Página | 1
FACULDADE FARIAS BRITO
CIÊNCIA DA COMPUTAÇÃO
DAVI MIRANDA SIQUEIRA SILVA
ANÁLISE DE METÓDOS DE DEFESA CONTRA ENGENHARIA SOCIAL EM
AMBIENTES CORPORATIVOS
Fortaleza
Dezembro/2012
Página | 2
DAVI MIRANDA SIQUEIRA SILVA
ANÁLISE DE METÓDOS DE DEFESA CONTRA ENGENHARIA SOCIAL EM
AMBIENTES CORPORATIVOS
Monografia apresentada para obtenção
dos créditos da disciplina Trabalho de
Conclusão de Curso da Faculdade Farias
Brito como parte das exigências para
graduação no Curso de Ciências da
Computação
Orientador: Dr. Paulo Benicio Melo de
Sousa
Fortaleza
Dezembro/2012
Página | 3
ANÁLISE DE METÓDOS DE DEFESA CONTRA ENGENHARIA SOCIAL EM
AMBIENTES CORPORATIVOS
_________________________
Davi Miranda Siqueira Silva
PARECER __________________
NOTA: FINAL (0 – 10): _______
Data: __/___ /____
BANCA EXAMINADORA:
_____________________________
Dr. Paulo Benício Melo de Sousa
Orientador
_____________________________
Msc. Sérgio Araújo Yunes
Examinador
_____________________________
Msc. Maikol Magalhães Rodrigues
Examinador
Página | 4
AGRADECIMENTO
Agradeço a Deus pelas lições e conquistas de cada dia.
Aos meus pais pelo incentivo e apoio, na faculdade, no trabalho e na vida.
À Manuella Nobre, pela correção textual e apoio emocional.
Ao meu orientador, Prof. Dr. Paulo Benício, pela paciência e apoio para
concretizar este trabalho.
Aos demais professores pelos ensinos e conselhos dados. Muitos deles não serão
esquecidos.
Aos meus amigos que fizeram parte desta trajetória, estudando e ajudando na
faculdade e na vida.
Aos leitores, pois este trabalho foi feito para vocês. Espero que desfrutem do
conteúdo.
Página | 5
“O preço da liberdade é a vigilância eterna”.
Thomas Jefferson
Página | 6
RESUMO
O objetivo desse estudo é analisar as formas de ataque e a ações de segurança contra a
engenharia social em ambientes corporativos. Serão abordados os conceitos relevantes
ao tema, bem como três critérios de segurança: o Teste da Conformidade, Método
Mosler e Método William T. Fine. O presente trabalho propõe ainda uma síntese desses
métodos, a partir de uma fórmula denominada de Ponderação de Segurança Unificada
(PSU). Como metodologias de pesquisa foram adotadas a pesquisa por analogia, com
o intuito de propor uma análise de casos fictícios para exemplificar diversos cenários de
ataques de engenharia social, e uma análise comparativa, tendo como objetivo analisar
metodologias de segurança e unir-las em uma única metodologia, a Ponderação de
Seguraça Unificada (PSU).
Palavras-chaves: Engenharia Social – Segurança da Informação - PSU
Página | 7
Índice
1. Introdução....................................................................................................................11
2. Engenharia Social ....................................................................................................... 13 2.1 Conceito ............................................................................................................ 13 2.2 Histórico ........................................................................................................... 16 2.3 Procedimentos .................................................................................................. 17 2.4 Legislação Brasileira ........................................................................................ 23
2.5 Cenários ............................................................................................................ 24 3. Proposta de Critérios de Segurança ............................................................................ 28
3.1 Teste de Conformidade ..................................................................................... 28 3.2 Método Mosler ................................................................................................. 30 3.3 Método Willian T. Fine .................................................................................... 32
3.4. Proposta de Síntese de Métodos ...................................................................... 34 4. Conclusão ................................................................................................................... 39
Anexos ............................................................................................................................ 41 A. Teste de Conformidade ...................................................................................... 41 B. Método Mosler (Risco) ...................................................................................... 44 C. Método William T. Fine .................................................................................... 47
Referências Bibliográficas .............................................................................................. 49
Página | 8
Listas de Figuras
Figura 1 - Etapas do Ataque de Engenharia Social (Security One, 2012) .................... 14 Figura 2 - Estrutura de Ataque de um Engenheiro Social (PEIXOTO, 2006). ............. 15
Figura 3 - Gráfico das 20 (vinte) maiores ameaças Web no Brasil (BAND, 2010) ...... 26
Página | 9
Lista de Tabelas
Tabela 1 - Nomenclatura dos atacantes......................................................................... 17
Tabela 2 – Proposta de uma métrica de segurança contra ES em bancos......................25
Tabela 3 – Comparação dos métodos de avaliação de segurança..................................35
Tabela 4 – Valor de Quantificação da Classe de Risco................................................ 46
Página | 10
Lista de Abreviaturas e Siglas
CPU – Computer Personal Unit (Unidade de Computador Pessoal)
HD – Hard Drive (Disco Rígido)
HTTP – Hyper Text Transfer Protocol (Protocolo de Transferência de Hipertexto)
ID – Identify (Identidade)
IEC - International Electrotechnical Commission (Comissão Eletrotécnica
Internacional)
IGD - Informações Gerais Disponíveis
IP – Internet Protocol (Protocolo de Internet)
ISE - Informações Sigilosas da Empresa
ISO – International Organization for Standardization (Organização Internacional para
Padronização)
NBR – Normas Brasileiras
OE - Organização - Empresa
PSU - Ponderação de Segurança Unificada
SSL – Secure Socket Layer (Camada de Proteção de Soquete)
TI – Tecnologia da Informação
VA - Vítima Ativa
VS - Vítima Superficial
Página | 11
1. Introdução
A Internet se tornou uma necessidade, seja para negócios ou para uso pessoal.
Fonte de informação e diversão, ela encurtou distâncias e permitiu a comunicação
instantânea, mas seu uso descontrolado também pode trazer males. Trojans, Spywares,
Rootkits e outras técnicas de programação são utilizadas por pessoas mal-intencionadas
(hackers), trazendo prejuízos financeiros e abalando reputações. Empresas de segurança
da informação, como Karpersky, Avast, AVG, Norton, dentre outras, criam softwares
para proteger corporações e pessoas destes males. Eles costumam defender seus dados
com os softwares de antivírus e firewall - componente ou conjunto de componentes que
restringe o acesso entre uma rede protegida e a Internet, ou entre outros conjuntos de
redes (CHAPMAN apud NAKAMURA, GEUS, 2007, p. 221).
Os ataques não se limitam somente aos desktops e notebooks: Smartphones e
tablets, por exemplo, também estão sujeitos a ataques e devem estar protegidos por
software de defesa. No entanto, muitas vezes, o usuário não percebe os riscos aos quais
está exposto.
Infelizmente, mesmo utilizando o melhor software de defesa, as pessoas e
empresas podem perder seus dados para um hacker que utiliza engenharia social, pois
ele ataca no elo mais fraco da segurança da informação: o fator humano. Para proteger-
se contra esse tipo de ataque, é necessário o conhecimento sobre o assunto analisado
(aspectos teóricos) e uma série de ações preventivas, jurídicas e técnicas (aspectos
práticos).
Será desenvolvido neste contexto o objeto de estudo desta monografia, atendo-
se aos aspectos que avaliam o processo de ataque e a avaliação de segurança contra a
engenharia social em ambientes corporativos. Essa restrição é importante porque, em
especial no cenário no qual redes sociais e multidiversidade de recursos e acessos são
disponíveis, torna-se praticamente impossível avaliar o tema sob todos os prismas.
Este trabalho está organizado nos seguintes capítulos: O capítulo 1 faz uma
breve introdução sobre o tema. Em seguida, o capítulo 2 aborda os aspectos teóricos da
engenharia social, através de conceitos, histórico, procedimentos e cenários acerca do
Página | 12
tema. No capítulo 3, serão abordados proposta de critérios de segurança, tais como o
Teste da Conformidade, Método Mosler e Método William T. Fine, e suas correlação
com a engenharia social. Será feita, ainda, uma proposta de síntese desses métodos, a
partir de uma fórmula, cujo nome dado foi Ponderação de Segurança Unificada (PSU).
O fechamento do trabalho, no capítulo 4, inclui perspectivas de trabalhos futuros.
Obviamente, não é objetivo desse estudo esgotar o tema, mas abrir uma frente
ampla para avaliar alguns dos elementos considerados mais críticos e que hoje são
realmente impactantes em um cenário corporativo.
Página | 13
2. Engenharia Social
Neste capítulo, apresentamos as teorias que nos ajudarão a promover as
análises propostas nos objetivos desta pesquisa. Muito embora possa ser considerado
inato da natureza humana confiar nos outros, vale a pena observar um ditado nipônico:
“os negócios são uma guerra”, o que não permite ao empresário baixar a guarda.
Resulta disso que a política de segurança corporativa deve, portanto, definir claramente
o comportamento apropriado e inapropriado de todos os envolvidos no cenário
corporativo.
2.1 Conceito
Um exemplo de engenheiro social é Kevin Mitnick. No seu livro “A Arte de
Enganar”, ele define bem esta forma de ataque:
“A engenharia social usa a influência e persuasão para enganar as pessoas e
convencê-las de que o engenheiro social é alguém que não é, pela manipulação.
Como resultado, o engenheiro social pode aproveitar-se das pessoas para obter
as informações com ou sem o uso da tecnologia.” (MITNICK; SIMON, 2003,
p. 6)
Esta técnica não é restrita à atualidade: em meados do século XVI, a
engenharia social foi usada por falsários que mandavam mensagens pedindo dinheiro às
vítimas, geralmente inglesas. Neste ataque, as vítimas davam dinheiro para soltarem
ingleses presos em masmorras espanholas. Este tipo de ataque era conhecido como o
golpe do prisioneiro espanhol. Os usuários deste tipo de técnica sabem utilizar o
carisma e as palavras. Segundo Mitnick e Simon (2003), o engenheiro social prevê a
suspeita de seus atos e está sempre preparado para ganhar a confiança da vítima.
