ESCOLA DE APERFEIOAMENTO DE OFICIAIS DA AERONUTICA

DIVISO DE ENSINO

TRABALHO DE CONCLUSO DE CURSO

Malware: uma ameaa real aos sistemas computacionais

Ttulo do Trabalho

ADMINISTRAO MILITAR

LINHA DE PESQUISA

289

CDIGO

CAP 2/2012

Curso e Ano

PLANO DE PESQUISA

Malware: uma ameaa real aos sistemas computacionais

Ttulo do Trabalho

ADMINISTRAO MILITAR

LINHA DE PESQUISA

23/OUTUBRO/2012

DATA

CAP 2/2012

Curso e Ano

Este documento o resultado dos trabalhos do aluno do Curso de

Aperfeioamento da EAOAR. Seu contedo reflete a opinio do autor, quando

no for citada a fonte da matria, no representando, necessariamente, a

poltica ou prtica da EAOAR e do Comando da Aeronutica.

1

1 CONTEXTUALIZAO

Concomitantemente com o advento do computador e com os diversos

benefcios que foram obtidos ao se utilizar as mquinas para automatizar processos

e trafegar mensagens com celeridade, surgiram novas vulnerabilidades relacionadas

ao trato das informaes.

Para que as redes de computadores possam ter uma aplicao prtica,

necessria uma interface que envie instrues por meio de uma linguagem que a

mquina seja capaz de interpretar. Por definio, essa sentena composta por um

encadeamento de comandos chamada de software.

Ao decodificar as informaes recebidas, o computador executa as

tarefas para as quais o software foi projetado. Entretanto, rapidamente foram

vislumbradas aplicaes com cunho mal-intencionado para o software. Assim

surgiram os malwares.

O termo malware proveniente de um trocadilho da lngua inglesa

malicious software, que significa software malicioso. Geralmente, o objetivo do

malware infiltrar-se em um sistema computacional alheio - de forma ilcita - e

causar algum dano (como, por exemplo, uma interrupo de servio, alterao de

funes da mquina, ou mesmo roubo de informaes).

Tendo em vista as possibilidades de emprego do malware, vislumbrou-se

sua utilizao em operaes de espionagem, concorrncia desleal e roubo de dados

sigilosos utilizando-se da engenharia social.

Por definio, a engenharia social usa a influncia e a persuaso para

enganar pessoas e convenc-las de que o atacante na verdade algum que ele

no , manipulando o comportamento da vtima para se beneficiar de alguma forma.

Como resultado, o engenheiro social pode aproveitar-se das pessoas

para obter as informaes com ou sem o uso da tecnologia (MITNICK; SIMON,

2003)1.

Como medida de preveno para esse tipo de ameaa, verificou-se a

necessidade da criao de procedimentos e polticas na utilizao dos meios

computacionais. Esse processo teria a finalidade de minimizar a atuao dos

engenheiros sociais e proteger a propriedade intelectual bem como o acesso s

1MITNICK, K. D.; SIMON, W. L. A arte de enganar: Ataques de Hackers: Controlando o Fator Humano na Segurana da Informao. So Paulo: Pearson Education, 2003.

2

informaes sensveis por pessoas no autorizadas.

Em consequncia desse fato, surgiu o conceito de Segurana da

Informao (SI): Segurana de informaes define-se como o processo de proteo

de informaes e ativos digitais armazenados em computadores e redes de

processamento de dados (OLIVEIRA, 2001) 2.

Quando se discorre sobre ataques de engenharia social em SI, est se

referindo a quaisquer procedimentos utilizados para obter vantagens ou acesso

indevido a informaes sigilosas por meio de enganao (MITNICK; SIMON, 2003).

importante frisar que a engenharia social pode ser utilizada em

mltiplos campos da SI. Porm, neste trabalho, a engenharia social ser abordada

com foco na utilizao do malware como vetor de ataque a redes de computadores.

A Fora Area Brasileira, inserida nos sistemas computacionais,

compulsada a adaptar-se s ameaas inerentes a SI e engenharia social em seus

sistemas computacionais. A inadequada adaptao poder trazer consequncias

desastrosas, sob a severa pena de deteriorar sua capacidade de comando e

controle, culminando com a perda da soberania do espao areo brasileiro.

Nesse ambiente, os pontos fortes e as possveis fragilidades dos sistemas

computacionais aparecem, respectivamente, como importantes elos ou vulnerveis

gargalos das organizaes modernas. Dentro desse contexto, surge uma

inquietao ao se observar que as fragilidades seja por falta de conhecimento ou

de capacidade tcnica so os grandes alvos a serem atacados por possveis

malwares de engenheiros sociais, podendo comprometer toda a rede da

organizao. E onde estariam essas fragilidades? Quais seriam os pontos fracos

nos elos do sistema? com esse pensamento que buscar-se responder ao

seguinte problema de pesquisa: Qual o perfil do usurio da rede de computadores

do 2/1 GCC mais suscetvel a ser alvo de um engenheiro social por meio de um

malware?

Este trabalho se prope a averiguar variveis diretamente relacionadas a

uma vertente especfica da SI e a comportamentos indesejveis durante a gesto da

informao nos sistemas computacionais no mbito do 2/1 GCC. Portanto

considerando o tema abordado este trabalho est enquadrado na linha de

pesquisa da Administrao Militar.

2OLIVEIRA, W. J. Segurana da Informao. Florianpolis: Visual Books Ltda, 2001.

