Segurança de APIs - API eXperience

Segurança de APIs
Daniel Varanda
Solution Architect | Pre Sales
danielvaranda@gmail.com
http://linkedin.com/in/danielvaranda

Segurança de APIs
Está em Alta

É possível hackear um marcapasso e matar o paciente
https://canaltech.com.br/hacker/perigos-da-tecnologia-e-possivel-hackear-um-marcapasso-e-matar-o-paciente-82795
EUA fazem recall de 465 mil marcapassos vulneráveis a hackers
https://oglobo.globo.com/sociedade/tecnologia/eua-fazem-recall-de-465-mil-marcapassos-vulneraveis-hackers-21774337

Brecha em app fitness revela dados de militares e funcionários de
inteligência
https://canaltech.com.br/seguranca/brecha-em-app-fitness-revela-dados-de-militares-e-funcionarios-de-inteligenci-117680

Polícia flagra 'furto hacker' de carro sem as chaves
https://g1.globo.com/carros/noticia/video-veja-como-e-o-furto-hacker-de-carro-sem-as-chaves.ghtml

McDonalds India is leaking 2.2 million users data
https://hackernoon.com/mcdonalds-india-is-leaking-2-2-million-users-data-d5758b2eb3f8

Falha de segurança no Tinder provoca vazamento de milhares de fotos
https://canaltech.com.br/seguranca/falha-de-seguranca-no-tinder-provoca-vazamento-de-milhares-de-fotos-93038

Dados pessoais de famosos foram roubados do Instagram
https://www.noticiasaominuto.com/tech/856103/dados-pessoais-de-famosos-foram-roubados-do-instagram

API (em português: Interface de Programação de Aplicação), é um conjunto de
rotinas e padrões estabelecidos por um software para utilização de suas
funcionalidades por aplicativos que não pretendem envolver-se em detalhes
de implementação do software, mas apenas utilizar suas funcionalidades.
Exemplos: RMI, JMS, trocas de arquivo
Web API é uma das formas possíveis para construção de APIs, onde as trocas
de informações entre as aplicações são feitas através da Internet (mais
especificamente através do protocolo de transporte HTTP).
Exemplos: RESTful, GraphQL, WebService SOAP

APP SoftwareAPI
RESTful
JSON JSON
HTTP
Espionagem
de dados
Manipulação
de parâmetros
Repetição de
chamadas
Negação de
Serviço
(DDoS)
Uso não
autorizado

Contramedidas
Uso não autorizado

oAuth
Padrão aberto para identificação e
autenticação utilizado para fazer logon
em aplicações que desejam utilizar APIs

oAuth
oAuth utiliza-se essencialmente de tokens:
CLIENT_ID
CLIENT_SECRET
GRANT_CODE
ACCESS_TOKEN
REFRESH_TOKEN

oAuth
Esses tokens são emitidos durante a criação do aplicativo
ou a partir de um dos fluxos do oAuth
Client Credentials
Resource Owner Password Credentials
Authorization code
Implicit
Refresh token

oAuth
Client Credentials
Fluxo utilizado por aplicativos próprios ou aplicativos de terceiros, onde é
necessário que seja feita a autenticação apenas do aplicativo, ou seja, não é
necessário autenticar o usuário do aplicativo.
Dados para Autenticação:
CLIENT_ID
CLIENT_SECRET
Aplicativo
Próprio
Usuário
✗✓ Aplicativo
de terceiro
✓

oAuth
Resource Owner Password Credentials
Fluxo utilizado por aplicativos próprios, onde é necessário que seja feita a
autenticação do aplicativo e do usuário do aplicativo.
Nesse fluxo, o login e senha do usuário são digitados no próprio aplicativo.
Aplicativo
Próprio
Usuário
✓✓ Aplicativo
de terceiro
✗
CLIENT_ID
CLIENT_SECRET
Login
Senha