Um bom engenheiro social planeja o seu ataque e prevê as perguntas que o seu
alvo pode fazer, para estar pronto para dar as respostas corretas. De maneira geral, a
forma como o ataque vai se tornar bem sucedido consiste no correto desenvolvimento
de um ataque em 4 etapas, conforme mostrado na Figura 1.
Página | 14
Figura 1 - Etapas do Ataque de Engenharia Social (Security One, 2012)
A primeira etapa consiste na coleta de informações, que podem ser utilizadas
para ludibriar a vítima, fazendo-se passar por alguém da empresa. Como lembram
Mitnick e Simon:
O princípio de usar tais informações para enganar alguém do governo ou de
uma empresa privada é o mesmo. Como um engenheiro social sabe como
acessar bancos de dados ou aplicativos específicos ou conhece os nomes dos
servidores de computador de uma empresa ou coisa semelhante, ele tem
credibilidade. E a credibilidade leva à confiança. (MITNICK; SIMON, 2003,
p. 49)
A segunda etapa consiste em desenvolver um relacionamento com a vítima.
Para êxito do ataque, o engenheiro social utiliza conhecimentos que conseguiu da
empresa antes do contato com a pessoa atacada. Neste sentido, conforme mostrado na
próxima seção, o uso de práticas como dupster diving podem ser utilizados como meios
para recolher informações. Após ganhar a confiança da vítima, o hacker passa para a
próxima fase.
A etapa seguinte é a exploração, na qual o engenheiro social consegue
informações importantes da empresa que irá atacar. Essa atividade se beneficia dos
passos anteriores, mas pode ser desenvolvida hoje amplamente com o uso de um
refinado processamento nas ferramentas de busca que permeiam o mundo virtual.
Mitnick e Simon (2003) recomendam que, com o objetivo de responder
corretamente a um ataque, todos os membros da organização deveriam ser treinados
Página | 15
para, quando contactados por alguém que não conhecem pessoalmente, ter um grau
apropriado de suspeita e cuidado, sobretudo se este indivíduo pedir acesso a um
computador ou rede, independente dos argumentos apresentados. Como apresentado
adiante no texto, a métrica baseada em conformidade faz uso direto da avaliação dos
comportamentos dos usuários em cenários vulneráveis de ataque.
Ao concluir a terceira etapa com êxito, o atacante parte para a última fase, a
execução, na qual o engenheiro utiliza todos os dados que recolheu do funcionário
incauto e utiliza para atacar a empresa, roubando informações e/ou dinheiro. Somente
aqui, na grande maioria dos casos, as vítimas começam a perceber o ocorrido e, mesmo
quando o hacker é descoberto, na maioria das vezes, já é tarde demais para reverter boa
parte dos resultados.
Ainda sob uma visão de montagem de estratégia de ataque, a Figura 2
apresenta esquematicamente a linha de desenvolvimento das atividades na perspectiva
do engenheiro social.
Figura 2 - Estrutura de Ataque de um Engenheiro Social (PEIXOTO, 2006).
Neste sentido, o procedimento operacional faz com que o engenheiro social
atue da seguinte forma:
Página | 16
1. Conseguindo conhecimento sobre a empresa através das informações gerais
disponíveis (IGD), o atacante planeja os passos iniciais da sua atuação.
2. Com estas informações, o hacker vai atrás de uma vítima superficial (VS), a
fim de recolher informações, fazendo-se passar por alguém da empresa ou
alguém com conhecimento que necessite de ajuda.
3. Finalmente, com os dados colhidos pela VS, o atacante vai conseguindo
informações mais importantes da OE (Organização - Empresa), que irá ajudar
a entrar em contato com a vítima ativa (VA) que, sendo iludida como a VS,
passará informações sigilosas da empresa (ISE).
2.2 Histórico
Dos primórdios da década de 80 até a época atual, o universo cibernético
plasmou uma nova identidade para pessoas mal-intencionadas: os hackers - “termo
genérico para identificar quem realiza o ataque em um sistema computacional”
(NAKAMURA; GEUS, 2007, p. 66) e desenvolvem técnicas para roubo de dados, seja
para mostrarem suas habilidades e/ou para lucrar com isto. Em contrapartida, vários
especialistas na área de segurança desenvolvem programas para impedir que os dados
de suas empresas sejam roubados. No entanto, uma técnica de ataque, provavelmente a
mais eficiente de todas, contra a qual muitas empresas ainda possuem falhas de
proteção, consiste exatamente no uso da engenharia social.
Há cerca de 30 anos, muitos hackers utilizavam a engenharia social de forma
ampla, ou seja, para realizar algum resultado, experimento ou teste, não levando em
conta quantas pessoas seriam afetadas. Atualmente, os ataques estão ficando mais
específicos, isto é, visando alcançar determinados resultados que beiram a obras de
ficção, seja pela sua genialidade e/ou por seu impacto. Em uma sociedade em que as
informações podem ser capturadas, é preciso que as pessoas estejam em total vigilância
sobre seus atos. Um erro pode fragilizar a segurança de dados importantes de empresas
e pessoas.
Conforme Steve Burnett e Stephen Paine (2002), embora os órgãos de
cumprimento da lei estejam correndo contra o tempo para acompanhar a tecnologia
Página | 17
atual, em muitas situações eles são simplesmente “bombeiros” quando se trata de lidar
com ataques digitais. Segundo Mitnick e Simon (MITNICK; SIMON, 2003, p. 18),
“hoje em dia é típico de uma empresa gastar mais dinheiro em café do que em medidas
de contra-ataque para proteger-se dos ataques à segurança”. Entretanto, se for
utilizada uma defesa antecipada, através de políticas de segurança, as empresas poderão
barrar a ação dos atacantes e até puni-los na forma da lei.
2.3 Procedimentos
Neste tópico, serão abordados procedimentos que tangem à área de ataque e
defesa contra a engenharia social. Será demonstrado primeiramente o ataque e, após, a
sua forma de defesa. O objetivo é subsidiar o leitor de uma visão superficial das técnicas
envolvidas.
2.3.1 Formas de Ataque e Defesa
Duas são as formas de ataque do engenheiro social: ataque direto (no qual o
hacker comparece ao local do ataque fisicamente) e indireto (em que o atacante utiliza
de meios tecnológicos, muitos deles virtuais, para a realização do ataque). Na maioria
dos casos, é utilizada a combinação dos dois: o ataque indireto, “garimpando”
informações da empresa atacada para, posteriormente, fazer o ataque direto,
apresentando-se fisicamente e utilizando as informações obtidas para conseguir
concretizar o ataque.
A razão dos hackers fazerem essas ações pode ser explicada pelo motivo, seja
político, curiosidade, vandalismo ou econômico. Para melhor entendimento,
apresentamos abaixo uma categorização:
Tabela 1 - Nomenclatura dos atacantes
Tipo de Engenheiro Social Motivo do Ataque
Hackers Testar sistemas de segurança e/ou roubar informações
Estudantes Curiosidade
Ex-funcionários Vingança
Terroristas Espalhar pânico pela rede e/ou roubar informações estratégicas
Página | 18
Para se defender destes ataques, a empresa terá que seguir uma série de
medidas para defender seus dados de desconhecidos ou conhecidos mal-intencionados.
Antes de tudo, é preciso criar uma política interna para minimizar as chances de ação do
hacker. Dentre as diretrizes de tal política, podem ser citadas atividades bem conhecidas
(e, apesar disso, costumeiramente ignoradas) que incluem:
Solicitar um documento de identificação oficial (RG, carteira de motorista,
carteira de trabalha, etc..) de quem solicita os dados;
Requerer a assinatura da pessoa que solicitar informações importantes da
empresa;
Perguntar sempre ao superior se as informações, mesmo as mais comuns,
devem ser repassadas;
Desconfiar quando receber um e-mail desconhecido. Se for conhecido,
verificar o assunto e falar pessoalmente ou por via tecnológica se o remetente
realmente mandou a mensagem;
Não utilizar nome ou sobrenome na senha. Em vez disto, misturar letras,
caracteres especiais e números;
Ter um tempo limite para tentativas de login (entrar) e logoff (sair);
Inutilizar materiais que contenham informações sigilosas da empresa (não
basta descartá-los).
É de vital importância aumentar o nível de segurança de uma empresa para
proteger seus dados. No entanto, isso não acontece de uma vez e sim gradativamente,
através de softwares de segurança, políticas operacionais e treinamentos de
funcionários. Como nos lembra Schneier, “a segurança não é um produto, ela é um
processo” (SCHNEIER apud MITNICK; SIMON, 2003, p. 16). Isso certamente
envolve custos e uma visão estratégica que para além dos investimentos, avalia os
impactos benéficos dados pela proteção desenvolvida, como apresentado pelo método
Fine indicado nas seções seguintes.
Página | 19
2.3.2 Técnicas de Ataque e Defesa
Para obter êxito na execução do seu ataque, o hacker pode utilizar, além da
engenharia social, outras combinações de técnicas, como Phishing, Vishing, Dumpster
Diving, Cavalo de Tróia e Rootkit.
A palavra Phishing, segundo Crespo (2011, p. 83), deriva do termo inglês “to
fish” ou “fishing”, que significa pescar. Trata-se de uma verdadeira engenharia
social, na modalidade de fraude virtual, que tem como finalidade obter
informações relevantes sobre dados valiosos dos particulares, através de
mensagens de correios eletrônicos.
