PPT del evento MVP Conf 2019, disertado por Enrique Dutra, sobre desarrollo seguro de aplicaciones móviles.

1. 12 e 13 de abril de 2019
São Paulo, Brasil
Conectando Pessoas,
Processos e Tecnologia

2. #MVPConf
Segurança da informação
Desenvolvimento seguro usando o OWASP TOP
TEN 2017
ENRIQUE GUSTAVO DUTRA

3. #MVPConf
Enrique Gustavo Dutra
Sócio Gerente da Punto Net Soluciones SRL
MVP desde 2006. 25 anos de experiência em Segurança da Informação.
Ele é o proprietário de uma consultoria de segurança da informação em
Córdoba, Argentina. Responsável pela transição para a produção de
desenvolvimentos na Web em Bancos e nas Indústrias.
Com sua equipe de trabalho, eles realizam mais de 500 testes de
vulnerabilidade no ano.
Instrutor em desenvolvimento seguro e arquiteto. Auditor Lider ISO/IEC
27001 – Miembro IRAM Argentina – ISSA – ISACA -
Participa mensalmente em TV e rádio em Córdoba y eventos.
TWITTER @EGDUTRA
LINKEDIN https://www.linkedin.com/in/enriquedutra/

4. Doação para Entidades
#MVPConf
Toda a renda obtida com a venda dos ingressos
para o MVPConf LATAM 2019 serão doados para
cinco Entidades beneficentes.
Uma em cada região do Brasil!
Consulte no site as Entidades beneficiadas!
MVPConf.com.br

5. Patrocinadores

6. #MVPConf

7. #MVPConf
Agenda
✓ Engenharia Social
✓ Ponto mais fraco, o humanOS.
✓ Em que consiste?
✓ Técnica
✓ XSS
✓ OWASP Top Ten 2017
✓ O que é?
✓ Por que usar isso?
✓ Ferramentas para melhorar nosso desenvolvimento.
✓ Injeção
✓ Infraestrutura para o resgate

8. #MVPConf
O que acontece na Internet em 60 segundos?

9. #MVPConf
Engenharia social

10. #MVPConf
Engano
Induzir alguém a ter por certo o
que não é, dar a aparência
mentirosa da verdade, produzir
ilusão.
Engenharia social

11. #MVPConf
Receita de cozinha
1) Obter dados de um humanOS (email,
password, etc.).
2) Fazer um boa engano.
3) Enviar e-mail enganando os usuarios.
4) Cobrar bitcoins.

12. #MVPConf
Obter dados conhecidos pelo HumanOS
https://raidforums.com/

13. #MVPConf
1) Quem conhece o Badoo o Tinder?
2) O que acontece se ...?
3) Voila!

14. #MVPConf
1 - Procuramos um site defeituoso.
http://demo.testfire.net/
2 – Usamos XSS (Cross-site Scripting)
3 - Fazer um boa ofensa.

15. #MVPConf
<html>
<font color="green" face="Calibri" size="+2">
Esta neste site porque recebeu o email de bloqueio.
Parabens, para pensar sobre o seu estado de
seguro.
<a href="https://bit.ly/2z5O4p0" target="_self"
>
Accesse AQUI para continuar.
</font>
</a >
</hmtl>

16. #MVPConf
Reduzir URLs longos
https://bitly.com/

17. #MVPConf
http://demo.testfire.net/search.jsp?query=%3Chtml%3E+%3C
font+color%3D%22green%22+face%3D%22Calibri%22+size%
3D%22%2B2%22%3E+Ud+ha+ingresado+por+que+ha+recib
ido+el+correo+de+bloqueo.+Felicitaciones%2C+por+pensar
+en+su+Seguridad.+Acceda+al+link+para+proceder+a+fort
alecer+sus+credenciales.++%3Ca++href%3D%22https%3A
%2F%2Fbit.ly%2F2YVOrxu%22+target%3D%22_self%22+%
3E++Presione+AQUI.+%3C%2Ffont%3E+%3C%2Fa+%3E+%3
C%2Fhmtl%3E
https://bit.ly/2uUvAVK

18. #MVPConf
SPAM – Phishing - Social Engineering
Caro usuário
Vários acessos incorretos foram detectados com sua conta
de acesso à Web. Se você não quer perder o acesso e
bloquear seus cartões de crédito / débito associados, por
favor insira este link Altoro Mutual.
No caso de não entrar nas próximas 24 horas, sua conta
será bloqueada e você deverá chegar à sede do Banco,
levando consigo um documento e o último resumo
impresso de qualquer um dos seus cartões.
Cordialmente
A Gerencia

19. #MVPConf
Técnicas de Engenharia Social
Caro usuário
Vários acessos incorretos foram detectados com sua conta
de acesso à Web. Se você não quer perder o acesso e
bloquear seus cartões de crédito / débito associados, por
favor insira este link Altoro Mutual.
No caso de não entrar nas próximas 24 horas, sua conta
será bloqueada e você deverá chegar à sede do Banco,
levando consigo um documento e o último resumo
impresso de qualquer um dos seus cartões.
Cordialmente
A Gerencia

20. #MVPConf
HumanOS, que fazemos?
1) https://haveibeenpwned.com/
2) Mudar senha regularmente.
3) Cada acesso à Internet com sua conta.
4) Senhas não associadas ao usuário.
5) Senhas complexas
6) Não compartilhe o acesso.
7) Não responda ou acesse links de e-mails
duvidosos.
8) Verifique se o emissor realmente

21. #MVPConf
Developers: Escrever código mais seguro!!

22. #MVPConf
OWASP
Open Web Application Security Project

23. #MVPConf
¿O que é o OWASP?
- é um projeto de código aberto dedicado a
determinar e combater as causas que
tornam o software inseguro...

24. #MVPConf
OWASP Top Ten desde el 2003

25. #MVPConf
OWASP Top Ten 2017

26. #MVPConf
Demo – Injection - Use seu celular
1) Acessar site http://demo.testfire.net/
2) Digite usuario admin o jsmith
3) Password ' or '1'='1
4) Digite usuario ' or '1'='1
5) Password ' or '1'=‘1
http://demo.testfire.net/bank/name?id='or'1'='1

27. #MVPConf
OWASP
Open Web Application Security Project
PROTEGER SOFTWARE

28. #MVPConf
Tools:
- Guías,
- Zed Attack Proxy (ZAP),
- Guias para teste móvel (ejemplo),
- Aplicativos de código aberto: MOBsf,
Nettacker, adb, Drozer, apktool, etc.
Ejemplo con MOBsf…

29. #MVPConf
OWASP core rule sets
✓ SQL injection
✓ Cross site scripting
✓ Common attacks such as command injection,
HTTP request smuggling, HTTP response
splitting, and remote file inclusion attack
✓ HTTP protocol violations
✓ HTTP protocol anomalies
✓ Bots, crawlers, and scanners
✓ Common application misconfigurations (e.g.
Apache, IIS, etc.)
✓ HTTP Denial of Service
Azure Web Application Firewall (WAF)
OWASP ModSecurity Core Rule Set (CRS)
Infraestrutura
nos salva

30. #MVPConf
Infraestrutura
nos salva

31. #MVPConf

32. Sorteios dos Brindes
#MVPConf
Clique Aqui para Iniciar o Sorteio
Somente participarão dos sorteios os
participantes que estiverem inscritos
nas palestras e responderem as
pesquisas de satisfação.

33. OBRIGADO
#MVPConf
Blog https://seguridadit.blogspot.com/
Linkedin /in/enriquedutra/
Twitter.com/egdutra
Mail edutra@puntonetsoluciones.com.ar