PIM VII

Prévia do material em texto

UNIVERSIDADE PAULISTA – EAD
PROJETO INTEGRADO MULTIDISCIPLINAR
SEGURANÇA DA INFORMAÇÃO
Projeto – Plano de Auditoria de Sistemas, amparado em testes de invasão com foco 
específico para organização selecionado e devidamente alinhado ao Plano de 
Negócios da Organização – PIM VII.
UNIP EAD Polo Jabaquara
2022
UNIVERSIDADE PAULISTA – EAD
PROJETO INTEGRADO MULTIDISCIPLINAR
SEGURANÇA DA INFORMAÇÃO
Projeto – Plano de Auditoria de Sistemas, amparado em testes de invasão com foco 
específico para organização selecionado e devidamente alinhado ao Plano de 
Negócios da Organização – PIM VII.
Nome(s) 
Ra
Curso: Segurança da informação
Semestre: 2° Semestre de 2022
Orientador: Professor Ricardo Swaybriker
UNIP EAD Polo Jabaquara
2022
RESUMO
O trabalho a seguir tem o objetivo de apresentar uma auditoria devidamente alinhado com os Planos 
de negócios de uma organização. Periodicamente são descobertas novas vulnerabilidades no 
ambiente tecnólogo, que são utilizadas por pessoas mal intencionadas para obter lucros financeiros, 
reconhecimento, espionagem etc. É recomendado que todas as organizações que utilizam serviços 
de ti pratiquem testes de invasão periodicamente no ambiente afim de identificar vulnerabilidades e 
promover melhorias. De nada adianta investir tempo e dinheiro em políticas, normas, procedimentos 
se não houver auditorias que comprovem que essas ferramentas estão implementadas e que 
funcionam. Utilizou-se como base para montar esse projeto os conhecimentos adquiridos nas 
disciplinas de Gestão da Qualidade, Auditoria de Sistemas (conceito e aplicação), Pareceres e teste 
de invasão e Empreendedorismo. Serão utilizados duas empresas fictícia para ilustrar o processo de 
auditoria e pentest, onde a empresa Yasmin Corporation é a empresa que será auditada e a Tada 
Consultoria será empresa terceirizada responsável pela realização do pentest nos sistemas.
Palavras Chaves: Segurança da informação; Pentest; Vulnerabilidade.
ABSTRACT
The following work aims to present an audit properly aligned with an organization's business plans. 
Periodically, new vulnerabilities are discovered in the technological environment, which are used by 
malicious people for financial gain, reconnaissance, espionage, etc. It is recommended that all 
organizations that use IT services practice periodic penetration testing of the environment in order to 
identify vulnerabilities and promote improvements. There is no point in investing in policies, standards,
procedures and there are no audits to prove that these tools are equipped and that they work. The 
knowledge acquired in the disciplines of Quality Management, Systems Auditing (concept and 
Systems), Opinions and Invasion and Entrepreneurship Test was used as a basis for setting up this 
project. Two fictitious companies will be used to illustrate the audit and pentest process, where the 
company Yasmin Corporation is the company that will be audited and Ta will be the outsourced 
company responsible for carrying out the pentest consultancy in the systems.
Keywords: Information Security; Pentest; Vulnerability.
