Anlise e Desenvolvimento de Sistemas

4 semestre
Aula n 06
Prof. Paulo Rangel
paulo.rangel@tyaro.com.br
Segurana e Auditoria de Sistemas
Segurana e Auditoria de Sistemas

Contedo Previsto
Modelos de especificao de Segurana
Especificao da Segurana desejada
Modelos de especificao de
Segurana Padro Internacional
ISO/EIC 15408 (Common Criteria)
Vrios pases europeus e americanos (EUA, Canad, Frana, Inglaterra, Alemanha, entre
outros) estavam criando seus padres para desenvolver sistemas e aplicaes seguras;
Os pases europeus decidiram unificar seus critrios, criando o Information Technology Security
Evaluation Criteria (ITSEC);
Em 1990 houve a unificao dos padres europeu e norte americano, criando-se o Common
Criteria (CC);
A verso 2.1 do CC se tornou o ISO/IEC 15408 (Evaluation Criteria for Information Technology
on Techonology Security Evaluation)
Modelos de especificao de
Segurana Padro Internacional
Histrico do IT Security Criteria
http://www.cotsjournalonline.com/articles/view/100651
ISO/EIC 15408 (Common Criteria)

uma norma para definir e avaliar requisitos de segurana de
sistema e aplicaes;
Conjunto de 3 volumes (aprox. 400 pginas):
O 1 discute DEFINIES e METODOLOGIA;
O 2 lista um conjunto de REQUISITOS DE SEGURANA;
O 3 trata das metodologias de AVALIAO;
ISO/EIC 15408 (Common Criteria)

Conjunto de critrios para a especificao da segurana de uma
aplicao, baseado nas caractersticas do ambiente de desenvolvimento.
O Common Criteria, um framework de critrios para especificao,
implementao e avaliao de requisitos e propriedades de segurana
em SI e produtos de TI.
Objetiva:
Que os usurios especifiquem suas exigncias de segurana,
Que os desenvolvedores especifiquem os atributos de segurana de seus
produtos
D aos avaliadores as condies de auditar se os produtos atendem tais
reinvindicaes.
Aplicvel aos riscos decorrentes de atividades humanas ou no,
maliciosas ou no.
ISO/EIC 15408 (Common Criteria)

O Common Criteria, pode ser aplicado para desenvolver um sistema
seguro ou avaliar a segurana de um pronto.
Ele estabelece que para um sistema ser considerado seguro,
necessita da elaborao do seu Security Target (Objetivo de
Segurana), que formaliza quais aspectos de segurana foram
considerados importantes para o sistema em questo.
ISO/EIC 15408 (Common Criteria)

http://www.ipa.go.jp/security/english/second.html
ISO/EIC 15408 (Common Criteria)

Sete nveis de garantia de segurana.
Cada nvel aumenta o rigor nos testes para aumentar a garantia
que o sistema atende aos requisitos de segurana;
Esses nveis so chamados de EAL (Evaluation Assurance Level ou
Nvel de Garantia da Avaliao), variando de EAL1 at EAL7,
sendo este ltimo o nvel mais alto de garantia;
http://www.eetimes.com/document.asp?doc_id=1274224
ISO/EIC 15408 (Common Criteria)

EAL1 Funcionalmente Testado
aplicvel quando algum nvel de confiana necessria, mas as ameaas
segurana no so vistas como grave. Ser til quando uma garantia
independente necessria para apoiar a afirmao de que existe o cuidado
em relao ao respeito proteo de informaes pessoais ou similar.
Pretende-se que uma avaliao EAL1 possa ser realizada com sucesso sem a
assistncia do desenvolvedor, e por um custo mnimo.
EAL2: Estruturalmente Testado
Requer a cooperao do desenvolvedor em termos de fornecimento de
informaes do projeto e os resultados dos testes, mas no deve exigir mais
esforo por parte do desenvolvedor do que consistente com as boas
prticas comerciais. Assim, no deve exigir um aumento significativo em
custos ou tempo. aplicvel naquelas circunstncias onde os
desenvolvedores ou usurios requerem de baixo a moderado nvel de
segurana assegurada, mesmo na ausncia da disponibilidade dos registros de
desenvolvimento. Por exemplo, na avaliao de sistemas legados.
ISO/EIC 15408 (Common Criteria)

