Universidade Anhanguera Uniderp

Centro de Educao a Distncia

Atividade Prtica Supervisionada

Projeto Interdisciplinar

Valparaiso de Goias / GO
2013

SIGAE
O sistema SIGAE (Sistema Gerenciador de Auto Escola) foi desenvolvido numa arquitetura
moderna, um sistema on-line e roda no navegador de Internet.
O sistema no necessita de instalao no computador.
A segurana das informaes um dos principais fatores que garante a qualidade do software.
O SIGAE realiza backups de hora em hora para servidores remotos.
Plasticidade no acesso do sistema
Relatrios, consultas principalmente de gesto so muito importantes para o acompanhamento
dos trabalhos, dos processos e, alm disso, auxilia o empresrio na tomada de decises.
O controle financeiro, o acompanhamento do fluxo de caixa como tambm as contas a receber
fazem um grande diferencial.
Outros itens que destacamos a praticidade e facilidade na consulta de clientes e
acompanhamento do seu processo.

Ambiente Operacional

Padres de Desenvolvimento

Nome do

Sistema

Banco de Servidor de

Modelagem

Linguagem de

Sistema

Operacional

Dados

Aplicao

Utilizada

Programao

Sigae

Windows xp

MySql

Sigae

Css

PHP

Xhtml

Levantamento de Requisitos
1. Qual e o nome da empresa?
2. Qual a sua funo?
3. Em que o sistema operacional o programa executado?
4. Qual o tipo de sistema utilizado?
5. Qual o nome do sistema ou software utilizado?
6. Como funciona o sistema em termo de execuo?

7. Qual metodologia de modelagem foi utizada para o desenvolvimento do sistema?

8. Qual e o ponto fraco?
9. H quanto tempo o sistema est no ar?
10. J ocorreu algum problema com o sistema? Com que freqncia?
11. Qual o tipo de problema que mais ocorre?
12. Quantas pessoas utilizam este sistema na sua empresa?
13. O sistema utilizado consegue atender as demandas da autoescola?
14. Qual o sgbd(sistema gerenciado de banco de dados)utilizado?
15.Que tipo de sistema de informao utilizado pelo sistema?
16. O sistema em questo foi desenvolvido em que limguagem de programao?
17. A entidade externa envia/recebe dados da instituio?
18. Qual o nome da entidade externa?
Sistema Web
Atualmente, a Web enfrenta diferentes formas de ameaa que foram surgindo ao longo de
sua evoluo. A Web no introduziu muito mais ameaas de segurana do que j existia na
Internet. A Internet funciona para a Web como seu mecanismo de transporte e portanto herda
suas vulnerabilidades de segurana. Devido pressa na construo de novas funcionalidades
em todo o ambiente, projetistas no consideraram o impacto em segurana que esta nova
tecnologia causaria, deixaram de ver importantes pontos de possveis ataques e
vulnerabilidades. A Web no demorou muito em caminhar da comunidade cientfica para o
mundo comercial. Neste ponto, as ameaas tornaram-se mais srias. Uma nova tecnologia
encontrava-se disponvel e muito atrativa para os atacantes.
O quadro a seguir apresenta uma comparao das principais formas de ameaas.

Integridade

Ameaas

Confidenciabilida Negao de

Autenticao

de

Servio

- modificao de

- eavesdropping

- bloqueio da

dados do usurio

- roubo de

conexo

personificao

- browser cavalo de

info/dado do

- inundao da

de usurios

Tria

servidor/cliente

mquina com

legtimos

- modificao

- info da

solicitaes bogus - falsificao

de memria

configurao da

- modificao

rede/mquinas...