3

Assim, com a finalidade de responder ao problema proposto, as aes de

pesquisa do trabalho foram limitadas temporalmente ao perodo de agosto a outubro

de 2012. Alm disso, foram estabelecidas trs questes norteadoras:

QN1 Quais as faixas etrias e patentes dos usurios da rede de

computadores do 2/1 GCC que apresentam maior conhecimento em SI e

engenharia social?

QN2 Quais integrantes do 2/1 GCC, arranjados por hierarquia e idade,

so mais propensos a um ataque de engenharia social utilizando um malware?

QN3 Existe correlao entre o nvel de conhecimento em SI e

engenharia social dos usurios da rede do 2/1 GCC com incidentes relacionados a

malware?

A pesquisa em pauta focar no objetivo geral de identificar qual o perfil

dos usurios da rede interna de computadores do 2/1 GCC mais suscetvel a ser

alvo de engenharia social por meio de um malware.

Para direcionar corretamente as aes de pesquisa, os seguintes

objetivos especficos (OE):

OE1 Identificar o nvel de conhecimento em SI e engenharia social do

efetivo do 2/1 GCC, e classificar os resultados em faixas etrias, patentes e

escolaridade.

OE2 Identificar quais usurios da rede de computadores do 2/1 GCC

seriam alvo de engenharia social por meio de um malware, e classificar os dados por

faixas de idade, hierarquia e escolaridade.

OE3 Analisar se h correlao entre o nvel de conhecimento em SI e

engenharia social com incidentes relacionados a malware no 2/1 GCC.

Quanto relevncia da pesquisa, esses resultados podero indicar as

principais caractersticas - dos usurios da rede de computadores do 2/1 GCC -

desejveis para os engenheiros sociais na disseminao de malware, permitindo ao

responsvel pela SI, do Esquadro, definir aes efetivas com o intuito de reduzir

significantemente os incidentes envolvendo cdigo malicioso.

Outro fator importante a possibilidade da aplicao da pesquisa em

outras organizaes militares do Comando da Aeronutica (COMAer), tendo em

vista a semelhana nos recursos de softwares, estrutura lgica e fsica das redes de

computadores e sistemas corporativos em uso.

Tal pesquisa poder ser aproveitada tambm em outras Foras Armadas

4

ou rgos governamentais, para que possam identificar o perfil do usurio mais

vulnervel em suas redes de computadores e realizar trabalhos de conscientizao

do efetivo quanto s boas prticas no trato dos recursos computacionais.

2 REFERENCIAL TERICO

A pesquisa tomar como referncia as teorias de Mitnick e Simon, que

apontam o fator humano como sendo o elo mais fraco da SI. Paralelamente, citam

seis tendncias (autoridade, afabilidade, reciprocidade, consistncia, validao

social e escassez) mais usadas por engenheiros sociais para desferir seus ataques,

conforme detalhamento do presente trabalho.

Outra importante abordagem desses tericos, com aplicao direta neste

trabalho, diz respeito capacidade de manipulao e de uso dos sistemas de

tecnologia da informao por parte daqueles que praticam a engenharia social:

Um engenheiro social vive de sua capacidade de manipular as pessoas para que elas faam coisas que o ajudem a atingir o seu objetivo, mas o sucesso quase sempre requer uma grande dose de conhecimento e habilidade com os sistemas de computador e telefonia (MITNICK; SIMON, 2003).

luz dessas referncias tericas, sero aplicados conhecimentos

especficos e habilidades de programao para elaborar um malware, de forma que

o programa possa ser usado como um teste no 2/1 GCC.

Alm disso, ser utilizada a teoria estatstica da regresso linear3, para

verificar se h ou no relao significativa entre duas variveis. Os procedimentos

estatsticos sero esmiuados no artigo cientfico.

3 METODOLOGIA

Tendo em vista o objetivo geral, buscar-se- definir quais as principais

caractersticas dos usurios da rede de computadores do 2/1 GCC mais

suscetveis a um ataque de engenharia social por meio de um malware.

3MERRILL, W. C. e FOX, K. A. ma ntrodu o S o Paulo: Editora Atlas, 1980.

5

Sendo assim, a fim de cumprir o primeiro Objetivo Especfico (OE1), ser

enviado, para os 64 usurios disponveis da rede de computadores do 2/1 GCC,

um questionrio anexado a um correio eletrnico.

As respostas sero analisadas com vistas a mensurar o nvel de

conhecimento sobre os assuntos em pauta (SI e engenharia social), gerando uma

nota final (porcentagem de acertos) que permitir a tabulao dos resultados e a

classificao em faixas etrias, hierrquicas e escolares.

Para cumprir o segundo Objetivo Especfico (OE2), ser desferido um

ataque de engenharia social para todos os militares que tenham respondido ao

questionrio anterior, como forma de teste do sistema e aquisio dos dados

necessrios resposta do problema de pesquisa.

O ataque consistir na disseminao de um malware desenvolvido

especificamente para utilizao no presente trabalho, de forma que seja possvel

averiguar quais usurios seriam vtimas de cdigo malicioso caso houvesse um

ataque de engenharia social.

Esse cdigo malicioso ser apresentado ao usurio de duas formas: na

figura de um arquivo com nome sugestivo plantado no servidor de arquivos do

Esquadro e como uma mensagem eletrnica persuasiva enviada a todo o efetivo.

Ao ser executado em ambas as formas, o cdigo malicioso enviar o

nome do usurio, o vetor do ataque arquivo implantado ou mensagem eletrnica

e o nome do computador da vtima para um banco de dados administrado pelo

pesquisador.

