Vous êtes sur la page 1sur 56

FACULDADE ESTCIO DE S DE GOIS FESGO

CURSO SUPERIOR DE TECNOLOGIA EM REDES DE COMPUTADORES

Danubia Andrade
Jane de Souza Cunha

ENGENHARIA SOCIAL E A VULNERABILIDADE HUMANA

GOINIA
2008

Danubia Andrade
Jane de Souza Cunha

ENGENHARIA SOCIAL E A VULNERABILIDADE HUMANA

Trabalho de Concluso de Curso apresentado


como requisito parcial para obteno do grau
em Tecnlogo em Redes de Computadores, pela
Faculdade Estcio de S de Gois.
Orientador: Prof. Ms. Jos Walber B. Pinheiro

GOINIA
2008

Danubia Andrade
Jane de Souza Cunha

ENGENHARIA SOCIAL E A VULNERABILIDADE HUMANA

Trabalho de Concluso de Curso apresentado


como requisito parcial para obteno do grau
em Tecnlogo em Redes de Computadores, pela
Faculdade Estcio de S de Gois.

Aprovado pela Banca Examinadora em __/__/_____.

BANCA EXAMINADORA:

Prof. Ms. Jos Walber Borges Pinheiro


Orientador

Prof. Ms. Coordenador Samir Youssif Wehbi Arabi

Prof. Ms. Rafael Leal Martins

minha famlia, em especial meus queridos pais, minha


irm Simone, minha tia Lucimar, pelo apoio e incentivo
nas horas em que eu pensava em desistir.
Ao Rodrigo, que me ajudou a conciliar os estudos com
meu papel de me.
minha querida amiga e parceira neste trabalho Jane,
que considero minha irm de corao, que fez com
superssemos todas as dificuldades com o seu jeito de
menina e bom humor.
minha filha Gabriela, que a inspirao da minha vida,
dos meus projetos, o incentivo maior que tenho para
prosseguir, obrigada filha por ter suportado minha
ausncia nestes anos de estudo para que eu pudesse
realizar mais esta conquista, que no s minha, mas de
todos que fazem parte da minha vida. (Danubia)

minha famlia, meu bem maior. Em especial minha


me, minha av e meu marido (amores da minha vida!).
Ao Mestre Jesus pelo amor que Ele me dedica
incondicionalmente, pelo perdo e pela f no futuro. Por
ter me mostrado atravs de amigos como a Danubia,
(minha irm a quem devo a concluso deste curso) que
ainda existem pessoas maravilhosas no mundo. (Jane)

AGRADECIMENTOS

Nestes anos, tivemos momentos de aprendizagem, mas


no carregamos a bagagem sozinhas. Encontramos
clidas mos que nos ajudaram, e de corao
agradecemos a Deus pela cruz ter sido to leve. Foram
anos difceis, duros, complicados, de descobertas, de
portas abertas e fechadas, de encontros com pessoas
erradas e certas.
Agradecemos pelo apoio que tivemos, pelas amizades
conquistadas, pelo beijo de nossas mes, pela fora que
encontramos nas nossas famlias, pela felicidade de
abraarmos quem amamos.
Colhemos os frutos que deveramos colher, entendemos
o que precisvamos entender, vivemos o que tnhamos
que viver... E a nica coisa que pedimos sabedoria,
no a sabedoria acadmica e cientfica dos homens,
mas a sabedoria da alma e a do amor, aquela que
enxerga com o corao.
Agradecemos a vocs que talvez no saibam, mas que
nos deram a certeza de que existem entre ns anjos
disfarados, que foram de extrema importncia na
elaborao deste trabalho e na concluso do to
sonhado Curso Superior. Vocs: Nossos Professores,
Coordenador Samir, em especial nosso orientador, Prof.
Ms. Jos Walber, familiares, amigos, dedos de Deus
nas nossas vidas, o nosso muito obrigada!

Se informao fosse poder, os Bibliotecrios


teriam dominado o mundo. Ateno poder
(Bruce Sterling).

RESUMO

O presente trabalho aborda um estudo sobre engenharia social, que uma das principais
preocupaes das organizaes nos dias de hoje. Observando a grande mudana que a
tecnologia tem provocado, gerando impactos positivos, mas, tambm negativos. Surge a
necessidade de proteger as informaes das empresas, sendo nossa principal finalidade, a
anlise e minimizao dos problemas causados por ataques de engenharia social. A segurana
da informao nas empresas exige cuidados contnuos, j que um processo em constante
transformao e evoluo. Por isso so abordadas algumas tcnicas de invaso e tambm
prticas de segurana na tentativa de proteger ao mximo estas informaes, dando nfase na
questo que primordial quando se trata deste assunto to importante, que promover a
reeducao profissional de todas as partes envolvidas, mostrando de forma clara e objetiva a
necessidade da implantao de uma poltica de segurana que minimizar o risco de perder o
bem mais precioso que a informao.

Palavras Chaves: Segurana da informao, Engenharia Social, Poltica de Segurana.

LISTA DE ILUSTRAO

ILUSTRAO 1 - GRAU DE IMPORTNCIA DAS INFORMAES ..........................................15


ILUSTRAO 2 SENHA JOGADA NO LIXO........................................................................23
ILUSTRAO 3 - EXEMPLO DE FRAUDE POR PHARMING 01...............................................26
ILUSTRAO 4 - EXEMPLO DE FRAUDE POR PHARMING 02...............................................27
ILUSTRAO 5 - EXEMPLO DE FRAUDE POR PHARMING 03...............................................27
ILUSTRAO 6 - EXEMPLO DE FALSO E-MAIL 1................................................................29
ILUSTRAO 7 - EXEMPLO DE FALSO E-MAIL 2................................................................30
ILUSTRAO 8 PERFIL DO ORKUT 1...............................................................................33
ILUSTRAO 9 PERFIL DO ORKUT 2...............................................................................33

LISTA DE GRFICOS

GRFICO 1 - INCIDENTES REPORTADOS DE JULHO A SETEMBRO DE 2008.................................28


GRFICO 2 - INCIDENTES REPORTADOS DE JANEIRO A MARO DE 2009...................................28
GRFICO 3 - PROBLEMAS QUE GERARAM PERDAS FINANCEIRAS..............................................31
GRFICO 4 - OBSTCULO PARA IMPLEMENTAO DE SEGURANA..........................................36

10

SUMRIO

INTRODUO..............................................................................12

SEGURANA DA INFORMAO....................................................13

2.1

Classificao das Informaes....................................................15

ENGENHARIA SOCIAL..................................................................17

3.1

Quem o Engenheiro Social?.....................................................18

3.2

A Vulnerabilidade Humana..........................................................19

3.3

Ataques Fsicos...........................................................................20

3.3.1

Roubo de Backups/Computadores...............................................20

3.3.2

Leitura por cima dos ombros Shoulder Surfing.......................22

3.3.3

Lixo............................................................................................22

3.3.4

Roubo de Correspondncias........................................................23

3.3.5

Funcionrios Insatisfeitos/Demitidos...........................................24

3.4

Tipos de Ataques via Internet.....................................................24

3.4.1

Phishing / Pharming....................................................................25

3.4.2

Falsos E-mails..............................................................................28

3.4.3

Keylogger....................................................................................30

3.4.4

Vrus............................................................................................31

3.4.5

Sites de Relacionamento e Chats................................................32

MTODOS DE PREVENO..........................................................34

4.1

Controle de Acesso.....................................................................34

4.2

Criptografia.................................................................................35

4.3

Poltica de Segurana..................................................................35

4.4

Educao e Treinamento.............................................................38

LEIS APLICVEIS..........................................................................41

11

CONCLUSO................................................................................42

REFERNCIAS BIBLIOGRFICAS..................................................................43
ANEXO A ENTREVISTA COM KEVIN MITNICK REVISTA VEJA...................46
ANEXO B MODELO TERMO DE COMPROMISSO........................................53
ANEXO C MODELO DE POLTICA DE USO DA INTERNET...........................55

12

INTRODUO

Existe hoje o mundo real e o virtual. Ambos caminham juntos, tanto nas relaes
pessoais quanto profissionais. Essa mudana que a tecnologia implementou deu a todos os
envolvidos uma viso maior da necessidade de proteger a informao, no s na parte fsica
mas principalmente na parte virtual.
A globalizao tem provocado mudanas na viso da sociedade, principalmente nas
organizaes, que passaram a valorizar suas informaes, sua maior riqueza, em detrimento
de sua estrutura fsica, passando a exigir profissionais cada vez mais atualizados.
As constantes trocas de informaes, sejam elas por telefone, e-mail ou em uma simples
conversa, o fato de que, a informao deve estar disponvel quando solicitada, ntegra, e
principalmente s tenha acesso a ela pessoas autorizadas, tem reunido esforos de todos,
empresrios e profissionais de Tecnologia da Informao TI, no sentido de reduzir os riscos
que podem ser de ordem natural, catstrofes da natureza, erros fsicos e lgicos nos sistemas.
Surge ento a necessidade de se elaborar uma poltica de segurana, que estimule a tica
profissional e boas prticas no sentido de proteger as informaes. E foi pensando assim que
desenvolvemos esse trabalho de pesquisa tendo como objetivo mostrar a importncia da
segurana da informao e a conscientizao dos usurios para o risco da engenharia social
que constitui hoje uma das maiores ameaas s empresas.

