ESCOLA DE APERFEIOAMENTO DE OFICIAIS DA AERONUTICA DIVISO DE ENSINO TRABALHO DE CONCLUSO DE CURSO

Malware: uma ameaa real aos sistemas computacionais

Ttulo do Trabalho

ADMINISTRAO MILITAR LINHA DE PESQUISA

289 CDIGO

CAP 2/2012 Curso e Ano

PLANO DE PESQUISA

Malware: uma ameaa real aos sistemas computacionais

Ttulo do Trabalho

ADMINISTRAO MILITAR LINHA DE PESQUISA

23/OUTUBRO/2012 DATA

CAP 2/2012 Curso e Ano

Este documento o resultado dos trabalhos do aluno do Curso de Aperfeioamento da EAOAR. Seu contedo reflete a opinio do autor, quando no for citada a fonte da matria, no representando, necessariamente, a poltica ou prtica da EAOAR e do Comando da Aeronutica.

1 CONTEXTUALIZAO

Concomitantemente com o advento do computador e com os diversos benefcios que foram obtidos ao se utilizar as mquinas para automatizar processos e trafegar mensagens com celeridade, surgiram novas vulnerabilidades relacionadas ao trato das informaes. Para que as redes de computadores possam ter uma aplicao prtica, necessria uma interface que envie instrues por meio de uma linguagem que a mquina seja capaz de interpretar. Por definio, essa sentena composta por um encadeamento de comandos chamada de software. Ao decodificar as informaes recebidas, o computador executa as tarefas para as quais o software foi projetado. Entretanto, rapidamente foram vislumbradas aplicaes com cunho mal-intencionado para o software. Assim surgiram os malwares. O termo malware proveniente de um trocadilho da lngua inglesa malicious software, que significa software malicioso. Geralmente, o objetivo do malware infiltrar-se em um sistema computacional alheio - de forma ilcita - e causar algum dano (como, por exemplo, uma interrupo de servio, alterao de funes da mquina, ou mesmo roubo de informaes). Tendo em vista as possibilidades de emprego do malware, vislumbrou-se sua utilizao em operaes de espionagem, concorrncia desleal e roubo de dados sigilosos utilizando-se da engenharia social. Por definio, a engenharia social usa a influncia e a persuaso para enganar pessoas e convenc-las de que o atacante na verdade algum que ele no , manipulando o comportamento da vtima para se beneficiar de alguma forma. Como resultado, o engenheiro social pode aproveitar-se das pessoas para obter as informaes com ou sem o uso da tecnologia (MITNICK; SIMON, 2003)1. Como medida de preveno para esse tipo de ameaa, verificou-se a necessidade da criao de procedimentos e polticas na utilizao dos meios computacionais. Esse processo teria a finalidade de minimizar a atuao dos engenheiros sociais e proteger a propriedade intelectual bem como o acesso s
1

MITNICK, K. D.; SIMON, W. L. A arte de enganar: Ataques de Hackers: Controlando o Fator Humano na Segurana da Informao. So Paulo: Pearson Education, 2003.

informaes sensveis por pessoas no autorizadas. Em consequncia desse fato, surgiu o conceito de Segurana da Informao (SI): Segurana de informaes define-se como o processo de proteo de informaes e ativos digitais armazenados em computadores e redes de processamento de dados (OLIVEIRA, 2001) 2. Quando se discorre sobre ataques de engenharia social em SI, est se referindo a quaisquer procedimentos utilizados para obter vantagens ou acesso indevido a informaes sigilosas por meio de enganao (MITNICK; SIMON, 2003). importante frisar que a engenharia social pode ser utilizada em mltiplos campos da SI. Porm, neste trabalho, a engenharia social ser abordada com foco na utilizao do malware como vetor de ataque a redes de computadores. A Fora Area Brasileira, inserida nos sistemas computacionais, compulsada a adaptar-se s ameaas inerentes a SI e engenharia social em seus sistemas computacionais. A inadequada adaptao poder trazer consequncias desastrosas, sob a severa pena de deteriorar sua capacidade de comando e controle, culminando com a perda da soberania do espao areo brasileiro. Nesse ambiente, os pontos fortes e as possveis fragilidades dos sistemas computacionais aparecem, respectivamente, como importantes elos ou vulnerveis gargalos das organizaes modernas. Dentro desse contexto, surge uma inquietao ao se observar que as fragilidades seja por falta de conhecimento ou de capacidade tcnica so os grandes alvos a serem atacados por possveis malwares de engenheiros sociais, podendo comprometer toda a rede da organizao. E onde estariam essas fragilidades? Quais seriam os pontos fracos nos elos do sistema? com esse pensamento que buscar-se responder ao seguinte problema de pesquisa: Qual o perfil do usurio da rede de computadores do 2/1 GCC mais suscetvel a ser alvo de um engenheiro social por meio de um malware? Este trabalho se prope a averiguar variveis diretamente relacionadas a uma vertente especfica da SI e a comportamentos indesejveis durante a gesto da informao nos sistemas computacionais no mbito do 2/1 GCC. Portanto considerando o tema abordado este trabalho est enquadrado na linha de pesquisa da Administrao Militar.

OLIVEIRA, W. J. Segurana da Informao. Florianpolis: Visual Books Ltda, 2001.