SUMÁRIO
1. INTRODUÇÃO……………………………………………………………….……….6
2. PLANO DE NEGÓCIO YASMIN CORPORATION………………………………...7
2.1 ESTRUTURA ORGANIZACIONAL…………………………………….…………..7
2.2 MERCADO E COMPETIDORES…………………………………………………...8
2.3 MARKETING E VENDAS…………………………………………………………....8
2.4 ESTRATÉGIAS DE CRESCIMENTO……………………………………………....8
2.5 PREVISÃO DE RESULTADOS FINANCEIROS E INVESTIMENTOS………....8
3. SISTEMAS CRÍTICOS………………………………………………………………....9
3.1 IDENTIFIER…………………………………………………………………………….9
3.2 PRIUSLA………………………………………………………………………………..9
4. PLANO DE AUDITORIA……………………………………………………………….10
4.1 OBJETIVOS…………………………………………………………………………...10
4.2 PLANEJAMENTO……………………………………………………………………..10
5. RELATÓRIO EXECUTIVO……………………………………………………………..11
5.1 HISTÓRICO…………………………………………………………………………….11
5.2 CLASSIFICAÇÃO DOS IMPACTOS DAS VULNERABILIDADES……………..12
5.3 POSTURA GERAL…………………………………………………………………….12
5.3.1 VARREDURA NA INFRAESTRUTURA DA EMPRESA………………………..12
5.3.2 ATAQUE DE ENGENHARIA SOCIAL…………………………………………….13
5.3.3 ACESSO REMOTO NÃO AUTORIZADO………………………………………..15
5.4.4 FUNCIONÁRIOS CONSEGUEM LISTAR AS PERMISSÕES DE ARQUIVOS 
DA COMPANHIA………………………………………………………………………..…16
6. RESULTADO AUDITORIA…………………………………………………………….16
CONCLUSÃO………………………………………………………………………………17
REFERÊNCIA……………………………………………………………………………...18
1 INTRODUÇÃO
Abrir um negócio não é uma tarefa fácil, requer compreensão da área que se deseja atuar, criatividade e 
muito trabalho. O primeiro passo para abrir um negócio é desenvolver um plano de negócios para reunir 
informações, definir metas e objetivos. Além disso, devemos ter uma boa gestão de qualidade para que 
serviço prestado supra as necessidades dos cliente. Devemos implementar uma política de segurança afim 
de garantir que as informações dos negócios e clientes não caiam em mãos erradas. Realizaremos testes 
de penetração nos dois sistemas principais da empresa, tentando simular o mais próximo de um ataque 
Hacker, procurando brechas e fraquezas no sistema. Também realizaremos uma auditoria nos sistemas 
para o monitoramento e melhoria contínua para fornecer o mais alto nível de segurança para os clientes.
6
2. PLANO DE NEGÓCIO YASMIN CORPORATION
A Yasmin Corporation foi fundada em 2020 em São Paulo. Somos especializados em
infraestrutura e segurança da informação, fornecendo os melhores produtos e serviços na área de 
tecnologia e inovação. Temos o orgulho de estar e ser uma das principais companhias fornecedoras de 
serviços Cloud, Onprimeces, Antivírus, Service Desk, Segurança dos dados, Monitoramento e sustentação 
para empresas. Com um portfólio completo, 360 graus, a Yasmin Corporation apoia seus clientes numa 
Jornada completa de transformação Digital.
Missão: Com base em princípios éticos, melhorar a rentabilidade dos clientes através de serviços e 
soluções técnicas na área de prevenção de perdas e fraudes.
Visão: Torne-se uma empresa certificada reconhecida e admirada por clientes e colaboradores por meio da 
excelência em serviços tecnológico.
Valores: Respeito, Honestidade, Empatia, Solidariedade. Legalidade e Adaptabilidade.
2.1 Estrutura organizacional
A estrutura organizacional da Yasmin Corporation é feita utilizando a estrutura linear, ou seja, nossa gestão 
é feita conforme a hierarquia dos cargos. Esse modelo de gestão foi adotado devido a sua hierárquica clara 
e bem definida. Nossa gestão se caracteriza pela autoridade única e absoluta do superior em relação a seus
subordinados. As linhas de comunicação são formais, e as decisões são centralizadas.
Imagem 1 – Estrutura organizacional
Fonte: Autoria própria, 2022.
Atualmente a Yasmin Corporation tem 6 setores definidos:
Segurança da informação: setor responsável pela administrar informações e disponibilidade de recursos, 
implementar processos e políticas de segurança dos dados, identificar vulnerabilidades em sistemas, 
servidores, aplicações e networking.
Recursos humanos (RH): setor responsável por recrutar, selecionar e alinhas os talentos que combinam 
com a cultura e objetivos da empresa. 
7
Financeiro: setor responsável pela administração dos recursos financeiro da empresa. 
Administração: setor responsável pela administração da empresa, desde a definição de metas de negócios, 
até a formação de equipes, orientando a equipe operacional sobre o desempenho ideal do trabalho.
Marketing: setor responsável por estudar o mercado e os clientes, afim de elaborar estratégias que tornem a
marca relevante.
Tecnologia da informação(TI): responsável pela manutenção de sistemas, inovação, automatização de 
rotinas, criação de sistemas, processamento de dados, backups. 
