SegDesSoftware - CURSO de SEGURANÇA no DESENVOLVIMENTO de SOFTWARE - INTEGRAL GRATUITO - Aula 01

pessoal Esse vídeo é só para avisar vocês que eu vou a partir de agora liberar aqui no canal Safe só se o meu curso de segurança no desenvolvimento de software é um curso que eu construi ao longo de muitos anos da minha carreira esse curso foi aplicado em várias empresas Universidades em vários locais é um curso que o pessoal pagava uma grana boa para por ele a coisa de 5 10 anos atrás mas a verdade é que eu não tenho mais tempo de atualizar esse curso Então ele já tá um pouquinho desatualizado ele fala a

lista da wasp de 2017 não a de 2021 é isso não faz tanta diferença assim porque essas listas da wasp mudam muito pouco de um ano para o outro mas de qualquer forma seria o correto atualizar o curso para essa nova lista e eu sinceramente não vou ter tempo de fazer isso eu já tô há muito tempo é me dedicando mais ao YouTube do que a fazer de fato segurança na informação Então esse curso ele estava na na hotmart como um curso pago mas é aquele negócio eu me sentia mal com o curso lá porque

eu não conseguia atualizar o curso não conseguia dar suporte eu não tinha tempo para ajudar as pessoas então eu achei melhor fazer o seguinte eu vou dar de graça para vocês o curso aqui nas próximas semanas eu vou liberar a cada dia alguns vídeos desse curso um vídeo por dia para não ficar muito muito cansativo se tiver uma notícia importante no dia eu falo a notícia ao invés de fazer o vídeo mas eu vou liberando devagarzinho cada aula do vídeo se você tiver interesse é o curso vai estar todo aqui nos próximos dias né então

a partir de amanhã aqui no canal Safe Só se você vai ver já esse meu curso eu vou achar nesse nesse vídeo meu eu vou ligar ele com a primeira aula primeiro o primeiro módulo da primeira aula né aí depois amanhã eu boto o segundo módulo da primeira aula no módulo da primeira aula e por aí vai a gente vai fazendo cada uma dessas aulas com as informações para quem tem interesse em trabalhar com segurança no desenvolvimento de sistemas se você é desenvolvedor se você é gerente de desenvolvimento pode ter muita coisa importante aqui no

curso para você principalmente Quais são as principais armadilhas os principais problemas de segurança da informação como você faz para garantir para o seu cliente final a segurança do seu sistema e mais um monte de coisa eu espero que vocês gostem do conteúdo fiquem agora comigo do passado explicando para vocês aqui o curso Olá seja bem-vindo ao curso de segurança no desenvolvimento de software da Safe torce meu nome é Ricardo Albuquerque Esse é o curso de segurança no desenvolvimento de software Essa é a aula um módulo 1 introdução nesse módulo a gente vai cobrir o item

1.1 na nossa ementa a introdução esse curso ele é destinado para desenvolvedores gestores pessoal de teste todo mundo que tá envolvido com processo de desenvolvimento de sistemas e tem por interesse aumentar a qualidade a segurança do código que está sendo desenvolvido pela sua equipe também é muito útil para quem vai comprar software de terceiros de forma que a gente vai ver Como avaliar segurança de um software externo hoje a segurança de aplicativo desenvolvidos é algo extremamente importante visto que grande parte dos ataques realizados se utilizam de fragilidades em aplicações Muitas vezes os problemas ocorrem por

desconhecimento dos desenvolvedores e demais membros da equipe sobre os ataques problemas de segurança Associados esse curso Visa suprir essa lacuna vou te dar um exemplo eu não posso citar nomes de clientes meus cujo sistemas eu fiz análises por questões de confidencialidade mas alguns casos são extremamente didáticos por exemplo uma pequena Startup brasileira preparou um produto muito legal fez todo um esforço de marketing para o lançamento e até jornal e tudo mais na semana anterior o lançamento alguém levantou o ponto lá será que a gente não deveria fazer um teste de segurança do sistema pois bem

me chamaram na quinta-feira o sistema seria lançado na segunda-feira seguinte falei com eles que era pouco tempo para inspeção de código teste adequado mas que eu faria o possível para identificar qualquer problema que houvesse dentro daquele prazo que eu tinha aplicação era muito bem feita em Java toda baseada em WS baseado em serviços com cliente rico com celular aplicativo web foi desenvolvido como é que bem pequena desenvolvedores muito espertos Mas que como muitos carecem do conhecimento de segurança nem preciso contar a tragédia que se sucedeu né a aplicação tinha pelo menos dois furos muito sérios

