ATPS Desenvolvimento de Softare seguro ETAPA 1 e 2

Desenvolvimento de Software Seguro

Passo: 2 Criar uma lista descrevendo pelo menos três Princípios de Segurança. Cada princípio deve ser descrito, explicado e exemplificado.

Existem vários aspectos de segurança, mas os principais são três, confiabilidade, integridade e disponibilidade.

Também existem os aspectos: Autenticação, não repúdio e autenticidade..

Confidencialidade: Garantir que as informações passadas cheguem ao seu destino sem que pessoas não autorizadas tenham acesso ao seu conteúdo. Para tentar solucionar o problema, podemos usar criptografia e autenticação.

Integridade: É a garantia que a informação passada não foi adulterada no caminho da transmissão, atestando assim a veracidade da informação transmitida.

Disponibilidade: Manter a estrutura de passagem de informação de forma integra e sempre confiável de forma que haja sempre a possibilidade de captar informações.

Não repúdio e autenticidade: Verificação da identidade e autenticidade de alguém. A capacidade do sistema provar que um usuário executou determinada função no sistema.

Passo: 3 Elaborar o Relatório 1: Desenvolvendo Softwares Seguros

Cada vez mais pessoas utilizam os computadores para acessarem bancos , fazer compras online ou simplesmente acessar o seu e-mail.

O investimento em DSS é muito importante para garantir a segurança dos dados dessas pessoas, com isso cada vez mais a segurança de software foi sendo aprimorada. Desenvolver um software seguro é fundamental.

A DSS, tem como objetivo manter a integridade, confiabilidade e disponibilidade dos recursos de informação, mantendo assim todos os processos da empresa seguros.

A melhor maneira de construir um software seguro é incorporando a segurança desde o início do processo de desenvolvimento do software.

Testes de segurança garantirão que o software desenvolvido terá suas funcionalidades e não oferecerá riscos aos seus beneficiários.

Além dos princípios básicos, algumas dicas são importantes aos usuários.

Pessoas: Orientar bem os usuários, treiná-los e conscientizá-los.

Processos: Regras bem claras para utilização dos recursos tecnológicos da empresa e punição severas aos envolvidos nos desvios de informações.

Tecnologia: Sistemas bem implementados para garantir a integridade das informações da empresa.

Lista dos princípios básicos de segurança da informação.

a) Responsabilidade

b) Não-repúdio

c) Autenticidade

d) Disponibilidade

e) Integridade e

f) Confidencialidade.

Caso o ataque seja bem sucedido, o hacker poder:

• Roubar todos dados do seu banco de dados.

• Inserir, atualizar ou deletar todos os dados do banco.

• Logar com a conta de qualquer usuário.

• Ler e escreve arquivos dentro do seu servidor.

• Usar seu disco rígido para armazenar dados

• Disseminar Spam

• Roubar senhas de cartão de crédito, números de documentos

Tipos de vulnerabilidades:

Humanas:

• Falta de treinamento

• Não cumprimento das regras da empresa para manter a segurança da informação

• Técnicas de engenharia social

Físicas:

Salas de CPD mal planejadas

Hardware:

• Desgaste do equipamento

• Mal uso

• Obsolescência

Software

• Má instalação

• Erros de configuração

• Perda de dados

• Indisponibilidade de recursos

Passo: 4 Evitando SQL Injection

Injeção de SQL/SQL injection:

É um ataque de um banco de dados de uma empresa via web site. Baseia-se na manipulação de dados com comandos de manipulação de dados, DML ( select, insert, update, delete) ou comando de definição de dados, DLL (create, drop, alter). São comandos que são executados através das entradas de formulários web( naquelas caixas onde usuários colocam seus dados, como Nome, email e mensagem .

É um ataque de um banco de dados de uma empresa via web site.

Como evitar o SQL injection?

• Limitar privilégios ao acesso

• Usar “ stored procedures”

• Escapar toda entrada fornecida pelo usuário

• Sanitização de parâmetros

• Uso de prepared statements

• Filtros que removem palavras que podem ser potencialmente perigosas a integridade do banco de dados

• Utilizar métodos para realizar BIND das variáveis utilizadas na aplicação.

• armazenamento de logs (registro/histórico) e outros mecanismos de auditoria e rastreabilidade para os erros ocorridos e para as operações e os eventos críticos e relevantes da aplicação; deve-se registrar quem (usuário, endereço IP), quando (horário), onde (ponto da aplicação ou pilha de execução), o quê (escopo, conteúdo afetado/anterior/novo).

• Fazer a remoção de aspas simples dos campos de inserção da aplicação, ou simplesmente não executando a query nestas situações.

...