SlideShare a Scribd company logo

Hack Apps HTTPS Intercept

Tobias Sette
Tobias Sette

Palestra apresentada na CryptoRave em 2017.

Technology
1 of 20
Download to read offline
Hackeando Apps através de interceptação de tráfego Palestrante: Tobias Sette CryptoRave 2017CryptoRave 2017
CryptoRave 2017CryptoRave 2017 Objetivo Sensibilizar desenvolvedores e usuários interessados sobre a segurança entre a comunicação de aplicações clientes com aplicações servidoras.
CryptoRave 2017CryptoRave 2017 A segurança do HTTPS Na teoria, deveria ser seguro conectar em uma rede Wi-Fi pública e acessar um site com https, como o de um banco. Mas a maioria das pessoas não sabe que na prática não é assim e desconhece os problemas que o HTTPS pode conter. Netcraft: em 2016 95% (19 a cada 20) dos servidores HTTPS estão vulneráveis a ataques triviais. Fonte: https://news.netcraft.com/archives/2016/03/17/95-of-https-servers-vulnerable-to- trivial-mitm-attacks.html
CryptoRave 2017CryptoRave 2017 HTTPS e sslstrip Moxie Marlinspike apresentou em 2009, durante a Black Hat DC, sua ferramenta capaz de “debulhar” o HTTPS, chamada sslstrip. Utilizando arpspoof, ela enganha a vítima fazendo-a a acreditar que o host atacante é o roteador da rede. Vigia links e altera o protocolo de HTTPS para HTTP.
CryptoRave 2017CryptoRave 2017 MITM (Man-in-the-middle)
CryptoRave 2017CryptoRave 2017 A era dos Apps e a necessidade do tráfego de informações – No final de 2014 o Brasil já era o 6º mercado mundial de smartphones, superado apenas por China, EUA, Índia, Japão e Rússia; – No segundo trimestre de 2015 o número de brasileiros que usam o smartphone para acessar a Internet ultrapassou a marca de 72 milhões, representando um aumento de 23,5% em relação ao semestre anterior; – O número de internautas brasileiros que realizam pagamentos através de seu smartphone dobrou em um ano, passando de 21% no final de 2014 para 46% em 2015 (dados de dezembro de 2015); Fonte: http://exame.abril.com.br/negocios/dino/estatisticas-de-uso-de-celular-no-brasil-dino89091436131/
CryptoRave 2017CryptoRave 2017 O OWASP (Open Web Application Security Project), ou Projeto Aberto de Segurança em Aplicações Web, é uma comunidade online que cria e disponibiliza de forma gratuita, artigos, metodologias, documentação, ferramentas e tecnologias no campo da segurança de aplicações web. Promovem a abordagem da segurança em aplicações como um problema de pessoas, processos e tecnologia, porque as abordagens mais eficazes em segurança de aplicações requerem melhorias nestas áreas. Fonte: https://pt.wikipedia.org/wiki/OWASP
CryptoRave 2017CryptoRave 2017 OWASP ZAP O OWASP Zed Attack Proxy (ZAP) é uma das ferramentas de segurança livres mais populares do mundo e é ativamente mantido por centenas de voluntários internacionais. Ele pode ajudá-lo automaticamente a encontrar vulnerabilidades de segurança em suas aplicações web enquanto você as está desenvolvendo e testando. Ele também é uma ótima ferramenta para pentesters experientes utilizarem em testes se segurança manuais.
CryptoRave 2017CryptoRave 2017 Fluxo de requisições no ZAP Método de interceptação: fazer com que o cliente confie na unidade certificadora do ZAP.
CryptoRave 2017CryptoRave 2017 Instalação e configuração do ZAP * Instruções em: http://tobias.ws/blog/interceptando-conexoes-com-owasp-zed -attack-proxy/
CryptoRave 2017CryptoRave 2017 A interface do ZAP
CryptoRave 2017CryptoRave 2017 A interface do ZAP
CryptoRave 2017CryptoRave 2017 A interface do ZAP
CryptoRave 2017CryptoRave 2017 A interface do ZAP
CryptoRave 2017CryptoRave 2017 Exemplos t Fonte: http://www.fidelis.work/como-eu-usei-o-cartao-de-credito-do-ceo-do-trampos-co-para-pagar-minha-assinatura-premium/
CryptoRave 2017CryptoRave 2017 Exemplos
CryptoRave 2017CryptoRave 2017 Exemplos
CryptoRave 2017CryptoRave 2017 Exemplos
CryptoRave 2017CryptoRave 2017 Como prevenir? Em segurança da informação não há balas de prata. Por isso é necessário que boas práticas estejas implementadas em várias camadas. Exemplos: * HSTS (exemplo) * Utilizar apenas algorítimos modernos, vide drownattack e sslsecurevim. * Criptografar os dados do tráfego * Ter em mente que a conexão pode ser interceptada e utilizar outras camadas de segurança na aplicação (e.g. ACLs)
Dúvidas? Contato: contato@tobias.ws https://github.com/gnumoksha/ https://twitter.com/gnumoksha CryptoRave 2017CryptoRave 2017

