ATPS: Desenvolvimento de software seguro

Faculdade Anhanguera de Osasco

Tecnologia em Analise e Desenvolvimento de Sistema

ATPS - Etapas 1 a 5

DESENVOLVIMENTO DE SOFTWARE SEGURO

Professor: Marcos

Osasco – SP

2013

Faculdade Anhanguera de Osasco

Tecnologia em Analise e Desenvolvimento de Sistema

ATPS - Etapas 1 a 5

DESENVOLVIMENTO DE SOFTWARE SEGURO

Professor: Marcos

Nome dos Autores

Osasco – SP

2013

SUMARIO

ESCOPO............................................................................................................... 03

LISTA DE PRINCÍPIOS DE SEGURANÇA.....................…………………...03

PRINCÍPIOS DE SEGURANÇA........................................................................03

RELATÓRIO 1: DESENVOLVENDO SOFTWARES SEGUROS.................. 04

RELATÓRIO 2: EVITANDO ESTOURO DE BUFFER........... .…………...... 05

RELATÓRIO 3: UTILIZANDO CRIPTOGRAFIA……………….……..…....06

RELATÓRIO 4: EVITANDO ATAQUES SQL INJECTION.............................11

RELATÓRIO 5: EVITANDO ATAQUES RCP E DDOS....................................17

RELATÓRIO 6 :TESTES DE SEGURANÇA E INSTALAÇÃO DE SOFTWARE SEGUROS.................................................................................................................18

REFERENCIAS BIBLIOGRÁFICAS......................................................................19

Escopo:

LISTA DE PRINCÍPIOS DE SEGURANÇA

Confidencialidade

Disponibilidade

Integridade

Autenticidade

Conformidade

PRINCÍPIOS DE SEGURANÇA

Confidencialidade: proteger informações contra sua divulgação para alguém não autorizado, dentro ou fora da empresa.

Na fase de projeto, é salutar que a documentação de requisitos, que contém informações de todos os processos de negócio envolvidos, seja utilizada somente pela equipe do projeto e para fins específicos. A equipe (interna ou da empresa contratada) deve se responsabilizar pela confidencialidade dos documentos. Na fase de desenvolvimento, cuidar para que o código-fonte, bem como tudo o que é produzido pela equipe de desenvolvimento, fique nos domínios da empresa. Estudar a viabilidade do uso de criptografia. As aplicações que serão acessadas externamente não devem expor informações confidenciais da empresa. Quando da implantação, enfatizar o uso consciente das informações em manuais de utilização e processos de treinamento.

Disponibilidade: garantir os serviços prestados pelo sistema sempre que forem solicitados. Na fase de projeto, analisar de maneira ampla os pontos de fragilidade das aplicações. Na fase de desenvolvimento, tratar exceções a fim de contornar possíveis problemas. Testes de stress são importantes. Na implantação, viabilizar soluções de contingência e recuperação de dados.

Integridade: controlar modificações em informações proprietárias. No desenvolvimento, atentar para o acesso aos bancos de dados, que deve ser efetuado de forma a não comprometer qualquer elemento do fluxo de dados. A utilização de um Sistema de Gerenciamento de Banco de Dados (SGBD) bem configurado é imprescindível. Com o sistema em funcionamento, verificar periodicamente o log de alterações de objetos críticos.

Autenticidade: identificar corretamente todo e qualquer elemento em um sistema de informação (usuário, equipamento, etc.). Na fase de projeto, definir com critério o papel de cada ator em cada processo para estruturar os perfis de acesso ao sistema. Na implantação, envolver a equipe de comunicação da empresa na organização de campanhas de conscientização para a segurança da informação.

Conformidade: cuidar para que nenhum recurso tecnológico esteja em desacordo com a legislação vigente. Na fase de projeto, alinhar junto aos gestores de direito, tributos e auditoria quais requisitos deve ser respeitado no desenho do software.

RELATÓRIO 1: DESENVOLVENDO SOFTWARES SEGUROS

É fato que dados e informações representam algo invisível, abstrato e colabora para que a maioria das empresas não os considere algo a ser protegido - embora, curiosamente, dependam deles para sobreviver. Outro argumento é de que segurança da informação não gera receita direta. Contudo, investir em segurança da informação é importante. São custos justificados quando levados em conta os benefícios agregados. É necessário cuidar das informações de uma empresa porque o conjunto destas, forma um bem de grande valor. Como em um seguro de veículos, onde a relação entre o custo da apólice e o prejuízo evitado no caso de ocorrer um sinistro, segurança da informação também vale o quanto pesa.

O sucesso de

...