Pesquisa Aplicada

Segundo Rodrigues (2012), em uma pesquisa aplicada, os conhecimentos adquiridos são utilizados para uma aplicação prática, voltados para a solução de problemas concretos da vida moderna e têm como objetivo investigar, comprovar ou rejeitar hipóteses sugeridas pelos modelos teóricos.

O presente trabalho é uma pesquisa aplicada, pois pretende resolver a problemática da organização realizando um estudo de caso com respeito aos ataques direcionados.

3.1.2 Pesquisa Bibliográfica

“A pesquisa bibliográfica consiste na “varredura” do que existe sobre um assunto e o conhecimento dos autores que tratam desse assunto, a fim de que o estudioso não reinvente a roda”! (MACEDO, 1995, p. 13).

É elaborada a partir de material já publicado, constituído principalmente de: livros, revistas, publicações em periódicos e artigos científicos, jornais, boletins, monografias, dissertações, teses, material cartográfico, internet, com o objetivo de colocar o pesquisador em contato direto com todo material já escrito sobre o assunto da pesquisa. Em relação aos dados coletados na internet, devemos atentar à confiabilidade e fidelidade das fontes consultadas eletronicamente. Na pesquisa bibliográfica, é importante que o pesquisador verifique a veracidade dos dados obtidos, observando as possíveis incoerências ou contradições que as obras possam apresentar (PRODANOV e FREITAS, 2013). Uma das etapas deste trabalho consiste na pesquisa bibliográfica sobre as teorias que sustentam o estudo de caso.

3.1.3 Estudo de Caso

O trabalho realizou um estudo de caso de uma organização fictícia para aplicar o modelo proposto e validar sua eficiência.

3.2 ETAPAS

A metodologia de pesquisa apresenta as etapas de desenvolvimento do projeto, demonstrado pela figura 8.

Fonte: Elaborado pelo autor (2014).

As etapas de desenvolvimento iniciam-se em uma pesquisa sobre segurança da informação, forense computacional e tipos de ataques. Após esses estudos, será avaliado se há informações suficientes e será utilizado um modelo forense para análise de ataques direcionados. Em seguida, será realizado um estudo de caso para validar as diretrizes para uma avaliação e apresentação dos resultados.

3.3 DELIMITAÇÕES

Esse trabalho tem como objetivo a utilização de um modelo forense que estabeleça um conjunto diretrizes para análise de ataques direcionados, utilizando como embasamento a pesquisa sobre assuntos de segurança, forense computacional e tipos de ataques, para dar validação do mesmo será realizado um estudo de caso.

4 DESENVOLVIMENTO

Este capítulo tem por objetivo apresentar diretrizes para análise de ataques direcionados, visando melhorar a busca por evidências, baseado no modelo de forense computacional.

As diretrizes se dão através da análise forense estática, que Para Toledo et al. (2006), é o tipo de forense que trata de dados estáticos, ou seja, armazenados em discos rígidos, dados que não são perdidos ao se desligar o sistema.

Também se dá através da forense dinâmica, que segundo Toledo et al. (2006), são analisados os dados voláteis, que são perdidos ao desligar o sistema, geralmente armazenados na memória RAM.

4.1 PROPOSTA DA SOLUÇÃO

Organizações, que atuam em diversos ramos, são diariamente vitimas de ataques direcionados, onde são coletadas informações, dados que são de grande importância para as empresas.

Segundo a ComputerWorld (2013; p: 1), “uma em cada cinco empresas, sofrem ameaça avançada de segurança”, constatada por um estudo global realizado pela Isaca (Associação que reúne profissionais de segurança da informação).

Ainda afirma que a perda de propriedade intelectual foi citada como um dos maiores riscos de um ataque (por mais de um quarto dos entrevistados), seguido de perto pela perda de informações de identificação pessoal (PII) de clientes ou funcionários.

Muitas empresas são alvos de ataques e nem sabem, ou ao menos estão preparadas para se defender dos mesmos, e conseguir identificar que foram alvos ou perderam informações sigilosas.