isolamento mqui

de dados

de mensagens

- info de qual

na por ataques a

em trnsito

cliente "conversa" DNS

com servidor em
trnsito

Consequnci
as

- perda de info

- perda de

- interrupo

- m

- compromete a

informao

- aborrecimento

representao

mquina

- perda

- impedir usurio do usurio

- vulnerabilidade para de privacidade

realizar seu

- crena

outras ameaas

trabalho

que informa
o falsa
verdadeira

Medidas

- encriptao, Web - difcil prevenir

checksums criptogrf proxies

- tcnicas
criptogrficas

ico

Integridade
Ataques contra integridade consistem em alteraes maliciosas de dados, programas,
mensagens e at mesmo informaes da memria. Este tipo de ataque devastador. Na
maioria dos sistemas, este tipo de ataque permite ao atacante ler/modificar/remover qualquer
arquivo, enviar mensagem, etc, enfim ter total controle de seu computador.
Confidenciabilidade
Este ataque tenta revelar informaes confidenciais para terceiros. Um atacante pode tentar
obter estas informaes na mquina do usurio ou no servidor. Normalmente, assumimos que
informaes em nossas mquinas locais so privadas, mas poucos tm cincia de que uma vez
que voc esteja conectado Internet estas informaes podem no se tornar to confidenciais
assim. Por exemplo, os "browsers" normalmente mantm caches locais de visitas efetuadas
pelos usurios a servidores Web que podem revelar alguns "hbitos" deste usurio.
Negao de Servio
Esta uma das mais srias ameaas na Web e a mais difcil de prevenir. Este tipo de ataque
consiste em aes maliciosas que desviam acessos a um determinado servio que se encontra
disponvel. Web spoofing um exemplo tpico deste tipo de ataque, acessos feitos a
determinado servidor Web so desviados para um outro servidor, normalmente um clone.
Veja o exemplo abaixo:

Suponha que um competidor de uma empresa X deseja "roubar" informaes ou parte

das transaes desta empresa X.

A empresa X tem um servidor Web: www.X.com.br com IP: 1.2.3.4

O competidor que tem um servidor Web com aparncia idntica a www.X.com.br e

envia (fazendo "spoofing" no DNS) o endereo IP 5.6.7.8

O usurio que conecta com www.X.com.br, na verdade est conectando com o

servidor em 5.6.7.8 (o falso servidor Web). Efetua suas transaes e no percebe que
efetuou a compra em um site falso ou simplesmente, este site informa preos elevados,
o que faz o usurio procurar a empresa concorrnte da empresa X (eg, a prpria
empresa "intrusa" neste caso).

Autenticao
Neste caso, o atacante se faz passar por outro, obtendo a senha do usurio por algum mtodo
qualquer, como por exemplo, filtrando pacotes na rede e capturando senhas no
criptografadas.
Segurana no Servidor
Em um ambiente cliente/servidor as atenes normalmente esto direcionadas para o
servidor, onde residem as informaes e portanto foco de ameaas. Os clientes na Web esto
fora de nossa guarda e assim fora do nosso controle. A proteo do cliente, no o grande
objetivo, a no ser quando se trata de sua privacidade. Segurana no servidor Web consiste,
em geral, em um ponto crtico em relao para algumas organizaes que tem a Web a sua
principal fonte de renda.
Os assuntos de segurana tratados aqui so direcionados ao servidor Apache em ambiente
Unix por ser o mais utilizado na Internet. Mas, a maioria das recomendaes, tpicos,
sugestes, etc. mencionada vlida para outros servidores Web.
Configuraes Bsicas
Um dos maiores problemas de segurana, assim como com outros servios de rede, o mau
gerenciamento. Sistemas distribudos com uma m configurao pode significar um desastre.
Sistemas crescem e tambm crescem em sua complexidade. Se no se tem uma boa
configurao torna-se difcil o emprego de uma poltica de gerenciamento satisfatria.

Como so organizadas estas configuraes?

Arquivos de configuraes contm diretivas que so tratadas pelo daemon httpd. Estas
diretivas controlam o comportamento de funes do servidor, como: controle de
acesso a pginas (nomes e senhas), disponibilizao de recursos, etc.

