estudo de prÁticas de seguranÇa da informaÇÃo...
TRANSCRIPT
UNIVERSIDADE SÃO FRANCISCO Engenharia de Computação
JÚLIO FIDÉLIS SILVEIRA MUNIZ
ESTUDO DE PRÁTICAS DE SEGURANÇA DA INFORMAÇÃO COM VISTAS À ENGENHARIA SOCIAL EM
AMBIENTES CORPORATIVOS
Itatiba 2012
JÚLIO FIDÉLIS SILVEIRA MUNIZ – R.A. 002200800527
ESTUDO DE PRÁTICAS DE SEGURANÇA DA INFORMAÇÃO COM VISTAS À ENGENHARIA SOCIAL EM
AMBIENTES CORPORATIVOS
Monografia apresentada à disciplina Trabalho de Conclusão de Curso, do curso de Engenharia de Computação da Universidade São Francisco, sob orientação do Prof. Silvio Petroli Neto e coorientação do Prof. Marcelo Augusto Gonçalves Bardi, como exigência para conclusão do curso de graduação. Orientador: Prof. Silvio Petroli Neto
Itatiba 2012
AGRADECIMENTOS
À Deus por seu constante auxilio e capacitação, e por me conceder sabedoria e
paciência em todo o período de realização deste trabalho. À Ele seja a honra e a glória.
À minha mãe Letícia, minha avó Dorvalina, meu avô Júlio e minha irmã Taline que
tanto me apoiaram e que sempre estiveram ao meu lado para me auxiliar em tudo quanto
podiam.
À minha noiva, e em breve esposa, Jéssica, por sua constante motivação e auxilio e
também por sua paciência durante todo o período de realização desta monografia.
Por fim, agradeço aos meus orientadores Silvio Petroli Neto e Marcelo Augusto
Gonçalves Bardi, que com empenho e paciência tornaram possível a realização desta
monografia.
“Uma pessoa inteligente resolve um
problema, um sábio o previne.”
Albert Einstein
RESUMO
Em nossa atual sociedade, a informação consiste no bem maior das corporações, e
é exatamente devido a este fator que a segurança da informação se tornou algo essencial e
indispensável nas corporações, de modo que estas, cada vez mais, investem em proteção
às suas informações. Em geral, as corporações, investem em tecnologias de segurança,
tanto física como lógica, deduzindo assim que suas informações estão finalmente seguras.
Porém se esquecem de que não basta utilizar os melhores firewalls, antivírus e sistemas de
detecção de intrusos, nem contratar seguranças, implantar trancas e sistemas de
autenticação, se o mais fraco e mais explorado fator ainda continua desprotegido, o fator
humano. Neste contexto que se encontra a engenharia social, a qual usa a influência,
persuasão e manipulação para enganar as pessoas, com ou sem o uso de tecnologia, de
modo que estas lhe forneçam as informações desejadas. Para tal, os engenheiros sociais
utilizam de diversas técnicas físicas e psicológicas, que vão desde vasculhar lixeiras de
corporações até obter acesso físico ou lógico à corporação através da manipulação de
funcionários. Devido a estes fatores, faz-se necessário que as corporações estejam melhor
preparadas para ataques de engenharia social, criando programas de treinamento e de
conscientização para os funcionários, políticas de segurança e realização constante de
testes de segurança. Deste modo, este trabalho apresenta partes teóricas a respeito dos
princípios de segurança da informação e dos tipos de ataques de engenharia social e como
mitigá-los, e realiza uma análise prática das vulnerabilidades do fator humano pesquisadas
em uma corporação e uma proposta de como as devidas políticas e treinamentos de
segurança devem ser implantadas.
Palavras-chave: segurança da informação. fator humano. engenharia social.
ABSTRACT
In our actual society, the information is the most important asset of the companies,
and mainly because of this factor, information security has become essential and
indispensable to them. Due to that reason, these companies are, more and more, investing
in the protection of their information. Generally, corporations are used to invest in physical
and logical security technologies, deducing on that way that their information are finally safe.
However, they forget that using the best firewalls, antivirus and intruders detection systems,
or even hiring security guards, locks and deploying authentication systems, will just not be
enough if the human factor - which is the weaker and further explored factor – is still
unprotected. In this context we can find the social engineering, which uses the influence,
persuasion and manipulation to deceive people, with or without the use of technology, and
that the victim ends up providing the desired information. With this purpose, social engineers
use several physical and psychological techniques, which may range - digging through trash
cans of the corporations, getting physical or logical access to the corporation by manipulating
employees and so on. Due to these factors, all companies must be well prepared for social
engineering attacks, creating training sessions and make their employees aware about it,
developing security policies and ensuring frequent realizations of security testing. Thus, this
work presents theoretical pieces about the principles of the information security, the types of
social engineering attacks and how to mitigate them, and also performs a practice analysis of
the vulnerabilities of the human factor studied in a corporation and a proposal of how their
appropriate policies and safety training should be implemented.
Key words: information security. human factor. social engineering.
LISTA DE ILUSTRAÇÕES
FIGURA 1 - Estrutura de um ataque .................................................................................... 24
FIGURA 2 - Diagrama representativo das barreiras de segurança ...................................... 36
FIGURA 3 – Metodologia ..................................................................................................... 46
LISTA DE TABELAS
TABELA 1 - Tipos de atacantes ........................................................................................... 21
TABELA 2 - Alvos comuns dos ataques............................................................................... 22
TABELA 3 - O ciclo da engenharia social ............................................................................ 23
TABELA 4 - Critério da função ............................................................................................. 32
TABELA 5 - Critério da substituição ..................................................................................... 32
TABELA 6 - Critério da profundidade ................................................................................... 32
TABELA 7 - Critério da extensão ......................................................................................... 33
TABELA 8 - Critério da probabilidade .................................................................................. 33
TABELA 9 - Critério do impacto financeiro ........................................................................... 34
TABELA 10 - Classificação do risco ..................................................................................... 35
LISTA DE ABREVIATURAS E SIGLAS
CEO - Chief Executive Officer
CFTV - Circuito Fechado de TV
CIO - Chief Information Officer
ISMS - Information Security Management System
PIN - Personal Identification Number
TI - Tecnologia da Informação
S - Função
F - Substituição
P - Profundidade
E - Extensão
Pb - Probabilidade
If - Impacto Financeiro
TI - Tecnologia da Informação
OE - Organização/Empresa
ISE - Informações Sigilosas da Empresa
IGD - Informações Gerais da Empresa
VA - Vítima Ativa
VS - Vítima Superficial
HTML - HyperText Markup Language
PHP - Personal Home Page
SQL - Structured Query Language
SUMÁRIO
1 INTRODUÇÃO ..................................................................................................................... 11
2 FUNDAMENTAÇÃO TEÓRICA ........................................................................................... 13
2.1 Conceitos básicos de segurança da informação ................................................................ 13
2.1.1 Classificação da Informação ............................................................................................ 14
2.1.2 Segurança física da informação ....................................................................................... 15
2.1.3 Segurança lógica da informação ...................................................................................... 16
2.1.4 Segurança humana da informação .................................................................................. 16
2.2 Engenharia Social .............................................................................................................. 17
2.2.1 Vulnerabilidades Humanas .............................................................................................. 18
2.2.2 Descrição de Ataques ...................................................................................................... 20
2.2.3 Técnicas e ferramentas para engenharia social ............................................................... 27
2.2.4 Medidas de Defesa .......................................................................................................... 30
3 METODOLOGIA .................................................................................................................. 43
3.1 A Empresa ......................................................................................................................... 44
3.2 Análise da Situação Atual da Empresa .............................................................................. 44
3.3 Proposta de Implantação de Medidas de Segurança ......................................................... 46
4 RESULTADOS E DISCUSSÃO ........................................................................................... 47
5 CONCLUSÕES .................................................................................................................... 53
REFERÊNCIAS ........................................................................................................................ 12
ANEXOS................................................................................................................................... 56
Anexo 1 – Página do Questionário ............................................................................................ 56
Anexo 2 – Página de Validação e Inserção no Banco de Dados ............................................... 68
11
1 INTRODUÇÃO
Com o crescente valor da informação nas corporações, o uso de tecnologias de
segurança da informação tem crescido enormemente, uma vez que se pretende impedir o
roubo, a violação ou a remoção de informações confidenciais. Para que a segurança seja
eficaz, as corporações, em geral, classificam-na em dois tipos: segurança física e segurança
lógica.
Na segurança física, visa-se a proteção ao acesso físico indevido à corporação por
meio da instalação de trancas, fechaduras, equipes de segurança, CFTV, sistemas de
autenticação (leitores biométricos, ópticos) etc. Já na segurança lógica, pretende-se
controlar o acesso às informações disponíveis na rede da corporação, utilizando-se de
firewalls, sistema de detecção de intrusos, antivírus, criptografia, permissão em pastas etc.
Porém entre os dois níveis de segurança supracitados, encontra-se o principal e o
mais vulnerável elo: o ser humano. E é este vulnerável elo que é explorado pelos
engenheiros sociais, por meio de técnicas de persuasão e manipulação, de modo que uma
organização, com os melhores recursos tecnológicos de segurança, esteja totalmente
vulnerável e insegura.
Segundo MITNICK & SIMON (2003), muitos profissionais da tecnologia da
informação conservam a ideia errada de que tornaram suas empresas imunes ao ataque
porque usaram produtos de segurança padrão, uma vez que todos os que pensam que os
produtos de segurança sozinhos oferecem a verdadeira segurança, estão fadados a sofrer a
ilusão da segurança.
É essencial que as organizações estejam com seus funcionários preparados para
enfrentarem os ataques de engenharia social, afinal, segundo MANN (2011), toda pesquisa
séria, sobre os métodos usados pelos agressores para comprometer sistemas, demonstra
que o elemento humano é crucial para a maioria dos ataques bem-sucedidos.
As corporações necessitam não apenas da segurança física e da segurança lógica,
mas também da segurança humana, pois, como descrevem MITNICK & SIMON (2003), a
segurança corporativa é uma questão de equilíbrio, de modo que pouca ou nenhuma
segurança deixa a empresa vulnerável, porém uma ênfase exagerada atrapalha a realização
dos negócios e inibe o crescimento e prosperidade da empresa.
Assim, esta monografia tem como objetivo estudar as vulnerabilidades humanas e os
métodos de ataque explorados pelos engenheiros sociais, bem como apresentar técnicas de
defesa que podem ser utilizadas pelas organizações para mitigarem estes tipos de ataque.
Para tanto, pretende-se realizar um estudo de caso com pesquisa, obtendo a situação atual
12
da segurança humana de um ambiente corporativo e propor as devidas medidas defensivas
para que este esteja melhor protegido e com seus funcionários melhor preparados.
13
2 FUNDAMENTAÇÃO TEÓRICA
2.1 Conceitos básicos de segurança da informação
Com o avanço da tecnologia e o elevado uso de computadores nas corporações, a
informação se tornou um fator vital, de modo que, se esta não estiver segura, uma empresa
pode ser levada a perdas financeiras, de clientes, de reputação ou até mesmo à falência.
A informação, segundo ABNT NBR ISO/IEC 27002:2005, é um ativo essencial para
os negócios de uma organização e que, consequentemente, deve ser adequadamente
protegida. Devido a essa importância, a informação está exposta a um crescente número e
a uma grande variedade de ameaças e vulnerabilidades.
Uma vez que a informação está exposta constantemente às ameaças e
vulnerabilidades, é essencial que práticas de segurança da informação sejam implantadas.
Segundo ABNT NBR ISO/IEC 27002:2005, a segurança da informação consiste na proteção
da informação de vários tipos de ameaças para garantir a continuidade do negócio,
minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e as
oportunidades de negócio.
MITNICK & SIMON (2003) alertam que se deve estar consciente das técnicas que
estão sendo usadas por aqueles que tentam abalar os tripés de confidencialidade,
integridade e disponibilidade das informações dos sistemas e redes de computadores. Neste
contexto, SANTOS (2004) apud NBR ISO/IEC 17799:2000, explica os princípios básicos da
segurança da informação:
Confidencialidade: garantia de que a informação é acessível somente por
pessoas autorizadas a terem acesso;
Integridade: exatidão, completeza da informação e dos métodos de
processamento;
Disponibilidade: garantia de que os usuários autorizados obtenham acesso à
informação e aos ativos correspondentes sempre que necessário.
Estes princípios têm o objetivo de proteger as informações e garantir que sejam
acessadas somente por pessoas autorizadas, que não estejam incompletas ou adulteradas,
e que estejam sempre disponíveis, garantindo uma melhor produtividade dos usuários
através de um ambiente mais organizado e protegido.
14
2.1.1 Classificação da Informação
Para que a segurança da informação seja efetiva, é necessário que as informações
corporativas possam ser identificadas. Segundo MANN (2011), um sistema de classificação
viável pode apresentar muitos benefícios, ajudando a formalizar as regras necessárias para
o tratamento de informações que formam o Sistema de Gerenciamento de Segurança da
Informação (ISMS) e, em particular, a base da proteção contra engenharia social.
Visando esta proteção, MITNICK & SIMON (2003) classificam as informações em
quatro tipos:
Confidencial, que só deve ser usada na organização e compartilhada apenas
com um número muito limitado e conhecido de pessoas que tenham
necessidade absoluta de manipulá-la. A divulgação destas informações pode
acarretar em sérios problemas para a empresa, acionistas, parceiros e
clientes. Exemplos: segredos comerciais, códigos-fonte proprietários,
especificações técnicas ou funcionais de produtos que podem ser vantajosas
aos concorrentes, estratégias futuras de negócios etc.
Particular, devendo somente ser usada na organização. A divulgação não
autorizada destas informações pode ter um impacto sério sobre os
empregados ou a empresa se forem obtidas por pessoas não autorizadas
(particularmente pelos engenheiros sociais). Exemplos: histórico médico dos
funcionários, informações de contas bancárias, histórico salarial etc.
Interna, que pode ser utilizada livremente na organização. A divulgação não
autorizada destas informações, normalmente, não acarreta em danos para a
organização, porém podem ser utilizadas pelos engenheiros sociais para se
passarem por um empregado autorizado ou fornecedor de modo que
consigam enganar o funcionário a lhes fornecer informações confidenciais.
