SEGURANÇA NO DESENVOLVIMENTO DE SOFTWARE

1 Tipos de Desenvolvimento
a) Desenvolvimento Interno
- Adoção de MDS - Metodologia de Desenvolvimento de Sistemas: deve adotar
o padrão “joiner” desenvolvimento conjunto entre :

Informática + Usuários + Auditoria (controle)

- Acompanhamento pela Auditoria

- Deve gerar documentação apropriada.
b) Desenvolvimento Contratado
- Deve aderir à MDS da empresa: sistemas construídos com MDS diferente
acabam tendo sua manutenção também gerada fora (ficam fora de controle).
c) Sistemas Adquiridos prontos
- Devem entregar: programas fonte; dicionário de dados; software para o
dicionário; documentação para usuário final.

1.2 Fases do Desenvolvimento

- Levantamento de Dados
- Projeto do Sistema
- Construção - desenvolvimento propriamente dito
- Testes
- Implantação

1.3 A Função do Auditor

Sua preocupação deve ser prioritária com:

- Existência de pontos de controle interno
- Aderência desses pontos ao projeto do sistema
- Identificação de pontos falhos
- Acompanhamento de testes O principal ponto a ser verificado é se o sistema
possui trilhas de auditoria. Essas trilhas podem ser definidas como a
capacidade de uma informação ser acompanhada até sua saída final, separada
de outras informações eventualmente a ela agregadas e, por processo reverso,
acompanhar uma informação desde sua saída até sua entrada, inclusive com a
decomposição das informações a ela agregadas.

1.4 Padrões de Documentação

- Definição de todas as informações no Dicionário de Dados, inclusive com
grau de segurança.
- Todos os documentos de entrada e respectivas telas.
- Todos os relatórios de saída, inclusive de telas.
- Todas as ligações com sistemas internas e externas.
- Um fluxo que ligue todas as informações aos processos (programas),
entidades (internas e externas) e depósito de dados.
- Os helps-on-line, os tutorials, etc.
2. SEGURANÇA DE SOFTWARE

2.1 AUDITORIA de SISTEMAS

Todo e qualquer sistema deve ser observado sob 3 enfoques:

Os Programas

Existe máquina própria para desenvolvimento ou a área de desenvolvimento

utiliza a máquina de produção?
Existe norma de Catalogação de Programas de Produção com registro de
alterações que demonstre:
- a data da alteração;
- impacto da alteração na área do usuário;
- outros impactos (em outros programas, rotinas ou sistemas);
- as instruções alteradas dentro dos programas.
Rotina:
O Auditor deve solicitar todos os programas fonte catalogados e jogá-los dentro
de uma Infobase. Se não tiver tal recurso, deverá copiá-los para dentro do
Word (versão 6.0 em diante) ou WordPerfect (versão 6.0a em diante) e fazer o
seguinte:
- mês a mês repita o procedimento (de cópia)
- compare os programas
- verifique as modificações e analise seus impactos.
Para comparar, no Word por exemplo, faça o seguinte:
1. abra o arquivo mais novo no Word;
2. Comande Ferramentas e Marcas de Revisão;
3. Marque Exibir Revisões na Tela e Exibir Revisões no Documento Impresso;
4. Comande Comparar Versões e indique o arquivo anterior. O arquivo
aparecerá com as alterações riscadas e em cor diferente.

A Entrada de Dados

Os dados quando entram no sistema são submetidos a uma bateria de

programas de consistência.
Se os programas estiverem corretos, se ninguém tiver catalogado nenhum
programa frio; se a rotina de consistência não estiver aberta por algum
comando derivado de um programa anterior, então, os dados deverão entrar
nas bases de dados e executarem as funções solicitadas que, ainda assim,
poderão estar erradas. O auditor, portanto, deve:
- Submeter a bateria de crítica A TODAS AS CONDIÇÕES
POSSÍVEIS DE TESTE.
Como?
- Separando todas as telas e documentos de entrada.
- Examinando cada campo e comparando com a listagem da consistência.
- Submetendo os dados a uma bateria de testes em ambiente apropriado (não
de produção). Os testes deverão começar com quesitos simples, do tipo:
- campo aceita brancos;
- alfa no lugar de números e seu inverso;
- qual a razão de determinado campo ser alfanumérico se só são usados
números nesse campo;
- datas devem ser checadas em termos de aceitação de datas passadas,
futuras e absurdas; Em seguida, depois os testes deverão contemplar as
condições cruzadas, do tipo:
- cadastral = função advogado com número de OAB;
cálculo = com simulação de cálculos diversos em planilha apartada e conferida
com o resultado dos programas;
- função do programa = verificar se o programa executa a função nele definida
e já vista no processo de auditoria de catalogação.
Por exemplo: programa que deve emitir faturas - inserir condições tais que
algumas faturas passem e comprovem o acerto da emissão, inclusive em seus
cálculos.
Neste exemplo, faturas que passarem por erro de consistência deverão ser
examinadas detidamente para exame de:
- impacto;
- novos testes.

