Hackeando apps atraves de interceptação de tráfego

Hackeando Apps através
de interceptação de
tráfego
Palestrante:
Tobias Sette
CryptoRave 2017CryptoRave 2017

Objetivo
Sensibilizar desenvolvedores e usuários interessados sobre
a segurança entre a comunicação de aplicações clientes
com aplicações servidoras.

A segurança do HTTPS
Na teoria, deveria ser seguro conectar em uma rede Wi-Fi
pública e acessar um site com https, como o de um banco.
Mas a maioria das pessoas não sabe que na prática não é
assim e desconhece os problemas que o HTTPS pode
conter.
Netcraft: em 2016 95% (19 a cada 20) dos servidores
HTTPS estão vulneráveis a ataques triviais.
Fonte: https://news.netcraft.com/archives/2016/03/17/95-of-https-servers-vulnerable-to-
trivial-mitm-attacks.html

HTTPS e sslstrip
Moxie Marlinspike apresentou em 2009, durante a Black Hat
DC, sua ferramenta capaz de “debulhar” o HTTPS,
chamada sslstrip.
Utilizando arpspoof, ela enganha a vítima fazendo-a a
acreditar que o host atacante é o roteador da rede.
Vigia links e altera o protocolo de HTTPS para HTTP.

MITM (Man-in-the-middle)

A era dos Apps e a necessidade do
tráfego de informações
– No final de 2014 o Brasil já era o 6º mercado mundial de
smartphones, superado apenas por China, EUA, Índia,
Japão e Rússia;
– No segundo trimestre de 2015 o número de brasileiros
que usam o smartphone para acessar a Internet ultrapassou
a marca de 72 milhões, representando um aumento de
23,5% em relação ao semestre anterior;
– O número de internautas brasileiros que realizam
pagamentos através de seu smartphone dobrou em um
ano, passando de 21% no final de 2014 para 46% em 2015
(dados de dezembro de 2015);
Fonte: http://exame.abril.com.br/negocios/dino/estatisticas-de-uso-de-celular-no-brasil-dino89091436131/

O OWASP (Open Web Application Security Project), ou
Projeto Aberto de Segurança em Aplicações Web, é uma
comunidade online que cria e disponibiliza de forma
gratuita, artigos, metodologias, documentação, ferramentas
e tecnologias no campo da segurança de aplicações web.
Promovem a abordagem da segurança em aplicações como
um problema de pessoas, processos e tecnologia, porque
as abordagens mais eficazes em segurança de aplicações
requerem melhorias nestas áreas.
Fonte: https://pt.wikipedia.org/wiki/OWASP

OWASP ZAP
O OWASP Zed Attack Proxy (ZAP) é uma das ferramentas
de segurança livres mais populares do mundo e é
ativamente mantido por centenas de voluntários
internacionais. Ele pode ajudá-lo automaticamente a
encontrar vulnerabilidades de segurança em suas
aplicações web enquanto você as está desenvolvendo e
testando. Ele também é uma ótima ferramenta para
pentesters experientes utilizarem em testes se segurança
manuais.

Fluxo de requisições no ZAP
Método de interceptação: fazer com que o cliente confie
na unidade certificadora do ZAP.

Instalação e configuração do ZAP
* Instruções em:
http://tobias.ws/blog/interceptando-conexoes-com-owasp-zed
-attack-proxy/

A interface do ZAP

Exemplos
t
Fonte: http://www.fidelis.work/como-eu-usei-o-cartao-de-credito-do-ceo-do-trampos-co-para-pagar-minha-assinatura-premium/

Exemplos

Como prevenir?
Em segurança da informação não há balas de prata. Por
isso é necessário que boas práticas estejas implementadas
em várias camadas. Exemplos:
* HSTS (exemplo)
* Utilizar apenas algorítimos modernos, vide drownattack e
sslsecurevim.
* Criptografar os dados do tráfego
* Ter em mente que a conexão pode ser interceptada e
utilizar outras camadas de segurança na aplicação (e.g.
ACLs)

Dúvidas?
Contato:
contato@tobias.ws
https://github.com/gnumoksha/
https://twitter.com/gnumoksha

Hackeando apps atraves de interceptação de tráfego

Mais conteúdo relacionado

Semelhante a Hackeando apps atraves de interceptação de tráfego (20)

Último (12)

Hackeando apps atraves de interceptação de tráfego