ATIVIDADES PRTICAS SUPERVISIONADAS Desenvolvimento de Software Seguro

Personalizao de Wagner Gonalves, baseada na ATPS de Walter Gima.

COMPETNCIAS E HABILIDADES Ao concluir as etapas propostas neste desafio, voc ter desenvolvido as competncias e habilidades

que constam, nas Diretrizes Curriculares Nacionais, descritas a seguir.

Compreender tecnologias relacionadas comunicao e ao processamento de dados e informaes.

Iniciar, projetar, desenvolver, implementar, validar e gerenciar solues, usando a tecnologia de computao em organizaes privadas e pblicas, aplicando metodologias para anlise e desenvolvimento de projetos de sistemas.

Identificar, analisar e documentar oportunidades, problemas e necessidades passveis de soluo via computao e para empreender na concretizao dessa soluo.

Produo Acadmica Relatrio 1 - Manual de desenvolvimento XML.

Relatrio 2 - Manual de desenvolvimento DTD e CSS.

Relatrio 3 - Manual de desenvolvimento XSL.

Software - Relacionamento XML e Base de Dados.

Participao Essa atividade ser, em parte, desenvolvida individualmente pelo aluno e, em parte, pelo grupo.

Para tanto, os alunos devero:

organizar-se, previamente, em equipes de 3 a 5 participantes;

entregar seus nomes, RAs e e-mails ao professor da disciplina e

observar, no decorrer das etapas, as indicaes: Aluno e Equipe.

DESAFIO O processo de desenvolvimento de software aborda diversas prioridades para produzir um produto

com excelncia, para atender aos requisitos de seus usurios, interface inteligente e intuitiva, boa

usabilidade alm de implementar requisitos de Segurana da Informao.

A Segurana da Informao visa garantia da integridade e confiabilidade de sistemas e dados de

uma organizao, evitando que informaes importantes sejam danificadas ou acessadas de forma

indevida.

Para evitar problemas de Segurana da Informao, h diversos conceitos e tcnicas a serem

utilizados no desenvolvimento de softwares seguros. Essas tcnicas so utilizadas tanto nas fases de

projeto e anlise do sistema quanto na sua implementao.

No desafio proposto, verifica-se a situao em que uma empresa de desenvolvimento de software

sofreu diversos ataques em seus sistemas de informaes, esses ataques causaram vrios prejuzos

materiais, comprometendo sua credibilidade no mercado de softwares. Para corrigir as falhas de

segurana dos sistemas, essa empresa contratou uma equipe de consultores para auxili-la.

Essa equipe, tem como objetivo, identificar e corrigir possveis falhas de segurana nos sistemas da

empresa e implantar os conceitos de desenvolvimento de software seguro desde as primeiras fases

de criao de seus Sistemas de Informaes.

A atividade deve ser realizada em grupo para troca de conhecimento e experincias e, para isso, o

professor ir definir o nmero de integrantes. Considere que a equipe foi contratada por um

colaborador da empresa representada pelo professor.

No decorrer do desenvolvimento dessa atividade, devero ser entregues, ao representante da

empresa, os seguintes documentos:

Objetivo do Desafio

Elaborar um conjunto de relatrios sobre um estudo a ser realizado para identificar e corrigir

possveis falhas de segurana em sistemas de informao e implantar os conceitos de

desenvolvimento de software seguro.

Livro Texto da Disciplina

A produo desta ATPS fundamentada no livro-texto da disciplina, que dever ser utilizado para

soluo do desafio:

CAMPOS, Andr L.. Sistema de Segurana da Informao : Controlando Os Riscos. 3 ed.

Florianpolis: Visual Books, 2014.

ETAPA 1 (tempo para realizao: 5 horas) Aula-tema: Segurana Atualmente. Tcnicas Seguras de Codificao: Estouro de Buffer, Controle

de Acesso Apropriado.

Essa atividade importante para que voc conhea os princpios de segurana, saiba planejar

polticas de segurana preventiva e usar tcnicas para evitar estouros de buffer.

Para realiz-la, importante seguir os passos descritos.

