2018/09/26

À conversa com os autores do livro "Segurança no Software" da FCA


A FCA deu-nos a oportunidade de conversar um pouco com alguns dos seus autores, e desta vez os escolhidos para a rubrica "À conversa com" foram Miguel Pupo Correia e Paulo Jorge Sousa, autores do livro "Segurança no Software – 2ª Edição Atualizada e Aumentada".

O que mudou em termos de ameaças e ferramentas de segurança nos 7 anos que separam estas duas edições de “Segurança no Software”?

A informática em geral, e o software em particular, são áreas muito dinâmicas que mudaram muito nestes últimos anos. De fato, reler o livro passados sete anos e ver como a tecnologia mudou foi uma surpresa para nós. Essas mudanças introduziram outras tantas áreas ameaçadas pela insegurança do software.

Por exemplo, há sete anos os smartphones estavam praticamente a aparecer, com o iPhone a abrir caminho entre os consumidores. As pessoas já tinham telemóveis, claro está, mas não usavam apps como fazemos hoje. A cloud era outro mercado que ainda estava a aparecer em 2010 e neste momento estamos os dois envolvidos num projecto europeu chamado SafeCloud, com mais de 3 milhões de euros de financiamento e parceiros da Suíça, Alemanha e Estónia, inteiramente dedicado à segurança de dados na cloud. Um de nós está também envolvido no projecto europeu SuperCloud, também sobre segurança da cloud. E são apenas dois entre muitos projectos na área.

Há sete anos, da Bitcoin ou de blockchain poucas pessoas tinham ouvido falar. Os containers e tecnologias como o Docker ainda não existiam. Smartphones e suas apps, cloud, blockchain e containers são tecnologias importantes, mas que introduziram grandes preocupações de segurança. No domínio concreto da segurança de software, apareceu muito trabalho em metodologias de desenvolvimento que permitem obter software mais seguro.

A que tipo de público se destina esta obra? Quem poderá retirar mais partido da mesma?

Quando escrevemos o livro tínhamos como alvo primordial os nossos alunos de mestrado. O livro surgiu da cadeira de Segurança de Software dos mestrados em informática da Faculdade de Ciências da Universidade de Lisboa. A cadeira não pretendia ser teórica mas dar as bases para que os seus alunos pudessem aplicar a segurança de software na prática, no mundo empresarial. É também dirigido a profissionais da área da informática com interesse em segurança. Aliás, qualquer analista e/ou programador de software deveria ler o livro para perceber a vastidão de vulnerabilidades que podem ser introduzidas no software e, acima de tudo, para conceber e/ou desenvolver software mais seguro.

Actualmente, quais são as principais vulnerabilidades em termos de software?

São muitas! Curiosamente, nas aplicações convencionais e web as vulnerabilidades que continuam a constituir maior risco são as mesmas da primeira edição do livro, respectivamente buffer overflows e o par injeção de SQL / cross site scripting. Depois há um manancial de novas vulnerabilidades relacionadas com os dispositivos móveis, a começar pela instalação de aplicações maliciosas a partir de mercados online pouco fiáveis.

Na vossa opinião, quais são os sectores de actividade que devem dar mais prioridade à segurança nos pacotes de software que utilizam?

A informática entrou em todos os sectores de actividade e todos, ou quase todos, podem sofrer falhas catastróficas caso tenham software vulnerável e ataques. Assim sendo, os sectores que devem dar prioridade à segurança são aqueles cuja falha pode trazer maiores consequências negativas à sociedade: energia, água, saúde, transportes, telecomunicações, etc.

Existe alguma ferramenta 100% eficaz para testar potenciais falhas de segurança num software?

Não. A investigação tem avançado muito e existem técnicas cada vez mais eficazes para fazer teste de segurança. No entanto, muitas dessas técnicas não são aplicáveis na prática e as que são, não são tão eficazes. Depois a complexidade do software aliada à capacidade dos seres humanos de cometerem erros, leva a que a eficácia seja ainda mais baixa. Há dias um de nós ouviu o caso de uma das maiores empresas de software a nível mundial em cujo software foi detectada uma vulnerabilidade grave. Curiosamente usam sistematicamente uma ferramenta de teste – de análise estática de código – que devia ter detectado essa vulnerabilidade. Mais, essa ferramenta é uma das melhores do mercado. Então o que falhou? O software era de tal forma grande e complexo que a ferramenta simplesmente parou a análise antes de terminar e sem que isso tivesse sido descoberto pela pessoa que estava a
conduzir os testes.

Também os dispositivos móveis estão sujeitos a ameaças. Quais são os ataques mais frequentes e como podem ser detectados e evitados?

O mais frequente são as apps maliciosas que são descarregadas de mercados online. Existem uma série de mercados poucos fiáveis dos quais é recomendável nunca descarregar apps. No entanto, mesmo nos mercados oficiais da Google (para Android) e da Apple (para iOS) aparecem apps maliciosas. Os mercados oficiais analisam as apps e vetam as que consideram inseguras mas, como já explicámos, o teste de segurança pode falhar.

Há algum alerta em particular que gostassem de transmitir aos leitores?

O alerta óbvio é que devem levar a segurança de software a sério. As pessoas levam a sério a sua segurança física, a da sua família ou a da sua casa. No entanto, a informática entrou a fundo na vida das pessoas de modo muito rápido, pelo que estas podem ainda não se aperceber da importância da segurança nesse domínio. As pessoas devem pensar na informação que têm armazenada em sistemas informáticos – de ficheiros de trabalho às fotografias dos filhos pequenos – e nas consequências de hipotéticas falhas de segurança: perder todos esses dados, tê-los corrompidos, perder-lhes o acesso, pessoas não autorizadas conseguirem aceder-lhes.

E é tudo, o nosso obrigado pelo tempo dispensado, e ficamos aguardar pelos seus próximos livros. :)


Sobre os autores:
Miguel Pupo Correia - Professor Associado do Departamento de Engenharia Informática do Instituto Superior Técnico da Universidade de Lisboa.

Paulo Jorge Sousa - CEO e CSO da Maxdata Software, uma PME portuguesa que cria software para a área da Saúde.


Para quem chegou até aqui, temos uma surpresa. Temos para oferecer dois exemplares do livro "Segurança no Software" e para te habilitares a ganhar um deles só tens que participar preenchendo o seguinte formulário:


Passatempo encerrado: os vencedores foram:
  • Eduardo Rodrigues
  • Ricardo Martins


Fica atento aos próximos passatempos.

Sem comentários:

Enviar um comentário (problemas a comentar?)

[pub]