisfação anteriormente citada.
Caso o militar fosse ludibriado e executasse o código malicioso, o artefato
enviaria para um banco de dados o nome do usuário e computador utilizado.
Por fim, para verificar se houve correlação entre o conhecimento de SI e
engenharia social com o índice de incidentes causados por malware, utilizou-se uma
regressão linear aliada ao coeficiente de determinaç o R².
O objetivo do autor, ao aplicar o referido cálculo estatístico, foi checar a
qua idade da regress o rea i ada verificando o resu tado do coeficiente de
determinaç o, que indica se realmente há alguma re aç o significante entre as
vari veis citadas.
4 DISCUSSÕES E ANÁLISES
A fim de responder às questões norteadoras e proporcionar uma análise
lógica e concisa, decidiu-se dividir o capítulo em cinco seções: Nível de
conhecimento, Ataque de engenharia social, Influência da faixa etária, Influência da
patente e Correlação entre o nível de conhecimento de SI e engenharia social com o
índice de incidentes relacionados a malware.
O programa Excel4 foi utilizado em todas as fases da pesquisa para
tabular resultados, converter as informações obtidas em gráficos e para realizar o
tratamento estatístico dos dados.
4 Programa Excel: programa (software) da Microsoft utilizado para a tabulação de dados e elaboração de gráficos, tabelas e demais recursos afins.
9
4.1 Nível de conhecimento
O questionário de conhecimento específico sobre SI e engenharia social
foi respondido por 57 de 64 militares disponíveis, atingindo 89,06% do universo de
pesquisa.
Logo, pôde-se mensurar o conhecimento dos usuários da rede de
computadores do 2º/1º GCC calculando um percentual de acerto das respostas do
questionário em questão, que foi organizado por faixas etárias e hierárquicas.
Ao verificar a média geral dos usuários, foi encontrado o valor de 50,57%
de nível de conhecimento em SI e engenharia social.
Sendo assim, percebe-se que o conhecimento dos militares do 2º/1º GCC
deve ser aprimorado, tendo em vista que o desconhecimento de aproximadamente
50% das informações constantes no questionário é crítica para o trato da informação
em uma rede de computadores.
4.2 Ataque de engenharia social
Ao ser desferido, o ataque foi bem sucedido em 42 dos 57 usuários que
haviam respondido ao questionário, totalizando uma expressiva marca de 73,68%
computadores comprometidos. Sendo assim, pôde-se definir quais as patentes e as
faixas etárias dos militares do 2º/1º GCC que apresentaram maior suscetibilidade a
um ataque de engenharia social por meio de um malware.
4.3 Influência da faixa etária
Foram definidas faixas etárias de forma a dividir todo o grupo em 04
partes equivalentes de quantidade de anos, conforme Tabela 1:
Tabela 1 – Conhecimento arranjado por faixas etárias
FAIXA ETÁRIA MÉDIA CONHECIMENTO
19 a 29 46,32%
30 a 39 57,35%
40 a 49 57,65%
50 a 59 45,1%
Foi calculada a média percentual de acertos das faixas etárias conforme a
10
Tabela 1, e seus dados projetados graficamente na Figura 1, com o intuito de
facilitar as subsequentes análises.
Figura 1: Média percentual da faixa etária obtida pelo resultado do questionário de conhecimento sobre SI e engenharia social.
Ao estudarem-se os dados apresentados na Figura 1, percebeu-se que a
diferença das médias foi muito pequena. Verificou-se a significância estatística dos
dados pelo coeficiente de determinação (R²).
Utilizando o programa Excel para fazer os cálculos, foi encontrado um R²
aproximadamente igual a 0,004, informação que denota uma qualidade
extremamente baixa na correlação das variáveis. Além disso, pôde-se perceber uma
tendência linear praticamente paralela ao eixo das faixas etárias, demonstrando uma
variação insignificante do grau de conhecimento obtido pelo questionário.