Exemplos: gráficos organizacionais da empresa, nome dos sistemas internos,
procedimentos de acesso remoto etc.
Pública, que podem ser disponibilizadas livremente dentro e fora da empresa.
Exemplos: press releases, informações de contato de suporte ao cliente etc.
Com um sistema de classificação definido, o funcionário da corporação irá
compreender o tipo de informação com que está manuseando ou compartilhando, assim as
regras de segurança da corporação podem começar a ser definidas. Porém MANN (2011)
alerta que além dos limites organizacionais tradicionais, é importante que um sistema de
15
classificação não restrinja as operações além do necessário para dar suporte em um nível
de segurança apropriado.
2.1.2 Segurança física da informação
Segundo OLIVEIRA & SOUZA (2007), a segurança física refere-se ao conjunto de
meios ou instrumentos voltados a proporcionar a segurança empresarial propriamente dita,
ou seja, seu acesso físico, instalações elétricas, pessoal envolvido, condições de
equipamentos de apoio, entre outros parâmetros. Ainda segundo o autor, a função efetiva
da segurança é envolver, no seu desenvolvimento, funções de análise de risco e controle
eficiente do processo de planejamento, desenvolvimento, testes e aplicação dos sistemas,
de maneira discreta e preocupando-se com a qualidade e eficiência do serviço executado.
A norma ABNT NBR ISO/IEC 27002:2005, divide a segurança física em dois tipos:
Segurança da Área, que consiste em prevenir o acesso físico não autorizado,
danos e interferências com as instalações e informações da organização,
mantendo as instalações de processamento das informações criticas em
áreas seguras, protegidas por perímetros de segurança, com barreiras de
segurança e controles de acesso apropriados.
Segurança dos Equipamentos, que consiste em prevenir perdas, danos,
roubo, comprometimento de ativos e interrupção das atividades da
organização, protegendo os equipamentos contra ameaças físicas e do meio
ambiente.
Políticas de segurança física evitam, dentre muitas ameaças, ataques de
engenheiros sociais. Segundo MITNICK & SIMON (2003), embora os engenheiros sociais
evitem aparecer pessoalmente no local de trabalho do alvo, em diversas ocasiões isto se faz
necessário, e são nestas ocasiões em que as políticas de segurança físicas se tornam uma
barreira importante contra os engenheiros sociais.
16
2.1.3 Segurança lógica da informação
A segurança lógica consiste em um conjunto de métodos e procedimentos
automáticos e manuais destinados à proteção dos recursos computacionais contra o seu
uso indevido ou desautorizado, compreendendo o controle de consultas, alterações,
inserções e exclusões de dados, uso de programas entre outros recursos (SOUZA 2006
apud CAIÇARA JUNIOR, 2006).
Para SÊMOLA (2003), os três principais fatores da segurança lógica consistem em:
Autentificação e Autorização, responsáveis por suprir os processos de
identificação de pessoas, equipamentos e sistemas, sendo estes mecanismos
de autentificação fundamentais para os atuais padrões de informatização,
automação e compartilhamento de informações.
Combate a Ataques e Invasões, responsáveis por suprir a infraestrutura
tecnológica com dispositivos de software e hardware de proteção, controle de
acesso e conseqüente combate a ataques e invasões, sendo estes
mecanismos muito importantes na gestão de segurança, visto que as
tentativas de acesso indevido crescem exponencialmente.
Privacidade das Comunicações, responsáveis por manter a confidencialidade
nas comunicações, dentre os quais se destaca o método de criptografia.
A segurança lógica dificulta, e muito, um ataque bem sucedido. MITNICK & SIMON
(2003) afirmam que a política de segurança corporativa deve obrigar os administradores de
sistema a implantarem diretivas lógicas de segurança sempre que possível, com o objetivo
de não depender das pessoas não mais do que o necessário. Afinal, a simples limitação do
número de tentativas sucessivas e inválidas de login com determinada conta, por exemplo,
torna a vida de um atacante significativamente mais difícil.
2.1.4 Segurança humana da informação
O elemento humano certamente consiste no elo mais fraco da segurança da
informação, o qual, segundo MANN (2011), vem sendo negligenciado pelas empresas e
explorado pelos atacantes, de modo que, muitas vezes, é perceptível o fato de que as
empresas focam sua atenção em adquirir os melhores equipamentos e aplicar as mais
17
atuais técnicas para a sua proteção lógica e física, esquecendo-se da segurança humana.
De nada adianta os melhores firewalls, nem as mais modernas câmeras de vigilância, se o
atacante tem que simplesmente realizar algumas ligações e utilizar alguns métodos de
persuasão para obter a informação desejada.
MITNICK & SIMON (2003) afirmam que todos devem entender que não são apenas
os executivos e os chefes que têm as informações que um atacante pode estar procurando.
Hoje em dia, os colaboradores de todos os níveis, até mesmo aqueles que não usam um
computador, podem ser os alvos.
Segundo SILVA et al. (2003), são as pessoas que interagem diariamente com os
sistemas, que têm acesso às informações neles contidas, que condicionam o
processamento dessas mesmas informações, que são as principais ameaças a esses
mesmos sistemas. Afinal, ninguém está imune a ser enganado por um bom engenheiro
social.
Devido ao ritmo da vida normal, as pessoas nem sempre pensam com cuidado antes
de tomar as suas decisões, mesmo em questões que são importantes. As situações
complicadas, a falta de tempo, o estado emocional ou a fadiga mental podem facilmente
distraí-las, contribuindo para que tomem um atalho mental e ajam sem avaliar
cuidadosamente as informações, sendo este processo mental conhecido como resposta
automática. (MITNICK & SIMON 2003).
2.2 Engenharia Social
Engenharia Social é a arte de manipular pessoas, enganando-as, para que forneçam
informações ou executem uma determinada ação (MANN 2011). Segundo SANTOS (2004),
é considerada “engenharia” por que constrói, baseado em informações, táticas de acesso à
sistemas e informações sigilosas, e “social” por que se utiliza de pessoas que trabalham e
vivem em grupos organizados.
Assim, o termo “Engenharia Social” é empregado na área da Ciência Política para
retratar os esforços do governo ou de grupos privados para influenciar as atitudes da
população e os comportamentos sociais em larga escala. Já na área de segurança, foi
popularizado, pelo ex-hacker e agora consultor Kevin Mitnick, e passou a ser amplamente
difundido como uma ação de manipulação psicológica (LENNERT & OLIVEIRA 2001).
De acordo com PEIXOTO (2002), a engenharia social retrata três aspectos
fundamentais que englobam sua verdadeira essência:
18
1. como ciência na forma de estudo, pesquisa e descobrimento, que o
engenheiro social deve ter consigo.
2. como técnica, como modelo de aplicação de suas habilidades envolvendo
caracteristicas propriamente padronizadas como principalmente
personalizadas ou incrementadas.
3. como arte, como meio mais criativo e envolvente que o engenheiro social
pode trazer levando em conta o senso lógico, mas, sobretudo emocional, que
é muito bem explorado por esse mestre articulador das vulnerabilidades
humanas.
As organizações priorizam muito a segurança lógica, de maneira saturada a
segurança física e se esquecem da segurança humana. Os engenheiros sociais
simplesmente se utilizam desta brecha, ou elo mais fraco, e obtém as informações
confidenciais, utilizando desde ataques simples e diretos até ataques complexos,
envolvendo diversos métodos aplicados por diversos meios e com diferentes pessoas.
Existem inúmeros exemplos de ataques compostos, principal ou exclusivamente, por
atividades de engenharia social. Faz parte da natureza humana o espírito de ajuda e essa
tendência é por vezes agravada em ambientes laborais. Se, por exemplo, alguém telefonar
a um utilizador, identificando-se como um colega de outro departamento que precisa
urgentemente de aceder a determinada informação, sob pena de ser despedido, a tendência
instintiva do utilizador será ajudar (SILVA et al., 2003).
2.2.1 Vulnerabilidades Humanas
O ser humano é dotado de sentimentos, desejos, fraquezas, etc e por isso está
vulnerável a ataques com manipulações psicológicas que o levam, muitas vezes
inconscientemente, a atender à solicitação do atacante. MANN (2011) afirma que quando
vamos além de simples ilustrações de cenários de risco de engenharia social, passamos a
compreender as fraquezas psicológicas subjacentes que levam aos riscos, sendo que as
principais vulnerabilidades humanas exploradas pelos engenheiros sociais são:
Ignorância, onde a maioria das pessoas sente-se relativamente ignorante a
respeito de sistemas de TI, principalmente quando sentem que a outra
pessoa sabe mais do que elas. Os engenheiros sociais aproveitam isto para
conseguir a obediência, levando este a seguir as instruções do suposto
especialista.
19
Credulidade/Reciprocidade, constituí uma característica interessante da
credulidade das pessoas, em que quanto maior a promessa, mais os
processos conscientes dão espaço para a ganância subconsciente, tornando
esta tendência umas das vulnerabilidades mais exploradas pelos engenheiros
sociais.
Desejo de ser amado, de modo que as pessoas são facilmente enganadas a
divulgarem informações devido a avanços amorosos. O fato do desejo de ser
amado ser uma característica comum a todos acarreta no grande uso desta
vulnerabilidade.
Ser prestativo, que envolve mais do que simplesmente segurar a porta aberta
para as pessoas, o que ajuda criminosos que o seguem na rua a entrar no
seu prédio. No ambiente de trabalho somos incentivados a sermos
prestativos com os colegas, principalmente os novos. Esta vulnerabilidade é
muito utilizada pelos engenheiros sociais, afinal todos irão querer ajudar o
novo funcionário que pede informações.
MITNICK & SIMON (2003) citam mais algumas vulnerabilidades da psicologia
humana, exploradas pelos engenheiros sociais:
Autoridade, onde as pessoas têm a tendência de atender a uma
solicitação que é feita por uma pessoa com autoridade. Os engenheiros
sociais utilizam esta vulnerabilidade a fim de impor autoridade alegando
ser alguém tal como um gerente do departamento de TI, um executivo ou
uma pessoa que trabalha para um executivo da empresa.
Afabilidade/Simpatia, em que as pessoas atendem facilmente uma
solicitação de uma pessoa que pessoa agradável ou com interesses,
crenças e atitudes semelhantes aos seus. O engenheiro social aproveita
isto dizendo ter o mesmo hobby ou ser do mesmo estado, tentando assim
imitar os comportamentos do seu alvo para criar a aparência de
semelhança.
Consistência, de modo que as pessoas têm a tendência de atender uma
solicitação após fazer um comprometimento público ou adotar uma causa.
Depois que prometem, fazem qualquer coisa. Não querem parecer pouco
confiáveis ou indesejáveis e tendem a seguir as instruções para serem
coerentes com a declaração ou promessa.
Validação Social, onde as pessoas tendem a cooperar quando uma
solicitação parece estar de acordo com aquilo que as outras pessoas
20
estão fazendo. Assim, a ação dos outros é aceita como uma validação de
que o comportamento em questão está correto e apropriado.
Escassez, uma vez que as pessoas têm a tendência de cooperar quando
acreditam que o objeto procurado está em falta, escassez ou que ele só
está disponível por um período de tempo curto. Os engenheiros sociais se
utilizam desta técnica, a fim de fazer com que o funcionário clique, aceite
ou preencha algo, fazendo-o pensar que é privilegiado e sortudo por
conseguir tal promoção ou recurso, que outros não conseguiram.
Medo, quando a intimidação cria o sentimento de ser punido e influencia
as pessoas para que cooperem. Pode também criar o medo de uma
situação embaraçosa ou de ser desqualificado da nova promoção.
Estas vulnerabilidades se baseiam, segundo LENNERT e OLIVEIRA (2011), em um
atributo específico da decisão humana, conhecido como propensão cognitiva. Sendo a
propensão cognitiva um padrão de desvio no julgamento que ocorre em determinadas
situações. Essas distorções na mente humana são difíceis de eliminar e podem acarretar
em erros de percepção, interpretação não lógica ou julgamento errado. Assim o atacante
utiliza-se destas vulnerabilidades humanas para explorar várias técnicas combinadas para
realizar o ataque.
2.2.2 Descrição de Ataques
São muitos os tipos de pessoas que utilizam de técnicas de engenharia social. A
TABELA 1, com dados extraídos de LENNERT e OLIVEIRA (2011), identifica os mais
comuns e seus respectivos objetivos.
21
TABELA 1 - Tipos de atacantes
Intrusos Objetivos
Estudantes Bisbilhotar mensagens de correio eletrônico
de outras pessoas por diversão.
Hackers/Crackers Testar sistemas de segurança ou roubar
informações.
Representantes Comerciais Descobrir planilhas de preços e cadastro de
clientes.
Executivos Descobrir plano estratégico dos concorrentes.
Ex-funcionários Sabotagem por vingança.
Contadores Desfalques financeiros.
Corretores de Valores Distorcer informações para lucrar com o valor
das ações.
Vigaristas Roubar informações, como senhas e
números de cartões de crédito.
Espiões Descobrir planos militares.
Terroristas Espalhar pânico pela rede e roubar
informações estratégicas.
Fonte: LENNERT E OLIVEIRA (2011)
Entretanto, o principal tipo de atacante é aquele que busca capturar as informações
corporativas e usá-las de modo maléfico, podendo levar à corporação a grandes perdas
financeiras. Além disso, MITNICK & SIMON (2003) alertam que as empresas precisam estar
preparadas para os ataques da engenharia social vindos de empregados atuais ou ex-
empregados, que podem ter um motivo de descontentamento.
As técnicas de ataque utilizadas por estes tipos de pessoas são diversas e
praticamente ilimitadas, afinal existem diversas maneiras de se enganar um funcionário e
conseguir acesso às informações.
Embora um engenheiro social possa realizar seus ataques de diversas maneiras,
estes ataques, segundo PARODI (2012), podem ser:
Diretos, são aqueles em que o atacante sabe exatamente quem, como e por
que atacar, entrando diretamente em contato com a vítima por e-mail,
telefone ou pessoalmente.
Indiretos, são aqueles que não têm um alvo específico. Um bom exemplo
dessa técnica é encontrado em um relato de MITNICK & SIMON (2003):
"Você está em um elevador quando de repente um disquete cai no chão, você
22
olha e tem um logotipo de uma grande empresa e a frase ‘histórico salarial’.