13

SEGURANA DA INFORMAO

De acordo com a Norma NBR ISO/IEC 17799:2005, a segurana da informao est


baseada em trs princpios bsicos: integridade, confidencialidade e disponibilidade.
Integridade a garantia de que a informao vai chegar ao seu destino sem sofrer
alteraes.
Confidencialidade a proteo dos dados, para que mesmo que essa informao seja
capturada por pessoas no autorizadas, elas no tero acesso ao seu contedo.
Disponibilidade a garantia de que a informao estar disponvel a quem de direito,
quando solicitada.
Esses trs so considerados os pilares da informao. No menos importante e que
merecem destaque esto a autenticao e o no repdio. A autenticao a garantia de que a
mensagem realmente daquele destinatrio e o no repdio, a no rejeio da autoria de um
determinado ato.
A grande quantidade de livros que tratam do tema e a imensa variedade de material,
incluindo revistas, sites, reportagens, mostram que as organizaes tm dado maior ateno
necessidade de proteger suas empresas e suas informaes. Isto reflete de forma positiva
nesse mercado que era to pouco valorizado, mas que hoje se mostra como um diferencial
para os profissionais de segurana da informao.
Embora no exista uma total garantia de proteo, h, atravs de novas tecnologias e
metodologias de trabalho, meios para evitar quase totalmente essas invases.
H vrias formas de tentar controlar o acesso a essas informaes, tais como: a
instalao de um bom antivrus, implantao de um firewall, restrio de acesso fsico por
meio de equipamentos biomtricos, tratamentos dos usurios para minimizar a incidncia da
engenharia social.
De acordo com Ferreira (2003), a informao um ativo que, como qualquer outro
ativo importante, tem um valor para a organizao e, conseqentemente, necessita ser
adequadamente protegido. Isso mostra a importncia de criar prticas e medidas de controle
dos dados da empresa, visando evitar a perda ou o roubo destas informaes.

14

Para isso, necessrio identificar os pontos vulnerveis de acordo com o campo de


atuao e, a partir da, criar um modelo de proteo, ou seja, uma poltica de segurana que
atenda s suas necessidades. A segurana da informao a rea mais importante, ou a que
requer uma maior preocupao das empresas nos dias atuais, e no seria exagero dizer que se
a parte fsica e os funcionrios so o corpo, a informao a alma do negcio.
H muitos empresrios que ainda pensam que criar uma poltica de segurana um
gasto desnecessrio, quando na verdade, um investimento. O que acontece que eles s
percebem isso quando j tarde demais. Segundo Kevin Mitnick o maior engenheiro social
do mundo, em reportagem ao JB Online (2003), Atualmente, a mo-de-obra de uma empresa
a parte mais vulnervel ao ataque de hackers. A empresa deve fazer uma anlise do
comportamento dos seus profissionais, observando as diferentes personalidades e nveis
hierrquicos, trabalhando a auto-estima, valorizando-os, promovendo o aprendizado e a
conscientizao de todos, para torn-los assim, aliados na luta contra o inimigo.
As constantes trocas de informaes aumentaram os riscos de invases de hackers e
pessoas no autorizadas, exigindo maior ateno no sentido de preservar sua privacidade. As
informaes que esto contidas nos bancos de dados so informaes particulares que no
devem cair em domnio pblico.
Todos os negcios hoje em dia so feitos atravs de informaes guardadas em
computadores. Dentre elas podemos citar:
a)

Listas de clientes;

b)

Salrios;

c)

Informaes de contas bancrias;

d)

Vendas;

e)

Informaes comerciais etc.

A perda de alguma dessas informaes comprometeria o bom funcionamento da


empresa, por isso surge a necessidade de assegurar a sua proteo. Para que haja eficcia
necessrio classific-las.

15

2.1

Classificao das Informaes

Atravs da classificao das informaes saberemos seu nvel, valor e os principais


interessados e assim poderemos trat-la de forma adequada garantindo a sua
confidencialidade, integridade e disponibilidade de acordo com a importncia para a
organizao.

O objetivo da Classificao da Informao assegurar que


os ativos da informao recebam um nvel adequado de
proteo. A informao deve ser classificada para indicar a
importncia, a prioridade e o nvel de proteo. A
informao possui vrios nveis de sensibilidade e
criticidade. Alguns itens podem necessitar um nvel
adicional de proteo ou tratamento especial. Um sistema
de classificao da informao deve ser usado para definir
um conjunto apropriado de nveis de proteo e determinar
a necessidade de medidas especiais de tratamento.
(ISO/IEC 17799:2005).

Podemos classificar as informaes segundo o seu grau de importncia, como: pblica,


interna, particular e confidencial, conforme a ilustrao 1. Esta classificao dever ser
controlada por pessoas autorizadas, para evitar a eliminao, alterao ou divulgao dos
dados classificados.

12

Ilustrao 1 - Grau de importncia das informaes


Fonte: Livro engenharia social

ISE Informaes Sigilosas da Empresa

IGD Informaes Gerais Disponveis

16

Na informao confidencial necessrio ter um controle especial para que somente um


nmero restrito de pessoas que so autorizadas tenha acesso. A integridade dessas
informaes deve ser preservada, pois so essenciais empresa.
A informao particular deve ficar restritamente dentro da empresa, pois o vazamento
dela poder causar efeitos crticos, como perdas financeiras e perda de espao no mercado. Os
usurios podero acess-la somente se for essencial para seu trabalho.
As informaes internas no podem sair da empresa. Mas se isso ocorrer, no h um
prejuzo to crtico, porm, pode causar algum constrangimento ou at mesmo denegrir a
imagem da empresa.
As informaes pblicas podem ser vistas por qualquer pessoa sem restrio alguma.

17

ENGENHARIA SOCIAL

De acordo com o maior engenheiro social do mundo Kevin Mitnick, engenharia social
uma tcnica de ataque que explora a vulnerabilidade humana, atravs da persuaso,
enganao para conseguir informaes valiosas. Pode-se utilizar tecnologia ou no, e estes
ataques ocorrem todos os dias.
No confundir engenheiro social com o grifter como chamado algum que engana
as pessoas com inteno de roubar seu dinheiro.
O alvo mais comum so pessoas que desconhecem o valor das informaes:
recepcionistas, telefonistas, assistentes administrativos, guardas de segurana; Os que
possuem privilgios especiais: suporte tcnico, administrador de sistema, operadores de
computador,

administradores

do

sistema

de

telefone;

Departamentos

especficos:

contabilidade, recursos humanos.


Uma pessoa que usa a engenharia social como forma de ataque, tem as seguintes
qualidades.
a)

Ousadia;

b)

Confiana;

c)

Conhecimento;

d)

Interpretao;

e)

Raciocnio rpido.

Os objetivos da Engenharia Social nas empresas so, espionagem industrial, vantagens


financeiras, fraudes, roubo de identidade e de informaes estratgicas.
A tcnica de invaso por engenharia social no requer computador, nem mesmo
conhecimento tcnico, mas sim, conhecer o comportamento humano, descobrir suas
vulnerabilidades e pontos fracos.
Segundo Nakamura & Geus, (2003), necessrio considerar um conjunto de ameaas:
a.

Falsificao de Identidade Se passar por outra pessoa usando seu login e senha
para executar tarefas e acessar sistemas ou locais restritos. Por exemplo enviar e-

18

mail com mensagens falsas e fazer com que pacotes de autenticao sejam
executados. Esses ataques podem ser feitos usando senhas deixadas embaixo do
teclado.
b.

Violao - a alterao de dados que pode ser feita durante uma transmisso.

c.

Repudiao Feita na finalizao do ataque pois a negao do que foi feito, ou


seja, apagar qualquer sinal de que voc esteve ali, que acessou aquele sistema ou
que entrou naquela sala.

d.

Divulgao das Informaes um ataque que pode custar muito caro com
consequncias irreversveis e to grave quanto a Negao de Servio que
divulgao de informaes confidenciais. Informaes que deveriam estar
protegidas e que agora esto nas mos de pessoas no autorizadas. Um exemplo
pode ser expor mensagens de erro ou expor cdigo em sites.

e.

Negao de Servio paralisar algum servio. Pode ser feito inundando o DHCP
Server Local com solicitaes de IP, fazendo com que nenhuma estao com IP
dinmico obtenha endereos IP. O alvo pode ser um Web Server que contem o site
da empresa. Outro exemplo seria inundar uma rede com pacotes SYN (SynFlood); inundar uma rede com pacotes ICPM forados.

f.

Elevao de Privilgios quando o usurio no autorizado consegue ter


privilgios de forma ilegal. Acessando uma mquina onde o Administrador da rede
fez logon e esqueceu, deixando-a desbloqueada. Ele pode simplesmente adicionar
sua prpria conta como administrador do domnio ou dar privilgio como acesso
remoto, o que permitira fazer o que quiser de onde estiver.

3.1

Quem o Engenheiro Social?

De acordo com Kevin Mitnick, todos ns usamos engenharia social, at mesmo quando
damos uma cantada em algum e principalmente os vendedores profissionais. Quando se
deseja vender um produto, voc tem que convencer a pessoa do que ela precisa e do quanto o
produto importante e vai fazer a diferena, isto engenharia social.
O engenheiro social no um profissional especfico, ele pode ser qualquer pessoa com
segundas intenes. Como o alvo principal o usurio dos sistemas e no o hardware ou o
software, ferramentas de hardware e software dificilmente prevem o ataque.

19

Muitas vezes o ataque de engenharia social ocorre sem que o atacante sequer se
aproxime dos computadores e sistemas do alvo.

A engenharia social explora duas questes: a


personalidade de um indivduo e seu ambiente de trabalho.
Os funcionrios gostam de ser cordiais com outros, na
maior parte das vezes. Na minha experincia pessoal, em
95% das vezes a engenharia social bem sucedida para
um hacker (KEVIN MITNICK, ENTREVISTA AO
JBONLINE, 2003).

preciso estar sempre alerta a esse tipo de ataque, pois nunca haver soluo pra esse
modo de invaso. At porque a principal arma do engenheiro a vulnerabilidade humana.

3.2

A Vulnerabilidade Humana

De acordo com McCarthy e Campbell (2003, P. 56), as pessoas so o seu melhor ativo
de segurana e a sua maior vulnerabilidade. preciso transformar sua maior
vulnerabilidade em ativos constantes, mas isso no vai acontecer do dia para a noite, esta
uma questo que requer todo um processo, programas de treinamento, materiais bem
elaborados para que juntamente com a campanha de segurana possa surgir efeito.

