Introdução à Forense IndustrialMarcelo Branquinho e Leonardo Cardoso

Junho de 2015

Introdução à Forense Industrial

Siga a TI SafeSiga a TI Safe

• Twitter: @tisafe

• Youtube: www.youtube.com/tisafevideos

• SlideShare: www.slideshare.net/tisafe

• Facebook: www.facebook.com/tisafe

• Flickr: http://www.flickr.com/photos/tisafe

Não precisa copiarNão precisa copiarNão precisa copiarNão precisa copiar

http://www.slideshare.net/tisafe

• Principais riscos de ataques cibernéticos em infraestruturas críticas

• Panorama da Segurança Industrial no Brasil

• Malware

• APT – Advanced Persistent Threat

• A Lei e seus desdobramentos

• Caso prático

• Forense Industrial

• Desafios à forense em ambientes de T.A.

• Incidente Criminal

• Monitoramento Contínuo

• Incidente Marco Zero

• Melhores Práticas

• A Academia TI Safe

Agenda

Principais riscos de ataques cibernéticos em infraestruturas críticas

Infraestruturas críticas

• São sistemas de infraestrutura para os quais a continuidade é tão

importante que a perda, interrupção significativa ou degradação dos serviços

poderia ter graves conseqüências sociais ou à segurança nacional.

• Exemplos:

– Geração e distribuição de eletricidade;

– Telecomunicações;

– Fornecimento de água;

– Produção de alimentos e distribuição;

– Aquecimento (gas natural, óleo combustível);

– Saúde Pública;

– Sistemas de Transportes;

– Serviços financeiros;

– Serviços de Segurança (polícia, exército)

As Ilhas de automaAs Ilhas de automaAs Ilhas de automaAs Ilhas de automaççççãoãoãoão

Sistemas SCADA, algumas décadas atrás:

• Sistemas proprietários, totalmente dependente de fabricantes.

• Sistemas isolados com arquiteturas fechadas - “Ilhas de automação”.

Arquitetura Básica SCADA

A evoluA evoluA evoluA evoluçççção dos sistemas SCADA ão dos sistemas SCADA ão dos sistemas SCADA ão dos sistemas SCADA

• Sistemas abertos com arquitetura centrada em conectividade.

• Integrações cada vez mais freqüentes com a Intranet corporativa e Internet.

• Acesso a Dados Operacionais• Dashboards; Relatórios

• Centro de Controle para múltiplas Redes Operacionais• Diferentes tipos de acesso

• Diretores/Gerentes• Informação em tempo real• Tomada de decisão no processo

Servidores Servidores

SCADASCADA

Rede Operacional

GatewayGateway

Servidores Servidores

CorporativosCorporativos

Rede Corporativa

��Produtividade Produtividade

��CompetitividadeCompetitividade

A evolução dos sistemas SCADA

• No início os sistemas supervisórios eram desenvolvidos em plataformas

operacionais caríssimas, baseadas em sistemas Unix like e máquinas

poderosas como os Digital Vax e Alpha.

• Desenvolver aplicativos para estas plataformas

era algo extremamente caro.

• Com isto, supervisórios passaram a ser

desenvolvidos para plataformas Windows, cujo

processo de desenvolvimento era muito mais

rápido e os custos globais do projeto eram

bastante reduzidos.

Vulnerabilidades em redes industriaisVulnerabilidades em redes industriaisVulnerabilidades em redes industriaisVulnerabilidades em redes industriais

� Conexões não autorizadas

� Sistemas Vulneráveis

� Suporte Remoto Infectado

� Notebooks Infectados

� Firewall mal configurado

� Modems sem proteção

�Baixa segurança física em dispositivos remotos

Rede Corporativa

Rede Operacional

HackerHacker

HackerHacker

HackerHacker

HackerHacker

Vulnerabilidades

Vulnerabilidades comuns em SCADA

Arquitetura de rede insegura

• Configuração de servidores de FTP, web e e-mail de maneira inadvertida ou sem necessidade

fornecem acesso à rede interna da empresa.

• Conexões de rede com parceiros de negócios não protegidas por Firewalls, IDS ou VPN são

portas de entrada para invasões.

• Modems habilitados, sem mecanismos fortes de controle de acesso.

• Firewalls e outros dispositivos de segurança de rede não implementados internamente,

deixando pouca ou nenhuma separação entre as redes corporativa e de automação.

