PEDROFRANCESCHI @pedroh96
[email protected] www.pagar.me
Segurança no iOSO que aprendemos em 7 anos de iPhone?
Background…
Siri em Português
Quasar
“Montar um meio de pagamentos amigável para desenvolvedores e
empreendedores”
O começo do iPhone…
Primórdios do iPhone (2007)
• Sem AppStore e muitas funcionalidades essenciais
• Sem suporte a usuários corporativos
• Segurança = piada
• Surgimento do Jailbreak
• Início da “briga de gato e rato” entre Apple vs Hackers
JailbreakMe.com
O Jailbreak se populariza (2007-2011)
• Geohot lança o primeiro desbloqueio do iPhone (2007)
• Surge o JailbreakMe.com, site que facilita e populariza o Jailbreak
• Nasce o iPhone Dev Team, que desbloqueia inúmeras versões do iPhone entre 2009 e 2010
• comex relança o JailbreakMe em 2010, Jailbreak vira mainstream e ganha a mídia
Apple contra-ataca (2011-hoje)
• Apple implementa features relevantes do Jailbreak e melhora a segurança do iOS brutalmente
• Jailbreak torna-se cada vez mais difícil de ser realizado
• Não há mais motivos para usuários normais usarem-o. Jailbreak entra em decadência
• Hoje: o iOS é o sistema operacional mobile mais seguro do mundo (obrigado, jailbreak!)
O que aprendemos nesse processo?
1) Hardware e sistema operacional seguro
• Todos os apps rodam isoladamente em sandbox
• Manipulação de memória é coisa do passado (kernel ASLR)
• Frameworks de segurança/conexão sólidos
• Hardware com suporte a operações criptográficas fortes (encriptação de alto nível)
• Armazenamento seguro no aparelho (hardware keychain) e na nuvem (iCloud)
• Autenticação forte: senha e Touch ID (biometria)
2) Privacidade pode ser uma ilusão
3.1) Apenas o padrão/óbvio não é seguro suficiente no mobile…
Você Banco
SSL normal (comunicação segura com o banco)
Você BancoBad guy
SSL interceptado (você sabe que há alguém se passando pelo banco)
Você BancoBad guy
gotofail; (há alguém se passando pelo banco, mas você não sabe disso)
3.2) Apenas o padrão/óbvio não é seguro suficiente no servidor…
"Catastrophic" is the right word. On the scale of 1 to 10, this is an 11. !
- Bruce Schneier
fonte: http://www.digitaltrends.com/mobile/heartbleed-bug-apps-affected-list/#!FUYZT
SSL +
criptografia própria para dados de cartão
= dados protegidos contra
Heartbleed/gotofail :D
Mobile
Loja
Meio de pagamento
2) envio dos dados de cartão encriptados!
apenas com HTTPS/SSL para a loja,!
que precisará manipulá-los.
2) a loja lê os dados do cartão e os!
repassa para o meio de pagamentos!
usando apenas HTTPS/SSL
Fluxo de pagamentos normal
Mobile
Loja
Pagar.me1) obtenção de chave RSA pública (cadeado aberto)
2) envio dos dados de cartão encriptados!
com a chave pública do Pagar.me!
(cadeado fechado)
3) repasse dos dados de cartão!
encriptados para o Pagar.me, que!
tem a chave privada (abrir o cadeado)
4) Poucos se importam com segurança (até terem um problema de segurança)
MVP
Prazos
Meta
Clientes
Produto
Faturamento
Segurança?
Time
5) Todos estamos vulneráveis.(alguns menos, outros muito mais)
Como ser o mais seguro possível então?
• Seguir rigidamente o guia de desenvolvimento seguro da Apple (http://bit.ly/PBTluj)
• Atenção máxima a comunidade
• Manter SEMPRE versões de softwares de segurança atualizadas (OpenSSL)
• Não se contentar com o padrão/óbvio (ex: confiar na existência de senhas ou apenas em SSL)
• Bom senso (reduzir superfície de ataque)
Overall…
Toda falha de segurança é um erro humano (duh)
Planejar
Resistir
Detectar
Responder
Segurança no iOSO que aprendemos em 7 anos de iPhone?
PEDROFRANCESCHI @pedroh96
[email protected] www.pagar.me
Top Related