2.2 Mercado e Competidores
O segmento de B2B (Business to Business) vem apresentando um crescimento expressivo. A pandemia 
gerado pelo vírus Covid-19 acelerou o setor de tecnologia e com isso aumentou a demanda por serviços 
tecnológicos. Devido a esse aumentoexpressivos de demandas de tecnologia, muitas empresas no Brasil 
ainda estão em fase de absorção do senário pós pandemia e não estão prontas para dar grandes saltos na 
rede. A carência por mão de obra qualificada inibe a participação destas empresas no ambiente eletrônico. A
proposta da Yasmin Corporation procura ocupar esse espaço e oferecer uma alternativa para a inserção 
desse público-alvo no ambiente digital.
2.3 Marketing e vendas
A estratégia de marketing da Yasmin Corporation visa ganhar mercado de forma rápida, focando em 
empresas de pequenos portes, onde a mão de obra é escassa. Ajudaremos essas empresas a se 
modernizar usando soluções mais baratas mas com eficiência. Os principais fundamentos de marketing 
foram montados considerando um plano que tem a intenção de atingir tanto consumidores quanto 
fornecedores que se associarão a empresa. 
2.4 Estratégias de crescimento
Faremos a divulgação dos nosso produtos nas principais redes sociais usando uma linguagem clara, 
faremos comerciais mostrando a viabilidade das nossas tecnologias e focaremos em diminuir o custo 
operacional das empresas com tecnologias, usaremos software livres para diminuir esses gastos. Após 
conquistar uma parte do mercado de empresas de pequenos portes, focaremos em empresas de médio 
porte e assim por diante. Faremos parcerias com as principais plataformas de inovação, afim de trazer 
novidades para os nosso clientes.
2.5 Previsão de resultados financeiros e investimentos
A implementação dos nosso serviços, dentro dos planos e condições preestabelecidos, resultará num 
empreendimento de alta rentabilidade, quando se compara as diversas oportunidades financeiras existentes
no mercado. A operação, resultará num valor atual do Lucro Líquido, descontada a taxa de IGPM + 13% ao 
ano, equivalente a R$1,2 milhões e uma taxa interna de retorno de 20% ao ano . O investimento definido 
para implementação desse plano de negócios, é de R$500,00 mil. Venderemos 15% de nossas ações para 
investidores dispostos a investir na empresa.
8
3. Sistemas Críticos 
3.1 Identifier
Identifier é um sistema crítico de login onde ele verificar se usuário que está tentando se conectar ao 
sistema é realmente quem diz ser. A ideia principal desse sistema é centralizar o provedor de autenticação 
da organização. A aplicação Identifier utiliza uma api de ASP .NET Core Web API utilizando o 
IdentityServer4 (IS4) que é framework OpenID Connect e OAuth 2.0 gratuito.
A Yasmin Corporation tem diversos api e microsserviços que precisam da segurança da autenticação. 
Usando o IdentityServer4 (IS4) não é preciso definir a lógica de autenticação de cada aplicativo. Em vez 
disso, usando o IS4 é possível centralizar o controle de Acesso. 
Como funciona o Identifier?
- Os usuários usam os 'clientes', como uma aplicação ASP .NET Core MVC, para acessar os dados;
- Os usuários serão autenticados pelo IdentityServer para usar o cliente;
- Depois que os usuários são autenticados para usar o Cliente, o cliente envia uma solicitação ao Recurso 
da API;
- Tanto o Cliente quanto os Recursos da API são protegidos por uma única entidade, o IdentityServer;
- O cliente pode solicitar um token de acesso com o qual ele pode acessar as respostas da API;
Imagem 2 – arquitetura sistema Identifier
Fonte: Autoria própria, 2022.
O Identifier funciona com método de Sigle Sign-ON (SSO), esse método de autenticação permite que 
usuários acessem múltiplas aplicações com apenas um único login.
3.2 PriuSLa
PriuSLa é um sistema da Yasmin Corporation que facilita a comunicação e compartilhamento de arquivos 
dentro da empresa. Nela você pode encontrar os seguintes dados: comunicados importantes, campanhas 
de conscientização, politica de segurança da informação da companhia, normas, regras, relatórios 
9
financeiros, abertura e acompanhamento de chamados, informações sobre funcionários, campanha de 
marketing da organização. Esse sistema uni informações de diversos setores da empresa afim de 
centralizar os dados em uma só base.
Como funciona o PriuSLa?