As pessoas no entendem computadores. Os computadores


so caixas mgicas que fazem coisas. As pessoas acreditam
no que os computadores dizem. As pessoas s querem
realizar suas tarefas. As pessoas no entendem riscos. Elas
podem entender, em um sentido geral, quando o risco
imediato. As pessoas trancam suas portas e suas janelas.
(...) Elas no acreditam que um pacote pode ser uma
bomba. (...) E por que acreditar? Isso quase nunca
acontece (SCHNEIER, 2001, P.255).

As pessoas no podem olhar uma vulnerabilidade, ver um ataque e tomar uma deciso
inteligente. No conseguem ver uma situao de insegurana e tomar uma deciso sobre o que
fazer.
A engenharia social evita a criptografia e tudo o que for tecnolgico. Ela vai
diretamente ao elo mais fraco: o ser humano.

20

E por isso que a engenharia social funciona. As pessoas so muito prestativas e so


facilmente enganadas.

3.3

Ataques Fsicos

So muitas as tcnicas utilizadas pelos engenheiros sociais a fim de obter o que


desejam. Dividimos em ataques fsicos e ataques via Internet e citaremos a seguir algumas
formas que dispensam o uso da tecnologia.

3.3.1 Roubo de Backups/Computadores

O roubo ou furto um perigo constante, e nem sempre ele motivado com intenes de
descobrir dados confidenciais. Pode ser feito visando simplesmente os equipamentos, e estes
podem conter informaes importantes, backups que ainda no foram salvos no servidor, um
projeto de uma nova campanha de telemarketing, ou seja, informaes que sero perdidas e
que daro trabalho para serem refeitas.
H alguns anos atrs as medidas de preveno eram apenas para ambiente fsico, mas
hoje os ativos que requerem uma seleo mais criteriosa so outros. Mas isso tambm
depende do ramo de atuao da empresa e suas principais atividades.

Nunca confie na probabilidade do inimigo no estar vindo,


mas dependa de sua prpria prontido para reconhec-lo.
No espere que o inimigo no ataque, mas dependa de
estar em uma posio que no possa ser atacada (A ARTE
DA GUERRA, 1995).

extremamente importante estar preparado para eventuais ataques. Trancar a porta s


depois que o ladro j entrou, pode ser catastrfico para algumas empresas.
Segundo o relatrio do Centro de Pesquisas de Roubo de Identidade - ITRC divulgado
no site da IGD News em 09-01-09, mais de 35 milhes de dados sensveis foram perdidos em
2008. Segundo o ITRC, a maior parte deles no estava protegida por senha e no possua
criptografia.

21

O centro documentou, ainda, 656 casos de vazamento de dados em 2008 de perdas


bastante divulgadas de grandes companhias nos EUA e agncias governamentais, contra os
446 vazamentos em 2007, alta de 47%.
Em alguns estados dos EUA, existem leis que exigem a revelao do nmero de pessoas
que sofreram perda de dados. Por esse motivo acredita-se que o valor total pode passar dos 35
milhes. "Cada vez mais empresas revelam os vazamentos de dados, seja por fora legal ou
pela presso pblica. Acreditamos que duas coisas esto acontecendo agora mais casos de
roubos de dados e maior divulgao destes casos," escreveu o ITRC em seu portal. Os casos
mais comuns de roubo de dados esto relacionados com roubo de laptops, aes crackers,
funcionrios gerenciando dados de maneira no-autorizada, divulgao de informaes
confidenciais e problemas com empresas parceiras.
De acordo com o ITRC, 15,7% de todos os casos esto relacionados com o chamado
inimigo interno (funcionrios que consciente ou inconscientemente abrem caminho para o
roubo de dados), valor maior do que o dobro registrado no binio 2007 e 2008.
Estes incidentes esto acontecendo a cada dia com mais freqncia. Umberto Rosti faz
uma reflexo do caso Petrobrs, acontecido no incio de 2008 e muito comentado pela mdia
que foram os quatro notebooks (computadores portteis ) e dois HDs (Hard Disks) com
informaes sigilosas e estratgicas da Petrobrs que sumiram no terminal de contineres
Poliportos em Santos, de onde saram com destino ao Rio de Janeiro. De l eles foram
levados sob a responsabilidade da Companhia Transmagno por transporte rodovirio at
Maca, percurso que durou exatos 12 dias, quando ento os funcionrios da Halliburton,
companhia americana que presta servios ao setor de petrleo e proprietria dos
equipamentos, perceberam a troca do cadeado. Ttica usada para evitar suspeitas durante a
viagem.
A Halliburton tem acesso a dados confidenciais, sob o compromisso de no divulg-los,
desde que foi contratada em agosto de 2007 para realizar testes de reservatrios descobertos
no Brasil.
Apesar da Petrobrs ter informado que tinha cpias integrais de todas as informaes
furtadas, pode ser constatada falhas na segurana. Sabe-se que a espionagem no setor
petrolfero comum e a forma como os equipamentos foram transportados diferente do
esquema organizado pela Companhia. Essas falhas tambm podem ser observadas em relao
aos dados que deveriam estar protegidos com senhas, assinatura digital e at criptografados.

22

A Polcia Federal comunicou que no dia 28/02/2008 recuperou os notebooks e Hds


juntamente com outros equipamentos que tinham sido levados, prendendo quatro empregados
do terminal de contineres Poliportos.
A Agncia Brasileira de Inteligncia (ABIN) que tambm participou disse que
continuaria a investigao na tentativa de identificar todos os interesses em torno das
informaes contidas nos computadores.
Isso tudo que se sabe a respeito desse roubo, e seja l quem foi, conseguiu o que
queria, e tudo indica, sem muitas dificuldades. Resta agora analisar as falhas e corrigi-las para
que isso no se repita.

3.3.2 Leitura por cima dos ombros Shoulder Surfing

O que poderia parecer um ato de curiosidade considerado um ataque de engenharia


social. Sim, aquela famosa olhadinha quando o colega digita a senha no computador ao lado,
pode resultar no roubo dessa informao e, conseqentemente, o acesso aos e-mails, pginas
pessoais e da por diante. E isso pode ser mais grave, se acontecer quando voc estiver
digitando sua senha no caixa eletrnico do seu banco.

3.3.3 Lixo

Pode no parecer, mas no lixo podem ser encontradas informaes importantes que so
descartadas sem muita preocupao. A informao nunca permanece nos computadores, ela
passa para o papel o tempo todo. Muitas vezes o papel no lixo mais valioso do que se
estivesse no computador, mais fcil de ser roubado e mais provvel de ser perdido. Portanto,
no adianta criptografar os dados do computador se no trancar sua sala ou no triturar o lixo.
A ilustrao 2 mostra um papel com o nome de usurio e senha jogado no lixo:

23

Ilustrao 2 Senha jogada no lixo

3.3.4 Roubo de Correspondncias

muito mais comum do que se imagina. Os roubos de correspondncias nas caixas de


correio so feitos com a inteno de obter informaes de contas bancrias, nmeros de
cartes, CPF, Identidade, nmero de telefone. Esse mais um dos mtodos que o engenheiro
social usa. Com essas informaes ele pode falsificar documentos. O ideal ter uma boa caixa
de correio, bem localizada e no deixar acumular muitas cartas. Para quem no sabe, existe
uma lei para violao de correspondncia. O Art. 40 da Lei n. 6.538-78, descreve o crime de
devassar, indevidamente, o contedo de correspondncia fechada dirigida a outrem, a
sanso penal, de acordo com a Lei de deteno de 06 (seis) meses ou pagamento no
excedente a vinte dias-multa.
Pela legislao atual, a violao de correspondncia escrita ou telefnica e sua
transmisso, divulgao ou utilizao abusiva so crimes punidos com deteno de um a seis
meses, ou multa. Em caso de dano causado a outra pessoa, a pena aumentada pela metade.
Se o crime for cometido com abuso de funo em servio, a pena passa a ser de deteno de
um a trs anos. O Projeto de Lei 1704/07, do Deputado Rodovalho (DEM-DF), inclui no
Cdigo Penal (Decreto-Lei 2.848/40) o crime de violao indevida de correspondncias e
comunicaes eletrnicas, ou seja, e-mails.

24

3.3.5 Funcionrios Insatisfeitos/Demitidos

De acordo com uma pesquisa realizada nos Estados Unidos pelo Instituto Ponemon, seis
em cada dez pessoas admitem furtar dados da empresa ao deixar o emprego usando-as para
conseguir um novo emprego, abrir seu prprio negcio e at mesmo por vingana. Nosso
estudo demonstrou que 59% das pessoas diro vou levar alguma coisa de valor comigo
quando eu sair disse Mike Spinney. Dos 945 trabalhadores demitidos ou que pediram
demisso que responderam a enquete, todos tinham acesso a informaes como dados de
clientes, lista de contatos, registro de funcionrios, documentos confidenciais, programas de
computador dentre outros. As perdas econmicas globais devido a roubo de dados e violaes
de segurana chegaram a US$ 1 trilho no ano passado.
O patrocinador do estudo, Kevin Rowney do setor de preveno da empresa Symantec
disse a entrevista BBC: a propriedade intelectual de uma empresa vale quase mais do que
as instalaes, este o principal bem de uma companhia, e qualquer violao ou perda pode
custar muito caro.
Especialistas de segurana prevem que durante a crise econmica o nmero de ataques
de funcionrios vai aumentar. Com a previso de perda de 1,5 milhes de empregos apenas
nos Estados Unidos, existe um risco e uma exposio crescente a estes ataques, disse a
Microsoft BBC (SHIELS, BBC, 2008).
No dia 14 de novembro de 2008, na sede da empresa de semicondutores SiPort
aconteceu um fato gravssimo, onde o funcionrio Jing Hua Wu que trabalhava como
engenheiro, aps ser demitido, atirou em dois de seus colegas e uma mulher. um exemplo
real do que uma pessoa pode fazer quando se sente desprezada, trada. Se uma pessoa capaz
de matar, imagina ento roubar dados sigilosos, ou simplesmente repass-los. Pois so esses
sentimentos que servem de mola propulsora para motivar uma vingana.

