Você está na página 1de 5

FALHAS DE SEGURANA EM UM SISTEMA GERENCIAL DE UMA ESCOLA

DA REDE PBLICA

Brigiada Neta1
Edgard Luz de Oliveira
Joo Paulo de Sousa Bueno
Naylson Ferreira Da Silva Andrade
Otvio Costa Lima
Renn Stephany Ferreira Dos Santos2

O presente estudo tem como objetivo analisar falhas de segurana em um sistema


escolar da rede pblica federal utilizando o scanner de vulnerabilidades chamado
Acunetix, Mantendo-se o foco sempre a busca por falhas de SQL Injection ou injeo de
SQL (Structured Query Language, ou Linguagem de Consulta Estruturada) pois uma
falha bastante explorada por crackers (usurios com intenes maliciosas) e pela fcil
explorao e utilizao podendo ser aplicado por alunos da prpria escola para alterar
dados importantes como informaes de cadastro de alunos, professores e funcionrios,
frequncia escolar e notas salvas no banco de dados do sistema podendo comprometer
integridade da base de dados e das informaes apresentadas pelo sistema. Busca-se
tambm apresentar medidas de segurana que devem ser adotadas em relao a
vulnerabilidades encontradas por injeo de SQL para que venha ser tomada s devidas
medidas para correo das falhas proporcionando maior segurana ao sistema escolar.

Palavras-Chave: Falhas de Segurana. SQL-Injection. Vulnerabilidades.

1 Alunos do Curso de Analise e Desenvolvimento de Sistemas - Floriano/PI.


2 Professor do Curso de Analise e Desenvolvimento de Sistemas Floriano/PI.

INTROCUO

A utilizao de sistemas gerenciais vem crescendo com larga escalado no


mercado por seu potencial no gerenciamento de informaes, logo com a necessidade
da entrega do sistema em um curto espao de tempo para pode ocorrer m
implementao no cdigo fonte podendo ocasionar srios riscos como falhas de
segurana tais como o de SQL Injection3 que uma das vulnerabilidades que mais se
destacam em sistemas gerencias. Em Instituies de ensino a crescente utilizao de
sistemas informatizados vem se tornando um mecanismo para agilizar as atividades
acadmicas com finalidade de atribuir maior valor a seus servios e segundo (Duarte,
2008, p. 25) Usurios institucionais utilizam novas tecnologias seja por motivos
estratgicos, de competitividade ou para prover os servios e funcionalidades que seus
clientes necessitam e exigem.
. E uma falha de segurana de tal nvel seria um grande perigo caso os alunos
obtivessem conscincia de sua existncia logo poder-se-ia ter acesso total a base de
dados do sistema alterando assim a integridade das informaes como notas e
frequncia escolar e dados de funcionrios.
Com base no que foi exposto acima foi analisado um sistema escolar da rede
pblica federal com intuito de encontrar possveis falhas de segurana de SQL Injection
e informar ao responsvel medidas de trata-las para que no ocorra quebra de
integridade dos dados do sistema. Para a anlise do sistema foi utilizado a ferramenta
Acunetix em sua verso de teste para buscar por vulnerabilidades e para gerar relatrios
do scan, foi utilizado testes de intruso onde:
Testes de intruso no so mais do que tentativas de acesso aos
sistemas da Empresa por arte de pessoas no autorizadas. Este tipo de
anlise poder ser realizado sem qualquer conhecimento prvio dos
sistemas a testar, ou com a indicao das respectivas caractersticas.
Ambas as possibilidades tm pontos positivos e negativos: no caso da
primeira, cria-se um cenrio mais realista, na medida em que assumir
o ponto de vista de um hipottico atacante; no caso da segunda, em
3 SQL Injection um dos muitos mecanismos de ataque usados por crackers para roubar dados
de organizaes.

que existe o conhecimento completo das caractersticas dos sistemas a


testar, garante-se a exaustividade os testes, pois estes iro
provavelmente deixar menos vulnerabilidades de fora. (SILVA,
HUGO , & TORRES, 2003, p. 127).