Sendo assim, poder-se- definir qual a forma de ataque mais eficiente e

quais as principais caractersticas (faixas de patentes, etrias e de escolaridade) dos

militares do 2/1 GCC mais suscetveis a um ataque de engenharia social por meio

de um malware.

Por fim, para checar se h correlao entre o conhecimento de SI e

engenharia social com o ndice de incidentes relacionados a malware, ser

empregada a regresso linear, tendo como objetivo principal verificar se h

correlao entre as variveis supracitadas.

ARTIGO CIENTFICO

Malware: uma ameaa real aos sistemas computacionais

Ttulo do Trabalho

ADMINISTRAO MILITAR

LINHA DE PESQUISA

23/OUTUBRO/2012

DATA

CAP2/2012

Curso e Ano

Este documento o resultado dos trabalhos do aluno do Curso de

Aperfeioamento da EAOAR. Seu contedo reflete a opinio do autor, quando

no for citada a fonte da matria, no representando, necessariamente, a

poltica ou prtica da EAOAR e do Comando da Aeronutica.

Malware: uma ameaa real aos sistemas computacionais

RESUMO

O presente artigo tem por objetivo analisar qual o perfil de usurio da rede do 2/1 GCC mais suscetvel a ser alvo de engenharia social por meio de um malware. A pesquisa apresenta caractersticas descritivas, pois estabeleceu relao entre variveis e relata as caractersticas dos usurios que influenciam em um incidente de segurana da informao (SI) e engenharia social relacionado a cdigo malicioso. No que diz respeito a procedimentos tcnicos utilizados, esta pesquisa classificada como de levantamento, pois o trabalho busca informaes relativas ao comportamento dos militares do 2/1 GCC no trato de sistemas computacionais, utilizando-se de um questionrio e um teste. Com o intuito de nortear o trabalho e baseado na teoria de Kevin Mitnick, que o elo mais fraco da SI o fator humano, a pesquisa buscou correlacionar faixa etria e hierrquica com o nvel de conhecimento especfico, e correlacionar as mesmas variveis com o ndice de incidentes com malware. Alm disso, buscou-se verificar, utilizando regresso linear aliada ao coeficiente de determinao, se h correlao entre o nvel de conhecimento especfico com a quantidade de incidentes envolvendo software malicioso. Aps a tabulao e anlise dos dados coletados, verificou-se a necessidade de aprimoramento do conhecimento especfico do efetivo, que as faixas hierrquicas e etrias mais suscetveis a um ataque de engenharia social por meio de cdigo malicioso, no 2/1 GCC, so os Soldados e Cabos de 19 a 29 anos. Vislumbrou-se ainda que no h correlao entre o conhecimento em pauta com incidentes relacionados a malware. Palavras-chave: Segurana da informao. Engenharia Social. Malware. Perfil de usurio.

ABSTRACT

This article aims to analyze which user profile network of 2/1 GCC more likely to be targeted by social engineering by way of malware. The research presents descriptive characteristics, as established relationship between variables and reports the characteristics of users in an incident affecting information security (IS) and social engineering related to malicious code. Regarding the technical procedures used, this research is classified as lifting because work seeks information relating to the conduct of the military from 2/1 GCC in dealing with computer systems, using a questionnaire and a test. In order to guide the work, and based on the theory that Kevin Mitnick the weakest link in the SI is the human factor, the research sought to correlate with age and hierarchical level of expertise, and correlating these variables with the index incident with malware. Further study assessed using linear regression combined with the coefficient of determination, whether there is a correlation between the level of expertise with the number of incidents involving malicious software. After tabulating and analyzing the data collected, there was the need of increase the specific knowledge of the actual, the band hierarchical and group most susceptible to a social engineering attack via malicious code on the 2/1 GCC are the Soldiers and Corporals from 19 to 29 years old, and there is no correlation between knowledge of IS and social engineering with incidents related to malware. Keywords: Information security. Social engeneering. Malware. User profile.

2

INTRODUO

Com o advento dos computadores e a capacidade de comunicao

desses equipamentos via rede, surgiram diversas plataformas e tecnologias que

visam a reduo da carga de trabalho com automaes e facilidades nas gestes de

processos.

Entretanto, para que essas tecnologias e facilidades possam ter uma

aplicao prtica, necessria uma interface que envie instrues por meio de uma

linguagem que a mquina seja capaz de interpretar. Por definio, essa sentena

composta por um encadeamento de comandos chamada de software.

Ao decodificar as informaes recebidas, o computador executa as

tarefas para as quais o software foi projetado.

Porm, rapidamente foram vislumbradas aplicaes com cunho mal-

intencionado para o software. Assim surgiram os malwares.

O termo malware proveniente de um trocadilho da lngua inglesa

malicious software, que significa software malicioso. Geralmente, o objetivo do

malware infiltrar-se em um sistema computacional alheio - de forma ilcita - e

causar algum dano (como, por exemplo, uma interrupo de servio, alterao de

funes da mquina, ou mesmo roubo de informaes).

Tendo em vista que a cada dia a sociedade se torna mais dependente do

tratamento rpido e efetivo da informao pelas redes de computadores, vislumbrou-

se o grande potencial da utilizao de malwares em operaes de espionagem,

concorrncia desleal e roubo de dados sigilosos utilizando-se da engenharia social.

Por definio, a engenharia social usa a influncia e a persuaso para

enganar pessoas e convenc-las de que o atacante na verdade algum que ele

no , manipulando o comportamento da vtima para se beneficiar de alguma forma.

Como resultado, o engenheiro social pode aproveitar-se das pessoas

para obter as informaes com ou sem o uso da tecnologia (MITNICK; SIMON,

2003).

