Desenvolvimento de Software Seguro

FACULDADE ANHANGUERA

MARIA JOSÉ DE SOUZA SANTOS

LEONARDO SHIROMA

JORDELINO MARTINS

ERIC ADAMS GONBATA LEMOS

ALYSSON FREITAS

CAIO WILLIAN SANTOS

Desenvolvimento de Software Seguro

SÃO BERNARDO DO CAMPO

2015

FACULDADE ANHANGUERA

MARIA JOSÉ DE SOUZA SANTOS - 7093571062

LEONARDO SHIROMA - 7245600352

JORDELINO MARTINS - 7092578021

ERIC ADAMS GONBATA LEMOS - 7089580090

ALYSSON FREITAS - 7247594020

CAIO WILLIAN SANTOS - 1299700981

Desenvolvimento de Software Seguro

  Atividade Prática       Supervisionada referente à disciplina de Desenvolvimento de Software Seguro de 2015.

Profª Thiago Goncalves.

SÃO BERNARDO DO CAMPO

2015

Desenvolvimento de Software Seguro

1.0 Introdução

Os avanços das tecnologias estão cada vez mais em alta, com esse crescimento aumentam também a preocupação com a segurança. Você já parou para pensar em quantas senhas você possui? Senhas de bancos, e-mail, redes sociais, celular, enfim, uma infinidade de números que estão protegendo suas informações, para evitar que elas caiam em mãos erradas.

As empresas também enfrentam uma série de dificuldades para atender as exigências previstas pelas normas e modelos de segurança de software, além desse crescimento contínuo dessas exigências, estão disponíveis uma variedade de normas e modelos de segurança disponíveis na literatura para garantir um desenvolvimento de software seguro, porém essas aplicações geram uma interferência nesse desenvolvimento de software, como por exemplo, aumento de custos, cronograma e outros recursos.

Este trabalho tem como visão esclarecer algumas questões relacionadas a um desenvolvimento de software seguro.

1.1 Faça um resumo sobre Segurança da informação atualmente. 

Podemos dizer que segurança da informação está relacionado a proteção de determinados dados, com a intenção de preservar seus respectivos valores, tanto quanto para uma organização ou um indivíduo. Entende-se como "informação" todo o tipo de conteúdo ou dado valioso, que sirva a determinado propósito, por estas razões, a segurança da informação tornou-se um ponto crucial à manutenção e ao avanço das instituições. Qual o valor de uma informação? Apesar desta pergunta parecer ser sem importância, ela está atrelada a um dos principais pilares da segurança da informação, a "confidencialidade", quediz respeito à inacessibilidade de qualquer tipo de informação, que não pode ser divulgada para um usuário ou processo não autorizado. Em tempos antigos adotava-se o uso de papel para armazenar informações, a segurança era relativamente simples. Bastava trancar os documentos em algum lugar e restringir o acesso físico àquele local. Com as mudanças tecnológicas e o uso de computadores de grande porte, a estrutura de segurança ficou bem mais robusta e sofisticada, englobando muitos recursos fundamentais para manter e proteger a integridade e confidencialidade de informações, porém, ainda existe muita preocupação, pois a medida em que a tecnologia avança, torna-se cada vez mais difícil restringir o acesso não permitido a certos tipos de informações.

1.2 Como evitar Estouro de Buffer?

Estouro de Buffer – transbordamento de dados(buffer overflow), acontece quando o tamanho de buffer ultrapassa sua capacidade máxima de memória reservada para variável. Várias técnicas foram utilizadas para detectar ou prevenir estouros de buffer, com vantagens e desvantagens. O modo mais confiável de evitar ou prevenir estouros de buffer é usar proteção automática a nível de linguagem. Esse tipo de proteção, entretanto, não pode ser aplicado a códigos legados. As seguintes seções descrevem as opções e implementações disponíveis.

1.3 Como fazer um controle de Acesso Apropriado?

Quando se trata de segurança, todo cuidado é pouco, um importante fator na proteção de dados é a criação de login e senha. Os controles de acesso na segurança da informática possuem os processos de autenticação, autorização e auditoria. Controle de acesso é a habilidade de permitir ou negar a utilização de informações. A autenticação identifica quem acessa o sistema, a autorização determina o que o usuário autenticado pode fazer ou ver, e auditoria diz o que o usuário fez.

1.4 Qual a importância e como gerenciar os Privilégios de Execução?

Atualmente, vem crescendo de forma considerável em todo o mundo os investimentos relativos a segurança, principalmente em empresas. Isso porque, como podemos perceber, tanto a audácia de pessoas ou artifícios utilizados por crackers para ter acesso a dados ou bens privados tem se desenvolvido de uma maneira assustadora, por isso quando se trata de segurança é sempre bom termos em mente como, gerenciar permissões e controle de acesso. Podemos definir como privilégios de execução, direitos, que definem as ações que um processo pode exercer em relação aos demais processos de um sistema. Privilégios que afetam  o próprio processo podem permitir que características possam ser alteradas como, prioridades de execução. Já os privilégios que afetam os demais processos permitem, que além da alteração de suas próprias características, possa também alterar outros processos. Podemos dizes que, privilégios que afetam o sistema são os mais amplos e poderosos, pois estão relacionados a gerência do ambiente, como: a desativação do sistema, alterações de regra de segurança, criação de outros processos privilegiados, modificação de configurações do sistema, entre outros. A maioria dos sistemas operacionais disponibilizam uma conta de acesso com todos estes privilégios disponíveis, com o propósito de o administrador possa gerenciar o sistema; no Ubunto por exemplo, existe a conta "root", que a partir do comando "sudo" pode exercer privilégios de super administrador, já no Windows existe a conta "administrator", que oferece acesso irrestrito a tudo no sistema operacional da Microsoft. Por mais que possamos controlar o acesso de pessoas a determinados processos, é sempre bom criar regras para assegurar acesso de usuário autorizado e prevenir acesso não autorizado a sistemas de informação que podem ser obtidos através de: Registro de usuário, IDs e senhas, gerenciamento de privilégios a usuários e recursos, gerenciamento de senhas do usuário, análise dos direitos de acesso do usuário, a fim de padronizar e facilitar o gerenciamento de acesso do usuário.

...