Assim, com a finalidade de responder ao problema proposto, as aes de pesquisa do trabalho foram limitadas temporalmente ao perodo de agosto a outubro de 2012. Alm disso, foram estabelecidas trs questes norteadoras: QN1 Quais as faixas etrias e patentes dos usurios da rede de computadores do 2/1 GCC que apresentam maior conhecimento em SI e engenharia social? QN2 Quais integrantes do 2/1 GCC, arranjados por hierarquia e idade, so mais propensos a um ataque de engenharia social utilizando um malware? QN3 Existe correlao entre o nvel de conhecimento em SI e engenharia social dos usurios da rede do 2/1 GCC com incidentes relacionados a malware? A pesquisa em pauta focar no objetivo geral de identificar qual o perfil dos usurios da rede interna de computadores do 2/1 GCC mais suscetvel a ser alvo de engenharia social por meio de um malware. Para direcionar corretamente as aes de pesquisa, os seguintes objetivos especficos (OE): OE1 Identificar o nvel de conhecimento em SI e engenharia social do efetivo do 2/1 GCC, e classificar os resultados em faixas etrias, patentes e escolaridade. OE2 Identificar quais usurios da rede de computadores do 2/1 GCC seriam alvo de engenharia social por meio de um malware, e classificar os dados por faixas de idade, hierarquia e escolaridade. OE3 Analisar se h correlao entre o nvel de conhecimento em SI e engenharia social com incidentes relacionados a malware no 2/1 GCC. Quanto relevncia da pesquisa, esses resultados podero indicar as principais caractersticas - dos usurios da rede de computadores do 2/1 GCC desejveis para os engenheiros sociais na disseminao de malware, permitindo ao responsvel pela SI, do Esquadro, definir aes efetivas com o intuito de reduzir significantemente os incidentes envolvendo cdigo malicioso. Outro fator importante a possibilidade da aplicao da pesquisa em outras organizaes militares do Comando da Aeronutica (COMAer), tendo em vista a semelhana nos recursos de softwares, estrutura lgica e fsica das redes de computadores e sistemas corporativos em uso. Tal pesquisa poder ser aproveitada tambm em outras Foras Armadas

ou rgos governamentais, para que possam identificar o perfil do usurio mais vulnervel em suas redes de computadores e realizar trabalhos de conscientizao do efetivo quanto s boas prticas no trato dos recursos computacionais.

2 REFERENCIAL TERICO

A pesquisa tomar como referncia as teorias de Mitnick e Simon, que apontam o fator humano como sendo o elo mais fraco da SI. Paralelamente, citam seis tendncias (autoridade, afabilidade, reciprocidade, consistncia, validao social e escassez) mais usadas por engenheiros sociais para desferir seus ataques, conforme detalhamento do presente trabalho. Outra importante abordagem desses tericos, com aplicao direta neste trabalho, diz respeito capacidade de manipulao e de uso dos sistemas de tecnologia da informao por parte daqueles que praticam a engenharia social:
Um engenheiro social vive de sua capacidade de manipular as pessoas para que elas faam coisas que o ajudem a atingir o seu objetivo, mas o sucesso quase sempre requer uma grande dose de conhecimento e habilidade com os sistemas de computador e telefonia (MITNICK; SIMON, 2003).

luz dessas referncias tericas, sero aplicados conhecimentos especficos e habilidades de programao para elaborar um malware, de forma que o programa possa ser usado como um teste no 2/1 GCC. Alm disso, ser utilizada a teoria estatstica da regresso linear3, para verificar se h ou no relao significativa entre duas variveis. Os procedimentos estatsticos sero esmiuados no artigo cientfico.

3 METODOLOGIA

Tendo em vista o objetivo geral, buscar-se- definir quais as principais caractersticas dos usurios da rede de computadores do 2/1 GCC mais suscetveis a um ataque de engenharia social por meio de um malware.

MERRILL, W. C. e FOX, K. A. 1980.

ma ntrodu o S o Paulo: Editora Atlas,

Sendo assim, a fim de cumprir o primeiro Objetivo Especfico (OE1), ser enviado, para os 64 usurios disponveis da rede de computadores do 2/1 GCC, um questionrio anexado a um correio eletrnico. As respostas sero analisadas com vistas a mensurar o nvel de conhecimento sobre os assuntos em pauta (SI e engenharia social), gerando uma nota final (porcentagem de acertos) que permitir a tabulao dos resultados e a classificao em faixas etrias, hierrquicas e escolares. Para cumprir o segundo Objetivo Especfico (OE2), ser desferido um ataque de engenharia social para todos os militares que tenham respondido ao questionrio anterior, como forma de teste do sistema e aquisio dos dados necessrios resposta do problema de pesquisa. O ataque consistir na disseminao de um malware desenvolvido especificamente para utilizao no presente trabalho, de forma que seja possvel averiguar quais usurios seriam vtimas de cdigo malicioso caso houvesse um ataque de engenharia social. Esse cdigo malicioso ser apresentado ao usurio de duas formas: na figura de um arquivo com nome sugestivo plantado no servidor de arquivos do Esquadro e como uma mensagem eletrnica persuasiva enviada a todo o efetivo. Ao ser executado em ambas as formas, o cdigo malicioso enviar o nome do usurio, o vetor do ataque arquivo implantado ou mensagem eletrnica e o nome do computador da vtima para um banco de dados administrado pelo pesquisador. Sendo assim, poder-se- definir qual a forma de ataque mais eficiente e quais as principais caractersticas (faixas de patentes, etrias e de escolaridade) dos militares do 2/1 GCC mais suscetveis a um ataque de engenharia social por meio de um malware. Por fim, para checar se h correlao entre o conhecimento de SI e engenharia social com o ndice de incidentes relacionados a malware, ser empregada a regresso linear, tendo como objetivo principal verificar se h correlao entre as variveis supracitadas.