• Redes sem fio configuradas sem segurança adequada.

• PLCs não requerem autenticação para serem usados.

• Softwares de supervisórios possuem vulnerabilidades publicadas na Internet.

• Pontos de rede de dispositivos no campo como CLPs e remotas estão diretamente

conectados à rede de automação e podem ser porta de entrada para ataques.

Vulnerabilidades comuns

em SCADA (Cont.)

• Falta de monitoramento em tempo real

– LOGs de equipamentos de segurança não são analisados, impedindo o pessoal de

segurança de redes de reconhecer ataques individuais

– Empresas não utilizam software especialista para gestão de logs e incidentes

• Bombas Lógicas

– Pedaços de código intencionalmente inseridos em um sistema de software que

irá executar uma função maliciosa quando condições específicas forem atingidas.

• Falta de Conhecimento e crença em mitos

– “ Nossa rede de automação não está conectada à Internet, então não temos

nenhum problema”

– “ Nossos funcionários são 100% confiáveis”

Panorama da Segurança Industrial no Brasil

• Cada vez mais sofisticados, os ataques cibernéticos são

hoje capazes de paralisar setores inteiros da

infraestrutura critica de um país.

• Os eventos internacionais de grande porte atraem a

atenção do mundo e trazem riscos de invasões virtuais

em infraestruturas críticas brasileiras.

• E o Brasil, estaria blindado contra ataques virtuais como

estes? Já houve incidentes de segurança cibernética no

Brasil? Qual o estado atual da segurança de nossa

infraestrutura crítica?

IntroduIntroduççãoão

• As organizações industriais pesquisadas englobam os principais setores

da indústria brasileira, com uma maior presença das empresas do setor

elétrico e petróleo e gás, mas incluindo também os setores de alimentos

e bebidas, águas e resíduos, transportes e logística, siderúrgicas,

nuclear, mineradoras e indústrias químicas.

RelatRelatóóriorio TI Safe, 2014TI Safe, 2014

• A pesquisa mostrou que nenhuma das empresas entrevistadas tem a filosofia de

compartilhar publicamente os incidentes de segurança, 55% das empresas

tratam internamente os incidentes de segurança e apenas 12% das empresas

declaram seus incidentes sigilosamente aos fabricantes e consultorias

especializadas de segurança.

DeclaraDeclaraççãoão ppúúblicablica de de

incidentesincidentes de de seguranseguranççaa

• Fonte: 1o Relatório Anual TI Safe sobre incidentes de segurança em redes de

automação brasileiras

• Incidentes computados de Setembro de 2008 a Abril de 2014

• Dados obtidos somente de clientes da TI Safe no Brasil

Incidentes#

Casos

Malware 27

Erro Humano 24

Falhas em dispositivos 15

Sabotagem 2

Outros - Não

identificados 9

IncidentesIncidentes de de seguranseguranççaa

ciberncibernééticatica industrial no Brasilindustrial no Brasil

IncidentesIncidentes de de seguranseguranççaa

ciberncibernééticatica industrial no Brasilindustrial no Brasil

• Fonte: 1o Relatório Anual TI Safe sobre incidentes de segurança em redes de

automação brasileiras (ainda não divulgado)

• Incidentes computados de Setembro de 2008 a Abril de 2014

• Dados obtidos somente de clientes da TI Safe no Brasil

• O DOWNAD, mais conhecido como “Conficker”, dominou a

contagem de malware em plantas industriais no Brasil.

• Dos 27 casos documentados em nosso estudo, 14 foram

derivados de infecções do Conficker.

• Isso acontece porque plantas de automação não são

atualizadas com os últimos patches, deixando-as expostos a

malwares como o Conficker.

• Além disso, boa parte das plantas industriais brasileiras não

possui política de segurança adequada, medidas para

controle de acesso à rede de automação e proteção de

portas USB.

MalwareMalware, o principal , o principal vilãovilão

Estudo de Caso

Grande Siderúrgica Nacional

• Malware e sua variante: Conficker Win32

• Número de máquinas infectadas: toda a rede, mais de 30 computadores entre eles

servidores, estações de engenharia, estações de operação e gateway. “Não estou

mencionando os problemas do complexo siderúrgico. Apenas relatei a Termelétrica.

Houveram outras infecções nas demais unidades como Alto Forno, Sinter, Coqueria e

Distribuição de Energia”.

• Existia anti-virus na planta, porém estava com as assinaturas desatualizadas.