Sendo assim, os militares que responderam ao questionário
demonstraram níveis semelhantes de conhecimento em SI e engenharia social
quando arranjados por idade.
Outra análise interessante foi obtida ao serem analisados os dados da
Tabela abaixo:
Tabela 2 – Índice de incidentes arranjado por faixas etárias
FAIXA ETÁRIA INCIDENTE
19 a 29 78,13%
30 a 39 75%
40 a 49 70%
50 a 59 33,33%
Ao cruzarem-se os dados de faixa etária com o índice de incidentes
11
gerados pelo ataque citado, puderam-se representar os dados conforme a Figura 2.
Figura 2: Índice de incidentes relacionados a malware por faixa etária.
Na figura acima, percebeu-se que há um decréscimo no índice de
incidentes conforme a idade aumentava. Essa correlação mostrou-se relevante,
tendo em vista que o coeficiente de determinação encontrado foi de
aproximadamente 0,74. Ou seja, há correlação entre o índice de incidentes com as
faixas etárias e os usuários de 19 a 29 anos são mais suscetíveis a ser alvo de
um engenheiro social no 2º/1º GCC.
4.4 Influência da patente
Para que se pudessem analisar os dados com base na patente, o grupo
foi arranjado em 04 faixas hierárquicas, com foco na similaridade das tarefas
executadas e o nível de decisão inerente a patente no Esquadrão, conforme a
Tabela 2.
Tabela 3 – Conhecimento arranjado por faixas hierárquicas
FAIXA HIERÁRQUICA MÉDIA
Soldados de segunda classe (S2), Soldados de Primeira classe (S1) e Cabos (CB) 42,65%
Terceiros Sargentos (3S), Segundos Sargentos (2S) e Primeiros Sargentos (1S) 55,15%
Suboficiais (SO) e Segundos Tenentes (2T) 49,26%
Primeiros Tenentes (1T) e Capitães (CP) 62,35%
De forma a consolidar a metodologia proposta, foi utilizado o mesmo
procedimento adotado anteriormente para a análise do conhecimento (resultados do
12
questionário). Porém, nesta seção, as notas foram agrupadas por patente, conforme
ilustrado na Figura 3.
Figura 3: Média percentual da faixa hierárquica obtida pelo resultado do questionário de conhecimento sobre SI e engenharia social.
Na Figura 3, a proximidade nos graus do questionário novamente foi
verificada, conforme seção anterior. Sendo assim, novamente foi aplicada a
regressão linear, resultando em um R² aproximadamente igual a 0,67.
Esse resultado remeteu a um grau significativo de correlação entre a faixa
hierárquica e o conhecimento. Sendo assim, algumas considerações necessitaram
ser feitas:
a. Na Figura 3 pôde-se observar um coeficiente angular positivo, que
remeteu a um maior conhecimento com a idade.
b. Entretanto na faixa hierárquica dos SO e 2T, percebeu-se um valor
um pouco abaixo da faixa dos 3S, 2S e 1S. Provavelmente, isso
ocorreu devido ao fato da grande maioria dos militares na faixa
hierárquica dos SO e 2T estar na faixa etária de 50 a 59 anos, onde
foi observado o menor conhecimento sobre SI e engenharia social.
c. Além dos fatores citados, existiu a possibilidade do nível de instrução
influenciar o resultado, pois geralmente quanto maior o grau
hierárquico maior o nível de instrução do militar.
Prosseguindo na análise, obteve-se outra relevante informação ao se
confrontar os dados da Tabela 4 e o índice de incidentes com a faixa hierárquica,
como é possível verificar no gráfico da Figura 4.
13
Tabela 4 – Índice de incidentes arranjado por faixas hierárquicas
FAIXA HIERÁRQUICA INCIDENTE
Soldados de segunda classe (S2), Soldados de Primeira classe (S1) e Cabos (CB) 80%
Terceiros Sargentos (3S), Segundos Sargentos (2S) e Primeiros Sargentos (1S) 79,17%
Suboficiais (SO) e Segundos Tenentes (2T) 62,5%
Primeiros Tenentes (1T) e Capitães (CP) 40%
Figura 4: Índice de incidentes relacionados a malware por faixa hierárquica.
