Академический Документы
Профессиональный Документы
Культура Документы
SUPERVISIONADAS
Sistema de Informao
5. Srie
Desenvolvimento de Software Seguro
AUTORIA:
Walter Gima
Faculdades Anhanguera de Limeira
Pg. 2 de 8
COMPETNCIAS E HABILIDADES
Ao concluir as etapas propostas neste desafio, voc ter desenvolvido as competncias
e habilidades que constam, nas Diretrizes Curriculares Nacionais, descritas a seguir.
Compreender tecnologias relacionadas comunicao e ao processamento de dados e
informaes.
Iniciar, projetar, desenvolver, implementar, validar e gerenciar solues, usando a
tecnologia de computao em organizaes privadas e pblicas, aplicando
metodologias para anlise e desenvolvimento de projetos de sistemas.
Identificar, analisar e documentar oportunidades, problemas e necessidades passveis
de soluo via computao e para empreender na concretizao dessa soluo.
Produo Acadmica
Ao decorrer do desenvolvimento dessa atividade devero ser entregues os seguintes
documentos:
Relatrio 1: Desenvolvendo Softwares Seguros.
Relatrio 2: Evitando Estouro de Buffer.
Relatrio 3: Utilizando Criptografia.
Relatrio 4: Evitando Ataques SQL INJECTION.
Relatrio 5: Evitando ataques RPC E DDOS.
Relatrio 6: Testes de Segurana e Instalao de Softwares Seguros.
Participao
Essa atividade ser, em parte, desenvolvida individualmente pelo aluno e, em parte,
pelo grupo. Para tanto, os alunos devero:
DESAFIO
O processo de desenvolvimento de software aborda diversas prioridades para
produzir um produto com excelncia, para atender aos requisitos de seus usurios, interface
inteligente e intuitiva, boa usabilidade alm de implementar requisitos de Segurana da
Informao.
A Segurana da Informao visa garantia da integridade e confiabilidade de sistemas
e dados de uma organizao, evitando que informaes importantes sejam danificadas ou
acessadas de forma indevida.
Para evitar problemas de Segurana da Informao, h diversos conceitos e tcnicas a
serem utilizados no desenvolvimento de softwares seguros. Essas tcnicas so utilizadas tanto
nas fases de projeto e anlise do sistema quanto na sua implementao.
No desafio proposto, verifica-se a situao em que uma empresa de desenvolvimento
de software sofreu diversos ataques em seus sistemas de informaes, esses ataques
causaram vrios prejuzos materiais, comprometendo sua credibilidade no mercado de
softwares. Para corrigir as falhas de segurana dos sistemas, essa empresa contratou uma
equipe de consultores para auxili-la.
Walter Gima
Pg. 3 de 8
Essa equipe, tem como objetivo, identificar e corrigir possveis falhas de segurana nos
sistemas da empresa e implantar os conceitos de desenvolvimento de software seguro desde
as primeiras fases de criao de seus Sistemas de Informaes.
A atividade deve ser realizada em grupo para troca de conhecimento e experincias e,
para isso, o professor ir definir o nmero de integrantes. Considere que a equipe foi
contratada por um colaborador da empresa representada pelo professor.
No decorrer do desenvolvimento dessa atividade, devero ser entregues, ao
representante da empresa, os seguintes documentos:
Relatrio 1: Desenvolvendo Softwares Seguros.
Relatrio 2: Evitando Estouro de Buffer.
Relatrio 3: Utilizando Criptografia.
Relatrio 4: Evitando Ataques SQL INJECTION.
Relatrio 5: Evitando ataques RPC E DDOS.
Relatrio 6: Testes de Segurana e Instalao de Software Seguros.
Objetivo do Desafio
Elaborar um conjunto de relatrios sobre um estudo a ser realizado para identificar e
corrigir possveis falhas de segurana em sistemas de informao e implantar os conceitos de
desenvolvimento de software seguro.
PASSOS
Passo 1 (Aluno)
Ler atentamente os captulos do livro-texto ou complementar sobre a importncia do
Desenvolvimento de Software Seguro.
Walter Gima
Pg. 4 de 8
Passo 2 (Equipe)
Criar uma lista descrevendo pelo menos cinco Princpios de Segurana. Essa lista deve
descrever cada princpio e destacar em qual fase de desenvolvimento pode ser empregada,
pode-se basear o conjunto de fases do Modelo em Cascata (figura 1):
REQUISITOS
PROJETO/ANLISE
IMPLEMENTAO
TESTE
MANUTENO
Figura1: Modelo em Cascata
Passo 3 (Equipe)
Elaborar o Relatrio 1: Desenvolvendo Softwares Seguros, abordando a necessidade de
investir em segurana no desenvolvimento de sistemas (Passo 1) e a lista com os princpios
de segurana (Passo 2). O professor da disciplina ir informar aos grupos a metodologia e
datas de entrega das atividades.
