SISTEMAS DE INFORMAÇÃO
UNIÃO DA VITÓRIA - PR
2018
GABRIEL KRIEGUER ZARICHEN
UNIÃO DA VITÓRIA - PR
2018
TERMO DE APROVAÇÃO
______________________________________________
Orientador (a): Prof (a). Andréa Tomko
Faculdades Integradas do Vale do Iguaçu
______________________________________________
Membro da banca (a): Prof (a). Ms. George Luíz Malluf
Faculdades Integradas do Vale do Iguaçu
______________________________________________
Membro da banca (a): Prof (a). Dr. Atílio A. Matozzo
Faculdades Integradas do Vale do Iguaçu
UNIÃO DA VITÓRIA – PR
2018
AGRADECIMENTOS
1. INTRODUÇÃO ............................................................................................. 11
3.1 EMPRESA.................................................................................................... 31
3.2 METODOLOGIA DE PESQUISA .................................................................. 31
3.3 INSTRUMENTO DE PESQUISA .................................................................. 32
4 DESENVOLVIMENTO.................................................................................. 34
1. INTRODUÇÃO
1.1 JUSTIFICATIVA
1.2 OBJETIVOS
2. REFERENCIAL TEÓRICO
com efeito de pregar peças, por exemplo reiniciar o computador. Porém, com o passar
dos anos, os códigos maliciosos foram evoluindo e várias ramificações surgiram.
Para David Kim (2014, p.83):
A finalidade do malware é danificar ou corromper um sistema. Os efeitos de
malware podem variar desde tornar um PC lento, fazer com que ele falhe, até
roubo de números de cartão de crédito e outras coisas piores. Basta navegar
na internet, ler mensagens ou baixar música e outros arquivos, e um
computador pessoal pode ser infectado com malware – normalmente sem o
conhecimento do usuário.
2.2.1 Vírus
2.2.2 Worms
A principal diferença dos worms em relação aos vírus, são que eles não
precisam de um programa para se espalharem, são programas que normalmente
exploram alguma vulnerabilidade específica do sistema.
Trojan Horse’s (Cavalos de Tróia) são softwares que contém alguma finalidade
maliciosa, mas que é camuflada por alguma outra utilidade. Esta atrai o usuário e o
faz executar o programa, dando permissão para que o código malicioso seja
executado.
Do ponto de vista de um cracker, um cavalo de troia traz a vantagem da
permissão do usuário como um ótimo atrativo, pois assim pode ser usado para
realmente efetuar qualquer instrução que o atacante deseje. Se passando por um
programa útil, a vítima acaba sendo facilmente enganada, e talvez nem desconfie do
que acontece, pois o programa faz o que a vítima pensa que ele deve fazer (KIM;
SOLOMON, 2012).
2.2.4 Spam
“A palavra spammer é o termo utilizado para definir quem envia esse tipo de
mensagem, em cuja elaboração geralmente são utilizados softwares especiais
automatizados[...]” (MELO; AMARAL; et al., p.4, 2011). Com o uso de softwares
especializados para fazer o trabalho de espalhar os e-mails é possível obter um
grande aumento na velocidade de envio dos e-mails, muitos dos e-mails infectam a
vítima e passam a enviar e-mails a partir dela, aumentando assim o alcance do ataque.
Os ransomwares podem ser amplamente divulgados por meio de Spam,
utilizando uma um e-mail com uma mensagem falsa para que a vítima baixe um
arquivo fica fácil de infectar um computador, mais do que isso, por meio de spam o
17
cracker não fica limitado a vítimas especificas, ele pode mandar spams para muitos
computadores assim podendo infectar um número maior de computadores.
Com isso pode-se ter uma ideia de uma ferramenta de ataque capaz de manipular as
pessoas com propósito de alcançar lugares que antes não seria possível, ou até
mesmo fazer com que pessoas façam coisas no lugar do próprio hacker. Esse tipo de
ferramenta garante a segurança do hacker durante o ataque e possui elevados índices
de sucesso, a maneira com que o hacker se aperfeiçoa com o tempo, torna as
medidas de segurança essenciais para as empresas, pois se não, seriam facilmente
enganadas durante o dia a dia.
Existem muitas técnicas que auxiliam na aplicação da engenharia social,
Segundo Claudio Nunes (2001 apud ROSA, 2012, p. 23) as principais são:
As técnicas são usadas nas vítimas que ficam impossibilitadas de reagir e na maioria
das vezes nem percebem que foram atacas, isso possibilita que o hacker efetue um
ataque de sucesso. O único meio de tentar combater esse tipo de ameaça, é com
treinamento constante e políticas de segurança rígidas, que devem ser seguidas por
todos, sem exceções, para que ao menos existem restrições quando um ataque de
engenharia social aconteça.
permita com que ele atinja seu objetivo, sem ao menos ter que se envolver
diretamente com delito ocorrido.