Na Figura 4 ficou claro que, quanto menor a patente do militar, maior a
quantidade de incidentes relacionados a malware. Além disso, pôde-se dizer que a
qualidade da correlação foi alta, tendo em vista que o expressivo valor encontrado
para R² foi de aproximadamente 0,88. Ou seja, a faixa hierárquica mais propensa
a ser alvo de um engenheiro social no 2º/1º GCC foram os Soldados e Cabos.
4.5 Correlação entre o nível de conhecimento de SI e engenharia social com o
índice de incidentes relacionados a malware
De posse dos graus percentuais obtidos a partir do questionário, em
conjunto com o resultado do teste realizado pelo envio do malware a todos os
usuários da rede de computadores do 2º/1º GCC que responderam ao questionário,
foi possível verificar a correlação entre o conhecimento em SI e engenharia social
com o índice de incidentes relacionado a código malicioso, conforme dados
constantes na tabela abaixo:
14
Tabela 5 – Graus obtidos arranjados por porcentagem de acertos
PERCENTUAL DE ACERTOS
MÉDIA DO GRAU OBTIDO
QUANTIDADE DE USUÁRIOS
USUÁRIOS INFECTADOS
ÍNDICE DE INCIDENTES
0 a 25% 14,71% 4 3 75%
26 a 50% 40,69% 24 17 70,83%
51 a 75% 58,29% 22 16 72,73%
76 a 100% 80,67% 7 6 85,71%
O objetivo da separação por faixas percentuais de acertos foi poder criar
um índice de incidentes relacionados a malware.
A coluna índice de incidentes foi obtida a partir do resultado percentual da
divisão da coluna quantidade de usuários pelos dados constantes na coluna
usuários infectados.
Finalmente, verificou-se a correlação calculando a regressão linear aliada
ao coeficiente de determinaç o (R²), conforme representado na Figura 5.
Figura 5: Média da faixa de graus percentuais obtidos com o índice de incidentes com malware.
A partir da Figura 5, perceberam-se os seguintes fatos:
a. A tendência linear apresentou um coeficiente angular positivo devido
ao elevado índice de incidência do malware nos militares que
atingiram os maiores graus no questionário, resultado que corrobora
com a falta de correlação entre as variáveis em questão.
15
b. O resultado do coeficiente de determinaç o R²) foi de
aproximadamente 40%, ou seja, a correlação entre as variáveis em
questão não foi significativa.
Sendo assim, pelos cálculos estatísticos empregados na análise percebe-
se que não há correlação significativa entre o nível de conhecimento em SI e
engenharia social com a incidência de malware levando em consideração os
usuários da rede de computadores do 2º/1º GCC.
CONCLUSÃO
Para que uma Força Armada moderna cumpra sua missão com
excelência, é necessário que seja capaz de tramitar as informações de forma rápida
e segura. Sendo assim, a Força Aérea Brasileira depende, cada vez mais, de
sistemas computacionais capazes de acelerar os complexos processos da guerra.
Logo, é compulsada a defender-se dos perigos que afetam os sistemas de
informação.
Dentre as diversas ameaças que assolam a integridade das redes de
computadores, pode-se citar a ação de pessoas que exploram o fator humano - elo
mais fraco da SI – por meio de enganação, potencializado pelo uso de softwares
maliciosos para conseguir seus objetivos.
O presente trabalho se propôs a responder à seguinte pergunta: Qual o
perfil do usuário da rede de computadores do 2º/1º GCC mais suscetível a ser alvo
de um engenheiro social utilizando um malware?
Para que se alcance uma resposta adequada à indagação, foram
traçados os seguintes objetivos específicos: Identificar o nível de conhecimento em
SI e engenharia social do efetivo do 2º/1º GCC; identificar quais usuários da rede de
computadores do 2º/1º GCC são mais suscetíveis a um ataque de engenharia social
por meio de um malware e Analisar se há correlação entre o nível de conhecimento
em SI e engenharia social com incidentes relacionados a malware no 2º/1º GCC.
