Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Hackeando apps atraves de interceptação de tráfego

870 views

Published on

Palestra apresentada na CryptoRave em 2017.

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Hackeando apps atraves de interceptação de tráfego

  1. 1. Hackeando Apps através de interceptação de tráfego Palestrante: Tobias Sette CryptoRave 2017CryptoRave 2017
  2. 2. CryptoRave 2017CryptoRave 2017 Objetivo Sensibilizar desenvolvedores e usuários interessados sobre a segurança entre a comunicação de aplicações clientes com aplicações servidoras.
  3. 3. CryptoRave 2017CryptoRave 2017 A segurança do HTTPS Na teoria, deveria ser seguro conectar em uma rede Wi-Fi pública e acessar um site com https, como o de um banco. Mas a maioria das pessoas não sabe que na prática não é assim e desconhece os problemas que o HTTPS pode conter. Netcraft: em 2016 95% (19 a cada 20) dos servidores HTTPS estão vulneráveis a ataques triviais. Fonte: https://news.netcraft.com/archives/2016/03/17/95-of-https-servers-vulnerable-to- trivial-mitm-attacks.html
  4. 4. CryptoRave 2017CryptoRave 2017 HTTPS e sslstrip Moxie Marlinspike apresentou em 2009, durante a Black Hat DC, sua ferramenta capaz de “debulhar” o HTTPS, chamada sslstrip. Utilizando arpspoof, ela enganha a vítima fazendo-a a acreditar que o host atacante é o roteador da rede. Vigia links e altera o protocolo de HTTPS para HTTP.
  5. 5. CryptoRave 2017CryptoRave 2017 MITM (Man-in-the-middle)
  6. 6. CryptoRave 2017CryptoRave 2017 A era dos Apps e a necessidade do tráfego de informações – No final de 2014 o Brasil já era o 6º mercado mundial de smartphones, superado apenas por China, EUA, Índia, Japão e Rússia; – No segundo trimestre de 2015 o número de brasileiros que usam o smartphone para acessar a Internet ultrapassou a marca de 72 milhões, representando um aumento de 23,5% em relação ao semestre anterior; – O número de internautas brasileiros que realizam pagamentos através de seu smartphone dobrou em um ano, passando de 21% no final de 2014 para 46% em 2015 (dados de dezembro de 2015); Fonte: http://exame.abril.com.br/negocios/dino/estatisticas-de-uso-de-celular-no-brasil-dino89091436131/
  7. 7. CryptoRave 2017CryptoRave 2017 O OWASP (Open Web Application Security Project), ou Projeto Aberto de Segurança em Aplicações Web, é uma comunidade online que cria e disponibiliza de forma gratuita, artigos, metodologias, documentação, ferramentas e tecnologias no campo da segurança de aplicações web. Promovem a abordagem da segurança em aplicações como um problema de pessoas, processos e tecnologia, porque as abordagens mais eficazes em segurança de aplicações requerem melhorias nestas áreas. Fonte: https://pt.wikipedia.org/wiki/OWASP
  8. 8. CryptoRave 2017CryptoRave 2017 OWASP ZAP O OWASP Zed Attack Proxy (ZAP) é uma das ferramentas de segurança livres mais populares do mundo e é ativamente mantido por centenas de voluntários internacionais. Ele pode ajudá-lo automaticamente a encontrar vulnerabilidades de segurança em suas aplicações web enquanto você as está desenvolvendo e testando. Ele também é uma ótima ferramenta para pentesters experientes utilizarem em testes se segurança manuais.
  9. 9. CryptoRave 2017CryptoRave 2017 Fluxo de requisições no ZAP Método de interceptação: fazer com que o cliente confie na unidade certificadora do ZAP.
  10. 10. CryptoRave 2017CryptoRave 2017 Instalação e configuração do ZAP * Instruções em: http://tobias.ws/blog/interceptando-conexoes-com-owasp-zed -attack-proxy/
  11. 11. CryptoRave 2017CryptoRave 2017 A interface do ZAP
  12. 12. CryptoRave 2017CryptoRave 2017 A interface do ZAP
  13. 13. CryptoRave 2017CryptoRave 2017 A interface do ZAP
  14. 14. CryptoRave 2017CryptoRave 2017 A interface do ZAP
  15. 15. CryptoRave 2017CryptoRave 2017 Exemplos t Fonte: http://www.fidelis.work/como-eu-usei-o-cartao-de-credito-do-ceo-do-trampos-co-para-pagar-minha-assinatura-premium/
  16. 16. CryptoRave 2017CryptoRave 2017 Exemplos
  17. 17. CryptoRave 2017CryptoRave 2017 Exemplos
  18. 18. CryptoRave 2017CryptoRave 2017 Exemplos
  19. 19. CryptoRave 2017CryptoRave 2017 Como prevenir? Em segurança da informação não há balas de prata. Por isso é necessário que boas práticas estejas implementadas em várias camadas. Exemplos: * HSTS (exemplo) * Utilizar apenas algorítimos modernos, vide drownattack e sslsecurevim. * Criptografar os dados do tráfego * Ter em mente que a conexão pode ser interceptada e utilizar outras camadas de segurança na aplicação (e.g. ACLs)
  20. 20. Dúvidas? Contato: contato@tobias.ws https://github.com/gnumoksha/ https://twitter.com/gnumoksha CryptoRave 2017CryptoRave 2017

×