Movido pela curiosidade você abre o disquete em sua casa e talvez haja um
ícone para o Word, então ao clicar aparece a frase ‘ocorreu um erro ao tentar
abrir o arquivo’, você não sabe, mas um backdoor foi instalado em sua
máquina. Você imediatamente leva o disquete até o setor responsável em
devolvê-lo ou guardá-lo, o setor por sua vez também abre o disquete, agora o
hacker tem acesso a dois computadores".
Embora o ataque indireto não conheça o alvo, ele pode conhecer o ambiente em que
o alvo desconhecido atua. No exemplo do ataque indireto citado acima o atacante não sabia
quem iria abrir o disquete, porém sabia que provavelmente o abriria dentro da empresa alvo.
Cada cargo em uma organização contém um tipo diferente de informação ou poder
de ação que pode vir a ser útil ao engenheiro social. Na TABELA 2 são listados os tipos de
alvos corporativos comumente usados pelos engenheiros sociais baseado no tipo de
interesse.
TABELA 2 - Alvos comuns dos ataques
Tipo de alvo Exemplos
Desconhecimento do valor das informações Recepcionistas, telefonistas, assistentes
administrativos, guardas de segurança.
Privilégios especiais Help desk ou suporte técnico,
administradores de sistema, operadores de
computador, administradores do sistema de
telefones.
Fabricante/fornecedor Hardware de computador, fabricantes de
software, fornecedores de sistemas de voice
mail.
Departamentos específicos Contabilidade, recursos humanos.
Fonte: MITNICK & SIMON (2011)
Com isso, pode-se descrever as interações entre os atacantes e seus alvos, por
meio dos ciclos de ataque. Um ciclo de ataque corresponde às ações que o engenheiro
social executa para ter seu objetivo alcançado. Na maioria das vezes um ataque é
premeditado e totalmente projetado, de modo que são feitos diversos contatos com o alvo e,
dependendo do valor e proteção, por diferentes meios de comunicação (telefone, e-mail,
pessoalmente).
23
Na TABELA 3 são relatadas cada etapa do ciclo, dando descrições dos métodos
mais comuns usados em cada etapa.
TABELA 3 - O ciclo da engenharia social
Ação Descrição
Pesquisa
Pode incluir informações públicas, tais como arquivos e
relatórios anuais, documentos de marketing, aplicações
de patente, recortes de jornais, revistas da indústria,
conteúdo de sites web.
Desenvolvimento da credibilidade
e da confiança
Usa as informações internas, finge ser outra pessoa, cita
pessoas conhecidas da vítima, busca ajuda ou
autoridade.
Explorando a confiança
Solicita informações ou ações por parte da vítima.
Inversamente, manipula a vítima para que ela peça ajuda
ao próprio atacante.
Utilização das informações
Se as informações obtidas são apenas uma etapa para o
objetivo final, o atacante retorna às etapas anteriores do
ciclo até que o objetivo seja atingido.
Fonte: MITNICK & SIMON (2011)
Já a estrutura de ataque, como mostra a FIGURA 1, é como um jogo de quebra-
cabeça, onde informações que parecem ser irrelevantes, quando unidas a outras, também
assim consideradas, tomam forma diferente daquilo que imaginávamos ser inofensivo. E
passa a ser a chave do que o engenheiro social precisava para abrir o “reino encantado” e
ter acesso a informações que até então eram confidenciais (PEIXOTO, 2006).
24
Fonte: Peixoto (2006)
FIGURA 1 - Estrutura de um ataque
Segundo PEIXOTO (2006), a fórmula ideal para uma maior garantia do sucesso
deste ataque será sem duvida passar por todas as etapas que um engenheiro social tem
como recursos, adotando a seguinte equação (significado das siglas na FIGURA 1):
VAVSIGDISE .
Ainda segundo PEIXOTO (2006) o engenheiro social tenta simplesmente adquirir a
confiança primeiro para que, depois de reforçado o vinculo de amizade, possa então atacar
e conseguir as informações.
Além disso, o engenheiro social prevê a suspeita e a resistência, e está sempre
preparado para transformar a desconfiança em confiança, sendo que um bom engenheiro
social planeja o seu ataque como um jogo de xadrez, e prevê as perguntas que o seu alvo
pode fazer para estar pronto para dar as respostas corretas (MITNICK & SIMON, 2003).
Neste contexto, MANN (2011) afirma que a chave para o sucesso do engenheiro
social, é criar uma conexão rápida com o alvo. Para tal feito o engenheiro social utiliza-se de
algumas técnicas que visam criar, subconscientemente, a afinidade necessária com seu
alvo, aumentando assim a chance que ele consiga adquirir confiança, tais como:
Espelhamento da respiração, onde o aspecto mental de uma pessoa é
refletido em seu ritmo respiratório. O engenheiro social tenta igualar-se a ela,
espelhando este atributo. Não é uma técnica fácil, pois sem os movimentos
certos, pode vir a parecer falso.
Ouvir de verdade, de modo que a idéia é entender realmente o que o alvo
está falando e então dar uma resposta que demonstre compreensão por parte
do engenheiro social, o qual normalmente responde a própria afirmação do
25
alvo, porém com outras palavras, levando ao alvo concordar, e assim
aumentar a conexão com o engenheiro social.
Pausas na fala, ou seja, simplesmente ouvir, é uma poderosa arma dos
engenheiros sociais que leva muitas pessoas a se sentirem como se
estivessem encontrado um amigo verdadeiro, mesmo estando a pouco tempo
conversando com o engenheiro social.
Roteiro mental, que consiste basicamente em fazer com que o alvo sinta que
o engenheiro social realmente pensa como ele. Para tal os engenheiros
sociais condicionam a mente a crer que eles realmente gostam do alvo,
criando assim, subconscientemente, linguagens corporais genuínas, ou seja,
os engenheiros sociais manipulam o seu próprio subconsciente a fim de
tornar uma reação de conexão real.
Concordar/Identificar, quando simplesmente concordam com as respostas do
alvo e assim conduzem o ataque de modo a se identificar com ele. Situações
como ter nascido na mesma região ou ter os mesmos hobbies são exemplos
no qual o alvo identifica-se facilmente com o atacante, permitindo assim que o
atacante ganhe mais confiança do alvo.
Vestimenta, que consiste em permitir que o atacante se misture naturalmente
em um ambiente, utilizando-se de vestimenta apropriada ao local.
Tais técnicas podem ser mais bem trabalhadas pessoalmente, porém algumas
também se aplicam mesmo sem o contato pessoal, como por exemplo, por telefone.
MANN (2011) afirma que estas técnicas, quando combinadas, permitem que um
ataque seja convincente, sendo que ao invés de tentar copiar a linguagem corporal do alvo
conscientemente, o atacante usa destas técnicas que acabam por espelhar naturalmente a
linguagem corporal do alvo, além de desenvolver uma conexão mais profunda.
Entretanto, por mais excêntrico que pareça, muitas vezes o engenheiro social tem
que simplesmente pedir o que quer. Até mesmo em corporações que realizam grandes
investimentos em tecnologias de segurança da informação, mas, como já dito, ignoram
totalmente o fator humano, não dão o devido treinamento aos funcionários, deixando-os
simplesmente com sua autocrítica pessoal, a qual os leva, na maioria das vezes, a entrega
da informação ao atacante.
Embora PEIXOTO (2006) concorde com esses preceitos, o autor alerta que mesmo
em ataques simples e diretos como este, é ideal que, primeiramente, o engenheiro social
tenha ao menos conhecimento de alguns jargões comumente utilizados naquele ambiente
onde se fará o ataque. Sendo que o saber da linguagem de uma empresa e de sua estrutura
26
corporativa, bem como os departamentos ali existentes e suas funções, fazem parte da
bagagem de truques que um engenheiro social bem sucedido deve ter consigo.
Para conseguir as informações necessárias os engenheiros sociais se passam por
um determinado papel, e em diversas vezes, por vários papeis. Muitas vezes para conseguir
acesso a uma determinada informação ou programa o atacante realiza diversos ataques por
diferentes meios, com diferentes pessoas e utilizando diferentes papeis, obtendo as
informações pouco a pouco a fim de que o alvo não perceba o ataque.
MANN (2011) destaca alguns dos mais comuns papeis adotados pelos engenheiros
sociais:
Novo técnico, que consiste em enganar os alvos, se passando por um novo
técnico ou novo funcionário, obtendo duas vantagens potencias. A primeira é
que, um técnico tem acesso a computadores, e os alvos confiam nele, afinal é
um técnico. A segunda é que como um novo funcionário ajuda ao engenheiro
social a ganhar solidariedade e compreensão por parte do alvo, afinal ele é
novo na empresa.
Consultor de segurança, onde o engenheiro social pode realizar muitas
perguntas, além de solicitar documentos, afinal as pessoas estão
acostumadas a entregarem diversos documentos para os auditores.
Gerente, por quem as pessoas esperam receber instruções e, algumas vezes,
até serem pressionadas. Os engenheiros sociais usam constantemente este
papel, afinam eles conseguem exatamente o que querem: levar o alvo a
seguir suas instruções.
Cliente potencial, de modo que as organizações realizam o possível para
adquirir ou manter um cliente e os engenheiros sociais sabem e usam isto.
Simplesmente adotando um papel de um cliente já existente, o engenheiro
social consegue muitas informações.
Parceiro de negócios, que trocam informações constantemente. Fingir ser um
parceiro permite ao engenheiro social explorar a organização, assim como o
cliente potencial.
Colega de trabalho, que desenvolve uma conexão, sendo uma prática muito
comum para os engenheiros sociais. É útil em pequenos encontros com
outros funcionários e muito utilizado por meio de ligações telefônicas no
estágio inicial do ataque com o intuito de adquirir as informações.
Figura de autoridade, em que a maioria das pessoas, quando se confrontam,
simplesmente utilizam o caminho de menor resistência e cedem.
27
MITNICK & SIMON (2003) citam mais alguns papéis comumente utilizados pelos
engenheiros sociais:
Finge ser um empregado de um fornecedor, empresa parceira ou autoridade
legal.
Finge ser um fornecedor ou fabricante de sistemas que liga para oferecer um
patch ou uma atualização de sistema.
Finge ser do suporte, oferece ajuda quando ocorrer um problema e, em
seguida, faz o problema ocorrer para manipular a vítima e fazer com que ela
ligue pedindo ajuda.
Finge ser do escritório remoto e pede acesso local ao correio eletrônico.
2.2.3 Técnicas e ferramentas para engenharia social
Os engenheiros sociais se utilizam de diversos métodos para conseguir seus
objetivos. Além das técnicas de exploração da confiança e das vulnerabilidades humanas,
eles se utilizam também de algumas técnicas e ferramentas específicas de ataque, as quais
LENNERT & OLIVEIRA (2011) resumem em:
Pretexto, que consiste no ato de criar e usar um cenário inventado para
atacar a vítima de uma maneira que ocorra uma chance maior da vítima
divulgar a informação ou realizar ações que normalmente não faria em
circunstâncias comuns. É mais do que uma simples mentira, pois na maioria
das vezes envolve uma pesquisa anterior e, até mesmo, interpretação de
personagens (personificação) para estabelecer legitimidade na mente do
objetivo.
Phishing, onde o “pescador”, tipicamente, envia um e-mail que aparentemente
vem de um negócio legítimo (banco, companhia de cartão de crédito)
solicitando confirmação de informações e avisos de interrupção de serviço se
a informação não for fornecida. O e-mail normalmente, contém um link para
uma web page fraudulenta que solicita o preenchimento de dados pessoais e
bancários.
Phone Phishing, onde a vítima é orientada (através de um e-mail phishing)
para ligar para um banco e confirmar algumas informações. Um sistema típico
(semelhante ao do banco) irá rejeitar as tentativas de entrada com as senhas,
assegurando assim, que a vítima entre com os PINs ou as senhas várias
28
vezes, facilitando o reconhecimento das várias senhas. Sistemas mais
avançados transferem a vítima ao criminoso, que nesse momento, se passa
por um atendente.
Isca (baiting), que se utiliza de mídias físicas removíveis, como CD ROM,
USB flash drives, etc, para despertar a curiosidade ou a ganância da vítima.
Quid pro Quo, onde o engenheiro social ligará aleatoriamente para vários
números dizendo ser do suporte técnico de determinada empresa.
Eventualmente, alguém terá um problema legítimo e necessitará de ajuda.
Nesse instante, o atacante irá ajudar a resolver o problema e no meio do
processo, pedirá ao usuário para tomar algumas ações que o permitirá
ganhar acesso ao sistema ou lançar um malware.
Lixo (dumpster diving), uma vez que o lixo das empresas pode ser uma fonte
muito rica de informações para um hacker. Vasculhar o lixo é um método
muito usado pelos invasores, porque é comum se encontrar itens como
cadernetas com telefones, organograma da empresa, manuais de sistemas
utilizados, memorandos, relatórios com informações estratégicas e até
anotações com login e senha de usuários.
Engenharia Social Inversa, que ocorre quando um hacker cria uma
personalidade que aparece numa posição de autoridade, de modo que todos
os usuários lhe pedirão informação. Se pesquisado, planejado e bem
executado, o ataque de engenharia social inversa permite ao hacker extrair
dos funcionários informações muito valiosas, entretanto, isto requer muita
preparação e pesquisa.
PEIXOTO (2006) acrescenta mais algumas técnicas e ferramentas utilizadas pelos
engenheiros sociais, tais como:
Internet, que pode ser uma ótima ferramenta para coleta de informações do
alvo, utilizando-se de redes sociais, google, dentre outros.
Intranet (acesso remoto), por meio de acesso remoto, capturando o controle
do microcomputador de determinado usuário da rede e se passando por
alguém que, na verdade, não é.
Pessoalmente (in person social engineering), demonstrando todo o poder de
persuasão e, habilidade em saber conversar do atacante, onde o engenheiro
social faz-se passar por alguém que na verdade ele não é. Adota toda uma
encenação e como um verdadeiro artista busca manipular a vítima de forma a
ser bastante convincente no que diz. Esse tipo de ataque ganha mais força
quando o atacante já conhece literalmente o território no qual vai pisar, mas,
29
sobretudo já tem consigo informações que lhe conferem subsídios para
persuadir a vítima, valendo-se às vezes até mesmo de informações ditas
como confidenciais. Alguns recursos a favor do engenheiro social seriam a
sedução, a intimidação, a dramaticidade, a credibilidade.
