1

PONTIFCIA UNIVERSIDADE CATLICA DE MINAS GERAIS Graduao em Sistemas de Informao

Ricardo Reis Sales

BOAS PRTICAS PARA O DESENVOLVIMENTO DE SISTEMAS WEB SEGUROS

Orientador: Claudiney Vander Ramos

Belo Horizonte 2012

SUMRIO TEMA.............................................................................................................................3 REA DE CONHECIMENTO........................................................................................3 JUSTIFICATIVA E MOTIVAO .................................................................................3 PROBLEMA A SER ABORDADO.................................................................................3 OBJETIVO.....................................................................................................................4 RESULTADOS ESPERADOS......................................................................................4 CONTEXTUALIZAO.................................................................................................4 METODOLOGIA............................................................................................................6 CRONOGRAMA FSICO...............................................................................................7 ......................................................................................................................................7 REFERNCIAS BIBLIOGRFICAS..............................................................................8

TEMA Boas prticas para o desenvolvimento de sistemas web seguros REA DE CONHECIMENTO Engenharia de Software. JUSTIFICATIVA E MOTIVAO Este trabalho destina-se ao estudo da rea de segurana de sistemas web. Com o desenvolvimento da computao, o aumento das aplicaes comerciais e o surgimento de novas tecnologias, as tcnicas utilizadas para o desenvolvimento de sistemas web seguros devem ser constantemente revisadas. A sociedade e as empresas necessitam de sistemas seguros, que impossibilitem que dados sensveis (nmeros de cartes de crditos, contas bancrias, senhas, nmeros de CPF etc) circulem pela internet sem a aprovao e conhecimento dos envolvidos. A divulgao e exposio indevida destes dados possibilitam que indivduos mal intencionados utilizem estas informaes em fraudes, estelionatos etc. A necessidade de formao de mo de obra para atuar com anlise e desenvolvimento de sistemas leva as universidades a disponibilizar cursos com durao insuficiente (quatro anos) para que o profissional adquira maturidade, conhecimento terico e prtico com as principais tecnologias do mercado. Neste cenrio, comum encontrar estudantes e profissionais recm-formados que no possuem nenhum conhecimento sobre o desenvolvimento de sistemas web seguros. Este trabalho tem como objetivo auxiliar estes indivduos obteno destas informaes durante sua vida acadmica. PROBLEMA A SER ABORDADO Este estudo aborda a falta de segurana, as formas de violar uma aplicao web e as boas e ms prticas no desenvolvimento de sistemas web.

OBJETIVO O objetivo deste estudo demonstrar as boas prticas para o

desenvolvimento de sistemas web seguros e possibilitar ao leitor o entendimento do motivo destas prticas e de como os sistemas podem ter sua segurana violada caso estas prticas no sejam observadas. RESULTADOS ESPERADOS Espera-se que atravs desde estudo, seja obtido um manual contendo as principais boas prticas para o desenvolvimento de sistemas web seguros, de forma que com a utilizao destes padres, as formas de violao mais comuns em aplicaes web sejam evitadas. CONTEXTUALIZAO Segundo Fernanda Lima [1], A Web cada vez mais uma realidade em nossas vidas. A cada dia aumenta o nmero de usurios e a quantidade de dados disponveis para acesso. J presenciamos a primeira gerao da Web com suas pginas estticas confeccionadas individualmente mo. Em seguida, vivenciamos a segunda gerao composta de pginas dinmicas geradas automaticamente atravs de templates e fazendo acesso a bases de dados. Estas geraes tiraram proveito da simplicidade da linguagem HTML, mas tambm tiveram que enfrentar suas limitaes e buscar inovaes para resolver questes para as quais a linguagem no oferecia suporte. Com o advento destas novas tecnologias para suprir estas limitaes, surgiram novos padres de desenvolvimento e consequentemente, novas estratgias para a invaso de sistemas. Com a intensificao das transaes comerciais pela internet, surgiu tambm a necessidade de que os dados estejam mais protegidos. Porm, de acordo com pesquisa realizada pela empresa GSW Solues Integradas [2], faltam profissionais qualificados para atuar com tecnologia da informao e consequentemente, tornou-se comum visualizar notcias informando da invaso de sistemas e sites. Um dos motivos que leva a essa falta de qualificao a ausncia de um rgo regulamentador, permitindo que indivduos sem a