O Vishing é um tipo de phishing baseado na tecnologia VoIP (Voice Internet
Protocol), também conhecida como “voz sobre o IP”, onde a voz trafega na
Internet sem cobrança de pulsos eletrônicos (CRESPO, 2011, p. 85). Ataques
usando tais técnicas imortalizaram alguns dos hackers mais conhecidos.
Por sua vez, o Dumpster Diving ou Trashing é a atividade na qual o lixo é
verificado em busca de informações sobre a organização ou a rede da vítima,
como nomes de contas e senhas, informações pessoais e confidenciais
(NAKAMURA; GEUS, 2007, p. 84). Note-se que a eliminação de tais fontes de
informação (em grande parte ignoradas por todos, sejam indivíduos ou
corporações) é uma atividade de baixo custo / complexidade e que pode ser
institucionalizada nos mais diferentes níveis dentro de uma empresa.
O Cavalo de Tróia (Trojan Horse), por outro lado, é um programa que contém
um código malicioso ou prejudicial, criado para gerenciar arquivos do
computador da vítima e obter informações sobre a máquina ou a rede da vítima
(MITNICK; SIMON, 2003, p. 56).
Finalmente, completando a lista, o Rootkit é um ataque que consiste em
aumentar o desempenho e eficiência de um software malicioso previamente
instalado na CPU, escondendo-o e podendo, também, realizar uma captura de
ações do teclado (DIÓGENES; MAUSER, 2011, p. 22).
Página | 20
Para combater estes ataques, um bom funcionário deve realizar procedimentos
que levem a técnicas de segurança. Isso será apresentado na próxima seção, levando-se
em conta, tanto práticas genéricas quanto específicas, de acordo com a abrangência das
atividades consideradas.
Práticas Específicas
1. Contra o Phishing, o conhecimento para reconhecer fraudes virtuais e cuidado
no acesso dos links enviados por e-mail são práticas previdentes;
2. Para combater o Dumpster Diving, deve ser feita a destruição de dados que não
sejam mais necessários. Entre os procedimentos utilizados para isso, estão a
incineração de arquivos, destruição de HDs (Hard Drive – Disco Rígido) e a
adoção de equipamentos para picotar papel.
3. A melhor maneira de evitar o Cavalo de Tróia é verificar sempre a autenticidade
do remetente, além de manter os antivírus, firewalls e o sistema operacional
sempre atualizados.
4. Contra o Rootkit, é necessário manter e fazer uma varredura de dados no sistema
operacional, além de manter o antivírus e o firewall sempre atualizados. Caso o
rootkit continue na CPU, é preciso fazer uma restauração do sistema.
Práticas Gerais
1. Para a defesa contra engenharia social, o método mais indicado para proteção
dos dados é o conhecimento. Funcionários com conhecimento avançado de
segurança da informação podem utilizar-se de uma técnica chamada de
engenharia social inversa, que é a defesa em que o alvo reconhece o ataque e
usa princípios psicológicos de influência para tirar o máximo possível de
informações do atacante, preservando, assim, os ativos visados da empresa.
(MITNICK; SIMON, 2003, p. 57)
Página | 21
2. Ao acessar sites de vendas ou que envolvam dados, verificar se estes possuem a
extensão HTTPS (Hyper Text Transfer Protocol)1 com mecanismo de segurança
SSL (Secure Socket Layer)2 e/ou observar se a página possui a imagem de um
cadeado no canto inferior direito, indicando sua autenticidade e segurança.
3. É extremamente importante verificar a grafia do nome do site que o usuário irá
acessar. Diversas pessoas são enganadas por páginas e links que pareciam
conhecer, mas cujos endereços estavam grafados de forma errada, direcionando
o usuário a sites maliciosos. Estes, por sua vez, podem armazenar informações
pessoais da vítima, como dados do cartão de crédito. A troca ou ausência de uma
letra, como no endereço eletrônico www.peixeurbao.com.br3, pode expor um
usuário desatento a um ataque.
Sobre esses dois últimos pontos, Mitnick e Simon acrescentam:
O HTTP (hypertext transfer protocol) seguro ou o SSL (secure sockets layer)
fornece um mecanismo automático que usa os certificados digitais não apenas
para criptografar as informações que estão sendo enviadas para o site distante,
mas também para fornecer a autenticação (uma garantia de que você está se
comunicando com o site Web verdadeiro). Entretanto, esse mecanismo de
proteção não funciona para os usuários que não prestam atenção se o nome do
site que é exibido na barra de endereços é, na verdade, o endereço correto do
site que estão tentando acessar (MITNICK; SIMON, 2003, p. 90).
Segundo Burnett e Paine (2002, p. 279), existem quatro serviços de segurança
que auxiliam na proteção da empresa. São eles:
Autenticação: assegura para “que as pessoas que acessam a rede sejam
autorizadas” (BURNETT; PAINE, 2002, p. 279). Entre esse tipo de serviço
de segurança estão ID de usuário, senha, assinatura digital, leitores
biométricos e outras técnicas que identifiquem o funcionário.
Confidencialidade: garante “que os dados, o software e as mensagens não
sejam expostos a partes não-autorizadas” (BURNETT; PAINE, 2002, p.
1 HTTPS é um protocolo de hipertexto usado para transferir páginas Web entre um servidor e um
cliente (CRESPO, 2011, p. 195). 2 SSL é o protocolo que fornece confidencialidade e integridade entre um cliente e um servidor,
através do uso de criptografia(CRESPO, 2011, p. 195). 3 Exemplo fictício elaborado a partir de um endereço de um famoso site de compras coletivas
(www.peixeurbano.com.br).
Página | 22
279). Nesse caso, as políticas de segurança impostas pelo responsável pela
segurança da informação são exemplos de utilização desse serviço.
Integridade: deve ser utilizada “para assegurar que partes não-autorizadas
não modifiquem os dados, o software e as mensagens” (BURNETT; PAINE,
2002, p. 279). Softwares, como antivírus, firewalls, além do conhecimento
dos responsáveis pela área de T.I. (Tecnologia da Informação) podem ser
citados como exemplos desse serviço.
Não-repudio: é usado para assegurar que entes envolvidos em
comunicações através da web não possam negar sua participação nessa
comunicação. Em outras palavras, “a entidade que envia não pode negar que
tenha enviado uma mensagem (não-repúdio com prova de origem) e a
entidade receptora não pode negar ter recebido uma mensagem (não-repúdio
com prova de entrega)” (BURNETT; PAINE, 2002, p. 279). E-mails,
assinatura digital e documentos assinados são exemplos disso.
Outro cuidado que a empresa deve ter é deixar sempre o antivírus e o firewall
atualizados e ativos, além de sempre fazer “varredura de dados4” periódicas, (sugere-se
pelo menos uma vez a cada três dias). Com essas ações, é possível se defender de alguns
ataques mais fracos de rootkits e vírus, que infeccionam os dados da CPU, podendo
causar danos irreversíveis.
Além das dicas apresentadas anteriormente, segundo Silva Filho (2012), outras
medidas de segurança devem ser tomadas a fim de atenuar o sucesso do engenheiro
social:
Educação e Treinamento – Importante conscientizar as pessoas sobre o
valor da informação que elas dispõem e manipulam, seja ela de uso
pessoal ou institucional. Informar os usuários sobre como age um
engenheiro social.
Segurança Física – Permitir o acesso a dependências de uma organização
apenas às pessoas devidamente autorizadas, bem como dispor de
funcionários de segurança a fim de monitorar entrada e saída da
organização.
Política de Segurança – Estabelecer procedimentos que eliminem
quaisquer trocas de senhas. Por exemplo, um administrador jamais deve
4 Utilizar o antivírus e verificar os dados do sistema a fim de encontrar arquivos infectados.
Página | 23
solicitar a senha e/ou ser capaz de ter acesso a senha de usuários de um
sistema. Estimular o uso de senhas de difícil descoberta, além de remover
contas de usuários que deixaram a instituição.
Controle de Acesso – Os mecanismos de controle de acesso tem o
objetivo de implementar privilégios mínimos a usuários a fim de que estes
possam realizar suas atividades. O controle de acesso pode também evitar
que usuários sem permissão possam criar/remover/alterar contas e instalar
software danosos a organização. (SILVA FILHO, 2012)
É importante frisar que as medidas de Educação e Treinamento e Política de
Segurança atuam contra as técnicas de ataque apresentadas anteriormente (phishing,
vishing, dumpster diving, Cavalo de Tróia e Rootkit). A Segurança Física atua contra o
dumpster diving e o Controle de Acesso atua contra phising e vishing. Com a posse e a
prática desses conhecimentos, a empresa estará melhor preparada para defender-se
contra pessoas mal-intencionadas. E, caso atacada, as corporações podem se valer de
aspectos legais da legislação em vigor para garantir medidas punitivas que possam
minimizar, de algum modo, futuros ataques por parte de outros criminosos. Este aspecto
será abordado na próxima seção.
2.4 Legislação Brasileira
Ainda que uma empresa tome medidas defensivas contra os ataques de um
engenheiro social, no ambiente virtual, se não for tomada uma iniciativa jurídica, para
punir nos trâmites da lei, o hacker sairá impune de seus crimes, podendo posteriormente
realizar mais ataques. Essa abordagem na realidade faz uma adaptação dos crimes reais
e virtuais, representando uma alternativa legal para o controle e combate de práticas
criminosas por meio da informática.
Diferente de outros crimes virtuais que não possuem uma legislação para
proteger as corporações de forma legal, as técnicas de engenharia social são
consideradas crimes e o responsável por elas é passível de punição. As seguintes
infrações são cometidas por aqueles que utilizam desses tipos de ataques:
Falsidade Ideológica (Código Penal, Capítulo III, Artigo 299)
“Omitir, em documento público ou particular, declaração que dele devia
constar, ou nele inserir ou fazer inserir declaração falsa ou diversa da que
Página | 24
devia ser escrita, com o fim de prejudicar direito, criar obrigação ou alterar a
verdade sobre fato juridicamente relevante.