Chats (bate papo), onde fazer-se passar por alguém que na verdade não é
fica muito mais fácil. Além de tudo, mandar fotos fica bem mais atrativo e
seduz mais facilmente, de modo a conseguir as informações que deseja.
Fax, que objetiva obter o número da pessoa física ou jurídica para que se
possa começar o ataque e aplicar os mesmos principios do e-mail, enviando,
por exemplo, pedidos da requisição, formulários de preenchimento, dentre
outros, para posterior retorno do que se deseja obter. Atualmente não há
necessidade propriamente dita de se ter um aparelho de fax, pois existem os
chamados internet-fax onde há servidores exclusivos para este fim.
Cartas/Correspondência, que não é o meio mais moderno, mas é, sem
dúvida, um recurso poderoso, fazendo com que as pessoas mais idosas e
aquelas que têm certa resistência à tecnologia, sejam as maiores vítimas.
Hoje em dia não é nada difícil elaborar cartas ou documentos com
logomarcas, dando-se a impressão de que se trata realmente daquela
origem.
Spyware, que é um software espião usado para monitorar de modo oculto as
atividades do computador de um alvo.
Surfar sobre os ombros (shoulder surfing), que é o ato de observar uma
pessoa digitando no teclado do computador para descobrir e roubar sua
senha ou informações de usuário.
P2P (Peer-to-Peer), uma tecnologia empregada para estabelecer
comunicação entre inumeros computadores, como uma rede, onde cada
estação possui capacidades e responsabilidades equivalentes. Algumas
aplições já conhecidas, como o e-mule e o kaZaa são exemplos reais de
como pode-se executar engenharia social como um meio de comunicação
propriamente estabelecida, sendo um fator favorável ao engenheiro social.
Estas técnicas, quando focadas em um determinado alvo corporativo, e não
aleatório, podem fazer parte de um ataque maior, ou serem usadas em conjunto, com
informações já adquiridas. O objetivo primário é fazer com que o alvo acredite que o
atacante realmente é quem ele afirma que é, e para tal o atacante utiliza de técnicas de
ataque especificas, de manipulação, etc.
30
2.2.4 Medidas de Defesa
Segundo PEIXOTO (2002), a existência da insegurança é um fato e a inexistência da
segurança é preocupante, sendo que, na verdade, medidas de segurança devem realmente
ser inseridas como quesito básico e primordial a toda empresa, mesmo sabendo-se que o
risco não é literalmente levado à zero, ele deve tender à zero.
Neste contexto, a ABNT NBR ISO/IEC 27001:2006 defende que a organização deve
analisar os riscos seguindo os seguintes preceitos:
Avaliar os impactos para o negócio da organização que podem resultar de
falhas de segurança, levando em consideração as consequências de uma
perda de confidencialidade, integridade ou disponibilidade dos ativos.
Avaliar a probabilidade real da ocorrência de falhas de segurança à luz de
ameaças e vulnerabilidades prevalecentes, e impactos associados a estes
ativos e os controles atualmente implementados.
Estimar os níveis de riscos.
Determinar se os riscos são aceitáveis ou se requerem tratamento.
MANN (2011) concorda e explica que a análise de riscos se divide em quatro termos:
Impacto, que é o dano que será causado.
Probabilidade, a chance de algum evento acontecer.
Ameaça, a causa do incidente.
Vulnerabilidade, a fraqueza que permite que uma ameaça seja bem sucedida.
Ainda de acordo com o mesmo autor, só há um risco quando as quatro situações
anteriores são contempladas. Dividir os riscos em ameaças e vulnerabilidades permite que
sejam distinguidos os elementos que estão sob seu controle, as vulnerabilidades, e os
elementos que estão fora do seu controle, as ameaças, enquanto que classificar o risco em
impacto e probabilidade é significativa, pois proporciona uma medida de risco, permitindo
assim o desenvolvimento de critérios objetivos para basear decisões de gerenciamento
(MANN 2011).
MITNICK & SIMON (2011) concordam e afirmam que o objetivo primário da
avaliação de risco é priorizar as informações que precisam de proteção imediata, e se essa
proteção será eficaz em termos de custo com base em uma análise do custo/beneficio,
focando assim em quais informações serão protegidas em primeiro lugar e quanto custará
para proteger essas informações.
31
SÊMOLA (2003) conclui que a segurança é administrar riscos. Toda empresa possuí
características próprias, objetivos e planos específicos e, por isso, precisa encontrar o nível
de risco mais adequado para operar. Sendo assim, dentro deste panorama, a análise de
riscos é o instrumento perfeito para dimensionar a situação de segurança atual, tornando-a
consciente dos riscos e orientando-a a buscar soluções que a conduzam para o patamar de
risco aceitável.
Existem diversas técnicas para análise do risco, ou seja, determinar se o risco
necessita de proteção imediata ou não. A utilização de uma técnica, tal como esta que será
apresentada, é de extrema importância devido ao fato de muitas vezes se utilizar muito
recurso para um risco quase inexistente e pouco ou nenhum recurso para um risco elevado,
sendo que desta maneira a organização perde tempo, recursos e ainda assim fica
totalmente vulnerável, simplesmente porque não definiu prioridades para o tratamento e
gerenciamento dos riscos.
Segundo BRASILIANO (2005), o Método Mosler é uma forma do gestor de riscos
corporativos acompanhar a evolução dos seus riscos de maneira geral. É um método
subjetivo e, portanto, só deve ser utilizado quando a empresa não tiver dados históricos, que
possam ser matematicamente empregados.
Segundo PEIXOTO (2006), este método está calçado por quatro fases distintas e é
uma metodologia científica sequencial, ou seja, uma fase depende da outra para que se
possa ter uma visão global do risco, sendo elas:
1ª etapa: Definição do risco;
2ª etapa: Análise do risco;
3ª etapa: Evolução do Risco;
4ª etapa: Classe do Risco;
Após ser identificado qual o bem e seu respectivo dano, ou seja, o risco (1ª etapa) é
necessário realizar a análise deste risco (2ª etapa), a qual é divida com base em seis
critérios voltados para a influência da materialização das ameaças. Estes são explicados e
organizados por BRASILIANO (2005) da seguinte maneira:
1º critério: Da função - “F”
Este critério, especificado na TABELA 4, projeta as consequências negativas ou
danos que podem alterar a atividade principal da empresa.
32
TABELA 4 - Critério da função
Escala Pontuação
Muito gravemente 05
Gravemente 04
Medianamente 03
Levemente 02
Muito levemente 01
Fonte: BRASILIANO (2005)
2º critério: Da substituição - “S”
Este critério, especificado na TABELA 5, avalia qual o impacto da concretização da
ameaça sobre os bens, ou seja, o quanto os bens atingidos podem ser substituídos.
TABELA 5 - Critério da substituição
Escala Pontuação
Muito dificilmente 05
Dificilmente 04
Sem muitas dificuldades 03
Facilmente 02
Muito facilmente 01
Fonte: BRASILIANO (2005)
3º critério: Da profundidade - “P”
Uma vez materializado o risco, esse critério, especificado na TABELA 6, mede a
perturbação e os efeitos psicológicos que o risco poderá causar para a imagem da empresa.
TABELA 6 - Critério da profundidade
Escala Pontuação
Perturbações muito graves 05
Graves 04
Limitadas 03
Leves 02
Muito leves 01
Fonte: BRASILIANO (2005)
33
4º critério: Da extensão -”E”
Este critério, especificado na TABELA 7, mede o alcance e extensão que o dano
causa para a empresa.
TABELA 7 - Critério da extensão
Escala Pontuação
De caráter internacional 05
De caráter nacional 04
De caráter regional 03
De caráter local 02
De caráter individual 01
Fonte: BRASILIANO (2005)
5º critério: Da probabilidade - “Pb”
Este critério, especificado na TABELA 8, mede a possibilidade do dano ou risco vir a
acontecer, tendo em vista as características conjunturais e físicas da empresa, cidade e
estado onde ela se encontra.
TABELA 8 - Critério da probabilidade
Escala Pontuação
Muito alta 05
Alta 04
Normal 03
Baixa 02
Muito baixa 01
Fonte: BRASILIANO (2005)
6º critério: Do impacto financeiro - “If”
Tendo em vista o critério da agressão, o critério do impacto financeiro, especificado
na TABELA 9, mede quais serão as perdas causadas pela concretização do risco, no âmbito
financeiro.
34
TABELA 9 - Critério do impacto financeiro
Escala Pontuação
Muito alta 05
Alta 04
Normal 03
Baixa 02
Muito baixa 01
Fonte: BRASILIANO (2005)
Após a atribuição de valores para cada um dos critérios acima (F, S, P, E, Pb, If), é
iniciada a 3ª etapa, nomeada de evolução do risco, na qual é quantificado o risco analisado,
ou seja, é definido um valor ao risco, através da aplicação de fórmulas matemáticas
baseadas nos valores definidos na 2ª etapa. Estas fórmulas, para melhor compreensão, são
divididas, segundo BRASILIANO (2005), nos seguintes passos:
1º passo: Calcular a magnitude (M) do risco pela fórmula:
DIM ,
sendo I a importância do sucesso e D os danos causados.
Para chegar ao cálculo desta fórmula utilizam-se os critérios acima descritos, onde:
SFI ,
sendo F o indicador Função e S o indicador Substituição; e,
EPD ,
sendo P o indicador Profundidade e E o indicador Extensão.
Obs.: A importância de sucesso está interligada aos critérios da atividade fim da
empresa. Já o dano causado está ligado à imagem da empresa tanto para o mercado
externo como o mercado interno.
Assim, a magnitude de risco será:
)()( EPSFM
2º passo: Calcular a perda esperada (Pe) pela fórmula:
IfPbPe ,
sendo Pb o indicador de Probabilidade e If o indicador de Impacto Financeiro.
Com estes passos concluídos, os valores de M e Pe estarão definidos, bastando
apenas a evolução do risco (Er), que consiste na multiplicação de ambos, ficando da
seguinte maneira:
35
PeMEr
Uma formula geral, englobando todos os passos seria:
)()]()[( IfPbEPSFEr
Finalizada a obtenção do valor para o risco (Er), basta então definir qual a classe do
risco. Para tal, basta comparar o valor do Er obtido com a classe de risco, através da
TABELA 10.
TABELA 10 - Classificação do risco
Valor da evolução do risco (Er) Classe do risco
2 – 250 Muito baixo
251 – 500 Pequeno
501 – 750 Normal
751 – 1000 Grande
1001 - 1250 Elevado
Fonte: BRASILIANO (2005)
Este método permite uma avaliação de cada risco detectado na organização,
colaborando para a tomada de atitude do gestor de riscos. Assim, baseada na classe de
risco obtida, a organização pode priorizar as medidas defensivas a serem adotadas com
mais urgência.
SÊMOLA (2003) afirma que as barreiras de segurança, apresentadas
resumidamente na FIGURA 2, têm uma participação importante no objetivo de reduzir os
riscos, e por isso, devem ser dimensionadas adequadamente para proporcionar a mais
perfeita interação e integração, como se fossem peças de um único quebra-cabeça. Para tal
ele divide este modelo em seis barreiras:
36
Fonte: SÊMOLA (2003)
FIGURA 2 - Diagrama representativo das barreiras de segurança
Desencorajar, que cumpre o papel importante de desencorajar as ameaças,
as quais podem ser desmotivadas ou podem perder o interesse e o estímulo
pela tentativa de quebra de segurança por efeito de mecanismos físicos,
tecnológicos ou humanos. A simples presença de uma câmera de vídeo,
mesmo falsa, de um aviso de existência de alarmes, campanhas de
divulgação da política de segurança ou treinamento dos funcionários
informando as práticas de auditoria e monitoramento de acesso aos sistemas,
já são efetivos nesta fase.
Dificultar, cujo papel é complementar à barreira anterior através da adoção
efetiva dos controles que irão dificultar o acesso indevido. Por exemplo, os
dispositivos de autenticação para acesso físico, como roletas, detectores de
metal e alarmes, ou lógicos, como leitores de cartão magnético, senhas,
smartcards e certificados digitais, além da criptografia, firewall etc.
Discriminar, onde o importante é se cercar de recursos que permitam
identificar e ferir os acessos, definindo perfis e autorizando permissões. Os
sistemas são largamente empregados para monitorar e estabelecer limites de
acesso aos serviços de telefonia, perímetros físicos, aplicações de
computador e banco de dados. Os processos de avaliação e gestão do
volume de uso dos recursos, como e-mail, impressora, ou até mesmo o fluxo
de acesso físico aos ambientes, são bons exemplos das atividades desta
barreira.
Detectar, que está munida com a solução de segurança de dispositivos que
sinalizem, alertem e instrumentem gestores de segurança na detecção de
37
situações de risco. Por exemplo, sistemas de monitoramento e auditoria para
auxiliar na identificação de atitudes de exposição, como o antivírus e o
sistema de detecção de intrusos, que reduzem o tempo de resposta a
incidentes.
Deter, que representa o objetivo de impedir que a ameaça atinja os ativos que
suportam o negócio. O acionamento desta barreira, ativando seus
mecanismos de controle, é um sinal de que as barreiras anteriores não foram
suficientes para conter a ação da ameaça. Neste momento, medidas de
detenção, como ações administrativas, punitivas e bloqueio de acessos
físicos ou lógicos, respectivamente a ambientes e sistemas, são bons
exemplos.
Diagnosticar, que apesar de representar a ultima barreira no diagrama, tem
um sentido especial de representar a continuidade do processo de gestão de
segurança da informação. Pode parecer o fim, mas é o elo com a primeira
barreira, criando um movimento cíclico e contínuo. Devido a estes fatores
esta barreira é a de maior importância. Deve ser conduzida por atividades de
análise de riscos que considerem tanto os aspectos tecnológicos quanto os
físicos e humanos, sempre orientados às características e às necessidades
específicas dos processos de negócio da empresa.