• Principais consequências da infecção: operação as cegas até o isolamento total do

problema. Entre 2 e 4 horas correndo risco.

• Houve prejuízos financeiros quantificáveis? Não, mas tivemos que explicar o ocorrido

para o O.N.S.

• Como foi o processo de desinfecção e quanto tempo levou? A desinfecção para

retornar a operação segura 4 horas, mas no total levaram mais de 30 dias até

podermos estabelecer todas as interfaces. A última interface estabelecida foi com a

rede corporativa até obtermos total segurança da rede.

• Foi descoberta a origem da infecção? Não. Na época era difícil porque a planta estava

em comissionamento e havia muitas interfaces trabalhando nessas redes.

• Nenhuma das organizações pesquisadas afirmou ter um processo de gestão de

incidentes de segurança cibernética industrial desenvolvido e em produção.

• Em 24% das empresas este processo não existe, e 27% atuam de forma reativa

quando ocorrem incidentes de segurança.

• No entanto, 45% das empresas pesquisadas afirmaram estar definindo este

processo.

GestãoGestão de de incidentesincidentes

de de seguranseguranççaa ciberncibernééticatica

Malware

Definição

• Malware, ou software malicioso, é um termo relativamente novo para o

mundo da tecnologia da informação.

• Agrupa todo software ou programa criado com a intenção de abrigar

funções para:

– penetrar em sistemas

– quebrar regras de segurança

– servir de base para operações

ilegais e/ou prejudiciais

Exemplos de Malware

• Virus

– Funções específicas para cópia e dispersão, normalmente vem anexados em

arquivos de programas e formatos populares de documentos.

• Worms

– Parecidos com os vírus, porém se propagam na rede independente das ações

do usuário (não é necessário clicar no arquivo).

• Trojans� Enganam o usuário, que pensa estar executando algo legítimo quando na realidade está sendo atacado.

• Zumbis DDoS / BOTs� Abrem o computador para processar por terceiros. Os usuários infectados normalmente não tem qualquer sinal

do que ocorre (exceto sobrecarga da CPU).

• Keylogger� Normalmente inseridos via trojans, capturam as teclas digitadas e cliques do mouse e transfere as informações

através da Internet para seu desenvolvedor.

• Pranks� Malware que implica com o usuário.

Como o Malware se instala?

• Exploits.

• Uso de mídias removíveis (Pen Drives, HD Externos).

• Compartilhamentos na rede.

• Comunicação entre servidores OPC de diferentes plantas.

• Uso de redes 3G na rede de automação.

• Funcionários insatisfeitos.

• Falta de perícia do usuário (clicar no anexo...).

Mecanismo de Persistência

� Mata anti-virus e anti-malwares que

não o tenham detectado para que

não recebam novas assinaturas e

passem a detectá-lo.

� Tenta se espalhar sozinho para

outras máquinas e mantém um

protocolo próprio que avisa os outros

pares quando está sendo

exterminado, forçando a re-infecção.

� Deixa máquinas - já com patch -

vulneráveis ao corromper o serviço

Server da máquina

APT – Advanced PersistentThreat

O que é um APT

• APT é a abreviatura de “advanced

persistent threat” (ameaça persistente

avançada).

• O objetivo final de um ataque APT é atingir a

máquina em que exista algum tipo de

informação valiosa.

• APTs implementam ataques direcionados a

alvos específicos e são personalizados para

atingir vítimas com características muito

particulares, como infraestruturas críticas, por

exemplo.

• Esses ataques podem simultaneamente usar (e

frequentemente usam) mais de uma técnica.

Stuxnet, o primeiro APT famoso

• O Stuxnet é um APT desenvolvido para atingir

sistemas de controle industriais que usam PLCs

Siemens.

• Seu objetivo aparenta ser a destruição de

processos industriais específicos.

• O Stuxnet infecta computadores com sistema

operacional Windows no controle de sistemas

SCADA, independente de ser ou não Siemens.

• O Stuxnet somente tenta fazer modificações em

controladoras dos PLCs modelos S7-300 ou S7-

400, entretanto ele é agressivo e pode afetar

negativamente qualquer sistema de controle.

Computadores infectados também podem ser

usados como uma entrada para futuros ataques.

Como funciona o Stuxnet?

• O Stuxnet é um dos mais complexos e bem projetados APTs que se tem conhecimento. Ele tira vantagem de

pelo menos 4 vulnerabilidades zero-day e mostra considerável sofisticação na exploração de sistemas

Siemens.