O PriuSla é um servidor Web feito com Apache2. O PriuSLa é responsável por armazenar arquivos que
compõem um servidor web como: imagens, folhas de estilo, arquivos Javascript etc.
4. Plano de Auditoria
4.1 Objetivos
O plano de auditoria a seguir tem o objetivo de auditar os dois sistemas mais críticos da Empresa Yasmin 
Corporation. A afim de encontrar vulnerabilidades e potenciais falhas de configurações.
4.2 Planejamento
Para o planejamento da Auditoria foi feita diversas reuniões entre Tada Consultoria e os diretores da 
Empresa Yasmin Corporation afim de definir bem o escopo do serviço de Pentesting que será executado. 
A Yasmin Corporation deseja se submeter aos testes de invasão buscando alcançar os seguintes objetivos:
• Encontrar vulnerabilidades nos sistemas;
• Testar a efetividade das suas soluções tecnológicas implementadas;
• Encontrar falhas de configurações no desenvolvimento do sistema;
• Encontrar melhorias;
• Testar se as politicas de conscientização da segurança dos dados da empresa estão surtindo 
efeitos nos funcionários;
• Avaliar a reação do departamento de Segurança da informação em identificar e responder aos 
ataques de segurança;
• Avaliar se pode ocorrer um possível vazamento de dados na companhia;
Para não causar uma indisponibilidade nos sistemas da empresa, foi solicitado um Pentesting menos 
agressivo.
O prazo estipulado e acordado para Penteste será de uma semana, Iniciando no dia 10/10/2022 com 
término no dia 17/10/2022. Esse prazo pode ser alterado devido a imprevisto que pode ocorrer como falta 
de luz, falta de internet, falta de recursos necessário para auditoria.
O tipo de teste que será usado é o não anunciado e o Gray Box. Onde o não anunciado significa que 
todos os funcionários não sabem que estão sendo auditados, somente o presente da empresa sabe dessa 
auditoria. E por ser Gray Box, a equipe de pentesting da Tada Consultoria teve acesso somente algumas 
informações como endereços de Ips, sendo eles responsáveis por descobrir as outras informações 
necessárias para invasão.
10
As informações que serão coletadas na auditoria estão asseguradas por meio de um contrato formal, 
onde Tada Auditoria juntamente com a Yasmin Corporation concordou em não divulgar as informações 
compreendidas pelo acordo.
Sistemas Alvos
Lista de URL e IP dos sistemas definidos como alvo para os testes de invasão:
Imagem 3 – Desenho do sistema Identifier
Fonte: Autoria própria, 2022.
5. Relatório executivo
5.1 Histórico
O teste de invasão tem como proposito propor melhorias nos sistemas da companhia e encontrar 
vulnerabilidades que possam ser explorados por pessoas mal intencionadas. O pentesting foi realizado pela 
empresa Tada Consultoria conforme o cronograma definido no planejamento da Auditoria.
 Apesar de existirem diversas metodologias no mercado para aplicar Pentesting, a Tada Consultoria 
baseou-se em sua própria metodologia criada conforme sua experiência de mercado, onde é composta por 
quatro fases:
Imagem 4 – Metodologia
Fonte: Autoria própria, 2022.
Coleta de informações: O objetivo dessa etapa é coletar o máximo de informações possíveis do cliente, 
nessa fase foi verificado redes sociais de funcionários, sites da empresa, noticias sobre a empresa, 
balanços financeiros da organização, quais são os softwares executados nos servidores, quais são os 
cargos mais importantes da empresa. 
identificação de vulnerabilidades: Nessa fase foi testado o ambiente afim de mapear as vulnerabilidades da 
companhia.
11
Exploração: Nessa etapa foi dedicada aos ataques a todos os ativos já registrados na organização, levamos
em consideração o seu contexto e probabilidade de sucesso.
Pós exploração: Após a exploração verificamos o que poderia ser feito com as vulnerabilidades que 
coletados, nessa fase testamos ate que ponto uma pessoa mal intencionada conseguiria ir dentro da 
empresa.
5.2 Classificaçãodos impactos das vulnerabilidades
Cada vulnerabilidade descrita no documento foi classificada com níveis de severidade. Esta classificação de
severidade foi definida conforme o impacto que as mesmas podem causar se exploradas. As categorias são
Baixo e Alto:
Baixo: São condições identificadas que não resulta diretamente no comprometimento de uma rede, sistema,
aplicação ou informação. Mas pode ser usado em conjunto com outras informações para ganhar o 
conhecimento para comprometer estes recursos.