Assim, enquanto a análise e classificação dos riscos auxiliam a empresa na tomada
de decisões defensivas, as implantações de barreiras evitam ou restringem a possibilidade
do surgimento e ocorrência destes riscos, acarretando assim em um ótimo sistema de
gerenciamento e tratamento de riscos.
Além destas medidas de defesa, a eficácia da engenharia social é fortemente
mitigada quando os funcionários estão conscientizados das ameaças, regrados pelas
políticas de segurança e recebendo continuadamente treinamentos e lembretes.
Diversos autores citam diversas maneiras para conscientização e treinamento dos
funcionários, sendo todas voltadas sempre ao objetivo principal, que é que o funcionário
esteja educado em segurança e que esteja sempre alerta. Para isso é necessário que este
esteja sempre sendo relembrado das ameaças.
SÊMOLA (2003) nos diz algumas maneiras de se treinar e conscientizar seus
funcionários em segurança:
Seminários, voltados a compartilhar a percepção dos riscos associados às
atividades da empresa, os impactos potenciais no negócio e, principalmente,
o comprometimento dos processos críticos se alguma ameaça se concretizar.
Sendo que desta maneira cada funcionário passa a se enxergar como uma
38
engrenagem da máquina e corresponsável para seu funcionamento, podendo
gerar impactos diretos ao seu processo e indiretos a processos adjacentes.
Campanha de divulgação, que apresenta uma política de segurança
atualizada e alinhada as necessidades e estratégias do negócio são de
extrema importância, os funcionários têm que a reconhecer como o manual
de segurança da empresa. Para tal divulgação pode-se utilizar de diversos
meios, tais como cartazes, jogos, peças promocionais, protetores de tela, e-
mails, informativos, e-mails alerta, comunicados internos, páginas
especializadas na intranet, etc.
Carta do presidente, cujo objetivo é demonstrar ao funcionário que o
presidente, diretor executivo (CEO) ou diretor de informática (CIO) está
esperando por sua colaboração, além de estarem também realizando suas
partes, promovendo assim, um caráter formal ao movimento. Sendo que,
muitas vezes, este simples documento gera muitos apoios espontâneos e
fortalecem o plano estratégico de segurança da informação.
Termo de responsabilidade e confidencialidade, que tem o propósito de
formalizar o compromisso e o entendimento do funcionário diante de suas
novas responsabilidades relacionadas à proteção das informações que
manipula, além de divulgar as punições cabíveis por desvios de conduta.
Cursos de capacitação e certificação, caso alguns dos funcionários
necessitem de um maior domínio dos conceitos, métodos e técnicas de
segurança. Um bom exemplo para este tipo de necessidade é o administrador
de redes que deve estar preparado para reagir às tentativas de ataque e
invasão. Nestes casos não basta seminários, campanhas, cartas, lembretes,
e sim uma capacitação formal através de cursos especializados, que propõe
uma certificação como instrumento de reconhecimento da competência.
MITNICK & SIMON (2003) listam algumas possibilidades que um programa de
conscientização pode incluir:
A inclusão de itens informativos nas circulares da empresa, por exemplo,
artigos, lembretes (de preferência itens curtos que chamem a atenção) ou
quadrinhos.
A colocação de uma foto do Empregado da Segurança do Mês.
Pôsteres afixados nas áreas dos empregados.
Notas publicadas no quadro de avisos.
O fornecimento de lembretes impressos nos envelopes de pagamento.
O envio de lembretes por correio eletrônico.
39
O uso de proteções de tela relacionadas com segurança.
A transmissão de anúncios sobre a segurança por meio do sistema de voice
mail.
A impressão de etiquetas para o telefone com mensagens tais como “A
pessoa que está ligando é quem ela diz ser?”.
A configuração de mensagens de lembrete que aparecem quando o
computador é ligado, tais como “Criptografe as informações confidenciais
antes de enviá-las”.
A inclusão da conscientização para a segurança como um item-padrão nos
relatórios de desempenho dos empregados e nas análises anuais.
A publicação na intranet de lembretes de conscientização para a segurança,
talvez usando quadrinhos ou humor, ou alguma outra maneira que incentive
as pessoas a lerem.
O uso de um quadro eletrônico de mensagens na lanchonete, com um
lembrete de segurança que seja trocado frequentemente.
A distribuição de folhetos ou brochuras.
É importante ser ressaltado que o treinamento é um elemento indispensável para
evitar que práticas de engenharia social sejam efetivas nas empresas. Sendo que o ideal é
que treinamentos sejam ministrados já na contratação de funcionários e reforçados
periodicamente. Além disso, os treinamentos podem ser organizados de acordo com as
funções dos funcionários da empresa, uma vez que o contato com pessoas e o acesso a
informações sensíveis são diferentes entre as diversas funções na organização (BARBOSA,
2011).
As políticas de segurança são instruções claras que fornecem as orientações de
comportamento do empregado para guardar as informações, e são um elemento
fundamental no desenvolvimento de controles efetivos para contra-atacar as possíveis
ameaças à segurança. Uma ressalva deve ser feita que, apesar destas políticas não
evitarem todos os ataques de engenharia social, elas estão entre as mais significativas
(MITNICK & SIMON, 2003).
Segundo a ABNT NBR ISO/IEC 27002:2005 o documento da política de segurança
da informação deve declarar o comprometimento da direção e estabelecer o enfoque da
organização para gerenciar a segurança da informação, contendo os seguintes parâmetros:
Uma definição de segurança da informação, suas metas globais, escopo e
importância da segurança da informação como um mecanismo que habilita o
compartilhamento da informação.
40
Uma declaração do comprometimento da direção, apoiando as metas e princípios da
segurança da informação, alinhada com os objetivos e estratégias do negócio.
Uma estrutura para estabelecer os objetivos e os controles, incluindo a estrutura de
análise/avaliação e gerenciamento de risco.
Breve explanação das políticas, princípios, normas e requisitos de conformidade de
segurança da informação específicos para a organização, incluindo conformidade
com a legislação e com requisitos regulamentares e contratuais, requisitos de
conscientização, treinamento e educação em segurança da informação, gestão da
continuidade do negócio, e as consequências das violações na política de segurança
da informação.
Definição das responsabilidades gerais e específicas na gestão da segurança da
informação, incluindo o registro dos incidentes de segurança da informação.
Referências à documentação que possam apoiar a política, por exemplo, políticas e
procedimentos de segurança mais detalhados de sistemas de informação
específicos ou regras de segurança que os usuários devem seguir.
Embora a conscientização, treinamento e políticas de segurança sejam as principais
formas de se mitigar ataques de engenharia social, MANN (2001) afirma que não se pode
pensar somente nestes termos, porque a utilização de sistemas de proteção pode ser mais
eficaz na construção de camadas de proteção que resistem a agressores mais capacitados.
Neste contexto SÊMOLA (2003) afirma que, se pensarmos no peopleware, ou seja,
no capital humano como um dos elos mais críticos e relevantes para a redução de riscos,
teremos os seguintes controles:
Crachás de identificação
Procedimentos específicos para a demissão e admissão de funcionários
Procedimentos específicos para o tratamento de recursos terceirizados
Software de auditoria de acessos
Software de monitoramento e filtragem de conteúdo
SÊMOLA (2003) reforça e afirma que, embora os controles humanos interfiram,
direta ou indiretamente, no ambiente físico, este deve receber uma implementação
específica de mecanismos voltados a controlar o acesso e as condições de ambientes
físicos, sinalizando, registrando, impedindo e autorizando acessos e estados, tais como:
Roletas de controle de acesso físico;
Climatizadores de ambiente;
Detectores de fumaça;
Acionadores de água para combate a incêndio;
Extintores de incêndio;
41
Salas-cofre;
Dispositivos de biometria;
Smartcards;
Certificados digitais em Token;
Circuitos internos de televisão;
Alarmes e sirenes;
Dispositivos de proteção física dos equipamentos;
No-breaks;
Dispositivos de armazenamento de mídia magnética;
Fragmentadores de papel;
Para uma empresa estar com um bom nível de segurança e riscos, esta deve estar
preparada em três áreas: lógica, física e humana. Embora sejam citados alguns exemplos
de barreiras físicas a serem implementadas, esta monografia não engloba os métodos de
defesa e ataque utilizados nas áreas lógica e física, embora estas muitas vezes se
relacionem diretamente com a área humana, e sejam diversas vezes utilizadas pelos
engenheiros sociais.
Para gerenciar tal segurança é ideal que exista, no mínimo, um responsável
exclusivo por ela na empresa. O que acontece, na maioria das empresas, é que o
funcionário responsável por segurança, não tem apenas esta função, e assim não consegue
dar a devida atenção aos métodos e princípios de segurança.
Este profissional, comumente chamado de Security Officer, segundo SÊMOLA
(2003), deve atuar como eixo central da função de coordenação geral do comitê de
segurança da informação e estar estritamente verticalizado às funções associadas, sem
compartilhar foco, além de ter uma visão completa e horizontal da segurança da informação
a partir de conceitos sólidos e possuir ricos fundamentos de gestão de projetos,
coordenação de equipes e liderança. Assim, ele tem de ser verdadeiramente um executivo,
em toda a amplitude da palavra, alimentando com sabedoria os relacionamentos
interpessoais, sempre em busca da conquista de comprometimento.
Os engenheiros sociais são, em sua maioria, pessoas versadas em manipulação
psicológica e, portanto, são difíceis de serem detectados. Porém, mesmo sabendo mentir e
manipular muito bem, e possuindo muitas informações a respeito do alvo, eles ainda podem
ser surpreendidos.
Uma boa técnica de identificar um ataque de um engenheiro social é conhecendo
seus métodos de ataque. A partir do momento em que se conhece como um engenheiro
social atua e de que métodos e ferramentas ele utiliza, fica mais fácil detectá-lo.
42
Além disso, MITNICK & SIMON (2003) apresentam algumas situações básicas que
devem alertar para a possibilidade de um ataque, tais como:
Recusa em dar um número de retorno
Solicitação fora do comum
Alegação de autoridade
Ênfase na urgência
Ameaça de conseqüências negativas em caso de não atendimento
Mostra desconforto quando questionado
Cumprimentos ou lisonja
Flerte
Deste modo, um ataque de engenharia social pode ser, na maioria das vezes,
detectado ou ao menos barrado, desde que o funcionário que sofre o ataque esteja treinado,
conscientizado e atento às formas de ataque do engenheiro social, além de saber como
reagir a este ataque, como, por exemplo, repassando o atacante ao departamento de
segurança da organização e, para concluir estando amparado por sistemas de segurança.
O teste de invasão tem um papel importante e complementar dentro do mapeamento
dos riscos da empresa. Seu objetivo, diferente da análise de riscos, não é mapear todas as
ameaças, vulnerabilidades e impactos, mas avaliar o grau de segurança oferecido pelos
controles de segurança de determinado perímetro. Para isso, simula tentativas de acesso
indevido e invasão a partir de pontos distintos, e adota diferentes métodos e técnicas, porém
com um objetivo bem definido. É premissa para garantir a qualidade da atividade, definir
claramente o perímetro que se quer testar, a ação de que tipo de ameaça se quer avaliar a
proteção e, ainda, o tempo de validade do teste (SÊMOLA, 2003).
MITNICK & SIMON (2003) afirmam que as empresas que realizam testes de
penetração de segurança relatam que suas tentativas de invadir os sistemas de
computadores de uma empresa cliente com métodos de engenharia social têm um índice de
sucesso de quase cem por centro.
Existem quatro formatos para o teste de invasão, sendo que os dois primeiros se
relacionam com os dois últimos (SÊMOLA, 2003):
Interno, que é o ponto de presença do analista para a execução do teste. Este
modelo tem se mostrado muito eficiente devido aos altos índices de tentativa
de ataque e invasão realizados por funcionários e recursos terceirizados, o
que torna o modelo muito próximo da realidade.
Externo, como o ponto de presença do analista para execução do teste. Este
modelo tem eficiência comprovada para situações que visem simular acessos
43
externos ao ambiente corporativo, como em acessos remotos, responsáveis
por fatia representativa dos ataques e invasões.
Cego, que define a ausência de acesso a informações privilegiadas sobre a
estrutura física, tecnológica e humana, a fim de subsidiar o analista na
execução do teste. Este modelo não tem demonstrado grande eficiência
devido aos baixos índices de tentativas de ataques e invasões sem qualquer
informação do alvo. Mesmo que este seja o status inicial de um invasor, na
prática o mesmo tende a realizar uma coleta prévia de informações, adotando
técnicas de engenharia social, análise de lixo, grampo telefônico, grampo
eletrônico etc., a fim de aumentar as chances do ataque.
Não cego, que define a presença de acesso a informações privilegiadas sobre
a estrutura física, tecnológica e humana, a fim de subsidiar o analista na
execução do teste. Este modelo demonstra eficiência pela similaridade com
situações reais de ataque. E é ainda reforçado pela grande incidência de
ataques internos, portanto, executados por pessoas que já dispõe de
conhecimento e, muitas vezes, acesso privilegiado a informações e
ambientes.
Sendo assim os testes de invasão, em sua maioria, são aplicados de maneira interna
e não cega ou externa e não cega, pois condizem com a realidade dos ataques, sendo
raramente utilizados os formatos externo cego ou interno cego.
3 METODOLOGIA
Este estudo de caso visa descrever procedimentos a serem seguidos para uma
implantação de processos de segurança humana em um ambiente corporativo, a partir da
situação atual da mesma, possibilitando assim ao efetuador, mitigar os riscos de invasão via
ataques de engenharia social.
44
3.1 A Empresa
A SETTI, objeto desta documentação, é uma empresa fundada em sua totalidade
com capital nacional e que atua no mercado de telecomunicações, networking e acesso
para rede de dados.
A corporação conta com vinte e cinco funcionários, e não conta com nenhum método
de defesa contra engenharia social. Os riscos não estavam sendo avaliados e os
funcionários não estavam tampouco sendo orientados.
Ainda, não há um responsável definido pelos incidentes de segurança, o que faz com
que ninguém seja orientado e nem tenha a quem recorrer. Não há classificação da
informação e nem políticas de segurança.
Ninguém nunca foi orientado em nenhum momento a respeito de quais são os
métodos de ataque utilizados pelos engenheiros sociais e nem do que é engenharia social.