ARTIGO CIENTFICO

Malware: uma ameaa real aos sistemas computacionais

Ttulo do Trabalho

ADMINISTRAO MILITAR LINHA DE PESQUISA

23/OUTUBRO/2012 DATA

CAP2/2012 Curso e Ano

Este documento o resultado dos trabalhos do aluno do Curso de Aperfeioamento da EAOAR. Seu contedo reflete a opinio do autor, quando no for citada a fonte da matria, no representando, necessariamente, a poltica ou prtica da EAOAR e do Comando da Aeronutica.

Malware: uma ameaa real aos sistemas computacionais

RESUMO
O presente artigo tem por objetivo analisar qual o perfil de usurio da rede do 2/1 GCC mais suscetvel a ser alvo de engenharia social por meio de um malware. A pesquisa apresenta caractersticas descritivas, pois estabeleceu relao entre variveis e relata as caractersticas dos usurios que influenciam em um incidente de segurana da informao (SI) e engenharia social relacionado a cdigo malicioso. No que diz respeito a procedimentos tcnicos utilizados, esta pesquisa classificada como de levantamento, pois o trabalho busca informaes relativas ao comportamento dos militares do 2/1 GCC no trato de sistemas computacionais, utilizando-se de um questionrio e um teste. Com o intuito de nortear o trabalho e baseado na teoria de Kevin Mitnick, que o elo mais fraco da SI o fator humano, a pesquisa buscou correlacionar faixa etria e hierrquica com o nvel de conhecimento especfico, e correlacionar as mesmas variveis com o ndice de incidentes com malware. Alm disso, buscou-se verificar, utilizando regresso linear aliada ao coeficiente de determinao, se h correlao entre o nvel de conhecimento especfico com a quantidade de incidentes envolvendo software malicioso. Aps a tabulao e anlise dos dados coletados, verificou-se a necessidade de aprimoramento do conhecimento especfico do efetivo, que as faixas hierrquicas e etrias mais suscetveis a um ataque de engenharia social por meio de cdigo malicioso, no 2/1 GCC, so os Soldados e Cabos de 19 a 29 anos. Vislumbrou-se ainda que no h correlao entre o conhecimento em pauta com incidentes relacionados a malware. Palavras-chave: Segurana da informao. Engenharia Social. Malware. Perfil de usurio.

ABSTRACT
This article aims to analyze which user profile network of 2/1 GCC more likely to be targeted by social engineering by way of malware. The research presents descriptive characteristics, as established relationship between variables and reports the characteristics of users in an incident affecting information security (IS) and social engineering related to malicious code. Regarding the technical procedures used, this research is classified as lifting because work seeks information relating to the conduct of the military from 2/1 GCC in dealing with computer systems, using a questionnaire and a test. In order to guide the work, and based on the theory that Kevin Mitnick the weakest link in the SI is the human factor, the research sought to correlate with age and hierarchical level of expertise, and correlating these variables with the index incident with malware. Further study assessed using linear regression combined with the coefficient of determination, whether there is a correlation between the level of expertise with the number of incidents involving malicious software. After tabulating and analyzing the data collected, there was the need of increase the specific knowledge of the actual, the band hierarchical and group most susceptible to a social engineering attack via malicious code on the 2/1 GCC are the Soldiers and Corporals from 19 to 29 years old, and there is no correlation between knowledge of IS and social engineering with incidents related to malware. Keywords: Information security. Social engeneering. Malware. User profile.

INTRODUO

Com o advento dos computadores e a capacidade de comunicao desses equipamentos via rede, surgiram diversas plataformas e tecnologias que visam a reduo da carga de trabalho com automaes e facilidades nas gestes de processos. Entretanto, para que essas tecnologias e facilidades possam ter uma aplicao prtica, necessria uma interface que envie instrues por meio de uma linguagem que a mquina seja capaz de interpretar. Por definio, essa sentena composta por um encadeamento de comandos chamada de software. Ao decodificar as informaes recebidas, o computador executa as tarefas para as quais o software foi projetado. Porm, rapidamente foram vislumbradas aplicaes com cunho malintencionado para o software. Assim surgiram os malwares. O termo malware proveniente de um trocadilho da lngua inglesa malicious software, que significa software malicioso. Geralmente, o objetivo do malware infiltrar-se em um sistema computacional alheio - de forma ilcita - e causar algum dano (como, por exemplo, uma interrupo de servio, alterao de funes da mquina, ou mesmo roubo de informaes). Tendo em vista que a cada dia a sociedade se torna mais dependente do tratamento rpido e efetivo da informao pelas redes de computadores, vislumbrouse o grande potencial da utilizao de malwares em operaes de espionagem, concorrncia desleal e roubo de dados sigilosos utilizando-se da engenharia social. Por definio, a engenharia social usa a influncia e a persuaso para enganar pessoas e convenc-las de que o atacante na verdade algum que ele no , manipulando o comportamento da vtima para se beneficiar de alguma forma. Como resultado, o engenheiro social pode aproveitar-se das pessoas para obter as informaes com ou sem o uso da tecnologia (MITNICK; SIMON, 2003). Como medida de preveno para esse tipo de ameaa, verificou-se a necessidade da criao de procedimentos e polticas na utilizao dos meios computacionais. A proposta desse processo minimizar a atuao dos engenheiros sociais e proteger a propriedade intelectual bem como o acesso s informaes