Passo 4 (Equipe)
Pesquisar nos livros-texto ou complementar sobre o tratamento de estouro de Buffer. A partir
da pesquisa elaborar o Relatrio 2: Evitando Estouro de Buffer: contendo pelo menos cinco
erros comuns e como corrigi-los. O professor da disciplina ir informar aos grupos a
metodologia e datas de entrega das atividades.
PASSOS
Passo 1 (Aluno)
Ler atentamente os captulos do livro-texto ou complementar sobre Criptografia,
principalmente, sobre os diversos mtodos de criptografia e sua utilizao.
Walter Gima
Pg. 5 de 8
Passo 2 (Equipe)
Analisar o cdigo-fonte escrito na linguagem PHP (Hypertext Preprocessor) a seguir:
<?php
$texto_criptografado = base64_encode("senha");
echo $texto_criptografado;
?>
O cdigo acima demonstra a utilizao do mtodo de criptografia Hash base64.
Pesquise como utilizar na linguagem PHP outros dois mtodos de criptografia que sejam
mais fortes que a criptografia base64, justificando por que so mais seguras.
Passo 3 (Equipe)
Pesquisar como utilizar os mtodos de criptografia utilizados no Passo 2, nas linguagens Java
e ASP (Active Server Pages). Observar que nessa pesquisa teremos trs mtodos de
criptografia (base64 e outros dois mtodos resultado da pesquisa anterior).
Passo 4 (Equipe)
Elaborar o Relatrio 3: Utilizando Criptografia, abordando o contedo dos passos anteriores.
O professor da disciplina ir informar aos grupos a metodologia e datas de entrega das
atividades.
PASSOS
Passo 1 (Aluno)
Ler atentamente os captulos do livro texto ou complementar sobre Metodologia de Hacking e
Ataques em aplicaes Web.
Passo 2 (Equipe)
Analisar o trecho da linguagem SQL (Structured Query Language) a seguir. Em seguida
pesquisar mais trs exemplos de ataques utilizando SQL INJECTION.
' or 1 = ' 1
Esse trecho de SQL uma das formas de realizar um ataque a banco de dados de
sistemas Web chamado SQL INJECTION.
Walter Gima
Pg. 6 de 8
Passo 3 (Equipe)
Pesquisar como evitar ataques SQL INJECTION utilizando as linguagens PHP, ASP e JSP
(JavaServer Pages).
Passo 4 (Equipe)
Elaborar o Relatrio 4: Evitando Ataques SQL INJECTION, abordando o contedo dos passos
anteriores. O professor da disciplina ir informar aos grupos a metodologia e datas de
entrega das atividades.
PASSOS
Passo 1 (Aluno)
Ler atentamente os captulos do livro texto ou complementar sobre RPC (Remote Procedure
Call), Active X e proteo a ataques DDOS (Distributed Denial-of-Service Attack).
Passo 2 (Equipe)
Pesquisar sobre as melhores tcnicas para trabalhar com RPC (Remote Procedure Call), Active
X, visando desenvolver cdigos seguros.
Passo 3 (Equipe)
Descrever as tcnicas possveis utilizadas para evitar um ataque DDOS, representado pela
figura apresentada a seguir.
Walter Gima
Pg. 7 de 8
Passo 4 (Equipe)
Elaborar o Relatrio 5: Evitando ataques RPC E DDOS, abordando o contedo dos passos
anteriores. O professor da disciplina ir informar aos grupos a metodologia e datas de
entrega das atividades.
PASSOS
Passo 1 (Aluno)
Ler atentamente o artigo cientfico sobre: Metodologia OSSTMM para Teste de Segurana
em
TI.
Disponvel
em:
<https://docs.google.com/open?id=0B9e1nJ9U5ACjR3B2Y01xcXgzQ0k>. Acesso em: 15 abr.
2012.
Walter Gima
Pg. 8 de 8
Passo 2 (Equipe)
Construir um Plano de Teste para representar os seguintes testes das ameaas abaixo:
SQL INJECTION.
XSS (CROSS SITE SCRIPTING).
Buffer OverFlow.
Passo 3 (Equipe)
Pesquisar sobre como realizar as atribuies de privilgios necessrios para a instalao e
execuo de um software em 2 plataformas diferentes (por exemplo: Windows e Linux),
levando em considerao os conceitos de segurana.
Passo 4 (Equipe)
Elaborar o Relatrio 6: Testes de Segurana e Instalao de Software Seguros, abordando o
contedo dos passos anteriores. O professor da disciplina ir informar aos grupos a
metodologia e datas de entrega das atividades.
Padronizao
O material escrito solicitado nesta atividade deve ser produzido de acordo com as
normas da ABNT, com o seguinte padro (exceto para produes finais no textuais):
se houver citaes com mais de trs linhas, devem ser em fonte tamanho 10, com
um recuo de 4cm da margem esquerda e espaamento simples entre linhas;
ttulo da atividade;
Walter Gima