EAL2: Estruturalmente Testado
ISO/EIC 15408 (Common Criteria)

EAL3: Metodicamente Testado e verificado
Permite ao desenvolvedor alcanar a maior segurana possvel na
fase de projeto, sem alterar as boas prticas de desenvolvimento,
sendo aplicvel quando requerido pelos desenvolvedores e
usurios, um nvel moderado de segurana assegurada, exigindo
um processo completo de testes e verificao.
ISO/EIC 15408 (Common Criteria)

EAL4: metodicamente projetado, testado e Avaliado
Permite que um desenvolvedor obtenha a certeza de segurana
mxima baseado em boas prticas de desenvolvimento comercial
que, embora rigorosa, no requerem conhecimento especializado
substancial, habilidades e outros recursos. EAL4 o mais alto
nvel em que economicamente vivel adaptar uma linha de
produto existente. Sendo aplicvel em circunstncias onde os
desenvolvedores ou usurios necessitam de um moderado a alto
nvel de segurana garantida e que esto dispostos a incorrer em
custos especficos para isso.
ISO/EIC 15408 (Common Criteria)

EAL4: metodicamente projetado, testado e Avaliado
Exemplos: AIX, HP-UX, FreeBSD, Novell NetWare, Solaris,
SUSE Linux Enterprise Server 9, SUSE Linux Enterprise Server 10,
Red Hat Enterprise Linux 5, O Windows 2000 Service Pack 3,
Windows 2003, Windows XP, o Windows 7, Windows Server
2008 R2, e z/VM verso 5.3.
ISO/EIC 15408 (Common Criteria)

EAL4: metodicamente projetado, testado e Avaliado
ISO/EIC 15408 (Common Criteria)

EAL5: Semi-formalmente projetados e testados
Permite ao desenvolvedor obter um nvel mximo de segurana
com base em rigorosas prticas de desenvolvimento comercial
suportados pela aplicao de tcnicas especializadas de engenharia
de segurana. Dever ser projetado e desenvolvido com a
inteno de alcanar a garantia EAL5. Implicar em aumento de
custos em segurana.
Exemplos: dispositivos de smart card.
ISO/EIC 15408 (Common Criteria)

EAL6: Projetos Semi-formalmente verificados e testados
Permite aos desenvolvedores obter alta garantia da aplicao de
tcnicas de engenharia de segurana em um rigoroso ambiente de
desenvolvimento, buscando proteo contra riscos significativos.
Aplicvel ao desenvolvimento de aplicao em situaes de alto
risco, em que o valor do ativo protegido justifica os custos
adicionais.
ISO/EIC 15408 (Common Criteria)

EAL7: Projetos Formalmente verificados e testados
Aplicvel ao desenvolvimento de segurana para aplicao em
situaes de risco extremamente elevado e/ou onde o alto valor
dos bens justificam os custos. Aplicao prtica da EAL7 est
atualmente limitada em funcionalidades de segurana bem focadas
onde possvel analise formal extensa.
ISO/EIC 15408 (Common Criteria)

Acredita-se que um maior EAL significa nada mais do que uma
avaliao completa de um conjunto mais rigoroso dos requisitos
de garantia de qualidade. Assumindo desta forma que um sistema
que atingir um maior EAL ter seus aspectos de segurana mais
confiveis, considerando que exigir a anlise de terceiros e testes
realizados por peritos de segurana e assim teramos uma
evidncia importante nesta direo, porm h pouca ou nenhuma
evidncia publicada para confirmar essa suposio.
ISO/EIC 15408 (Common Criteria)