Como medida de preveno para esse tipo de ameaa, verificou-se a

necessidade da criao de procedimentos e polticas na utilizao dos meios

computacionais. A proposta desse processo minimizar a atuao dos engenheiros

sociais e proteger a propriedade intelectual bem como o acesso s informaes

3

sensveis por pessoas no autorizadas.

Em consequncia desse fato, surgiu o conceito de Segurana da

Informao (SI): Segurana de informaes define-se como o processo de proteo

de informaes e ativos digitais armazenados em computadores e redes de

processamento de dados (OLIVEIRA, 2001).

Quando se discorre sobre ataques de engenharia social em SI, refere-se

a quaisquer procedimentos utilizados para obter vantagens ou acesso indevido a

informaes sigilosas por meio de enganao (MITNICK; SIMON, 2003).

importante frisar que a engenharia social pode ser utilizada em

mltiplos campos da SI. Porm, todos apresentam um ponto em comum: a

explorao de comportamentos e convenes sociais no elemento mais vulnervel

de uma estrutura de segurana - o fator humano. Neste trabalho, a engenharia

social foi abordada com foco na utilizao do malware como vetor de ataque a redes

de computadores.

A Fora Area Brasileira, inserida nos sistemas computacionais, cada vez

mais depende dos softwares capazes de acelerar o complexo processo do trmite

da informao para cumprir sua misso. Logo, compulsada a adaptar-se s

ameaas inerentes SI e engenharia social em suas redes de computadores, sob a

severa pena de deteriorar sua capacidade de comando e controle, culminando com

a perda da soberania do espao areo brasileiro.

O Segundo Esquadro do Primeiro Grupo de Comunicaes e Controle

(2/1 GCC) uma organizao militar integrante do Sistema de Controle do Espao

Areo Brasileiro (SISCEAB), que presta servios relevantes e extremamente

dependentes de sistemas computacionais, como - por exemplo - o controle dos

vetores de defesa area em uma operao militar.

Nesse ambiente, os pontos fortes e as possveis fragilidades dos sistemas

computacionais aparecem, respectivamente, como importantes elos ou vulnerveis

gargalos das organizaes modernas. Dentro desse contexto, surge uma

inquietao ao observar-se que as fragilidades seja por falta de conhecimento ou

de capacidade tcnica so os grandes alvos a serem atacados por possveis

malwares de engenheiros sociais, podendo levar ao caos toda a rede da

organizao. E onde estariam essas fragilidades? Quais seriam os pontos fracos

nos elos desse sistema? com esse pensamento que se buscou responder ao

seguinte problema de pesquisa: Qual o perfil do usurio da rede de computadores

4

do 2/1 GCC mais suscetvel a ser alvo de um engenheiro social por meio de um

malware?

A pesquisa em pauta se props a averiguar variveis diretamente

relacionadas a uma vertente especfica da SI e a comportamentos indesejveis

gesto da informao nos sistemas computacionais no mbito do 2/1 GCC.

Portanto considerando o tema abordado este trabalho est enquadrado na linha

de pesquisa da Administrao Militar.

Assim, com a finalidade de responder ao problema proposto, as aes de

pesquisa do trabalho foram limitadas temporalmente ao perodo de agosto a outubro

de 2012. Alm disso, foram estabelecidas trs questes norteadoras:

QN1 Quais as faixas etrias e patentes dos usurios da rede de

computadores do 2/1 GCC que apresentam maior conhecimento em SI e

engenharia social?

QN2 Quais integrantes do 2/1 GCC, arranjados por hierarquia e idade,

so mais propensos a um ataque de engenharia social utilizando um malware?

QN3 Existe correlao entre o nvel de conhecimento em SI e

engenharia social dos usurios da rede do 2/1 GCC com incidentes relacionados a

malware?

A pesquisa em pauta focou no objetivo geral de identificar qual a faixa

etria e hierrquica mais suscetveis a serem alvo de engenharia social por meio de

um malware no mbito do 2/1 GCC.

Para direcionar corretamente as aes de pesquisa, foram estabelecidos os

seguintes objetivos especficos (OE):

OE1 Identificar o nvel de conhecimento em SI e engenharia social do

efetivo do 2/1 GCC, e classificar os resultados em faixas etrias e patentes.

OE2 Identificar quais usurios da rede de computadores do 2/1 GCC

seriam alvo de engenharia social por meio de um malware, e classificar os dados em

faixas de idade e hierarquia.

OE3 Analisar se h correlao entre o nvel de conhecimento em SI e

engenharia social com incidentes relacionados a malware no 2/1 GCC.

Quanto relevncia da pesquisa, esses resultados puderam indicar as

principais caractersticas - dos usurios da rede de computadores do 2/1 GCC -

desejveis para os engenheiros sociais na disseminao de malware, permitindo ao

responsvel pela SI no Esquadro definir aes efetivas com o intuito de reduzir

5

significantemente os incidentes envolvendo cdigo malicioso.

Outro fator importante a possibilidade da aplicao da pesquisa em

outras organizaes militares do Comando da Aeronutica (COMAer), tendo em

vista a semelhana nos recursos de softwares, estrutura lgica e fsica das redes de

computadores e sistemas corporativos em uso.

Tal pesquisa poder ser aproveitada tambm em outras Foras Armadas

ou rgos governamentais, para que possam identificar o perfil do usurio mais

vulnervel em suas redes de computadores e realizar trabalhos de conscientizao

do efetivo quanto s boas prticas no trato dos recursos computacionais.