Inicialmente, foram definidas duas variáveis para serem analisadas pela
pesquisa: a idade e a patente dos usuários da rede de computadores do 2º/1º GCC
no efetivo disponível durante o período de agosto a outubro de 2012.
Tomando como base a metodologia de pesquisa descrita, foram
estudadas as variáveis supracitadas em relação ao índice de ataques de engenharia
16
social bem sucedidos. Com isso, verificou-se que a maior incidência de código
malicioso foi percebida nos militares da menor grau hierárquico (Soldados e Cabos)
e de menor faixa etária (19 a 29 anos).
Em seguida, foi aplicada a teoria estatística da regressão linear aliada ao
coeficiente de determinação nos dados relativos aos graus obtidos no questionário e
índice de incidentes relacionados a malware arranjados por faixa de notas, com o
objetivo de constatar se existe algum tipo de correlação entre as variáveis.
No contexto do presente trabalho, concluiu-se que não há correlação
significativa entre o nível de conhecimento em SI e engenharia social com a
incidência de malware, devido a baixa qualidade de correlação representada por R²,
ao se analisar as variáveis em questão.
Além disso, foi constatado que o conhecimento dos militares do 2º/1º
GCC é homogêneo e deve ser aprimorado, tendo em vista que o desconhecimento
da grande maioria das informações constantes no questionário é crítica para o trato
da informação em uma rede de computadores.
Os resultados obtidos demonstraram relevância, pois apontam
características do usuário da rede de computadores do 2º/1º GCC que corroboram
para um ataque de engenharia social bem sucedido por disseminação de malware.
De posse dessa informação, o responsável pela SI no Esquadrão poderá
definir ações mais efetivas e pontuais, com o intuito de minimizar os incidentes
envolvendo código malicioso, gerando consciência no trato das informações.
Vislumbra-se também a possibilidade da aplicação da presente pesquisa
em outras organizações militares do Comando da Aeronáutica (COMAer), tendo em
vista a semelhança nos recursos de softwares, estrutura lógica e física das redes de
computadores e sistemas corporativos em uso.
Tal pesquisa poderá ser aproveitada em outras Forças Armadas ou
órgãos governamentais, para que possam identificar o perfil do usuário mais
vulnerável em suas redes de computadores e realizar trabalhos de conscientização
do efetivo quanto às boas práticas no trato dos recursos computacionais.
REFERÊNCIAS
17
BRASIL. Comitê Gestor da Internet no Brasil. Cartilha de Segurança para Internet: 4. ed. São Paulo: CERT.br, 2012.
CARUSO, C. A. A.; STEFFEN, F. D. Segurança em informática e de informações. 2. ed. São Paulo: Editora SENAC, 1999.
EGOSHI, K.; ROMANO, M. Como atacam: Worms. Aprenda Fácil, São Paulo, n.1, 2003.
GIL, A. C. Como elaborar projetos de pesquisa. 5. ed. São Paulo: Atlas, 2010.
MERRILL, W. C. e FOX, K. A. ma ntroduç o S o au o Editora Atlas, 1980.
MITNICK, K. D.; SIMON, W. L. A arte de enganar: Ataques de Hackers: Controlando o Fator Humano na Segurança da Informação. São Paulo: Pearson Education, 2003.
MONTEIRO, E. S. Segurança em ambientes corporativos. Florianópolis: Visual Books Ltda, 2003.
OLIVEIRA, W. J. Segurança da Informação. Florianópolis: Visual Books Ltda, 2001.
PEIXOTO, M. C. P. Engenharia social e Segurança da Informação 1. ed. São Paulo: Brasport, 2006.
TANENBAUM, A. S. Redes de Computadores. 3. ed. Rio de Janeiro: Campus, 1997.
