A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Segurança em Redes - Código Seguro

PublicouCauê Cerqueira Alterado mais de 10 anos atrás

Apresentações semelhantes

Apresentação em tema: "Segurança em Redes - Código Seguro"— Transcrição da apresentação:

1 Segurança em Redes - Código Seguro

2 Introdução A necessidade de sistemas seguros Segurança Preventiva
Princípios de segurança a seguir Modelagem das ameaças Técnicas seguras de codificação

3 A necessidade de sistemas seguros
Sistema seguro: um sistema que protege a confidencialidade, integridade e disponibilidade das informações dos clientes, e a integridade e disponibilidade dos recursos de processamento sob controle do proprietário ou administrador do sistema.

4 A necessidade de sistemas seguros
Vulnerabilidade: um defeito em um sistema que torna impossível – mesmo com a sua utilização adequada – evitar que um invasor usurpe privilégios no sistema do usuário, regule sua operação, comprometa os dados ou receba confiança não concedida.

5 A necessidade de sistemas seguros
Segurança na Web Conexão total: do desktop à cafeteira Computação confiável Presunção de funcionamento (ex. Telefone, ) Problema: custo da segurança Jogo multiplayer X controle de marca-passo Segurança X confiabilidade (ex. recall, cartão+senha)

6 A necessidade de sistemas seguros
A vantagem do invasor e o dilema do defensor O defensor deve defender todos os pontos, o invasor pode escolher o mais fraco O defensor pode se defender somente de ataques conhecidos, o invasor pode investigar vulnerabilidades desconhecidas O defensor deve estar constantemente vigilante, o invasor pode atacar a qualquer momento O defensor deve jogar de acordo com as regras, o invasor pode jogar sujo

7 Segurança preventiva Segurança é entediante
A segurança é um desativador de funcionalidades A segurança é difícil de medir Não é a principal habilidade ou interesse dos projetistas e desenvolvedores Não significa criar algo novo e animador

8 Segurança preventiva Como fazer
Aprimoramento do processo (projeto, desenvolvimento, testes, distribuição/manutenção) Questões de segurança nas entrevistas Modelagem de ameaças Revisões pela equipe de segurança Testes específicos (ex. mutação dos dados) Diretrizes seguras de codificação Campanha de segurança Realimentação ...

9 Segurança na plataforma Java
Java cryptography extension (JCE) Java authentication and authorization service (JAAS) Java secure socket extension (JSSE)

10 Java Java cryptography extension (JCE) Framework para: Objetivos
Criptografia Simétrica Assimétrica Bloco Fluxo Geração e acordo de chaves Código de autenticação de mensagens (MAC) Objetivos Assinatura digital Funções de resumo (message digest)

11 Java Java authentication and authorization service (JAAS)
Serviços de autenticação e controle de acesso sobre usuários Tecnologia PAM (Pluggable Authentication Module) Suporte à autorização por usuário

12 Java Java secure socket extension (JSSE)
Comunicações seguras pela Internet Versão Java de SSL (secure sockets layer) e TLS (transport layer security) Criptografia, autenticação de servidor, integridade de mensagem e autenticação de cliente (opcional)

13 Java Buffer overflow: linguagem faz verificação de limites; tipo string Acesso à arquivos: somente verificações básicas de segurança (ex. Pode testar se a aplicação, no contexto corrente, pode ler ou escrever em um arquivo; não se pode acessar ou mudar permissões ou ACL de arquivos)

14 Java Validação de entradas: falta uma classe para expressões regulares
Overflow/underflow e conversões numéricas: o/u não geram exceção; cuidar conversões entre tipos primitivos com casting Ataques a recursos: não há suporte a limitação de recursos (ex. Alocação de memória)

15 Java Validação de origem: validar fortemente a origem de requisições a serviços privilegiados

16 Cartilha de segurança do CERT.br
cartilha.cert.br

Carregar ppt "Segurança em Redes - Código Seguro"

Apresentações semelhantes

Alex Coletta Rafael Curi

Alex Coletta Rafael Curi
Agentes Inteligentes e Sistemas Cooperativos

Agentes Inteligentes e Sistemas Cooperativos
Exploits Nome:Arlindo Leal Boiça NetoRA: 03019213 Clarice C. Calil MarafiottiRA: 03109485 Rafael Santos RibeiroRA: 03103637 Thiago Y.I.TakahashiRA: 03113800.

Exploits Nome:Arlindo Leal Boiça NetoRA: Clarice C. Calil MarafiottiRA: Rafael Santos RibeiroRA: Thiago Y.I.TakahashiRA:
1 Autarquia Educacional do Vale do São Francisco – AEVSF Faculdade de Ciências Sociais e Aplicadas de Petrolina – FACAPE Curso de Ciências da Computação.

1 Autarquia Educacional do Vale do São Francisco – AEVSF Faculdade de Ciências Sociais e Aplicadas de Petrolina – FACAPE Curso de Ciências da Computação.
Exercícios de Revisão Redes de Computadores Edgard Jamhour

Exercícios de Revisão Redes de Computadores Edgard Jamhour
Exercícios de Revisão Redes de Computadores Edgard Jamhour

Exercícios de Revisão Redes de Computadores Edgard Jamhour
Segurança da Camada de Transporte

Segurança da Camada de Transporte
Segurança em Redes Elmar Melcher

Segurança em Redes Elmar Melcher
1 Segurança em Redes Elmar Melcher Universidade Federal de Campina Grande

1 Segurança em Redes Elmar Melcher Universidade Federal de Campina Grande
Criptografia e segurança de redes Capítulo 17

Criptografia e segurança de redes Capítulo 17
Modelos Fundamentais -> Segurança

Modelos Fundamentais -> Segurança
Funções de hash unidirecionais

Funções de hash unidirecionais
SSL (Secure Sockets Layer) SET (Secure Eletronic Transactions)

SSL (Secure Sockets Layer) SET (Secure Eletronic Transactions)
Segurança de dados william.

Segurança de dados william.
Fundação Aplicações de Tecnologias Críticas - Atech

Fundação Aplicações de Tecnologias Críticas - Atech
Desenvolvimento de Sistemas Seguros

Desenvolvimento de Sistemas Seguros
Segurança de Sistemas e Redes

Segurança de Sistemas e Redes
TSDD Teste de segurança durante o desenvolvimento.

TSDD Teste de segurança durante o desenvolvimento.
Segurança em Aplicações 5. Melhores Práticas de Programação

Segurança em Aplicações 5. Melhores Práticas de Programação
Segurança e Auditoria de Sistemas

Segurança e Auditoria de Sistemas

Apresentações semelhantes

Anúncios Google