Beruflich Dokumente
Kultur Dokumente
BRASLIA-DF
2016
LEONARDO VIEIRA GOMES BARBOZA
BRASLIA-DF
2016
LEONARDO VIEIRA GOMES BARBOZA
Aprovado em _____/_____/______.
Banca Examinadora
____________________________________________________________________
Presidente: Prof. MSc. Csar Augusto Borges de Andrade - Faculdade JK
(Orientador)
____________________________________________________________________
Membro Titular: Prof. MSc. Rmulo Ferreira dos Santos - Faculdade JK
____________________________________________________________________
Membro Titular: Prof. MSc. Gleyson Azevedo da Silva - Faculdade JK
BRASLIA-DF
2016
Segurana da Informao: Um mtodo para conscientizar e
dirimir a inao
Leonardo Vieira Gomes Barboza1, Csar Augusto Borges de Andrade1
1
Faculdade JK - Especializao em Gesto de Infraestrutura e Servios de TI
QI 03, Lotes 1 a 4, Avenida Samdu Norte, Taguatinga/DF - CEP: 72.135-030
{leogobar@gmail.com, caborges72}@gmail.com
Abstract. This article presents the information technology path, the need for
information protection, alarming data on information security incidents and
proposes means that aim at reducing neglect and gaining vigilance over
information security contexts. A proposal establishes generalized awareness
through rewards. A methodology ensures safety prevention and involvement in
IT activities, such as in projects and solutions.
Keywords: Information security, rewards and secure developing.
Resumo. Este artigo apresenta o caminho da Tecnologia da Informao, a
necessidade de proteo da informao, alarmantes dados sobre incidentes de
segurana da informao e prope meios que objetivam a reduo do
negligenciamento e ganho de vigilncia sobre os contextos de segurana da
informao. Uma proposta estabelece a conscientizao generalizada por meio
de recompensas. Uma metodologia garante preveno e envolvimento da
segurana nas atividades da TI, como nos projetos e solues.
Palavras-chave: Segurana da informao, recompensas e desenvolvimento
seguro.
1. INTRODUO
3. ESTIMULANDO A COLABORAO
4. VULNERABILIDADES A SE MITIGAR
Segundo McConnell (2012), citado por Conrad, Misenar, Feldman, Simon (2016, p. 462)
A experincia sugere que existem entre 15 a 50 erros em 1000 linhas de cdigo.
BUFFER OVERFLOW - O Buffer Overflow pode ocorrer quando um programador
falha ao implementar uma checagem de limitao de varivel (CONRAD et al, 2016).
Um ataque de buffer overflow executado ao inserir mais dados do que a
aplicao esteja esperando de uma entrada particular, por exemplo, ao inserir 1000
caracteres em um campo que espera apenas 10. Dependendo de como a aplicao tenha
sido escrita, poderemos encontrar os 900 caracteres extras escritos em algum lugar na
memria, talvez em locais de memria utilizados por outras aplicaes ou at pelo sistema
operacional. Isto as vezes permite a execuo de comandos embarcados neste excesso de
dados (ANDRESS, 2011, p. 139).
CONDIES DE CORRIDA Ocorrem quando mltiplos processos
compartilham um recurso particular e a correta manipulao deste recurso depende de
ordenao adequada ou oportunidade de transao (ANDRESS, 2011, p. 149).
ESCALAO DE PRIVILGIOS uma categoria de ataque que faz uso de
qualquer nmero de mtodos para obter o nvel de acesso acima do que realmente foi lhe
concedido e autorizado a ter. um ataque dirigido a ganhar acesso administrativo ao
sistema em decorrncia de executar outros ataques sem preocupar em ter os privilgios
requeridos (ANDRESS, 2011, p. 158.).
CREDENCIAIS GRAVADAS EM CDIGO - Backdoors so trilhas em um
sistema que permitem que um usurio ignore verificaes de segurana (como
autenticao de nome de usurio ou senha) para fazer o login. Os atacantes geralmente
instalam um backdoor aps comprometer um sistema. Por exemplo, um invasor obtm
acesso ao shell1 a um sistema explorando uma vulnerabilidade causada por um patch
ausente. O atacante quer manter o acesso (mesmo se o sistema corrigido), ento ela
instala um backdoor para permitir o acesso futuro.
ATAQUES CRIPTOGRFICOS Estar aberto ao fracasso aqueles que no
prestam ateno o suficiente para projetar seus mecanismos de segurana enquanto
implementam controles criptogrficos em suas aplicaes. Criptografia fcil de
implementar mal, e isso pode nos dar uma falsa sensao de segurana. Uma das grandes
surpresas na implementao da criptografia ceder tentao de desenvolver um
esquema criptogrfico de nossa prpria concepo. Os principais algoritmos
criptogrficos em uso hoje, como Advanced Encryption Standard (AES) e RSA, foram
desenvolvidos e testados por milhares de pessoas que so muito hbeis e ganham a vida
desenvolvendo tais ferramentas. Alm disso, tais algoritmos so de uso geral porque eles
tm sido capazes de suportar o teste do tempo sem compromisso srio. Embora seja
possvel que nosso algoritmo caseiro possa ter algo a oferecer, o software que armazena
ou processa qualquer tipo de dados confidenciais provavelmente no um bom lugar para
test-lo. Alm de usar algoritmos conhecidos, tambm devemos planejar os mecanismos
que selecionamos para tornarem-se obsoletos ou comprometidos no futuro. Isso significa
que, no nosso design de software, devemos permitir o uso de diferentes algoritmos, ou
pelo menos projetar nossas aplicaes de tal forma que mud-las no uma tarefa
herclea. Tambm devemos planejar a alterao das chaves de criptografia que o software
usa, caso nossas chaves se quebrem ou se tornem expostas (ANDRESS, 2011, p.152).
