O Sistema de segurança

UNIVERSIDADE FEDERAL DE MINAS GERAIS

Escola de Ciência da Informação

Tópicos Gestão Unidades de Informação B: Segurança da

informação digita 

Prof. Walisson da Costa Resende

Nome: Luiz Carlos M. da Soledade         

Nos dias de hoje tanto as pessoas como as empresas produzem vários documentos digitais e informações muitos importantes, por causa disso elas se cercam de seguranças para evitar que seus documentos ou informações sejam vazadas por meliantes. Mas nem toda a segurança é suficiente para guardar, então o que podemos fazer para impedir no máximo possível que nossa segurança seja quebrada.  

No artigo Toda Segurança é pouca podemos ter uma ideia de como fazer isso, por mais completo e moderno que seja seu sistema de segurança, sempre haverá um jeito de contornar essa maravilha de última geração em termos de segurança o que podemos fazer é dificultar o máximo possível o trabalho do meliante para que ele desista antes de encontrar uma brecha em nosso sistema de segurança. No mundo virtual não há sistema de segurança prefeito, toda segurança possui uma falha a ser descoberta pelo meliante.

Então onde erramos? O grande problema de muitos é achar que só uma camada de segurança é o suficiente para deter o meliante. “Se o pode de mel é grande, vai atrair muitas abelhas, então, quanto mais mel você tiver protegendo, mais atenção você chamará, em consequência terá que elaborar um sistema de segurança com diversos níveis de proteção”. Quanto mais camadas colocamos mais dificuldade o meliante a vai ter para burlar nosso sistema de segurança, se usarmos uma camada em javascript, essa que é responsável por fazer validação dos dados, mas aí temos um problema, pois o usuário poderia manipular meu código, isso se torna possível pois o javacript é executado no cliente, sendo assim realmente temos um grande problema! Como solucionar isso? Inserindo uma segunda camada de validação, desta vez em PHP, pois este é executado no servidor e não cliente. Agora tem duas camadas, o javacript faz a primeira validação (isso evita o consumo desnecessário de recursos no lado do servidor), mas se o usuário manipular o javacript, não tem problema, pois quando os valores forem enviados ao servido o PHP fará uma nova validação e caso algo esteja errado, o sistema erá alertar o usuário e tomar as providências estabelecidas. É importante saber o que proteger, mas antes é necessário fazer quatro perguntas muito importante para o seu sistema:

• Proteger o quê?
• Proteger de quem?
• Proteger a quais custos?
• Proteger com quais riscos?

O maior problema de segurança são intencionalmente causadas por pessoas que tentam obter algum benefício ou prejudicar alguém. Dentro das empresas um funcionário insatisfeito pode muito bem sabotar um projeto, ou então vender informações para a concorrência, a segurança da informação tem que prever esta situação e adotar medidas para minimizar os riscos.

Ao se desenvolver um sistema de segurança é extremamente importante filtrar tudo o que passa por sua aplicação, e como se tivesse um fomulário com diversos campos, os valores digitados nestes campos são armazenados no banco de dados. É muito importante filtra e validar quaisquer informações digitadas nos campos, não importando qual seu usuário passou essas informações, a falta de filtros e regras de validação é o que coloca a maioria das aplicações em risco, a falta de camada de segurança implica em ataques como, por exemplo, SQL Injection.

SQL Injection é um tipo de ameaça de segurança que se aproveita de falhas em sistemas que interagem com bases de dados através de comandos SQL - troca de informações - onde o atacante consegue inserir uma instruções SQL personalizadas e indevidas dentro de uma consulta (SQL query) através das entradas de dados de uma aplicação, como formulários ou URL de uma aplicação.  Tão importante com filtra a entrada e filtra também a saída ataques do tipo XSS “é um tipo de vulnerabilidade do sistema de segurança de um computador, encontrado normalmente em aplicações web que ativam ataques maliciosos ao injetarem client-side script dentro das páginas web vistas por outros usuários”. A entrada de alguns dados na aplicação pode gera resultados imprevisíveis que podem desencadear em uma séria de anomalias levando o usuário para sites maliciosos. Desconfie do seu usuário, pois ele mesmo pode estar dentando burlar o sistema, como não tem como saber em quem confiar proteja ao máximo sua aplicação.

...