Alto: São condições identificadas que podem comprometer diretamente uma rede, sistema, aplicação ou 
informação. Exemplo de vulnerabilidade altas: senha fraca, dados não criptografados, máquinas sem 
antivírus instalado e atualizado, senhas fracas. 
5.3 Postura geral
5.3.1 Varredura na infraestrutura da empresa.
Segundo o contratado firmado com Yasmin Corporation, somente os sistemas Idenfier e PriuSLA poderia 
ser testado. Sabendo disso, iniciamos o pentesting realizando um mapeamento, para coleta de informações,
dos alvos com a ferramenta Nmap. 
A ferramenta Nmap pode trazer dados importantes sobre o ambiente como Ips, portar abertas, ver ficar 
status de serviços, detectar características de hardware.
12
Imagem 5 – Metodologia
Fonte: Autoria própria, 2022. 
Utilizando a ferramenta NMAP foi possível verificar que existem duas portas abertas no servidor, uma é a 
80/TCP onde roda o serviço http, nota-se que essa porta está em uso pelo serviço apache. A outra porta 
aberta é a 1010/TCP que não deveria estar aberta pois um usuário mal intencionado poderia entrar por ela e
fazer modificações no sistema, causando assim um possível prejuízo a empresa.
Nível de severidade: Alto
Recomendação:
Para evitar que este tipo de vulnerabilidade ocorra nos servidores, é necessário que seja rodado um 
scanning em todos os servidores de produção, mapeando as portas abertas. Após o mapeamento as portas 
que estão abertas sem necessidade deveram ser fechadas. Para que esse tipo de situação não ocorra 
novamente é necessário a implementação de uma rotina de scanning para verificar periodicamente as 
portas.
5.3.2 Ataque de Engenharia Social
Esse teste de invasão foi feito no sistema Identifier utilizando engenharia social para testar os funcionários 
da empresa. Neste teste foi usado a ferramenta SET (SOCIAL ENGINNER TOOLKIT).
Foi criado uma página falsa que se parece com a página do sistema Identifier afim de enganar os 
funcionários, onde eles logariam nessa página com seus usuários e senha da companhia e assim as 
credenciais seriam capturadas para serem usadas por pessoas não autorizadas.
13
Imagem 6 – página falsa.
Fonte: Autoria própria, 2022. 
Quando o colaborador coloca a senha e login o sistema captura essas informações e com esses dados um 
invasor consegue acessar os sistemas da empresa usando um usuário legitimo.
Imagem 7 – SET capturando senha.
Fonte: Autoria própria, 2022.
14
Para o usuário ele mostra uma mensagem como se ele tivesse digitado a senha errada, então ele nem 
percebe que não está logando no site correto.
Nível de severidade: Alto
Recomendação:
Aplicar treinamentos periodicamente nos funcionários explicando como os criminosos virtuais agem e como 
reconhecer um possível ataque de engenharia social. 
5.3.3 Acesso remoto não autorizado
Dentro do Servidor do sistema PriuSLa foi encontrado uma porta aberta (1010/TCP) onde é possível fazer 
acesso remoto utilizando o reverse Shell. Utilizando o NetCat foi possível fazer com que a máquina do 
PriuSLa conectar-se voluntariamente na máquina do atacante. Como a conexão foi feita de dentro pra fora, 
as proteções como firewall, antivírus não notaria essa invasão, pois eles normalmente monitoram o tráfego 
de fora pra dentro. 
Imagem 8 – Máquina invadida e máquina do atacante
Fonte: Autoria própria, 2022. 
Nível de Severidade: Alto
Recomendação:
Fechar postas que estão abertas mas que não estão sendo usadas pelas aplicações da organização, 
configurar nos antivírus da companhia verificações nos tráfego enviados de dentro para fora.
15
5.4.4 Funcionários conseguem listar as permissões de arquivos da companhia
Após conseguir invadir os sistemas usando a senha de um colaborador que coletamos no ataque de 
engenharia social foi possíveis listas as permissões de arquivos dentro do servidores da companhia. Nota-
se que essa não é vulnerabilidade grave mas com essa informação o funcionário consegue listas as 
permissões que cada nível hierárquico tem na companhia e assim utilizar essa informação para montar um 
ataque mais especifico.