Recommended

Explicando segurança e privacidade com Wireshark (2017)
Explicando segurança e privacidade com Wireshark (2017)Explicando segurança e privacidade com Wireshark (2017)
Explicando segurança e privacidade com Wireshark (2017)Euler Neto
 
Minha experiencia como operador de um relay Tor
Minha experiencia como operador de um relay TorMinha experiencia como operador de um relay Tor
Minha experiencia como operador de um relay TorAugusto Amaral
 
O lado obscuro do HTTPS: Combata ameaças criptografadas com segurança de rede...
O lado obscuro do HTTPS: Combata ameaças criptografadas com segurança de rede...O lado obscuro do HTTPS: Combata ameaças criptografadas com segurança de rede...
O lado obscuro do HTTPS: Combata ameaças criptografadas com segurança de rede...Bravo Tecnologia
 
Ransomware
RansomwareRansomware
RansomwareFlavio Shiga
 
Ataques na internet
Ataques na internetAtaques na internet
Ataques na internetAna Júlia Damião
 
O que há de PHP e Websockets por aí?
O que há de PHP e Websockets por aí?O que há de PHP e Websockets por aí?
O que há de PHP e Websockets por aí?Marianna Cruz Teixeira
 
Website security
Website securityWebsite security
Website securitythiagosenac
 
ataque contra roteadores no brasil
ataque contra roteadores no brasil ataque contra roteadores no brasil
ataque contra roteadores no brasilSMEC PANAMBI-RS
 

Recommended

Explicando segurança e privacidade com Wireshark (2017)
Explicando segurança e privacidade com Wireshark (2017)Explicando segurança e privacidade com Wireshark (2017)
Explicando segurança e privacidade com Wireshark (2017)Euler Neto
 
Minha experiencia como operador de um relay Tor
Minha experiencia como operador de um relay TorMinha experiencia como operador de um relay Tor
Minha experiencia como operador de um relay TorAugusto Amaral
 
O lado obscuro do HTTPS: Combata ameaças criptografadas com segurança de rede...
O lado obscuro do HTTPS: Combata ameaças criptografadas com segurança de rede...O lado obscuro do HTTPS: Combata ameaças criptografadas com segurança de rede...
O lado obscuro do HTTPS: Combata ameaças criptografadas com segurança de rede...Bravo Tecnologia
 
Ransomware
RansomwareRansomware
RansomwareFlavio Shiga
 
Ataques na internet
Ataques na internetAtaques na internet
Ataques na internetAna Júlia Damião
 
O que há de PHP e Websockets por aí?
O que há de PHP e Websockets por aí?O que há de PHP e Websockets por aí?
O que há de PHP e Websockets por aí?Marianna Cruz Teixeira
 
Website security
Website securityWebsite security
Website securitythiagosenac
 
ataque contra roteadores no brasil
ataque contra roteadores no brasil ataque contra roteadores no brasil
ataque contra roteadores no brasilSMEC PANAMBI-RS
 
Ransomware : Sequestro De Dados Digitais
Ransomware : Sequestro De Dados DigitaisRansomware : Sequestro De Dados Digitais
Ransomware : Sequestro De Dados DigitaisMarcelo Lau
 
A OWASP e a Segurança Aplicacional para a Web
A OWASP e a Segurança Aplicacional para a WebA OWASP e a Segurança Aplicacional para a Web
A OWASP e a Segurança Aplicacional para a WebCarlos Serrao
 
Owasp Chapter Cuiabá
Owasp Chapter Cuiabá Owasp Chapter Cuiabá
Owasp Chapter Cuiabá OWASP_cuiaba
 
