BRAPPS: Segurança no iPhone/iOS - Pedro Franceschi [Pagar.me]

download BRAPPS: Segurança no iPhone/iOS - Pedro Franceschi [Pagar.me]

of 51

  • date post

    09-May-2015
  • Category

    Mobile

  • view

    597
  • download

    1

Embed Size (px)

description

Speed Talk - Segurança no iPhone/iOS - Pedro Franceschi [Pagar.me]

Transcript of BRAPPS: Segurança no iPhone/iOS - Pedro Franceschi [Pagar.me]

  • 1.PEDROFRANCESCHI @pedroh96 pedro@pagar.me www.pagar.me Segurana no iOS O que aprendemos em 7 anos de iPhone?

2. Background 3. Siri em Portugus 4. Quasar 5. Montar um meio de pagamentos amigvel para desenvolvedores e empreendedores 6. O comeo do iPhone 7. Primrdios do iPhone (2007) Sem AppStore e muitas funcionalidades essenciais Sem suporte a usurios corporativos Segurana = piada Surgimento do Jailbreak Incio dabriga de gato e ratoentre Apple vs Hackers 8. JailbreakMe.com 9. O Jailbreak se populariza (2007-2011) Geohot lana o primeiro desbloqueio do iPhone (2007) Surge o JailbreakMe.com, site que facilita e populariza o Jailbreak Nasce o iPhone Dev Team, que desbloqueia inmeras verses do iPhone entre 2009 e 2010 comex relana o JailbreakMe em 2010, Jailbreak vira mainstream e ganha a mdia 10. Apple contra-ataca (2011-hoje) Apple implementa features relevantes do Jailbreak e melhora a segurana do iOS brutalmente Jailbreak torna-se cada vez mais difcil de ser realizado No h mais motivos para usurios normais usarem-o. Jailbreak entra em decadncia Hoje: o iOS o sistema operacional mobile mais seguro do mundo (obrigado, jailbreak!) 11. O que aprendemos nesse processo? 12. 1) Hardware e sistema operacional seguro Todos os apps rodam isoladamente em sandbox Manipulao de memria coisa do passado (kernel ASLR) Frameworks de segurana/conexo slidos Hardware com suporte a operaes criptogrcas fortes (encriptao de alto nvel) Armazenamento seguro no aparelho (hardware keychain) e na nuvem (iCloud) Autenticao forte: senha e Touch ID (biometria) 13. 2) Privacidade pode ser uma iluso 14. 3.1) Apenas o padro/bvio no seguro suciente no mobile 15. Voc Banco SSL normal (comunicao segura com o banco) Voc BancoBad guy SSL interceptado (voc sabe que h algum se passando pelo banco) Voc BancoBad guy gotofail; (h algum se passando pelo banco, mas voc no sabe disso) 16. 3.2) Apenas o padro/bvio no seguro suciente no servidor 17. "Catastrophic" is the right word. On the scale of 1 to 10, this is an 11. ! - Bruce Schneier 18. fonte: http://www.digitaltrends.com/mobile/heartbleed-bug-apps-affected-list/#!FUYZT 19. SSL + criptograa prpria para dados de carto = dados protegidos contra Heartbleed/gotofail :D 20. Mobile Loja Meio depagamento 2) envio dos dados de carto encriptados! apenas com HTTPS/SSL para a loja,! que precisar manipul-los. 2) a loja l os dados do carto e os! repassa para o meio de pagamentos! usando apenas HTTPS/SSL Fluxo de pagamentos normal 21. Mobile Loja Pagar.me 1) obteno de chave RSA pblica (cadeado aberto) 2) envio dos dados de carto encriptados! com a chave pblica do Pagar.me! (cadeado fechado) 3) repasse dos dados de carto! encriptados para o Pagar.me, que! tem a chave privada (abrir o cadeado) 22. 4) Poucos se importam com segurana (at terem um problema de segurana) MVP Prazos Meta Clientes Produto Faturamento Segurana? Time 23. 5) Todos estamos vulnerveis. (alguns menos, outros muito mais) 24. Como ser o mais seguro possvel ento? Seguir rigidamente o guia de desenvolvimento seguro da Apple (http://bit.ly/PBTluj) Ateno mxima a comunidade Manter SEMPRE verses de softwares de segurana atualizadas (OpenSSL) No se contentar com o padro/bvio (ex: conar na existncia de senhas ou apenas em SSL) Bom senso (reduzir superfcie de ataque) 25. Overall 26. Toda falha de segurana um erro humano (duh) 27. Planejar Resistir Detectar Responder 28. Obrigado! :) PEDROFRANCESCHI @pedroh96 pedro@pagar.me www.pagar.me 29. Segurana no iOS O que aprendemos em 7 anos de iPhone? PEDROFRANCESCHI @pedroh96 pedro@pagar.me www.pagar.me