2 REFERENCIAL TERICO

A pesquisa tomou como referncia as teorias de Mitnick e Simon (2003),

que apontam o fator humano como sendo o elo mais fraco da SI. Paralelamente,

citam seis tendncias mais usadas por engenheiros sociais para desferir seus

ataques: autoridade, afabilidade, reciprocidade, consistncia, validao social e

escassez.

Para o caso especfico desta pesquisa, foram aplicadas apenas trs

tendncias:

a. A validao social, que considera que as pessoas cooperam quando

h uma conveno social sendo cumprida e o falso sentimento de um

procedimento corriqueiro.

b. A escassez, que sugere o aproveitamento do sentimento de falta de

demanda ou baixa disponibilidade, buscando criar um falso senso na

vtima da necessidade de se tomar uma deciso em um curto perodo

de tempo.

c. A autoridade, que consiste na tendncia dos indivduos em atender a

uma solicitao prontamente caso acredite que o solicitante possui

autorizao para tal. Geralmente o engenheiro faz-se passar por um

superior na escala hierrquica para conseguir seus objetivos.

Outra importante abordagem destes tericos, com aplicao direta no trabalho, diz respeito capacidade de manipulao e de uso dos sistemas de tecnologia da informao por parte daqueles que praticam a engenharia social:

Um engenheiro social vive de sua capacidade de manipular as pessoas para que elas faam coisas que o ajudem a atingir o seu objetivo, mas o sucesso quase sempre requer uma grande dose de conhecimento e

6

habilidade com os sistemas de computador e telefonia (MITNICK; SIMON, 2003).

luz dessas referncias tericas, foram aplicados conhecimentos

especficos e habilidades de programao para elaborar um malware, de forma que

esse programa possa se usado como um teste no 2/1 GCC.

Esse cdigo malicioso foi enviado como anexo em um correio eletrnico

falsificado, simulando uma ordem com o prazo exguo vinda do Comandante do

Esquadro para todo o efetivo.

Para realizar testes estatsticos necessrios na pesquisa, optou-se por

utilizar a regresso linear aliada ao coeficiente de determina o R), tendo como

objetivo principal verificar se h correlao entre as variveis propsito

fundamental da anlise de regresso linear segundo Merrill e Fox (1998).

Ainda fazendo referncia aos ltimos autores, no foi possvel estimar-se

a re a o entre duas vari veis sem que se criassem hip teses so re a forma da

re a o que no presente caso, foi fundamentada nas funes ineares

A representa o algbrica de uma fun o inear apresenta a seguinte

forma: (y = + .x), onde e s o constantes constante chamada

coeficiente linear. A constante o coeficiente angular.

O foco da questo se baseia em prever os par metros a e b da equa o

de regress o ara todos os pontos (x,y e iste uma reta de regress o (y = + .x).

qua idade da regress o rea i ada pode ser indicada pelo coeficiente de

determina o R), que uma medida estat stica. Esse coeficiente que varia de 0

a 1 define a porcentagem de y vari ve dependente que pode ser identificada

pe a equa o de regress o inear

A partir de R poss ve ava iar se os va ores de x permitem ou n o

proceder a uma boa estimativa de y. Em outras palavras: Quanto mais R se

aproxima de 1 maior a correlao e a possibilidade em se preverem as variveis.

3 METODOLOGIA

Tomando como base as definies de Gil (2010), a pesquisa qualificada

como descritiva, pois descreve as caractersticas dos usurios da rede de

computadores do 2/1 GCC que influenciam um incidente de SI relacionado a

malware. Atrelado a isso, o presente trabalho buscou relacionar o nvel de

conhecimento (de SI e engenharia social) e a quantidade de incidentes envolvendo

7

malware com as diversas faixas etrias e hierrquicas que compem o universo de

militares, visando apontar as principais caractersticas do usurio da rede de

computadores do 2/1 GCC mais propenso a ser alvo de engenharia social por meio

de software malicioso.

No que diz respeito a procedimentos tcnicos utilizados, esta pesquisa

classificada como de levantamento, conforme Gil (2010).

Essa classificao se justifica pois o trabalho buscou informaes

relativas ao comportamento dos militares do 2/1 GCC no trato de sistemas

computacionais, utilizando-se de um questionrio e um teste.

Buscando cumprir o primeiro Objetivo Especfico (OE1), foi enviado para

os 64 usurios disponveis da rede de computadores do 2/1 GCC, um questionrio

anexado a um correio eletrnico.

Esse questionrio foi estruturado da seguinte forma: foi realizada a coleta

da patente e da idade do militar, havendo 17 questes de mltipla escolha. Dentre

as perguntas constantes no questionrio, 03 delas envolviam conhecimento mistos

(sobre SI e engenharia social), 07 delas somente sobre engenharia social e 07

somente sobre SI.

Os dados foram analisados com vistas a mensurar o nvel de

conhecimento sobre os assuntos em pauta, gerando uma nota final (porcentagem de

acertos) de forma que se possa tabular os resultados em faixas etrias e

hierrquicas.

Para cumprir o segundo Objetivo Especfico (OE2), foi desferido um

ataque de engenharia social para todos os militares que haviam respondido ao

questionrio anterior utilizando um e-mail com anexo malicioso. Essa mensagem foi

produzida de forma a trazer consigo trs das seis tendncias mais usadas por

engenheiros sociais para fazer seus ataques, - j definidas anteriormente: a

va ida o socia a escasse e a autoridade

Caracterizando a tendncia da validao social, o texto da mensagem

versava sobre uma pesquisa de satisfao do Departamento de Controle do Espao

Areo (DECEA); sendo este um assunto em voga na Organizao Militar, o texto

acabou por transmitir um senso de familiaridade aos usurios da rede de

computadores do 2/1 GCC.