Pena: reclusão, de 1 (um) a 5 (cinco) anos, e multa, se o documento é público,
e reclusão de 1 (um) a 3 (três) anos, e multa, se o documento é particular.”
(DJI, 2012).
Estelionato (Código Penal, Capítulo VI, Artigo 171)
“Obter, para si ou para outrem, vantagem ilícita, em prejuízo alheio,
induzindo ou mantendo alguém em erro, mediante artifício, ardil, ou qualquer
outro meio fraudulento.
Pena: reclusão, de 1 (um) a 5 (cinco) anos, e multa” (DJI, 2012).
Estes aspectos legais servem como insumo para uma investigação mais
abrangente no cenário da pesquisa definitiva, em que atividades como coleta de
informações, isolamento dos dados e análise devem ser obedecidos.
Deve-se perceber que não adianta somente conhecer tais situações: ao ser
atacado, deve-se procurar um advogado, com conhecimento em Direito na Informática,
a fim de realizar os procedimentos necessários para investigar e processar o engenheiro
social. Assim, a empresa atacada poderá punir legalmente os atacantes, sendo ressarcida
financeiramente e minimizando a probabilidade do hacker atacar novamente.
2.5 Cenários
Para melhor entendimento de como analisar os danos de um ataque hacker, é
necessário apresentar cenários nos quais o engenheiro social realizou ou poderia realizar
suas habilidades de persuadir, prejudicando uma empresa ou pessoa. No presente
estudo, apresentamos essas análises através de cenários reais.
Cenário 1: Instituições financeiras
Para melhor entender este cenário, serão apresentados dados reais oriundos de
uma pesquisa realizada com 850 profissionais de segurança em TI, executada pela
empresa Check Point Software Technologies nos Estados Unidos, Canadá, Reino Unido,
Alemanha e Nova Zelândia. Ela mostrou que quase metade deles (48%) foram vítimas
Página | 25
de engenharia social e tiveram 25 ou mais ataques nos últimos dois anos. Cada um
desses incidentes custou às vítimas entre 25 mil e 100 mil dólares (Idgnow, 2011).
Como exemplo mais próximo da importância do assunto, foi desenvolvida pelo
autor uma nova pesquisa realizada envolvendo os sites dos dez maiores bancos do país5,
relativo à existência ou não de informações para os clientes no próprio site sobre
ataques de engenharia social. Apenas a título ilustrativo foram estabelecidos os
diferentes níveis para categorizar os resultados da pesquisa:
Baixo – não apresenta esclarecimentos sobre essa modalidade de ataque;
Médio – apresenta esclarecimentos sobre o tema e instruí como se defender
antes do ataque;
Alto – apresenta esclarecimentos, modos de se defender antes do ataque e como
proceder após o dano sofrido.
Os resultados do levantamento, tendo como base as informações
disponibilizadas pelas mesmas instituições financeiras, estão compilados na tabela a
seguir:
Tabela 2 – Proposta de uma métrica de segurança contra ES em bancos
Banco
(por ordem de patrimônio liq) Critério de segurança
(Informações do site)
Itaú Baixo
Santander Alto
BNDES Baixo
Banco do Brasil Baixo
Bradesco Baixo
Caixa Econômica Federal Baixo
HSBC Alto
Votorantim Baixo
Citibank Baixo
BTG Pactual Baixo
Deve-se notar que esta pesquisa não insinua que o não aparecimento do termo
indique fragilidade do banco, mas propõe que isso representa um critério de segurança
5 Para estabelecer esse ranking, o autor considerou o patrimônio líquido dos bancos segundo
dados do Banco Central do Brasil, divulgados no mês de dezembro de 2011(BCB, 2012).
Página | 26
não observado pela instituição financeira. Especialmente em um mundo em que
transparência e dados abertos surgem como novas diretivas na relação cliente-
instituição, tais dados são relevantes. Pode-se questionar a maturidade deste critério,
mas ele apresenta pelo menos duas características importantes: (a) um serviço de
informação ao usuário e (b) uma preocupação direta com a forma pela qual tais eventos
são (ou não) tratados pela instituição.
Cenário 2: Desktop Corporativo
Como outro exemplo, a empresa russa Kaspersky Lab6 (Kaspersky Lab apud
BAND, 2012) elaborou um gráfico com as vinte maiores ameaças da Web (figura 2).
Segundo esses dados, os ataques de Cavalo de Tróia (Trojan Horse) correspondem a
47% dos ataques ocorridos no ano de 2010 no Brasil. Embora essa técnica não seja uma
exclusividade do cenário de engenharia social, muitos desses ataques envolvem uma
mistura de técnicas de phishing combinado com as ferramentas maliciosas.
Figura 3 - Gráfico das 20 (vinte) maiores ameaças Web no Brasil (BAND, 2010)
6 Empresa do ramo de softwares de segurança.
Página | 27
A avaliação do diagnóstico é, em si, preocupante, pois em sua grande maioria
deixa claro que, sob a ótica do fabricante, os riscos de sofrer um ataque, especialmente
vinculado com trojan, são extremamente elevados. Isso deixa clara a necessidade de
definição de políticas e estratégias de controle dentro das instituições que possibilitem a
normatização de recomendações e boas práticas. Também é explícita a vulnerabilidade
que ambientes massivamente utilizados, como a arquitetura Windows 32 bits possuem,
o que, por outro lado, evidencia as vantagens do uso de sistemas e plataformas
alternativos.
Cenário 3: Redes Sociais
Um terceiro cenário, em ampla ascenção, onde a ação da engenharia social é
notória envolve as redes sociais. Nesse contexto, será mencionado o Facebook (site de
rede social, criado por Mark Zuckerberg e Eduardo Saverin). Esta rede social possui
atualmente quase 1 bilhão de usuários7, um aumento de 30% em comparação com o ano
anterior (EXAME, Info., 2012, p. 30).
Apesar de percentualmente a estatística de falhas de segurança, segundo o
mesmo Facebook, ser de apenas 1% de seus usuários, o volume de usuários sob o qual a
incidência de ataques ocorre resulta em valores espantosos, motivo pelo qual
documentários8 e estudos são realizados, comprovando que todos, inclusive os
profissionais mais capacitados estão sujeitos a ataque.
7 Quando da elaboração deste texto (Dezembro, 2012), a quantidade aproximada de usuários do Facebook
era de 955 milhões de usuários. 8 No documentário intitulado “Vítimas do Facebook” (disponibilizado no site
http://www.youtube.com/watch?v=taYESjyhMjY, acessado em 20/09/12) é mostrado, dentre várias
vítimas, um caso especial: em 2009, Bryan Rutberg, ex-diretor de comunicações da Microsoft, teve a sua
conta do Facebook hackeada. O atacante, fazendo-se passar por Bryan, mandou uma mensagem para
todas as pessoas da lista da vítima, dizendo que tinha sido assaltado na Inglaterra e estava sem dinheiro, e
pedia para algum amigo depositar dinheiro em uma conta que ele passou. Um de seus amigos mandou
uma mensagem perguntando se ele estava bem e disse que mandaria dinheiro, no qual foi feito, em
algumas parcelas. O atacante tinha acesso, além da lista de contatos da vítima, dados pessoais do mesmo.
Como conseqüência, o criminoso teve êxito em seu ataque, beneficiado pelo acesso as informações
obtidas via rede social.
Página | 28
Para Graham Cluley (YOUTUBE, 2012), consultor da empresa de segurança
digital Sophos, o Facebook é a incubadora de crimes digitais. No cenário de engenharia
social, ela se apresenta como uma das principais ferramentas de busca de informações
sobre os usuários e organizações, merecendo especial atenção por parte dos
responsáveis pela segurança de informação corporativa. Como ações previdentes, o
usuário não deve, por exemplo, informar dados pessoais e corporativos em sua conta ou
deve limitar o acesso de outros usuários a eles.
3. Proposta de Critérios de Segurança
No capítulo anterior, foram mostrados conceitos, técnicas de defesa, formas de
ataque e cenários envolvendo engenharia social. Neste capítulo serão apresentados
critérios que auxiliarão na medição do grau de segurança de uma organização, buscando
fornecer métodos matemáticos para avaliar cenários de segurança. Estes critérios
servem como um guia de como atuar com os dados da empresa, criar um modo de
mensurar a segurança e verificar o quanto deve ser investido para que a empresa
mantenha-se segura. Além de ataques tecnológicos, estes métodos auxiliam na defesa
contra a engenharia social e podem diminuir a probabilidade de êxito desse último tipo
de ataque.
3.1 Teste de Conformidade
Criado por Peixoto, em seu livro “Engenharia Social e Segurança da
Informação” (PEIXOTO, 2006), o Teste de Conformidade é um diagnóstico simples e
rápido, baseado em um questionário de perguntas objetivas com pontuação associada9,
que revela o índice de conformidade da empresa, com base na Norma Brasileira de
Segurança da Informação, a NBR ISSO/IEC 17799.
Sempre considerando o cenário corporativo, o Teste de Conformidade investiga
se a empresa possui políticas de segurança, segurança organizacional, classificação e
9 O questionário integral do Teste de Conformidade está disponível no anexo A.
Página | 29
controle dos ativos de informação, bem como segurança em pessoas, segurança física e
de ambiente. Outros critérios contemplam o gerenciamento das operações e
comunicações, o controle de acesso, o desenvolvimento e manutenção de sistemas;
gestão de continuidade do negócio e conformidade.