3.4

Tipos de Ataques via Internet

De acordo com o Guia de Referncia sobre Ataques Via Internet (2000), este modelo
no diferente de uma invaso fsica. Os mtodos utilizados so semelhantes, usando as
seguintes fases: Planejamento, Aproximao, Invaso e Explorao. Os motivos so muitos, e

25

nem sempre so com o objetivo de ganhos financeiros, pode ser vingana, necessidade de
aceitao ou respeito, curiosidade ou busca de emoo, aprendizado, espionagem industrial.
A imagem do invasor cracker, ainda de jovens gnios, de classe mdia, que no
trabalham e tem tempo para ficarem horas na internet, mas no bem assim, este perfil existe,
mas, devido ao grande aumento de negcios via internet, aparece outro perfil o profissional.
A seguir exemplos de ataques via Internet.

3.4.1 Phishing / Pharming

Segundo a Symantec, Phishing uma tentativa de confundir as pessoas para que


forneam suas informaes confidenciais, como o nmero de CPF e senhas. Os phishers
enviam e-mails utilizando nomes de empresas que aparentemente parecem legtimos. O
pharming rouba domnios ou URLs de um site, redirecionando o usurio para uma pgina
falsa, onde pescam as informaes.
Para se proteger contra os ataques de Phishings e Pharming a Symantec sugere
orientaes bsicas como:
a)

Desconfie de e-mails que pedem informaes confidenciais, principalmente de


natureza financeira. Empresas legtimas nunca solicitam informaes confidenciais
via e-mail;

b)

No se sinta forado a fornecer informaes pessoais. Os phishers gostam de utilizar


tticas de intimidao e podem ameaar desativar uma conta ou atrasar servios
at que voc atualize certas informaes. Certifique-se de entrar em contato
diretamente com a empresa para confirmar a autenticidade da solicitao;

c)

Familiarize-se com a poltica de privacidade de um website;

d)

Tome cuidado com solicitaes aparentemente genricas de informaes.


Geralmente, os e-mails fraudulentos no so personalizados, enquanto os e-mails
autnticos de seu banco freqentemente mencionam uma conta que voc tem com
eles;

e)

Nunca envie informaes confidenciais atravs de formulrios incorporados em


mensagens de e-mail;

26

f)

Nunca clique nos links de um e-mail para acessar um website. Em vez disso, abra
uma nova janela no navegador e digite a URL na barra de endereos.

g)

Verifique a URL de qualquer site que solicite informaes pessoais. Certifique-se de


que a sesso se inicia no endereo autntico conhecido do site, sem caracteres
adicionais anexados a ele.

h)

Mantenha a proteo antivrus efetiva atualizada.

i)

Utilize um provedor de Internet legtimo e confivel. Segurana rigorosa no nvel do


provedor a sua primeira linha de defesa contra pharming.

j)

Verifique o certificado do website. Conferir se o website legtimo leva apenas


alguns segundos. Na verso mais recente do Internet Explorer e, geralmente, na
maioria dos outros navegadores disponveis, clique em Arquivo no menu principal
e clique em Propriedades, ou clique com o boto direito em qualquer lugar na tela
do navegador e no menu pop-up clique em Propriedades. Quando a caixa de
dilogo Propriedades abrir, clique em Certificados e verifique se o site contm um
certificado de segurana do seu titular legtimo.
Abaixo, alguns exemplos de fraude por pharming:

Ilustrao 3 - Exemplo de fraude por pharming 01


Fonte: www.creditoagricola.com.pt

27

Ilustrao 4 - Exemplo de fraude por pharming 02


Fonte: www.creditoagricola.com.pt

Ilustrao 5 - Exemplo de fraude por pharming 03

O Brasil est em primeirssimo lugar no Ranking de ataques, em segundo lugar est


Canad e em terceiro Estados Unidos conforme mostra o grfico 3.1:

28

Grfico 1 - Incidentes reportados de julho a setembro de 2008


Fonte: CERT.BR

Grfico 2 - Incidentes reportados de janeiro a maro de 2009


Fonte: CERT.BR

3.4.2 Falsos E-mails

Todos os dias somos bombardeados por falsos e-mails dos mais variados assuntos,
desde a ltima fofoca envolvendo a vida ntima de artistas a e-mails com assuntos importantes

29

usando nomes de empresas e rgos pblicos. Pode ser a promessa de ganhos fceis, falsas
pginas de bancos, pornografia, comunicao de restries no Serasa, etc. Um exemplo na
ilustrao 6.

Ilustrao 6 - Exemplo de falso e-mail 1


Fonte: www.gmail.com

30

Ilustrao 7 - Exemplo de falso e-mail 2

Quando colocado o mouse em cima do link, aparece um endereo onde tem um arquivo
executvel. Percebemos tambm os erros de portugus, sem contar que pela lgica j sabemos
que nenhum rgo nos informa dvidas atravs de e-mail, a partir da j sabemos que se trata
de uma fraude. Mas tem pessoas que no se preocupam em enxergar esses detalhes, ou at
mesmo no tem nenhuma malcia, e, por no ter conhecimento, acabam clicando no link.

3.4.3 Keylogger

O Keylogger um programa que tem como finalidade registrar tudo o que digitado no
teclado. Eles se infiltram no computador atravs de links e e-mails falsos e a vtima s
percebe quando o cracker j tenha invadido o sistema com as senhas capturadas.

31

3.4.4 Vrus

De acordo com a 10 Pesquisa nacional de Segurana da Informao, o vrus est em 1


lugar em problemas que geraram perdas financeiras, Spam em 2 e fraudes em 3 lugar, como
mostra o grfico 3.2.

Grfico 3 - Problemas que geraram perdas financeiras


Fonte:10 Pesquisa Nacional de Segurana

Um estudo realizado pelo laboratrio da empresa de antivrus Bit Defender, publicado


tambm na INFO em 30-01-08, pelo reprter Bruno Ferrari, revelou que mais de 80% dos
malwares que foram distribudos no mundo em 2008 eram cavalos-de-tria. O relatrio do
Cenrio de Ameaas Eletrnicas fornece uma viso dos ataques de malwares ao longo dos
ltimos seis meses do ano passado e as previses para 2009.
De acordo com o relatrio, a produo malware continuar explorando as mesmas
capacidades de cavalos-de-tria, spyware e rootkits (software que se mantm invisvel para
garantir presena constante no sistema). As famlias de ameaas eletrnicas sofrero
atualizaes e mutaes significantes em termos de procedimentos e automao nos
mecanismos de propagao. Haver um aumento da explorao de vulnerabilidades da

32

aplicao, que utiliza desta facilidade para o roubo de senhas. Est previsto um aumento de
ataques contra aplicaes da web 2.0 e redes sociais. Smartphones e outros dispositivos
inteligentes com acesso permanente na internet sero os alvos da nova gerao de malware
mvel.

3.4.5 Sites de Relacionamento e Chats

Estamos vulnerveis a ataques de engenharia social a todo o momento, 75% dos


usurios do Orkut - o maior site de relacionamento do mundo, so brasileiros. A facilidade de
conseguir informaes sobre os membros muito grande. Para sabermos a personalidade de
um membro, o que ele gosta e no gosta os lugares que freqenta o que ele faz, onde estuda,
basta olharmos suas comunidades.
Os usurios acabam expondo suas vidas, revelando informaes muitas vezes ntimas e
que podem ser usadas por pessoas com intenes tanto de aproximao amorosa quanto
roubos. O risco de seqestro se torna maior quando o bandido tem conhecimento dos lugares
que a pessoa freqenta, como: academia, bares, escola. Atravs das fotos nos lbuns,
possvel saber, por exemplo, o nome dos familiares e o grau de parentesco.
As pessoas perdem a noo do perigo quando entram na Internet j que na vida real
jamais revelariam tanto para um desconhecido.
As ilustraes 8 e 9, mostram exemplos de perfis do Orkut com informaes relevantes
e que podem ser usadas contra o usurio:

33

Ilustrao 8 Perfil do Orkut 1


Fonte: www.orkut.com

Ilustrao 9 Perfil do Orkut 2


Fonte: www.orkut.com

34

MTODOS DE PREVENO

Segundo o artigo de Emerson Alecrim Infowester, a engenharia social um dos meios


mais utilizados de obteno de informaes sigilosas e importantes. Isso porque explora com
muita sofisticao as "falhas de segurana dos humanos". As empresas investem fortunas em
tecnologias de segurana de informaes e protegem fisicamente seus sistemas, mas, a
maioria no possui mtodos que protegem seus funcionrios das armadilhas de engenharia
social.
Abaixo citaremos algumas formas de preveno a fim de reduzir riscos e minimizar
possveis ataques.

4.1

Controle de Acesso

O correto que os equipamentos que contm informaes confidenciais das empresas


fiquem em local restrito, onde apenas pessoas devidamente credenciadas tenham acesso.
Contudo, o que podemos observar na grande maioria dos casos so mquinas colocadas em
locais abertos, de livre acesso, facilitando assim os ataques, roubos, tanto das informaes
quanto desses equipamentos.
De acordo com o livro Segurana dos Sistemas de Informao (2003, P. 64) O
ambiente fsico no qual a Empresa opera pode constituir um dos mais importantes elementos
no que diz respeito salvaguarda da informao. Segurana fsica e lgica devem andar
juntas. De nada adianta implantar um bom firewall, antivrus, se os equipamentos no
estiverem protegidos contra acessos no autorizados, roubos e desastres ambientais.
A entrada e sada de pessoas nas instalaes das empresas um processo que requer
cuidados especiais. E isso no deve ser apenas para os visitantes, representantes ou clientes,
mas tambm aos funcionrios. Alguns setores devem ter acesso restrito, e somente com
autorizao ou acompanhamento da pessoa responsvel pelo setor que a entrada dever ser
permitida.

