faculdade farias brito cincia da...

Click here to load reader

Download FACULDADE FARIAS BRITO CINCIA DA cdn.ffb.edu.br/sites/default/files/tcc_-_2012_2_-_davi_miranda... 

Post on 28-Sep-2018

214 views

Category:

Documents

0 download

Embed Size (px)

TRANSCRIPT

  • Pgina | 1

    FACULDADE FARIAS BRITO

    CINCIA DA COMPUTAO

    DAVI MIRANDA SIQUEIRA SILVA

    ANLISE DE METDOS DE DEFESA CONTRA ENGENHARIA SOCIAL EM

    AMBIENTES CORPORATIVOS

    Fortaleza

    Dezembro/2012

  • Pgina | 2

    DAVI MIRANDA SIQUEIRA SILVA

    ANLISE DE METDOS DE DEFESA CONTRA ENGENHARIA SOCIAL EM

    AMBIENTES CORPORATIVOS

    Monografia apresentada para obteno

    dos crditos da disciplina Trabalho de

    Concluso de Curso da Faculdade Farias

    Brito como parte das exigncias para

    graduao no Curso de Cincias da

    Computao

    Orientador: Dr. Paulo Benicio Melo de

    Sousa

    Fortaleza

    Dezembro/2012

  • Pgina | 3

    ANLISE DE METDOS DE DEFESA CONTRA ENGENHARIA SOCIAL EM

    AMBIENTES CORPORATIVOS

    _________________________

    Davi Miranda Siqueira Silva

    PARECER __________________

    NOTA: FINAL (0 10): _______

    Data: __/___ /____

    BANCA EXAMINADORA:

    _____________________________

    Dr. Paulo Bencio Melo de Sousa

    Orientador

    _____________________________

    Msc. Srgio Arajo Yunes

    Examinador

    _____________________________

    Msc. Maikol Magalhes Rodrigues

    Examinador

  • Pgina | 4

    AGRADECIMENTO

    Agradeo a Deus pelas lies e conquistas de cada dia.

    Aos meus pais pelo incentivo e apoio, na faculdade, no trabalho e na vida.

    Manuella Nobre, pela correo textual e apoio emocional.

    Ao meu orientador, Prof. Dr. Paulo Bencio, pela pacincia e apoio para

    concretizar este trabalho.

    Aos demais professores pelos ensinos e conselhos dados. Muitos deles no sero

    esquecidos.

    Aos meus amigos que fizeram parte desta trajetria, estudando e ajudando na

    faculdade e na vida.

    Aos leitores, pois este trabalho foi feito para vocs. Espero que desfrutem do

    contedo.

  • Pgina | 5

    O preo da liberdade a vigilncia eterna.

    Thomas Jefferson

  • Pgina | 6

    RESUMO

    O objetivo desse estudo analisar as formas de ataque e a aes de segurana contra a

    engenharia social em ambientes corporativos. Sero abordados os conceitos relevantes

    ao tema, bem como trs critrios de segurana: o Teste da Conformidade, Mtodo

    Mosler e Mtodo William T. Fine. O presente trabalho prope ainda uma sntese desses

    mtodos, a partir de uma frmula denominada de Ponderao de Segurana Unificada

    (PSU). Como metodologias de pesquisa foram adotadas a pesquisa por analogia, com

    o intuito de propor uma anlise de casos fictcios para exemplificar diversos cenrios de

    ataques de engenharia social, e uma anlise comparativa, tendo como objetivo analisar

    metodologias de segurana e unir-las em uma nica metodologia, a Ponderao de

    Seguraa Unificada (PSU).

    Palavras-chaves: Engenharia Social Segurana da Informao - PSU

  • Pgina | 7

    ndice

    1. Introduo....................................................................................................................11

    2. Engenharia Social ....................................................................................................... 13 2.1 Conceito ............................................................................................................ 13 2.2 Histrico ........................................................................................................... 16 2.3 Procedimentos .................................................................................................. 17 2.4 Legislao Brasileira ........................................................................................ 23

    2.5 Cenrios ............................................................................................................ 24 3. Proposta de Critrios de Segurana ............................................................................ 28

    3.1 Teste de Conformidade ..................................................................................... 28 3.2 Mtodo Mosler ................................................................................................. 30 3.3 Mtodo Willian T. Fine .................................................................................... 32

    3.4. Proposta de Sntese de Mtodos ...................................................................... 34 4. Concluso ................................................................................................................... 39

    Anexos ............................................................................................................................ 41 A. Teste de Conformidade ...................................................................................... 41 B. Mtodo Mosler (Risco) ...................................................................................... 44 C. Mtodo William T. Fine .................................................................................... 47

    Referncias Bibliogrficas .............................................................................................. 49