Isso acontece justamente por causa da pessoa não assumir o risco de que um
evento possa acontecer por não ser comum, se ela já acessou vários sites e nunca
2 Pop-up é uma janela que abre no navegador da internet quando se acessa uma página na web ou
algum link de redirecionamento.
23
pegou um malware, ela passa a acreditar que nunca vai pegar, pois já fez várias vezes
aquele procedimento.
Dentro das medidas cabíveis para se conseguir atingir um nível de segurança
satisfatório, começar por remediar o fato humano é uma boa opção, o investimento
costuma não ser tão alto se comparado há alguns outros tópicos relacionados à
segurança – equipamentos, tecnologias, processos – e isso ajuda na hora da escolha.
A implementação das Políticas de Segurança da Informação é o primeiro passo a ser
dado. Somente após a implementação das políticas é que são realizados exames e
pesquisas para analisar qual é o próximo local a se investir na empresa. (CAMPOS,
2006).
E quando se trata do fator humano, é imprescindível entrar no tema de
engenharia social, seu uso é talvez o meio mais eficaz de se conseguir alguma
informação, ou de penetrar algum sistema, o simples fato de poder manipular uma
pessoa para fazer o que o atacante deseja já a torna uma poderosa arma a ser usada
contra as organizações.
“A maioria dos métodos dos ransomwares exige algum tipo de interação com o
usuário final. Independentemente de o usuário acessar um site malicioso ou clicar em
um link em um e-mail de phishing, ou até mesmo abrir um documento
contaminado[...]”, (LISKA; GALLO, 2017, p.110). O uso de engenharia social para a
potencialização de um ataque ransomware é especialmente eficaz, pois para que um
ransomware comprometa um sistema, basta que ele seja baixado e executado dentro
da rede interna da organização, que todo o sistema já está em seu alcance.
Segundo a ABNT NBR ISO/IEC 17799 (2005, p.8), para uma implementação
correta da política de segurança, ela deve conter os seguintes aspectos:
a) uma definição de segurança da informação, suas metas globais, escopo e
importância da segurança da informação como um mecanismo que habilita o
compartilhamento da informação;
b) uma declaração do comprometimento da direção, apoiando as metas e
princípios da segurança da informação, alinhada com os objetivos e
estratégias do negócio;
c) uma estrutura para estabelecer os objetivos de controle e os controles,
incluindo a estrutura de análise/avaliação e gerenciamento de risco;
d) breve explanação das políticas, princípios, normas e requisitos de
conformidade de segurança da informação específicos para a organização,
incluindo:
1) conformidade com a legislação e com requisitos regulamentares e
contratuais;
2) requisitos de conscientização, treinamento e educação em segurança da
informação;
3) gestão da continuidade do negócio;
4) consequências das violações na política de segurança da informação;
e) definição das responsabilidades gerais e específicas na gestão da
segurança da informação, incluindo o registro dos incidentes de segurança
da informação;
f) referências à documentação que possam apoiar a política, por exemplo,
políticas e procedimentos de segurança mais detalhados de sistemas de
informação específicos ou regras de segurança que os usuários devem
seguir.
2.9 BACKUP
2.10 CRIPTOMOEDA
3 Uma darkweb refere-se a qualquer ou todos os servidores de rede inalcançáveis na Internet, por
requererem softwares, configurações ou autorizações específicas para o acesso.
29
gerenciar quanto cada aplicação deve usar e por quanto tempo, de modo que o
computador funcione da melhor maneira possível. (MACHADO e MAIA, 2002).
Explica Tanenbaum (2009), a primeira tarefa pela qual o sistema operacional
será responsável é a de gerenciar os recursos do sistema para cada processo que a
precise. Garantindo o funcionamento do computador e resolvendo conflitos entre
processos para que todos possam trabalhar utilizando o que há disponível no sistema.
O sistema operacional irá gerenciar e proteger a memória, os dispositivos de entrada
e saída, dentre outros recursos, sempre garantindo que eles não conflitem entre eles.
O sistema operacional também é responsável por fazer o gerenciamento da
informação, como por exemplo, arquivos e banco de dados.