Varredura das Bases de Dados

O Auditor deve ter em mente que, a situação examinada no item anterior, pode
ser rapidamente alterada se houver cumplicidade na área de informática. É
fundamental, portanto, que as Bases de Dados sejam examinadas
porprogramas de varredura. Tais programas estão disponíveis no mercado com
maior ou menor qualidade, mas o Auditor deve saber que tais programas são
constituídos basicamente pelos seguintes componentes:
- versão para o seu ambiente de trabalho;
- capturadores de dados com formatação, normalmente em padrão SQL ou
ODBC;
- funções lógicas e matemáticas semelhantes a qualquer planilha ou Banco de
Dados para Windows existente no mercado;
- capacidade de gerar relatórios a exemplo de qualquer Banco de Dados para
Windows.
Deve o Auditor também:
Submeter a bateria de crítica (base de dados) A TODAS AS CONDIÇÕES
POSSÍVEIS DE TESTE:
Como?
- examinando cada campo e comparando com a listagem da consistência;
- submetendo os dados a uma bateria de testes em ambiente
apropriado (não de produção);
Os testes deverão começar com quesitos simples, do tipo:
- campo aceita brancos;
- alfa no lugar de números e seu inverso;
- qual a razão de determinado campo ser alfanumérico se só são usados
números nesse campo;
- datas devem ser checadas em termos de aceitação de datas passadas,
futuras e absurdas;
Se quiser, o Auditor pode construir seus próprios programas de varredura a
partir dos componentes normais de mercado, com maior ou menor grau de
sofisticação.
Por exemplo: o WordPerfect 6.0a e WordPro97 (e posteriores) são capazes de
capturar dados SQL e ODBC, inclusive do DB2 de Grande Porte. Após a
captura ele permite que você faça a Query (consulta) que desejar.
O Word também permite a captura de dados, mas com menor capacidade. Não
estamos sugerindo que se usem processadores de texto, mas se você somar a
capacidade de seu integrado (Office ou MS-Office) é provável que você resolva
o problema satisfatoriamente.
As varreduras são efetuadas a partir do conhecimento do formato das tabelas
do banco de dados a ser auditado. A partir daí, basta criar Queries (consultas)
dentro dos mesmos padrões de teste do item 2 (Consistência), com acréscimo
do histórico de cada campo.

2.2 Segurança Lógica

A responsabilidade do Auditor não é escolher o Software de Segurança da

Rede ou mesmo as implantações do Software Padrão da Rede (Rights).
Os conceitos de segurança lógica devem ser definidos pela Administração de
Segurança da Rede (se houver), pelos Owners (responsáveis pelos sistemas)
e usuários.
Os conceitos são os seguintes:
- Estabelecimento das necessidades de segurança. Revisão das características
do software.
- Garantia de que as características do software satisfaçam as necessidades
da empresa.
- Teste das características do software, identificando as funções obrigatórias
disponíveis:
a) Estabelecimento dos níveis de proteção.
b) Monitoramento do acesso aos recursos protegidos e transações.
c) Disponibilidade de arquivos de Log ou de comandos que informem:
- Tentativas de Acesso
- Violações
- Modificações nos parâmetros da rede
- Outras consideradas relevantes

2.3 Mecanismos de Controle de Acesso

Os mecanismos de controle de acesso devem identificar:

- Direitos de todos os participantes da rede (Administrador/Supervisor,
Usuários, etc).
- Restrições de todos os participantes da rede:
a) conta;
b) horário;
c) dia da semana;
d) estação de trabalho;
e) volume e limites de espaço em disco.
- Senhas:
a) óbvias e leis de construção.
b) todos os usuários devem ter senhas.
c) permissão para alterar senha .
d) período mínimo de alteração.
e) a senha deve ser diferente de quantas senhas anteriores?

2.4 Processos Gerais de Verificação de Auditoria de Rede

Geralmente, nas auditorias de rede são utilizados softwares de apoio.

Elencamos a seguir algumas das informações identificadas por este tipo de
software:
- Senha não atribuída.
- Senhas sem segurança.
- Senhas muito curtas.
- Equivalência do Supervisor.
- Existência de Gerentes de Grupos de Trabalho.
- Privilégios no diretório-raiz .
- Ausência de script no Login .
- Direitos excessivos de certos diretórios.
- Usuário que não fez Login durante certo período de tempo.