• Quando instalado em um computador, o Stuxnet tenta localizar as estações programáveis Siemens STEP 7 e

infectá-las. Caso tenha sucesso, ele substitui as DLLs do STEP 7 de maneira que qualquer pessoa que veja a

lógica do PLC não verá quaisquer mudanças que o Stuxnet tenha feito anteriormente nos PLCs.

• O Stuxnet então procura modelos específicos de PLCs Siemens (6ES7-315-2 e 6ES7-417). Caso ele consiga se

conectar a um destes dois modelos, ele realiza um fingerprint do PLC ao checar a existência de configurações

de processos e certas strings nos PLCs.

• Se o Stuxnet encontra o que está procurando no PLC, ele começa uma de três seqüências para injetar código

STEP 7 no PLC. O driver Profibus do PLC é substituído e o bloco de programa principal (Bloco organizacional

1) e o bloco de watchdog primário (Bloco organizacional 35) são significantemente modificados.

Dependendo de qual seqüência tiver sido selecionada, dentre 17 a 32 blocos de funções e blocos de dados

são injetados no PLC.

• O PLC infectado agora aparenta esperar por um evento específico para ocorrer, que ele detecta ao monitorar

uma variável. Se esta variável encontra um valor específico (0xDEADF007), então ela altera a execução do

processo lógico e impede a lógica original do bloco de watchdog de executar. O quanto esta mudança na

lógica impacta os processos industriais atuais ainda é desconhecido.

Stuxnet ataca

usinas Iranianas (2010)

http://www.reuters.com/article/idUSTRE6AS4MU20101129

http://arstechnica.com/business/news/2012/04/stuxnet-worm-reportedly-planted-by-iranian-double-agent-using-memory-stick.ars

• O Stuxnet foi instalado em um pen-drive e

transportado por um agente duplo iraniano

contratado pelo governo de israel e acima de

qualquer suspeita que o conectou a um

computador do sistema de segurança.

• Uma vez introduzido o vírus se espalhou

silenciosamente durante meses procurando por

PLCs Siemens.

• Os PLCs visados estavam nas centrífugas que

são usadas no processo de enriquecimento do

urânio a ser usado para a construção de bombas

atômicas

http://www.csmonitor.com/USA/Foreign-Policy/2010/1004/Iran-s-Bushehr-nuclear-plant-delayed-Stuxnet-

not-to-blame-official-says

Stuxnet ataca

usinas Iranianas (cont.)• Em condições normais de operação as

centrífugas giram tão rápido que suas

bordas externas se deslocam com

velocidades quase sônicas.

• O Stuxnet aumentou a velocidade das

centrífugas para 1600 km/h

ultrapassando o ponto em que o rotor

explodiu.

• Simultanemante o Stuxnet enviava

sinais falsos para os sistemas de

controle indicando que tudo funcionava

normalmente.

• Aproximadamente 1000 centrífugas

foram afetadas e o programa nuclear

iraniano paralisado.

A Anatomia do Stuxnet

A Lei e seus desdobramentos

20022002

1.0161.016

do Cdo Cóódigo Civildigo Civil

Lei 10406 deLei 10406 de

Art.Art.

• Art. 1.016. Os administradores respondem solidariamente perante a sociedade e aos

terceiros prejudicados, por culpa no desempenho de suas funções.

ImperImperííciacia ImprudênciaImprudência NegligênciaNegligência

• A empresa possui direito de regresso. Portanto pode acionar judicialmente o

executivo responsável pelo setor / área envolvido na origem do incidente de

segurança.

Seja por:

Podendo atingir:

Lei 10406 de 2002

Caso prCaso práático tico -- vvíídeodeo

Na prática - vídeo

Fonte: RJTV

Alguém sabe a causa deste incidente?

Aparentemente NÃO!

Alvos de ataque hacker SCADA: IHM, PLC, RTU, BDs

Mascarar o que o operador está vendo

Induzir ao erro

Geralmente só dá tempo de correr…

Alvos de um ataque

IHM

Supervisório

RTU

PLC

Forense Industrial

O desafio da Forense na indústria

Desafios à forense em ambiente de T.A.

A maioria dos dispositivos e sistemas de controle não possuem tecnologia capaz de coletar e

armazenar dados que venham a ser utilizados logo após um sinistro ou incidente de

segurança.