Para melhor avaliação da importância do questionário, o autor faz a seguinte
análise dos tópicos do questionário, mostrando a relação destes no contexto de combate
à engenharia social e segurança da informação em geral, se utilizados corretamente:
Política de Segurança: conjunto de parâmetros a ser seguido, tanto no combate
a engenharia social, quanto a outras falhas de segurança.
Segurança Organizacional: define a segurança dos dados de acordo com o
nível e acesso dos funcionários. Pode impedir que um funcionário descuidado,
com acesso importante a dados nos quais não trabalhe, passe informações
valiosas para um engenheiro social.
Classificação e Controle dos Ativos de Informação: impede que um ex-
funcionário tenha acesso a dados confidenciais da empresa e possa usá-los como
uma forma de ataque.
Segurança em Pessoas: capacita e responsabiliza os funcionários por seus atos
feitos dentro e fora da empresa.
Segurança Física e de Ambiente: protege o ambiente físico dos funcionários e
equipamentos contra ataques locais, como o dumpster diving, por exemplo.
Gerenciamento das Operações e Comunicações: protege os dados escritos e
de comunicações da empresa de ataques por meios eletrônicos, como o phishing
ou o vishing.
Controle de Acesso: protege a empresa contra a instalação de softwares
maliciosos, como o trojan horsing.
Desenvolvimento e Manutenção de Sistemas: protege a autenticação,
confidencialidade, integridade e não-repudio dos dados enviados e recebidos.
Página | 30
Gestão de Continuidade do Negócio: analisa a importância de continuar em um
negócio. Está ligada ao aspecto financeiro, melhor analisado no método William
T. Fine.
Conformidade: utiliza análise legal e rastreio de ações do sistema. Importante
para determinar todas as implicações legais ligadas a política de propriedade
intelectual.
Após a conclusão do questionário, a avaliação dos resultados obtidos – cuja
pontuação varia de 0 a 80 – irá mostrar uma noção de como está a empresa analisada
quanto aos controles de segurança da informação, com as seguintes variações:
Ruim - necessitando tomar medidas de segurança;
Regular - possui algumas deficiências, mas não tem tantas inconformidades nas
diretrizes de segurança da informação;
Ótimo - está seguindo os princípios primordiais de segurança da informação.
O nível de segurança, diagnosticado através dos resultados obtidos no
questionário, dependem da certeza e veracidade das respostas (para utilizar a
metodologia, ver o anexo A. Teste de Conformidade). Um exemplo de cenário onde o
Teste de Conformidade pode ser aplicado é avaliar o conhecimento dos funcionários
sobre o acesso às redes sociais dentro do ambiente corporativo, conforme mostrado na
seção 2.3.2.
3.2 Método Mosler
Este método serve de base para a identificação, análise e evolução dos fatores
que podem influir na manifestação e concretização da ameaça, projetando o impacto
causado em caso de sucesso do ataque, pela classe e dimensão de cada risco
(PEIXOTO, 2006, página 75). Para facilitar a compreensão, será proposto o seguinte
cenário fictício: uma análise do Método Mosler no contexto de uma empresa de
software. Este método é dividido em quatro fases distintas, onde uma fase depende da
outra para estabelecer uma visão global do risco (metodologia científica sequencial):
Página | 31
Definição do risco: Tem como objetivo levantar e identificar qual será o risco a
ser analisado, de acordo com determinada atividade da empresa (PEIXOTO,
2006, página 75). Podem ser analisados mais de um risco dentro deste método.
Análise do risco: É realizada com base em seis critérios descritos abaixo, sendo
cada um destes avaliados em uma escala de 1 a 5. Estes critérios são voltados
para a influência direta da materialização da ameaça identificada na fase
anterior. A seguir serão mostrados exemplos sobre a importância deles no
combate a engenharia social:
1. Função – “F”: analisa consequências negativas ou danos que podem
alterar a atividade principal da empresa. Por exemplo, pode-se avaliar
o dano de uma empresa de software que tenha os seus dados
roubados.
2. Substituição – “S”: analisa o impacto de substituição de um bem por
outro, mediante alguma ameaça. Por exemplo, pode-se analisar a
possibilidade de troca de um sistema de banco de dados por outro,
caso o primeiro apresente falhas que possam afetar a empresa.
3. Profundidade – “P”: analisa perturbações que o risco possa causar a
imagem da empresa. Por exemplo, pode-se utilizar esta análise para
avaliar o dano a uma empresa do ramo de software sobre uma
divulgação, em ambiente televisionado, de um produto que tenha
componentes que cause falhas no sistema.
4. Extensão – “E”: analisa o quão extenso, em escala territorial, o risco
pode causar em uma empresa. Por exemplo, temos uma análise do
impacto em uma empresa de software, que não consegue mais vender
para outros países.
5. Agressão – “A”: mede a possibilidade de um risco acontecer, nos
aspectos teóricos e físicos da empresa. Como exemplo, temos a
análise de revolta e greve de funcionários ao receber notícias da
empresa sobre corte de gastos e de pessoas.
Página | 32
6. Vulnerabilidade - “V”: mede, após o critério de agressão, quais as
perdas financeiras causadas pela concretização do risco, dentro de
uma escala. Como exemplo, temos uma análise financeira de uma
empresa ao ter seus produtos roubados.
Evolução do risco: quantifica o risco analisado, com base na seguinte fórmula:
ER = C ×Pb, onde C é a magnitude dada em função dos fatores mencionados na
fase anterior e Pb é a probabilidade de ocorrência do risco. Esta fase é
importante para agrupar os resultados obtidos na fase anterior, ajudando a
analisar o resultado do risco em caráter quantitativo.
Classe do risco: nesta fase, o resultado quantitativo da Evolução de Risco é
transformado em um resultado qualitativo. Compara o resultado da quantificação
da evolução com uma tabela que avalia o grau de risco da empresa, em uma
escala de 2 a 1250.
Este método depende dos dados informados pelo departamento de segurança,
quando tiver que avaliar as funções de criticidade da empresa (para utilizar a
metodologia, ver o anexo B. Método Mosler (Risco)). Um exemplo de cenário onde o
Método Mosler pode ser aplicado é uma avaliação dos riscos técnicos que a empresa
pode ter ao ser atacada por um trojan (cenário mostrado na seção 2.3.2).
3.3 Método Willian T. Fine
Esta terceira abordagem estabelece prioridade nas ações de gestão da segurança
da corporação, integrando o grau de risco com a limitação econômica. O objetivo
principal deste método é definir o Grau de Criticidade da segurança dentro da
organização, além de determinar a Justificativa de Investimento (PEIXOTO, 2006).
Apesar do Método William T. Fine não ter uma contribuição direta no combate à
engenharia social, este traz um elemento importante: a análise custo-benefício no setor
de segurança. Para isto, é feito uma fórmula de Grau de Criticidade (GC), com
resultados de valores que variam de 0,05 a 10.000. Para ser calculada, é levado em
consideração três fatores (PEIXOTO, 2006):
Página | 33
1. Consequência (C) – São os impactos mais prováveis de ocorrerem, tanto
em danos financeiros, como pessoais, em caso do evento vir a se
concretizar. Esta análise é similar ao critério de vulnerabilidade, do
Método Mosler.
2. Exposição ao risco (E) – É a freqüência com que este evento ou perigo
costuma manifestar-se na empresa ou em empresas similares.
3. Probabilidade (P) – É a real chance do evento vir a acontecer, dentro e
uma escala. Tem elementos similares ao critério de agressividade, do
Método Mosler.
A fórmula apresentada para o grau de criticidade usando tais parâmetros é dado
por:
GC = C × E × P
Realizado os cálculos e medição dos valores, parte-se para a Justificativa do
Investimento (JI), cuja fórmula é:
JI = GC / Fator de Custo × Grau de Correção
O Fator de Custo serve para mensurar, de acordo com o investimento, em uma
escala de 0 a 10, qual o valor associado aos gastos de segurança. O Grau de Correção
está associado à capacidade de eliminar e reduzir um risco, em uma escala de 1 a 6.
Quanto a Justificativa do Investimento (JI), ela avalia o resultado da seguinte forma:
Menor que 10 – Investimento duvidoso;
Entre 10 e 20 – Investimento justificado;
Maior que 20 – Investimento prontamente justificado, com grande redução de
risco.
Enquanto que o Grau de Criticidade avalia os riscos existentes na empresa, a
Justificativa de Investimento analisa o custo-benefício de se financiar ações que
poderão beneficiar a empresa, seja através de meios físicos, como a implantação de
Página | 34
acesso biométrico nas dependências da empresa, o que ajuda a prevenir um ataque
direto de um engenheiro social, seja por meios virtuais, como a utilização de
criptografia no envio de mensagens entre membros da corporação, dificultando um
ataque indireto de um hacker.
Segundo Peixoto (2006), tanto o Método Willian T. Fine quanto o Método
Mosler são baseados em grades de probabilidade, ou seja, caso a empresa não tenha um
histórico de ataques e falhas, o cálculo será feito com base em dados e avaliações
subjetivas, vide o anexo C. Método William T. Fine. Um exemplo de cenário onde o
Método William T. Fine pode ser aplicado é uma instituição bancária, fazendo uma
avaliação financeira sobre a possibilidade de potencializar as informações de segurança
para os clientes, seja em um comercial ou até mesmo no próprio site da mesma. Como
mostrado na seção 2.3.2.