além de uma série de outros pequenos detalhes no dia seguinte na sexta-feira no final do dia eu mostrei para a equipe de desenvolvimento como eu podia logar como um usuário público e mudando o cookie de sessão para um valor fixo eu me tornava administrador da aplicação não é nem Fashion nem sequestro de sessão não era só usar um valor fixo do cookie também expliquei que a ausência de validação de dados de entrada permitir ataques de diversos tipos por exemplo mostrei para eles alguns ataques tipo XS refletidos o problema que ninguém tinha me avisado é que

ao mesmo tempo que eu fazia os testes e demonstrava para a equipe de desenvolvimento e uma sala o CEO da empresa estava demonstrando o sistema para investidores queriam participar do lançamento na segunda-feira na sala ao lado resultado os XS refletidos começaram a pipocar na tela do seio da empresa na hora da apresentação para os investidores dois dias antes de lançamento bom não ficou bonito eles quase cancelaram o lançamento do produto Bom na verdade a minha recomendação era que fizessem isso que adiassem o lançamento mas eu entendo que já havia um bocado de dinheiro investido televisão

chamada enfim não é nenhuma novidade para quem faz esse tipo de teste de software que nessa situação quando só Te chamam para o teste na última hora o software vai ser lançado com problemas não dá tempo de corrigir só mais tarde que eles serão corrigidos lógico equipe entendeu os problemas realizou as correções posteriormente hoje o sistema é um sucesso na área dele mas correr o risco significativo ou seja dois pontos bem simples que os desenvolvedores tinham plena capacidade de resolver mas simplesmente não se atentaram para o fato Geralmente os analistas desenvolvedores e as pessoas envolvidas

com a produção de um software tendem a enxergar o software apenas pelo Prisma do funcionamento só se imagina o cenário de sucesso o usuário quer fazer isso então ele clica aqui depois aqui e o resultado que ele quer o nosso papel como desenvolvedores Seguros como testadores de software é enxergar além disso o usuário não é aquele cara bonzinho que só quer usar o sistema Ele quer fraudar o sistema se ele conseguir clicar aqui ele vai tentar clicar aqui e se ele conseguir clicar aqui também ele vai acessar o que não deveria ter direito de acessar

portanto temos que nos proteger contra isso a ideia aqui então é apresentar a equipe Quais são os principais problemas as formas de evitá-lo além disso explicaremos os controles associados ao processo de desenvolvimento com o objetivo de aumentar a qualidade e segurança do sistema desenvolvidos ou seja como garantir que os principais problemas que serão apresentados aqui vão ser tratados Mas também como garantir que outros problemas e outras situações de fragilidade sejam mitigadas ao longo do desenvolvimento como esse curso Visa pessoas com diferentes graus de conhecimento sobre desenvolvimento de sistemas é importante uma pequena revisão e apresentação

de conceitos da área de desenvolvimento bem como também a apresentação dos conceitos de segurança da informação essas informações embora sejam de conhecimento geral de muitos são importantes para nivelar a equipe garantir que todo mundo tenha um mínimo de conhecimento necessário para compreender os tópicos que serão vistos mais adiante após essa introdução e apresentação dos conceitos veremos as principais vulnerabilidades de aplicações vamos percorrer o ASP top tem que a lista das principais vulnerabilidades registradas em aplicações web e também vamos ver algumas outras vulnerabilidades importantes também como buffer Flow e outras mais nessa visão das vulnerabilidades vamos

apresentar formas de se evitar cada uma delas tanto da forma direta ou seja como você produzir um código sem salvoneabilidade Mas também de forma gerencial ou seja como prever no seu processo de desenvolvimento Que tal vulnerabilidade não vai surgir ao final do processo em seguida vamos apresentar algumas normas de segurança de software vamos revisar as principais normas usadas no mercado e o que que elas podem ser úteis no nosso processo de desenvolvimento e eventualmente na certificação de segurança de sistemas na quarta parte do nosso curso falaremos sobre segurança no desenvolvimento com foco na organização do

ambiente de desenvolvimento de sistemas quando se fala em segurança no desenvolvimento de sistemas geralmente está se falando em produzir um software com características boas de segurança mas vamos ver que muitas vezes isso também requer que o ambiente de desenvolvimento tenha controle de segurança bem implementados e planejados que o código fonte seja armazenado de forma segura que o acesso seja controlado que tenha backup antivírus etc a parte seguinte é sobre codificação segura trata-se de um conjunto de regras e boas práticas de codificação que apresentaremos visando aumentar a segurança do código fonte gerado essa parte depende um

