Tema 2: Técnicas de desenvolvimento seguroProfessor Me. Edinei Gonçalves Lemes

Desenvolvimento de Software Seguro

Roteiro 1. Introdução2. Ataques e falhas3. Segurança e

riscos4. Cuidados básicos Área de segurança para

intérprete de Libras.

Técnicas de desenvolvimento seguro

1/12

Área de segurança para intérprete de Libras.

Introdução

2/12

Exposição de conteúdos na internet

•Manter recursos para monitorar os serviços.

Área de segurança para intérprete de Libras.

Introdução

3/12

Informação•Estratégica; •Sem ela não existe mudanças;•Possivelmente nem a empresa existiria.•Buscar técnicas decodificação e configuração com o objetivo de evitar ataques.

Área de segurança para intérprete de Libras.

Introdução

4/12

Área de segurança para intérprete de Libras.

Ataques e falhas

5/12

Os ataques concentra-se

•Burlar regras de segurança; •Inserir códigos maliciosos; •Abrir "portas".

Internet segura

muito distante

Área de segurança para intérprete de Libras.

Ataques e falhas

6/12

Falhas conhecidas

•Configuração de sistemas;•Programação de sistemas; •Engenharia social.

Área de segurança para intérprete de Libras.

Ataques e falhas

7/12

Profissionais na internet

•Desenvolvem novos métodos de ataques;•Testam suas aplicações (aprendizagem ou maldade).

Área de segurança para intérprete de Libras.

Ataques e falhas

8/12

Num contexto de programação

•Analisar a criticidade do negócio; •Saber que Ambiente virtual 100% seguro é impossível.

Área de segurança para intérprete de Libras.

Ataques e falhas

9/12

•Avaliar: - Recursos e flexibilidade de cada linguagem - Arquitetura de programação; - Sistema operacional.

Área de segurança para intérprete de Libras.

Ataques e falhas

10/12

Desenvolvedor deve conhecer

•Diretivas de segurança da aplicação;•Diretivas de segurança aplicadas ao servidor que hospedará a aplicação.

Área de segurança para intérprete de Libras.

Ataques e falhas

Diretivas de segurança

•Necessárias devem ser liberadas; •Default devem ser evitadas.

Configurações Default

propícias e vulneráveis a ataques.

Área de segurança para intérprete de Libras.

Ataques e falhas

Continuando

Tema 2: Técnicas de desenvolvimento seguro

Área de segurança para intérprete de Libras.

Segurança e risco

Aspectos da segurança

a)Confiabilidade; b)Integridade;c)Disponibilidade;d)Autenticação;e)Não-repúdio.

Área de segurança para intérprete de Libras.

Segurança e risco

Sistemas baseados na Web

• Protocolo HTTP;•Ajuste mais refinado no servidor de aplicação.

Área de segurança para intérprete de Libras.

Segurança e risco

Segurança declarativa

•Aplicativos que fornecem serviço HTTP;•Módulos para configuração do servidor•Refinamentos importantes

Área de segurança para intérprete de Libras.

Segurança e risco

Segurança programática

•Código desenvolvido pelo programador em tempo desenvolvimento.

Área de segurança para intérprete de Libras.

Segurança e risco

Mesmo que o ambiente Web esteja protegido com firewall ou com controles de acesso, um usuário mal intencionado pode através de entrada de dados de formulários das próprias aplicações incluir códigos maliciosos.

Área de segurança para intérprete de Libras.

Segurança e risco

O planejamento e desenvolvimento com o uso de técnicas de codificação ingênuas e o uso de bibliotecas e componentes de origem duvidosa geram aplicações Web cada vez mais vulneráveis.

Área de segurança para intérprete de Libras.

Segurança e risco

Os 10 riscos mais comuns

1. Injeção de código ("SQL Injection"); 2. Cross-Site Scripting (XSS);3. Falha de Autenticação e

Gerenciamento de Sessão;4. Referência

Insegura Direta a Objetos;

5. Cross Site Request Forgery (CSRF);

Área de segurança para intérprete de Libras.

Segurança e risco

Os 10 riscos mais comuns (cont.)

6. Erros de Configuração de Segurança;7. Armazenamento Criptográfico

Inseguro;8. Falha de Restrição de Acesso à URL; 9. Proteção Insuficiente no Nível de Transporte; 10. Redirecionamento e Encaminhamentos não validados.

Área de segurança para intérprete de Libras.

Segurança e risco

Área de segurança para intérprete de Libras.

Cuidados básicos

É importante considerar o conjunto sistema operacional, servidor HTTP, servidor de banco de dados e o servidor de aplicação. Uma falha em qualquer elemento pode comprometer toda a estrutura.

Área de segurança para intérprete de Libras.

Cuidados básicos

Cuidados básicos

•Manter o sistema operacional sempre atualizado;•Manter firewall, antivírus e IDS;

Área de segurança para intérprete de Libras.

Cuidados básicos

•Sempre realizar logout;•Sempre liberar somente os acessos do usuário nos locais de trabalho.

Área de segurança para intérprete de Libras.