3.4. Proposta de Síntese de Métodos
Visão Geral do PSU
Nos tópicos anteriores, foram apresentados três métodos de segurança, cada um
sendo necessário para avaliar determinados aspectos de segurança. Separados, estes
métodos não avaliam uma empresa em sua plenitude, conforme podem ser percebidas as
seguintes limitações:
O Teste de Conformidade apresenta um questionário que auxilia a
compreenção dos funcionários quanto à segurança de seus dados, mas
não avalia o custo para poder manter a segurança;
O Método de Mosler avalia as dimensões que um ataque possa causar em
uma empresa, mas não considera aspectos financeiros;
O Método de William T. Fine avalia os custos para manter a segurança
de uma empresa e o quanto a corporação irá arcar financeiramente caso
ocorra um incidente de segurança, deixando de lado aspectos que
envolvem as políticas internas e elementos de avaliação de risco.
Página | 35
Uma avaliação comparativa entre os métodos pode ser mostrada na tabela 3, em
que são detalhadas algumas diferenças significativas.
Tabela 3 – Comparação dos métodos de avaliação de segurança
Vantagem Desvantagem
Teste de
Conformidade
Diagnóstico simples que
conscientiza os funcionários
sobre os riscos da empresa
Como se trata de um questionário, é
subjetivo
Método Mosler
Avalia dimensões que um
ataque possa causar a uma
empresa
Não avalia tão bem o aspecto
financeiro
Método William T.
Fine
Avalia os custos para manter
a segurança de uma empresa
A avaliação é maior no cunho
financeiro. Quanto à avaliação
técnica, não é tão preciso quanto o
Método Mosler
Como conclusão desta análise comparativa, propõe-se que, em vez de se optar
por apenas um dos métodos, seja possível fazer uma avaliação dos três, de forma que os
resultados individuais sejam ponderados, fazendo com que o resultado de cada método
influencie o resultado final do nível de segurança de uma empresa. Para isso, o autor
propõe integrar estes três mesmos métodos, criado uma parametrização, chamada de
Ponderação de Segurança Unificada (PSU). Em termos absolutos, a proposta leva à
seguinte expressão:
PSU = (A × B × C) / 100
Nesta fórmula:
A = IC (Índice de Conformidade – do Teste de Conformidade) / 8;
B = ER (Evolução do Risco – do Método de Mosler) / 125;
C = JI (Justificativa de Investimento – um dos parâmetros do Método
William T. Fine) / 2.
Retomando a fórmula, pode-se expressá-la diretamente por:
PSU = (IC/8) × (ER/125) × (JI/2) / 100
Página | 36
Os fatores apresentados como divisores buscam apenas normalizar todos os
termos para assumirem valores de 0 a 10. Desta forma, a normalização final feita na
fórmula permite ajustá-la igualmente para a faixa de 0 a 10 e a multiplicação de termos
força que os 3 resultados obtidos (A, B e C) tivessem o mesmo peso dentro do PSU.
Desta forma, exige-se que as organizações tenham um bom desempenho nas três
metodologias apresentadas anteriormente para ter um bom resultado no PSU.
Análise do PSU
Considerando as propostas anteriores e, em especial, a síntese dos métodos, de
acordo com a fórmula do PSU, cabe aqui identificar algumas das ações necessárias para
a apresentação de práticas de defesa em cenário corporativo: a atenção na análise das
metodologias, a seriedade e veracidade nas respostas e o comprometimento em seguir
os parâmetros de segurança que as metodologias podem proporcionar.
Utilizando estes parâmetros, de forma correta, a análise de segurança de uma
empresa será mais precisa, por permitir a ponderação entre diferentes elementos que
envolvem aspectos de políticas de segurança, métricas de ataques e parâmetros de
segurança.
Para além das fórmulas, uma questão derivada envolve a maneira pela qual a
engenharia social interfere nos parâmetros da equação: a maneira pela qual o coeficiente
foi proposto exige que haja um equilíbrio entre os parâmetros, o que depende
diretamente do êxito em gerenciar ativos (Conformidade), gerência de riscos (Mosler) e
investimentos (Fine).
A engenharia social atua diretamente nos dois primeiros e exige um aporte
superior de recursos para o terceiro método, de maneira que uma equação equilibrada
certamente refletirá procedimentos de gestão que ajudam a atenuar os efeitos desta
prática de ataque.
Como objetivos finais do PSU, têm-se: maior precisão da análise de segurança
de uma empresa; ponderação mais ampla dos elementos de segurança, métricas de
Página | 37
ataques e parâmetros de segurança; e uma métrica para avaliar a interferência da
engenharia social.
O PSU deve ser aplicado por um chefe de segurança da informação dentro da
empresa, pois é exigido o acesso a informações sigilosas. Além disso, a corporação não
irá expor um resultado negativo da análise para o público externo.
Aplicação do PSU
A aplicação do PSU leva obrigatoriamente a uma métrica que depende
diretamente das avaliações dos métodos de conformidade, Mosley e Fine. Propõe-se
para a análise do resultado, a aplicação de um critério de normalização, utilizando
Fibonacci10
, uma fórmula científica que trabalha com valores que não são múltiplos
entre si. No critério utilizado para a classificação dos valores do PSU, foram
considerados 3 números genéricos (n1 = a, n2 = a + b, n3 = a + b + c), para os quais, ao
assumir um valor total de 10, foram considerados os seguintes valores: a = 1, b = 2, c =
3, levando portanto à seguinte escala:
0 a 6 (n3): Nível baixo de segurança: A sua empresa está correndo um
sério risco. É necessário implementar medidas de proteção e prevenção, a
fim de sanar os problemas encontrados;
Entre 6 (n3) e 9 (n3 + n2): Nível moderado de segurança: Sua empresa
segue algumas diretrizes de segurança, mas possui algumas falhas. Com
maior dedicação e atenção sobre as políticas de segurança da empresa, o
nível de proteção deve aumentar.
Entre 9 (n3 + n2) e 10 (n3 + n2 + n1): Nível superior de segurança: A
sua empresa segue bem as normas de segurança, fazendo com que a
probabilidade de um engenheiro social ter êxito em um ataque seja
mínima. Mas não descuide do seu trabalho. É necessário ficar sempre
alerta, a fim de evitar alguma ação danosa.
10
Série desenvolvida por um matemático Italiano, em que cada termo subsequente corresponde à soma
dos dois precedentes. Ou seja: f(n) = f(n-1) + f(n-2).
Página | 38
O objetivo da adoção da fórmula de Fibonacci foi o de estabelecer faixas
discretas para avaliação dos resultados. Através desta classificação, percebe-se que, de
fato, para se alcançar um nível satisfatório ou alto de segurança, deve haver uma
qualificação alta dos critérios de segurança exigidos pelos diferentes critérios que
compõem os termos do PSU, o que certamente é um bom indicativo do quão segura está
a organização em diferentes niveis de segurança, incluindo aqueles diretamente
influenciados pela engenharia social.
Página | 39
4. Conclusão
Essa pesquisa contempla um cenário particularmente interessante envolvendo a
gestão corporativa de TI: a engenharia social e como combatê-la. O trabalho envolveu
tanto a discussão teórica das técnicas e procedimentos relacionados aos ataques de
engenharia social, quanto a avaliação de diversos métodos que permitam migrar da
análise especulativa para elementos quantitativos.
A utilização correta dos meios tecnológicos e meios físicos dos membros da
empresa, no que tange ao assunto de dados empresariais, seria uma grande conquista
para a segurança da informação dentro do ambiente corporativo. Muito embora a
tecnologia possa aprimorar seus recursos, a componente que envolve o fator humano
sempre se apresenta como o elo mais frágil do contexto e segurança.
Não existe uma maneira que elimine completamente o risco à engenharia social.
No entanto, existem medidas para dificultar o acesso de terceiros (engenheiros sociais,
terroristas, hackers, ou mesmo um ex-empregado vingativo) as dados pertinentes da
empresa. São exemplos de ações preventivas: treinamentos de segurança de dados
corporativos, conhecimento de técnicas de engenharia social, assim como a
responsabilidade e atenção dos funcionários com manipulação, destaque e transmissão
de arquivos corporativos.
O desenvolvimento de estudos na área da engenharia social, além de representar
uma necessidade atual, envolve os conceitos de segurança e os métodos que auxiliarão
na proteção contra da própria a engenharia social, bem como contra ataques
tecnológicos. Considerando a importância de uma corporação se proteger, a análise de
diversos critérios de segurança ajudará a avaliar o nível de defesa de uma empresa
perante a engenharia social.
O presente estudo parte de três critérios de segurança: o Teste de Conformidade,
o Método Mosler e o Método William T. Fine, para consolidar essas diversas métricas
em um único critério, chamado de Ponderação de Segurança Unificada. Os métodos de
ataques de engenharia social são amplos e englobam conhecimentos sobre dados da
Página | 40
empresa (cuja análise é feita pelo Teste de Conformidade), entendimento dos riscos
relativos aos dados (análise feita pelo Método Mosler) e compreensão dos danos
financeiros que podem ser causados (que pode ser estimado através do Método William
T. Fine). Precisou-se ponderar estas três metodologias, a fim de obter uma análise mais
precisa sobre os danos e a proteção que as empresas devem ter com os seus dados para
prevenir a engenharia social.
Através da junção e parametrização dos três métodos, de forma que os resultados
de cada um sejam ponderados, de forma que os resultados individuais influenciem o
resultado final do nível de segurança corporativo, de quantitativos para qualitativos,
através de uma classificação de valores que não são múltiplos entre si, chegou-se ao
PSU (Ponderação de Segurança Unificada).
Como trabalhos futuros, sugerem-se a criação de políticas específicas de
segurança que utilizem os métodos apresentados (Conformidade, Mosler, William T.
Fine) e, através dos estudos apresentados, criar um checklist que auxilie na defesa
contra ataques de engenharia social.
Página | 41
Anexos
Os métodos de segurança apresentados na seção 3 deste trabalho.
A. Teste de Conformidade
Adaptado do livro Engenharia Social e Segurança da Informação na Gestão
Corporativa (PEIXOTO, 2006, páginas 66 a 74). Baseia-se na utilização de um
procedimento simples: um questionário de perguntas e respostas em se deve escolher
apenas uma resposta para cada pergunta e contabilize os pontos ao final.