sensveis por pessoas no autorizadas. Em consequncia desse fato, surgiu o conceito de Segurana da Informao (SI): Segurana de informaes define-se como o processo de proteo de informaes e ativos digitais armazenados em computadores e redes de processamento de dados (OLIVEIRA, 2001). Quando se discorre sobre ataques de engenharia social em SI, refere-se a quaisquer procedimentos utilizados para obter vantagens ou acesso indevido a informaes sigilosas por meio de enganao (MITNICK; SIMON, 2003). importante frisar que a engenharia social pode ser utilizada em mltiplos campos da SI. Porm, todos apresentam um ponto em comum: a explorao de comportamentos e convenes sociais no elemento mais vulnervel de uma estrutura de segurana - o fator humano. Neste trabalho, a engenharia social foi abordada com foco na utilizao do malware como vetor de ataque a redes de computadores. A Fora Area Brasileira, inserida nos sistemas computacionais, cada vez mais depende dos softwares capazes de acelerar o complexo processo do trmite da informao para cumprir sua misso. Logo, compulsada a adaptar-se s ameaas inerentes SI e engenharia social em suas redes de computadores, sob a severa pena de deteriorar sua capacidade de comando e controle, culminando com a perda da soberania do espao areo brasileiro. O Segundo Esquadro do Primeiro Grupo de Comunicaes e Controle (2/1 GCC) uma organizao militar integrante do Sistema de Controle do Espao Areo Brasileiro (SISCEAB), que presta servios relevantes e extremamente dependentes de sistemas computacionais, como - por exemplo - o controle dos vetores de defesa area em uma operao militar. Nesse ambiente, os pontos fortes e as possveis fragilidades dos sistemas computacionais aparecem, respectivamente, como importantes elos ou vulnerveis gargalos das organizaes modernas. Dentro desse contexto, surge uma inquietao ao observar-se que as fragilidades seja por falta de conhecimento ou de capacidade tcnica so os grandes alvos a serem atacados por possveis malwares de engenheiros sociais, podendo levar ao caos toda a rede da organizao. E onde estariam essas fragilidades? Quais seriam os pontos fracos nos elos desse sistema? com esse pensamento que se buscou responder ao seguinte problema de pesquisa: Qual o perfil do usurio da rede de computadores

do 2/1 GCC mais suscetvel a ser alvo de um engenheiro social por meio de um malware? A pesquisa em pauta se props a averiguar variveis diretamente relacionadas a uma vertente especfica da SI e a comportamentos indesejveis gesto da informao nos sistemas computacionais no mbito do 2/1 GCC. Portanto considerando o tema abordado este trabalho est enquadrado na linha de pesquisa da Administrao Militar. Assim, com a finalidade de responder ao problema proposto, as aes de pesquisa do trabalho foram limitadas temporalmente ao perodo de agosto a outubro de 2012. Alm disso, foram estabelecidas trs questes norteadoras: QN1 Quais as faixas etrias e patentes dos usurios da rede de computadores do 2/1 GCC que apresentam maior conhecimento em SI e engenharia social? QN2 Quais integrantes do 2/1 GCC, arranjados por hierarquia e idade, so mais propensos a um ataque de engenharia social utilizando um malware? QN3 Existe correlao entre o nvel de conhecimento em SI e engenharia social dos usurios da rede do 2/1 GCC com incidentes relacionados a malware? A pesquisa em pauta focou no objetivo geral de identificar qual a faixa etria e hierrquica mais suscetveis a serem alvo de engenharia social por meio de um malware no mbito do 2/1 GCC. Para direcionar corretamente as aes de pesquisa, foram estabelecidos os seguintes objetivos especficos (OE): OE1 Identificar o nvel de conhecimento em SI e engenharia social do efetivo do 2/1 GCC, e classificar os resultados em faixas etrias e patentes. OE2 Identificar quais usurios da rede de computadores do 2/1 GCC seriam alvo de engenharia social por meio de um malware, e classificar os dados em faixas de idade e hierarquia. OE3 Analisar se h correlao entre o nvel de conhecimento em SI e engenharia social com incidentes relacionados a malware no 2/1 GCC. Quanto relevncia da pesquisa, esses resultados puderam indicar as principais caractersticas - dos usurios da rede de computadores do 2/1 GCC desejveis para os engenheiros sociais na disseminao de malware, permitindo ao responsvel pela SI no Esquadro definir aes efetivas com o intuito de reduzir

significantemente os incidentes envolvendo cdigo malicioso. Outro fator importante a possibilidade da aplicao da pesquisa em outras organizaes militares do Comando da Aeronutica (COMAer), tendo em vista a semelhana nos recursos de softwares, estrutura lgica e fsica das redes de computadores e sistemas corporativos em uso. Tal pesquisa poder ser aproveitada tambm em outras Foras Armadas ou rgos governamentais, para que possam identificar o perfil do usurio mais vulnervel em suas redes de computadores e realizar trabalhos de conscientizao do efetivo quanto s boas prticas no trato dos recursos computacionais.

