PEDROFRANCESCHI
@pedroh96
pedro@pagar.me
www.pagar.me
Segurança no iOS
O que aprendemos em 7 anos de iPhone?
Background…
Siri em Português
Quasar
“Montar um meio de pagamentos
amigável para desenvolvedores e
empreendedores”
O começo do iPhone…
Primórdios do iPhone
(2007)
• Sem AppStore e muitas funcionalidades essenciais
• Sem suporte a usuários corporativos
• Seg...
JailbreakMe.com
O Jailbreak se populariza
(2007-2011)
• Geohot lança o primeiro desbloqueio do iPhone
(2007)
• Surge o JailbreakMe.com, si...
Apple contra-ataca
(2011-hoje)
• Apple implementa features relevantes do Jailbreak
e melhora a segurança do iOS brutalment...
O que aprendemos nesse
processo?
1) Hardware e sistema
operacional seguro
• Todos os apps rodam isoladamente em sandbox
• Manipulação de memória é coisa do...
2) Privacidade pode ser
uma ilusão
3.1) Apenas o padrão/óbvio não
é seguro suficiente no mobile…
Você Banco
SSL normal
(comunicação segura com o banco)
Você BancoBad guy
SSL interceptado
(você sabe que há alguém se pass...
3.2) Apenas o padrão/óbvio não
é seguro suficiente no servidor…
"Catastrophic" is the right word. On the scale of
1 to 10, this is an 11.
!
- Bruce Schneier
fonte: http://www.digitaltrends.com/mobile/heartbleed-bug-apps-affected-list/#!FUYZT
SSL
+
criptografia própria para
dados de cartão
=
dados protegidos contra
Heartbleed/gotofail :D
Mobile
Loja
Meio de	

pagamento
2) envio dos dados de cartão encriptados!
apenas com HTTPS/SSL para a loja,!
que precisará...
Mobile
Loja
Pagar.me
1) obtenção de chave RSA pública (cadeado aberto)
2) envio dos dados de cartão encriptados!
com a cha...
4) Poucos se importam com segurança
(até terem um problema de segurança)
MVP
Prazos
Meta
Clientes
Produto
Faturamento
Segu...
5) Todos estamos vulneráveis.
(alguns menos, outros muito mais)
Como ser o mais seguro
possível então?
• Seguir rigidamente o guia de desenvolvimento
seguro da Apple (http://bit.ly/PBTlu...
Overall…
Toda falha de segurança é
um erro humano (duh)
Planejar
Resistir
Detectar
Responder
Obrigado! :)
PEDROFRANCESCHI
@pedroh96
pedro@pagar.me
www.pagar.me
Segurança no iOS
O que aprendemos em 7 anos de iPhone?
PEDROFRANCESCHI
@pedroh96
pedro@pagar.me
www.pagar.me
BRAPPS: Segurança no iPhone/iOS - Pedro Franceschi [Pagar.me]
BRAPPS: Segurança no iPhone/iOS - Pedro Franceschi [Pagar.me]
BRAPPS: Segurança no iPhone/iOS - Pedro Franceschi [Pagar.me]
BRAPPS: Segurança no iPhone/iOS - Pedro Franceschi [Pagar.me]
BRAPPS: Segurança no iPhone/iOS - Pedro Franceschi [Pagar.me]
BRAPPS: Segurança no iPhone/iOS - Pedro Franceschi [Pagar.me]
BRAPPS: Segurança no iPhone/iOS - Pedro Franceschi [Pagar.me]
BRAPPS: Segurança no iPhone/iOS - Pedro Franceschi [Pagar.me]
BRAPPS: Segurança no iPhone/iOS - Pedro Franceschi [Pagar.me]
BRAPPS: Segurança no iPhone/iOS - Pedro Franceschi [Pagar.me]
BRAPPS: Segurança no iPhone/iOS - Pedro Franceschi [Pagar.me]
BRAPPS: Segurança no iPhone/iOS - Pedro Franceschi [Pagar.me]
BRAPPS: Segurança no iPhone/iOS - Pedro Franceschi [Pagar.me]
BRAPPS: Segurança no iPhone/iOS - Pedro Franceschi [Pagar.me]
BRAPPS: Segurança no iPhone/iOS - Pedro Franceschi [Pagar.me]
BRAPPS: Segurança no iPhone/iOS - Pedro Franceschi [Pagar.me]
BRAPPS: Segurança no iPhone/iOS - Pedro Franceschi [Pagar.me]
BRAPPS: Segurança no iPhone/iOS - Pedro Franceschi [Pagar.me]
BRAPPS: Segurança no iPhone/iOS - Pedro Franceschi [Pagar.me]
BRAPPS: Segurança no iPhone/iOS - Pedro Franceschi [Pagar.me]
BRAPPS: Segurança no iPhone/iOS - Pedro Franceschi [Pagar.me]
BRAPPS: Segurança no iPhone/iOS - Pedro Franceschi [Pagar.me]
Próximos SlideShares
Carregando em…5
×

BRAPPS: Segurança no iPhone/iOS - Pedro Franceschi [Pagar.me]

