Fontes de informação

No Capítulo 2 foram abordados diversos aspectos da segurança da informação para os ambientes de dispositivos móveis, com o propósito de subsidiar justamente esta demanda do modelo SDD: obtenção de informação confiável e atualizada sobre as mais diversas ameaças ao software que se pretende construir.

É importante ressaltar aqui a diferença em relação ao senso comum sobre ameaças e a abordagem proposta pela SDD: com suporte nos conceitos de dependabilidade e confiabilidade de (Avizienis et al, 2004), a base de conhecimento leva em consideração também as ameaças decorrentes do ambiente computacional – incluindo-se os serviços de rede – e do sistema operacional. Durante a elaboração da proposta do SDD foram utilizados os trabalhos de (La Polla et al, 2013) no que se refere ao ambiente de dispositivos móveis, o de (Braga et al, 2013), referente ao sistema operacional Android, e os de (Mylonas et al, 2011), (Shabtai et al, 2010) e (Zhou e Jiang, 2013) no que tange a Android malwares, os quais são bons referenciais em termos de fontes de informação para a base de conhecimento.

Outras fontes de informação sobre ameaças e vulnerabilidades consultadas: os fabricantes de dispositivos móveis e os voltados para a segurança da informação e infraestrutura, os web sites de comunidades, grupos e instituições ligadas à segurança da informação, como o OWASP (em www.owasp.org), uma iniciativa que mantém pesquisas sobre identificação, prevenção e estudo das vulnerabilidades em geral, o CERT-BR (www.cert.br) - Centro de Estudos, Resposta e Tratamento de incidentes de segurança no Brasil, e a F-Secure Corp. (https://www.f-secure.com/en/web/labs_global/threat-descriptions),

que contempla pesquisas, white papers e uma lista atualizada com as características técnicas e instruções de remoção de ameaças maliciosas identificadas por seus pesquisadores.

Alguns sites de fornecedores de produtos de segurança e infraestrutura também foram utilizados, como por exemplo:

 Google: https://source.android.com/devices/tech/security  Avira: www.avira.com.br;  Symantec: www.symantec.com;  McAffee; www.mcafee.com/br/products/mobile-security  PSafe: http://www.psafe.com/blog/  Cisco: www.cisco.com  Hauwei: em www.huawei.com

4.3.2 Ferramentas

Para a criação e manutenção de uma base de conhecimento sobre ameaças e vulnerabilidades é possível se valer de uma ampla gama de ferramentas, dentre as quais cabe citar:

 As Wikis, estruturas da Internet e intranet criadas a partir do início da década de 1990, que são um tipo de software colaborativo que abre a possibilidade da criação e edição de documentos em uma sistemática que dispensa a revisão antes da publicação. Muitas empresas as utilizam como ferramenta de gestão e divulgação do conhecimento;

 Os blogs, páginas que possibilitam a publicação de conteúdo em tópicos de forma incremental e dinâmica, além de permitir a interação e a pesquisa. A construção é simples e o uso é bastante comum entre os profissionais de tecnologia da informação;

 Um Portal, voltado para a gestão de conhecimento, é uma prática recorrente nas organizações. Geralmente carrega as características de uma página típica da Internet, porém com uma abordagem mais simples, controle de acesso e de postagens, e com uma temática bem definida;

 A Intranet, um poderoso veículo de comunicação e interatividade das organizações, tem características semelhantes às dos portais, porém com a possibilidade de acesso a diversas ferramentas, incluindo-se aquelas típicas de tarefas de escritório, como

editor de texto, planilhas eletrônicas, apresentações e bancos de dados. Uma das vantagens da Intranet é a integração com o ambiente, possibilitando a administração do uso e o acesso a ferramentas mais elaboradas, como as utilizadas em gestão de projetos, edição e versionamento de documentos e também de worklflow;

 Os Grupos ou Listas de discussão, mecanismos fornecidos por servidores de correio eletrônico e alguns provedores de webmail que fazem uso do e-mail para compartilhar mensagens e permitir a interação, com a possibilidade de arquivamento e recuperação das mensagens e da moderação ou filtragem de conteúdo.