2 REFERENCIAL TERICO

A pesquisa tomou como referncia as teorias de Mitnick e Simon (2003), que apontam o fator humano como sendo o elo mais fraco da SI. Paralelamente, citam seis tendncias mais usadas por engenheiros sociais para desferir seus ataques: autoridade, afabilidade, reciprocidade, consistncia, validao social e escassez. Para o caso especfico desta pesquisa, foram aplicadas apenas trs tendncias: a. A validao social, que considera que as pessoas cooperam quando h uma conveno social sendo cumprida e o falso sentimento de um procedimento corriqueiro. b. A escassez, que sugere o aproveitamento do sentimento de falta de demanda ou baixa disponibilidade, buscando criar um falso senso na vtima da necessidade de se tomar uma deciso em um curto perodo de tempo. c. A autoridade, que consiste na tendncia dos indivduos em atender a uma solicitao prontamente caso acredite que o solicitante possui autorizao para tal. Geralmente o engenheiro faz-se passar por um superior na escala hierrquica para conseguir seus objetivos. Outra importante abordagem destes tericos, com aplicao direta no trabalho, diz respeito capacidade de manipulao e de uso dos sistemas de tecnologia da informao por parte daqueles que praticam a engenharia social:
Um engenheiro social vive de sua capacidade de manipular as pessoas para que elas faam coisas que o ajudem a atingir o seu objetivo, mas o sucesso quase sempre requer uma grande dose de conhecimento e

6 habilidade com os sistemas de computador e telefonia (MITNICK; SIMON, 2003).

luz dessas referncias tericas, foram aplicados conhecimentos especficos e habilidades de programao para elaborar um malware, de forma que esse programa possa se usado como um teste no 2/1 GCC. Esse cdigo malicioso foi enviado como anexo em um correio eletrnico falsificado, simulando uma ordem com o prazo exguo vinda do Comandante do Esquadro para todo o efetivo. Para realizar testes estatsticos necessrios na pesquisa, optou-se por utilizar a regresso linear aliada ao coeficiente de determina o R), tendo como objetivo principal verificar se h correlao entre as variveis propsito fundamental da anlise de regresso linear segundo Merrill e Fox (1998). Ainda fazendo referncia aos ltimos autores, no foi possvel estimar-se a re a o entre duas vari veis sem que se criassem hip teses so re a forma da re a o que no presente caso, foi fundamentada nas funes ineares A representa o algbrica de uma fun o inear apresenta a seguinte forma: (y = + .x), onde e s o constantes coeficiente linear. A constante de regress o o coeficiente angular. constante chamada

O foco da questo se baseia em prever os par metros a e b da equa o ara todos os pontos (x,y e iste uma reta de regress o (y = + .x). uma medida estat stica. Esse coeficiente que varia de 0 qua idade da regress o rea i ada pode ser indicada pelo coeficiente de determina o R), que a 1 define a porcentagem de y vari ve dependente que pode ser identificada pe a equa o de regress o inear A partir de R poss ve ava iar se os va ores de x permitem ou n o

proceder a uma boa estimativa de y. Em outras palavras: Quanto mais R se aproxima de 1 maior a correlao e a possibilidade em se preverem as variveis.

3 METODOLOGIA Tomando como base as definies de Gil (2010), a pesquisa qualificada como descritiva, pois descreve as caractersticas dos usurios da rede de computadores do 2/1 GCC que influenciam um incidente de SI relacionado a malware. Atrelado a isso, o presente trabalho buscou relacionar o nvel de conhecimento (de SI e engenharia social) e a quantidade de incidentes envolvendo

malware com as diversas faixas etrias e hierrquicas que compem o universo de militares, visando apontar as principais caractersticas do usurio da rede de computadores do 2/1 GCC mais propenso a ser alvo de engenharia social por meio de software malicioso. No que diz respeito a procedimentos tcnicos utilizados, esta pesquisa classificada como de levantamento, conforme Gil (2010). Essa classificao se justifica pois o trabalho buscou informaes relativas ao comportamento dos militares do 2/1 GCC no trato de sistemas computacionais, utilizando-se de um questionrio e um teste. Buscando cumprir o primeiro Objetivo Especfico (OE1), foi enviado para os 64 usurios disponveis da rede de computadores do 2/1 GCC, um questionrio anexado a um correio eletrnico. Esse questionrio foi estruturado da seguinte forma: foi realizada a coleta da patente e da idade do militar, havendo 17 questes de mltipla escolha. Dentre as perguntas constantes no questionrio, 03 delas envolviam conhecimento mistos (sobre SI e engenharia social), 07 delas somente sobre engenharia social e 07 somente sobre SI. Os dados foram analisados com vistas a mensurar o nvel de conhecimento sobre os assuntos em pauta, gerando uma nota final (porcentagem de acertos) de forma que se possa tabular os resultados em faixas etrias e hierrquicas. Para cumprir o segundo Objetivo Especfico (OE2), foi desferido um ataque de engenharia social para todos os militares que haviam respondido ao questionrio anterior utilizando um e-mail com anexo malicioso. Essa mensagem foi produzida de forma a trazer consigo trs das seis tendncias mais usadas por engenheiros sociais para fazer seus ataques, - j definidas anteriormente: a va ida o socia a escasse e a autoridade Caracterizando a tendncia da validao social, o texto da mensagem versava sobre uma pesquisa de satisfao do Departamento de Controle do Espao Areo (DECEA); sendo este um assunto em voga na Organizao Militar, o texto acabou por transmitir um senso de familiaridade aos usurios da rede de computadores do 2/1 GCC. A escassez foi inserida no contexto do ataque ao se determinar um prazo exguo de uma manh para que a tarefa fosse terminada.