A escassez foi inserida no contexto do ataque ao se determinar um prazo

exguo de uma manh para que a tarefa fosse terminada.

8

A tendncia da autoridade foi aplicada ao ludibriar o destinatrio com

dados inverdicos do emissor da mensagem, passando a impresso de que o autor

do e-mail tinha sido o Comandante do Esquadro.

Foi criado um malware especificamente para utilizao no presente

trabalho, com a finalidade de averiguar quais usurios seriam vtimas de cdigo

malicioso caso houvesse um ataque de engenharia social. Esse software mal

intencionado foi anexado a uma mensagem de correio eletrnico, simulando o

questionrio da pesquisa de satisfao anteriormente citada.

Caso o militar fosse ludibriado e executasse o cdigo malicioso, o artefato

enviaria para um banco de dados o nome do usurio e computador utilizado.

Por fim, para verificar se houve correlao entre o conhecimento de SI e

engenharia social com o ndice de incidentes causados por malware, utilizou-se uma

regresso linear aliada ao coeficiente de determina o R.

O objetivo do autor, ao aplicar o referido clculo estatstico, foi checar a

qua idade da regress o rea i ada verificando o resu tado do coeficiente de

determina o, que indica se realmente h alguma re a o significante entre as

vari veis citadas.

4 DISCUSSES E ANLISES

A fim de responder s questes norteadoras e proporcionar uma anlise

lgica e concisa, decidiu-se dividir o captulo em cinco sees: Nvel de

conhecimento, Ataque de engenharia social, Influncia da faixa etria, Influncia da

patente e Correlao entre o nvel de conhecimento de SI e engenharia social com o

ndice de incidentes relacionados a malware.

O programa Excel4 foi utilizado em todas as fases da pesquisa para

tabular resultados, converter as informaes obtidas em grficos e para realizar o

tratamento estatstico dos dados.

4 Programa Excel: programa (software) da Microsoft utilizado para a tabulao de dados e elaborao de grficos, tabelas e demais recursos afins.

9

4.1 Nvel de conhecimento

O questionrio de conhecimento especfico sobre SI e engenharia social

foi respondido por 57 de 64 militares disponveis, atingindo 89,06% do universo de

pesquisa.

Logo, pde-se mensurar o conhecimento dos usurios da rede de

computadores do 2/1 GCC calculando um percentual de acerto das respostas do

questionrio em questo, que foi organizado por faixas etrias e hierrquicas.

Ao verificar a mdia geral dos usurios, foi encontrado o valor de 50,57%

de nvel de conhecimento em SI e engenharia social.

Sendo assim, percebe-se que o conhecimento dos militares do 2/1 GCC

deve ser aprimorado, tendo em vista que o desconhecimento de aproximadamente

50% das informaes constantes no questionrio crtica para o trato da informao

em uma rede de computadores.

4.2 Ataque de engenharia social

Ao ser desferido, o ataque foi bem sucedido em 42 dos 57 usurios que

haviam respondido ao questionrio, totalizando uma expressiva marca de 73,68%

computadores comprometidos. Sendo assim, pde-se definir quais as patentes e as

faixas etrias dos militares do 2/1 GCC que apresentaram maior suscetibilidade a

um ataque de engenharia social por meio de um malware.

4.3 Influncia da faixa etria

Foram definidas faixas etrias de forma a dividir todo o grupo em 04

partes equivalentes de quantidade de anos, conforme Tabela 1:

Tabela 1 Conhecimento arranjado por faixas etrias

FAIXA ETRIA MDIA CONHECIMENTO

19 a 29 46,32%

30 a 39 57,35%

40 a 49 57,65%

50 a 59 45,1%

Foi calculada a mdia percentual de acertos das faixas etrias conforme a

10

Tabela 1, e seus dados projetados graficamente na Figura 1, com o intuito de

facilitar as subsequentes anlises.

Figura 1: Mdia percentual da faixa etria obtida pelo resultado do questionrio de conhecimento sobre SI e engenharia social.

Ao estudarem-se os dados apresentados na Figura 1, percebeu-se que a

diferena das mdias foi muito pequena. Verificou-se a significncia estatstica dos

dados pelo coeficiente de determinao (R).

Utilizando o programa Excel para fazer os clculos, foi encontrado um R

aproximadamente igual a 0,004, informao que denota uma qualidade

extremamente baixa na correlao das variveis. Alm disso, pde-se perceber uma

tendncia linear praticamente paralela ao eixo das faixas etrias, demonstrando uma

variao insignificante do grau de conhecimento obtido pelo questionrio.

Sendo assim, os militares que responderam ao questionrio

demonstraram nveis semelhantes de conhecimento em SI e engenharia social

quando arranjados por idade.

Outra anlise interessante foi obtida ao serem analisados os dados da

Tabela abaixo:

Tabela 2 ndice de incidentes arranjado por faixas etrias

FAIXA ETRIA INCIDENTE

19 a 29 78,13%

30 a 39 75%

40 a 49 70%

50 a 59 33,33%

Ao cruzarem-se os dados de faixa etria com o ndice de incidentes

11

gerados pelo ataque citado, puderam-se representar os dados conforme a Figura 2.

Figura 2: ndice de incidentes relacionados a malware por faixa etria.

