Portfólio Individual 4

SISTEMA DE ENSINO PRESENCIAL CONECTADO

CURSO SUPERIOR DE TECNOLOGIA EM

ANÁLISE E DESENVOLVIMENTO DE SISTEMAS

JOSÉ DE ALENCAR

DESENVOLVIMENTO DE SISTEMAS DE INFORMAÇÃO II:

Produção Textual Interdisciplinar – Portfólio

2014

JOSÉ DE ALENCAR

DESENVOLVIMENTO DE SISTEMAS DE INFORMAÇÃO II:

Produção Textual Interdisciplinar – Portfólio

Trabalho apresentado ao Curso Superior de Tecnologia em Análise e Desenvolvimento de Sistemas à Universidade Norte do Paraná - UNOPAR, para as disciplinas Banco de Dados II, Análise Orientada aObjetos II, Programação Orientada a Objetos, Programação para Web I e Seminários IV.

Prof.: Roberto Y. Nishimura, Anderson Emídio M. Gonçalves, Marcio Roberto Chiaveli e Prof.ª Veronice deFreitas.

Tutor eletrônico: Júlio Cesar Arana

Tutor de sala: Aristóteles Araújo

FORTALEZA/CE

2014

SUMÁRIO

Sumário

1. INTRODUÇÃO 4

O presente trabalho trata da segurança na plataforma WEB. Esta plataforma oferece grande facilidade de acesso a todas as áreas que podemos imaginar, mas também é alvo de todo tipo de ataque criminoso. Além desse tópico serão abordados diagramações. A consolidação da união da informação com o conhecimento conseguido é o que se pretende neste trabalho, com o estudo das disciplinas dadas no presente semestre. 4

2. OBJETIVO 5

Objetivamos explanar sobre as dificuldades intrínsecas ao desenvolvimento de aplicações WEB, focando na segurança do software, na aquisição de conhecimentos sobre os conceitos básicos de um Diagrama de Atividade e suas características e a Normalização de dados no Diagrama Entidade Relacionamento. 5

3. APLICAÇÕES WEB - SEGURANÇA NO DESENVOLVIMENTO. 6

É comum encontrarmos artigos que se referem à segurança de dados, onde tecem opiniões de que somente no final do processo de criação do sistema que gerem as bases de dados é que são adotadas políticas de seguranças. Os opinadores, são unânimes em afirmar que esta é uma conduta errônea visto que deveria ser esse item tratado desde o inicio dos estudos para a criação da referida ferramenta gerenciadora da base de dados, isto é, do aplicativo propriamente dito. Alegam que esse cuidado inicial é de suma importância para que o sistema não fique vulnerável às falhas de segurança. A nossa empresa Telecine Mozer também deve palmilhar por essa filosofia, a fim de não sofrer prejuízo com ataques criminosos. 6

“Cross-site scripting”, “SQL injection” e “erros de configurações de websites”, são os principais métodos utilizados para atacar as bases de dados e assim comprometer as suas integridades. A relativa obscuridade das vulnerabilidades das aplicações web faz delas alvos fáceis e atrativos para atacantes, invadindo as defesas tradicionais, e por isto novas ferramentas de defesas são necessárias. Configurações com falhas ou com erros de programação nas linguagens usadas para aplicações web (Java, .NET, PHP, C#, etc.) são as origens das vulnerabilidades 6

O risco à segurança do sistema é sempre muito grande quando se utiliza a internet popular. Isso se dá pelo fato de que as aplicações web são agrupamentos bastante heterogêneos de plataformas, bancos de dados, servidores de aplicação, etc. Uma aplicação típica, geralmente, está distribuída em vários servidores, rodando diversos aplicativos e para funcionar na velocidade adequada, essa aplicação precisa que as interfaces entre os diversos sistemas sejam construídas com a possibilidade segura de que os dados passados através da mesma são confiáveis. 6

Para que se alcancem resultados consistentes a partir de uma política de segurança de software, a estratégia da empresa deve incluir algum planejamento para integrar com sucesso os três elementos essenciais do Processo de Gerenciamento de Vulnerabilidades: 6

• Pessoas: definir o grupo de segurança de software, que são todos os profissionais envolvidos no processo de melhoria da segurança das aplicações web. 6

• Tecnologia: adotar uma ferramenta eficiente para executar testes de avaliação de segurança nas aplicações e nos servidores web com recursos de gerenciamento de processo. 7

• Metodologia: definir os ambientes a serem testados, as oportunidades de teste, análise de resultados, o encaminhamento dos relatórios, e acompanhamento das melhorias. 7

Gerenciar Vulnerabilidades permite identificar falhas de segurança antes de um Agente Malicioso, e, ao promover ações imediatas de melhoria no desenvolvimento a empresa antecipa-se ao risco de ataques a partir das aplicações web. 7

O Sistema RedeSegura, escolhido pela empresa Telecine Mozer, foi concebido para atender ao processo de testes estáticos e dinâmicos com flexibilidade, simultaneidade, e escalabilidade, abrangendo assim uma grande variedade de cenários possíveis no Gerenciamento de Vulnerabilidades do ambiente de aplicações web. O Sistema RedeSegura “powered by“ N-Stalker implementará um processo de segurança centralizado, complementando as competências existentes na empresa para alcançar objetivos consistentes. O resultado de um ciclo de testes de avaliação de vulnerabilidades do RedeSegura inclui documentação da parametrização dos testes, evidências das falhas exploráveis identificadas, relatórios de indicadores e auditoria, e recomendações para ações de tratamento das falhas encontradas. 7

3.1 - TIPOS DE VULNERABILIDADES MAIS COMUNS. 7

As análises de riscos baseiam-se no protocolo das redes sem fio e nas possíveis configurações dos dispositivos. As vulnerabilidades encontradas são consequentemente agrupadas em dois grandes grupos: os riscos internos e externos. 7

3.1.1 Riscos Internos. 7

Eis,

...