A tendncia da autoridade foi aplicada ao ludibriar o destinatrio com dados inverdicos do emissor da mensagem, passando a impresso de que o autor do e-mail tinha sido o Comandante do Esquadro. Foi criado um malware especificamente para utilizao no presente trabalho, com a finalidade de averiguar quais usurios seriam vtimas de cdigo malicioso caso houvesse um ataque de engenharia social. Esse software mal intencionado foi anexado a uma mensagem de correio eletrnico, simulando o questionrio da pesquisa de satisfao anteriormente citada. Caso o militar fosse ludibriado e executasse o cdigo malicioso, o artefato enviaria para um banco de dados o nome do usurio e computador utilizado. Por fim, para verificar se houve correlao entre o conhecimento de SI e engenharia social com o ndice de incidentes causados por malware, utilizou-se uma regresso linear aliada ao coeficiente de determina o R. O objetivo do autor, ao aplicar o referido clculo estatstico, foi checar a qua idade da regress o rea i ada vari veis citadas. verificando o resu tado do coeficiente de determina o, que indica se realmente h alguma re a o significante entre as

4 DISCUSSES E ANLISES

A fim de responder s questes norteadoras e proporcionar uma anlise lgica e concisa, decidiu-se dividir o captulo em cinco sees: Nvel de conhecimento, Ataque de engenharia social, Influncia da faixa etria, Influncia da patente e Correlao entre o nvel de conhecimento de SI e engenharia social com o ndice de incidentes relacionados a malware. O programa Excel4 foi utilizado em todas as fases da pesquisa para tabular resultados, converter as informaes obtidas em grficos e para realizar o tratamento estatstico dos dados.

Programa Excel: programa (software) da Microsoft utilizado para a tabulao de dados e elaborao de grficos, tabelas e demais recursos afins.

4.1 Nvel de conhecimento O questionrio de conhecimento especfico sobre SI e engenharia social foi respondido por 57 de 64 militares disponveis, atingindo 89,06% do universo de pesquisa. Logo, pde-se mensurar o conhecimento dos usurios da rede de computadores do 2/1 GCC calculando um percentual de acerto das respostas do questionrio em questo, que foi organizado por faixas etrias e hierrquicas. Ao verificar a mdia geral dos usurios, foi encontrado o valor de 50,57% de nvel de conhecimento em SI e engenharia social. Sendo assim, percebe-se que o conhecimento dos militares do 2/1 GCC deve ser aprimorado, tendo em vista que o desconhecimento de aproximadamente 50% das informaes constantes no questionrio crtica para o trato da informao em uma rede de computadores.

4.2 Ataque de engenharia social

Ao ser desferido, o ataque foi bem sucedido em 42 dos 57 usurios que haviam respondido ao questionrio, totalizando uma expressiva marca de 73,68% computadores comprometidos. Sendo assim, pde-se definir quais as patentes e as faixas etrias dos militares do 2/1 GCC que apresentaram maior suscetibilidade a um ataque de engenharia social por meio de um malware.

4.3 Influncia da faixa etria Foram definidas faixas etrias de forma a dividir todo o grupo em 04 partes equivalentes de quantidade de anos, conforme Tabela 1:
Tabela 1 Conhecimento arranjado por faixas etrias FAIXA ETRIA 19 a 29 30 a 39 40 a 49 50 a 59 MDIA CONHECIMENTO 46,32% 57,35% 57,65% 45,1%

Foi calculada a mdia percentual de acertos das faixas etrias conforme a

10

Tabela 1, e seus dados projetados graficamente na Figura 1, com o intuito de facilitar as subsequentes anlises.

Figura 1: Mdia percentual da faixa etria obtida pelo resultado do questionrio de conhecimento sobre SI e engenharia social.

Ao estudarem-se os dados apresentados na Figura 1, percebeu-se que a diferena das mdias foi muito pequena. Verificou-se a significncia estatstica dos dados pelo coeficiente de determinao (R). Utilizando o programa Excel para fazer os clculos, foi encontrado um R aproximadamente igual a 0,004, informao que denota uma qualidade

extremamente baixa na correlao das variveis. Alm disso, pde-se perceber uma tendncia linear praticamente paralela ao eixo das faixas etrias, demonstrando uma variao insignificante do grau de conhecimento obtido pelo questionrio. Sendo assim, os militares que responderam ao questionrio

demonstraram nveis semelhantes de conhecimento em SI e engenharia social quando arranjados por idade. Outra anlise interessante foi obtida ao serem analisados os dados da Tabela abaixo:
Tabela 2 ndice de incidentes arranjado por faixas etrias FAIXA ETRIA 19 a 29 30 a 39 40 a 49 50 a 59 INCIDENTE 78,13% 75% 70% 33,33%

Ao cruzarem-se os dados de faixa etria com o ndice de incidentes

11

gerados pelo ataque citado, puderam-se representar os dados conforme a Figura 2.

Figura 2: ndice de incidentes relacionados a malware por faixa etria.