Em 2006, os EUA Government Accountability Office publicou relatrio que
resume uma srie de custos e prazos para avaliaes realizadas em nveis
EAL2 at EAL4.
Uma proposta de modelo simplificado

Segundo Lyra, no necessrio a aplicao completa da ISO/IEC 15408 para
obter-se uma aplicao segura e garantir sua segurana.
Afirma que possvel vislumbrar que atingir o nvel 7 de maturidade em segurana
leva tempo e dinheiro. O nvel 3 traz uma segurana bastante significativa para a
maioria dos sistemas comerciais.
Prope um processo simplificado a partir da proposta de Ricardo
Albuquerque e Bruno Ribeiro, por considera-la completa e aplicvel
maioria dos sistemas comerciais.
Uma proposta de modelo simplificado

Para uma aplicao a ser desenvolvida:
1. Especifique a segurana da aplicao na fase de analise, gerando um documento de especificao de
segurana do sistema usando a ISO/IEC 15408 como roteiro, adotando os mesmos requisitos
descritos na norma, a mesma estrutura de anlise de ambiente, mas no necessariamente seguir o
padro do Security Target;
2. Mantenha um ambiente de desenvolvimento e testes suficientemente seguros e capazes de atender ao
EAL3 da norma. Considerado bastante seguro para a maioria das aplicaes comerciais;
3. Desenvolva utilizando boas prticas de programao e seguindo os requisitos de segurana, ou seja,
crie um processo de desenvolvimento bem definido e planeje apropriadamente a implantao dos
requisitos especificados;
4. Teste seu sistema internamente, gerando as evidncias para verificao da aderncia s especificaes
do EAL3.

Uma proposta de modelo simplificado

Para uma aplicao j desenvolvida:
1. Levante a especificao de segurana para a aplicao usando a ISO/IEC 15408 como base;
2. Levante quais requisitos de segurana a aplicao possui e quais esto presentes em seu ambiente de
desenvolvimento;
3. Verifique se os requisitos implementados atendem necessidade de segurana verificada na
especificao inicial;
4. Escolha um nvel de garantia de segurana (aps o EAL3, no possvel fazer verificaes mais
detalhadas em aplicaes prontas, pois os nveis 4 a 7 exigem testes e procedimentos durante a
implementao) e faa os testes para garantir a segurana da aplicao.
Especificao da Segurana desejada

Segurana no um parmetro nico;

Necessrio conhecer necessidades do cliente e do usurio da
aplicao quanto aos aspectos de segurana;


Motivadores:
Legislaes, normas e politicas de segurana que devem ser
observadas;

Ameaas ao negcio ou ao objetivo da aplicao que devem
ser eliminadas ou mitigadas
Especificao da Segurana desejada

http://eciti.wordpress.com/2012/07/02/iso-15-408-e-ciencia-da-informacao/
Especificao da Segurana desejada

Estabelecendo os objetivos
de Segurana:
Levantar as necessidades legais e as
politicas de segurana;
Verificar e levantar os tipos de
ameaas que o sistema est sujeito;
Consolidar as informaes
levantadas estabelecendo os
Objetivos de Segurana de forma
que cada objetivo esteja ligado a
pelo menos uma ameaa ou
legislao.
Os objetivos de segurana sero os
requisitos bsicos da segurana que
precisam ser atendidos pelo
sistema para que as legislaes e
ameaas sejam tratadas
corretamente.
Objetivos
de
Segurana
Levantar
Necessidades
Legais e
Politicas
Levantar
Ameaas
Consolidar
as
informaes
Especificao da Segurana da Aplicao

