Versão preliminar do artigo sobre uso de técnicas de redes sociais em apoio a gestão de riscos de segurança da informação no universo dos dados públicos governamentais.
Tecnicas de analise de redes sociais em apoio a gestão de riscos de segurança da informação
1. Análise de Redes Sociais aplicada à gestão de segurança da
informação baseada em dados público
Renata Márcia Canuto Dumont Galdino, Raul Carvalho de Souza 1, 2
1,2
UnB – Universidade de Brasilia, Mestre em Engenharia de Software
renatacdumont@gmailcom,raul.carvalhodesouza@gmail.com
Resumo
Este trabalho tem como objetivo apresentar um estudo sobre as contribuições da Análise de
Redes Sociais (ARS) na gestão da segurança da informação das instituições públicas, considerando
dados publicados em cumprimento às determinações decorrentes da publicação da Lei de Acesso
a Informação (LAI) brasileira.
Palavras-chave: Análise de Redes Sociais. Engenharia Social. Lei de Acesso a Informação.
Capital Social.
1. Introdução
A pesquisa foi realizada a partir de dados públicos sobre contratações do governo federal
coletados do Portal da Transparência (www.transparencia.gov.br) e objetivou analisar os riscos de
segurança inerentes ao uso desses dados para fins de ataques de persistência, por meio de técnicas
de engenharia social.
O estudo realizado considerou como principal referência o dataset de empresas e órgãos que
fizeram contratações de tecnologia da informação e comunicação, obtidos a partir de coleta
realizada durante a pesquisa de mestrado de um dos autores deste artigo. Neste estudo foram
coletados dados complementares, também no Portal, e utilizadas as técnicas de Análise de Redes
Sociais sob esse conjunto de dados. As técnicas constantes desse trabalho consideraram os
algoritmos presentes no livro Exploratory Network Analysis with Pajek.
2. ARS, Segurança da Informação e Abertura de Dados Públicos
Entre as diversas significações que “rede” (network) vem adquirindo, apesar de não se limitar
somente a elas, servem ao propósito deste artigo as seguintes: sistema de nodos e elos; uma
estrutura sem fronteiras; uma comunidade não geográfica; um sistema de apoio ou um sistema
físico que se pareça com uma árvore ou uma rede. A rede social, derivando deste conceito, passa
a representar um conjunto de participantes autônomos, unindo idéias e recursos em torno de
valores e interesses compartilhados. (Marteleto, 2001)
A Análise de Redes Sociais é uma abordagem teórico metodológica que foca no estudo das
estruturas sociais a partir de elementos da Sociomentria e da Teoria de Grafos (Scott, 2012). Com
raízes na análise estrutural das redes, na segunda metade do século XX emerge o trabalho
interdisciplinar no estudo de redes, com uso de elementos da estatística e cálculos matemáticos.
Com o avanço dos estudos, a ARS passou a representar estudos de agrupamentos sociais,
representados por atores que podem ser indivíduos e instituições e suas relações. Uma análise da
dinâmica entre esses atores permite explicitar informações que podem revelar, muitas vezes,
estratégias não passíveis de serem percebidas visualmente.
Dentro do contexto de Segurança da Informação, uma das preocupações são os ataques de
Engenharia Social. O Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no
Brasil (CERT.br, 2016) define engenharia social como uma “técnica por meio da qual uma pessoa
procura persuadir outra a executar determinadas ações. O golpista tenta explorar a ganância, a
vaidade e a boa-fé ou abusar da ingenuidade e da confiança de outras pessoas, a fim de aplicar
2. golpes, ludibriar ou obter informações sigilosas e importantes.” Desta forma pode-se afirmar que
a Engenharia Social no abuso de confiança para execução de ações intencionais.
Sob uma outra perspectiva, a Lei de Acesso a informação (LAI) promove uma abertura
continuada dos dados públicos, tendo como foco transparência e controle social dos gastos
públicos.
Diante dessa dicotomia entre segurança da informação e abertura de dados do governo,
informações qualitativas e quantitativas podem ser oferecidas a partir da aplicação de técnicas de
ARS sob esses dados públicos, permitindo que os órgãos possam utilizar tais informações para
melhorar suas políticas de segurança de tal forma a mitigar os riscos inerentes ao processo de
publicização dos dados do governo.
3. Dados Públicos, Préstigio na ARS e Técnica de Engenharia Social
Segundo o FBI (The Federal Bureau of Investigation), “informação publicada em uma rede
social não é mais privada. Quanto mais informações você publica, mais vulnerável você se torna.”