2.5 Pirataria

Em fevereiro de 1998 foi criada a Lei do Software (9609) que diz respeito às
infrações de direito autoral, determinando penas de detenção ou reclusão de
até quatro anos, além de multa pesada.
Atualmente (informação publicada em abril.99) a ABES – AssociaçãoBrasileira
das Empresas de Software, estima que 61% dos programasutilizados no Brasil
sejam piratas. O maior número de infrações está nomercado SOHO, ou seja,
são pessoas que duplicam ou compramaplicativos piratas para instalar em
máquinas domésticas. Mas a maiorperda de dinheiro ocorre no mercado
corporativo, seja em empresas quefazem diversas cópias ilegais de um produto
ou na venda de softwarespirateados.
A ABES, portanto, está centrando esforços para atacar a pirataria.Indícios são
as recentes prisões em flagrante que aconteceram em Minas Gerais e Rio de
Janeiro, por exemplo. Para se ter uma idéia, em 1998 foram realizadas 118
ações de vistoria e apreensão, com mais de 20 prisões em flagrante por uso ou
venda de softwares ilegais.

Denúncias

“Normalmente, recebemos as informações de ex-funcionários ou empresas

concorrentes”, conta Fisher da ABES.
Outro ponto de informação importante são os cadastros apreendidos de
vendedores ilegais de CDs.
Prevenção

θ Estude e leve a sério a possibilidade de utilizar um sistema de software livre

que simplesmente elimina a pirataria, como o LINUX.
θ Utilize o documento “Contrato de Garantia da Empresa com respeito ao uso
de Software”
θ Examine programas freeware
θ Teste programas Shareware, sem esquecer, entretanto, que o uso de tais
programas deve seguir rigorosamente as normas expressas na autorização
para teste, já que são passíveis de enquadramento na Lei.

Contrato de Responsabilidade
Para tentar garantir que os funcionários não instalem softwares piratas em suas
máquinas, pode-se criar um Contrato de Responsabilidade como o documento
a seguir, sugerido pela ABES.
Com ele, cada funcionário será responsável por eventuais multas decorrentes
de instalações de software ilegais, e ainda poderá ser demitido por justa causa.
Segue exemplo:

CONTRATO DE GARANTIA DA EMPRESA COM RESPEITO AO USO DE

SOFTWARE.

A EMPRESA possui licenças para uso de software proveniente de uma série

de fornecedores. Não somos autores desses softwares ou de sua
documentação. Portanto, exceto quando autorizado pelos autores dos
softwares, nenhum funcionário ou contratado da EMPRESA tem o direito de
reproduzi-los.
Os funcionários e contratados da EMPRESA que tomarem conhecimento de
algum uso inadequado de software da empresa ou de sua respectiva
documentação deverão notificar, por escrito, o Gerente do Departamento de
Informática.
De acordo com a Lei de Software, as pessoas envolvidas em reprodução ilegal
de programas ficam sujeitas ao pagamento das respectivas indenizações por
perdas e danos, em valor correspondente a até três mil vezes o valor de cada
cópia do programa original, além de sanções penais, como multas e prisão.
A EMPRESA não aceita a duplicação ilegal de software. Os empregados ou
contratados da EMPRESA que fizerem, adquirirem ou usarem cópias ilegais e
não autorizadas, serão punidos de acordo com as circunstâncias, sendo
inteiramente responsáveis pela reparação dos danos resultantes de tais atos.
Quando empregados, estarão também sujeitos à rescisão do contrato de
trabalho por Justa Causa, com base no artigo 482 da C.L.T.
Os riscos que cada tipo de pirataria oferece:
CRIME :
Comercialização ilegal de programas
O QUE É
Só quem pode comercializar um programa é o desenvolvedor ou um
distribuidor autorizado. Quem comercializa programas sem autorização do
desenvolvedor está cometendo crime de uso de propriedade intelectual e pode
estar cometendo crime fiscal (pois não está pagando os impostos devidos).
FORMAS MAIS COMUNS
- Comercialização de CDs-ROM com vários programas.
- Venda de computadores com programas pré-instalados sem a autorização do
desenvolvedor dos programas.
PENA
- Até quatro anos de prisão
- Multa
- Indenização de até 3000 vezes o valor dos programas comercializados
CRIME
Utilização de programa sem licença de uso
O QUE É
Quando se adquire um programa, o usuário terá direito à instalação em apenas
UM computador. Em alguns casos, o desenvolvedor autoriza a instalação
simultânea em mais de um computador, mas o usuário deve sempre consultar
o desenvolvedor sobre isso, e ler a licença de uso para esclarecer eventuais
mal-entendidos.
FORMAS MAIS COMUNS
- Instalação em casa de um programa comprado pela empresa.
- Comprar uma única cópia de um programa e instalar.
- em todos os computadores da empresa.
- Instalar cópias de jogos ou aplicativos particulares em computadores da
empresa.
- Instalação ou acesso de um programa monousuário em uma rede local.
- Acesso a um programa em rede por mais usuários que o número de licenças
adquiridas.
PENA
- Até 2 anos de prisão - Indenização de até 3000 vezes o valor dos programas.

Trabalho :

Tomando como base inicial o material acima citado:

• Pesquisar Sobre : SEGURANÇA NO DESENVOLVIMENTO DE
SOFTWARE;
• Entregar o trabalho impresso nas normas da ABNT;
• Grupos : Os mesmos grupos formados anteriormente;
• Data da entrega : 18/11/2010;