e a quarta posição do ASP top 10/2021 é o design seguro mas antes da gente falar sobre o assunto principal desse vídeo eu tenho que dizer para você que o nosso curso segurança da informação e Réquiem ele passou por algumas mudanças antes a gente tinha o segurança da informação e rack em um e o segurança da informação em rack 12 hoje a gente tem um único curso eu em todos os dois conteúdos no único curso e ele tá disponível ir para você acessando esse link que está na tela ou o link está na descrição Beleza
então bora para assunto principal [Música] o Olá seja bem-vindo ao guia anônima um canal que fala sobre segurança da informação e hacking eu sou Afonso da Silva e nesse vídeo a gente vai falar sobre o design seguro é o quarto colocado no hospital que 10/2021 a última categoria é o último ASP top 10 que foi lançado aí essa nova categoria do hospital que 10 ela se concentra nos Riscos relacionados a falhas de design inseguro e falhas e design de arquitetura e basicamente serve um apelo mais para parte de modelagem de ameaça padrões de design arquitetura
de referência e tudo mais que pode ser desenvolvido dentro de um softer no momento que ele está nascendo ali dentro da empresa o design segura ele é uma categoria bem Ampla que representa diferentes pontos fracos expressos como design de controle ausente ou ineficaz é quando a gente não tem um design de segurança dentro do sistema Esse é um design que não funciona direito fica tranquilo a gente vai passar por exemplo e tudo mais tá é uma diferença bem grande entre o design seguro o misconfiguration e a implementação e segura a gente diferencia entre design de
falhas e efeitos de implementação um motivo bem simples né eles têm diferentes causas raíz ou seja são Possivelmente semelhantes mas a causa principal e as Remedy ações são totalmente diferentes por exemplo um design que é seguro ele ainda pode ter falhas de segurança né na sua implementação durante a implementação do código ele pode ter falhas de segurança que podem levar a vulnerabilidades que podem ser exploradas já um design inseguro ele não pode ser corrigido com implementações perfeitas ou seja se uma aplicação ela nasce com falhas de segurança a regra de negócio no seu Core mesmo
que você implemente em nenhum tipo de falha mesmo que você implemente aquele código com perfeição aquelas falhas ainda vão existir Porque elas estão na raiz elas estão no design do código então por definição não existe controle de segurança necessários e nunca foram criados e também não se existe uma possibilidade de defesa e contra-ataque específico precisa ataque porque esses nunca foram pensados então Um dos fatores que contribui para o design seguro é a falta de perfil de risco de negócio inerente ao software ou sistema que está sendo desenvolvido ou seja um problema Raiz um problema que
tá ali dentro intrínseco na regra principal do software e olha só fazem parte dessa categoria vários cws né se você não sabe se w é basicamente são as categorias de vulnerabilidade e as principais que fazem parte do Design seguro estão as e w209 EA geração de mensagem de erro contendo informações confidenciais é quando algum tipo de erro é emitido na tela e dentro desse erro a gente tem alguma informação sobre o banco de dados ou sobre a aplicação E se a gente tenha cw1256 armazenamento desprotegidos de credenciais o nome dela já diz o que que
é a CW 501 a violação de limite de confiança então é quando você é consegue por exemplo acessar um outro usuário que você não teria acesso ou alguma pasta que você não teria permissão a ser w522 EA de credenciais protegidas insuficientemente ou seja existe uma proteção nas credenciais mais não são nesse não são suficientes para manter aquelas credenciais seguras Então são alguns problemas principais lá principais cws que a gente tem vinculadas aí é o da inseguro mais Existem várias outras eu vou estar deixando o link aqui no comentário fixado tá com o artigo da USP
e fala um pouquinho mais sobre esse design seguro um outro ponto que a gente pode ter ali para resolver esse problema de design seguro é fazer um ciclo de vida de desenvolvimento seguro para esses softer então sofre de seguro ele requer esse ciclo de desenvolvimento de alguma forma algum padrão de reto alguma metodologia de entrada alguma biblioteca de componentes de segurança ferramentas de modelagem de ameaça é procura né ficar o tempo todo verificando a segurança daquele sistema no início do seu projeto E durante todo o projeto fazer essa manutenção de segurança essa verificação por isso
que normalmente é recomendado e seja feito um teste durante o desenvolvimento do software no início dele até o final né então vários tipos de teste para que esse círculo o movimento seguro seja cumprido e um exemplo que a gente tem né para tentar desenhar um pouquinho melhor esse design segura é o seguinte vamos pensar em um e-comerce de uma rede de varejo gigantesca e esse é comer se ele não tem uma proteção contra bot e esses botes eles são executados por pessoas que querem comprar placa de vídeo gente sabe que placa de vídeo aí agora
