O documento discute segurança na cadeia de fornecimento de software, identificando vulnerabilidades comuns e a importância de procedimentos de segurança ao longo do ciclo de vida do desenvolvimento de software. É apresentado um cenário de um sistema crítico de apostas com estórias de usuários maliciosas e tarefas de segurança necessárias. Problemas comuns de segurança da informação em projetos de software estratégicos em Angola também são destacados.
6. (…) para a alegriados
bem comportados
e tristezados
mal comportados!
7.
8.
9.
10. Injecção SQL
Deficiências no controlo de acesso
Inputs não validados
Exposição de dados sensíveis
Buffer overflows
Configurações de segurança incorretas
…
Vulnerabilidades
13. O nível de confiança de que o software está livre
de vulnerabilidades, quer sejam intencionais ou
acidentalmente inseridas em qualquer momento durante seu ciclo de
vida; e de que o software funciona da maneira pretendida.
16. Software de fabricantes de
equipamentos originais (OEMs)
Software construído por terceiros
Repositórios de Open Source Software
Verificaçãodos componentes que
são integrados nos produtos
22. Cenário
Equipa de desenvolvimento
• Metodologia SCRUM
• Estórias de Usuário (Como…Quero…Para)
• Product Backlog
• Sprint Backlog
• Tarefas
Sistema Crítico
• Disponibilidade a 100%
• Máximo de sigilo
• Gestão dos participantes
23. Cenário
Estórias de Utilizadores Maliciosas
• Como Entidade maliciosa quero introduzir código malicioso para uso abusivo
do sistema
• Como Entidade maliciosa quero criar falsos registros de participantes
automaticamente para provocar negação de serviços e uso abusivo do sistema
• Como Entidade maliciosa quero obter informações técnicas sobre o sistema
para causar danos
Estórias de Utilizadores
• Como dono quero visualizar as apostas em tempo real para ter noção
do fluxo de receitas
• Como dono quero eliminar concursos com elevadas vitórias para
controlar os riscos
24. Cenário
Tarefas de Segurança
• Modelar ameaças
• Implementar validação de Input
• Encriptar dados dos clientes
• Elaborar casos de testes de segurança na UI Cliente
• Eliminar definições default no Ambiente de Produção
• …
31. • Projectos de software em Sectores Estratégicos para Soberania do
Estado (Defesa, Energia, Minas e Administração do Território) sem
acompanhamento especializado e independente à nível da
segurança da informação
• Não adopção de metodologias de desenvolvimento de software
seguro pelas equipas em organismos públicos e privados
• Acesso às informações críticas sem níveis de privilégios
estabelecidos
• Divulgação das tecnologias sensíveis utilizadas em sistemas
desenvolvidos
• Uso de Dados de Produção em ambientes de Testes e
Desenvolvimento desrespeitando políticas e boas práticas
• Não utilização de métodos para inspeção de código em tarefas de
Testes e Verificação
• …
32.
33. Leivan de Carvalho
Muito Obrigado!
E-mail: geral@kalueki.com
Website: www.kalueki.com
Consultor de Engenharia de Software & Segurança