1 passo o levantamento e avaliao do ambiente na qual
ser implantada:
Ameaas, pontos crticos, legislao aplicvel e medidas
de contingncias que j existem;
Necessidades de segurana do usurio.
A ISO/IEC 15408 recomenda levantamento minucioso para
cobrir os seguintes aspectos:
Poltica de segurana: diretrizes, normas,
regulamentos, padres e legislaes;
Ameaas: mecanismos de ataque e agentes e ativos a
serem controlados;
Objetivos de segurana: formalizao das necessidades
de segurana do usurio;
Premissas: fatos sobre o uso do sistema e sobre seu
ambiente, que so considerados verdadeiros para o
levantamento.
Especificao da Segurana da Aplicao

Legislaes e normas referentes privacidade,
confidencialidade, disponibilidades e outros
aspectos da segurana devem ser estritamente
observados.

Demais requisitos de segurana bem como
necessidades de segurana dos usurios podem e
devem ser negociados e/ou flexibilizados para
melhor uso dos recursos disponveis.

Segundo a ISO/IEC 15408, teremos ao final
deste trabalho a lista de requisitos de segurana
e os motivos destes requisitos existirem.
Especificao da Segurana da Aplicao

Levantamento das ameaas:
Focar nas significativas ou com maior probabilidade e
impacto;
Criar dificuldades para desestimular atacantes menos
decididos.

Objetivos da segurana:
Deve ser explicita. a segurana que ser implementada.
Log de transaes (Ligar a ao ao executor);
Mesmo o administrador deve ter seu log de transaes
registrado;
Capacidade de resilincia;
Auditabilidade conforme exigncias legais

Premissas de Segurana:
Devem tratar do ambiente esperado para a construo e
produo do sistema. Devem ser claras, explicitas,
consideradas e aprovadas j que afetaro diretamente sua
construo e operao.

Especificao da Segurana da Aplicao

Estratgia de segurana:
Escolher para cada objetivo de segurana, uma forma de atend-
lo, levando em conta sua ameaa ou legislao de origem,
premissas associadas e ferramentas disponveis.

Segurana do Ambiente de
Desenvolvimento
Desenvolver aplicao segura implica em um
ambiente seguro;

Ambientes de desenvolvimento crticos,
requerem controles mais rigorosos;

Controles em uma fbrica de software so maiores
do que em uma empresa de manufatura;

Devemos levar em considerao, no apenas a
ISO/IEC 15408, mas tambm as normas ISO
27001 e 27002 para servir como guia na
elaborao e gerncia de uma politica de
segurana conforme passos seguintes:

Segurana do Ambiente de
Desenvolvimento
Gerncia de Configurao:
Deve garantir que a integridade do sistema esta
preservada;
Previne mudanas. Acrscimos e excluses no
autorizadas na documentao do sistema;
Ajuda a o processo de desenvolvimento a ser menos
suscetvel a erros ou negligncia humana;

Distribuio:
Garantir que a verso distribuda tem os atributos de
segurana especificados;
As medidas, procedimentos e padres relacionados
distribuio, instalao e operao segura devem estar
de acordo com as especificaes.
Segurana do Ambiente de
Desenvolvimento
Desenvolvimento:
Devem ser representadas desde o projeto lgico at a
implementao do produto final, todas as funcionalidades
de segurana.
Foco na decomposio das funcionalidades de segurana
em subsistemas, da decomposio desses em mdulos, do
projeto de implementao desses mdulos e da
demonstrao de evidncias da correspondncia entre
todas as camadas de decomposio.

Documentao:
Documentao de ajuda:
Administrador: Configurao, manuteno e
administrao;
Usurios: Funcionalidades de segurana, instrues e
guias para uso seguro do sistema.
Segurana do Ambiente de
Desenvolvimento
Suporte ao Ciclo de Vida:
Adotar um modelo, ajuda a garantir que os aspectos
relacionados segurana sejam tratados corretamente
durante o ciclo de desenvolvimento e manuteno.
As normas ISO recomendam modelos aprovados por
grupos de especialistas reconhecidos, tais como CMMI,
RUP, etc.