Para Francis Machado e Luiz Maia (2002, p.54):
Existe uma grande dificuldade em compreender a estrutura e o
funcionamento de um sistema operacional, pois ele não é executado como
uma aplicação tipicamente sequencial, com início, meio e fim. Os
procedimentos do sistema são executados concorrentemente sem uma
ordem predefinida, com base em eventos dissociados do tempo (eventos
assíncronos). Muitos desses eventos estão relacionados ao hardware e a
tarefas internas do próprio sistema operacional.
3 MATERIAIS E MÉTODOS
3.1 EMPRESA
A pesquisa foi aplicada na empresa Eleva Educação Ltda ME, uma franqueada
Microlins. Está localizada na rua Professor Amazília nº 365, na cidade de União da
Vitória, Paraná, Brasil. Esta empresa atua na aplicação de cursos das mais diversas
áreas, sendo grande parte destes voltados à área da informática. A empresa atua
também oferecendo curso de idiomas.
Oferece vários cursos com professores em sala de aula, categoria chamada de
Tradicional, como por exemplo os cursos de Inglês, Robótica e Informática Básica.
Bem como possui uma grande gama de cursos à distância, realizados via vídeo
conferencia, modalidade esta chamada de Dinâmica, por ser uma franquia Microlins,
dispõe de todo o acervo digital da empresa para cursos desta modalidade.
Atualmente a empresa conta com uma equipe profissional de 15 funcionários,
estes divididos em professores, secretaria e comercial. É oferecido uma soma total de
50 cursos, entre eles os tradicionais e os dinâmicos que foram citados no parágrafo
acima. E ainda, a empresa conta com mais de 500 alunos ativos distribuídos pelos
diversos cursos.
Para este trabalho foi utilizado o método de pesquisa aplicada, pois foi
escolhida uma empresa em União da Vitória para que fosse aplicado um teste de
invasão White-Box4, para que com os resultados fosse possível aplicar devido
4 White-box é uma modalidade de teste de invasão da rede onde o profissional sabe bastante
informações sobre a infraestrutura da empresa e faz isso com o consentimento do dono da empresa.
32
4 DESENVOLVIMENTO
4.1.1.3 CryptXXX
Allan e Timothy (2017, p.175), descrevem que:
O ransomware CryptXXX surgiu incialmente no final de março de 2016 e
cresceu rapidamente, passando a ser uma das famílias de ransomware mais
populares entregues por meio de kits de exploit. Atualmente, o CryptXXX é
entregue principalmente por kits de exploração de falhas web usando sites
comprometidos e anúncios infectados por malwares.
Nota-se que, diferente de outras famílias de ransomware, o CryptXXX deixa de lado a
abordagem a vítima por spam e age com foco principal nos ataques por meio de kits
de exploit, isso torna o processo de infecção mais fácil, visto que essas falhas
normalmente são desconhecidas pelos usuários, que acabam por ter seus dispositivos
infectados sem ao menos saber quando isso ocorreu, pois não é necessário nenhuma
confirmação de permissão, apenas o acesso a um site infectado.
Atualmente o CryptXXX infecta suas vítimas explorando as falhas de três aplicações
comuns do Windows, sendo elas as: Adobe Flash, Microsoft Silverlight e Java. Com
isso é possível alcançar uma grande gama de vítima, pois a maioria dos usuários
possuem essas aplicações pré-instaladas em seus computadores, a remoção ou
desativação dessas aplicações é um tanto quanto rara e isso faz com que os hacker
aproveitem para explorar sempre novas falhas, sem correr o risco de ficar sem vítimas
para infectar. (LISKA; GALLO, 2017).
Uma curiosidade interessando dessa família, é que este ransomware possui
algumas funcionalidades a mais do que apenas a de ransomwares comuns. O
CryptXXX pode roubar informações das vítimas antes de fazer a criptografia dos
dados, com isso informações financeiras poderiam ser roubadas pelos hackers.
Allan e Timothy (2017, p.175), exemplificam que:
Antes de criptografar os arquivos, os hackers roubavam qualquer informação
bancária que pudesse estar no sistema da vítima – incluindo tudo que
estivesse na carteira Bitcoin -, o que significava que qualquer vítima que, por
acaso, tivesse Bitcoins suficientes à disposição para pagar o resgate teria de
recarregar sua carteira agora saqueada antes de fazê-lo.
De qualquer forma, o cuidado com acesso a sites não confiáveis, bem como a
atualização constante de todas as aplicações usadas, pode ser a diferença vital entre
sofrer ou não um ataque por este ransomware, aumentando a segurança e garantindo
que os arquivos e informações armazenadas nos computadores da empresa não
sejam roubados ou criptografados, evitando também prejuízos com pagamentos de
resgates e gastos com tempo de trabalho perdido.