A empresa conta com boa proteção contra invasão lógica, proteção ineficiente contra
invasão física e inexistente proteção contra invasão humana, sendo que a inexistência de
segurança humana deixa a empresa completamente vulnerável.
3.2 Análise da Situação Atual da Empresa
Considerando o cenário atual da SETTI e tendo como objetivo a mitigação dos riscos
associados à engenharia social, foi definido, primeiramente, detectar em que áreas da
segurança humana a necessidade é mais urgente. Para tal, foi desenvolvido um
questionário com 20 perguntas objetivas, que foi respondido por dezessete pessoas, de
todas as áreas da organização. O questionário foi disponibilizado na intranet da
organização, a linguagem utilizada foi HTML/PHP e as respostas foram armazenadas em
um banco de dados Microsoft SQL Server, sendo que os códigos das páginas web estão
disponíveis no ANEXO 1 e ANEXO 2.
O questionário é dividido em duas partes. Na primeira existem cinco perguntas
pessoais, a saber:
Primeira pergunta: “Qual a sua idade?”.
Segunda pergunta: “Qual o seu sexo?”.
Terceira pergunta: “Há quanto tempo você trabalha nesta empresa?”.
Quarta pergunta: “Qual a sua formação profissional?”.
45
Quinta pergunta: “Qual o seu setor?”.
Já na segunda parte deste questionário estão as perguntas objetivas, que visam
compreender quais são as medidas básicas e mais urgentes a serem tomadas, sendo esta
parte composta por 15 perguntas:
Sexta pergunta: “Você costuma conversar com outras pessoas (não
funcionários) sobre assuntos da empresa?”.
Sétima pergunta: “Você tem acesso a informações confidenciais da empresa,
como contratos, projetos, custos etc?”.
Oitava pergunta: “Você utiliza senhas pessoais para acesso às informações
corporativas (como, por exemplo, utilizar senha do e-mail pessoal para
acessar o banco de dados da corporação)?”.
Nona pergunta: “Você utiliza a mesma senha para acessar diferentes
ambientes dentro da organização (como, por exemplo, a mesma senha para
acesso ao banco e para acesso à intranet)?”.
Décima pergunta: “Você conhece a senha de outras pessoas da corporação
(como, por exemplo, do seu superior ou de seu colega)?”.
Décima primeira pergunta: “Você já percebeu alguma tentativa de roubo de
informações, via telefone, por parte de alguém?”.
Décima segunda pergunta: “Você já percebeu alguma tentativa de roubo de
informações, via contato pessoal, por parte de alguém?”.
Décima terceira pergunta: “Você já percebeu alguma tentativa de roubo de
informações, via e-mail, por parte de alguém?”.
Décima quarta pergunta: “Você fornece informações confidenciais aos seus
colegas de serviço sem questionar o motivo do pedido?”.
Décima quinta pergunta: “Você, via telefone ou e-mail, tenta identificar, de
alguma maneira, se a pessoa com quem está falando é quem ela diz que é?”.
Décima sexta pergunta: “Você fornece informações confidenciais por e-mail
(independente de ele ser pessoal ou corporativo) desde que a pessoa com
quem você fala seja conhecida?”.
Décima sétima pergunta: “Você já foi orientado, nesta organização, a respeito
dos perigos da engenharia social, como ela trabalha e como mitigá-la?”.
Décima oitava pergunta: “Você realiza download de atualizações dos
sistemas utilizados pela empresa (como, por exemplo, ERP)?”.
Décima nona pergunta: “Você oferece ou ofereceria informações não
confidenciais (como endereço da empresa, nome do diretor, fornecedores,
etc) para alguém que não conhece?”.
46
Vigésima pergunta: “Você abre anexos em quais tipos de situações (marque
uma ou mais)?”.
3.3 Proposta de Implantação de Medidas de Segurança
FIGURA 3 – Metodologia
Conforme indicado na FIGURA 3, após a realização da avaliação inicial da empresa,
é importante que as devidas medidas de segurança sejam propostas.
É ideal a realização de um treinamento, abordando primeiramente a definição do que
é engenharia social, de como agem os engenheiros sociais, e de quais riscos e perdas que
uma invasão pode acarretar à empresa. Além de também abordar todos os assuntos
pendentes e urgentes diretamente detectados pelas perguntas efetuadas no questionário.
47
Também se faz necessário a elaboração e implantação de uma política de segurança
na organização, elaborada de acordo com as melhores práticas da norma ABNT NBR
ISO/IEC 27002:2005 e posteriormente, sendo divulgada a todos os funcionários.
Após isto é ideal uma constante preocupação em manter os funcionários atentos em
relação à segurança, através de comunicados de segurança, lembretes, etc.
É necessária também a delegação da responsabilidade da segurança a um
funcionário da empresa, de modo que os funcionários tenham a quem recorrer e o diretor
tenha a quem responsabilizar, além do fato deste funcionário estar ativamente procurando
evitar e impedir invasões, e também analisando a situação da segurança da empresa
através de métodos de análise de riscos.
É também de extrema importância a implantação de sistemas de segurança que
auxiliem na prevenção contra invasões, evitando assim que a proteção da informação seja
realizada totalmente pelos funcionários.
E por fim, é ideal a contratação de uma empresa que realize testes de segurança
para que esta possa avaliar a situação da empresa, após as propostas acima já
implantadas, e detectar possíveis riscos ainda não classificados e assim melhorar ainda
mais, a segurança física, lógica e humana da empresa.
4 RESULTADOS E DISCUSSÃO
As respostas obtidas da primeira parte do questionário mostraram que os
funcionários são, em sua maioria, do sexo masculino, com idade entre vinte e trinta anos e
com ensino técnico ou superior completo.
Já as respostas da segunda parte auxiliaram na detecção de quais as principais
medidas de segurança a serem tomadas para que a organização atinja um nível satisfatório
de segurança humana.
As respostas para a sexta pergunta tiveram os percentuais de 35,29% para sim e
64,71% para não.
Este resultado mostrou que boa parte dos funcionários conversa com outras pessoas
sobre assuntos relacionados à empresa, indicando assim que é necessário trabalhar esta
questão no treinamento, alertando que muitos engenheiros sociais conseguem acesso
utilizando-se de informações que receberam em simples conversas fora do ambiente
corporativo.
48
As respostas para a sétima pergunta tiveram os percentuais de 70,59% para sim e
29,41% para não.
Este resultado mostrou que a maioria dos funcionários tem acesso às informações
confidenciais da empresa, evidenciando assim que os engenheiros sociais estão livres para
atacar o ambiente corporativo, visto que não há sequer orientação a respeito dos riscos da
engenharia social. Isto indicou que é necessário orientar a equipe de TI a classificar as
informações e limitar o acesso dos funcionários somente aos documentos necessários para
que realizassem seu trabalho.
As respostas para a oitava pergunta tiveram os percentuais de 23,53% para sim e
76,47% para não.
Este resultado mostrou que apenas uma pequena parte dos funcionários utilizam
senhas pessoais para acesso às informações corporativas, porém ainda assim é importante
orientar, via treinamento, os funcionários a não utilizarem senhas pessoas na organização,
pois senhas pessoais podem ser capturadas de diversas maneiras e normalmente são
utilizadas em diversos sites ou até mesmo compartilhadas com familiares.
As respostas para a nona pergunta tiveram os percentuais de 64,71% para sim e
35,29% para não.
Este resultado mostrou que a maioria dos funcionários utiliza a mesma senha para
acesso a diferentes ambientes dentro da organização, indicando assim que é necessário
orientar a equipe de TI a não permitir que os funcionários utilizem senhas repetidas para
determinadas aplicações. A senha utilizada para acessar o computador não pode ser a
mesma para acessar o banco de dados, por exemplo, porque muitas vezes a senha do
computador é muito fácil de ser adquirida.
As respostas para a décima pergunta tiveram os percentuais de 58,82% para sim e
41,18% para não.
Este resultado mostrou que a maioria dos funcionários compartilham suas senhas,
evidenciando assim que é necessário proibir, com raras exceções, os funcionários de
compartilharem suas senhas, pois tal ato acarreta em uma falta de controle por parte da
organização e um grande risco. Somado ao fato de que a maioria dos funcionários utilizam
uma senha para vários ambientes dentro da empresa (como visto na nona pergunta) o risco
aumenta ainda mais, deixando a empresa totalmente vulnerável.
As respostas para a décima primeira pergunta tiveram os percentuais de 0% para
sim e 100% para não.
Este resultado mostrou que nenhum funcionário nunca percebeu alguma tentativa de
roubo de informações via telefone. Isto é normal, pois, quando um ataque por telefone
acontece, raramente ele é percebido. E isto indicou a necessidade de treinamento dos
49
funcionários a respeito de como lidar com ligações telefônicas e solicitações de informações
por parte de não funcionários.
As respostas para a décima segunda pergunta tiveram os percentuais de 0% para
sim e 100% para não.
Este resultado mostrou que nenhum funcionário percebeu alguma tentativa de roubo
de informações via contato pessoal. Isto é normal, pois, ataques pessoais são mais
arriscados e, portanto mais raros. Porém muitos destes funcionários informaram na sexta
pergunta que conversam com não funcionários sobre assuntos relacionados à empresa,
podendo assim, terem sido vítimas e nem notado.
As respostas para a décima terceira pergunta tiveram os percentuais de 47,06% para
sim e 52,94% para não.
Este resultado mostrou que a maioria dos funcionários não perceberam alguma
tentativa de roubo de informações via e-mail. Isto foi inesperado, pois, o esperado era que
todos os funcionários percebessem ataques via e-mail, visto que ataques via e-mail são
muito comuns. Isto indica que muitos funcionários não sabem que recebem e-mails com
objetivos maldosos e isto evidencia a vulnerabilidade dos funcionários e a necessidade de
abordagem com ênfase deste assunto no treinamento, auxiliando os funcionários a
identificarem e-mails falsos.
As respostas para a décima quarta pergunta tiveram os percentuais de 23,53% para
sim e 76,47% para não.
Este resultado mostrou que boa parte dos funcionários não fornecem informações
confidenciais a seus colegas de serviço sem questionamento. Este foi um bom resultado,
afinal, enviar informações sem questionamento, mesmo para colegas de serviço, é algo
perigoso, pois, muitos dos casos de ataques de engenharia social partem de funcionários da
própria organização.
As respostas para a décima quinta pergunta tiveram os percentuais de 41,18% para
sim e 58,82% para não.
Este resultado mostrou que a maioria dos funcionários não verifica se a pessoa que
está ao telefone é quem diz ser, e isto explica o porquê da resposta da décima primeira
pergunta. Isto é muito ruim, pois isto significa que qualquer engenheiro social pode, sem
sequer um questionamento, conseguir informações confidenciais da empresa. Isto indica
que é necessária uma boa ênfase a respeito deste assunto no treinamento.
As respostas para a décima sexta pergunta tiveram os percentuais de 58,82% para
sim e 41,18% para não.
Este resultado mostrou que a maioria dos funcionários fornecem informações
confidenciais para pessoas aparentemente conhecidas, até mesmo por e-mail pessoal. Isto
50
é ruim, pois um engenheiro social pode facilmente se passar por alguém conhecido. E isto
indicou que é de alta necessidade a abordagem deste assunto no treinamento,
principalmente orientando os funcionários a respeito de quão fácil é para um engenheiro
social, através de e-mails não corporativos, conseguir informações confidenciais.
As respostas para a décima sétima pergunta tiveram os percentuais de 0% para sim
e 100% para não.
Este resultado mostrou que todos os funcionários nunca foram orientados na
organização a respeito dos perigos de engenharia social. Este resultado era esperado,
porém com os treinamentos adequados é possível, a primeiro instancia, resolver este
problema.
As respostas para a décima oitava pergunta tiveram os percentuais de 58,82% para
sim e 41,18% para não.
Este resultado mostrou que a maioria dos funcionários realiza downloads de
atualizações dos sistemas utilizados pela corporação, indicando assim que a equipe de TI
deve ser orientada a limitar a realização de download de atualizações apenas a um grupo de
técnicos e que estes sejam orientados em como proceder, pois engenheiros sociais
normalmente utilizam-se de tais falhas de segurança para fazer com que funcionários
baixem arquivos hostis em seus sistemas, abrindo caminho para invasões lógicas.
As respostas para a décima nona pergunta tiveram os percentuais de 35,29% para
sim e 64,71% para não.
Este resultado mostrou que a maioria dos funcionários não oferecem informações
para pessoas que não conhecem, mesmo estas informações não sendo confidenciais. Este
resultado foi bom, pois informações não confidenciais unidas podem dar ao engenheiro
social um amparo para que ele possa se passar por algum funcionário, demonstrando que
conhece o ambiente de trabalho, a linguagem corporativa, etc.
As respostas para a vigésima pergunta, na qual podia ser escolhida mais de uma
resposta, tiveram os percentuais de 100% para e-mails organizacionais, 64,71% para e-
mails pessoais e 11,76% para e-mails não identificados.
Este resultado mostrou que anexos organizacionais, de clientes e de fornecedores
são abertos por todos os funcionários, anexos pessoais pela maioria deles, e anexos não
identificados pela minoria deles. Este resultado mostrou que uma orientação de como
identificar e-mails falsos deve ser aplicada, por meio de treinamento, aos funcionários. Abrir
anexos de e-mails pessoais é perigoso, afinal, é comum o recebimento de e-mails pessoais
com vírus, devido ao fato do contato pessoal poder ter sido infectado e ter seu e-mail
invadido como um meio de ataque à corporação. Já o fato de todos os funcionários abrirem
e-mails corporativos indicou algo normal, mas evidenciou que deve haver uma orientação
51
maior, pois se o fornecedor ou o cliente é invadido, o hacker pode facilmente atacar a
corporação.
Além de um treinamento que abranja todos os fatores acima identificados, também é
necessário a elaboração e implantação de políticas de segurança que englobem a
classificação de dados, divulgação das informações, gerenciamento de senhas, uso de e-
mail e telefone, solicitações de acesso remoto, downloads, além das características
necessárias das políticas de segurança já informadas no item 2.1.2.5 desta monografia.
