Tema 2: Técnicas de desenvolvimento seguro Professor Me. Edinei Gonçalves Lemes Desenvolvimento de...

Tema 2: Técnicas de desenvolvimento seguroProfessor Me. Edinei Gonçalves Lemes

Desenvolvimento de Software Seguro

Roteiro 1. Introdução2. Ataques e falhas3. Segurança e

riscos4. Cuidados básicos Área de segurança para

intérprete de Libras.

Técnicas de desenvolvimento seguro

1/12

Área de segurança para intérprete de Libras.

Introdução

2/12

Exposição de conteúdos na internet

•Manter recursos para monitorar os serviços.


Introdução

3/12

Informação•Estratégica; •Sem ela não existe mudanças;•Possivelmente nem a empresa existiria.•Buscar técnicas decodificação e configuração com o objetivo de evitar ataques.


Introdução

4/12


Ataques e falhas

5/12

Os ataques concentra-se

•Burlar regras de segurança; •Inserir códigos maliciosos; •Abrir "portas".

Internet segura

muito distante


Ataques e falhas

6/12

Falhas conhecidas

•Configuração de sistemas;•Programação de sistemas; •Engenharia social.


Ataques e falhas

7/12

Profissionais na internet

•Desenvolvem novos métodos de ataques;•Testam suas aplicações (aprendizagem ou maldade).


Ataques e falhas

8/12

Num contexto de programação

•Analisar a criticidade do negócio; •Saber que Ambiente virtual 100% seguro é impossível.


Ataques e falhas

9/12

•Avaliar: - Recursos e flexibilidade de cada linguagem - Arquitetura de programação; - Sistema operacional.


Ataques e falhas

10/12

Desenvolvedor deve conhecer

•Diretivas de segurança da aplicação;•Diretivas de segurança aplicadas ao servidor que hospedará a aplicação.


Ataques e falhas

Diretivas de segurança

•Necessárias devem ser liberadas; •Default devem ser evitadas.

Configurações Default

propícias e vulneráveis a ataques.


Ataques e falhas

Continuando

Tema 2: Técnicas de desenvolvimento seguro


Segurança e risco

Aspectos da segurança

a)Confiabilidade; b)Integridade;c)Disponibilidade;d)Autenticação;e)Não-repúdio.


Segurança e risco

Sistemas baseados na Web

• Protocolo HTTP;•Ajuste mais refinado no servidor de aplicação.


Segurança e risco

Segurança declarativa

•Aplicativos que fornecem serviço HTTP;•Módulos para configuração do servidor•Refinamentos importantes


Segurança e risco

Segurança programática

•Código desenvolvido pelo programador em tempo desenvolvimento.


Segurança e risco

Mesmo que o ambiente Web esteja protegido com firewall ou com controles de acesso, um usuário mal intencionado pode através de entrada de dados de formulários das próprias aplicações incluir códigos maliciosos.


Segurança e risco

O planejamento e desenvolvimento com o uso de técnicas de codificação ingênuas e o uso de bibliotecas e componentes de origem duvidosa geram aplicações Web cada vez mais vulneráveis.


Segurança e risco

Os 10 riscos mais comuns

1. Injeção de código ("SQL Injection"); 2. Cross-Site Scripting (XSS);3. Falha de Autenticação e

Gerenciamento de Sessão;4. Referência

Insegura Direta a Objetos;

5. Cross Site Request Forgery (CSRF);


Segurança e risco

Os 10 riscos mais comuns (cont.)

6. Erros de Configuração de Segurança;7. Armazenamento Criptográfico

Inseguro;8. Falha de Restrição de Acesso à URL; 9. Proteção Insuficiente no Nível de Transporte; 10. Redirecionamento e Encaminhamentos não validados.


Segurança e risco


Cuidados básicos

É importante considerar o conjunto sistema operacional, servidor HTTP, servidor de banco de dados e o servidor de aplicação. Uma falha em qualquer elemento pode comprometer toda a estrutura.


Cuidados básicos

Cuidados básicos

•Manter o sistema operacional sempre atualizado;•Manter firewall, antivírus e IDS;


Cuidados básicos

•Sempre realizar logout;•Sempre liberar somente os acessos do usuário nos locais de trabalho.


Cuidados básicos

Agora é sua Vez


1 – Por que, mesmo com tanta ênfase em segurança nos últimos anos, o caminho para uma Internet segura ainda esta muito distante?