Testes de Segurana:
Visam garantir o atendimento dos requisitos funcionais
de segurana;
Tcnicas que podem ser utilizadas:
Teste de Unidade, Teste de Integrao, Teste de
Sistema, Teste de Instalao e testes de aceitao.
Segurana do Ambiente de
Desenvolvimento
Avaliao de Vulnerabilidades:
Envolve analisar:
Possibilidade de um mau uso ou de configurao
incorreta;
Possibilidade de falha dos mecanismos de segurana
se expostos fora e a explorao de
vulnerabilidades eventualmente introduzidas durante
o desenvolvimento ou operao do sistema.

Uso inapropriado do sistema tambm um aspecto que
a avaliao de vulnerabilidades deve identificar;

Orientaes erradas ou falhas na documentao de
ajuda devem ser identificadas
Referencias Bibliogrficas

LYRA, M. R. Segurana e auditoria em sistema de informao. 1 Edio. Rio de
Janeiro: Cincia Moderna, 2008
KROLL, Josiane. Um modelo conceitual para especificao da gesto de riscos
de segurana em sistemas de informao. Santa Maria RS, UFSM: 2010.
Dissertao de mestrado em engenharia de produo. Disponvel em <
http://cascavel.cpd.ufsm.br/tede/tde_arquivos/12/TDE-2010-06-08T143755Z-
2677/Publico/KROLL,%20JOSIANE.pdf >. Acesso em 14 set 2012.
MANADHATA, P.K. KAYNAR, D.K., WING, J.M. A Formal Model for A Systems
Attack Surface. Pittsburgh, PA: Carnegie Mellon University, 2007
http://www.dtic.mil/dtic/tr/fulltext/u2/a476799.pdf acesso em 16/09/2012.
WOODY, Carol, Strengthening ties between process and security, Carnegie Mellon
University 2005-2012
https://buildsecurityin.us-cert.gov/articles/knowledge/sdlc-process/strengthening-ties-between-
process-and-security
SANTOS, Marcelo Alves, ISO 15.408 e Cincia da Informao, 2012
http://eciti.wordpress.com/2012/07/02/iso-15-408-e-ciencia-da-informacao/

Glossrio

CMMI (Capability Maturity Model Integration) um modelo de
referncia que contm prticas (Genricas ou Especficas) necessrias
maturidade em disciplinas especficas (Systems Engineering (SE), Software
Engineering (SW), Integrated Product and Process Development (IPPD), Supplier
Sourcing (SS)). Desenvolvido pelo SEI (Software Engineering Institute) da
Universidade Carnegie Mellon, o CMMI uma evoluo do CMM e procura
estabelecer um modelo nico para o processo de melhoria corporativo,
integrando diferentes modelos e disciplinas.Foi baseado nas melhores
prticas para desenvolvimento e manuteno de produtos. H uma nfase
tanto em engenharia de sistemas quanto em engenharia de software, e h
uma integrao necessria para o desenvolvimento e a manuteno.
Glossrio

RUP (Rational Unified Process ou Processo Unificado Racional), um processo
proprietrio de Engenharia de software criado pela Rational Software Corporation,
adquirida pela IBM, ganhando um novo nome IRUP que agora uma abreviao de
IBM Rational Unified Process e tornando-se uma brand na rea de Software,
fornecendo tcnicas a serem seguidas pelos membros da equipe de desenvolvimento
de software com o objetivo de aumentar a sua produtividade no processo de
desenvolvimento.
O RUP usa a abordagem da orientao a objetos em sua concepo e projetado e
documentado utilizando a notao UML (Unified Modeling Language) para ilustrar os
processos em ao. Utiliza tcnicas e prticas aprovadas comercialmente.
um processo considerado pesado e preferencialmente aplicvel a grandes equipes
de desenvolvimento e a grandes projetos.
Segurana e Auditoria de Sistemas

DVIDAS ?