Na figura acima, percebeu-se que h um decrscimo no ndice de incidentes conforme a idade aumentava. Essa correlao mostrou-se relevante, tendo em vista que o coeficiente de determinao encontrado foi de

aproximadamente 0,74. Ou seja, h correlao entre o ndice de incidentes com as faixas etrias e os usurios de 19 a 29 anos so mais suscetveis a ser alvo de um engenheiro social no 2/1 GCC.

4.4 Influncia da patente

Para que se pudessem analisar os dados com base na patente, o grupo foi arranjado em 04 faixas hierrquicas, com foco na similaridade das tarefas executadas e o nvel de deciso inerente a patente no Esquadro, conforme a Tabela 2.
Tabela 3 Conhecimento arranjado por faixas hierrquicas FAIXA HIERRQUICA Soldados de segunda classe (S2), Soldados de Primeira classe (S1) e Cabos (CB) Terceiros Sargentos (3S), Segundos Sargentos (2S) e Primeiros Sargentos (1S) Suboficiais (SO) e Segundos Tenentes (2T) Primeiros Tenentes (1T) e Capites (CP) MDIA 42,65% 55,15% 49,26% 62,35%

De forma a consolidar a metodologia proposta, foi utilizado o mesmo procedimento adotado anteriormente para a anlise do conhecimento (resultados do

12

questionrio). Porm, nesta seo, as notas foram agrupadas por patente, conforme ilustrado na Figura 3.

Figura 3: Mdia percentual da faixa hierrquica obtida pelo resultado do questionrio de conhecimento sobre SI e engenharia social.

Na Figura 3, a proximidade nos graus do questionrio novamente foi verificada, conforme seo anterior. Sendo assim, novamente foi aplicada a regresso linear, resultando em um R aproximadamente igual a 0,67. Esse resultado remeteu a um grau significativo de correlao entre a faixa hierrquica e o conhecimento. Sendo assim, algumas consideraes necessitaram ser feitas: a. Na Figura 3 pde-se observar um coeficiente angular positivo, que remeteu a um maior conhecimento com a idade. b. Entretanto na faixa hierrquica dos SO e 2T, percebeu-se um valor um pouco abaixo da faixa dos 3S, 2S e 1S. Provavelmente, isso ocorreu devido ao fato da grande maioria dos militares na faixa hierrquica dos SO e 2T estar na faixa etria de 50 a 59 anos, onde foi observado o menor conhecimento sobre SI e engenharia social. c. Alm dos fatores citados, existiu a possibilidade do nvel de instruo influenciar o resultado, pois geralmente quanto maior o grau hierrquico maior o nvel de instruo do militar. Prosseguindo na anlise, obteve-se outra relevante informao ao se confrontar os dados da Tabela 4 e o ndice de incidentes com a faixa hierrquica, como possvel verificar no grfico da Figura 4.

13 Tabela 4 ndice de incidentes arranjado por faixas hierrquicas FAIXA HIERRQUICA Soldados de segunda classe (S2), Soldados de Primeira classe (S1) e Cabos (CB) Terceiros Sargentos (3S), Segundos Sargentos (2S) e Primeiros Sargentos (1S) Suboficiais (SO) e Segundos Tenentes (2T) Primeiros Tenentes (1T) e Capites (CP) INCIDENTE 80% 79,17% 62,5% 40%

Figura 4: ndice de incidentes relacionados a malware por faixa hierrquica.

Na Figura 4 ficou claro que, quanto menor a patente do militar, maior a quantidade de incidentes relacionados a malware. Alm disso, pde-se dizer que a qualidade da correlao foi alta, tendo em vista que o expressivo valor encontrado para R foi de aproximadamente 0,88. Ou seja, a faixa hierrquica mais propensa a ser alvo de um engenheiro social no 2/1 GCC foram os Soldados e Cabos.

4.5 Correlao entre o nvel de conhecimento de SI e engenharia social com o ndice de incidentes relacionados a malware

De posse dos graus percentuais obtidos a partir do questionrio, em conjunto com o resultado do teste realizado pelo envio do malware a todos os usurios da rede de computadores do 2/1 GCC que responderam ao questionrio, foi possvel verificar a correlao entre o conhecimento em SI e engenharia social com o ndice de incidentes relacionado a cdigo malicioso, conforme dados constantes na tabela abaixo:

14

Tabela 5 Graus obtidos arranjados por porcentagem de acertos PERCENTUAL DE ACERTOS 0 a 25% 26 a 50% 51 a 75% 76 a 100% MDIA DO GRAU OBTIDO 14,71% 40,69% 58,29% 80,67% QUANTIDADE DE USURIOS 4 24 22 7 USURIOS INFECTADOS 3 17 16 6 NDICE DE INCIDENTES 75% 70,83% 72,73% 85,71%

O objetivo da separao por faixas percentuais de acertos foi poder criar um ndice de incidentes relacionados a malware. A coluna ndice de incidentes foi obtida a partir do resultado percentual da diviso da coluna quantidade de usurios pelos dados constantes na coluna usurios infectados. Finalmente, verificou-se a correlao calculando a regresso linear aliada ao coeficiente de determina o (R), conforme representado na Figura 5.

Figura 5: Mdia da faixa de graus percentuais obtidos com o ndice de incidentes com malware.

A partir da Figura 5, perceberam-se os seguintes fatos: a. A tendncia linear apresentou um coeficiente angular positivo devido ao elevado ndice de incidncia do malware nos militares que atingiram os maiores graus no questionrio, resultado que corrobora com a falta de correlao entre as variveis em questo.