Na figura acima, percebeu-se que h um decrscimo no ndice de

incidentes conforme a idade aumentava. Essa correlao mostrou-se relevante,

tendo em vista que o coeficiente de determinao encontrado foi de

aproximadamente 0,74. Ou seja, h correlao entre o ndice de incidentes com as

faixas etrias e os usurios de 19 a 29 anos so mais suscetveis a ser alvo de

um engenheiro social no 2/1 GCC.

4.4 Influncia da patente

Para que se pudessem analisar os dados com base na patente, o grupo

foi arranjado em 04 faixas hierrquicas, com foco na similaridade das tarefas

executadas e o nvel de deciso inerente a patente no Esquadro, conforme a

Tabela 2.

Tabela 3 Conhecimento arranjado por faixas hierrquicas

FAIXA HIERRQUICA MDIA

Soldados de segunda classe (S2), Soldados de Primeira classe (S1) e Cabos (CB) 42,65%

Terceiros Sargentos (3S), Segundos Sargentos (2S) e Primeiros Sargentos (1S) 55,15%

Suboficiais (SO) e Segundos Tenentes (2T) 49,26%

Primeiros Tenentes (1T) e Capites (CP) 62,35%

De forma a consolidar a metodologia proposta, foi utilizado o mesmo

procedimento adotado anteriormente para a anlise do conhecimento (resultados do

12

questionrio). Porm, nesta seo, as notas foram agrupadas por patente, conforme

ilustrado na Figura 3.

Figura 3: Mdia percentual da faixa hierrquica obtida pelo resultado do questionrio de conhecimento sobre SI e engenharia social.

Na Figura 3, a proximidade nos graus do questionrio novamente foi

verificada, conforme seo anterior. Sendo assim, novamente foi aplicada a

regresso linear, resultando em um R aproximadamente igual a 0,67.

Esse resultado remeteu a um grau significativo de correlao entre a faixa

hierrquica e o conhecimento. Sendo assim, algumas consideraes necessitaram

ser feitas:

a. Na Figura 3 pde-se observar um coeficiente angular positivo, que

remeteu a um maior conhecimento com a idade.

b. Entretanto na faixa hierrquica dos SO e 2T, percebeu-se um valor

um pouco abaixo da faixa dos 3S, 2S e 1S. Provavelmente, isso

ocorreu devido ao fato da grande maioria dos militares na faixa

hierrquica dos SO e 2T estar na faixa etria de 50 a 59 anos, onde

foi observado o menor conhecimento sobre SI e engenharia social.

c. Alm dos fatores citados, existiu a possibilidade do nvel de instruo

influenciar o resultado, pois geralmente quanto maior o grau

hierrquico maior o nvel de instruo do militar.

Prosseguindo na anlise, obteve-se outra relevante informao ao se

confrontar os dados da Tabela 4 e o ndice de incidentes com a faixa hierrquica,

como possvel verificar no grfico da Figura 4.

13

Tabela 4 ndice de incidentes arranjado por faixas hierrquicas

FAIXA HIERRQUICA INCIDENTE

Soldados de segunda classe (S2), Soldados de Primeira classe (S1) e Cabos (CB) 80%

Terceiros Sargentos (3S), Segundos Sargentos (2S) e Primeiros Sargentos (1S) 79,17%

Suboficiais (SO) e Segundos Tenentes (2T) 62,5%

Primeiros Tenentes (1T) e Capites (CP) 40%

Figura 4: ndice de incidentes relacionados a malware por faixa hierrquica.

Na Figura 4 ficou claro que, quanto menor a patente do militar, maior a

quantidade de incidentes relacionados a malware. Alm disso, pde-se dizer que a

qualidade da correlao foi alta, tendo em vista que o expressivo valor encontrado

para R foi de aproximadamente 0,88. Ou seja, a faixa hierrquica mais propensa

a ser alvo de um engenheiro social no 2/1 GCC foram os Soldados e Cabos.

4.5 Correlao entre o nvel de conhecimento de SI e engenharia social com o

ndice de incidentes relacionados a malware

De posse dos graus percentuais obtidos a partir do questionrio, em

conjunto com o resultado do teste realizado pelo envio do malware a todos os

usurios da rede de computadores do 2/1 GCC que responderam ao questionrio,

foi possvel verificar a correlao entre o conhecimento em SI e engenharia social

com o ndice de incidentes relacionado a cdigo malicioso, conforme dados

constantes na tabela abaixo:

14

Tabela 5 Graus obtidos arranjados por porcentagem de acertos

PERCENTUAL DE ACERTOS

MDIA DO GRAU OBTIDO

QUANTIDADE DE USURIOS

USURIOS INFECTADOS

NDICE DE INCIDENTES

0 a 25% 14,71% 4 3 75%

26 a 50% 40,69% 24 17 70,83%

51 a 75% 58,29% 22 16 72,73%

76 a 100% 80,67% 7 6 85,71%

O objetivo da separao por faixas percentuais de acertos foi poder criar

um ndice de incidentes relacionados a malware.

A coluna ndice de incidentes foi obtida a partir do resultado percentual da

diviso da coluna quantidade de usurios pelos dados constantes na coluna

usurios infectados.

Finalmente, verificou-se a correlao calculando a regresso linear aliada

ao coeficiente de determina o (R), conforme representado na Figura 5.

Figura 5: Mdia da faixa de graus percentuais obtidos com o ndice de incidentes com malware.

A partir da Figura 5, perceberam-se os seguintes fatos:

a. A tendncia linear apresentou um coeficiente angular positivo devido

ao elevado ndice de incidncia do malware nos militares que

atingiram os maiores graus no questionrio, resultado que corrobora

com a falta de correlao entre as variveis em questo.