1. Política de Segurança
Política de Segurança?
A) ( ) SIM ; B) ( ) SIM, MAS É FALHA ; C) ( )
NÃO
Alguma responsável pela gestão da política de
segurança?
A) ( ) SIM ; B) ( ) SIM, MAS É FALHO ; C) ( )
NÃO
2. Segurança Organizacional
Infraestrutura de segurança da informação para
gerenciar as ações corporativas?
A) ( ) SIM ;
B) ( ) SIM, PORÉM DESATUALIZADA ;
C) ( ) NÃO
Fórum de segurança formado pelo corpo diretor, a
fim de gerir mudanças estratégicas?
A) ( ) SIM ;
B) ( ) SIM, PORÉM NÃO ESTÁ
DESEMPENHANDO ESTA FUNÇÃO ;
C) ( ) NÃO
Definição clara das atribuições de responsabilidade
associadas à segurança da informação?
A) ( ) SIM ;
B) ( ) SIM, PORÉM DESATUALIZADA;
C) ( ) NÃO
Identificação dos riscos no acesso de prestadores de
serviço?
A) ( ) SIM ;
B) ( ) SIM, PORÉM DESATUALIZADA ;
C) ( ) NÃO
Controle de acesso específico para prestadores de
serviço?
A) ( ) SIM ;
B) ( ) SIM, PORÉM DESATUALIZADO ;
C) ( ) NÃO
Requisitos de segurança dos contratos de
terceirização?
A) ( ) SIM ;
B) ( ) SIM, PORÉM DESATUALIZADOS;
C) ( ) NÃO
3. Classificação e Controle dos Ativos de
Informação
Inventário dos ativos físicos, tecnológicos e
humanos?
A) ( ) SIM ;
B) ( ) SIM, PORÉM DESATUALIZADOS;
C) ( ) NÃO
Critérios de classificação da informação?
A) ( ) SIM ;
B) ( ) SIM, PORÉM DESATUALIZADOS;
Página | 42
C) ( ) NÃO
4. Segurança em Pessoas
Critérios de seleção e política de pessoal?
A) ( ) SIM ;
B) ( ) SIM, PORÉM DESATUALIZADOS;
C) ( ) NÃO
Acordo de confidencialidade, termos e condições de
trabalho?
A) ( ) SIM ;
B) ( ) SIM, PORÉM DESATUALIZADOS;
C) ( ) NÃO
Processos para capacitação e treinamento de
usuários?
A) ( ) SIM ;
B) ( ) SIM, PORÉM DESATUALIZADOS;
C) ( ) NÃO
Estrutura para notificar e responder aos incidentes e
falhas de segurança?
A) ( ) SIM ;
B) ( ) SIM, PORÉM DESATUALIZADA;
C) ( ) NÃO
5. Segurança em Pessoas
Definição de perímetros e controles de acesso físico
aos ambientes?
A) ( ) SIM ;
B) ( ) SIM, PORÉM DESATUALIZADA;
C) ( ) NÃO
Recursos para segurança e manutenção dos
equipamentos?
A) ( ) SIM ;
B) ( ) SIM, PORÉM DESATUALIZADA;
C) ( ) NÃO
Estrutura para fornecimento adequado de energia?
A) ( ) SIM ;
B) ( ) SIM, PORÉM DESATUALIZADA;
C) ( ) NÃO
Segurança do cabeamento?
A) ( ) SIM ;
B) ( ) SIM, PORÉM DESATUALIZADA;
C) ( ) NÃO
6. Gerenciamento das Operações e
Comunicações
Procedimentos e responsabilidades operacionais?
A) ( ) SIM ;
B) ( ) SIM, PORÉM DESATUALIZADOS;
C) ( ) NÃO
Controle de mudanças operacionais?
A) ( ) SIM ;
B) ( ) SIM, PORÉM DESATUALIZADOS;
C) ( ) NÃO
Segregação de funções e ambientes?
A) ( ) SIM ;
B) ( ) SIM, PORÉM DESATUALIZADA;
C) ( ) NÃO
Planejamento e aceitação de sistemas?
A) ( ) SIM ;
B) ( ) SIM, PORÉM DESATUALIZADOS;
C) ( ) NÃO
Procedimentos para cópias de segurança?
A) ( ) SIM ;
B) ( ) SIM, PORÉM DESATUALIZADOS;
C) ( ) NÃO
Controles e gerenciamento de Rede?
A) ( ) SIM ;
B) ( ) SIM, PORÉM DESATUALIZADOS;
C) ( ) NÃO
Mecanismos de segurança e tratamento de mídias?
A) ( ) SIM ;
B) ( ) SIM, PORÉM DESATUALIZADOS;
C) ( ) NÃO
Página | 43
Procedimentos para documentação de sistemas?
A) ( ) SIM ;
B) ( ) SIM, PORÉM DESATUALIZADOS;
C) ( ) NÃO
Mecanismos de segurança do correio eletrônico
A) ( ) SIM ;
B) ( ) SIM, PORÉM DESATUALIZADOS;
C) ( ) NÃO
7. Controle de Acesso
Requisitos do negócio para controle de acesso?
A) ( ) SIM ;
B) ( ) SIM, PORÉM DESATUALIZADOS;
C) ( ) NÃO
Gerenciamento de acessos do usuário?
A) ( ) SIM ;
B) ( ) SIM, PORÉM DESATUALIZADO;
C) ( ) NÃO
Controle de acesso à rede?
A) ( ) SIM ;
B) ( ) SIM, PORÉM DESATUALIZADO;
C) ( ) NÃO
Controle de acesso ao sistema operacional?
A) ( ) SIM ;
B) ( ) SIM, PORÉM DESATUALIZADO;
C) ( ) NÃO
Controle de acesso às aplicações?
A) ( ) SIM ;
B) ( ) SIM, PORÉM DESATUALIZADO;
C) ( ) NÃO
Monitoração do uso e acesso ao sistema?
A) ( ) SIM ;
B) ( ) SIM, PORÉM DESATUALIZADO;
C) ( ) NÃO
Critérios para computação móvel e trabalho remoto?
A) ( ) SIM ;
B) ( ) SIM, PORÉM DESATUALIZADO;
C) ( ) NÃO
8. Desenvolvimento e Manutenção
Requisitos de segurança de sistemas?
A) ( ) SIM ;
B) ( ) SIM, PORÉM DESATUALIZADOS;
C) ( ) NÃO
Controles de criptografia?
A) ( ) SIM ;
B) ( ) SIM, PORÉM DESATUALIZADOS;
C) ( ) NÃO
Mecanismos de segurança nos processos de
desenvolvimento e suporte?
A) ( ) SIM ;
B) ( ) SIM, PORÉM DESATUALIZADOS;
C) ( ) NÃO
9. Gestão da Continuidade do Negócio
Processo de gestão da continuidade do negócio?
A) ( ) SIM ;
B) ( ) SIM, PORÉM DESATUALIZADO;
C) ( ) NÃO
10. Conformidade
Gestão de conformidades técnicas e legais?
A) ( ) SIM ;
B) ( ) SIM, PORÉM DESATUALIZADA;
C) ( ) NÃO
Recursos e critérios para auditoria de sistemas?
A) ( ) SIM ;
B) ( ) SIM, PORÉM DESATUALIZADOS;
C) ( ) NÃO
Some os pontos correspondentes às respostas de
acordo com a tabela a seguir:
Resposta A: some 2 pontos
Resposta B: some 1 ponto
Resposta C: não some nem subtraia pontos.
Página | 44
De acordo com os resultados, podem ser feitas as seguintes suposições:
Resultados entre 0-26
Cuidado! A situação não é nada boa para a empresa. É necessário fazer uma série de medidas, a fim de
melhorar a segurança da organização, entre elas uma análise de riscos, maior atenção nas políticas de segurança (caso
ajam: se não houver, o questionário acima dá uma boa referência de como fazer) e conscientização dos funcionários
quanto ao controle de seus dados profissionais.
Resultados entre 27-53
Atenção! Não está apresentando tantas inconformidades quanto as diretrizes de segurança da informação,
mas ainda existem deficiências que devem ser superadas, a fim de elevar o nível de segurança da empresa.
Resultados entre 54-80
Parabéns! A empresa está desempenhando um bom trabalho, no que tange ao assunto de segurança da
informação.
B. Método Mosler (Risco)
Adaptado do livro Engenharia Social e Segurança da Informação na Gestão
Corporativa (PEIXOTO, 2006, páginas 75 a 79)
5.2.1. Análise do Risco
Após a definição conceitual de Risco, passa-se para a segunda fase, que realiza a análise do risco com base em seis
critérios. Está análise se dá através de um questionário, com pontuações que variam de 1 a 5, dependendo de sua
gravidade. Os critérios são:
1. Critério da Função – “F”
Projeta as conseqüências negativas ou danos que podem alterar a atividade principal da empresa, dentro da seguinte
gradação:
ESCALA PONTUAÇÃO
MUITO GRAVEMENTE 05
GRAVEMENTE 04
MEDIAMENTE 03
LEVEMENTE 02
MUITO LEVEMENTE 01
2. Critério da Substituição – “S”
Avalia o impacto da concretização da ameaça sobre os bens, ou seja, o quanto os bens podem ser substituídos.
Página | 45
ESCALA PONTUAÇÃO
MUITO DIFICILMENTE 05
DIFICILMENTE 04
SEM MUITAS DIFICULDADES 03
FACILMENTE 02
MUITO FACILMENTE 01
3. Critério da Profundidade – “P”
Após materializar o risco, este critério mede as pertubações e os efeitos negativos que o risco pode causar para a
imagem da empresa.
