EXECUÇÃO DE VARREDURAS ELETRÔNICAS

  

 

INTRODUÇÃO

 Quem tem a informação, tem o poder. Logo, muitas vezes agressores profissionais (espiões, detetives e etc) são contratados para subtrair a informação desejada. Os métodos e equipamentos empregados pelos agressores são diretamente proporcionais à dois fatores, a saber: (1) capacidade de investimento de quem se interessa pela informação, e (2) o valor que esta informação pode ter.

 De posse desta última variável (valor da informação) é possível definir o nível de ameaça a que uma organização estaria exposta. Quanto maior este nível de ameaça, maiores devem ser os cuidados para protegê-la.

  

NECESSIDADE DE CONSTANTE ATUALIZAÇÃO

 Antes de mais nada, é imperativo que o pessoal que compõe as equipes de varreduras estejam antenados com as tecnologias, novidades e tendências do mercado. Tanto no que diz respeito às tecnologias disponíveis para os agressores, quanto ao que diz respeito às tecnologias disponíveis para as atividades de varreduras e contra inteligência. Acreditamos que uma pequena ajuda neste sentido poderia ser obtida através da leitura dos demais artigos presentes neste site, bem como dos equipamentos aqui apresentados.

Esta necessidade de bagagem estende-se ainda sobre as teorias eletrônicas que envolvem o uso tanto de tecnologias de natureza de agressão quanto de natureza de proteção. Isto quer dizer domínio sobre as teorias do espectro eletromagnético; ondas e fontes de radiação eletro magnéticas; utilização das faixas de freqüências das bandas RF (ELF, VLF, LF, MF, HF, VHF, UHF, SHF, EHF e etc); regiões do espectro eletromagnético (energia e telefones, RF, micro ondas, infra vermelho, luz visível, ultra violeta e raios X); noções sobre alcance, autonomia e segurança dos sinais irradiados a partir de transmissores RF; além do já citado conhecimento sobre as tecnologias disponíveis para uso dos agressores e das equipes de varreduras e contra inteligência.

É muito importante ainda que o pessoal das varreduras eletrônicas tenha em mente que os equipamentos e técnicas empregados, o conhecimento dos métodos de ação dos agressores e a vontade de investigar podem fazer a diferença entre um prêmio e apenas mais uma varredura.

Como se pode deduzir, o emprego de métodos e tecnologias auxiliares às varreduras pode ajudar a incrementar o nível de segurança de uma organização. Entre estes métodos auxiliares, destaque para os procedimentos de controle de acesso, que em última instância, irá definir o quanto é fácil ou difícil para o agressor adentrar ao ambiente para instalar um bug. Entre as tecnologias auxiliares, destaque para o emprego de escramblers, ou embaralhadores de vozes (para uso nos sistemas de telefonia). Destaque também para os sistemas de proteção perimetral (emissão de sinal branco) para anular a ameaça representada pelos equipamentos que não são detectáveis durante as varreduras, tais como as escutas remotas (microfones escondidos, microfones de contato como estetoscópios, alguns transmissores por corrente carrier, reflexão de laser em janelas, microfones direcionais, microfones parabólicos, etc), dentre outros equipamentos.

 

PLANO DE AÇÃO 

É importante ainda que o pessoal das varreduras fique atento para outros pequenos detalhes, como “quem eram os antigos ocupantes do imóvel?”, “será que eles poderiam ter deixado alguma escuta escondida?”. Outro detalhe a ser levado em consideração: “existe algum controle de acesso dos visitantes às dependências da organização?”, e ainda “qual é o nível de ameaça a que a organização está exposta?”.

De posse das respostas às estas questões, é possível traçar um bom plano de ação para as atividades de varreduras. Isto implica, entre outras coisas, em conhecimento prévio sobre qual é o tamanho da área a ser varrida, a quantidade de linhas e ramais telefônicos a serem inspecionados. Se existe, qual é o sistema de PABX da organização? Entre outras informações úteis, como, por exemplo acesso à planta baixa, planta elétrica e hidráulica da zona alvo da varredura. Verifique ainda se a zona alvo possui canaletas, divisórias, teto e piso falso, o que demanda mais tempo para realiza as varreduras.

O plano de ação do pessoal da telefonia implica em identificar os locais onde existam DGs e caixas de passagem da malha telefônica.

Em função do tamanho e das características da área, bem como do número de telefones, estime um tempo a ser gasto para realizar os serviços. De posse destas informações, estime o tamanho da equipe a ser empregada, bem como os equipamentos, materiais e ferramentas a serem empregados.

 

ZONA ALVO E QG

Definimos como zona alvo sendo toda a área onde serão realizados os serviços de varreduras. Monte um QG para testes, montagem e aferição dos equipamentos fora desta zona alvo.

 

ANTES DAS VARREDURAS

Verifique se o local está vazio. É altamente recomendado que os trabalhos tenham início apenas depois que todo os funcionários deixem a zona alvo. Lembre-se que este é um trabalho sigiloso, e por este motivo, deve ser tratado como tal. Quanto menos pessoas souberem que o serviço será, ou está sendo realizado, melhor.

Feche todas as cortinas, para evitar o contato visual por parte de pessoas estranhas aos trabalhos.

 

DURANTE AS VARREDURAS

Registre as ocorrências mais relevantes em fotos. Tenha sempre um bloco de anotações e canetas junto a você, para anotar as informações mais relevantes.

Ao encontrar algum bug não quebre o sigilo dos trabalhos. Considere sempre a possibilidade de o agressor ter escondido mais de um equipamento. Ao fim dos trabalhos, pericie o equipamento encontrado. Isto irá ajudar a identificar o nível de ameaça empregado contra o cliente da varredura.