pouco da linguagem usada a gente vai tentar fazer alguns exemplos em linguagens diferentes aqui mas evidente que mesmo que todas as técnicas apresentadas sejam seguidas à risca pela equipe é crucial que o processo de desenvolvimento passa por testes e avaliações de diversos tipos ciências avaliações e testes não é possível garantir a segurança do sistema e esse é o assunto da nossa última parte o teste e avaliação de segurança do sistemas mas falaremos aqui também sobre ferramentas para isso e a manutenção de segurança ou seja como lidar com a segurança ao longo do tempo então isso

daí gente só recapitulando Esses são seis pontos principais do nosso curso que a gente vai ver em seguida nas próximas aulas primeiro a parte de introdução e conceitos depois vulnerabilidades de aplicação as principais vulnerabilidades que toda aplicação está sujeita normas de segurança no desenvolvimento de sistemas ou seja o que que tem em termos de Norma de legislação de coisas aplicáveis à segurança no desenvolvimento a segurança no desenvolvimento em si ou seja práticas de segurança no ambiente e desenvolvimento na máquina de desenvolvimento no processo de desenvolvimento como um todo vamos ver com detalhes práticas de codificação

segura como você pode tratar na hora da codificação do seu sistema de forma que você evite problemas de segurança e finalmente vamos falar sobre a parte de segurança testes e avaliações de segurança que serve Principalmente para o software que você está desenvolvendo mas também podem ser aplicados a softwares de terceiros que você está adquirindo bom essa a nossa plataforma é a Safe sorcere Safe source é a marca dos cursos que eu faço nessa área de segurança no desenvolvimento de sistemas a gente tem um canal no YouTube com alguns vídeos adicionais os vídeos lá no canal

são mais abertos mais para o pessoal que não conhece a coisa mas tem alguns vídeos interessantes lá até para você que é mais técnico tem a gente tem também o site Safe sóce.com só que é Safe src.com aliás embora se pronuncie Safe torce em todo lugar que tá o nome do canal é Safe src bom os cursos Então são teóricos tem alguma parte prática algum exercício que você vai ter que reproduzir na sua casa com seu micro mas majoritariamente são cursos teóricos tá cada aula vai ter uma apostila correspondente que você pode baixar aí da

área de aluno do seu curso e eu estou disponível para tirar dúvidas por e-mail as aulas em qualquer momento vocês podem me adicionar eu vou estar à disposição para isso para qualquer dúvida e bom quem sou eu eu sei que muita gente me conhece pelo meu outro canal no YouTube mas na verdade o meu nome é Ricardo Albuquerque eu sou engenheiro pelo UFRJ sou eu não terminei meu mestrado engenharia tá eu sou pós-graduado em engenharia pela UFF completei todas as matérias mas não defendi a tese e sou advogado pela uneza Eu já trabalhei trabalha muitos

anos nessa área de avaliação de segurança de sistemas Essa é a minha atividade principal é o que eu faço para viver eu dei aula durante muito tempo no MBA do curso do mcdofrj é um mestrado lato senso lá na no nce na UFRJ que você cobre várias áreas de segurança da informação e a minha cadeira é a segurança no desenvolvimento de software Eu também já dei cursos como esse ou similares a esse em várias faculdades inclusive no Ibmec eu também fui pesquisador por muito tempo do laboratório da casinha da UFF também nessa área de segurança

no desenvolvimento software Eu tenho um livro publicado já um livro mais antigo não vale a pena você pensar em comprar ele não vai me ajudar em nada acho que nem tem mais no mercado mas para você saber eu tenho um livro e o mais o principal que eu acho que é o máximo que eu posso passar nesse curso que é justamente a grande experiência que eu tenho mais de 20 anos fazendo avaliação de segurança de sistemas para todos os grandes bancos brasileiros todas as grandes empresas brasileiras eu fiz avaliação de sistemas de todas as áreas

desde Indústria de Alimentos avião indústria mecânica bancos tudo então acho que eu tenho uma experiência muito boa nessa área e espero passar uma parte disso para vocês aqui então é isso daí eu agradeço a presença de vocês nessa primeira aula do nosso primeiro módulo e a gente se encontra no Próximo módulo [Música] [Aplausos]