Para Armbruster (2013):

Existem várias razões pelas quais ataques direcionados podem acontecer com quase qualquer empresa. Uma das maiores é o roubo de informações

confidenciais. A propriedade intelectual é muitas vezes a primeira coisa que vem à mente, mas outros itens, menos óbvios em termos de valor, podem ser obtidos, como informações financeiras, dados de vendas, ofertas financeiras. No entanto, as empresas também podem ser alvejadas por razões que nada têm a ver com os seus produtos ou informações.

Baseado nisso, são desenvolvidas diretrizes para análises de ataques direcionados, utilizando forense computacional, visando melhorar os aspectos que envolvem a segurança de informação.

Um modelo genérico utilizado é composto de cinco fases, basicamente: identificação, coleta, exame, análise das informações e resultados obtidos. Essas foram apresentadas teoricamente ao longo do trabalho. Para um melhor entendimento, seguem abaixo suas respectivas definições:

Identificação: Nesta fase, o perito identifica a possível realização de um ataque à organização.

Coleta: Nesta etapa, o perito deve isolar a área, identificar equipamentos e coletar, embalar, etiquetar e garantir a integridade das evidências, garantindo assim a cadeia de custódia.

Exame: Nesta fase, deve-se, identificar, extrair, filtrar e documentar os dados relevantes à apuração.

Análise: Nesta etapa os dados transformam-se em informações, ou seja, o perito computacional deve identificar e correlacionar pessoas, locais e eventos, reconstruir as cenas e documentar os fatos;

Resultados obtidos: Neste momento deve-se redigir o laudo e anexar às evidências e demais documentos.

O modelo utilizado para estabelecer diretrizes para análise de ataques direcionados será baseado no embasamento adquirido na pesquisa bibliográfica realizada sobre segurança, forense computacional e ataques direcionados. Após a proposta baseada no modelo forense, foi realizado um estudo de caso para validação e demonstração de suas funcionalidades.

Abaixo, na figura 9, seguem as etapas do modelo forense:

Figura 9: Etapas do modelo forense

Reproduzido de: Queiroz (2007).

4.2 TERMINOLOGIA

É necessário entender alguns termos, programas e técnicas que são utilizados, ou pelos peritos ou pelos invasores, antes de começar a descrição do modelo proposto. Com base na definição da Cartilha de Segurança para Internet (CERT.br, 2006; p. 1), são estas as definições para os termos, programas e técnicas:

 “código malicioso: termo genérico que se refere a todos os tipos de programa que executam ações maliciosas em um computador”;

 “endereço IP: endereço único para cada computador conectado à Internet”;

 “exploit: programa ou parte de um programa malicioso projetado para explorar uma vulnerabilidade existente em um software de computador”;

 “firewall: dispositivo constituído pela combinação de software e hardware, utilizado para dividir e controlar o acesso entre redes de computadores”;

 “rookit: conjunto de programas que têm como finalidade esconder e assegurar a presença de um invasor em um computador comprometido”;

 “backdoor: programa que permite a um invasor retornar a um computador comprometido. Normalmente, esse programa é colocado de forma a não ser notado”;

 “keylogger: programa capaz de capturar e armazenar as teclas digitadas pelo usuário no teclado de um computador”;

 “Intrusion Detection System (IDS): programa, ou um conjunto de programas, cuja função é detectar atividades maliciosas ou anômalas”;

 “log: registro de atividades, gerado por programas de computador (Gerados por firewalls ou por IDSs)”;

 “sniffer: dispositivo ou programa de computador, utilizado para capturar e armazenar dados, trafegando em uma rede de computadores”;

 “MAC address: número único que identifica a interface de rede”;

 “TCP e UDP: são portas utilizadas por softwares e serviços do sistema operacional para a comunicação em rede e, consequentemente, na internet”;

 “spyware: termo utilizado para se referir a uma grande categoria de software que tem o objetivo de monitorar atividades de um sistema e enviar as informações coletadas para terceiros”.

Através de algumas técnicas descritas acima, é possível analisar ataques e buscar o suspeito do incidente, por meio de e-mails e anexos, IP, arquivos de logs do sistema, pacotes que trafegam na rede, arquivos ocultos e apagados.