Bruno R. N. Matheus. Engenharia de Software Prof. Paulo Masiero

Transcrição

1 Bruno R. N. Matheus Engenharia de Software Prof. Paulo Masiero

2

3 Objetivos Entender porque C&P podem ser mais importantes do que características funcionais. Entender as 4 principais dimensões da Confiança: Disponibilidade Confiabilidade Segurança Proteção Explicar a terminologia especializada do estudo de C&P Compreender que para confiança é necessário: evitar erros durante o desenvolvimento, detectar e eliminar erros em uso limitar os danos causados por falhas operacionais

4 Falhas provocam custos Computadores são omnipresentes Problemas causados por falhas vem piorando Exemplos: Falha em e-commerce Falha em controle embarcado de carros Malware em computadores em uma empresa Usuário precisa poder confiar no sistema

5 Confiança > Funcionalidade 1. Falhas do sistema afetam grande numero de pessoas 2. Usuários rejeitam sistemas não-confiáveis, inseguros ou desprotegidos 3. Custos de falhas do sistema podem ser enormes 4. Sistemas pouco confiáveis podem causar perdas de informação

6 Tipos de falhas 1. Falhas de Hardware 2. Falhas de Software 3. Falhas operacionais

7 Sistemas críticos Classe de sistema em que falhas podem causar: Danos a pessoas, Danos ao ambientes, Grandes perdas econômicas Exemplos: Bomba de insulina (crítico por segurança) Sistemas de navegação para ônibus espaciais (crítico por missão) Sistemas de transferência monetária online (crítico por negócio)

8

9 Confiança Todos usamos computadores e convivemos com falhas de sistema. Poucos confiam plenamente nos computadores que usamos Confiança é uma propriedade que reflete fiabilidade (o grau de confiança do usuário no sistema) Sem expressão numérica, exemplos: não confiável, muito confiável ultra confiável Fiabilidade Utilidade, ex: editor de texto

10 Dimensões da Confiança Confiança Disponibilidade Confiabilidade Segurança Proteção Habilidade do sistema de fornecer serviços quando requisitado Habilidade do sistema de fornecer os serviços especificados Habilidade do sistema de operar sem falhas catastróficas Habilidade do sistema de se proteger contra intrusão acidental ou deliberada Definição Informal

11 Outras dimensões da Confiança 1. Reparabilidade: Falhas são inevitáveis, mas a interrupção do sistema pode ser minimizada se o reparo for rápido. 2. Manutenibilidade: Novos requisistos podem surgir, o sistema pode manter sua utilidade se puder se adaptar. 3. Sobrevivencia: Capacidade do sitema de continuar funcionando apesar de ataques ou parte do sistema comprometida. 4. Tolerância a erro: Quando erros ocorrem o sistema deve ser capaz de lidar com eles (automaticamente ou requisitando nova entrada)

12 Garantias 1. Evitar introdução acidental de erros durante as fases de especificação e desenvolvimento. 2. Desenvolver verificações e validações que detectem erros residuais. 3. Desenvolver mecanismos de proteção que protejam o sistema contra ataques. 4. Configurar corretamente o sistema final e seus software de suporte para o ambiente operacional.

13 Código redundante Se torna necessário o uso de código redundante para: Monitorar o sistema Detectar estados errôneos Recuperar caso falhas ocorram Consequência: Perda de eficiência Decisão do desenvolvedor Eficiência Confiança

14 Custo Custos Softwares com baixa Confiança custa pouco para melhorarem Sistema de alta confiança são exponencialmente mais caros Custo aumenta exponencialmente Baixa Média Alta Confiança Muito Alta Ultra alta

15

16 Disponibilidade e Confiabilidade Disponibilidade e Confiabilidade são propriedades relacionadas que podem ser expressas numericamente.

17 Disponibilidade Probabilidade do sistema estar ativo e funcional para fornecer os serviços quando requisitado Ex. Se o sistema tem disponibilidade 0,999 significa que ele está disponível 99,9% das vezes que ele é requisitado.