35

4.2

Criptografia

A criptografia (Do Grego krypts, "escondido", e grphein, "escrita") a cincia que faz
uso da matemtica permitindo criptografarmos e decriptografarmos dados, que nos fornece a
garantia de confidencialidade, integridade, no repdio e autenticao.
Antes restrita a instituies financeiras, rgos do governo ou usada para proteger
informaes consideradas altamente confidenciais, a criptografia est presente em nossa vida
mais do que podemos imaginar. Est presente at em telefonia celular, para evitar que sua
conversa possa ser ouvida por outros.
As empresas no usam os sistemas de criptografia de dados de forma eficiente. A
afirmao foi feita por palestrantes da Storage Expo-feira em Londres, na Inglaterra, e que
trata das mais diversas formas de armazenamento de dados. Ainda segundo os especialistas,
dados sensveis a uma srie de empresas ficam esquecidos em grandes servidores sem
qualquer tipo de proteo.
Uma srie de ferramentas gratuitas de criptografia j faz parte dos pacotes de softwares
presentes em solues administrativas e operacionais. Portanto apontaram os palestrantes da
Mdulo Security News a no utilizao destes sistemas se deve, em parte, ao
desconhecimento ou desinteresse. Trata-se, porm, de uma soluo fcil e rpida e
relativamente barata de garantir a privacidade de dados sensveis empresa como balanos
comerciais de projees de lucro.

4.3

Poltica de Segurana

Definio de Poltica de Segurana:

Poltica de segurana de informaes um conjunto de


princpios que norteiam a gesto de segurana de
informaes e que deve ser observado pelo corpo tcnico e
gerencial e pelos usurios internos e externos. (3 edio
da cartilha Boas Prticas em Segurana da Informao do
TCU, 2008)

36

A criao de uma poltica de segurana deve comear com um estudo das reais
necessidades da empresa, qual o seu campo de atuao, o que ela j possui em relao
segurana e o que est precisando ser implementado.
Segundo a 10 Pesquisa Nacional de Segurana da informao o principal obstculo
para implementao da segurana a falta de conscientizao dos executivos e usurios,
conforme o grfico abaixo.
Como mostra o grfico 4.3, a conscientizao dos executivos e usurios o principal
obstculo, seguido da falta de oramento e falta de profissionais capacitados. necessrio
mostrar atravs de pesquisas que melhor prevenir, j nem sempre o mal poder ser
remediado. A falta de oramento mostra a dificuldade de conscientizar os executivos da
necessidade de proteger os sistemas e as informaes.
E para que haja profissionais capacitados necessria toda uma mudana de atitude,
uma nova viso dos valores.

Grfico 4 - Obstculo para implementao de segurana


Fonte:10 Pesquisa Nacional de Segurana

Em um pas, temos a legislao que deve ser seguida para


que tenhamos um padro de conduta considerado
adequado s necessidades da nao para garantia de seu
progresso e harmonia. No havia como ser diferente em

37

uma empresa. Nesta precisamos definir padres de conduta


para garantir o sucesso do negcio. (ABREU, 2002).

Na definio acima, poltica de segurana comparada com a legislao que todos


devemos seguir, de modo que o cumprimento da legislao nos garante que o padro de
conduta esta sendo seguido, a poltica de segurana tambm deve ser seguida por todos os
funcionrios de uma organizao, garantindo assim a proteo das informaes e o sucesso do
negcio.
No estudo que foi feito pela Companhia Americana Secure Computing, enquanto 17%
dos entrevistados acham que o maior risco vem de fora, 80% acredita que ele est dentro da
empresa.
Para a criao de uma poltica de segurana eficaz devemos seguir algumas diretrizes:
(WADLOW, 2000, p. 33).
a) Ser compreensvel: ser escrita com texto simples para que todos os que lerem
consigam entender, de fcil entendimento para ser facilmente memorizado;
b) Manter-se relevante: de nada adianta criar um documento muito extenso, a grande
maioria das pessoas no tem o hbito da leitura. Uma soluo seria criar polticas
para cada rea, assim ela ficaria pequena e especfica;
c) Saber o que no relevante: refere-se a alguns tpicos que no devem ser do
conhecimento de todos. uma seo que descreve informaes consideradas
sensveis e que no devem ser faladas a estranhos. Deve-se existir ainda uma
segunda seo contendo as informaes mais importantes e que sero acessadas
apenas por pessoas de total confiana. Ele, (Wadlow), atenta ainda para a
necessidade de constante atualizao dessas duas sees para a equipe de
segurana, lembrando o que no deve ser comentado;
d) Ser levada a srio: a eficcia da poltica s existir se todos levarem a srio suas
regras e para isso necessrio deixar claro que a inobservncia poder resultar em
punies. Definir a punio um processo que requer muito cuidado. preciso
estabelecer o grau de culpabilidade, deixando claro que essa punio justa e
correta, e para isso imprescindvel o apoio dos superiores;
e) Manter-se atualizada: uma boa dica estar em dia com as novidades da tecnologia.
A criao de uma poltica de segurana de extrema importncia no s para agilizar os
processos dentro de uma empresa, mas para criar uma tica profissional que dever ser
seguida por todos, e servir para evitar que futuros ataques de engenharia social tenham
sucesso.

38

Para a divulgao sugerimos a criao de uma Cartilha de Segurana especfica para


cada departamento da empresa de acordo com suas necessidades, com normas e termos de
responsabilidades devidamente formalizados e documentados. (Ver modelo de Termo de
Compromisso no Anexo B).

4.4

Educao e Treinamento

Segundo Kevin Mitnick (2003), todos da organizao devem ser treinados para ter um
grau apropriado de suspeita e cuidado ao serem contactados por algum que no conhecem
pessoalmente, sobretudo quando algum pede algum tipo de acesso a um computador ou
rede. da natureza humana querer confiar nos outros, mas como dizem os japoneses, os
negcios so uma guerra. Os seus negcios no podem permitir que voc baixe a guarda. A
poltica de segurana corporativa deve definir claramente o comportamento apropriado e
inapropriado.
A segurana no tem tamanho nico. O pessoal dos negcios tem regras e
responsabilidades diferentes e cada posio tem vulnerabilidades prprias. Deve haver um
nvel bsico de treinamento que todos da empresa devem ter e, depois, as pessoas tambm
devem ser treinadas de acordo com o perfil do seu cargo para seguir determinados
procedimentos que reduzem as chances de elas se tornarem parte do problema. As pessoas
que trabalham com informaes confidenciais e que so colocadas em posies de confiana,
devem ter treinamento especializado adicional.
Existem determinados procedimentos que, independentemente de um bom treinamento,
fazem com que fiquemos descuidados com o tempo. Esquecemo-nos tambm daquele
treinamento nos momentos de presso, justamente quando precisamos dele. Voc pensa que
no dar o seu nome de conta e senha uma regra que todo mundo sabe (ou deveria saber) e
que nem preciso dizer isso: uma questo de bom senso. Mas, na verdade, cada empregado
precisa ser freqentemente lembrado de que o fornecimento de um nome de conta e uma
senha do computador do escritrio, do computador em casa ou mesmo da mquina de
postagem na sala de correspondncia como dar o nmero do carto eletrnico do banco.
Dois princpios bsicos a serem levados em conta segundo Kevin Mitnick:

39

1.

Verificar a identidade da pessoa que faz a solicitao, ou seja, essa pessoa


realmente quem diz ser?

2.

Verificar se a pessoa est autorizada, ou seja, a pessoa tem a necessidade de saber


ou tem autorizao para fazer a solicitao?

Mitnick ainda d um bom exemplo de uma boa estrutura visando conscientizao de


todos:
a)

Uma descrio do modo como os atacantes usam habilidades da engenharia


social para enganar as pessoas;

b)

Os mtodos usados pelos engenheiros sociais para atingir seus objetivos;

c)

Como reconhecer um provvel ataque da engenharia social;

d)

O procedimento para o tratamento de uma solicitao suspeita;

e)

A quem relatar as tentativas da engenharia social ou os ataques bem sucedidos;

f)

A importncia de questionar todos os que fazem uma solicitao suspeita,


independente da posio ou importncia que a pessoa alega ter;

g)

O fato de que os funcionrios no devem confiar implicitamente nas outras


pessoas sem uma verificao adequada, embora o seu impulso seja dar aos
outros o benefcio da dvida;

h)

A importncia de verificar a identidade e a autoridade de qualquer pessoa que


faa uma solicitao de informaes ou ao;

i)

Procedimentos para proteger as informaes confidenciais, com todo o sistema


de classificao de dados;

j)

A localizao das polticas e dos procedimentos de segurana da empresa e a sua


importncia para a proteo das informaes e dos sistemas de informaes
corporativas;

k)

Um resumo das principais polticas de segurana e uma explicao do seu


significado. Por exemplo, cada empregado deve ser instrudo sobre como criar
uma senha difcil de adivinhar;

40

l)

A obrigao de cada empregado de atender s polticas e as conseqncias do


seu no-atendimento.

Existe

uma

circunstncia

na

qual

preciso,

talvez

at

mesmo importante, dar a outra pessoa as informaes confidenciais. Por esse motivo, no
apropriado criar uma regra absoluta sobre "nunca". Mesmo assim, as suas polticas e os seus
procedimentos de segurana precisam ser muito especficos sobre as circunstncias nas quais
um empregado pode dar a sua senha e o mais importante, sobre quem est autorizado a pedir
essas informaes.