992 visualizações

Publicada em

Speed Talk - Segurança no iPhone/iOS - Pedro Franceschi [Pagar.me]

Publicada em: Celular
0 comentários
0 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Sem downloads
Visualizações
Visualizações totais
992
No SlideShare
0
A partir de incorporações
0
Número de incorporações
420
Ações
Compartilhamentos
0
Downloads
6
Comentários
0
Gostaram
0
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

BRAPPS: Segurança no iPhone/iOS - Pedro Franceschi [Pagar.me]

  1. 1. PEDROFRANCESCHI @pedroh96 pedro@pagar.me www.pagar.me Segurança no iOS O que aprendemos em 7 anos de iPhone?
  2. 2. Background…
  3. 3. Siri em Português
  4. 4. Quasar
  5. 5. “Montar um meio de pagamentos amigável para desenvolvedores e empreendedores”
  6. 6. O começo do iPhone…
  7. 7. Primórdios do iPhone (2007) • Sem AppStore e muitas funcionalidades essenciais • Sem suporte a usuários corporativos • Segurança = piada • Surgimento do Jailbreak • Início da“briga de gato e rato”entre Apple vs Hackers
  8. 8. JailbreakMe.com
  9. 9. O Jailbreak se populariza (2007-2011) • Geohot lança o primeiro desbloqueio do iPhone (2007) • Surge o JailbreakMe.com, site que facilita e populariza o Jailbreak • Nasce o iPhone Dev Team, que desbloqueia inúmeras versões do iPhone entre 2009 e 2010 • comex relança o JailbreakMe em 2010, Jailbreak vira mainstream e ganha a mídia
  10. 10. Apple contra-ataca (2011-hoje) • Apple implementa features relevantes do Jailbreak e melhora a segurança do iOS brutalmente • Jailbreak torna-se cada vez mais difícil de ser realizado • Não há mais motivos para usuários normais usarem-o. Jailbreak entra em decadência • Hoje: o iOS é o sistema operacional mobile mais seguro do mundo (obrigado, jailbreak!)
  11. 11. O que aprendemos nesse processo?
  12. 12. 1) Hardware e sistema operacional seguro • Todos os apps rodam isoladamente em sandbox • Manipulação de memória é coisa do passado (kernel ASLR) • Frameworks de segurança/conexão sólidos • Hardware com suporte a operações criptográficas fortes (encriptação de alto nível) • Armazenamento seguro no aparelho (hardware keychain) e na nuvem (iCloud) • Autenticação forte: senha e Touch ID (biometria)
  13. 13. 2) Privacidade pode ser uma ilusão
  14. 14. 3.1) Apenas o padrão/óbvio não é seguro suficiente no mobile…
  15. 15. Você Banco SSL normal (comunicação segura com o banco) Você BancoBad guy SSL interceptado (você sabe que há alguém se passando pelo banco) Você BancoBad guy gotofail; (há alguém se passando pelo banco, mas você não sabe disso)
  16. 16. 3.2) Apenas o padrão/óbvio não é seguro suficiente no servidor…
  17. 17. "Catastrophic" is the right word. On the scale of 1 to 10, this is an 11. ! - Bruce Schneier
  18. 18. fonte: http://www.digitaltrends.com/mobile/heartbleed-bug-apps-affected-list/#!FUYZT
  19. 19. SSL + criptografia própria para dados de cartão = dados protegidos contra Heartbleed/gotofail :D
  20. 20. Mobile Loja Meio de pagamento 2) envio dos dados de cartão encriptados! apenas com HTTPS/SSL para a loja,! que precisará manipulá-los. 2) a loja lê os dados do cartão e os! repassa para o meio de pagamentos! usando apenas HTTPS/SSL Fluxo de pagamentos normal
  21. 21. Mobile Loja Pagar.me 1) obtenção de chave RSA pública (cadeado aberto) 2) envio dos dados de cartão encriptados! com a chave pública do Pagar.me! (cadeado fechado) 3) repasse dos dados de cartão! encriptados para o Pagar.me, que! tem a chave privada (abrir o cadeado)
  22. 22. 4) Poucos se importam com segurança (até terem um problema de segurança) MVP Prazos Meta Clientes Produto Faturamento Segurança? Time
  23. 23. 5) Todos estamos vulneráveis. (alguns menos, outros muito mais)
  24. 24. Como ser o mais seguro possível então? • Seguir rigidamente o guia de desenvolvimento seguro da Apple (http://bit.ly/PBTluj) • Atenção máxima a comunidade • Manter SEMPRE versões de softwares de segurança atualizadas (OpenSSL) • Não se contentar com o padrão/óbvio (ex: confiar na existência de senhas ou apenas em SSL) • Bom senso (reduzir superfície de ataque)
  25. 25. Overall…
  26. 26. Toda falha de segurança é um erro humano (duh)
  27. 27. Planejar Resistir Detectar Responder
  28. 28. Obrigado! :) PEDROFRANCESCHI @pedroh96 pedro@pagar.me www.pagar.me
  29. 29. Segurança no iOS O que aprendemos em 7 anos de iPhone? PEDROFRANCESCHI @pedroh96 pedro@pagar.me www.pagar.me

×