 As mídias sociais, como Twitter, Facebook, Linkedin, entre outros, também são de grande valor para a obtenção e o compartilhamento de conhecimento e informações.

 As ferramentas de administração de dados, voltadas para BI – Business Inteligence e Big Data podem ser consideradas em função do volume de dados da base de conhecimento, sua abrangência e distribuição geográfica e o uso de diversas fontes de informação.

Mais importante do que a escolha da ferramenta é a validação da informação, sua classificação e formatação, que devem ser conduzidas de modo que favoreçam a busca, o acesso e o entendimento. Do mesmo modo a atualização e a manutenção, que garanta a informação atualizada e integra. Também é importante garantir que a informação esteja disponível da forma mais abrangente possível, especialmente para os ambientes de dispositivos móveis. Para isto é necessário um planejamento para a taxonomia, o uso de ferramental que possibilite a indexação e a busca, e que permita uma administração simplificada, porém capaz de garantir a segurança das informações.

4.3.3 Modelos

No Capítulo 2 foram apresentados alguns estudos que abordam o sistema operacional Android e que são um bom referencial para a base de conhecimento acerca deste sistema. A disponibilização deste material já é um bom começo para o processo de capacitação, formação e atualização de equipes para a atuação em projetos de desenvolvimento de software para ambiente de dispositivos móveis.

No que se refere às ameaças e vulnerabilidades, ainda no Capítulo 2 as Seções 2.2 e 2.5 apresentam estudos detalhados sobre a classificação e a documentação destas, oferecendo

informações e modelos a ser utilizados para a base de conhecimento e sua estruturação, sendo parte da contribuição do presente trabalho para a implementação do modelo SDD.

4.4 Casos de uso impróprio

Para enfatizar a abordagem precoce da segurança da informação no SDLC, o modelo SDD inclui, durante a preparação dos requisitos (levantamento, elicitação, etc.) e elaboração dos casos de uso, a criação dos casos de uso impróprio. Como abordado no Capítulo 3, o insumo para a elaboração dos casos de uso impróprio são os casos de uso e os requisitos de segurança.

O modelo SDD adota a abordagem baseada no meta modelo de (Hartong et al, 2009). E observa as recomendações de Petersen e Steven (2006) quanto ao ferramental a ser empregado, valendo-se de um editor de texto e uma ferramenta simples de diagramação ou de desenho para a elaboração dos casos de uso impróprio. O propósito é facilitar e simplificar o processo de construção dos casos de uso impróprio, enfatizando a abordagem precoce e reforçando a integração da atuação das equipes de segurança da informação e de desenvolvimento de software.

Entretanto, como o foco é promover a abordagem precoce da segurança da informação e explicitar as vulnerabilidades e ameaças, a opção pelo modelo citado não é incondicional, e destina-se a apresentar um referencial e proporcionar a orientação para a correta implementação do modelo. O modelo SDD nesta fase reforça a sequência adequada do processo, promovendo a elaboração dos casos de uso impróprio após a elaboração dos casos de uso – os quais podem ser usados como subsídio para aquela elaboração.

Convém reforçar que, enquanto um caso de uso visa explicitar uma ação relacionada a um requisito, a uma funcionalidade do software, um caso de uso impróprio tem por finalidade apresentar uma situação em que um dano é provocado em função de uso incorreto ou malicioso do software, a partir de um conjunto de funcionalidades ou dos objetivos de um usuário ou mesmo de um atacante ou usuário mal-intencionado. Desta forma um caso de uso impróprio pode abranger mais que uma funcionalidade, ou um conjunto delas, bem como retratar um mal funcionamento decorrente de várias iniciativas ou ações, porém com o mesmo resultado prático.