Um exemplo: uma diretiva que bloqueia acessos indevidos (bloqueia acessos ao

arquivo de senha /etc/passwd)

Alguns cuidados devem ser levados em considerao: saiba o que j vem previamente
configurado em seu servidor ao instal-lo; comente (iniba) o desnecessrio e conhea bem o
que voc tem configurado em seu servidor Web; configure seu servidor para tratar acessos
indevidos; no esquea de checar seus logs constantemente, etc.
Estrutura de Diretrios
A estrutura hierrquica de diretrios de um servidor Web composta de dois diretrios. Os
diretrios:

Raiz do servidor: tem informaes de controle do servidor, como: arquivos de

configuraes, aplicaes adicionais, etc.

Raiz de Documentos (o Web space do servidor): contm o contedo "pblico"

(informaes disponibilizadas via conexes HTTP). Geralmente este um subdiretrio do diretrio raiz do servidor.

Ao se "disparar" um servidor Web, todas as informaes abaixo da raiz do diretrio de

documentos podero ser disponibilizadas publicamente a menos que se tenha alguma restrio
de acesso. Um dos erros mais comuns se executar o servidor Web como "root", o que trs
algumas vulnerabilidades para seus sistemas. Uma soluo muitas vezes adotada rodar o
servidor Web como usurio "nobody", que tambm trs vulnerabilidades. Algumas aplicaes
tambm podem estar sendo executadas como "nobody" e portanto o servidor Web passa a ter
seus mesmos privilgios. Uma boa estratgia criar um usurio qualquer (e tambm um
grupo) especfico para o servidor Web (exemplos: web, www, webserver, etc...). Assim,
acessos ao sistema de arquivo sero restringidos a este usurio, e tambm eventuais ataques
feitos ao servidor tambm seriam afetados ao usurio Web especfico do servidor.
Server-Side Include (SSI)
SSI um cdigo HTML que "injeta" a sada de um comando ou um arquivo dentro da
pgina quando enviada pelo servidor para o browser. A formatao HTML um contedo
esttico, SSI um contedo dinmico.
Alguns exemplo ilustrando o uso de SSI:

Tamanho do arquivo (fsize)

HTML com SSI

<!--#config sizefmt="byte"-->
O tamanho deste arquivo <!--#fsize="arquivo.shtml"--> bytes

gera a sada
O tamanho deste arquivo 34564 bytes

Includes: inclundo um arquivo em outro

HTML com SSI

Este um exemplo de texto de um outro arquivo
<< <!--#include virtual="arquivo.shtml"--> >>
Texto acima foi includo do arquivo <i> arquivo.shtml </i>

gera a sada
Este um exemplo de texto de um outro arquivo
<< texto includo >>
Texto acima foi includo do arquivo arquivo.shtml

SSIs so bastante teis, mas podem tambm ser "caros" computacionalmente, acabam com a
portabilidade e podem abrir srios furos de segurana. Se esta funcionalidade no necessria
para o seu servidor, melhor desabilit-la.
Autenticao
Em geral, servios Web so muito dependentes de servidores de nomes. Se um servidor de
nome atacado, servidores Web dependentes deste servio podem ter sua autenticao
comprometida.
Autenticao Bsica
Um servio que prov autenticao bsica utiliza a identificao do usurio (username) e a
senha, que passa as claras (sem criptografia) pela rede. No mximo, em alguns casos, alguns
pequenos "mascaramentos" so utilizados como o redirecionamento para uuencode do Unix.
Algumas restries de acesso podem ser utilizadas via arquivo .htaccess. Este arquivo contm
diretivas, palavras chaves que norteiam o acesso do httpd.
Uma vez autenticado, vem a autorizao. Existem dois tipos de autorizao: por diretrio e
por servidor. Por diretrio, significa restrio de acesso a um determinado diretrio dentro de
sua rvore do seu web space. Veja exemplo de um .htaccess:

AuthGroupFile /usr/local/httpd/etc/group
AuthUserFile /usr/local/httpd/etc/user
AuthName Empresa ABC