formao necessria desenvolvam sistemas sem a mnima preocupao com a segurana da aplicao. De acordo com notcia vinculada pela rede BBC Brasil [3], em junho de 2011 o Brasil sofreu com a maior onda de ataques de hackers da histria do pas. Essa onda de ataques, proferida contra rgos governamentais, instituies pblicas e privadas indicam a necessidade de que os profissionais de tecnologia da informao se especializem e utilizem prticas recomendadas e reconhecidas mundialmente durante o desenvolvimento de sistemas que ficaro disponveis na WEB. Conforme Jos Maurcio [4], a segurana dos sistemas de informao configura-se paradoxalmente como um custo e uma necessidade para a sobrevivncia de uma corporao. Ainda segundo Jos Maurcio, neste contexto, a segurana computacional deve ser tomada como opo estratgica e no apenas tecnolgica ou gerencial, com impacto positivo e inegvel sobre o negcio. Muitas empresas, por no possurem em seus sistemas mdulos que realizam transaes financeiras, no se preocupam tanto com a segurana da base de dados, no percebem o valor das informaes contidas em seus sistemas. De acordo com um artigo publicado pela revista poca Negcios [5], um dos principais motivos que levaram o Facebook adquirir o Instagram foi que O Instagram tem o que o Facebook mais deseja uma comunidade apaixonada, ou seja, a tabela de cadastro de usurios e o poder que o nome daquele aplicativo adquiriu justificariam uma transao comercial de um bilho de dlares. Muitas empresas, porm, esto mudando sua cultura: de acordo com as informaes apresentadas na edio n176 da revista Tema [6], o SERPRO, rgo federal responsvel pelo fornecimento de informaes estratgicas que frequentemente trafegam em redes de dados corporativos e, nos ltimos anos, tambm na internet, criou em 1999 o Grupo de Respostas a Ataques, objetivando aumentar o nvel de segurana das informaes contidas em seus servidores e proteger os sistemas de sua autoria de qualquer tipo de uso indevido. Neste cenrio, perceptvel a necessidade do mapeamento e utilizao de prticas de segurana reconhecidas e por isso faz-se necessrio este estudo.

METODOLOGIA Para o desenvolvimento deste estudo, dividiu-se este trabalho nas seguintes etapas: Pesquisas em fontes cientficas; Mapeamento das prticas recomendadas para o desenvolvimento de sistemas web seguros, levando em considerao aspectos de linguagem, plataforma, ambiente etc; Categorizao das prticas mapeadas de acordo com a rea de estudo (arquitetura de software, desenvolvimento back-end, desenvolvimento front-end, banco de dados etc); Realizao de testes em trechos de cdigos com o objetivo de confirmar a utilidade das boas prticas identificadas; Sntese das boas prticas, constando o motivo de sua utilizao e as consequncias da no utilizao.

CRONOGRAMA FSICO

REFERNCIAS BIBLIOGRFICAS

[1]

LIMA, Fernanda. Modelagem Semntica de Aplicaes na WWW. PUC Rio, Rio 22:31> de Janeiro: 2003. <disponvel em http://www2.dbd.pucem 21/06/2012 s rio.br/pergamum/tesesabertas/9716389_03_cap_01.pdf

[2]

GSW Solues em Tecnologia da Informao. Falta de mo de obra qualificada no setor de TI: Como atender a crescente demanda diante deste desafio? Edio 009 2011. <disponvel em http://www.gsw.com.br/noticias/centro-de-desenvolvimento-de-sistemas/113ed9m2 em 21/06/2012 s 22:36>

[3]

CARNEIRO, Julia. Entenda os ataques de hackers contra sites do governo brasileiro. BBC Brasil, Rio de Janeiro: 2011. <disponvel em http://www.bbc.co.uk/portuguese/noticias/2011/06/110625_qa_hacker_jc.shtml em 21/06/2012 s 22:38>

[4]

PINHEIRO, Jos Maurcio. Rio de Janeiro:

Ameaas e Ataques aos Sistemas de 005 2007. <disponvel em

Informao: Prevenir e Antecipar. Centro Universitrio de Volta Redonda, Edio http://www.foa.org.br/cadernos/edicao/05/11.pdf em 21/06/2012 s 22:42> [5] FELITTI, Guilherme. Instagram: Facebook gasta US$ 1 bi agora para no se arrepender depois. poca Negcios: 2012. <disponvel em http://colunas.revistaepocanegocios.globo.com/tecneira/2012/04/10/instagramfacebook-gasta-us-1-bi-agora-para-nao-se-arrepender-depois/ em 21/06/2012 s 22:45> [6] ARAJO, Jane. O passado, presente e futuro da poltica de segurana. Revista Tema Edio 176: 2010. <disponvel em http://www4.serpro.gov.br/imprensa/publicacoes/tema-1/antigas

%20temas/tema_176/materias/o-passado-presente-futuro em 21/06/2012 s 22:49> [7] Information Security Office. ASU Secure Web Development Standard. Arizona 22:42> [8] SCOTT, David; SHARP, Richard. Developing Secure Web Applications. University of Cambridge, Cambridge. <disponvel em http://citeseerx.ist.psu.edu/viewdoc/download? doi=10.1.1.119.4490&rep=rep1&type=pdf em 21/06/2012 s 22:42> [9] Open Web Application Security Project Captulo Brasil . Melhores Prticas de Codificao Segura - OWASP: Guia de Referncia Rpida. <disponvel em https://www.owasp.org/images/b/b3/OWASP_SCP_v1.3_pt-BR.pdf em 21/06/2012 s 22:42> [10] TEIXEIRA, Felipe. TESTE DE SEGURANA APLICADO A SITES DE COMRCIO ELETRNICO. PUC Minas. <disponvel em atualizar em 21/06/2012 s 22:42> State University, Arizona. <disponvel em 21/06/2012 em s http://getprotected.asu.edu/files/stand_web_dev_life.pdf