15

b. O

resultado

do

coeficiente

de

determina o

R)

foi

de

aproximadamente 40%, ou seja, a correlao entre as variveis em questo no foi significativa. Sendo assim, pelos clculos estatsticos empregados na anlise percebese que no h correlao significativa entre o nvel de conhecimento em SI e engenharia social com a incidncia de malware levando em considerao os usurios da rede de computadores do 2/1 GCC.

CONCLUSO

Para que uma Fora Armada moderna cumpra sua misso com excelncia, necessrio que seja capaz de tramitar as informaes de forma rpida e segura. Sendo assim, a Fora Area Brasileira depende, cada vez mais, de sistemas computacionais capazes de acelerar os complexos processos da guerra. Logo, compulsada a defender-se dos perigos que afetam os sistemas de informao. Dentre as diversas ameaas que assolam a integridade das redes de computadores, pode-se citar a ao de pessoas que exploram o fator humano - elo mais fraco da SI por meio de enganao, potencializado pelo uso de softwares maliciosos para conseguir seus objetivos. O presente trabalho se props a responder seguinte pergunta: Qual o perfil do usurio da rede de computadores do 2/1 GCC mais suscetvel a ser alvo de um engenheiro social utilizando um malware? Para que se alcance uma resposta adequada indagao, foram traados os seguintes objetivos especficos: Identificar o nvel de conhecimento em SI e engenharia social do efetivo do 2/1 GCC; identificar quais usurios da rede de computadores do 2/1 GCC so mais suscetveis a um ataque de engenharia social por meio de um malware e Analisar se h correlao entre o nvel de conhecimento em SI e engenharia social com incidentes relacionados a malware no 2/1 GCC. Inicialmente, foram definidas duas variveis para serem analisadas pela pesquisa: a idade e a patente dos usurios da rede de computadores do 2/1 GCC no efetivo disponvel durante o perodo de agosto a outubro de 2012. Tomando como base a metodologia de pesquisa descrita, foram estudadas as variveis supracitadas em relao ao ndice de ataques de engenharia

16

social bem sucedidos. Com isso, verificou-se que a maior incidncia de cdigo malicioso foi percebida nos militares da menor grau hierrquico (Soldados e Cabos) e de menor faixa etria (19 a 29 anos). Em seguida, foi aplicada a teoria estatstica da regresso linear aliada ao coeficiente de determinao nos dados relativos aos graus obtidos no questionrio e ndice de incidentes relacionados a malware arranjados por faixa de notas, com o objetivo de constatar se existe algum tipo de correlao entre as variveis. No contexto do presente trabalho, concluiu-se que no h correlao significativa entre o nvel de conhecimento em SI e engenharia social com a incidncia de malware, devido a baixa qualidade de correlao representada por R, ao se analisar as variveis em questo. Alm disso, foi constatado que o conhecimento dos militares do 2/1 GCC homogneo e deve ser aprimorado, tendo em vista que o desconhecimento da grande maioria das informaes constantes no questionrio crtica para o trato da informao em uma rede de computadores. Os resultados obtidos demonstraram relevncia, pois apontam

caractersticas do usurio da rede de computadores do 2/1 GCC que corroboram para um ataque de engenharia social bem sucedido por disseminao de malware. De posse dessa informao, o responsvel pela SI no Esquadro poder definir aes mais efetivas e pontuais, com o intuito de minimizar os incidentes envolvendo cdigo malicioso, gerando conscincia no trato das informaes. Vislumbra-se tambm a possibilidade da aplicao da presente pesquisa em outras organizaes militares do Comando da Aeronutica (COMAer), tendo em vista a semelhana nos recursos de softwares, estrutura lgica e fsica das redes de computadores e sistemas corporativos em uso. Tal pesquisa poder ser aproveitada em outras Foras Armadas ou rgos governamentais, para que possam identificar o perfil do usurio mais vulnervel em suas redes de computadores e realizar trabalhos de conscientizao do efetivo quanto s boas prticas no trato dos recursos computacionais.

REFERNCIAS

17

BRASIL. Comit Gestor da Internet no Brasil. Cartilha de Segurana para Internet: 4. ed. So Paulo: CERT.br, 2012. CARUSO, C. A. A.; STEFFEN, F. D. Segurana em informtica e de informaes. 2. ed. So Paulo: Editora SENAC, 1999. EGOSHI, K.; ROMANO, M. Como atacam: Worms. Aprenda Fcil, So Paulo, n.1, 2003. GIL, A. C. Como elaborar projetos de pesquisa. 5. ed. So Paulo: Atlas, 2010. MERRILL, W. C. e FOX, K. A. Editora Atlas, 1980. ma ntrodu o S o au o

MITNICK, K. D.; SIMON, W. L. A arte de enganar: Ataques de Hackers: Controlando o Fator Humano na Segurana da Informao. So Paulo: Pearson Education, 2003. MONTEIRO, E. S. Segurana em ambientes corporativos. Florianpolis: Visual Books Ltda, 2003. OLIVEIRA, W. J. Segurana da Informao. Florianpolis: Visual Books Ltda, 2001. PEIXOTO, M. C. P. Engenharia social e Segurana da Informao 1. ed. So Paulo: Brasport, 2006. TANENBAUM, A. S. Redes de Computadores. 3. ed. Rio de Janeiro: Campus, 1997.