3. CryptoRave 2017CryptoRave 2017
A segurança do HTTPS
Na teoria, deveria ser seguro conectar em uma rede Wi-Fi
pública e acessar um site com https, como o de um banco.
Mas a maioria das pessoas não sabe que na prática não é
assim e desconhece os problemas que o HTTPS pode
conter.
Netcraft: em 2016 95% (19 a cada 20) dos servidores
HTTPS estão vulneráveis a ataques triviais.
Fonte: https://news.netcraft.com/archives/2016/03/17/95-of-https-servers-vulnerable-to-
trivial-mitm-attacks.html
4. CryptoRave 2017CryptoRave 2017
HTTPS e sslstrip
Moxie Marlinspike apresentou em 2009, durante a Black Hat
DC, sua ferramenta capaz de “debulhar” o HTTPS,
chamada sslstrip.
Utilizando arpspoof, ela enganha a vítima fazendo-a a
acreditar que o host atacante é o roteador da rede.
Vigia links e altera o protocolo de HTTPS para HTTP.
6. CryptoRave 2017CryptoRave 2017
A era dos Apps e a necessidade do
tráfego de informações
– No final de 2014 o Brasil já era o 6º mercado mundial de
smartphones, superado apenas por China, EUA, Índia,
Japão e Rússia;
– No segundo trimestre de 2015 o número de brasileiros
que usam o smartphone para acessar a Internet ultrapassou
a marca de 72 milhões, representando um aumento de
23,5% em relação ao semestre anterior;
– O número de internautas brasileiros que realizam
pagamentos através de seu smartphone dobrou em um
ano, passando de 21% no final de 2014 para 46% em 2015
(dados de dezembro de 2015);
Fonte: http://exame.abril.com.br/negocios/dino/estatisticas-de-uso-de-celular-no-brasil-dino89091436131/
7. CryptoRave 2017CryptoRave 2017
O OWASP (Open Web Application Security Project), ou
Projeto Aberto de Segurança em Aplicações Web, é uma
comunidade online que cria e disponibiliza de forma
gratuita, artigos, metodologias, documentação, ferramentas
e tecnologias no campo da segurança de aplicações web.
Promovem a abordagem da segurança em aplicações como
um problema de pessoas, processos e tecnologia, porque
as abordagens mais eficazes em segurança de aplicações
requerem melhorias nestas áreas.
Fonte: https://pt.wikipedia.org/wiki/OWASP
8. CryptoRave 2017CryptoRave 2017
OWASP ZAP
O OWASP Zed Attack Proxy (ZAP) é uma das ferramentas
de segurança livres mais populares do mundo e é
ativamente mantido por centenas de voluntários
internacionais. Ele pode ajudá-lo automaticamente a
encontrar vulnerabilidades de segurança em suas
aplicações web enquanto você as está desenvolvendo e
testando. Ele também é uma ótima ferramenta para
pentesters experientes utilizarem em testes se segurança
manuais.
9. CryptoRave 2017CryptoRave 2017
Fluxo de requisições no ZAP
Método de interceptação: fazer com que o cliente confie
na unidade certificadora do ZAP.
19. CryptoRave 2017CryptoRave 2017
Como prevenir?
Em segurança da informação não há balas de prata. Por
isso é necessário que boas práticas estejas implementadas
em várias camadas. Exemplos:
* HSTS (exemplo)
* Utilizar apenas algorítimos modernos, vide drownattack e
sslsecurevim.
* Criptografar os dados do tráfego
* Ter em mente que a conexão pode ser interceptada e
utilizar outras camadas de segurança na aplicação (e.g.
ACLs)