Segurança Informática: Segurança no Software

Dois dos autores do blog andamos há anos a ensinar segurança de software e dedicámos os últimos muitos meses a passar as nossas ideias sobre o assunto para papel. O livro chegou às lojas esta semana. Online está disponível por exemplo na própria editora (FCA), na FNAC e na WOOK.

Descrição

O principal objectivo deste livro consiste em responder à questão sobre como desenvolver software seguro. No entanto, o seu âmbito é mais lato, já que trata a segurança de software, um tema que inclui outros aspectos como a auditoria de software e a protecção de software em produção.

O livro aborda este tema em quatro partes. A primeira apresenta uma panorâmica sobre a segurança de software, introduzindo conceitos básicos, princípios de projecto e os mecanismos de protecção dos sistemas operativos convencionais. A segunda parte apresenta as principais classes de vulnerabilidades actuais, bem como aquilo que o programador deve fazer para não as criar quando desenvolve software. A terceira parte aborda o problema de uma perspectiva diferente: apresenta um conjunto de técnicas e ferramentas que podem ser usadas para tornar mais seguro o software que já existe e que pode ter grande dimensão. A quarta parte apresenta um conjunto de tópicos avançados, ou seja, de técnicas que poderão, num futuro próximo, ser usadas para melhorar a segurança de software.

O livro foi escrito tendo em vista dois tipos de leitores. Por um lado, pretende servir de manual para disciplinas de segurança de software a nível universitário: licenciatura e pós-graduação. Por outro lado, destina-se ao profissional da informática interessado em desenvolver software seguro, ou em auditar ou proteger software já existente.

Principais Tópicos

Ao longo do livro são abordados, entre outros, os seguintes temas:

* Vulnerabilidades, ataques e intrusões;
* Buffer overflows, cross-site scripting, SQL injection
* Cópia e modificação de software
* Teste de software e injecção de ataques
* Análise estática de código
* Mecanismos de protecção dinâmica
* Virtualização
* Trusted Computing

Índice do livro

Prefácio

Introdução
Segurança informática e Internet
Software (in)seguro
Sobre o livro

Parte I - Panorâmica e Protecção

1. Segurança e Desenvolvimento de Software
1.1 Conceitos básicos
1.2 Desenvolvimento de software
1.3 Princípios de projecto

2. Protecção em Sistemas Operativos
2.1 Protecção de recursos
2.2 Controlo de acesso

Parte II - Vulnerabilidades

3. Buffer Overﬂows
3.1 Vulnerabilidades e sua prevenção
3.2 Overﬂows na heap
3.3 Overﬂows na pilha
3.4 Buffer overﬂows avançados
3.5 Vulnerabilidades de inteiros

4. Corridas
4.1 Corridas e atomicidade
4.2 TOCTOU
4.3 Ficheiros temporários
4.4 Concorrência e funções reentrantes

5. Validação de Input
5.1 Conﬁança, conﬁabilidade e input
5.2 Metadados e metacaracteres
5.3 Vulnerabilidades de string de formato

6. Aplicações Web
6.1 Da World Wide Web às aplicações web
6.2 Top10 de vulnerabilidades
6.3 Injecção
6.4 Cross Site Scripting
6.5 Autenticação e gestão de sessões
6.6 Referência directa a objectos
6.7 Cross Site Request Forgery
6.8 Conﬁguração insegura
6.9 Armazenamento criptográﬁco inseguro
6.10 Falha na restrição de acesso a URLs.
6.11Comunicação insegura
6.12 Redireccionamentos não validados

7 Bases de Dados
7.1 Bases de dados e SQL
7.2 Injecção de SQL
7.3 Técnicas de injecção de SQL
7.4 Outras vulnerabilidades

8. Cópia e Modiﬁcação de Software
8.1 Cópia ilegal de software
8.2 Engenharia reversa
8.3 Fraude em aplicações em rede

III Técnicas e Ferramentas

9. Auditoria de Software
9.1 Modelação de ataques
9.2 Revisão manual de código

10. Teste de Software e Injecção de Ataques
10.1 Teste de software e segurança
10.2 Injecção de ataques
10.3 Fuzzers
10.4 Varredores de vulnerabilidades
10.5 Proxies

11 Análise Estática de Código
11.1 Análise estática básica
11.2 Análise semântica
11.3 Funcionamento das ferramentas
11.4 Comentários ﬁnais

12. Protecção Dinâmica
12.1 Detecção com canários
12.2 Pilha e heap não executáveis
12.3 Aleatorização e ofuscamento
12.4 Veriﬁcação de integridade
12.5 Filtragem

13. Validação e Codiﬁcação
13.1 Expressões regulares
13.2 Validação
13.3Codiﬁcação

14 Segurança na Linguagem de Programação
14.1Objectivosearquitectura
14.2 Sandboxes
14.3 Segurança das convenções da linguagem

IV - Tópicos Avançados

15. Virtualização e Segurança
15.1 Conceitos básicos e história
15.2 Concretização de VMMs
15.3 Aplicações em segurança
15.4 Vulnerabilidades da virtualização

16. Trusted Computing
16.1 Hardware para segurança
16.2 Trusted Platform Module
16.3 Aplicações do TPM
16.4 Futuro da trusted computing

17. Tolerância a Intrusões Distribuída
17.1 Conceitos básicos de tolerância a intrusões
17.2 Replicação: garantindo disponibilidade e integridade
17.3 Fragmentação: garantindo disponibilidade, integridade e conﬁdencialidade
17.4 Recuperação proactiva
17.5 Arquitecturas e sistemas
17.6 Problemas abertos e o futuro

Conclusão
Referências Bibliográﬁcas
Recursos na Web
Índice Remissivo

Mais informação no site da FCA.

Actualização a 04/10/2010: está disponível o sítio do livro

Segurança Informática

Segurança no Software

Segurança no Software - Livro

Popular Posts

Notícias: ZDNet Zero Day

Notícias: DarkReading

Notícias: Schneier on Security

Notícias: OWASP AppSec

Notícias: ENISA

Notícias: Yahoo! Security

Notícias: HPCintheCloud: Security

Blogroll

Blogroll em Português

Conferências

Arquivo do Blog

Segurança Informática @Facebook

SANS Information Security Reading Room

Symantec Connect - Security - Blog Entries

Etiquetas

Nível de Ameaça

Vulnerabilidades

Podcasts

Links

Comic strips

Google+ Followers

Seguidores