(FBI, 2016)
Com o aumento da exposição e da granularidade das informações na Web sobre contratações
públicas, com vistas a atender a Lei de Acesso a Informação, é relevante o incremento de riscos
de segurança relacionados às instituições públicas que tiveram seus dados publicados, tendo em
vista o aumento da vulnerabilidade dessas instituições para ações de engenharia social.
a. Universo e Coleta de Dados
A análise de redes sociais não comporta, ainda, nenhum método de amostragem, portanto se faz
necessária a definição clara do conjunto de atores de interesse e a utilização de alguma estratégia
de delimitação. Para a definição clara dos atores deste estudo foram consideradas as seguintes
etapas: (1) acesso ao dataset utilizado na pesquisa de mestrado de um dos autores, que continha a
relação de fornecedores e órgãos que realizaram contratações de TIC no período de 01/01/2014 a
29/04/2014; (2) coleta de atributo complementar que contribuísse para a delimitação do estudo,
sendo selecionadas ordens bancárias remetidas pelos órgãos aos fornecedores no mesmo período
da primeira coleta, que ratificariam que as relações passaram do meio jurídico, contrato, para o
plano material, entrega de produtos e serviços. O resultado desses procedimentos foi a captura de
125 relações entre órgãos e fornecedores. A terceira etapa que se definiu foi a coleta de atributos
que permitissem a verificação de correlações entre essas contratações, sendo selecionados os
atributos órgão superior e partido político.
b. Manipulação, Visualização e Layout
Para manipulação da rede utilizou-se do software open-source Pajek e os algorítmos
desenvolvidos pela comunidade de colaboradores do projeto. Para visualização, layout e detecção
de comunidades de redes utilizou-se o software open-source Gephi e seus algoritmos.
Como a rede gerada compreendeu uma rede de 2-modos, primeiramente foram realizadas as
análises visuais nas redes, considerando que as relações que representam ordens bancárias, e
tomando como base que neste contexto só existe relação do órgão.
Em seguida a rede foi transformada em duas redes monomodo, e passou-se a tratar com a
partição referente aos órgãos, objeto de estudo dos riscos de segurança, e as partições de partidos
e de órgão superior.
c. Análise de Dados
3. A análise visual foi realizada considerando todo o universo, modularidade com critérios de
cor e tamanho do vértice que permitiram as conclusões apresentadas a seguir.
Na figura 1, considerando a visualização em cor de acordo com o órgão superior, e o
tamanho dos nós pelo seu grau de entrada, é possível identificar as empresas que possuem entregas
em mais órgãos, bem como percebe-se que uma mesma empresa normalmente mantém relações
com mais de uma unidade gestora do mesmo órgão superior.
Figura 1 – Rede considerando grau de entrada dos nós empresas
Na figura 2, considerando a visualização em cor de acordo com o órgão superior, e o
tamanho dos nós pelo seu grau de saída, é possível identificar os órgãos que possuem mais
contratações, bem como percebe-se que órgãos superiores normalmente efetuam contratações com
a mesma empresa para mais de uma unidade gestora.
Figura 2 – Rede considerando grau de saídas dos nós órgaos
Na figura 3, considerando a visualização em cor de acordo com o partido político do governo
do Estado da unidade gestora, e o tamanho como o grau de saída dos nós (órgãos), é possível
identificar quais são os partidos políticos dos estados nos quais houve mais contratações de TIC.
4. Figura 2 – Rede considerando grau de saída dos órgaos e os partidos políticos
Dentre as diferentes técnicas de análise estrutural de redes, foram selecionadas técnicas que
quando aplicadas identificam dinâmicas que podem ser exploradas para se obter vantagens
positivas a serem exploradas pelos engenheiros sociais.
Uma das informações importantes é a identificação das pontes (bridges) e vértices de corte(cut-
vertices), pois esses elementos endereçam, respectivamente, relações e nós que se excluídos
podem desestruturar o fluxo de informações da rede. No nosso contexto, o ataque a esses elementos
promoverá a ruptura desse fluxo entre os órgão. Considerando a sub-rede de órgãos, e aplicando
as técnicas para identificação de bridges e cut-vertices (net>components>bi-components), foi
possível identificar 9 cut-vertices ( 9, 62, 78, 108, 109, 110, 113, 119, 120), bem 5 bridges.
A outra técnica selecionada foi a análise de prestígio. Em sua forma mais simples, o prestígio é
refletido pelo número de escolhas (diretas) recebidas, computadas pelo grau de entrada ou in-
degree, também denominado de popularidade. Na sua forma mais elaborada, o prestígio é obtido
a partir de duas medidas: domínio de entrada e proximidade. Segundo (DE NOOY; MRVAR;
BATAGELJ, 2011), domínio de um vértice se refere ao número ou percentual de todos os outros
vértices que estão conectados por um caminho a este vértice; e proximidade de prestígio pode ser
entendida como a proporção de todos os vértices em seu domínio de entrada dividido pela distância
média de todos os vértices em seu domínio de entrada. Em conjunto essas medidas permitem
avaliar o prestígio estrutural de um vértice, que por padrão se denomina prestígio. É assim
denominado porque os atores em posição de prestígio na rede muitas vezes possuem alto prestígio
social. Contudo, o estudo mostra que prestígio estrutural e social não se relacionam perfeitamente.