Ao se comunicar com seus companheiros, seja o mais discreto e silencioso possível. Se possível, utilize códigos mímicos ou códigos de comunicação.

Fique atento quanto à alguns tipos de ameaças e vulnerabilidades bastante comuns: (1) alto falantes desligados podem funcionar como microfones, basta algumas simples inversões de fios sem feitas; (2) telefones sem fios e linhas diretas são extremamente fáceis de serem interceptados. O primeiro pode ser facilmente interceptado por um escaner RF, sendo que o agressor não precisa sequer de ter tido acesso prévio ao ambiente onde localiza-se instalado o telefone. (3) Dispositivos eletro eletrônicos ganhos como presentes de terceiros representam um alto risco e grande vulnerabilidade. Quem garante que aquela agenda eletrônica de mesa, ou aquela calculadora não possuem um transmissor ou uma câmera embutida? (4) lembre-se ainda de que alguns equipamentos, como é o caso das escutas remotas, não são, definitivamente, detectáveis por meio de execução de varreduras. Nestes casos, outros equipamentos deverão ser empregados a fim de anular este tipo ameaça.

 

 

VARREDURAS ELETRÔNICAS

As varreduras eletrônicas são a parte mais complexa da atividade. Trata-se justamente daquela etapa em que pessoas com alto nível de conhecimento técnico operam os equipamentos mais sofisticados (como por exemplo os equipamentos para varreduras de espectros).

Ao se empregar um analisador de espectros, lance mão de uma fonte de som conhecida. Esta fonte deve ser um áudio pouco usual, como, por exemplo, um CD de música clássica ou uma fita de aulas de idiomas. O emprego de uma fonte de som conhecida deverá auxiliar o operador dos equipamentos a identificar alguma eventual transmissão presente na zona alvo. Neste caso, o operador dos equipamentos que eventualmente venha a captar nos fones de ouvido o mesmo áudio da fonte de som conhecida, irá imediatamente identificá-la como uma transmissão proveniente da zona alvo, sendo esta, provavelmente uma transmissão clandestina.

Faça a varredura com os equipamentos eletrônicos de dentro da zona alvo, primeiro desligados. Depois repita a varredura, agora com os equipamentos ligados (computadores, televisores, etc).

Também está incluído nesta etapa dos trabalhos o emprego de equipamentos para realização de varreduras nas linhas telefônicas. Lembre-se de que varreduras eletrônicas sobre a malha telefônica não devem se reduzir a meras medições de tensão e corrente, pois estas são extremamente limitadas e não podem detectar todos os tipos de equipamentos e conexões possíveis de serem empregadas por um eventual agressor.

Uma varredura eletrônica completa deve cobrir pelo menos as seguintes regiões do espectro eletromagnético: (1) energia e telefone, (2) rádio freqüências, (3) micro ondas, (4) infra vermelho.

 

INSPEÇÃO FÍSICA

A inspeção física é uma das etapas mais importantes dos trabalhos de varreduras eletrônicas. Temos tido acesso a muitos relatos de equipes que realizam as varreduras eletrônicas que ignoram por completo os procedimentos de inspeções físicas. E isto, garantimos, está errado. Todo trabalho de varreduras eletrônicas deve ser acompanhado de um minucioso empenho nas atividades de inspeções físicas.

 

Alguns bugs podem mascarar os sinais transmitidos, e assim, burlar as varreduras feitas pelos equipamentos de varreduras eletrônicas. Esta observação é ainda mais dramática se considerarmos que alguns equipamentos podem estar desligados durantes as varreduras.

Por isto, desmonte todos os equipamentos eletro eletrônicos presentes na zona alvo, a fim de localizar algum dispositivo parasita instalado no seu interior. Desmonte móveis, cheque atrás dos quadros de paredes, inspecione o interior de pisos e tetos falsos, etc. Inspecione o interior de canaletas e tomadas bem como pequenas frestas e orifícios.

Utilize algum marcador invisível para selar (etiquetar) caixas de tomadas, canaletas e outros locais que possam ser abertos pelos agressores com o objetivo de infiltrar algum bug.

 

CAPACITAÇÃO HUMANA

Lembre-se que os trabalhos profissionais demandam um nível de investimento à altura. E este investimento deve contemplar além da aquisição de tecnologias, a capacitação de pessoal.

Quem vai trabalhar neste tipo de atividades deve possuir sólidos conhecimentos sobre as teorias eletrônicas envolvidas nas técnicas e tecnologias empregadas tanto pelo agressor quanto pelas equipes de varreduras. Além do aspecto técnico, esta capacitação deve prever ainda o aspecto ético. Afinal, quem for trabalhar neste tipo de atividade terá acesso a informações que podem ser muito valiosas para terceiros. A equipe de varreduras deve ser composta por pessoal de confiança do cliente. Logo, devem inspirar confiança.

Algumas dicas muito úteis para quem vai se dedicar a este tipo de atividade são estar sempre em alerta, evitar rotinas, manter sob sigilo sua real atividade, não comentar com pessoas de fora do ambiente do trabalho assuntos relacionados a ele, e, principalmente, ficar atento ao pessoal terceirizado do cliente. Para se ter uma idéia da gravidade do assunto, lembre-se que a manutenção dos sistemas de telefonia da maior parte das organizações é terceirizado. O mesmo vale para pessoal da limpeza e garçons, que geralmente possuem acesso irrestrito às dependências de uma organização e podem facilmente serem subornados.