Imagem 9 – Permissionamentos no terminal.
Fonte: Autoria própria, 2022.
Nível de severidade: Baixo
Recomendação:
Remover a permissão que é libera que usuários comuns possam verificar os permissionamentos de 
arquivos dentro de servidores criticos.
6. Resultado Auditoria.
Foi identificado diversas falhas com severidade alta que podem comprometer o funcionamento do negócio 
durante o teste de invasão. É necessário que Yasmin Corporation implemente as recomendações que foram
descritas no tópico Postual Geral para que esses tipos de vulnerabilidades não voltem a ocorrer.
Os objetivos principais definidos no escopo como Encontrar vulnerabilidade e melhorias foram alcançados.
Desta maneira a Tada Consultoria sugere que todas as recomendações sejam adotadas pela equipe de 
Segurança da informação da Yasmin Corporation, pois elas irão mitigar riscos ao negócio.
É recomendado que seja realizado uma auditoria nos sistemas da empresa no prazo de 6 meses a um 1 
ano.
16
CONCLUSÃO
Com as pesquisas realizas neste projetos aprendemos que para ser um bom empreendedor a pessoa 
precisa se dedicar, criar plano de negócio bem detalhado, ser criativa e inovador.
Referente a gestão da qualidade é importante estar sempre buscando conhecimentos, avaliando 
continuamente os resultados da empresa, implementado melhorias, avaliando os clientes e não se esquecer
dos cliente internos da companhia (funcionários). Realizar auditorias internar e externas na companhia é 
importante para descobrir pontos fortes e pontos a melhorar, usando o teste de invasão foi descoberto 
diversas vulnerabilidades, onde precisam ser corrigidas para que não aconteça uma invasão nos sistemas 
por pessoas mal intencionadas. Um vazamento de dados pode manchar a imagem de uma empresa e ser 
irreparável.
17
REFERÊNCIA
Relatório de Teste de invasão fictício. Disponível em: <https://pt.slideshare.net/VitorMelo8/relatrio-testes-de-
invaso>. Acessado em: 12 de Outubro de 2022.
Modelo de plano de negócios para sua próxima empresa. Disponível em: 
<https://www.shopify.com/br/blog/modelo-de-plano-de-negocios>. Acessado: 12 de Outubro de 2022.
Plano de negócio. Disponível em: 
<https://edisciplinas.usp.br/pluginfile.php/3447563/mod_resource/content/1/farofino.pdf> Acessado em: 16 
de Outubro de 2022.
Tipos de Organização Empresarial: como escolher o modelo de negócio? Disponível em: 
<https://www.estrategiaparaacao.com.br/tipos-de-organizacao-empresarial-como-escolher-o-modelo-de-
negocio/>. Acessado em: 10 de Outubro de 2022.
Asp .net Core – Usando IdentityServer4. Disponível em: 
<https://www.macoratti.net/21/03/aspn_idserv41.htm>. Acessado em: 09 de Outubro de 2022.
IdentityServer para aplicativos nativos de nuvem. Disponível 
em:<https://learn.microsoft.com/pt-br/dotnet/architecture/cloud-native/identity-server> Acessado em: 10 de 
Outubro de 2022.
IdentifyServer4. Disponível em: <https://identityserver4.readthedocs.io/en/latest/>. Acessado em: 16 de 
Outubro de 2022.
O que é Apache? Uma Visão Aprofundada do Servidor Apache. Disponível em: 
<https://www.hostinger.com.br/tutoriais/o-que-e-apache>. Acessado em: 16 de Outubro de 2022.
Auditoria de sistemas de informação: saiba o que e como é feita. Disponível em: 
<https://yssy.com.br/update/artigos/auditoria-sistemas-de-informacao/> Acessado em: 12 de Outubro de 
2022.
High Level Organization of the Standard.Disponível em: 
<http://www.pentest-standard.org/index.php/Main_Page>. Acessado em: 16 de Outubro de 2022.
18
	Página 1
	Página 2
	Página 3
	Página 4
	Página 5
	Página 6
	Página 7
	Página 8
	Página 9
	Página 10
	Página 11
	Página 12
	Página 13
	Página 14
	Página 15
	Página 16
	Página 17
	Página 18