LEIS APLICVEIS

41

Temos a impresso que no mundo virtual estamos impunes o que nos leva a inverter
nossos valores ticos. Pois o que vemos com freqncia, so pessoas fazendo no mundo
virtual o que no fariam no mundo real. Mas se engana quem pensa que no tem punio para
esses delitos. Quem usa a engenharia social geralmente utiliza a tcnica de Personificao,
passa-se por outra pessoa, nesse caso pode se enquadrar no Art. 299 do Cdigo Penal, como
falsidade ideolgica.

Art. 299 - Omitir, em documento pblico ou particular,


declarao que dele devia constar, ou nele inserir ou fazer
inserir declarao falsa ou diversa da que devia ser
escrita, com o fim de prejudicar direito, criar obrigao ou
alterar a verdade sobre fato juridicamente relevante: Pena
- recluso, de 1 (um) a 5 (cinco) anos, e multa, se o
documento pblico, e recluso de 1 (um) a 3 (trs) anos,
e multa, se o documento particular. Pargrafo nico - Se
o agente funcionrio pblico, e comete o crime
prevalecendo-se do cargo, ou se a falsificao ou
alterao de assentamento de registro civil, aumenta-se a
pena de sexta parte.
Art. 171 - Obter, para si ou para outrem, vantagem ilcita,
em prejuzo alheio, induzindo ou mantendo algum em erro,
mediante artifcio, ardil, ou qualquer outro meio
fraudulento. Pena - recluso, de 1 (um) a 5 (cinco) anos, e
multa (DECRETO-LEI No 2.848, DE 7 DE DEZEMBRO DE
1940).

O mundo da engenharia social parece ser algo muito tentador. Mas, diferente dos crimes
digitais, que no possuem uma legislao bem definida no pas, algumas tcnicas so
consideradas crimes passveis de punio, que vo desde o pagamento de multas at a
deteno.
A interpretao legal baseia-se na configurao dos atos de engenharia social como
falsidade ideolgica, caracterizada pela incorporao de uma identidade alheia (impostura)
seguida de fraude. Dependendo do destino dado s informaes recebidas (por exemplo, em
caso de fraude financeira), o invasor responder tambm pelo crime de estelionato. Pelas leis
brasileiras e da maioria dos pases esses tipos de ataques so considerados prticas
criminosas, com punies bem severas.

CONCLUSO

42

Um estudo realizado pela Cisco recentemente mostrou que o uso da engenharia social
para induzir vtimas a abrir um arquivo ou clicar em links continua crescendo e diz ainda que
no ano de 2009 a tendncia aponta para um aumento nas tcnicas com mais vetores e
sofisticao, e faz um alerta tambm para o descontentamento e negligncia de funcionrios
ameaados por demisses em tempos de crise, e que este cenrio pode levar a mais incidentes
de segurana envolvendo colaboradores, tornando crucial que tecnologia da informao,
recursos humanos e outras reas corporativas colaborem para reduzir as ameaas.
A reportagem de Nelson Biagio Junior em 31/01/2009, mostra uma lista da empresa de
consultoria, Gartner, divulgando as oito principais tecnologias mveis que tornaro tendncias
no mundo corporativo at 2010, que vo trazer benefcios, mas, tambm, preocupaes em
relao ao vazamento de dados. So elas: Bluetooth 3.0, interfaces mveis de usurio,
deteco de localizao, Wi-Fi 802.11n, tecnologias de tela, internet mvel e widgets, banda
larga em celular e comunicao em rea prxima.
Antes da tecnologia, a segurana tem a ver com processos e pessoas, o fator humano
no pode ser deixado em segundo plano, pois de nada adianta gastar milhes com a mais alta
tecnologia, se o elo mais fraco o ser humano continuar falhando.
A tecnologia um caminho sem volta, ento temos que admitir que somos vulnerveis e
todos esto sujeitos a falhas, mas, isto no pode justificar erros que podem ser evitados.
O ideal que as empresas, primeiro, conscientizem seus funcionrios para o valor da
informao, de tudo que ela representa organizao e segundo, saibam que nunca estaro
totalmente seguros.
A segurana da empresa depender principalmente de como esto preparados seus
colaboradores, do uso de uma boa poltica de segurana, treinamentos constantes, e lembrar
sempre que a educao o foco, obter o compromisso dos usurios em trabalhar de acordo
com ela o alvo, pois, a segurana um meio para um fim, e esse fim a confiana.

REFERNCIAS BIBLIOGRFICAS

43

ABNT NBR ISO/IEC 17799:2005 - Tecnologia da informao Cdigo de prtica para a


gesto da segurana da informao.
ABREU, Dimitri. Melhores prticas para classificar as informaes. Disponvel em:
<www.modulo.com.br>. Acesso em: 09-02-2008.
ALECRIM, Emerson. A engenharia social um dos meios mais utilizados de obteno de
informaes sigilosa. Disponvel em: <http://www.infowester.com/col120904.php.
12/09/2004>. Acesso em: 03-11-08.
ASSUNO, M. F. A. Guia do Hacker Brasileiro, 2002.

DECRETO, Lei n. 2.848, Captulo VI, de 7 de dezembro de 1940. Crime de violao


indevida de correspondncias e comunicaes eletrnicas, ou seja, e-mails. Disponvel
em: <http://www.planalto.gov.br/ccivil_03/Decreto-Lei/Del2848.htm>. Acesso em: 03-11-08.
FEBRABAN. Guia de referncia sobre ataques via internet, 2000. Disponvel em:
<http://www.cyberbricx.com/arquivos/Guia%20de%20Refer%C3%AAncia%20sobre
%20Ataques%20Via%20Internet.pdf>. Acesso em 25-11-08.

FERRARI, Bruno. A rota do malware em 2008, publicado em 30-01-08. Disponvel em:


<http://info.abril.com.br/professional/seguranca/o-mapa-dos-malwares-em-2008.shtml>.
Acesso em: 23-03-09.
FERREIRA, F. N. F. Segurana da informao. Cincia Moderna, 2003.
GIRALDI, Renata. Escuta clandestina crime, publicada em 20-08-07. Disponvel em:
<http://www1.folha.uol.com.br/folha/brasil/ult96u321629.shtml>. Acesso em 25/11/08.
IDG News. Roubo de dados aumentou 47% nos EUA em 2008. Disponvel em:
<http://pcworld.uol.com.br/noticias/2009/01/09/roubo-de-dados-aumentou-47-nos-estadosunidos-em-2008> Acesso em 09/01/09.
IDG NOW, Redao Computerworld. Projeto de lei pretende tornar crime a violao de emails,
publicada
em
30-01-08.
Disponvel
em:
<http://idgnow.uol.com.br/seguranca/2008/01/30/projeto-de-lei-pretende-tornar-crime-aviolacao-de-e-mails>. Acesso em 25-11-08.

44

JUNIOR, N. B. Tendncias para tecnologias mveis em 2009/2010. Disponvel em:


<http://macmagazine.com.br/blog/2009/01/31/gartner-aponta-tendencias-para-tecnologiasmoveis-em-2009-e-2010/>. Acesso em: 20-03-09.
McCarthy; Mary Pat; Campbell, Stuart. Brownstein, Rob. Transformao na Segurana
Eletrnica. Tradutor: PASCHOA, C. R. So Paulo, Pearson Education do Brasil, 2003.
MITNICK, Kevin; SIMON, William - A Arte de Enganar. MAKRON, 2003;
MOREIRA, Daniela. Demisso por startup em TI acaba em tragdia, publicada em 15-1108. Disponvel em: http://info.abril.com.br/aberto/infonews/112008/15112008-3.shl. Acesso
em 21-11-08.
NAKAMURA, Emlio Tissato; GEUS, P. L. Segurana de Redes em Ambientes
Cooperativos. So Paulo: Futura, 2004.
NBREGA, Marcelo. Kevin Mitnick no Brasil. JB Online Jornal do Brasil, 2003.
Disponvel
em:
<http://jbonline.terra.com.br/jb/papel/cadernos/internet/2003/09/21/jorinf20030921001.html>.
Acesso em: 15-12-08.
PEIXOTO, M. C. P. Engenharia Social e Segurana da Informao na Gesto
Corporativa. BRASPORT, 2006;
SCHNEIER, Bruce Segurana.com. Campus Ltda., 2001.
SILVA, Pedro Tavares. CARVALHO, Hugo. TORRES, Catarina Botelho. Segurana dos
Sistemas de Informao Gesto Estratgica da Segurana Empresarial. Centro
Atlntico. PT. 1 edio, 2003.
SHIELS, Maggie. Funcionrios admitem furtar dados ao deixar emprego, 2008.
Disponvel
em:
<http://www.bbc.co.uk/portuguese/noticias/2009/02/090225_roubodeinformacoes.shtml>
Acesso em: 20-03-08.

STORAGE, Expo. Empresas no usam criptografia de dados de forma eficiente,


publicado em 25-10-2006. Disponvel em: <http://www.pbi.com.br/alertas/alerta326.html>
Acesso em: 03-11-08.

45

SYMANTEC.
Phishing
e
Pharming.
Disponvel
em:
<http://service1.symantec.com/support/inter/nco-intl.nsf/br_docid/20061016130945900>.
Acesso em: 30-01-09.
TEIXEIRA, Marcelo. Petrobrs confirma roubo de computadores com dados
importantes.
Disponvel
em:
<http://tecnologia.terra.com.br/interna/0,,OI2432554EI4795,00.html>. Acesso em 21-11-08.

TCU Tribunal de Contas da Unio. 3 edio da cartilha de boas prticas de segurana


da
informao,
2008
Disponvel
em:
http://portal2.tcu.gov.br/portal/page/portal/TCU/comunidades/biblioteca_tcu/biblioteca_digita
l/Boas_praticas_em_seguranca_da_informacao_3a_edicao.pdf. Acesso em 01-04-09.
TZU, Sun. A Arte da Guerra; Traduo: ABREU, C. F.; PAGLIA, M. C. Saraiva, 1995;
WADLOW, A.Thomas, Projeto e Gerenciamento de Redes Segura. Campus, 2000.
ZAKABI, Rosana. O bandido virou mocinho. Entrevista Kevin Mitnick 2006. Disponvel
em: <http://veja.abril.com.br/entrevistas/kevin_mitnick.shtml>. Acesso em 30-10-08.