O rito tradicional de uma perícia forense não é suficiente para endereçar os eventos de uma

planta de automação industrial.

Arquiteturas industriais não utilizam firewall, IPS/IDS e nem uma solução unificada de

guarda e interpretação de logs (SIEM). O fator tempo é crucial!

Há a dependência do envolvimento do fabricante em análises dos eventos e

incidentes de segurança.

Demanda-se então:

Melhores práticas de respostas a incidentes de segurança

Especificações técnicas do ambiente SCADA

Categorização das tecnologias empregadas na planta

Definir as singularidades dos sistemas de controle

Coleta e métodos de análise

Manter capacidade técnica para a realização de forense

Documentar os requerimentos de controles de processos

DocumentaDocumentaçção de sistemasão de sistemas

Sistema de Controle Forense

Ocorrência Criminal

Incidente e

A realidade industrial versa sobre cenários com ciclos de produção previstos para meses

e anos.

Preservação da cena do crime

As paradas programadas são poucas e oferecem reduzidas janelas de manutenção.

Ao contrário de um ambiente de T.I., não podemos simplesmente parar tudo para fazer a

custódia de HDs. A preservação de evidências é impossível em alguns cenários.

Como provar o crime considerando que a IHM, PLC, RTU ou BD sofreram ataque

hacker e foram comprometidos?

O ambiente de automação deve estar configurado de forma a manter e a preservar o

monitoramento contínuo e respectivos logs de todos os ativos da planta industrial que

sejam passíveis disto.

Usar software SIEM para gerir trilhas de auditoria forense.

O SIEM deve analisar e correlacionar logs de firewalls, switches, máquinas, etc.

Configurado para alarmar por tipo de incidente e ocorrência.

Nunca deve ser reativo!

Deve-se levar em consideração que autômatos como PLCs e RTUs também são

passíveis de ataques e comandos externos.

Preservação da cena do crime

Protocolos industriais que trafegam dados em tempo real.

Monitoramento de todos os processos supervisórios e também da latência da rede

comparados aos padrões operacionais normais.

Ponto fora da curva - Comparar anormalidade imediatamente com a IHM.

Alarmes deverão ser disparados a todos os envolvidos na operação e

manutenção.

Os logs deverão ser imediatamente analisados e já contemplados em

política de backup e storage externo.

Contemplar:Contemplar:

Monitoramento Contínuo

Monitoramento Contínuo

Monitoramento Contínuo

Estado da arte: geração de trilhas de auditoria forense

Monitoramento Contínuo

Análise do log com destaque para

os pacotes 154, 156 e 162.

154154 - o atacante enviou um comando de

parametrização IOA 4821 para 50.354%

para a remota.

156156 – A RTU atendeu o comando.

162162 – A remota informa que o comando

foi realizado com sucesso e que as

comportas do reservatório foram abertas.

A PLANTA FOI A PLANTA FOI

INVADIDA E INVADIDA E

COMANDADA POR UM COMANDADA POR UM

AGENTE EXTERNOAGENTE EXTERNO

Análise de Log

http://pt.slideshare.net/tisafe/white-paper-detectando-problemas-em-redes-industriais-

atravs-de-monitoramento-contnuo

Baixem o White Paper TI SAFE

Dicas

Perícia de Marco Zero

Incidente

Forense

Planta industrial paralisada por vários dias em decorrência de infecção por vírus onde este

interferia nos comandos dos CLPs e degradava a velocidade de rotação dos autômatos por

eles comandados. Então o que fazer neste caso?

Necessário retirar todos os computadores da rede local, desinfectá-los um a um, realizar

uma varredura completa em seus logs de sistemas identificando qual máquina originou e

deu início a toda a infecção e assim por diante

Somente sob a certeza de que todas as máquinas estavam isentas de

pragas virtuais é que estas voltaram à operação normal em rede.

Diante deste quadro urge que sejam implementadas melhores práticas forenses em ambientes industriais informatizados.