AuthType Basic

order allow,deny
allow from all
deny from .badguy.com.br
require

user antonio

require

group suporte

Autorizaes por servidor somente muda a localizao das diretivas, agora definidas no
servidor, que podem ser sobrepostas por outras por diretrio.
Digest Authentication
Diferentemente do que ocorre em Autenticao Bsica, em DA a senha no passa pela rede
as claras. A comunicao entre as partes envolvidas, neste esquema, contm um checksum,
por default MD5 (http://ds.internic.net/rfc/rfc1321.txt), o username, a senha, o mtodo HTTP,
e um autenticador nico (geralmente um nmero randmico longo), alm da URL requisitada.
O objetivo melhorar a segurana de senhas.
CGI Scripts
Quase todo servidor Web que se visita utiliza algum tipo de contedo ativo. Common
Gateway Interface (CGI), um tipo de metalinguagem ou middleware, que permite a
interoperabilidade requerida por este contedo. um mecanismo independente de plataforma
provido pelo servidores Web que permitem executar programas/scripts a partir de uma URL.
Estes scripts so geralmente escritos em Perl, Shell, Tcl, Java, Python ou C (maioria escritos
em linguagem interpretadas) e localizados normalmente em um diretrio /cgi-bin.
Aplicaes CGI escritas sem cuidados com segurana podem causar srios problemas a
vulnerabilidades de servidores Web.
Um CGI script sendo executado sob o mesmo UID do servidor Web no necessariamente
um fato ruim, mas se alguma aplicao CGI possui um furo de segurana que permite que um
atacante execute programas sob UID do servidor Web, isso pode acarretar um problema
bastante srio ao seu site.
Disponibilidade do Sistema Web
01.O que devo observar para otimizar uma aplicao Web?
Em termos de problemas de uma tpica arquitetura Web devemos observar a estatstica
mostrada onde ocorrem a maioria dos problemas. Com isto fica mais fcil atacar os possveis

problemas ou mais comuns que giram em torno de 90% da maioria dos problemas de
escalabilidade Web.
Possveis solues:
> verifique todas as transaes, as sncronas e assncronas, pois podem estar aumento o uso da
fila na CPU (queuing) e sobrecarregando a CPU
02. Problema: Alta Atividade (em uso/chamada) dos Sistemas no A.S., mas com baixo
indicador de "page-per-second" para paginas dinmicas
Indicador: Veja todos indicadores de uso da CPU disponveis
Possveis solues:
possvel programao/codificao ineficiente: muitos loops, chamadas a funes
desnecessrias, pginas dinmicas que poderiam ser estticas, etc.
03. Problema: Baixa atividade no A.S., grandes tempos de respostas, muitos timeouts
observados nas mquinas clientes.

Indicador: Veja todos indicadores de uso do Servidor (mquina) para o A.S.

Possveis solues:
Verifique configurao do A.S., pois pode existir muitas threads sendo usadas aos
mesmo tempo (excesso de paralelismo)
04.Problema: Grande tempo de resposta, mas com baixo uso do Banco de Dados (B.D.)
Indicador: Veja os CPU counters (indicadores de CPU) que monitoram a B.D.
Possveis solues:
Verifique configurao do A.S., no especifico de "pooling". Verifique se o A.S. est
configurado para um "timo pooling".
05. Problema: Picos repentinos e aleatrios de tempo de resposta (sobe radicalmente e
aleatoriamente o tempo de resposta e depois volta ao normal)
Indicador: Veja os CPU counters (indicadores de CPU) de uso da CPU e tempo de resposta
do lado cliente.
Possveis solues:
pode ser problema de garbage collector no A.S. ou processos intermitentes agendados

06.Problema: Altos nveis de IO de disco ou CPU no A.S.