46

ANEXO A ENTREVISTA COM KEVIN MITNICK REVISTA VEJA


O BANDIDO QUE VIROU MOCINHO

O americano Kevin Mitnick ficou conhecido na dcada de 90 como o primeiro e o


mais famoso hacker da histria. Ele entrou para a lista de procurados do FBI aps uma
impressionante trajetria de invases a sites de empresas e do governo. Em 1995, apanhado
em sua casa, foi condenado a cinco anos de priso por ter causado prejuzos estimados em 80
milhes de dlares. Seu histrico obviamente o de um transgressor. A diferena de Mitnick
para os hackers que andam hoje soltos no ciberespao que o americano nunca colocou um
centavo no bolso. Seus golpes eram praticados pela tentao do desafio.
Mitnick conseguiu liberdade condicional em 2000 e ficou trs anos proibido de se
aproximar de um computador ligado na rede. Tambm foi proibido de ganhar dinheiro
escrevendo livros ou artigos sobre suas aventuras de hacker at fevereiro de 2007. Podia
apenas escrever fico e contar proezas alheias. Nesse perodo, o ex-hacker lanou dois livros,
o best-seller A Arte de Enganar, no qual descreve tcnicas de invaso de redes com histrias
fictcias, e A Arte de Invadir, com histrias reais de amigos e hackers conhecidos (os dois
esto disponveis no Brasil). Agora, finalmente, acaba de lanar sua autobiografia. Hoje, aos
43 anos, o ex-hacker dono de uma consultoria de segurana de sistemas, a Mitnick Security
Consulting, nos Estados Unidos. De Las Vegas, onde vive, ele deu a seguinte entrevista a
VEJA:
Veja - O senhor foi considerado no passado o hacker mais perigoso do mundo.
Hoje, tornou-se consultor de segurana. Como estar do outro lado do jogo?
Kevin Mitnick - uma satisfao muito grande poder ajudar consumidores, grandes
companhias e agncias ligadas ao governo americano a se proteger dos invasores e das
fraudes. De certa forma, uma maneira de compensar os prejuzos que causei no passado.
Invadir sistemas uma habilidade que pode ser utilizada tanto para fins criminosos, como
legtimos. A vantagem, agora, que utilizo essa habilidade para melhorar a vida das pessoas.
Veja - Como o seu trabalho?
Mitnick - Muitas empresas me contratam para testar seu sistema e ver at onde um
hacker pode chegar. Fao todos os testes, avalio a estrutura e a organizao da empresa para

47

levantar todas as falhas de segurana e, a partir dessa anlise, ensino a elas como se proteger
dos invasores.
Veja - Os hackers de hoje so mais perigosos que os do passado?
Mitnick - De certa maneira, sim. No porque eles sejam mais competentes que no
passado e sim porque o objetivo da invaso mudou. Nas dcadas de 80 e 90, uma pessoa
tornava-se hacker por hobby. Eram adolescentes em busca do desafio intelectual. Agora, com
o advento do e-commerce e dos bancos on-line, o objetivo principal de se tornar hacker tirar
proveito financeiro da empresa invadida, ou derrubar uma companhia concorrente.
Veja - As estratgias utilizadas pelos hackers esto mais sofisticadas?
Mitnick - Os hackers de hoje esto mais eficientes em manter uma rede de
comunicao entre si. Muitas vezes, eles unem seus conhecimentos e suas habilidades para
descobrir a vulnerabilidade dos sistemas das grandes empresas. mais rpido e fcil invadir
um sistema em grupo do que sozinho.
Veja - Existe crime organizado na Internet?
Mitnick - Sim, nos ltimos anos as quadrilhas se multiplicaram na rede. Existem
vrias subdivises dentro de uma mesma organizao de hackers. Enquanto um grupo se
concentra na invaso do sistema de computadores, outro se ocupa em obter mais informaes
dos funcionrios da empresa e da organizao. Uma terceira frente fica encarregada de vender
os dados do carto de crdito dos clientes dessa companhia no mercado negro, ou informaes
confidenciais das empresas para os concorrentes. Sempre h muito dinheiro envolvido.
Veja - H hackers envolvidos com terrorismo?
Mitnick - No tenho informaes de grupos de hackers que utilizam computadores
para executar ataques terroristas. O que sabemos que eles usam muito esse meio para se
comunicar entre si, em cdigos ou e-mails criptografados, e para descobrir os planos e
atividades dos agentes americanos que caam os terroristas.
Veja - Hoje est mais fcil ou mais difcil invadir os sistemas, se comparado fase
em que o senhor era hacker?
Mitnick - Em algumas situaes, est muito mais fcil. Nos ltimos anos, a
tecnologia contribuiu para melhorar a segurana dos sistemas. O problema que a maioria das

48

empresas ainda no est preparada para se proteger contra o que eu chamo de engenharia
social, ou seja, as estratgias utilizadas pelos hackers para persuadir pessoas e obter dados
confidenciais das empresas. Uma companhia pode gastar milhares de dlares em tecnologia
de segurana, firewalls e criptografia, mas se o hacker conseguir enganar um funcionrio
dentro da empresa, e fizer com que ele lhe passe dados como senhas de acesso e arquivos
internos, todo o dinheiro gasto com a segurana de sistemas ser em vo. E, na maioria das
vezes, esse funcionrio nem perceber que ajudou o hacker a organizar um ataque.
Atualmente, a mo-de-obra de uma empresa a parte mais vulnervel ao ataque dos hackers.
Veja - Quem so os principais alvos dos hackers numa corporao?
Mitnick - Antigamente eram os CEOs, porque eles detinham as informaes
privilegiadas. Mas hoje, com os avanos da tecnologia e a democratizao das informaes,
at os funcionrios numa escala bem mais baixa guardam dados confidenciais numa pasta do
computador. So esses trabalhadores que os hackers visam. Eles tm acesso a uma grande
quantidade de informao sobre a empresa, como a situao financeira da companhia, sua
lista de clientes e planos de marketing, mas no tm o conhecimento detalhado do que pode
ser uma ameaa segurana. Assim, caem nos golpes aplicados pelos hackers mais
facilmente.
Veja - Que estratgias os invasores utilizam para enganar esses funcionrios?
Mitnick - comum eles ligarem fingindo ser chefe de um departamento e pedir
alguma informao sigilosa, dizendo que urgente. Para convencer o funcionrio de que esto
falando a verdade, fingem que conhecem algumas pessoas importantes na empresa e utilizam
argumentos que fazem sentido no dia-a-dia da companhia, como citar algum evento
importante que realmente est para acontecer, ou relatar alguma falha no sistema que ocorre
freqentemente no cotidiano.
Veja - O que as empresas devem fazer para se proteger desse golpe?
Mitnick - Primeiro, preciso estender a poltica de segurana a toda a empresa,
independentemente da posio. preciso treinar os funcionrios para no se deixar enganar
pelos hackers que se passam por gerentes ou prestadores de servio, orientando a nunca
fornecer informaes confidenciais por telefone ou e-mail, como dados de acesso ao
computador ou a poltica organizacional da empresa e, aps receber esse tipo de mensagem ou
ligao, sempre avisar seus superiores.

49

Veja - Quais so os principais erros que as empresas cometem no sistema de


segurana de rede?
Mitnick - Um dos maiores erros subestimar a capacidade dos hackers de invadir
seu sistema. Por no acreditarem que sero alvos de hackers, ou que os invasores no sero
to eficientes a ponto de causar estragos, muitas empresas mantm um sistema de segurana
bsico, com vrios pontos vulnerveis. Entre as principais falhas, esto o fato de no ter um
sistema de back-up no banco de dados, no manter o sistema operacional atualizado
constantemente, demorar para resolver um problema apontado pelo computador e utilizar
senhas de acesso previsveis.
Veja - Que conselhos o senhor daria para as pessoas protegerem seus
computadores?
Mitnick - Manter o firewall ativado evita 80% das invases. Os ataques mais
sofisticados exploram a vulnerabilidade do navegador dos usurios. Para deixar o browser
mais seguro, fundamental manter o antivrus atualizado e instalar no computador um
detector de spyware, o programa que se instala no micro sem o consentimento do usurio e
passa a monitor-lo.
Veja - O computador mais seguro o que est desligado?
Mitnick - Essa idia falsa. O hacker consegue convencer o usurio a entrar no
escritrio e ligar aquele computador. Uma nica informao pode ser utilizada de vrias
maneiras e levar a outras. A arte da fraude consiste em ter pacincia e ser persistente. O
hacker sabe que pode conseguir o que almeja. Tudo questo de tempo.
Veja - Quais so os principais crimes cometidos na Internet?
Mitnick - Os casos de extorso, em que os hackers ameaam tirar do ar o site de uma
corporao por um determinado perodo caso a companhia no pague uma quantia em
dinheiro, esto se tornando muito comuns. Um golpe que j existe h alguns anos e continua
crescendo o phishing, ou seja, o envio de mensagens falsas para capturar informaes dos
clientes, como nmeros de contas bancrias, cartes de crditos e as respectivas senhas. Hoje
existe phishing at em sites de relacionamentos e de mensagens instantneas.
Veja - seguro utilizar o Internet banking em casa?