Workshop - Testes de Segurança
Workshop - Testes de SegurançaWorkshop - Testes de Segurança
Workshop - Testes de SegurançaAlan Carlos
 
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010Luiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
Fuzzing com ZAP (Zed Attack Proxy)
Fuzzing com ZAP (Zed Attack Proxy)Fuzzing com ZAP (Zed Attack Proxy)
Fuzzing com ZAP (Zed Attack Proxy)Maurício Harley
 
Introdução de teste de segurança app web
Introdução de teste de segurança app webIntrodução de teste de segurança app web
Introdução de teste de segurança app webKleitor Franklint Correa Araujo
 
Owasp Chapter Belo Horizonte
Owasp Chapter Belo HorizonteOwasp Chapter Belo Horizonte
Owasp Chapter Belo HorizonteMarcelo de Freitas Lopes
 
FirePOWER contra Ransomware - Comunidade Cisco
FirePOWER contra Ransomware - Comunidade CiscoFirePOWER contra Ransomware - Comunidade Cisco
FirePOWER contra Ransomware - Comunidade CiscoMaurício Harley
 
Desafios da transformação digital
Desafios da transformação digitalDesafios da transformação digital
Desafios da transformação digitalMarcelo Lau
 
Antar ferreira
Antar ferreiraAntar ferreira
Antar ferreiraAntar Ferreira
 
Webgoat como ferramenta de aprendizado
Webgoat como ferramenta de aprendizadoWebgoat como ferramenta de aprendizado
Webgoat como ferramenta de aprendizadoLuiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
CLASS 2016 - Palestra Marcelo Branquinho
CLASS 2016 - Palestra Marcelo BranquinhoCLASS 2016 - Palestra Marcelo Branquinho
CLASS 2016 - Palestra Marcelo BranquinhoTI Safe
 
Como invadir uma exchange - Um relatório geral de segurança de corretoras de ...
Como invadir uma exchange - Um relatório geral de segurança de corretoras de ...Como invadir uma exchange - Um relatório geral de segurança de corretoras de ...
Como invadir uma exchange - Um relatório geral de segurança de corretoras de ...LeandroTrindade19
 
Ransomware
RansomwareRansomware
RansomwareMarcelo Lau
 
Cloud computing
Cloud computingCloud computing
Cloud computingRoney Médice
 
OWASP - Ferramentas
OWASP - FerramentasOWASP - Ferramentas
OWASP - FerramentasCarlos Serrao
 
Owasp top 10_2013_pt-br
Owasp top 10_2013_pt-brOwasp top 10_2013_pt-br
Owasp top 10_2013_pt-brSérgio FePro
 
Seguranca web Testday2012
Seguranca web Testday2012Seguranca web Testday2012
Seguranca web Testday2012Marcio Cunha
 
Ethical Hacking - Campus Party Brasília 2017
Ethical Hacking - Campus Party Brasília 2017Ethical Hacking - Campus Party Brasília 2017
Ethical Hacking - Campus Party Brasília 2017Alcyon Ferreira de Souza Junior, MSc
 

More Related Content

Similar to Hack Apps HTTPS Intercept

Ransomware : Sequestro De Dados Digitais
Ransomware : Sequestro De Dados DigitaisRansomware : Sequestro De Dados Digitais
Ransomware : Sequestro De Dados DigitaisMarcelo Lau
 
A OWASP e a Segurança Aplicacional para a Web
A OWASP e a Segurança Aplicacional para a WebA OWASP e a Segurança Aplicacional para a Web
A OWASP e a Segurança Aplicacional para a WebCarlos Serrao
 
Owasp Chapter Cuiabá
Owasp Chapter Cuiabá Owasp Chapter Cuiabá
Owasp Chapter Cuiabá OWASP_cuiaba
 
Workshop - Testes de Segurança
Workshop - Testes de SegurançaWorkshop - Testes de Segurança
Workshop - Testes de SegurançaAlan Carlos
 
Fuzzing com ZAP (Zed Attack Proxy)
Fuzzing com ZAP (Zed Attack Proxy)Fuzzing com ZAP (Zed Attack Proxy)
Fuzzing com ZAP (Zed Attack Proxy)Maurício Harley
 
FirePOWER contra Ransomware - Comunidade Cisco
FirePOWER contra Ransomware - Comunidade CiscoFirePOWER contra Ransomware - Comunidade Cisco
FirePOWER contra Ransomware - Comunidade CiscoMaurício Harley
 
