12. Primórdios do iPhone
(2007)
• Sem AppStore e muitas funcionalidades essenciais
• Sem suporte a usuários corporativos
• Segurança = piada
• Surgimento do Jailbreak
• Início da“briga de gato e rato”entre Apple vs
Hackers
14. O Jailbreak se populariza
(2007-2011)
• Geohot lança o primeiro desbloqueio do iPhone
(2007)
• Surge o JailbreakMe.com, site que facilita e
populariza o Jailbreak
• Nasce o iPhone Dev Team, que desbloqueia
inúmeras versões do iPhone entre 2009 e 2010
• comex relança o JailbreakMe em 2010, Jailbreak
vira mainstream e ganha a mídia
15. Apple contra-ataca
(2011-hoje)
• Apple implementa features relevantes do Jailbreak
e melhora a segurança do iOS brutalmente
• Jailbreak torna-se cada vez mais difícil de ser
realizado
• Não há mais motivos para usuários normais
usarem-o. Jailbreak entra em decadência
• Hoje: o iOS é o sistema operacional mobile mais
seguro do mundo (obrigado, jailbreak!)
17. 1) Hardware e sistema
operacional seguro
• Todos os apps rodam isoladamente em sandbox
• Manipulação de memória é coisa do passado
(kernel ASLR)
• Frameworks de segurança/conexão sólidos
• Hardware com suporte a operações criptográficas
fortes (encriptação de alto nível)
• Armazenamento seguro no aparelho (hardware
keychain) e na nuvem (iCloud)
• Autenticação forte: senha e Touch ID (biometria)
26. 3.1) Apenas o padrão/óbvio não
é seguro suficiente no mobile…
27.
28.
29. Você Banco
SSL normal
(comunicação segura com o banco)
Você BancoBad guy
SSL interceptado
(você sabe que há alguém se passando pelo banco)
Você BancoBad guy
gotofail;
(há alguém se passando pelo banco, mas você não sabe disso)
30.
31. 3.2) Apenas o padrão/óbvio não
é seguro suficiente no servidor…
32.
33.
34. "Catastrophic" is the right word. On the scale of
1 to 10, this is an 11.
!
- Bruce Schneier
38. Mobile
Loja
Meio de
pagamento
2) envio dos dados de cartão encriptados!
apenas com HTTPS/SSL para a loja,!
que precisará manipulá-los.
2) a loja lê os dados do cartão e os!
repassa para o meio de pagamentos!
usando apenas HTTPS/SSL
Fluxo de pagamentos normal
39. Mobile
Loja
Pagar.me
1) obtenção de chave RSA pública (cadeado aberto)
2) envio dos dados de cartão encriptados!
com a chave pública do Pagar.me!
(cadeado fechado)
3) repasse dos dados de cartão!
encriptados para o Pagar.me, que!
tem a chave privada (abrir o cadeado)
40. 4) Poucos se importam com segurança
(até terem um problema de segurança)
MVP
Prazos
Meta
Clientes
Produto
Faturamento
Segurança?
Time
46. Como ser o mais seguro
possível então?
• Seguir rigidamente o guia de desenvolvimento
seguro da Apple (http://bit.ly/PBTluj)
• Atenção máxima a comunidade
• Manter SEMPRE versões de softwares de segurança
atualizadas (OpenSSL)
• Não se contentar com o padrão/óbvio (ex: confiar
na existência de senhas ou apenas em SSL)
• Bom senso (reduzir superfície de ataque)