15

b. O resultado do coeficiente de determina o R) foi de

aproximadamente 40%, ou seja, a correlao entre as variveis em

questo no foi significativa.

Sendo assim, pelos clculos estatsticos empregados na anlise percebe-

se que no h correlao significativa entre o nvel de conhecimento em SI e

engenharia social com a incidncia de malware levando em considerao os

usurios da rede de computadores do 2/1 GCC.

CONCLUSO

Para que uma Fora Armada moderna cumpra sua misso com

excelncia, necessrio que seja capaz de tramitar as informaes de forma rpida

e segura. Sendo assim, a Fora Area Brasileira depende, cada vez mais, de

sistemas computacionais capazes de acelerar os complexos processos da guerra.

Logo, compulsada a defender-se dos perigos que afetam os sistemas de

informao.

Dentre as diversas ameaas que assolam a integridade das redes de

computadores, pode-se citar a ao de pessoas que exploram o fator humano - elo

mais fraco da SI por meio de enganao, potencializado pelo uso de softwares

maliciosos para conseguir seus objetivos.

O presente trabalho se props a responder seguinte pergunta: Qual o

perfil do usurio da rede de computadores do 2/1 GCC mais suscetvel a ser alvo

de um engenheiro social utilizando um malware?

Para que se alcance uma resposta adequada indagao, foram

traados os seguintes objetivos especficos: Identificar o nvel de conhecimento em

SI e engenharia social do efetivo do 2/1 GCC; identificar quais usurios da rede de

computadores do 2/1 GCC so mais suscetveis a um ataque de engenharia social

por meio de um malware e Analisar se h correlao entre o nvel de conhecimento

em SI e engenharia social com incidentes relacionados a malware no 2/1 GCC.

Inicialmente, foram definidas duas variveis para serem analisadas pela

pesquisa: a idade e a patente dos usurios da rede de computadores do 2/1 GCC

no efetivo disponvel durante o perodo de agosto a outubro de 2012.

Tomando como base a metodologia de pesquisa descrita, foram

estudadas as variveis supracitadas em relao ao ndice de ataques de engenharia

16

social bem sucedidos. Com isso, verificou-se que a maior incidncia de cdigo

malicioso foi percebida nos militares da menor grau hierrquico (Soldados e Cabos)

e de menor faixa etria (19 a 29 anos).

Em seguida, foi aplicada a teoria estatstica da regresso linear aliada ao

coeficiente de determinao nos dados relativos aos graus obtidos no questionrio e

ndice de incidentes relacionados a malware arranjados por faixa de notas, com o

objetivo de constatar se existe algum tipo de correlao entre as variveis.

No contexto do presente trabalho, concluiu-se que no h correlao

significativa entre o nvel de conhecimento em SI e engenharia social com a

incidncia de malware, devido a baixa qualidade de correlao representada por R,

ao se analisar as variveis em questo.

Alm disso, foi constatado que o conhecimento dos militares do 2/1

GCC homogneo e deve ser aprimorado, tendo em vista que o desconhecimento

da grande maioria das informaes constantes no questionrio crtica para o trato

da informao em uma rede de computadores.

Os resultados obtidos demonstraram relevncia, pois apontam

caractersticas do usurio da rede de computadores do 2/1 GCC que corroboram

para um ataque de engenharia social bem sucedido por disseminao de malware.

De posse dessa informao, o responsvel pela SI no Esquadro poder

definir aes mais efetivas e pontuais, com o intuito de minimizar os incidentes

envolvendo cdigo malicioso, gerando conscincia no trato das informaes.

Vislumbra-se tambm a possibilidade da aplicao da presente pesquisa

em outras organizaes militares do Comando da Aeronutica (COMAer), tendo em

vista a semelhana nos recursos de softwares, estrutura lgica e fsica das redes de

computadores e sistemas corporativos em uso.

Tal pesquisa poder ser aproveitada em outras Foras Armadas ou

rgos governamentais, para que possam identificar o perfil do usurio mais

vulnervel em suas redes de computadores e realizar trabalhos de conscientizao

do efetivo quanto s boas prticas no trato dos recursos computacionais.

REFERNCIAS

17

BRASIL. Comit Gestor da Internet no Brasil. Cartilha de Segurana para Internet: 4. ed. So Paulo: CERT.br, 2012.

CARUSO, C. A. A.; STEFFEN, F. D. Segurana em informtica e de informaes. 2. ed. So Paulo: Editora SENAC, 1999.

EGOSHI, K.; ROMANO, M. Como atacam: Worms. Aprenda Fcil, So Paulo, n.1, 2003.

GIL, A. C. Como elaborar projetos de pesquisa. 5. ed. So Paulo: Atlas, 2010.

MERRILL, W. C. e FOX, K. A. ma ntrodu o S o au o Editora Atlas, 1980.

MITNICK, K. D.; SIMON, W. L. A arte de enganar: Ataques de Hackers: Controlando o Fator Humano na Segurana da Informao. So Paulo: Pearson Education, 2003.

MONTEIRO, E. S. Segurana em ambientes corporativos. Florianpolis: Visual Books Ltda, 2003.

OLIVEIRA, W. J. Segurana da Informao. Florianpolis: Visual Books Ltda, 2001.

PEIXOTO, M. C. P. Engenharia social e Segurana da Informao 1. ed. So Paulo: Brasport, 2006.

TANENBAUM, A. S. Redes de Computadores. 3. ed. Rio de Janeiro: Campus, 1997.