Após pelo menos um treinamento ser realizado e a política de segurança ser
desenvolvida, é aconselhável que a organização se empenhe em deixar os funcionários
sempre atentos e conscientizados, por meio de comunicados de segurança via e-mail e
intranet, além de lembretes, de forma que chamem a atenção do funcionário à segurança.
A contratação de um funcionário específico para a segurança, chamado de Security
Officer, é ideal. Porém devido à empresa contar com poucos funcionários e com um capital
para contratação pequeno, pode-se delegar esta função a um funcionário já contratado. Esta
responsabilidade, concentrada em uma só pessoa, irá auxiliar aos funcionários, de modo
que estes saberão a quem recorrer em casos de suspeitas de ataque.
Além disto, é necessário que a empresa conte com um método de avaliação de
riscos, de modo que possa identificar quais são os riscos mais urgentes no momento,
podendo assim mitigá-los. Esta avaliação pode ser realizada pelo responsável por
segurança que será definido, conforme já proposto.
Para a atual organização é aconselhável também o uso de crachás de identificação,
procedimentos específicos para a demissão e admissão de funcionários, softwares de
monitoramento e filtragem de conteúdo e fragmentadores de papel. Para a obtenção de uma
fragmentadora de papel, o valor do investimento, avaliado no dia 18/10/2012, é de R$ 98,00.
Já os crachás e os procedimentos para demissão e admissão de funcionários podem ser
realizados pela própria empresa com um custo ínfimo, enquanto os softwares de
monitoramento podem ser adquiridos na internet gratuitamente.
Por fim, após todas estas medidas serem implantadas, é essencial a contratação de
uma empresa responsável por testar a segurança da organização. Por meio de testes de
invasão esta empresa irá avaliar o nível de segurança e sugerir mais melhoramentos a
serem realizados. Para tal o orçamento obtido no dia 23/10/2012 é de 9900,00 reais.
Estas medidas de segurança humana em conjunto irão contribuir para que a
organização estudada esteja mais preparada para possíveis invasões por parte de
engenheiros sociais. É importante ressaltar que as medidas acima propostas, exceto a
contratação de uma empresa para testes de invasão, dizem respeito apenas à segurança
humana e têm um caráter inicial e específico para a organização.
52
Embora esta proposta possa ser utilizada para outras organizações é aconselhável
uma avaliação individual, pois há diferentes pontos fracos e fortes em cada organização,
além de diferentes objetivos.
53
5 CONCLUSÕES
O desenvolvimento desta monografia demonstrou que a necessidade de foco em
segurança humana nas organizações é uma realidade urgente. As empresas simplesmente
se esquecem de que o ser humano é o elo mais fraco e mais vulnerável e, deste modo,
ficam vulneráveis. Sendo assim, foi possível compreender que, ainda que nunca se possa
chegar a um nível de 100% de proteção, as organizações precisam sempre aprimorar, mas
sempre se lembrando de todos os tipos de segurança: humana, tecnológica e física.
Durante a realização do trabalho foi possível aprimorar a compreensão da causa e
dos efeitos de muitos dos problemas concernentes à ataques e invasões sofridas pelas
organizações e os meios e métodos utilizados pelos atacantes. O trabalho contribuiu
também no aprendizado dos métodos de defesa que uma organização pode adotar para que
os ataques de engenharia social possam ser evitados.
Com a melhor compreensão adquirida, foi possível analisar melhor a empresa SETTI
e assim desenvolver um questionário de avaliação dos funcionários em segurança humana,
e propor medidas urgentes tais como treinamentos, políticas de segurança, delegação de
cargo à um funcionário responsável, testes de segurança, entre outras medidas necessárias
para esta organização adquirir um nível satisfatório de segurança.
Estas propostas realizadas para a empresa SETTI contribuíram para o entendimento
prático da realidade de muitas empresas que, por falta de conhecimento ou simplesmente
descaso, não investem na proteção do seu mais valioso bem, que é a informação.
REFERÊNCIAS
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 27002:2005: Tecnologia da informação - Técnicas de segurança - Código de prática para a gestão da segurança da informação. Rio de Janeiro, 2005. 120 p.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 27001:2006: Tecnologia da informação - Técnicas de segurança – Sistema de gestão de segurança da informação. Rio de Janeiro, 2006. 34 p.
BARBOSA, Paulo. Evidência Digital Magazine. Ed 5. 2011. Disponível em: <http://www.guiatecnico.com.br/EvidenciaDigital/Downloads/Evidencia_Digital_05.zip>. Acesso em: 02 de abril de 2012.
BRASILIANO, Antonio Celso Ribeiro. Análise de Riscos. Revista Brasiliano, Ed 20, Out. 2005. Disponível em: <http://www.brasiliano.com.br/revistas/edicao_20.pdf?PHPSESSID=adfda77aeafbf51f2fc23ee792f2a844>. Acesso em: 15 de fevereiro de 2012.
LENNERT, Luiz Sérgio; OLIVEIRA, Marcos Altemari de. Engenharia Social: uma ameaça fraudulenta crescente. Revista Brasiliano, Ed 64, Mar. 2011. Disponível em: < http://www.brasiliano.com.br/revistas/edicao_64.pdf?PHPSESSID=adfda77aeafbf51f2fc23ee792f2a844>. Acesso em: 02 de fevereiro de 2012.
MANN, Ian. Engenharia Social: Série prevenção contra fraudes. São Paulo: Blucher, 2011.
MITNICK, Kevin D.; SIMON, William L. A arte de enganar: ataques de hackers: controlando o fator humano na segurança da informação. São Paulo: Person Education, 2003. OLIVEIRA, Sebastião Sidnei Vasco de; SOUZA, Hamilton Edson Lopes de. Segurança de informações: Ameaças virtuais. Revista Eletrônica Latu Sensu, Paraná, Jul. 2007. Disponível em: <http://web03.unicentro.br/especializacao/Revista_Pos/P%C3%A1ginas/2%20Edi%C3%A7%C3%A3o/Aplicadas/PDF/27-Ed2_CS-Seguran.pdf>. Acesso em: 05 de março de 2012.
PARODI, Lorenzo. Monitor de Fraudes: A engenharia social e seus usos fraudulentos. Mar. 2012. Disponível em: <http://www.fraudes.org/showpage1.asp?pg=7>. Acesso em: 09 de março de 2012.
PEIXOTO, Mário C. P. Engenharia Social e Segurança da Informação na Gestão Corporativa. Rio de Janeiro: Brasport, 2006.
SANTOS, Luciano Alves Lunguinho. O impacto da engenharia social na segurança da informação. Aracaju, 2004.
SÊMOLA, Marcos. Gestão da Segurança da Informação: uma visão executiva da segurança da informação. 9ª reimpressão. Rio de Janeiro: Elsevier, 2003.
SILVA, Pedro Tavares; CARVALHO, Hugo; TORRES, Catarina Botelho. Segurança dos sistemas de informação: Gestão estratégica da segurança empresarial. Lisboa: Centro Atlântico, 2003.
SOUZA, Hamilton Edson Lopes. Segurança e controle em sistemas de informação. In: CAIÇARA JÚNIOR, Cícero. Sistemas integrados de gestão – ERP: uma abordagem gerencial. Curitiba: Ibpex, 2006.
56
ANEXOS
Anexo 1 – Página do Questionário
<html>
<head>
<title>Pesquisa de Avaliação da Segurança Humana</title>
<style type="text/css">
TD { text-align: right; }
</style>
</head>
<script>
function desbloquear_6(valor){
if(valor.checked == true){ document.getElementById('tperg6').disabled = false;
}
else{ document.getElementById('tperg6').disabled = true; }
}
function bloquear_6(valor){
if(valor.checked == true){ document.getElementById('tperg6').disabled = true; }
}
function desbloquear_7(valor){
if(valor.checked == true){ document.getElementById('tperg7').disabled = false;
}
else{ document.getElementById('tperg7').disabled = true; }
}
function bloquear_7(valor){
if(valor.checked == true){ document.getElementById('tperg7').disabled = true; }
}
function desbloquear_10(valor){
57
if(valor.checked == true){ document.getElementById('tperg10').disabled =
false; }
else{ document.getElementById('tperg10').disabled = true; }
}
function bloquear_10(valor){
if(valor.checked == true){ document.getElementById('tperg10').disabled = true;
}
}
function desbloquear_11(valor){
if(valor.checked == true){ document.getElementById('tperg11').disabled =
false; }
else{ document.getElementById('tperg11').disabled = true; }
}
function bloquear_11(valor){
if(valor.checked == true){ document.getElementById('tperg11').disabled = true;
}
}
function desbloquear_12(valor){
if(valor.checked == true){ document.getElementById('tperg12').disabled =
false; }
else{ document.getElementById('tperg12').disabled = true; }
}
function bloquear_12(valor){
if(valor.checked == true){ document.getElementById('tperg12').disabled = true;
}
}
function desbloquear_13(valor){
if(valor.checked == true){ document.getElementById('tperg13').disabled =
false; }
else{ document.getElementById('tperg13').disabled = true; }
}
function bloquear_13(valor){
58
if(valor.checked == true){ document.getElementById('tperg13').disabled = true;
}
}
function desbloquear_17(valor){
if(valor.checked == true){ document.getElementById('tperg17').disabled =
false; }
else{ document.getElementById('tperg17').disabled = true; }
}
function bloquear_17(valor){
if(valor.checked == true){ document.getElementById('tperg17').disabled = true;
}
}
</script>
<style>
.botao{
font-size:10px;
font-family:Verdana,Helvetica;
font-weight:bold;
color:white;
background:#638cb5;
border:0px;
width:120px;
height:19px;
}
.textopreto15titulo{
font-family: Verdana, Arial, Helvetica, sans-serif;
font-size: 15px;
font-weight: bold;
color: #000000;
text-decoration: none;
text-align: center;
}
59
.tdform1 {
font-family: Verdana, Arial, Helvetica, sans-serif;
font-size: 12px;
font-weight: bold;
color: #000000;
text-decoration: none;
text-align: left;
background-color: #b5c7d9;
color: #003366;
}
.tdform2 {
font-family: Verdana, Arial, Helvetica, sans-serif;
font-size: 12px;
color: #000000;
text-decoration: none;
text-align: left;
background-color: #D3D3D3;
}
</style>
<body>
<br><br><br>
<table width="80%" height="50%" border="0" cellpadding="0" cellspacing="0"
align="center">
<tr>
<form name="form_pesquisa" action="pesquisa_action.php" method="post">
<td colspan="2" class="textopreto15titulo">
Pesquisa de Avaliação da Segurança Humana
</td>
60
<tr> <td height='20px' colspan="2"></td> <tr>
<td class="tdform2" colspan="2">
<b>Obs.:</b> O objetivo desta pesquisa é exclusivamente para
avaliar a atual segurança humana da empresa, com o propósito de aplicar medidas
corretivas baseadas nas respostas aqui apresentadas.
Nenhum dado oculto e nem mesmo sua identidade estão sendo
coletados.
</td>
<tr> <td height='20px' colspan="2"></td> <tr>
<td class="tdform1" width="60%">
1) Qual a sua idade?
</td>
<td class="tdform2">
<input type="radio" name="perg1" value="20-"> Menor que 20
anos
<br><input type="radio" name="perg1" value="21-25"> De 21-
25 anos
<br><input type="radio" name="perg1" value="26-30"> De 26-
30 anos
<br><input type="radio" name="perg1" value="31-35"> De 31-
35 anos
<br><input type="radio" name="perg1" value="35+"> Maior que
35 anos
</td>
<tr> <td height='10px' colspan="2"></td> <tr>
<td class="tdform1" width="60%">
2) Qual o seu sexo?
</td>
<td class="tdform2">
<input type="radio" name="perg2" value="M"> Masculino
<br><input type="radio" name="perg2" value="F"> Feminino
61
</td>
<tr> <td height='20px' colspan="2"></td> <tr>
<td class="tdform1" width="60%">
3) Há quanto tempo você trabalha nesta empresa?
</td>
<td class="tdform2">
<input type="radio" name="perg3" value="1-"> Menos que 1
ano
<br><input type="radio" name="perg3" value="1-2"> De 1-2
anos
<br><input type="radio" name="perg3" value="3-5"> De 3-5
anos
<br><input type="radio" name="perg3" value="5-8"> De 5-8
anos
<br><input type="radio" name="perg3" value="8+"> Mais que 8
anos
</td>
<tr> <td height='10px' colspan="2"></td> <tr>
<td class="tdform1" width="20%">
4) Qual a sua formação profissional?
</td>
<td class="tdform2">
<input type="radio" name="perg4" value="emi"> Ensino Médio
incompleto
<br><input type="radio" name="perg4" value="emc"> Ensino
Médio completo
<br><input type="radio" name="perg4" value="si"> Superior
incompleto
<br><input type="radio" name="perg4" value="sc"> Superior
completo
<br><input type="radio" name="perg4" value="et"> Ensino
Técnico completo
62
</td>
<tr> <td height='10px' colspan="2"></td> <tr>
<td class="tdform1" width="20%">
5) Qual o seu setor?
</td>
<td class="tdform2">
<input type="radio" name="perg5" value="hp"> HelpDesk e
Provedor
<br><input type="radio" name="perg5" value="ep"> Engenharia
e Projetos
<br><input type="radio" name="perg5" value="mn">
Manutenção
<br><input type="radio" name="perg5" value="rf"> RH e
Finanças
<br><input type="radio" name="perg5" value="mk"> Marketing
<br><input type="radio" name="perg5" value="ou"> Outros
</td>
<tr> <td height='10px' colspan="2"></td> <tr>
<td class="tdform1" width="20%">
6) Você costuma conversar com outras pessoas (não
funcionários) sobre assuntos da empresa?
</td>
<td class="tdform2">
<input type="radio" name="perg6" value="sim"
onclick="desbloquear_6(this);"> Sim
<input type="radio" name="perg6" value="nao"
onclick="bloquear_6(this);"> Não
<br><br> Se Sim, diga com que frequência:
<textarea id="tperg6" name="tperg6" cols="25" rows="3"
disabled="disabled"></textarea>
</td>
63
<tr> <td height='10px' colspan="2"></td> <tr>
<td class="tdform1" width="20%">
7) Você tem acesso a informações confidenciais da empresa,
como contratos, projetos, custos etc?