Cuidados básicos

Agora é sua Vez

Tema 2: Técnicas de desenvolvimento seguro

1 – Por que, mesmo com tanta ênfase em segurança nos últimos anos, o caminho para uma Internet segura ainda esta muito distante?

Área de segurança para intérprete de Libras.

Exercício 01

Porque ainda são possíveis muitas formas de ataques, que se concentram em burlar regras de segurança de redes e de sistemas computacionais ou inserindo códigosmaliciosos para danificar os sistemas computacionais objetivando abrir "portas".

Área de segurança para intérprete de Libras.

Resposta exercício 01

2 – Abaixo, marque V ou F nas sentenças que falam sobre o que o profissional deve considerar num contexto de programação

(V) Analisar a criticidade do negócio.

Exercício 02

Área de segurança para intérprete de Libras.

(F) Saber que Ambiente virtual 100% seguro é possível.

(V) Avaliar recursos e flexibilidade de cada linguagem de programação(V) Avaliar a arquitetura de programação(F) Não considerar a plataforma do sistema operacional

Exercício 02

Área de segurança para intérprete de Libras.

3 – Marque a alternativa incorreta sobre o que o desenvolvedor deve saber num ambiente de programação.(a) Quais diretivas de segurança oferecidas..

Exercício 03

Área de segurança para intérprete de Libras.

(b) Quais diretivas de segurança aplicadas no sistema operacional do servidor que hospedará a aplicação.

(c) Que somente as diretivas de segurança necessárias para o funcionamento correto da aplicação devem ser liberadas.

Exercício 03

Área de segurança para intérprete de Libras.

(d) Que as configurações por padrão conhecidas como (default) devem ser sempre usadas por motivo de sua segurança.

4 - Sobre os cinco aspectos da segurança a serem considerados na interoperabilidade entre os sistemas, marque a alternativa incorreta(a) Confiabilidade. (b) Integridade.(c) Disponibilidade.(d) Autenticação.(e) Repúdio.

Exercício 04

Área de segurança para intérprete de Libras.

5 – Sobre os 10 riscos mais comuns, marque V ou F abaixo.

(V) Injeção de código ("SQL Injection"). (V) Cross-Site Scripting (XSS).

Exercício 05

Área de segurança para intérprete de Libras.

(V) Falha de autenticação e Gerenciamento de Sessão.

(F) Referência Segura Direta a Objetos;

(V) Cross Site Request Forgery (CSRF).(F) Configuração de Segurança corretos.(F) Armazenamento Criptográfico seguro.(V) Falha de Restrição de Acesso à URL.

Exercício 05

Área de segurança para intérprete de Libras.

(F) Proteção Suficiente no Nível de transporte.

(V) Redirecionamento e Encaminhamentos não validados.

6 - Sobre os cuidados básicos para um bom funcionamento do sistema, marque a incorreta:

(a) Manter o sistema operacional sempre atualizado, independente da plataforma.(b) Manter firewall, antivírus e IDS (Intrusion Detecting System), funcionando e atualizados.

Área de segurança para intérprete de Libras.

Exercício 06

(c) Não deixar a conta de administrador no console, ou seja, sempre realizar logout após a utilização com qualquer conta de usuário.

(d) Liberar os acessos para todos usuários fora dos locais de trabalho para aumentar a produtividade organizacional.

Área de segurança para intérprete de Libras.

Finalizando

Tema 2: Técnicas de desenvolvimento seguro

Os ataques concentra-se•Burlar regras de segurança; •Inserir códigos maliciosos; •Abrir "portas".

Internet segura

muito distante

Área de segurança para intérprete de Libras.

Ataques e falhas

Entender•Profissionais na internet;•Num contexto de programação;•Desenvolvedor deve conhecer.

Área de segurança para intérprete de Libras.

Ataques e falhas

Diretivas de segurança

•Necessárias devem ser liberadas; •Default devem ser evitadas.

Configurações Default

propícias e vulneráveis a ataques.

Área de segurança para intérprete de Libras.

Ataques e falhas

Aspectos da segurança

a)Confiabilidade; b)Integridade;c)Disponibilidade;d)Autenticação;e)Não-repudio.

Área de segurança para intérprete de Libras.

Segurança e risco

Entender•Sistemas baseados na Web;•Segurança declarativa;•Segurança programática.

Área de segurança para intérprete de Libras.

Segurança e risco

Os 10 riscos mais comuns

1. Injeção de código ("SQL Injection"); 2. Cross-Site Scripting (XSS);3. Falha de Autenticação e

Gerenciamento de Sessão;4. Referência

Insegura Direta a Objetos;

5. Cross Site Request Forgery (CSRF);

Área de segurança para intérprete de Libras.

Segurança e risco

Os 10 riscos mais comuns (cont.)

6. Erros de Configuração de Segurança;7. Armazenamento Criptográfico

Inseguro;8. Falha de Restrição de Acesso à URL; 9. Proteção Insuficiente no Nível de Transporte; 10. Redirecionamento e Encaminhamentos não validados.

Área de segurança para intérprete de Libras.

Segurança e risco

Cuidados básicos

•Manter o sistema operacional sempre atualizado;•Manter firewall, antivírus e IDS;

Área de segurança para intérprete de Libras.

Cuidados básicos