Exercício 01

Porque ainda são possíveis muitas formas de ataques, que se concentram em burlar regras de segurança de redes e de sistemas computacionais ou inserindo códigosmaliciosos para danificar os sistemas computacionais objetivando abrir "portas".


Resposta exercício 01

2 – Abaixo, marque V ou F nas sentenças que falam sobre o que o profissional deve considerar num contexto de programação

(V) Analisar a criticidade do negócio.

Exercício 02


(F) Saber que Ambiente virtual 100% seguro é possível.

(V) Avaliar recursos e flexibilidade de cada linguagem de programação(V) Avaliar a arquitetura de programação(F) Não considerar a plataforma do sistema operacional

Exercício 02


3 – Marque a alternativa incorreta sobre o que o desenvolvedor deve saber num ambiente de programação.(a) Quais diretivas de segurança oferecidas..

Exercício 03


(b) Quais diretivas de segurança aplicadas no sistema operacional do servidor que hospedará a aplicação.

(c) Que somente as diretivas de segurança necessárias para o funcionamento correto da aplicação devem ser liberadas.

Exercício 03


(d) Que as configurações por padrão conhecidas como (default) devem ser sempre usadas por motivo de sua segurança.

4 - Sobre os cinco aspectos da segurança a serem considerados na interoperabilidade entre os sistemas, marque a alternativa incorreta(a) Confiabilidade. (b) Integridade.(c) Disponibilidade.(d) Autenticação.(e) Repúdio.

Exercício 04


5 – Sobre os 10 riscos mais comuns, marque V ou F abaixo.

(V) Injeção de código ("SQL Injection"). (V) Cross-Site Scripting (XSS).

Exercício 05


(V) Falha de autenticação e Gerenciamento de Sessão.

(F) Referência Segura Direta a Objetos;

(V) Cross Site Request Forgery (CSRF).(F) Configuração de Segurança corretos.(F) Armazenamento Criptográfico seguro.(V) Falha de Restrição de Acesso à URL.

Exercício 05


(F) Proteção Suficiente no Nível de transporte.

(V) Redirecionamento e Encaminhamentos não validados.

6 - Sobre os cuidados básicos para um bom funcionamento do sistema, marque a incorreta:

(a) Manter o sistema operacional sempre atualizado, independente da plataforma.(b) Manter firewall, antivírus e IDS (Intrusion Detecting System), funcionando e atualizados.


Exercício 06

(c) Não deixar a conta de administrador no console, ou seja, sempre realizar logout após a utilização com qualquer conta de usuário.

(d) Liberar os acessos para todos usuários fora dos locais de trabalho para aumentar a produtividade organizacional.


Finalizando


Os ataques concentra-se•Burlar regras de segurança; •Inserir códigos maliciosos; •Abrir "portas".

Internet segura

muito distante


Ataques e falhas

Entender•Profissionais na internet;•Num contexto de programação;•Desenvolvedor deve conhecer.


Ataques e falhas

Diretivas de segurança

•Necessárias devem ser liberadas; •Default devem ser evitadas.

Configurações Default

propícias e vulneráveis a ataques.


Ataques e falhas

Aspectos da segurança

a)Confiabilidade; b)Integridade;c)Disponibilidade;d)Autenticação;e)Não-repudio.


Segurança e risco

Entender•Sistemas baseados na Web;•Segurança declarativa;•Segurança programática.


Segurança e risco

Os 10 riscos mais comuns

1. Injeção de código ("SQL Injection"); 2. Cross-Site Scripting (XSS);3. Falha de Autenticação e

Gerenciamento de Sessão;4. Referência

Insegura Direta a Objetos;

5. Cross Site Request Forgery (CSRF);


Segurança e risco

Os 10 riscos mais comuns (cont.)

6. Erros de Configuração de Segurança;7. Armazenamento Criptográfico

Inseguro;8. Falha de Restrição de Acesso à URL; 9. Proteção Insuficiente no Nível de Transporte; 10. Redirecionamento e Encaminhamentos não validados.


Segurança e risco

Cuidados básicos

•Manter o sistema operacional sempre atualizado;•Manter firewall, antivírus e IDS;


Cuidados básicos

Tema 2: Técnicas de desenvolvimento seguro Professor Me. Edinei Gonçalves Lemes Desenvolvimento de...

Documents

Transcript of Tema 2: Técnicas de desenvolvimento seguro Professor Me. Edinei Gonçalves Lemes Desenvolvimento de...