38
Para o ataque de engenharia social foi usado o ciclo de ataque descrito por
Francisco Silva (2013), onde o ataque consiste em quatro etapas que são usadas em
sequencia para se chegar ao objetivo desejado, sendo as etapas: 1 – Recolha de
Informação, 2 – Desenvolvimento de Relação, 3 – Exploração da Relação, 4 –
Execução Para Atingir o Objetivo. Um ataque pode ou não, conter todas as quatro
etapas, porém pode-se adequar apenas três delas. Para o ataque usado durante o
5A Macro é um conjunto de ações que são gravadas para serem repetidas diversas vezes mediante
um comando pré-determinado.
39
desenvolvimento deste trabalho, foi utilizado apenas três etapas que serão
explanadas logo abaixo.
um simples aluno interessado em fazer algum curso, para isso foi utilizado uma conta
falsa no Facebook.
O primeiro erro ocorre quando a isca é lançada, o arquivo é enviado e logo após
aberto, neste momento o hacker já sabe que a parte mais difícil do ataque foi
concluída, e a única coisa que é preciso, é que a vítima dê as permissões de execução
de macro que a planilha eletrônica solicita. Aqui ocorre o segundo erro, este que por
sua vez, encerra o ataque e conclui a ação que o hacker esperava, no momento em
que as permissões para a macro ser executada são dadas, o script elaborado pelo
hacker entra em ação e pode fazer o que quiser, nessa hora os arquivos são baixados
para o computador, geralmente em segundo plano para que a vítima não perceba, e
então o Ransomware já pode ser instalado e passa a agir a qualquer momento,
conforme foi previamente configurado para fazer.
Na simulação do ataque, assim que o arquivo foi baixado, e depois aberto,
abriu-se uma planilha eletrônica em branco, nessa hora já seria possível visualizar os
dados, porém uma simples recomendação falsa que pediu para que ela habilitasse as
autorizações para que o arquivo fosse aberto. Fez com que ela tentasse mais uma
vez ver o conteúdo, dessa vez dando permissão para que a macro fosse rodada. Com
isso foi enviado o e-mail para a caixa de entrada que havia sido previamente
configurada, confirmando que as macros foram executadas de acordo com o
planejado e infelizmente confirmando que se fosse um ataque de Ransomware, o
hacker teria obtido sucesso.
Também foi aplicada uma entrevista ao diretor da empresa, que buscou formar
uma base sobre o que ele pensava que a equipe iria responder nos questionários,
dessa forma também é possível analisar os resultados esperados para as respostas
dos funcionários, principalmente nas questões que abordam o conhecimento sobre
ameaças, e sobre práticas de segurança utilizadas pela empresa no dia a dia.
Sim 83.34%
Não 16.66%
Sim 100%
Não 0%
O treinamento faz-se mais uma vez muito importante, ele auxilia na prevenção
contra ataques de diversos malwares, contudo, melhora principalmente na diminuição
da chance da empresa ser alvo de um ataque de ransomware, pois a melhor maneira
de combater esses ataques é alertando sobre ataques de engenharia social, e é com
conscientização e conhecimento que a maioria desses ataques pode ser anulado,
evitando também qualquer outro malware que poderia vir a causar danos à empresa.
Sim 33.33%
Não 16.67%
informação uma prática comum abordada por todos, e não somente algo que funciona
apenas em teoria.
Curiosamente nessa questão, o diretor estava equivocado, ele respondeu que
alguns já teriam ouvido falar, porém que a maioria diria que sabia o que era. Como os
números mostram o contrário, é importante entender que caso persista nesse
pensamento, o diretor pode acabar entrando em uma falsa sensação de que não
precisa treinar mais sua equipe, e esse é um erro que pode custar bem caro.
A maioria dos assuntos, por mais básicos que sejam, precisam ter revisão
constante, se não, podem acabar se tornando apenas mais uma orientação que na
prática deixa de ser seguida.
90%
80%
70%
60%
50%
40%
30%
20%
10%
0% 0% 0% 0%
0%
1 2 3 4 5
Hacker 100%
Malware 75%
Vírus 100%
Phishing 25%
Ransomware 0%
Keylogger 42%
Spam 100%
Backdoor 25%
Sim 8.33%
Não 66.67%
Sim 0.00%
Não 50%
não percebe, ela poderia também sofrer um ataque ransomware, só precisaria que o
hacker a leva-se a realizar alguma ação qualquer, como abrir um arquivo, conceder
alguma permissão ou acessar um site específico.
