Seg App Dev Seg

•

0 likes•366 views

Talk feito no CocoaHeads RJ edição Novembro/2015 sobre Segurança no desenvolvimento de aplicativos iOS, considerando Persistência, Comunicação e Segurança do Código.

Technology

Segurança no
Desenvolvimento de App`s
Pedro Salomão
@ppgsalomao
ppgsalomao@gmail.com / pedro@onyo.com

Segurança
• O que o tema segurança aborda?
• Passwords x Finger Print
• Três grandes preocupações
• Persistência
• Comunicação
• Código

Criptograﬁa
• Criptograﬁa Simétrica
• Criptograﬁa Assimétrica
• Geração de Chaves
• MD5 / SHA é criptograﬁa?
• TradeOff
• Processamento

Decompilando
• É possível?
https://reverse.put.as/wp-content/uploads/2011/06/
GreHack-2012-paper-Mathieu_Renard_-
_Practical_iOS_Apps_hacking.pdf
• Ferramentas de Auto-Unpackers

E como proteger
• Ofuscação
• Criptograﬁa de Strings
• Indireção
• Ferramentas:
• Arxan EnsureIT, Morpher, etc

Solução deﬁnitiva
Arquitetura e
Desenho da Solução

Persistência - Chaves
• Apple KeyChain
https://developer.apple.com/library/ios/samplecode/
GenericKeychain/Introduction/Intro.html#//apple_ref/
doc/uid/DTS40007797

Persistência - Dados
• Escolha da criptograﬁa
• Geração da chave
• Chaves Dinâmicas x Chaves Estáticas
• Chaves Estáticas
• Chaves Dinâmicas
• Master Key + KSN

Protocolos
• HTTP x HTTPS
• Man in the Middle
• Certiﬁcados SSL cadastrados
• Criptograﬁa de dados transmitidos
• Criptograﬁa Assimétrica -> RSA

Links Úteis
• https://developer.apple.com/library/ios/
documentation/Security/Conceptual/
SecureCodingGuide/Introduction.html
• http://www.slideshare.net/mbazaliy/ios-protection-
mechanisms

Dúvidas?
Pedro Salomão
@ppgsalomao
ppgsalomao@gmail.com / pedro@onyo.com

Obrigado!
Pedro Salomão
@ppgsalomao
ppgsalomao@gmail.com / pedro@onyo.com
Estamos contratando!

Viewers also liked

Comparing DOM XSS Tools On Real World BugStefano Di Paola

Mobile application security – effective methodology, efficient testing! hem...owaspindia

Mobile Banking Security: Challenges, SolutionsCognizant

Advanced JS DeobfuscationMinded Security

Security Testing Mobile ApplicationsDenim Group

Reverse Engineering iOS appsMax Bazaliy

The old is new, again. CVE-2011-2461 is back!Luca Carettoni

I Want More Ninja – iOS Security TestingJason Haddix

Cybersecurity - Mobile Application SecurityEryk Budi Pratama

The curious case of mobile app security.pptxAnkit Giri

AppSec EU 2016: Automated Mobile Application Security Assessment with MobSFAjin Abraham

Mobile Application Security Testing, Testing for Mobility App | www.idexcel.comIdexcel Technologies

Pentesting iOS Applicationsjasonhaddix

Mobile Application Securitycclark_isec

G4H Webcast: Automated Security Analysis of Mobile Applications with Mobile S...Ajin Abraham

Automated Security Analysis of Android & iOS Applications with Mobile Securit...Ajin Abraham

Nullcon Goa 2016 - Automated Mobile Application Security Testing with Mobile ...Ajin Abraham

Owasp Mobile Risk Series : M3 : Insufficient Transport Layer ProtectionAnant Shrivastava

Injecting Security into vulnerable web apps at RuntimeAjin Abraham

Viewers also liked (19)

Comparing DOM XSS Tools On Real World Bug

Mobile application security – effective methodology, efficient testing! hem...

Mobile Banking Security: Challenges, Solutions

Advanced JS Deobfuscation

Security Testing Mobile Applications

Reverse Engineering iOS apps

The old is new, again. CVE-2011-2461 is back!

I Want More Ninja – iOS Security Testing

Cybersecurity - Mobile Application Security

The curious case of mobile app security.pptx

AppSec EU 2016: Automated Mobile Application Security Assessment with MobSF

Mobile Application Security Testing, Testing for Mobility App | www.idexcel.com

Pentesting iOS Applications

Mobile Application Security

G4H Webcast: Automated Security Analysis of Mobile Applications with Mobile S...

Automated Security Analysis of Android & iOS Applications with Mobile Securit...

Nullcon Goa 2016 - Automated Mobile Application Security Testing with Mobile ...