18 Confiabilidade Probabilidade do sistema fornecer os serviço conforme definido na especificação do sistema Ex. Se o sistema, em média, tem erros em 2 a cada entradas a confiabilidade do sistema é 0,002

19 Relação Disponibilidade e Confiabilidade A importância da propriedade depende do sistema Se o usuário demanda uso continuo do sistema, então disponibilidade será alta Se os custos de uma falha são baixos, então a confiabilidade pode ser baixa. Sistemas telefônicos são um exemplo deste caso. Sistemas bancários online são um exemplo do oposto.

20 Definição Confiabilidade: A probabilidade de funcionamento sem falha durante um período de tempo, em um ambiente especifico para um propósito especifico. Disponibilidade: A probabilidade de um sistema em um dado momento estar operacional e capaz de fornecer os serviços requeridos.

21 Detalhes da definição Disponibilidade e confiabilidade são definidos para um ambiente especifico. Não considera severidade da falha! Frequentemente disponibilidade é mal julgada pelo usuário. O sistema conforma com os requisitos, mas não com as expectativas.

22 Fator tempo Disponibilidade leva em conta o tempo que se leva para resolver uma falha Sistema A Sistema B 1 falha por ano 3 dias (média) para concerto 1 falha por mês 10 minutos (média) para concerto minutos por ano indisponível 120 minutos por ano indisponível Melhor disponibilidade

23 Fator Momento Não só o tempo é importante para a disponibilidade como também o momentos em que erros ocorrem Um sistema que falha uma hora por dia entre 3 e 4 da manhã não afeta tantos usuários quanto um sistema que falha 10 minutos por dia durante horário comercial A definição de disponibilidade NÃO leva em conta o momento da falha.

24 Nomenclatura Termo Erro humano Erro de sistema (system fault) Defeito de sistema (system error) Falha de sistema (system failure) Descrição Comportamento humano que resulta na introdução de erros no sistema Característica de um sistema que pode levar a um defeito de sistema Um estado incorreto do sistema, ou seja, um estado do sistema que é inesperado por seus projetistas Um evento que ocorre em algum momento, quando o sistema não fornece serviço como é esperado por seus usuários Exemplo (sistema de avaliação climática remoto) Programador decide computar a hora da próxima transmissão como sendo (hora atual + 1). Adicionar 1 a hora atual sem verificar se hora atual > 23 Valor da hora de transmissão é entrado como 24.XX em vez de 00.XX A informação não é transmitida porque a hora está incorretamente informada

25 Estado de erro Entradas I e podem causar estados incorretos e falha do sistema Usuários podem nunca necessitar de entradas I e ou podem usa-las frequentemente Input Set Output Set Programa I e O e

26 Diagrama de usuários Usuários 1 e 3 não experimentam falhas Usuário 2 pode ter que lidar com falhas Usuário 1 Entradas Possíveis Entradas errôneas Confiabilidade pode ser vista diferentemente por diferentes usuários Usuário 3 Usuário 2

27 Remoção de falhas Falhas que só ocorrem em casos excepcionais tem pouca influencia prática na confiabilidade do sistema. Remover estas falhas gera custos e poucos benefícios Remover 60% dos erros conhecidos gera uma melhora de 3% na confiabilidade. (Mills, 1987) Alguns defeitos só afetam usuários após longos períodos de uso (centenas ou milhares de meses, no caso de Adams, 1984)

28 Defeitos e Falhas Defeitos não necessariamente provocam falhas nem falhas necessariamente provocam defeitos. Nem todo código de um programa é executado Defeitos são transientes O sistema pode conter detecção e proteção contra falhas. Usuários evitam entradas que experiência mostrou provocar falhas.

29 Melhorar Confiabilidade Evitar erros. Detecção e remoção de erros. Tolerância a erros Capitulo 13

30 11.3 Segurança Sistemas críticos com relação à segurança são aqueles em que a operação é sempre segura, isto é não devem causar danos às pessoas e ao ambiente, mesmo que ocorra uma falha. Exemplos: Sistemas de controle de aviões Sistemas de controle de automáveis Sistemas de controle de plantas químicas, etc.

