Speed Talk - Segurança no iPhone/iOS - Pedro Franceschi [Pagar.me]

1. PEDROFRANCESCHI
@pedroh96
pedro@pagar.me
www.pagar.me
Segurança no iOS
O que aprendemos em 7 anos de iPhone?

2. Background…

6. Siri em Português

7. Quasar

9. “Montar um meio de pagamentos
amigável para desenvolvedores e
empreendedores”

11. O começo do iPhone…

12. Primórdios do iPhone
(2007)
• Sem AppStore e muitas funcionalidades essenciais
• Sem suporte a usuários corporativos
• Segurança = piada
• Surgimento do Jailbreak
• Início da“briga de gato e rato”entre Apple vs
Hackers

13. JailbreakMe.com

14. O Jailbreak se populariza
(2007-2011)
• Geohot lança o primeiro desbloqueio do iPhone
(2007)
• Surge o JailbreakMe.com, site que facilita e
populariza o Jailbreak
• Nasce o iPhone Dev Team, que desbloqueia
inúmeras versões do iPhone entre 2009 e 2010
• comex relança o JailbreakMe em 2010, Jailbreak
vira mainstream e ganha a mídia

15. Apple contra-ataca
(2011-hoje)
• Apple implementa features relevantes do Jailbreak
e melhora a segurança do iOS brutalmente
• Jailbreak torna-se cada vez mais difícil de ser
realizado
• Não há mais motivos para usuários normais
usarem-o. Jailbreak entra em decadência
• Hoje: o iOS é o sistema operacional mobile mais
seguro do mundo (obrigado, jailbreak!)

16. O que aprendemos nesse
processo?

17. 1) Hardware e sistema
operacional seguro
• Todos os apps rodam isoladamente em sandbox
• Manipulação de memória é coisa do passado
(kernel ASLR)
• Frameworks de segurança/conexão sólidos
• Hardware com suporte a operações criptográficas
fortes (encriptação de alto nível)
• Armazenamento seguro no aparelho (hardware
keychain) e na nuvem (iCloud)
• Autenticação forte: senha e Touch ID (biometria)

20. 2) Privacidade pode ser
uma ilusão

26. 3.1) Apenas o padrão/óbvio não
é seguro suficiente no mobile…

29. Você Banco
SSL normal
(comunicação segura com o banco)
Você BancoBad guy
SSL interceptado
(você sabe que há alguém se passando pelo banco)
Você BancoBad guy
gotofail;
(há alguém se passando pelo banco, mas você não sabe disso)

31. 3.2) Apenas o padrão/óbvio não
é seguro suficiente no servidor…

34. "Catastrophic" is the right word. On the scale of
1 to 10, this is an 11.
!
- Bruce Schneier

36. fonte: http://www.digitaltrends.com/mobile/heartbleed-bug-apps-affected-list/#!FUYZT

37. SSL
+
criptografia própria para
dados de cartão
=
dados protegidos contra
Heartbleed/gotofail :D

38. Mobile
Loja
Meio de
pagamento
2) envio dos dados de cartão encriptados!
apenas com HTTPS/SSL para a loja,!
que precisará manipulá-los.
2) a loja lê os dados do cartão e os!
repassa para o meio de pagamentos!
usando apenas HTTPS/SSL
Fluxo de pagamentos normal

39. Mobile
Loja
Pagar.me
1) obtenção de chave RSA pública (cadeado aberto)
2) envio dos dados de cartão encriptados!
com a chave pública do Pagar.me!
(cadeado fechado)
3) repasse dos dados de cartão!
encriptados para o Pagar.me, que!
tem a chave privada (abrir o cadeado)

40. 4) Poucos se importam com segurança
(até terem um problema de segurança)
MVP
Prazos
Meta
Clientes
Produto
Faturamento
Segurança?
Time

44. 5) Todos estamos vulneráveis.
(alguns menos, outros muito mais)

46. Como ser o mais seguro
possível então?
• Seguir rigidamente o guia de desenvolvimento
seguro da Apple (http://bit.ly/PBTluj)
• Atenção máxima a comunidade
• Manter SEMPRE versões de softwares de segurança
atualizadas (OpenSSL)
• Não se contentar com o padrão/óbvio (ex: confiar
na existência de senhas ou apenas em SSL)
• Bom senso (reduzir superfície de ataque)

47. Overall…

48. Toda falha de segurança é
um erro humano (duh)

49. Planejar
Resistir
Detectar
Responder

50. Obrigado! :)
PEDROFRANCESCHI
@pedroh96
pedro@pagar.me
www.pagar.me

51. Segurança no iOS
O que aprendemos em 7 anos de iPhone?
PEDROFRANCESCHI
@pedroh96
pedro@pagar.me
www.pagar.me