Indicador: Veja os CPU counters de uso da CPU e de IO de disco.
Possveis solues:

 o log da aplicao grande ou realizado de forma inadequada na aplicao. Deve ser

configurado os nveis mnimos para produo de modo a processar as requisies dos
usurios.
07.Problema: Certas pginas carregam muito devagar mesmo sob condies minimas
(com concorrncia ou sobrecarga mnima)
Indicador: Veja os indicadores de uso da CPU e do B.D., analise a quantidade de dados
transferidos e processados no B.D.
Possveis solues:
> verifique todas as paginas das aplicaes, em termos de funes, algoritmos, etc e em todos
os objetos usados como .asp, .jsp ou qualquer outro. Muitos dados so obtidos e retidos em
Processamentos inadequados antes de serem disponibilizados.
08.Problema: Certas pginas carregam muito devagar mesmo sob condies
EXTREMAMENTE mnimas (sem concorrncia ou sobrecarga alguma)
Indicador: Veja os indicadores de uso da CPU durante a execuo de cada pgina,
provalmente haver picos de uso da CPU (ou outros indicadores enquanto voc observa)
Possveis solues:
Provavelmente objetos (ex: muitos "includes" inteis) que no precisam estar na
aplicao ou serem chamados por esta. Estes objetos gastam tempo desnecessrio e
acarretam picos de tempo de resposta ao serem chamados.
09.Problema: Baixa performance do A.S. durante os testes iniciais Indicador: O A.S.
no est funcionando de acordo conforme especificado pelo fabricante. Medido em geral
pelo indicador "paginas dinmicas por segundo".
Possveis solues:
reveja e siga as instrues do fabricante do A.S. para que este funcione de acordo o
desejado.
10.Problema: Baixa performance do A.S. durante os testes iniciais Indicador: O A.S.
no est funcionando de acordo conforme especificado pelo fabricante. Medido em geral
pelo indicador "paginas dinmicas por segundo".
Possveis solues:
reveja e siga as instrues do fabricante do A.S. para que este funcione de acordo o
desejado. Isto pode incluir como configuraes de software (ajustes de configurao)
ou hardware, e at quantidade ou tipo de hardware mnimo para funcionamento (ex:
quantidade mnima de memria)
Diagrama Execuo Sistema de Auto Escola

Soluo do Sistema da Auto Escola

Atualizao do Banco de Dados para uma nova verso

Interligao do sistema da auto escola com o sistema do detram

Ampliao da estrutura dea rede

Implementao de uma nova verso do sistema

Concluso
Aps o trmino desta atividade, o grupo melhorou muito o conhecimento individual com
relao ao sistema de uma empresa. Alm de conhecer novas tcnicas, metodologias que so
implantadas em cada empresa como ela atua para se manter no mercado de trabalho buscando
sempre inovao e tcnicas de aprimoramento empresarial. Pois se for observado, no dia-adia, no existem empresas organizadas sem um bom sistema para fazer o seu controle,
organizao e tarefas.

Bibliografia
A.D. Rubin, D. Geer, and M.J. Ranum, Web Security Sourcebook, John Wiley & Sons, New
York, 1997.
A.D. Rubin, D. Geer, A Survey of Web Security, Computer, September 1998, pp 34-41.
B. Laurie and P. Laurie, Apache: The Definite Guide, 2nd Edition, O'Reilly, 1999.
MOLINARI, Leonardo. Gerncia de Configurao - Tcnicas e Prticas no Desenvolvimento
do Software, Editora Visual Books, 2007, Florianpolis, 85-7502-210-5.

Gerncia de Projetos - Tcnicas e Prticas com nfase em Web, Editora rica, 2004, So
Paulo, 85-7194-0050.
BTO - Otimizao da Tecnologia de Negcio, Editora rica, 2003, So Paulo, 85-7194-9506.
Testes de Software - Produzindo Sistemas Melhores e Mais Confiveis, Editora rica, 2006,
3a Edio, So Paulo, 85-7194-959X.
STICKYMINDS. Endereo: http://www.stickyminds.com/.