Software Seguro Etapas 1 E 2

Introdução.

Inevitavelmente, a preocupação de segurança no desenvolvimento de Software tornou-se nos dias atuais o agente mais importante para a garantia na credibilidade do uso de um aplicativo bem como as informações gerenciadas pelo mesmo, frente aos inúmeros tipos de ameaças as instituições e aplicações em todo mundo

Em função da ordem de grandeza dos prejuízos alcançados por tais incidentes de segurança, eles podem ser financeiros, podem ser operacionais, causar danos à imagem da empresa ou quebrar a confiança dos usuários. Em função disso, foram realizadas iniciativas no sentido de estabelecer procedimentos que visam a aumentar a segurança e mitigar as chances de sucesso das investidas às aplicações e aos ativos de informações das instituições.

Foi neste cenário que foram elaboradas as normas Internacionais que abordam os procedimentos de segurança na área de software, padronizando as regras a serem adotadas por organizações como a OWASP, SANS Institute entre outras com a finalidade de divulgar as vulnerabilidades das linguagens de desenvolvimento de software, como também as boas práticas para desenvolvimento seguro de software.

Relatório 1: Desenvolvendo Softwares Seguros

Nos últimos anos os sistemas computacionais de segurança têm sido alvo de muito interesse pela grande maioria das pessoas que se utilizam deles direta ou indiretamente. Na mídia, não são poucos os relatos encontrados sobre notícias de pessoas, instituições ou empresas que tiveram enormes prejuízos causados por ações intrusivas executadas pelos especialistas deste tipo de delito, que são conhecidos como hackers. Devido ao conhecimento de fatos como estes e muitas vezes à própria convivência com os mesmos é que chegamos à conclusão de que a principal finalidade da “segurança” consiste em promover a defesa de ataques externos como forma de evitar prejuízos de qualquer natureza que em sua grande parte geram perdas financeiras e até morais ao prejudicado.

A segurança em sistemas computacionais consiste em uma disciplina que busca, através de todos os seus conceitos, metodologias e técnicas empregadas, manter as propriedades de um sistema de forma que ele não seja alvo de possíveis ações danosas praticadas por entidades não autorizadas junto às informações e recursos nele existentes. De acordo com [BISHOP 2003], a segurança de sistemas computacionais visa à proteção contra a indisponibilidade, vazamento da informação e a leitura ou modificação não autorizada das informações. Além de garantir dados e informações, a segurança visa prevenir, detectar, conter e documentar eventuais ameaças aos sistemas computacionais.

Existem hoje na literatura várias definições para segurança e, em sua grande maioria, elas incluem a necessidade de se manter no sistema um conjunto de propriedades [DENNING 1982]:

• Confidencialidade: A informação poderá ser acessada somente por usuários autorizados. Este acesso é restrito a usuários devidamente cadastrados para que impeça usuários não autorizados de terem acesso à informação.

• Integridade: Prover a garantia que a informação deve ser retornada em sua forma original no momento em que foi armazenada, protegendo contra modificações não autorizadas .

• Disponibilidade: A informação ou sistema de computador deve estar disponível no momento em que a mesma seja requisitada.

Alguns autores tratam que um sistema será seguro se abordar outros dois itens [BISHOP 2003, LANDWEHR 2001]:

• Autenticidade: Garante que a informação ou o usuário da mesma é autêntico; Atesta a origem do dado ou informação.

• Não repúdio: Não é possível negar (no sentido de dizer que não foi feito) uma operação ou serviço que modificou ou criou uma informação.

Outros três itens podem ser desejáveis para se ter um ambiente seguro [BISHOP 2003]: VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais 157.

• Legalidade: Garante a legalidade (jurídica) da informação; Aderência de um sistema à legislação; Característica das informações que possuem valor legal dentro de um processo de comunicação, onde todos os ativos estão de acordo com as cláusulas contratuais pactuadas ou a legislação política institucional, nacional ou internacional vigentes.

• Privacidade: Uma informação pode ser considerada confidencial, mas não privada. Uma informação privada deve ser vista/lida/alterada somente pelo seu proprietário. Consiste em garantir que a informação não será disponibilizada para outras pessoas (neste caso é atribuído o caráter de confidencialidade a informação).

• Auditoria: Verificar e mapear os passos que um determinado processo realizou ou que uma informação foi submetida, identificando os participantes, os locais e horários de cada etapa. Auditoria em software significa uma parte da aplicação, ou conjunto de funções do sistema, que viabiliza uma auditoria, consistindo no exame do histórico dos eventos dentro de um sistema para determinar quando e onde ocorreu uma violação de segurança.

Relatório 2: Evitando Estouro de Buffer:

Estouro de buffer é um tipo de ataque de software que consiste em explorar a não verificação de limites de um array para inserir algum código malicioso com intuito de prejudicar ou tomar posse de um sistema. Linguagens de programação como C são especialmente suscetíveis a tais ataques, pois tal verificação não é realizada automaticamente e dependendo exclusivamente dos conhecimentos dos desenvolvedores que a usam.

Normalmente, o ataque consiste na descoberta de algum parâmetro de entrada

...