Desafios da transformação digital
Desafios da transformação digitalDesafios da transformação digital
Desafios da transformação digitalMarcelo Lau
 
CLASS 2016 - Palestra Marcelo Branquinho
CLASS 2016 - Palestra Marcelo BranquinhoCLASS 2016 - Palestra Marcelo Branquinho
CLASS 2016 - Palestra Marcelo BranquinhoTI Safe
 
Como invadir uma exchange - Um relatório geral de segurança de corretoras de ...
Como invadir uma exchange - Um relatório geral de segurança de corretoras de ...Como invadir uma exchange - Um relatório geral de segurança de corretoras de ...
Como invadir uma exchange - Um relatório geral de segurança de corretoras de ...LeandroTrindade19
 
Owasp top 10_2013_pt-br
Owasp top 10_2013_pt-brOwasp top 10_2013_pt-br
Owasp top 10_2013_pt-brSérgio FePro
 
Seguranca web Testday2012
Seguranca web Testday2012Seguranca web Testday2012
Seguranca web Testday2012Marcio Cunha
 

Similar to Hack Apps HTTPS Intercept (20)

Ransomware : Sequestro De Dados Digitais
Ransomware : Sequestro De Dados DigitaisRansomware : Sequestro De Dados Digitais
Ransomware : Sequestro De Dados Digitais
 
A OWASP e a Segurança Aplicacional para a Web
A OWASP e a Segurança Aplicacional para a WebA OWASP e a Segurança Aplicacional para a Web
A OWASP e a Segurança Aplicacional para a Web
 
Owasp Chapter Cuiabá
Owasp Chapter Cuiabá Owasp Chapter Cuiabá
Owasp Chapter Cuiabá
 
Workshop - Testes de Segurança
Workshop - Testes de SegurançaWorkshop - Testes de Segurança
Workshop - Testes de Segurança
 
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
 
Fuzzing com ZAP (Zed Attack Proxy)
Fuzzing com ZAP (Zed Attack Proxy)Fuzzing com ZAP (Zed Attack Proxy)
Fuzzing com ZAP (Zed Attack Proxy)
 
Introdução de teste de segurança app web
Introdução de teste de segurança app webIntrodução de teste de segurança app web
Introdução de teste de segurança app web
 
Owasp Chapter Belo Horizonte
Owasp Chapter Belo HorizonteOwasp Chapter Belo Horizonte
Owasp Chapter Belo Horizonte
 
FirePOWER contra Ransomware - Comunidade Cisco
FirePOWER contra Ransomware - Comunidade CiscoFirePOWER contra Ransomware - Comunidade Cisco
FirePOWER contra Ransomware - Comunidade Cisco
 
Desafios da transformação digital
Desafios da transformação digitalDesafios da transformação digital
Desafios da transformação digital
 
Antar ferreira
Antar ferreiraAntar ferreira
Antar ferreira
 
Webgoat como ferramenta de aprendizado
Webgoat como ferramenta de aprendizadoWebgoat como ferramenta de aprendizado
Webgoat como ferramenta de aprendizado
 
CLASS 2016 - Palestra Marcelo Branquinho
CLASS 2016 - Palestra Marcelo BranquinhoCLASS 2016 - Palestra Marcelo Branquinho
CLASS 2016 - Palestra Marcelo Branquinho
 
Como invadir uma exchange - Um relatório geral de segurança de corretoras de ...
Como invadir uma exchange - Um relatório geral de segurança de corretoras de ...Como invadir uma exchange - Um relatório geral de segurança de corretoras de ...
Como invadir uma exchange - Um relatório geral de segurança de corretoras de ...
 
Ransomware
RansomwareRansomware
Ransomware
 
Cloud computing
Cloud computingCloud computing
Cloud computing
 
OWASP - Ferramentas
OWASP - FerramentasOWASP - Ferramentas
OWASP - Ferramentas
 
Owasp top 10_2013_pt-br
Owasp top 10_2013_pt-brOwasp top 10_2013_pt-br
Owasp top 10_2013_pt-br
 
Seguranca web Testday2012
Seguranca web Testday2012Seguranca web Testday2012
Seguranca web Testday2012
 
Ethical Hacking - Campus Party Brasília 2017
Ethical Hacking - Campus Party Brasília 2017Ethical Hacking - Campus Party Brasília 2017
Ethical Hacking - Campus Party Brasília 2017
 