50

Mitnick - O servio de Internet banking, por si s, seguro. O perigo a existncia


de brechas dentro do computador do usurio. Um hacker consegue roubar dados do usurio a
partir da vulnerabilidade de seu micro e no do servio de Internet banking. Por isso,
fundamental manter todas as ferramentas de segurana do computador pessoal ativadas e
atualizadas, como o antivrus e o firewall.
Veja - O senhor utiliza os servios de Internet banking?
Mitnick - Sim, porque se eu for vtima de fraude, o banco ter de me reembolsar. Os
riscos, nesse caso, so maiores para o banco e para as operadoras de carto de crdito que para
o prprio cliente.
Veja - Fazer compras em lojas virtuais arriscado?
Mitnick - Hoje os riscos so os mesmos que os das lojas do mundo real. Um hacker
raramente vai se concentrar em invadir um computador para tentar roubar o nmero de um
nico carto de crdito. Isso porque todas as informaes enviadas para um site seguro saem
criptografadas do computador do usurio. Daria um trabalho imenso e levaria muito tempo
para decodific-las. claro que preciso escolher bem a loja on-line que se vai fazer
compras, mas isso tambm vale para as lojas do mundo real. As grandes lojas, como Amazon
e eBay, costumam ser mais confiveis, pois mantm um sistema de segurana eficiente para
armazenar os dados financeiros dos clientes.
Veja - Utilizar Internet pelo telefone celular seguro?
Mitnick - Os celulares so o mais novo alvo dos hackers. Para se ter uma idia, hoje
h spywares para celular. A boa notcia que a tecnologia para esses aparelhos est se
aperfeioando cada vez mais. At pouco tempo atrs, utilizar Internet pelo celular era
arriscadssimo, mas os fabricantes esto se conscientizando de que implantar um sistema de
segurana eficiente tambm fundamental para esses equipamentos. Hoje, os riscos de se
utilizar Internet pelo celular so praticamente os mesmos que os do PC.
Veja - verdade que utilizar Internet pelo celular ou laptop prximo aos aeroportos
perigoso, porque os hackers conseguem roubar dados do sistema com mais facilidade?
Mitnick - Os aeroportos hoje so ambientes propcios para o roubo de dados do
computador. Existem quadrilhas que agem nesses locais apenas com esse propsito. Eles se
aproveitam das brechas no sistema de um notebook que um sujeito est utilizando no lounge

51

do aeroporto e, utilizando outro laptop, invadem seu sistema. Nesses locais, o risco muito
grande.
Veja - As pessoas ainda reconhecem o senhor na rua?
Mitnick - Algumas vezes. Costumo ser bastante reconhecido quando utilizo meu
notebook em pblico, num caf, por exemplo. No sei se porque as pessoas associam o
computador a mim.
Veja - O senhor se arrepende de ter sido hacker e de ter roubado informaes no
passado?
Mitnick - Sim, eu era muito imaturo naquele tempo e reconheo que cometi erros
estpidos. Me considero uma pessoa de sorte, pois tenho agora uma nova chance de utilizar
minhas habilidades com outros objetivos. Existem hoje muitas formas de aprender sobre as
tcnicas dos hackers sem precisar invadir o sistema alheio. H cursos de segurana de
sistemas nas universidades e escolas especializadas a preos muito mais acessveis do que na
poca em que eu iniciei minhas atividades de hacker.
Veja - Depois que saiu da priso, o senhor chegou a conversar com Tsutomu
Shimomura, o especialista em segurana eletrnica que o desmascarou?
Mitnick - Eu nunca falei com ele em toda a minha vida, nem antes nem depois da
priso. um sujeito muito arrogante, que se acha mais esperto do que todo mundo. No tenho
o menor interesse em manter qualquer tipo de relao com ele.
Veja - O que o senhor dir em sua autobiografia?
Mitnick - Contarei em detalhes todas as aventuras que eu vivi quando ainda era
hacker, o que eu realmente fiz, por que eu fiz, como foi lidar com os agentes federais
americanos, a fuga e a perseguio no ciberespao. Muito do que foi dito sobre mim at hoje,
principalmente sobre como foram as invases, est incorreto. No livro, vou esclarecer tudo
isso.
Veja - Por que o senhor se tornou um hacker?
Mitnick - Virei um hacker no para roubar dinheiro ou tirar vantagem sobre alguma
empresa. Era mais pelo prazer de invadir o site de uma grande companhia ou do governo
americano e no ser pego. Cada vez que eu era bem-sucedido, aumentava o desafio e os

52

riscos. Era como participar de um jogo on-line em que, ao ganhar, passa-se para outra fase
mais difcil.
Veja - Qual foi a invaso mais desafiadora que o senhor praticou quando era
hacker?
Mitnick - Uma das mais desafiadoras foi invadir o sistema da Motorola, em 1994.
Era um dos mais seguros daquele tempo e ningum conseguia invadi-lo. Tive de enfrentar
vrios nveis de segurana at conseguir entrar, de fato.
Veja - verdade que os hackers brasileiros so os mais habilidosos do mundo?
Mitnick - Eu no conheo nenhum pessoalmente, mas sei que os hackers brasileiros
tm essa fama. Alguns grupos no Brasil ficaram conhecidos por modificar a pgina principal
de grandes companhias em todo o mundo.

53

ANEXO B MODELO TERMO DE COMPROMISSO

TERMO DE COMPROMISSO

Identificao do Empregado/Prestador de Servios


NOME:
FUNO:

Comprometo-me a:

1. Executar minhas tarefas de forma a cumprir com as orientaes da Poltica de Segurana e


com as Normas e Padres vigentes;
2. Utilizar adequadamente os equipamentos da Empresa, evitando acessos indevidos aos
ambientes computacionais aos quais estarei habilitado, que possam comprometer a
segurana das informaes;
3. No revelar fora do mbito profissional, fato ou informaes de qualquer natureza que
tenha conhecimento devido a minhas atribuies, salvo em decorrncia de deciso
competente do superior hierrquico;
4. Acessar as informaes somente por necessidade de servio e por determinao expressa do
superior hierrquico;
5. Manter cautela quando a exibio de informaes sigilosas e confidenciais, em tela,
impressoras ou outros meios eletrnicos;
6. No me ausentar do local de trabalho sem encerrar a sesso de uso do computador ou
sistema, evitando assim o acesso por pessoas no autorizadas;
7. Observar rigorosamente os procedimentos de segurana estabelecidos quanto
confidencialidade de minha senha, atravs dos quais posso efetuar operaes a mim
designadas nos recursos computacionais que acesso, procedendo a:

54

a.

Substituir a senha inicial gerada pelo sistema, por outra secreta, pessoal e
intransfervel;

b.

No divulgar a minha senha a outras pessoas;

c.

Nunca escrever a minha senha, sempre memoriz-la;

d.

De maneira alguma ou sobre qualquer pretexto, procurar descobrir as senhas de


outras pessoas;

e.

Somente utilizar o meu acesso para os fins designados e para os quais estiver
devidamente autorizado, em razo de minhas funes;

f.

Responder em todas as instncias, pelas conseqncias das aes ou omisses de


minha parte que possam por em risco ou comprometer a exclusividade de
conhecimento da minha senha ou das transaes a que tenho acesso;

g.

Reportar imediatamente ao superior imediato ou ao Administrador de Segurana em


caso de violao, acidental ou no, da minha senha, e providenciar a sua
substituio.

h.

Solicitar o cancelamento de minha senha quando no for mais de minha utilizao.

Declaro estar ciente das determinaes acima, compreendendo que quaisquer


descumprimentos dessas regras podem implicar na aplicao das sanses disciplinares
cabveis.

Goinia, ______ de _____________________________ de ____________.

_________________________________________________________________________
Assinatura do Empregado/Prestador de Servios

55

ANEXO C MODELO DE POLTICA DE USO DA INTERNET


POLTICA DE USO DA INTERNET

O propsito dessa poltica assegurar o uso apropriado da Internet na [Empresa].


O uso da Internet pelos empregados da [Empresa] permitido e encorajado desde que seu uso
seja aderente aos objetivos e atividades fins do negcio da [Empresa].
Entretanto, a [Empresa] tem uma poltica para o uso da Internet desde que os
funcionrios/colaboradores assegurem que cada um deles:

Siga a legislao corrente (sobre pirataria, pedofilia, aes discriminatrias)

Use a Internet de uma forma aceitvel

No crie riscos desnecessrios para o negcio para a [Empresa]

Se voc tem alguma dvida ou comentrios sobre essa Poltica de Uso da Internet,
por favor, entre em contato com seu supervisor.
estritamente proibido e inaceitvel Concorrentemente ao descrito acima, ser considerado totalmente inaceitvel tanto no
uso quanto no comportamento dos empregados:
visitar sites da Internet que contenha material obsceno e/ou pornogrfico;
usar o computador para executar quaisquer tipos ou formas de fraudes, ou
software/musica pirata;
usar a Internet para enviar material ofensivo ou de assdio para outros usurios;
baixar (download) de software comercial ou qualquer outro material cujo direito pertena
a terceiros (copyright), sem ter um contrato de licenciamento ou outros tipos de licena;
atacar e/ou pesquisar em reas no autorizadas (Hacking);
criar ou transmitir material difamatrio;
executar atividades que desperdice os esforos do pessoal tcnico ou dos recursos da rede;
introduzir de qualquer forma um vrus de computador dentro da rede corporativa.

56

Monitoramento A [Empresa] reafirma que o uso da Internet uma ferramenta valiosa para seus
negcios.Entretanto, o mau uso dessa facilidade pode ter impacto negativo sobre a
produtividade dos funcionrios e a prpria reputao do negcio.
Em adio, todos os recursos tecnolgicos da [Empresa] existem para o propsito
exclusivo de seu negcio. Portanto, a empresa se d ao direito de monitorar o volume de
trfico na Internet e na Rede, juntamente com os endereos web (http://) visitados.
Sanes (esses procedimentos so especficos e variaro de empresa para empresa.
Use seu processo normal disciplinar)
A falha em no seguir a poltica ir resultar em sanes que variaro desde
procedimentos disciplinares, com avisos verbais ou escritos, at a demisso.
Declarao
Eu l, e concordo em seguir as regras descritas nessa poltica e entendo que o no
seguimento das regras pode resultar em ao disciplinar ou ao judicial contra minha pessoa.

Assinatura_________________________________________________________
Nome Extenso______________________________________________________
Data:___/___/_____