oAuth
Authorization code
Fluxo utilizado por aplicativos de terceiros (ou aplicativos próprios), onde é
necessário que seja feita a autenticação do aplicativo e do usuário do
aplicativo.
Nesse fluxo, o login e senha do usuário é digitado em uma tela de
autenticação, normalmente exibida através de uma janela popup.
Aplicativo
Próprio
Usuário
✓✓ Aplicativo
de terceiro
✓
CLIENT_ID
CLIENT_SECRET
Login
Senha

oAuth
Implicit
Fluxo utilizado por aplicativos próprios ou aplicativos de terceiros que não
são capazes de armazenar um CLIENT_SECRET.
Nesse fluxo, o login e senha do usuário é digitado em uma tela de
autenticação. O ACCESS_TOKEN é retornado para o aplicativo através da
REDIRECT_URI do aplicativo, previamente cadastrada no portal do
desenvolvedor.
Aplicativo
Próprio
Usuário
✓✗✓ Aplicativo
de terceiro
✓
CLIENT_ID
Login
Senha

oAuth
Fluxo
Aplicativo Próprio Aplicativo de Terceiro
Autenticação do
Aplicativo
Autenticação do
Usuário
Autenticação do
Aplicativo
Autenticação do
Usuário
Client Credentials ✓ ✗ ✓ ✗
Resource Owner Password
Credentials ✓ ✓ Não utilizar Não utilizar
Authorization Code
Avalie utilizar o fluxo:
Credentials
Avalie utilizar o fluxo:
Credentials
✓ ✓
Implicit ✓ ✓ ou ✗ ✓ ✓ ou ✗

oAuth
APP
Request:
Method: GET
URI: https://api.sensedia.com.br/users/me
Headers:
client_id → xpto123
access_token → qwerty321
Response:
HTTP Status: 200
Body:
{
"login": "danielvaranda",
"nome": "Daniel Varanda",
"email": "danielvaranda@gmail.com"
}
SoftwareAPI
RESTful

OpenID
Padrão aberto que permite que usuários
sejam autenticados por sites
cooperantes, facilitando a transferência
de atributos do usuário, como: nome,
email, gênero...

JSON Web Token
JWT
Padrão aberto que define uma forma
compacta e auto-suficiente para transmitir
informações de forma segura com um objeto
JSON

Two or Three factor authentication
Two or Three factor
authentication:
algo que você sabe
algo que você tem
algo que você é
+ +

Contramedidas
Espionagem de Rede

Criptografia Simétrica
Algoritmos de criptografía simétrica são
algoritmos que utilizam a mesma chave para
criptografar e descriptografar a informação

Criptografia Simétrica
Algoritmos recomendado
AESAdvanced Encryption Standard
Rápido
A chave pode vazar mais facilmente
Forças
Fraquezas

Criptografia Assimétrica
Algoritmos de criptografia assimétrica
requer um par de chaves, uma delas privada
(secreta) e a outra pública
Apesar de diferentes, as chaves são
matematicamente ligadas. Quando a
criptografia é feita com uma das chaves a
descriptografia só poderá ser feita com a
outra chave do par
Chave Privada Chave Pública

Criptografia Assimétrica
RSA
Rivest-Shamir-Adleman
Mais fácil para manter a chave privada
em segredo
Lento, muito lento!
Forças
Fraquezas

2. Obter chave pública
3.1 Gerar uma chave simétrica randômica
3.2. Criptografar chave simétrica com a chave pública
3.3. Enviar a chave criptografada
4. Descriptografar a chave simétrica
com a chave privada
APP Software
1. Gerar par de chave assimétrica

Contramedidas
Manipulação de Parâmetros

Função Hash
Função hash é um algoritmo que mapeia
dados de comprimento variável para dados
de comprimento fixo. O dado resultante é
chamado de hash code
Diferente dos algoritmos de criptografia, o
hash code não pode ser revertido para o
dado original