</td>
<td class="tdform2">
<input type="radio" name="perg7" value="sim"
onclick="desbloquear_7(this);"> Sim
<input type="radio" name="perg7" value="nao"
onclick="bloquear_7(this);"> Não
<br><br> Se Sim, diga com que frequência:
<textarea id="tperg7" name="tperg7" cols="25" rows="3"
disabled="disabled"></textarea>
</td>
<tr> <td height='10px' colspan="2"></td> <tr>
<td class="tdform1" width="20%">
8) Você utiliza senhas pessoais para acesso à informações
corporativas (como, por exemplo, utilizar senha do e-mail pessoal para acessar o banco de
dados da corporação)?
</td>
<td class="tdform2">
<input type="radio" name="perg8" value="sim"> Sim
<input type="radio" name="perg8" value="nao"> Não
</td>
<tr> <td height='10px' colspan="2"></td> <tr>
<td class="tdform1" width="20%">
9) Você utiliza a mesma senha para acessar diferentes
ambientes dentro da organização (como, por exemplo, a mesma senha para acesso ao
banco e para acesso à intranet)?
</td>
<td class="tdform2">
64
<input type="radio" name="perg9" value="sim"> Sim
<input type="radio" name="perg9" value="nao"> Não
</td>
<tr> <td height='10px' colspan="2"></td> <tr>
<td class="tdform1" width="20%">
10) Você conhece a senha de outras pessoas da corporação
(como, por exemplo, do seu superior ou de seu colega)?
</td>
<td class="tdform2">
<input type="radio" name="perg10" value="sim"
onclick="desbloquear_10(this);"> Sim
<input type="radio" name="perg10" value="nao"
onclick="bloquear_10(this);"> Não
<br><br> Se Sim, como você obteve esta senha:
<textarea id="tperg10" name="tperg10" cols="25" rows="3"
disabled="disabled"></textarea>
</td>
<tr> <td height='10px' colspan="2"></td> <tr>
<td class="tdform1" width="20%">
11) Você já percebeu alguma tentativa de roubo de
informações, via telefone, por parte de alguém?
</td>
<td class="tdform2">
<input type="radio" name="perg11" value="sim"
onclick="desbloquear_11(this);"> Sim
<input type="radio" name="perg11" value="nao"
onclick="bloquear_11(this);"> Não
<br><br> Se Sim, como aconteceu?
<textarea id="tperg11" name="tperg11" cols="25" rows="3"
disabled="disabled"></textarea>
</td>
65
<tr> <td height='10px' colspan="2"></td> <tr>
<td class="tdform1" width="20%">
12) Você já percebeu alguma tentativa de roubo de
informações, via contato pessoal, por parte de alguém?
</td>
<td class="tdform2">
<input type="radio" name="perg12" value="sim"
onclick="desbloquear_12(this);"> Sim
<input type="radio" name="perg12" value="nao"
onclick="bloquear_12(this);"> Não
<br><br> Se Sim, como aconteceu?
<textarea id="tperg12" name="tperg12" cols="25" rows="3"
disabled="disabled"></textarea>
</td>
<tr> <td height='10px' colspan="2"></td> <tr>
<td class="tdform1" width="20%">
13) Você já percebeu alguma tentativa de roubo de
informações, via e-mail, por parte de alguém?
</td>
<td class="tdform2">
<input type="radio" name="perg13" value="sim"
onclick="desbloquear_13(this);"> Sim
<input type="radio" name="perg13" value="nao"
onclick="bloquear_13(this);"> Não
<br><br> Se Sim, como aconteceu?
<textarea id="tperg13" name="tperg13" cols="25" rows="3"
disabled="disabled"></textarea>
</td>
<tr> <td height='10px' colspan="2"></td> <tr>
<td class="tdform1" width="20%">
66
14) Você fornece informações confidenciais aos seus colegas
de serviço sem questionar o motivo do pedido?
</td>
<td class="tdform2">
<input type="radio" name="perg14" value="sim"> Sim
<input type="radio" name="perg14" value="nao"> Não
</td>
<tr> <td height='10px' colspan="2"></td> <tr>
<td class="tdform1" width="20%">
15) Você, via telefone ou e-mail, tenta identificar, de alguma
maneira, se a pessoa com quem está falando é quem ela diz que é?
</td>
<td class="tdform2">
<input type="radio" name="perg15" value="sim"> Sim
<input type="radio" name="perg15" value="nao"> Não
</td>
<tr> <td height='10px' colspan="2"></td> <tr>
<td class="tdform1" width="20%">
16) Você fornece informações confidenciais por e-mail
(independente de ele ser pessoal ou corporativo) desde que a pessoa com quem você fala
seja conhecida?
</td>
<td class="tdform2">
<input type="radio" name="perg16" value="sim"> Sim
<input type="radio" name="perg16" value="nao"> Não
</td>
<tr> <td height='10px' colspan="2"></td> <tr>
<td class="tdform1" width="20%">
17) Você já foi orientado, nesta organização, a respeito dos
perigos da engenharia social, como ela trabalha e como mitigá-la?
67
</td>
<td class="tdform2">
<input type="radio" name="perg17" value="sim"
onclick="desbloquear_17(this);"> Sim
<input type="radio" name="perg17" value="nao"
onclick="bloquear_17(this);"> Não
<br><br> Se Sim, quando aconteceu?
<textarea id="tperg17" name="tperg17" cols="25" rows="3"
disabled="disabled"></textarea>
</td>
<tr> <td height='10px' colspan="2"></td> <tr>
<td class="tdform1" width="20%">
18) Você realiza download de atualizações dos sistemas
utilizados pela empresa (como, por exemplo, ERP)?
</td>
<td class="tdform2">
<input type="radio" name="perg18" value="sim"> Sim
<input type="radio" name="perg18" value="nao"> Não
</td>
<tr> <td height='10px' colspan="2"></td> <tr>
<td class="tdform1" width="20%">
19) Você oferece ou ofereceria informações não confidenciais
(como endereço da empresa, nome do diretor, fornecedores, etc) para alguém que não
conhece?
</td>
<td class="tdform2">
<input type="radio" name="perg19" value="sim"> Sim
<input type="radio" name="perg19" value="nao"> Não
</td>
<tr> <td height='10px' colspan="2"></td> <tr>
68
<td class="tdform1" width="20%">
20) Você abre anexos em quais tipos de situações (marque
uma ou mais)?
</td>
<td class="tdform2">
<br><input type="checkbox" name="perg20[]" value="eo"> E-
mails organizacionais (internos, de clientes, de fornecedores)
<br><input type="checkbox" name="perg20[]" value="ep"> E-
mails pessoais
<br><input type="checkbox" name="perg20[]" value="eni"> E-
mails não identificados (promoções, avisos, etc)
</td>
<tr> <td height='10px' colspan="2"></td> <tr>
<td class="tdform2" colspan="2">
<p align="center"><input class="botao" type="submit"
name="Enviar Respostas" value="Enviar Respostas"></p>
</td>
</form>
</tr>
</table>
</body>
</html>
Anexo 2 – Página de Validação e Inserção no Banco de Dados
<?php
session_start();
69
//----------> Conexão 1 <----------
include (“dados_de_acesso.php”);
$conexao = @mssql_connect($host, $dbuser, $dbpassword, true) or die ("Não foi
possível conectar-se ao servidor MSSQL");
$db = @mssql_select_db($dbname) or die ("Não foi possível selecionar o banco de
dados $dbname");
?>
<html>
<head>
<title>Pesquisa Action</title>
<style>
IMG { margin:5px; }
P { margin-left:30px; margin-right:15px; font-size: 13; font-family: Arial;
text-align: left; }
TABLE { border-collapse: collapse;}
TD { border:1px solid #000000; padding: 5px;}
TR { border:1px solid #000000; }
</style>
</head>
<body>
<?php
// recebendo variaveis via POST
$perg1 = $_POST['perg1'] == "" ? '' : $_POST['perg1'];
$perg2 = $_POST['perg2'] == "" ? '' : $_POST['perg2'];
$perg3 = $_POST['perg3'] == "" ? '' : $_POST['perg3'];
$perg4 = $_POST['perg4'] == "" ? '' : $_POST['perg4'];
$perg5 = $_POST['perg5'] == "" ? '' : $_POST['perg5'];
$perg6 = $_POST['perg6'] == "" ? '' : $_POST['perg6'];
$perg7 = $_POST['perg7'] == "" ? '' : $_POST['perg7'];
$perg8 = $_POST['perg8'] == "" ? '' : $_POST['perg8'];
$perg9 = $_POST['perg9'] == "" ? '' : $_POST['perg9'];
70
$perg10 = $_POST['perg10'] == "" ? '' : $_POST['perg10'];
$perg11 = $_POST['perg11'] == "" ? '' : $_POST['perg11'];
$perg12 = $_POST['perg12'] == "" ? '' : $_POST['perg12'];
$perg13 = $_POST['perg13'] == "" ? '' : $_POST['perg13'];
$perg14 = $_POST['perg14'] == "" ? '' : $_POST['perg14'];
$perg15 = $_POST['perg15'] == "" ? '' : $_POST['perg15'];
$perg16 = $_POST['perg16'] == "" ? '' : $_POST['perg16'];
$perg17 = $_POST['perg17'] == "" ? '' : $_POST['perg17'];
$perg18 = $_POST['perg18'] == "" ? '' : $_POST['perg18'];
$perg19 = $_POST['perg19'] == "" ? '' : $_POST['perg19'];
$perg20 = $_POST['perg20'] == "" ? '' : $_POST['perg20'];
$tperg6 = $_POST['tperg6'] == "" ? '' : $_POST['tperg6'];
$tperg7 = $_POST['tperg7'] == "" ? '' : $_POST['tperg7'];
$tperg10 = $_POST['tperg10'] == "" ? '' : $_POST['tperg10'];
$tperg11 = $_POST['tperg11'] == "" ? '' : $_POST['tperg11'];
$tperg12 = $_POST['tperg12'] == "" ? '' : $_POST['tperg12'];
$tperg13 = $_POST['tperg13'] == "" ? '' : $_POST['tperg13'];
$tperg17 = $_POST['tperg17'] == "" ? '' : $_POST['tperg17'];
if ($perg20[0] != ""){ $perg202=$perg20[0]."|"; }
if ($perg20[1] != ""){ $perg202.=$perg20[1]."|"; }
if ($perg20[2] != ""){ $perg202.=$perg20[2]."|"; }
/* Validação */
$erro = 0;
if( $perg1 == "" ){
$erro++;
?><script> alert("Erro: Responda a pergunta 1."); history.go(-1); </script><?
}
if( $perg2 == "" ){
$erro++;
?><script> alert("Erro: Responda a pergunta 2."); history.go(-1); </script><?
71
}
if( $perg3 == "" ){
$erro++;
?><script> alert("Erro: Responda a pergunta 3."); history.go(-1); </script><?
}
if( $perg4 == "" ){
$erro++;
?><script> alert("Erro: Responda a pergunta 4."); history.go(-1); </script><?
}
if( $perg5 == "" ){
$erro++;
?><script> alert("Erro: Responda a pergunta 5."); history.go(-1); </script><?
}
if( $perg6 == "" ){
$erro++;
?><script> alert("Erro: Responda a pergunta 6."); history.go(-1); </script><?
}
if( $perg7 == "" ){
$erro++;
?><script> alert("Erro: Responda a pergunta 7."); history.go(-1); </script><?
}
if( $perg8 == "" ){
$erro++;
?><script> alert("Erro: Responda a pergunta 8."); history.go(-1); </script><?
}
if( $perg9 == "" ){
$erro++;
?><script> alert("Erro: Responda a pergunta 9."); history.go(-1); </script><?
}
72
if( $perg10 == "" ){
$erro++;
?><script> alert("Erro: Responda a pergunta 10."); history.go(-1); </script><?
}
if( $perg11 == "" ){
$erro++;
?><script> alert("Erro: Responda a pergunta 11."); history.go(-1); </script><?
}
if( $perg12 == "" ){
$erro++;
?><script> alert("Erro: Responda a pergunta 12."); history.go(-1); </script><?
}
if( $perg13 == "" ){
$erro++;
?><script> alert("Erro: Responda a pergunta 13."); history.go(-1); </script><?
}
if( $perg14 == "" ){
$erro++;
?><script> alert("Erro: Responda a pergunta 14."); history.go(-1); </script><?
}
if( $perg15 == "" ){
$erro++;
?><script> alert("Erro: Responda a pergunta 15."); history.go(-1); </script><?
}
if( $perg16 == "" ){
$erro++;
?><script> alert("Erro: Responda a pergunta 16."); history.go(-1); </script><?
}
73
if( $perg17 == "" ){
$erro++;
?><script> alert("Erro: Responda a pergunta 17."); history.go(-1); </script><?
}
if( $perg18 == "" ){
$erro++;
?><script> alert("Erro: Responda a pergunta 18."); history.go(-1); </script><?
}
if( $perg19 == "" ){
$erro++;
?><script> alert("Erro: Responda a pergunta 19."); history.go(-1); </script><?
}
if( $perg20 == "" ){
$erro++;
?><script> alert("Erro: Responda a pergunta 20."); history.go(-1); </script><?
}
/* Fim Validação */
if ( $erro == 0 ){
//inserindo dados da proposta na intranet
$insere_pesq = "INSERT INTO tb_pesquisa
VALUES (getdate(), '$perg1', '$perg2', '$perg3', '$perg4',
'$perg5',
'$perg6', '$perg7', '$perg8', '$perg9', '$perg10',
'$perg11', '$perg12', '$perg13', '$perg14', '$perg15',
'$perg16', '$perg17', '$perg18', '$perg19', '$perg202',
'$tperg6', '$tperg7', '$tperg10', '$tperg11', '$tperg12',
'$tperg13', '$tperg17')";
$res_insere_pesq = mssql_query($insere_pesq,$conexao) or die ("<p>Erro no SQL: "
. mssql_error() . "</p><p>" . $insere_pesq . "</p>");
74
?>
<script>
alert("Obrigado por responder ao questionário!");
location.href = "http://192.168.202.4/intranet/pesquisa/pesquisa.html";
</script>
<?
} // fecha if erros
?>
</body>
</html>