PASSOS

Passo 1 (Equipe)

Ler atentamente o captulo 1 e 2 do livro-texto da disciplina sobre a importncia do

Desenvolvimento de Software Seguro.

Passo 2 (Equipe)

Criar uma lista descrevendo pelo menos trs Princpios de Segurana. Cada princpio deve ser

descrito, explicado e exemplificado.

Passo 3 (Equipe)

Elaborar o Relatrio 1: Desenvolvendo Softwares Seguros

O relatrio deve abordar a necessidade de investir em segurana no desenvolvimento de sistemas

(Passo 1) e a lista com os princpios de segurana (Passo 2).

Passo 4 (Equipe)

Pesquisar nos livros-texto ou complementar sobre a tcnica SQL Injection (injeo de SQL). A partir

da pesquisa elaborar o Relatrio 2: Evitando SQL Injection: contendo pelo menos trs erros comuns

e como corrigi-los.

ETAPA 2 (tempo para realizao: 5 horas) Aula-tema: Tcnicas Seguras de Codificao: Entrada Mal-intencionada, Entrada no Banco de Dados, Entrada Especficas da Web.

Essa atividade importante para que voc compreenda alguns mtodos de entrada mal-

intencionada e formas de acesso indevido ao banco de dados.

Para realiz-la, importante seguir os passos descritos.

PASSOS

Passo 1 (Aluno)

Pesquisar e ler atentamente textos complementares sobre como funcionam as seguintes

Metodologias de Hacking e Ataques em aplicaes Web: Cross Site Scriptin (XSS), Denied of Service

(DoS), Distributed Denied of Service (DDoS) e Session Hijacking (Roubo de Sesso).

Passo 2 (Equipe)

Pesquisar como evitar ataques XSS, DDoS e Roubo de Sesso.

Passo 3 (Equipe)

Elaborar o Relatrio 3: Entendendo e Evitando Ataques XSS, DDoS e Roubo de Sesso, abordando o

contedo dos passos anteriores.

ETAPA 3 (tempo para realizao: 5 horas) Aula-tema: Tcnicas Seguras de Codificao: Criptografia.

Essa atividade importante para que voc compreenda a utilizao de diversas tcnicas de

criptografia em diferentes linguagens.

Para realiz-la, importante seguir os passos descritos.

PASSOS

Passo 1 (Aluno)

Pesquisar trs algoritmos de Criptografia: BASE64, SSL e DES. Identificar quais as diferenas entre

eles e exemplo de aplicaes para os trs algoritmos.

Passo 2 (Equipe)

Apresentar o conceito de arquivos formatadores de XSL, de modo que a equipe de TI possa

futuramente elaborar um arquivo XSL.

Passo 3 (Equipe)

Escrever um exemplo de uso para cada algoritmo nas linguagens C#, JAVA e PHP.

Passo 4 (Equipe)

Elaborar o Relatrio 4: Utilizando Criptografia, abordando o contedo dos passos anteriores.

ETAPA 4 (tempo para realizao: 5 horas) Aula-tema: Escrevendo Documentao sobre Segurana.

Essa atividade importante para que voc conhea os mtodos de realizar e documentar a

segurana de um sistema e preparar o ambiente para implantao e instalao do software.

Para realiz-la, importante seguir os passos descritos.

PASSOS

Passo 1 (Aluno)

Leia o captulo 5 do Livro Texto da disciplina. Identifique, enumere e justifique, em no mximo 4

pginas (excluindo capas e anexos) pelo menos 2 riscos sobre Processos, 2 riscos sobre pessoas, 2

riscos sobre Tecnologia e 2 riscos sobre ambiente que podem acontecer durante o desenvolvimento

de um software para web.

Passo 2 (Equipe)

Para cada um dos riscos identificados no passo anterior, indique pelo menos uma contramedida para

tentar mitiga-lo.

Passo 3 (Equipe)

Faa um vdeo e publique-o no YouTube com a apresentao de cada risco e uma proposta para

evit-lo. Envie o link do vdeo para o professor.