SHA-2
Secure Hash Algorithm 2

Assinatura Digital
Método utilizado para autenticação de
informação

Assinatura Digital
A assinatura digital garante:
● Autenticidade: o receptor pode confirmar que a assinatura foi feita
pelo emissor
● Integridade: qualquer alteração da mensagem faz com que a
assinatura não corresponda mais ao documento
● Não-repúdio: o emissor não pode negar a autenticidade da
mensagem

Contramedidas
Repetição de Chamadas

Unique Request ID
Unique Request ID

1.1 Obter timestamp
1.2. Assinar digitalmente o timestamp
1.3. Enviar timestamp, assinatura digital e payload da requisição
2. Validar assinatura digital
APP Software
3. Validar se o timestamp é único
para esse client

Contramedidas
Ataque de Negação de Serviço (DDoS)

❖ WAF (Web Application Firewall)
❖ API Management Platform
❖ Monitorar o tráfego nas APIs
(preferencialmente com alertas)
❖ Identificar comportamento malicioso
❖ Limitar o uso dos Apps
❖ Plugar detecção de Fraude de negócio

Mas, o que eu devo utilizar
nas minhas APIs?

Bala de Prata - Capaz de matar lobisomens, bruxas e outros
monstros

Porteiro Severino - Cara, crachá

Fort Knox - Depósito de Ouro dos Estados Unidos

Muita Comodidade
Pouca Segurança
Muita Segurança
Pouca Comodidade

Níveis de Criticidade
Crítico
❖ Quanto você conhece
dos Client Apps?
❖ As APIs dão acesso a
informações sensíveis?
❖ As APIs alteram dados
importantes?
Somente Apps desenvolvidos pela
própria empresa
Informações acessórias não
relacionadas a usuários
Básico
Intermediário
Crítico

dos Client Apps?
importantes?
Básico
Intermediário
API totalmente pública,
potencialmente centenas de Apps
externos
Alguns Apps externos de parceiros
bem conhecidos
Crítico
Uso interno, apenas

Crítico
dos Client Apps?
importantes?
Básico
Intermediário
Registros médicos, transações
financeiras ou dados vitais ao
negócio
Informações sociais,
Internet das coisas
Crítico
Informações públicas, cotação de
preços

Somente Apps desenvolvidos pela
própria empresa
Informações acessórias não
relacionadas a usuários
dos Client Apps?
importantes?
Básico
Intermediário
Todas as operações (inclusive
DELETEs) em elementos e coleções
de recursos
GETs e alguns POSTs e PUTs em
recursos não vitais
Somente GETs
Crítico

Dicas e Boas Práticas
Lembre-se dos mecanismos de segurança:
❖ oAuth (use o fluxo correto)
❖ OpenID
❖ JWT
❖ Two or Three factor authentication
❖ Criptografia (simétrica e assimétrica)
❖ Assinatura Digital
❖ Unique Request ID
Tap to Pay

Crie SDKs para operações comuns
❖ Obter chave pública
❖ Gerar chave AES
❖ Criptografar e enviar chave AES
❖ Criptografar payloads
❖ Gerar Unique Request ID
❖ Assinatura Digital

APP SoftwareAPIAPI API Gateway
Implementação do CoreRequisitos não funcionais
Separation of Concerns

OWASP
Open Web Application Security Project

The OWASP Top 10 Application Security Risks
❖ A1 - Injection
❖ A2 - Broken Authentication and Session Management
❖ A3 - Cross-Site Scripting (XSS)
❖ A4 - Broken Access Control
❖ A5 - Security Misconfiguration
❖ A6 - Sensitive Data Exposure
❖ A7 - Insufficient Attack Protection
❖ A8 - Cross-Site Request Forgery
❖ A9 - Using Components with Known Vulnerabilities
❖ A10 - Underprotected APIs
OWASP

Obrigado!
Daniel Varanda
Solution Architect | Pre Sales
danielvaranda@gmail.com
http://linkedin.com/in/danielvaranda

Segurança de APIs - API eXperience

Mais conteúdo relacionado

Semelhante a Segurança de APIs - API eXperience

Último

Segurança de APIs - API eXperience