  • Pgina | 8

    Listas de Figuras

    Figura 1 - Etapas do Ataque de Engenharia Social (Security One, 2012) .................... 14 Figura 2 - Estrutura de Ataque de um Engenheiro Social (PEIXOTO, 2006). ............. 15

    Figura 3 - Grfico das 20 (vinte) maiores ameaas Web no Brasil (BAND, 2010) ...... 26

  • Pgina | 9

    Lista de Tabelas

    Tabela 1 - Nomenclatura dos atacantes......................................................................... 17

    Tabela 2 Proposta de uma mtrica de segurana contra ES em bancos......................25

    Tabela 3 Comparao dos mtodos de avaliao de segurana..................................35

    Tabela 4 Valor de Quantificao da Classe de Risco................................................ 46

  • Pgina | 10

    Lista de Abreviaturas e Siglas

    CPU Computer Personal Unit (Unidade de Computador Pessoal)

    HD Hard Drive (Disco Rgido)

    HTTP Hyper Text Transfer Protocol (Protocolo de Transferncia de Hipertexto)

    ID Identify (Identidade)

    IEC - International Electrotechnical Commission (Comisso Eletrotcnica

    Internacional)

    IGD - Informaes Gerais Disponveis

    IP Internet Protocol (Protocolo de Internet)

    ISE - Informaes Sigilosas da Empresa

    ISO International Organization for Standardization (Organizao Internacional para

    Padronizao)

    NBR Normas Brasileiras

    OE - Organizao - Empresa

    PSU - Ponderao de Segurana Unificada

    SSL Secure Socket Layer (Camada de Proteo de Soquete)

    TI Tecnologia da Informao

    VA - Vtima Ativa

    VS - Vtima Superficial

  • Pgina | 11

    1. Introduo

    A Internet se tornou uma necessidade, seja para negcios ou para uso pessoal.

    Fonte de informao e diverso, ela encurtou distncias e permitiu a comunicao

    instantnea, mas seu uso descontrolado tambm pode trazer males. Trojans, Spywares,

    Rootkits e outras tcnicas de programao so utilizadas por pessoas mal-intencionadas

    (hackers), trazendo prejuzos financeiros e abalando reputaes. Empresas de segurana

    da informao, como Karpersky, Avast, AVG, Norton, dentre outras, criam softwares

    para proteger corporaes e pessoas destes males. Eles costumam defender seus dados

    com os softwares de antivrus e firewall - componente ou conjunto de componentes que

    restringe o acesso entre uma rede protegida e a Internet, ou entre outros conjuntos de

    redes (CHAPMAN apud NAKAMURA, GEUS, 2007, p. 221).

    Os ataques no se limitam somente aos desktops e notebooks: Smartphones e

    tablets, por exemplo, tambm esto sujeitos a ataques e devem estar protegidos por

    software de defesa. No entanto, muitas vezes, o usurio no percebe os riscos aos quais

    est exposto.

    Infelizmente, mesmo utilizando o melhor software de defesa, as pessoas e

    empresas podem perder seus dados para um hacker que utiliza engenharia social, pois

    ele ataca no elo mais fraco da segurana da informao: o fator humano. Para proteger-

    se contra esse tipo de ataque, necessrio o conhecimento sobre o assunto analisado

    (aspectos tericos) e uma srie de aes preventivas, jurdicas e tcnicas (aspectos

    prticos).

    Ser desenvolvido neste contexto o objeto de estudo desta monografia, atendo-

    se aos aspectos que avaliam o processo de ataque e a avaliao de segurana contra a

    engenharia social em ambientes corporativos. Essa restrio importante porque, em

    especial no cenrio no qual redes sociais e multidiversidade de recursos e acessos so

    disponveis, torna-se praticamente impossvel avaliar o tema sob todos os prismas.

    Este trabalho est organizado nos seguintes captulos: O captulo 1 faz uma

    breve introduo sobre o tema. Em seguida, o captulo 2 aborda os aspectos tericos da

    engenharia social, atravs de conceitos, histrico, procedimentos e cenrios acerca do

  • Pgina | 12

    tema. No captulo 3, sero abordados proposta de critrios de segurana, tais como o

    Teste da Conformidade, Mtodo Mosler e Mtodo William T. Fine, e suas correlao

    com a engenharia social. Ser feita, ainda, uma proposta de sntese desses mtodos, a

    partir de uma frmula, cujo nome dado foi Ponderao de Segurana Unificada (PSU).

    O fechamento do trabalho, no captulo 4, inclui perspectivas de trabalhos futuros.

    Obviamente, no objetivo desse estudo esgotar o tema, mas abrir uma frente

    ampla para avaliar alguns dos elementos considerados mais crticos e que hoje so

    realmente impactantes em um cenrio

View more