que tá voltando à normalidade mas estava totalmente esgotada né Vamos colocar o exemplo do Playstation 5 vamos lá então então esses caras eles essa loja de varejo gigantesca ela não tem a nenhum tipo de proteção contra bot E essas pessoas executam botes para fazer a compra do PS5 em uma alta velocidade e compram espécie 5 para o valor e revendem mais caro porque não vai ficar disponível naquela Varejista então basicamente isso cria uma publicidade terrível para cada empresa né porque isso vai sair nas mídias e tudo mais e também e fabricantes né para fabricante do
PS5 porque nunca vai ter PS5 disponível para Os compradores porque os cambistas vão comprar espécies cinco anos e pode fazer aí e basicamente o público não consiga obter essas placas e tenha um grande problema no mercado como realmente acontece aí com espécies cinco acontece bastante também com o tênis né de marca edições limitadas e tudo mais o designer anti-bot as regras de logística elas deveriam ser cuidadas elas deveriam ser desenvolvidas como compras feitas por alguns segundos habilidade identificação de automação e assim por diante Então esse é um exemplo de design seguro porque é uma falha
de regra de negócio uma falha dentro do Core do negócio dentro do código e comece até dá para aplicar e alguma funcionalidade depois né a para tentar evitar esse tipo de problema é mas com toda a certeza seria muito mais fácil que você comece as funções já fossem desenvolvidos junto com a própria página de compra junto com o próprio by quente que faz as verificações dos outros dados e esse é um problema real a gente tem de fato esse problema aí a gente teve com os videogames a gente teve com placa de vídeo a gente
tem com tênis e roupa de marca Então esse problema dos botes ele é verídico inclusive já me chamaram a perguntando se eu fazia esse tipo de bote porque queriam comprar E como que pode ser prevenido design seguro Existem algumas habilidades de prevenção é a primeira é o estabelecimento do ciclo de vida do desenvolvimento de seguro né um profissionais de apps aqui né segurança de aplicativos deve segue para ajudar avaliar projetos de controle de relacionados à segurança EA privacidade a gente pode estabelecer um uso de bibliotecas padrões de um projeto bibliotecas e componentes eles estejam prontos
para uso e já tenham sido verificados anteriormente então não usar qualquer biblioteca né usar uma biblioteca que você já avaliou a segurança dela por exemplo usar uma modelagem de ameaças para autenticação crítica controle de acesso lógica de negócios cursos e Chaves de acesso integração de linguagem e controle de segurança dos históricos dos usuários para que você tem acesso de tudo eu integração de verificações de cada camada o aplicativo tanto do front-end quanto do backend ou seja uma avaliação completa do seu sistema e tudo o que acontece dentro dele é escrever os testes unitários os testes
não unitários as integrações para validar todo aquele fluxo de informações e obviamente documentar toda a partir de desenvolvimento toda a parte de modelar gente ameaça documentar tudo para que fique fácil equipe consiga resolver esses problemas caso ele Socorro né E você também pode aí fazer a segregação de camadas do sistema nas camadas de rede dependendo da Necessidade hoje posição da proteção daquela aplicabilidade também pode fazer a separação das informações de robustas ou seja esse tipo de informação fica na nuvens tipo de Formação fica local e informação legal e claro limitar o consumo de recursos por
usuário então o caso usuário pode fazer tantos acessos cada usuário pode fazer é tanta coisa porque senão ele sofre penalidades né então isso tudo pode ser feito a também para evitar problemas Como eu disse anteriormente eu vou tá deixando no link fixado aqui o link da VASP que explica certinho sobre design seguro e coloca todas as cws que fazem parte do Design seguro é bastante importante para você entender um pouco mais sobre E também o link fixado a gente vai ter o link da opsive é possível uma escola de idiomas então caso você queira aprender
inglês como a língua super importante para quem trabalha com tecnologia você pode estar acessando também o link que está aqui na tela e tá no comentário fixado para você chega lá no link coloca as suas informações o pessoal da é possível vai entrar em contato com você e você vai receber um desconto exclusivo pela parceria aqui o guia anônima tem com a FC Beleza então é isso muito obrigado não se esqueça de deixar o seu like se inscrever no canal e Compartilhar esse vídeo aqui no seu grupo de estudos fechou Valeu até