Hack Apps HTTPS Intercept

  • 1. Hackeando Apps através de interceptação de tráfego Palestrante: Tobias Sette CryptoRave 2017CryptoRave 2017
  • 2. CryptoRave 2017CryptoRave 2017 Objetivo Sensibilizar desenvolvedores e usuários interessados sobre a segurança entre a comunicação de aplicações clientes com aplicações servidoras.
  • 3. CryptoRave 2017CryptoRave 2017 A segurança do HTTPS Na teoria, deveria ser seguro conectar em uma rede Wi-Fi pública e acessar um site com https, como o de um banco. Mas a maioria das pessoas não sabe que na prática não é assim e desconhece os problemas que o HTTPS pode conter. Netcraft: em 2016 95% (19 a cada 20) dos servidores HTTPS estão vulneráveis a ataques triviais. Fonte: https://news.netcraft.com/archives/2016/03/17/95-of-https-servers-vulnerable-to- trivial-mitm-attacks.html
  • 4. CryptoRave 2017CryptoRave 2017 HTTPS e sslstrip Moxie Marlinspike apresentou em 2009, durante a Black Hat DC, sua ferramenta capaz de “debulhar” o HTTPS, chamada sslstrip. Utilizando arpspoof, ela enganha a vítima fazendo-a a acreditar que o host atacante é o roteador da rede. Vigia links e altera o protocolo de HTTPS para HTTP.
  • 6. CryptoRave 2017CryptoRave 2017 A era dos Apps e a necessidade do tráfego de informações – No final de 2014 o Brasil já era o 6º mercado mundial de smartphones, superado apenas por China, EUA, Índia, Japão e Rússia; – No segundo trimestre de 2015 o número de brasileiros que usam o smartphone para acessar a Internet ultrapassou a marca de 72 milhões, representando um aumento de 23,5% em relação ao semestre anterior; – O número de internautas brasileiros que realizam pagamentos através de seu smartphone dobrou em um ano, passando de 21% no final de 2014 para 46% em 2015 (dados de dezembro de 2015); Fonte: http://exame.abril.com.br/negocios/dino/estatisticas-de-uso-de-celular-no-brasil-dino89091436131/
  • 7. CryptoRave 2017CryptoRave 2017 O OWASP (Open Web Application Security Project), ou Projeto Aberto de Segurança em Aplicações Web, é uma comunidade online que cria e disponibiliza de forma gratuita, artigos, metodologias, documentação, ferramentas e tecnologias no campo da segurança de aplicações web. Promovem a abordagem da segurança em aplicações como um problema de pessoas, processos e tecnologia, porque as abordagens mais eficazes em segurança de aplicações requerem melhorias nestas áreas. Fonte: https://pt.wikipedia.org/wiki/OWASP
  • 8. CryptoRave 2017CryptoRave 2017 OWASP ZAP O OWASP Zed Attack Proxy (ZAP) é uma das ferramentas de segurança livres mais populares do mundo e é ativamente mantido por centenas de voluntários internacionais. Ele pode ajudá-lo automaticamente a encontrar vulnerabilidades de segurança em suas aplicações web enquanto você as está desenvolvendo e testando. Ele também é uma ótima ferramenta para pentesters experientes utilizarem em testes se segurança manuais.
  • 9. CryptoRave 2017CryptoRave 2017 Fluxo de requisições no ZAP Método de interceptação: fazer com que o cliente confie na unidade certificadora do ZAP.
  • 10. CryptoRave 2017CryptoRave 2017 Instalação e configuração do ZAP * Instruções em: http://tobias.ws/blog/interceptando-conexoes-com-owasp-zed -attack-proxy/
  • 15. CryptoRave 2017CryptoRave 2017 Exemplos t Fonte: http://www.fidelis.work/como-eu-usei-o-cartao-de-credito-do-ceo-do-trampos-co-para-pagar-minha-assinatura-premium/
  • 19. CryptoRave 2017CryptoRave 2017 Como prevenir? Em segurança da informação não há balas de prata. Por isso é necessário que boas práticas estejas implementadas em várias camadas. Exemplos: * HSTS (exemplo) * Utilizar apenas algorítimos modernos, vide drownattack e sslsecurevim. * Criptografar os dados do tráfego * Ter em mente que a conexão pode ser interceptada e utilizar outras camadas de segurança na aplicação (e.g. ACLs)