ESCALA PONTUAÇÃO
PERTUBAÇÕES MUITOS GRAVES 05
GRAVES 04
LIMITADAS 03
LEVES 02
MUITO LEVES 01
4. Critério da Extensão – “E”
Mede o alcance e a extensão que o dano causa para a empresa.
ESCALA PONTUAÇÃO
DE CARÁTER INTERNACIONAL 05
DE CARÁTER NACIONAL 04
DE CARÁTER REGIONAL 03
DE CARÁTER LOCAL 02
DE CARÁTER INDIVIDUAL 01
5. Critério da Agressão – “A”
Mede a possibilidade de dano ou risco vir a acontecer, nos aspectos conjuturais e físicos da empresa.
ESCALA PONTUAÇÃO
MUITO ALTA 05
ALTA 04
NORMAL 03
BAIXA 02
MUITO BAIXA 01
Página | 46
6. Critério da Vulnerabilidade – “V”
Após o nível do critério da agressão, este critério mede quais as perdas causadas pela concretização do risco, no
aspecto financeiro.
ESCALA PONTUAÇÃO
MUITO ALTA 05
ALTA 04
NORMAL 03
BAIXA 02
MUITO BAIXA 01
5.2.2. Evolução do Risco
Esta fase tem por objetivo pegar as informações obtidas pela Análise de Riscos e quantificá-las, através de fórmulas,
a fim de ter uma variável para a Evolução do Risco. As fórmulas criadas para isso são:
ER = C x Pb , onde ER = Evolução de Risco, C = Magnitude do risco, Pb = probabilidade de ocorrência;
C = I + D , onde I = impotância do sucesso, D = danos causados;
I = F x S , onde F = Função, S = Substituição;
D = P x E , onde P = Profundidade, E = Extensão;
Pb = A x V , onde A = Agressão, S = Substituição;
5.2.3. Classe do Risco
Esta fase compara o resultado das fórmulas calculadas acima com a tabela 4, para chegar a uma classe de risco:
Tabela 4 – Valor de Quantificação da Classe de Risco
VALOR “ER” - QUANTIFICAÇÃO CLASSE DE RISCO
2 – 250 MUITO BAIXO
251-500 PEQUENO
501-750 NORMAL
751-1000 GRANDE
1001-1250 ELEVADO
Página | 47
C. Método William T. Fine
Adaptado do livro Engenharia Social e Segurança da Informação na Gestão
Corporativa (PEIXOTO, 2006, páginas 82 a 85)
Utiliza fórmulas, com resultados dados em grades de probabilidade, como o Método Mosler. Caso não
tenha histórico, o cálculo terá como base dados e avaliações subjetivas. Para utilizar este método, são realizadas duas
fórmulas: uma para estimar o grau de criticidade e outra para justificar o investimento.
1. Grau de Criticidade – GC
A fórmula dar-se por: GC = C x E x P, onde C = Consequência, E = Exposição ao risco, P = Probabilidade.
Os valores obtidos são resultado de uma classificação intermediária dos fatores de risco, que decresce de forma
linear, assegurando uma correção no incremento do GC. A fixação destes valores utiliza também estatísticas e
referências, históricas e mundiais. O resultado esta descrito na tabela a seguir:
FATOR CLASSIFICAÇÃO VALOR
CONSEQUÊNCIA - C
A) quebra da atividade, fim da empresa, dano superior a um
milhão de dólares 100
B) dano entre US$ 500 mil e US$ 1 milhão 50
C) dano entre US$ 100 mil e US$ 500 mil 25
D) dano entre US$ 1 mil e US$ 100 mil 15
E) dano abaixo de US$ 1 mil 5
F) pequenos danos 1
EXPOSIÇÃO - E
A) várias vezes ao dia – frequentemente 10
B) uma vez ao dia 5
C) uma vez por semana ou mês – ocasionalmente 3
D) uma vez ao mês ou ao ano – irregularmente 2
E) raramente - sabe-se que ocorre, mas não com qual frequência 1
F) remotamente possível, não se sabe se já ocorreu 0,5
PROBABILIDADE - P
A) espera-se que aconteça 10
B) completamente possível - 50% de chances 6
C) coincidência se acontecer 3
D) coincidência remota - sabe-se que já ocorreu 1
E) extremamente remota, porém possível 0,5
F) praticamente impossível de ocorrer, uma chance em um
milhão. 0,1
Página | 48
A escala de valores para priorização dos riscos é:
GRAU DE CRITICIDADE –
GC PRIORIDADES - AÇÕES A TOMAR
GC MAIOR OU IGUAL A 200
CORREÇÃO IMEDIATA - RISCO TEM QUE SER
DIMINUÍDO
C ABAIXO DE 200 E MAIOR
OU IGUAL A 85 CORREÇÃO URGENTE - REQUER ATENÇÃO
GC MENOR QUE 85 RISCO DEVE SER ELIMINADO
2. Justificativa do Investimento
A fórmula dar-se por: JI = GC/ Fator de Custo x Grau de Correção. Tanto o Fator de Custo quanto o
Grau de Correção são escalas de valores descritos em tabelas, sendo:
Fator de Custo
Grau de Correção
Em 1976, foi estabelecida como padrão pela Associação Americana de Gerenciamento de Riscos a tabela
abaixo, com base nos valores do Índice de Justificação.
Escala de Valoração do Índice e Justificação
CLASSIFICAÇÃO VALOR
MAIOR QUE US$ 50.000 10
ENTRE US$ 25.000 E US$ 50.000 6
ENTRE US$ 10.000 E US$ 25.000 4
ENTRE US$ 1.000 E US$ 10.000 3
ENTRE US$ 100 E US$ 1.000 2
ENTRE US$ 25 E US$ 100 1
MENOS QUE US$ 25 0,5
CLASSIFICAÇÃO VALOR
RISCO ELIMINADO - 100% 1
RISCO REDUZIDO - 75% 2
RISCO REDUZIDO ENTRE 50% E 75% 3
RISCO REDUZIDO ENTRE 25% E 50% 4
RISCO MENOR QUE 25% 5
FATOR ÍNDICE DE JUSTIFICAÇÃO - IJ COMENTÁRIOS
IJ MENOR QUE 10 INVESTIMENTO DUVIDOSO
IJ ENTRE 10 E 20 INVESTIMENTO NORMALMENTE JUSTIFICADO
IJ MAIOR QUE 20 INVESTIMENTO PLENAMENTE JUSTIFICADO, GRANDE REDUÇÃO DE RISCO
Página | 49
Referências Bibliográficas
BAND Divulgadas as maiores ameaças da web no Brasil no último trimestre
Disponível em http://www.band.com.br/noticias/tecnologia/noticia/?id=251215
Acesso em: 07/05/2012
BCB, BANCO CENTRAL DO BRASIL. 50 maiores bancos e o consolidado do
Sistema Financeiro Nacional. Disponível em
http://www4.bcb.gov.br/top50/port/top50.asp Acesso em: 05/05/2012
BURNETT, Steve. PAINE, Stephen. CRIPTOGRAFIA E SEGURANÇA: o guia
oficial RSA. Rio de Janeiro: Editora Campus, 2002.
CERT.br. Cartilha de Segurança para Internet. Versão 3.1. São Paulo: Comitê
Gestor da Internet no Brasil, 2006. Disponível em http://cartilha.cert.br/. Acesso
em: 16/04/2012.
CRESPO, Marcelo Xavier de Freitas. CRIMES DIGITAIS. São Paulo: Editora
Saraiva, 2011.
DIÓGENES, Yuri. MAUSER, Daniel. CERTIFICAÇÃO SECURITY+ Da Prática
Para o Exame SYO-301. Rio de Janeiro: Novaterra, 2011.
DJI. Índice Fundamental de Direito. Disponível em
http://www.dji.com.br/codigos/1940_dl_002848_cp/cp296a305.htm Acesso em:
17/04/2012
DJI. Índice Fundamental de Direito. Disponível em
http://www.dji.com.br/codigos/1940_dl_002848_cp/cp171a179.htm Acesso em:
17/04/2012
EXAME, Info. Adeus Chefe, Nº 320, São Paulo, Setembro/2012
Página | 50
Idgnow. Ataques de engenharia social custam caro às empresas, diz estudo.
Disponível em http://idgnow.uol.com.br/seguranca/2011/09/21/ataques-de-
engenharia-social-custam-caro-as-empresas-diz-estudo/ Acesso em: 24/02/2012.
ISO, International Organization for Stadardization. Disponível em
http://www.iso.org/iso/catalogue_detail?csnumber=39612 Acesso em:
17/04/2012.
MITNICK, Kevin D. SIMON, William L. A Arte de Enganar. São Paulo: Pearson
Education, 2003.
NAKAMURA, Emilio Tissato. GEUS, Paulo Lício de. Segurança de redes em
ambientes corporativos. São Paulo: Novatec Editora, 2007.
PEIXOTO, Mário César Pintaudi. Engenharia social & Segurança da informação na
gestão corporativa. Rio de Janeiro: Brasport, 2006.
SECURITY ONE Disponível em
http://securityone.com.br/artigos/resenha_engenharia_social.pdf Acesso em:
28/04/2012
SILVA FILHO, Antônio Mendes da. Entendendo e Evitando a Engenharia Social:
Protegendo Sistemas e Informações. Disponível em
http://www.espacoacademico.com.br/043/43amsf.htm Acesso em: 06/05/2012
ULBRICH, Henrique Cesar. VALLE, James Della. Universidade Hacker. 5ª ed. São
Paulo: Digerati Books, 2007.
YOUTUBE. Vítimas do Facebook (Documentário legendado em português).
Disponível em http://www.youtube.com/watch?v=taYESjyhMjY Acesso em:
20/09/12