Antivírus 75.00%
Firewall 33.33%
Proxy 16.66%
o uso e fazendo com que toda a equipe profissional passe a monitorar falhas de
manuseio e de operação, que podem gerar falhas que possam ser exploradas por
hackers, diminuindo assim a confiabilidade da segurança da informação.
Assim como nas respostas das ameaças, o diretor novamente informou que
provavelmente os funcionários só saberiam o que seria um dos tópicos. Isso
demonstra o conhecimento do diretor de que os funcionários precisam de
treinamentos em segurança da informação, pois essa é a melhor maneira de alertar a
todos sobre como se proteger contra as ameaças diárias.
Gráfico 09 – Resultado das respostas quando questionados se conhecem as
políticas de segurança da empresa.
Sim 41.66%
Não 33.33%
Sim 58.33%
Não 16.66%
tem parceria com a Microlins e com a Microsoft, alertando sobre um erro na validação
de um certificado.
Realizado a composição do spam, foi preciso elaborar uma forma de validar
que o ataque teria sido realizado com sucesso. Para isso foi utilizado um IP Logger 6,
que diria que o link enviado por e-mail teria sido acessado. No corpo do spam, uma
mensagem informando que, seria necessário clicar diretamente no link pois a empresa
não trabalhava com anexos, já seria suficiente para enganar um funcionário
desatento.
Após enviado o spam, não houve retorno nenhum por parte da empresa, o e-
mail havia sido ignorado pelo funcionário que o recebeu ou ainda, teria sido
investigado por parte da equipe e depois de demonstrado que era um possível ataque,
foi ignorado com sucesso.
Com isso podemos perceber como o treinamento pode ajudar para deixar as
pessoas mais atentas. Mesmo sem feito a reformulação das politicas de segurança
que poderiam vir a proibir o acesso de links recebidos por terceiros via e-mail, o próprio
funcionário analisou a situação e percebeu que poderia se tratar de um e-mail falso,
um spam.
6IP Logger’s são sites ou ferramentas que informam algumas informações sempre que são acessados
pelo link gerado como isca.
57
5 RESULTADOS E DISCUSSÕES
oportunidade de aprender mais sobre essas ameaças aos quais todos estão expostos
diariamente.
6 CONSIDERAÇÕES FINAIS
muitos e essa é a forma mais eficaz de acabar com uma praga que arrecada milhões
de dólares em todo o mundo.
60
REFERÊNCIAS BIBLIOGRAFICAS
ULBRICH, H. C.; VALLE, J. D. Universidade Hacker. 6ª. ed. São Paulo - SP: Digerati
Books, 2009.
ZHU, W.-D. et al. Content Manager OnDemand Backup, Recovery, and High
Availability. [S.l.]: International Business Machines Corporation., 2005.
62
Questionário
8 – Quais medidas de segurança você sabe que sua empresa usa no dia a dia?
|_| Antivírus
|_| Firewall
|_| Proxy
|_| Serviços VPN
|_| Treinamento de funcionários
|_| Boas práticas de uso
|_| Políticas de segurança
|_| Software adquiridos de maneira genuína
|_| Outro, _________________.
|_| Nenhuma das anteriores
|_| Não sei informar
10 – Você recebeu treinamento relacionado ao cuidado que deve ter com o acesso
indevido às informações por terceiros, quando começou a trabalhar na função em que
está atualmente?
|_| Sim |_| Não |_| Não Sei
64
AUTORIZAÇÃO
A Eleva Educação Ltda ME, pessoa jurídica devidamente inscrita no CNPJ nº
26.338.043/0001-75, com sede à Rua Professor Amazília nº 365, na cidade de
União da Vitória neste ato representada por seu responsável legal Fábio Leal
Neves, brasileiro, casado, diretor, portador da R.G nº 9.532.988-8 e inscrito no
CPF nº 057544019-81, e-mail: fabiolealneves@hotmail.com, por intermédio da
presente autoriza a realização, em suas dependências e fora delas, do Projeto de
Pesquisa intitulado: A Importância da Prevenção Contra Ransomwares: Uma
Aplicação em Uma Empresa de União da Vitória – PR, que tem por objetivo,
demonstrar qual é a melhor forma de preparar a equipe profissional para prevenir
ataques por meio de Ransomwares, utilizando uma empresa de União da Vitória
para aplicar a pesquisa e validar os resultados obtidos.
Empresa: _______________________________________
CNPJ: _______________________________________
Nome completo do responsável legal: _______________________________________
CPF: _______________________________________
_________________________________________
Assinatura do responsável