A partir dos dados coletados foram encontradas duas falhas de SQL Injection
(apresentado a figura 1.0), uma delas chama-se injeo de SQL cego que um ataque
onde o cracker perguntar ao servidor se algo verdade ou mentira. Se o cracker solicitar
uma pergunta se o usurio x, o sistema dir se isso verdade ou no, carregando o
sistema ou no. Se o sistema carregar verdade caso contrrio mentira.

Figura 1.0.

As vulnerabilidades encontradas pelo scanner (Acunectix) so consideradas de alto risco


como mostra na figura 2.0 classificadas por seu nvel de risco mais alto (nvel 3).

Figura 2.0
MEDIDAS PREVENTIVAS
Para evitar a utilizao da SQL Injection algumas dos procedimentos sero tomadas no
servidor de banco de dados, outras devem ser garantidas pelo cdigo fonte. Deve-se
tomar cuidado com a configurao do usurio que estabelece a conexo com o banco de
dados. Limitao de privilgios. A conta utilizada para acessar o banco deve ter o menor
nvel de privilgio possvel. O ideal que as permisses de acesso deste usurio estejam
restritamente limitadas s funes que ir realizar, ou seja, para a exibio de um
relatrio, a conexo com o banco de dados deve ser realizada por um usurio com
permisses de leitura e acesso somente s tabelas necessrias para sua operao. Todos
os valores originados da coleta de dados externos, devem ser validadas e tratadas a fim
de impedir a execuo de eventuais instrues destrutivas ou operaes que no sejam
as esperadas. Com a utilizao da funo addslashes() na linguagem de programao
php (Personal Home Page) ser adicionada uma barra invertida antes de cada aspa
simples e aspa dupla encontrada, processo conhecido como escape. Os dados numricos
devem ter tipos compatveis. Jamais coloque senhas ou outras informaes importantes
em arquivos com extenso INC. O contedo pode ser facilmente visualizado e, portanto,
as informaes l contidas ficaro expostas. Na mesma linha, cdigos HTML no
devem conter informaes sobre seus esquemas, nomes de bases, tabelas e colunas. Isso
pode ser confundido com "segurana por obscuridade", mas em segurana da

informao existem vrios nveis de confidencialidade, existem coisas que o usurio


deve saber, algumas que ele pode saber, outras que ele no precisa saber (estamos neste
caso) e ainda as que ele no pode saber.
Ao contrrio do que normalmente ocorre, quando o administrador do sistema o
responsvel por promover e manter medidas de segurana no seu ambiente, muito do
trabalho para manter bases SQL seguras depende de conscientizao do desenvolvedor,
e deve comear no prottipo do sistema, pois os mecanismos de segurana devem ser
incorporados ao desenvolvimento de forma transparente. Assim, no h desculpa para
entregar um sistema sabidamente inseguro com a promessa de incluir estes mecanismos
na verso final. Empresas que prometem ou aceitam este tipo de situao devem rever,
urgentemente, seus procedimentos de segurana. (Souza, 2016)

CONCLUSO

Com base na anlise feita conclui-se que o sistema em foco possui graves falhas de
segurana de SQL Injection na qual deveram ser tomadas as medidas propostas
urgentemente para evitar qualquer tipo de dano as informaes da base de dados logo
que so relacionadas aos alunos da escola podendo gerar incoerncia e baixa
consistncia nos dados cadastrados assim como posse de informaes pessoais dos
funcionrios e tambm da instituio.

Referncias
Duarte, L. O. (2008). DESENVOLVIMENTO DE UM AMBIENTE PARA ANLISE
DE CDIGOS-FONTE COM NFASE EM SEGURANCA. So Jos dos
Campos: Instituto Nacional de Pesquisas Espaciais - INPE.
SILVA, P. T., H. C., & TORRES, C. B. (2003). SEGURANA DOS SISTEMAS DE
INFORMAO. Centro Atlntico.
Souza, S. J. (24 de 04 de 2016). Tcnicas defensivas contra injeo de
comandos. Fonte: htmlstaff: http://www.htmlstaff.org/ver.php?
id=2211