Owasp Mobile Risk Series : M3 : Insufficient Transport Layer Protection

Injecting Security into vulnerable web apps at Runtime

Similar to Seg App Dev Seg

Introducao a criptografiagillojau

Webcast Luiz Vieira criptografia on-the-fly com software livreLuiz Vieira .´. CISSP, OSCE, GXPN, CEH

Internet of Things, IoT inovação e SegurançaLeandro Bennaton

Apresentação tema 9 Segurança das Informações e Continuidade dos negóciosSanger Dias

Tendências na segurança da informaçãoFabio Leandro

Guia criptografia-corporativoDereco Tecnologia

Personal Security GoldentechManoel Felipe Ramos

SEGURANÇA DE REDES.pptAgostinho9

T aula4-introducao-criptografiaHélio Martins

Como invadir uma exchange - Um relatório geral de segurança de corretoras de ...LeandroTrindade19

Aula 1 semanaJorge Ávila Miranda

Segurança em aplicativos móveis de comunicação - Cnasi 2016Tiago Tavares

Boas Práticas em Segurança da InformaçãoRodrigo Bueno Santa Maria, BS, MBA

Ethical HackingData Security

Open Source - A maior arma contra a vigilânciaEuler Neto

Palestra: Tendências e Desafios da Segurança na InternetAndre Henrique

Trabalho ticAlef Lopes

Singularity University 2020 Cybersecurity e trabalho remotoCLEBER VISCONTI

Tecnologias Atuais de Redes - Aula 1 - Criptografia [Apostila]Ministério Público da Paraíba

Segurança de SoftwareAlexandre Siqueira

Similar to Seg App Dev Seg (20)

Introducao a criptografia

Webcast Luiz Vieira criptografia on-the-fly com software livre

Internet of Things, IoT inovação e Segurança

Apresentação tema 9 Segurança das Informações e Continuidade dos negócios

Tendências na segurança da informação

Guia criptografia-corporativo

Personal Security Goldentech

SEGURANÇA DE REDES.ppt

T aula4-introducao-criptografia

Como invadir uma exchange - Um relatório geral de segurança de corretoras de ...

Aula 1 semana

Segurança em aplicativos móveis de comunicação - Cnasi 2016

Boas Práticas em Segurança da Informação

Ethical Hacking

Open Source - A maior arma contra a vigilância

Palestra: Tendências e Desafios da Segurança na Internet

Trabalho tic

Singularity University 2020 Cybersecurity e trabalho remoto

Tecnologias Atuais de Redes - Aula 1 - Criptografia [Apostila]

Segurança de Software

Seg App Dev Seg

1. Segurança no Desenvolvimento de App`s Pedro Salomão @ppgsalomao ppgsalomao@gmail.com / pedro@onyo.com

2. #whoami

3. Segurança • O que o tema segurança aborda? • Passwords x Finger Print • Três grandes preocupações • Persistência • Comunicação • Código

4. Conceitos Básicos Criptograﬁa

5. Criptografia • Criptografia Simétrica • Criptografia Assimétrica • Geração de Chaves • MD5 / SHA é criptografia? • TradeOff • Processamento

6. Proteção de Código

7. Como funciona a proteção?

8. Conheça seu Inimigo

9. Decompilando

10. Decompilando • É possível? https://reverse.put.as/wp-content/uploads/2011/06/ GreHack-2012-paper-Mathieu_Renard_- _Practical_iOS_Apps_hacking.pdf • Ferramentas de Auto-Unpackers

11. E como proteger • Ofuscação • Criptograﬁa de Strings • Indireção • Ferramentas: • Arxan EnsureIT, Morpher, etc

12. Solução deﬁnitiva Arquitetura e Desenho da Solução

13. Persistência

14. Quando se preocupar?

15. Guardando chaves

16. Persistência - Chaves • Apple KeyChain https://developer.apple.com/library/ios/samplecode/ GenericKeychain/Introduction/Intro.html#//apple_ref/ doc/uid/DTS40007797

17. Guardando dados sensíveis

18. Persistência - Dados • Escolha da criptograﬁa • Geração da chave • Chaves Dinâmicas x Chaves Estáticas • Chaves Estáticas • Chaves Dinâmicas • Master Key + KSN

19. Comunicação

20. Quando se preocupar?

21. Protocolos

22. Protocolos • HTTP x HTTPS • Man in the Middle • Certificados SSL cadastrados • Criptografia de dados transmitidos • Criptografia Assimétrica -> RSA

23. Links Úteis • https://developer.apple.com/library/ios/ documentation/Security/Conceptual/ SecureCodingGuide/Introduction.html • http://www.slideshare.net/mbazaliy/ios-protection- mechanisms

24. Dúvidas? Pedro Salomão @ppgsalomao ppgsalomao@gmail.com / pedro@onyo.com

25. Obrigado! Pedro Salomão @ppgsalomao ppgsalomao@gmail.com / pedro@onyo.com Estamos contratando!

Seg App Dev Seg

Recommended

Recommended

More Related Content

Viewers also liked

Viewers also liked (19)

Similar to Seg App Dev Seg

Similar to Seg App Dev Seg (20)

Seg App Dev Seg