• Like
  • Save
HTTPS, SSL/TLS - Porque você deve usá-los sempre
Upcoming SlideShare
Loading in...5
×
 

HTTPS, SSL/TLS - Porque você deve usá-los sempre

on

  • 425 views

Exemplos reais de ataque Indispensávels estratégias de defesa

Exemplos reais de ataque Indispensávels estratégias de defesa

Statistics

Views

Total Views
425
Views on SlideShare
406
Embed Views
19

Actions

Likes
4
Downloads
4
Comments
0

1 Embed 19

https://twitter.com 19

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment
  • TLS v1.0 is marginally more secure than SSL v3.0, its predecessor. However, subsequent versions of TLS — v1.1 and v1.2 are significantly more secure and fix many vulnerabilities present in SSL v3.0 and TLS v1.0. Se você configurar um programa de email que você vai ver muitas vezes opções separadas para "sem criptografia", "SSL", ou "TLS" criptografia de vocês transmissão. Isso nos leva a supor que TLS e SSL são coisas diferentes.
  • TLS v1.0 is marginally more secure than SSL v3.0, its predecessor. However, subsequent versions of TLS — v1.1 and v1.2 are significantly more secure and fix many vulnerabilities present in SSL v3.0 and TLS v1.0. Se você configurar um programa de email que você vai ver muitas vezes opções separadas para "sem criptografia", "SSL", ou "TLS" criptografia de vocês transmissão. Isso nos leva a supor que TLS e SSL são coisas diferentes.

HTTPS, SSL/TLS - Porque você deve usá-los sempre HTTPS, SSL/TLS - Porque você deve usá-los sempre Presentation Transcript

  • Exemplos reais de ataque Indispensávels estratégias de defesa PizzaTech
  •  Submerso na área de infosec desde 1999  Pivotei profissionalmente de vez em 2003  Trabalhando com consultoria e pentesting desde então  Co-fundei a Pontosec (primeira turma do SEED)  Twitter: @viniciuskmax  Email: vinicius at pontosec.com
  •  Man in the Middle via manipulação da tabelaARP  Sensacionais ferramentas point-and-click:  Windows: Cain & Abel - clássica (2001), extremamente funcional, estável, bastante atualizada.  Intercepter-NG - (2006), mais recursos que o Cain, estável, bastante atualizada.  Linux / Mac: ettercap-NG (2001) - também clássica, ressuscitada em 2011 e atualizada diariamente.  Android: DroidSheep, Dsploit, entre outras.
  •  Sequestro de sessão via roubo de cookies  Antes dos browser add-ons/extensions (~2004): complicado  2004  Injeção no FF via add-ons (Add N Edit Cookies)  2009  hamster & ferret – ficou underground, restrito a infosec pros  2010  Firesheep - FF add-on finalmente popularizou o ataque  2012  CookieCadger - fantástica app java, recomendada 
  • DEMO
  •  Modificação das páginas HTTP das vítimas em tempo real  Todo um delicioso universo cheio de cores e sabores:  Substituição de imagens (diversão garantida )  Injeção de javascript malicioso  Substituição de executáveis downloadeados (game over p/ usuário)  Etc… a imaginação é o limite :P  Ferramentas:  AirPwn, Intercepter-NG, LANS.py, ettercap-NG
  •  Usuários:  HTTPS Everywhere – força HTTPS em sites que já o suportam.  VPN – tunnelaTODA a conexão, ideal pra admin tasks em ambientes públicos/inseguros.  Não usar IE - único browser que ainda não suporta HSTS (HTTP StrictTransport Security)  Monitoramento de mudança do gateway por pequenos aplicativos.  Proteger logins POP3/IMAP/SMTP adotandoTLS ou SSL neles.  Abandonar de vez o FTP “puro” e usar FTP-SSL (Explicit AUTHTLS) ou SFTP (SSH FileTransfer Protocol)
  •  Admins de rede pública ou doméstica:  Ativar recursoAP isolation (comum em roteadoresWiFi)  Admins de rede corporativa:  Setar manualmente a tabela ARP (port-security em switchs Cisco; HP and Juniper tem proteções similares)  Proteger logins POP3/IMAP/SMTP adotandoTLS/SSL.  Admins de sites:  Colocar HTTPS não apenas nos logins, mas onde for possível (aka ALLTHETHINGS)
  • PizzaTech