Um aplicativo de software to bom quanto o que ele faz. No deve fazer mais do que o
que se espera que ele faa. Ao mesmo tempo, no deve deixar de realizar o que se espera
que ele faa.
A programao de computadores data da madrugada dos computadores
eletrnicos, no final da dcada de 1940. Os programadores usaram primeiro cdigo de
mquina ou montagem; A primeira linguagem de programao de alto nvel foi Fortran,
que estreou em 1954. Os programadores de computador original muitas vezes trabalham
sozinhos, criando programas inteiros como um esforo solo. Nesse caso, as metodologias
de gerenciamento de projetos eram simples ou desnecessrias: o programador s vezes
poderia conceituar todo o projeto em memria (humana) e simplesmente escrever o
cdigo. Como o software cresceu em complexidade, a programao de software tem se
tornado cada vez mais um esforo de equipe. Projetos baseados em equipe exigem
gerenciamento de projetos: fornecendo uma estrutura de projeto com resultados e marcos,
dividindo tarefas, comunicao de equipe, avaliao de progresso e relatrios e um
produto final entregue. Em ltima anlise, grandes projetos de desenvolvimento de
aplicativos podem se assemelhar a projetos.
Que no tm nada a ver com o software, como fazer edifcios ou construir pontes.
Mtodos de desenvolvimento de aplicativos, como os Modelos Cachoeira e Espiral,
geralmente so primos prximos de modelos que no so de programao. Esses mtodos
1
Programa que opera entre o usurio e o sistema operacional, normalmente para tornar o sistema
operacional mais amigvel ou mais fcil de usar.
podem ser considerados como mtodos de gerenciamento de projetos, com recursos
adicionais para suportar a criao de cdigo.
Aos times de desenvolvimento e design de software novas etapas podem ser
inseridas ao ciclo de vida de desenvolvimento conforme Rao e Nayak (2014, p. 121)
sugerem:
Compreender os Requisitos de Segurana do aplicativo (funcionalidade e dados
relacionados) e document-los como parte do Documento de Especificaes de
Requisitos;
Certifique-se de que os requisitos de segurana so considerados durante a
arquitetura e design;
Seguir padres de codificao segura;
Validar todas as entradas, incluindo as verificaes de limites, verificar os valores
permitidos e o formato;
Garantir mecanismos de login fortes (incluindo a necessidade de senhas fortes);
Garantir a transmisso criptografada de dados (onde a confidencialidade dos
dados deve ser mantida e a integridade de primordial importncia) - como no
caso de aplicaes bancrias, software mdico envolvendo sade e segurana do
paciente, aviao, segurana nuclear, sistemas militares e armamento, Sistemas
de satlites e outros domnios ou sistemas crticos;
Garantir a alterao obrigatria peridica de senhas;
Privilgios ou direitos de acesso apropriados a vrios processos das aplicaes e
vrios papis - trabalho sobre o princpio de privilgio mnimo;
Manipulao adequada de erros (incluindo mensagens de erro personalizadas que
no fornecem informaes desnecessrias);
Mecanismos de manipulao de exceo apropriados incorporados na aplicao;
Configurao apropriada - Todos os ajustes devem ser adequadamente feitos;
Uso de algoritmos vetados;
Controle de cheques para garantir processamento completo e preciso de
processamento crtico;
Eliminar todas as funes e rotinas indesejadas ou no utilizadas;
Certifique-se de que os mecanismos de log-out so eficientes;
Usar protocolos seguros;
Garantir mecanismos adequados de registro e auditoria;
Possurem forte gerenciamento de configurao durante o desenvolvimento;
Ter processos de testes fortes;
Tem um forte controle sobre as verses de software;
4.3 ORIENTAES AOS ADMINISTRADORES DA INFRAESTRUTURA
Conclui-se com este artigo que mesmo com as organizaes que possuam uma concreta
poltica de segurana da informao implementada a anos, o empregado, a pessoa humana
o grande pilar de interao com as informaes em uma organizao e por consequncia,
tornando-a sempre vencedora nas pesquisas anuais sobre incidentes de segurana da
informao.
Tendo este fato como norte evidente que muitas vezes apenas a presena da
poltica no tem abrangncia no cotidiano dos colaboradores. Surgindo a necessidade um
meio para dinamizar o ambiente garantindo uma conscientizao como consequncia.
A segurana da informao uma preocupao diria para organizaes de
qualquer dimenso, particularmente aquelas que lidam com qualquer tipo de informao
pessoal, dados financeiros, dados de sade, dados educacionais ou outros tipos de dados
que so regulados pelas leis do pas que operam. No caso de uma organizao que no
perde tempo para se colocar corretamente em uma boa base relacionada segurana da
informao, as repercusses podem ser graves no sentido de impacto reputacional,
multas, aes judiciais, ou at mesmo a incapacidade de continuar a conduzir negcios se
dados crticos forem irremediavelmente perdidos. Em suma, a segurana da informao
um componente-chave do mundo empresarial moderno.
Conforme levantado, so inmeras as vulnerabilidades j documentadas, algumas
sanveis por comportamentos ao se desenvolver o aplicativo e outras por simples
processos de administrao que reduzem consideravelmente os riscos. Porm, existem e
continuaro a existir diversas vulnerabilidades, brechas, falhas ou erros em linguagens,
em protocolos ou sistemas operacionais cabendo aos envolvidos a busca constante por
conhecimento e conservao do que se encontra produzido.
Pelo proposto como recompensa, equipes de diversos setores da organizao tero
maior observncia quanto a falhas nos sistemas.
Portanto, a TI mais do que nunca no poder se permitir a disponibilizao em
produo de solues contendo a mais mnima brecha de segurana.
Referncias