31 Geralmente... É mais simples de implementar e analisar o controle de hardware do que o de software. Sistemas muito complexos muitas vezes não podem ser controlados só por hardware. Ex: aeronaves militares são aerodinamicamente instáveis e requerem ajuste contínuo controlado por software.

32 Tipos de Software Crítico com relação à segurança primária: é um software embarcado como um controlador em um sistema. Se o software não funcionar bem, causa problema ao hardware. Ex. bomba de insulina...segurança secundária: é um software que pode causar indiretamente um dano. Exemplo: um sistema de CAD/CAM.

33 Confiabilidade e segurança Há um relacionamento entre confiabilidade e segurança mas uma não implica na outra Razões para que um software confiável seja inseguro: Não é possível estar 100% seguro que um software esteja livre de defeitos, que podem ficar adormecidos por muito tempo. A especificação pode ser incompleta Problemas de hardware podem levar a comportamentos imprevisíveis Operadores do sistema podem gerar entradas erradas ou de tal forma combinadas que levam a erros.

34 Terminologia de Segurança

35 Garantia de segurança Garantir que não ocorram acidentes ou que as consequências sejam mínimas. Prevenção de perigos: evitar riscos. Ex. apertar dois botões para assegurar que as duas mãos estejam fora do alcance do perigo. Detecção e remoção de perigos. Ex. válvula para aliviar pressão. Limitação de danos: motor de avião, que possuem extintores de incêndio automáticos.

36 Garantia de segurança (cont.) Análises de acidentes mostram que os acidentes ocorrem geralmente quando há várias falhas ao mesmo tempo. Combinações inesperadas de falhas podem levar a falhas globais. Há argumentos prós e contras o uso de software para controle. É preciso fazer uma análise de senso de proporção sobre a segurança do sistema, já que sistemas 100% seguros são impossíveis.

37 Garantia da segurança (cont.) Análises de acidentes mostram que os acidentes ocorrem geralmente quando há várias falhas ao mesmo tempo. Combinações inesperadas de falhas podem levar a falhas globais. Há argumentos prós e contras o uso de software para controle. É preciso fazer uma análise de senso de proporção sobre a segurança do sistema, já que sistemas 100% seguros são impossíveis.

38 Proteção É um atributo do sistema que reflete sua capacidade de se proteger de ataques externos (acidentais ou deliberados) O uso em rede facilita o acesso de estranhos. Exemplos: vírus, cavalos de tróia, acesso não autorizado,... Para alguns sistemas, a proteção é a dimensão mais importante da confiança. Ex. sistemas militares, de comércio eletrônico, de reserva de passagens aéreas.

39 Terminologia de proteção

40 Exemplos de terminologia de Proteção

41 Principais ameaças à proteção de sistemas em rede: Confidencialidade do sistema e seus dados Integridade do sistema e seus dados Disponibilidade do sistema e seus dados As três são naturalmente interdependentes

42 Vulnerabilidades em sistemas de Informação Falhas humanas: senhas fáceis de descobrir ou senhas anotadas em lugares que são facilmente descobertos Administradores cometem erros de configuração de controle de acesso Usuários não instalam software de proteção Muitas vezes, erros que parecem dos usuários são facilitados por decisões de projeto. Exemplo: exigência de alterações constantes de senhas, que levam à anotação das senhas em papel.

43 Controles para melhorar a proteção Prevenção de vulnerabilidade: para evitar que os ataques sejam bem sucedidos Sistema não está ligado a uma rede pública Criptografia Detecção e neutralização de ataques: funcionalidades para monitorar a operação do sistema e descobrir padrões incomuns de uso e tomar medidas como desligar o sistema, restringir o acesso etc. Limitação de exposição e recuperação. Ex. backups automatizado e espelhamento

44 Comentários finais Métodos para certificação de disponibilidade, confiabilidade e segurança de sistemas assumem que o software operacional é o mesmo instalado originalmente. Se o sistema foi atacado e modificado, esses princípios não são mais válidos Exemplo: controle de limites de vetores.