Muitas vezes obtém-se uma moderada correlação entre eles (Spearman’s rank correlation1
).
Em termos de contratos de tecnologia da informação e comunicação, é provável que o
fornecedor que apresentar prestígio estrutural também será aquele que possuirá prestígio social
junto aos colaboradores dos órgãos, mas para tanto é preciso que informações qualitativas nos
ratifique tais considerações.
Com a medida de domínio de entrada ou de influência, foi possível identicar as instuições
estruturalmente mais importantes, tanto no contexto do fornecedor como no contexto do órgão.
Por meio da técnica de correlação (Spearman’s rank) entre as partições de órgão superiores e
partidos políticos, verificou um coeficiente correlacional de 0.85862019, que se traduz em uma
associação forte entre essas duas estruturas. Tal medida estrutural confirmou forte correlação entre
órgão superior da instituição que efetuou o pagamento do contrato com o partido político que
1
Spearman’s rank correlation: Determina se um vértices com uma característica encontram relação com vértices com
outra características, e adota a técnica de correção estatística em que coeficiente entre 0.05 até 0.25, associação
fraca; coeficiente entre 0.25 até 0.60 indica relação moderada; e 0.60 até 1.0 é interpretado como associação forte.
5. estava a frente do governo do Estado em que unidade gestora esta sediada, informação que pode
ser explorada pelos engenheiros sociais.
4. Considerações Finais
Atualmente inúmeros métodos de ataque tem sido desenvolvidos diariamente para infiltrar
redes e expor informações sensíveis. É fato que as ameaças mudam rapida e facilmente, tornando
a implantação de contramedidas de segurança imperativas e em velocidade compatível com as
características das mudanças. Nesse sentido, o time de segurança precisa de ferramentas que
permitam análises de grandes volumes de dados, com métodos automáticos, assertivos e
inteligentes, uma vez a impossibilidade da análise humana de realizá-las nestes casos.
As técnicas de análise de redes pode ser um dos métodos de apoio às equipes de segurança
da informação na promoção de políticas mais certeiras e efetivas. É fato que a ARS não é um fim
em si, porém o estudo demonstra que pode atuar como um instrumento relevante de apoio às
equipes de segurança para que possam definir ações de conscientização e a divulgação de técnicas
que evitem que essas vulnerabilidades possam ser exploradas pelos engenheiros sociais.
Referências
[CERT.BR] Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil. Cartilha de
segurança para internet. Disponível em: http://cartilha.cert.br/livro/. Acesso em: 20 jun. 2016.
[DE NOOY; MRVAR; BATAGELJ, 2011] DE NOOY, Wouter; MRVAR, Andrej; BATAGELJ,
Vladimir. Exploratory social network analysis with Pajek. Cambridge University Press, 2011.
[FBI, 2012] UNITED STATES. Department of Justice. Federal Bureau of Investigation. Internet social
networking risks. Disponível em: https://www.fbi.gov/about-
us/investigate/counterintelligence/internet-social-networking-risks. Acesso em: 25 jun. 2016.
[JUNIOR, 2006] JÚNIOR, Guilherme. Entendendo o que é engenharia social. 2006. Disponível em:
https://www.vivaolinux.com.br/artigo/Entendendo-o-que-e-Engenharia-Social . Acesso em: 26 jun. 2016
[MARTELETO, 2001] - MARTELETO, Regina Maria. Análise de redes sociais: aplicação nos estudos de
transferência da informação. Ciência da informação, v. 30, n. 1, p. 71-81, 2001.
[LAI, 2011] - BRASIL. Lei 12.527: Lei de Acesso a Informação, de 18 de novembro de 2011. Regula o
acesso a informações previsto no inciso XXXIII do art. 5o, no inciso II do § 3o do art. 37 e no §2o do art.
216 da Constituição Federal; altera a Lei no 8.112, de 11 de dezembro de 1990; revoga a Lei no 11.111,
de 5 de maio de 2005, e dispositivos da Lei no 8.159, de 8 de janeiro de 1991; e dá outras providências.
Disponível em: < http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2011/lei/l12527.htm >. Acesso em 20
de jun. 2016.
[SCOTT, 2012] SCOTT, John. Social network analysis. Sage, 2012.