Caso Real – Marco Zero

1. Como saber se há invasão

2. Decidir o que consertar primeiro

3. Perícia em equipamentos de campo

4. Acesso físico

Melhores Práticas

1. Como saber se há invasão?

a. Os ataques podem parecer problemas anormais ou até mesmo problemas corriqueiros

no seu painel de controle. Mas assim mesmo devem ser investigados.

b. Procure por indicadores como mudanças bruscas em diversos sinais de mal

funcionamento, persistência e telas azuis de dumping de memória.

c. Investigue no campo os indicadores e os compare com os apresentados na

tela do painel de controle do monitoramento contínuo.

d. Compare as leituras dos sistemas de segurança com as leituras dos

sistemas de controle

e. Logs a serem analisados – firewall, DNS, Proxy, IPS/IDS, routers e

switches, tráfego de rede, acessos físicos,…

Melhores Práticas

2. Decidir o que consertar primeiro

a. Definir as prioridades processuais para o retorno da operação. Ambiente mínimo.

b. Pode ser perda de tempo tentar restaurar tudo ao mesmo tempo.

c. Use o mínimo recomendado para mode ON.

d. Tentar operar manualmente sistemas auxiliares.

e. Religar sistema primário com a certeza que não serão reinfectados.

f. Tenha sempre HW backup como PLCs, routers, etc..

Melhores Práticas

3. Perícia em equipamentos de campo

a. Ainda usa modem? Cheque as linhas e LSS – line sharing switch. Mantenha os logs do

PABX. Ative logs de I/O. #war #dialing

b. Cheque por evidências de alteração em configurações operacionais. #SETUP

c. Analise o #firmware encontrado no equipamento suspeito através da

comparação de HASH. Ou ainda comparar os binários.

d. Tentar operar manualmente sistemas auxiliares.

e. Religar sistema primário com a certeza que não serão reinfectados.

f. Tenha sempre HW backup como PLCs, routers, etc..

i. Setup padrão x fabricante (reset) x suspeito

Melhores Práticas

4. Acesso físico

a. Cheque CFTV

b. Cheque acessos a setores, elevadores, catracas e portas.

c. Analise alarmes.

d. Registro de visitantes.

Melhores Práticas

Referências

1. American Academy of Forensic Sciences. Disponível em: http://www.aafs.org/about-aafs.Acesso em 08 set. 2013.

2. SCADA Network Forensics with IEC-104, Disponível em: http://www.netresec.com/?page=Blog&month=2012-08&post=SCADA-Network-Forensics-with-IEC-104. Acesso em 11 set. 2013.

3. FABRO, MARK. CORNELIUS, ERIC. Creating Cyber Forensics Plans for Control Systems. Disponível em: http://www.inl.gov/technicalpublications/Documents/4113665.pdf. Acesso em 10 set. 2013.

+Único livro sobre

segurança SCADA escrito em português

no mundo

Único livro sobre segurança SCADA

escrito em português no mundo

Academia TI SafeAcademia TI Safe

• Formação Presencial

• Formação via ensino a distância (EAD)

• Certificação CASE

FormaFormaççãoão PresencialPresencial

• Aulas ministradas nas instalações da TI Safe ou na empresa (mínimo de 10 alunos)

• Alunos recebem livro texto e material didático complementar em formato digital

• Formação com 20h de duração

• Instrutores com anos de experiência em segurança de automação industrial

• Objetiva formar profissionais de T.I. e T.A.:

– Apresenta, de forma teórica e prática, aplicações reais da segurança de acordo com o CSMS

(Cyber Security Management System) preconizado pela norma ANSI/ISA-99

– Totalmente em português, adequada ao perfil do profissional de segurança requerido pelas

empresas brasileiras

Próximas turmas em 2015:•Rio de Janeiro: de 9 a 11 de Setembro

•São Paulo: de 22 a 24 de Setembro

•Salvador: de 30/9 a 2 de Outubro

FormaFormaçção via ão via

Ensino a Distância (EAD)Ensino a Distância (EAD)

Matricule-se em www.tisafe.com/ead_fsaiMatricule-se em www.tisafe.com/ead_fsai

CertificaCertificaççãoão CASECASE

• Prova online com 60 perguntas de múltipla

escolha em português.

• Tempo de prova: 90 minutos.

• As questões com pesos diferentes. Aluno será

aprovado se acertar 70% do valor total dos

pontos.

• Se aprovado o aluno receberá o certificado por

e-mail e seu nome será incluído em listagem no

site da TI Safe.

• Os certificados tem 2 anos (24 meses) de

validade a partir da emissão.

• Guia de estudos, simulado e calendário

disponíveis no website.

Matricule-se em www.tisafe.com/ead_case

Matricule-se em www.tisafe.com/ead_case

Dúvidas?

Marcelo.branquinho@tisafe.com