Reunião do encarregado da OWASP #10

Responsável pela OWASP em Porto Prazenteiro. Reunião #010 Confira a agenda: 19h30–20h10 “Seu aplicativo é seguro?” Nesse bate papo…

01:46:10
Responsável pela OWASP em Porto Prazenteiro. Reunião #010 Confira a agenda: 19h30–20h10 “Seu aplicativo é seguro?” Nesse bate papo…

Olá boa noite a todos todos que nos acompanham aqui na live do capítulo haste Porto Alegre mais um encontro focado no compartilhamento aí sobre segurança no isolante software hoje a gente está aqui com alguns convidados nós temos também o Felipe olivais que é o junto comigo o líder aqui do aspi o pessoal podem ir habilitando aí todos que nos acompanham aqui na live do capítulo Boa noite pessoal Então vamos lá pessoal como eu falei né hoje a gente tá aqui com com dois convidados o Renan postos e o Eduardo Machado primeiramente antes da gente começar gostaria de agradecer a presença de todos hoje a gente tá trazendo dois assuntos bem interessantes aqui para compartilhar com vocês no nosso primeiro nosso primeiro assunto o Renan traz aqui o conhecimento dele sobre segurança relacionada a aplicativos móveis e a nossa segunda nossa segunda palestrante aqui o Eduardo Machado traz apresentação titulada de como integrar ferramentas de Scan ou defect Dojo utilizando PHP para enviar reports por apis então eu vou vou passar um pouquinho aqui fazer uma pequena introdução com relação ao Aspen até para quem tá chegando quem tá conhecendo lápisca agora e aí depois eu vou passar a palavra que o pessoal para a gente dar continuidade não sei se eu queria comentar alguma coisa e Felipe a gente deu só agradecer o pessoal e quem tá online eles assistindo o tempo do Dudu e do Renan que disponibilizaram para criar o conteúdo fazer treinar no tempo muito obrigado pessoal vamos lá fazer pessoas diferentes também para trazer conteúdos diferentes ao áspe pelo mundo né hoje tem mais de 110 mil membros na USP mais de 230 grupos presentes em mais de 70 países essa informação que vocês podem estar sempre sendo atualizada né Vocês podem entrar ali pelo pelo Meet up e pesquisar por o ácido foundation e lá vai ter essa essas informações no Brasil hoje a gente nós temos né 14 capítulos espalhado por alguns estados então tem Belém em Belo Horizonte Brasília João Pessoa Natal Porto Alegre que é o nosso aqui Recife Rio de Janeiro São José dos Campos São Luís São Paulo Vitória Goiânia Curitiba e se você é de algum estado ou de alguma cidade que não tem Capítulo também pode ser criado a gente pode apoiar também para começar a levar conteúdo aí para comunidade de vocês estão falando um pouquinho sobre nós aqui hoje eu e Felipe somos os líderes eu comentei a gente comentou já anteriormente né até então a gente tinha até o início do ano outras três pessoas ali que eram líderes e como eu falei a gente sempre vai a cada dois anos pelo menos trazendo e até fomentando que tem pessoas interessadas a ser líderes de pessoas diferentes para trazer conteúdos diferentes tá então a gente já trabalha bastante tempo com envolvimento Doutor o Felipe trabalha bastante tempo com infraestrutura e a gente nos últimos anos aí começou a migrar muito para área de segurança e começou a se interessar bastante por conteúdos da USP Até que a gente conseguiu participar aqui do Capítulo e agora a gente se tornou Líder aqui para tentar trazer essa cultura de segurança no desenvolvimento para comunidade aqui de Porto Alegre e região Aonde vocês podem nos encontrar né tem a página do capítulo lá no site da USP vocês podem também lá encontrar páginas de outros capítulos né Bem bem no menu inicial ali já tem todos os capítulos que vocês podem consultar nós temos um grupo no telegram também tem o metup onde a gente organiza os eventos e aí por lá a gente cria os eventos e coloca eles se online já coloca o link a gente teve presencial agora no início do mês também aqui em Porto Alegre e aqui no nosso nosso canal do YouTube também então todos os eventos online quando não é transmitido para o YouTube A gente também grava e acaba colocando no YouTube depois antes da gente começar a passar a palavra que já pro Renan Gostaria de reforçar com vocês que as perguntas podem ser feitas ali pelo pelo YouTube né pelo ali no canto direito vai ter a possibilidade de enviar perguntas e aí no final a gente vai pegar essas perguntas no final de cada de cada apresentação e aí a gente vai passando aqui para o palestrante para ele respondendo para vocês Então eu acho que é isso eu não sei se tem mais alguma coisa algum recado que eu esqueci aí Felipe então só que para todo mundo tá vendo a gente está procurando palestrantes que tenham um tema relevante para segurança para multiplicar o conhecimento de vocês se vocês tiverem interesse também palestrar o aspas aberto aqui para achar o público certo de segurança para receber esse conteúdo Então se vocês quiserem falar só entrar em contato conosco ou se quiserem que a gente vá numa instituição de ensino alguma coisa pode entrar em contato conosco uma apresentação e a gente passa as perguntas aqui no final então que vierem a gente passa as perguntas aqui no final Beleza vou compartilhar a tela aqui pode compartilhar [Música] beleza pessoal boa noite primeiramente aí gostaria de agradecer né Fernando Felipe pelo convite e agradecer pelos Passos aí para poder levar esse conteúdo para todo mundo até falando um pouco sobre apresentação que vai ser essa apresentação né ela pode ser mais tratada como se fosse um bate-papo Pode ficar à vontade para levantar as perguntas Pode ficar à vontade no final lá de prazer qualquer dúvida que a gente começou esclarecer e assim toda apresentação é um aprendizado Tanto para quem tá apresentando Quem tá assistindo também então pode ficar à vontade qualquer coisa que eu falar que vocês quiserem corrigir Pode ficar à vontade também tá apresentação vai ser sobre desenvolvimento de aplicação seguras e o título e o seu é está seguro essa é uma dúvida que todo mundo levanta no desenvolvimento de aplicativos móveis [Música] de software embarcado gosto muito de trabalhar com Arduino né Arduino Uno a blindando qualquer tipo de placa para poder fazer desenvolvimento de customização autorização de residência também tem bastante tempo que trabalha na desenvolvimento móvel comecei a trabalhar com desenvolvimento móvel na área na época que tinha Sim ainda né simbios desenvolvido também para aplicações classificados já desenvolvi minhas aplicações para Firefox já trabalhei com tudo peguei desde o início dos movimentos do Android e IOS até o momento atual essa é uma frase que eu sempre gosto de trazer meus apresentações que muita gente muitas empresas na verdade né Elas deixam um pouco a segurança de lado acaba priorizando outras áreas e ela acabam valorizando o requisito de segurança após sofrer um incidente e isso é muito grave porque a empresa ela constrói todo uma reputação durante vários anos em toda uma visibilidade de mercado e demora pouco tempo em poucos segundos ela pode sofrer um ataque de segurança e ter alguma informação vazada e toda essa reputação da empresa ela vai para água abaixo então é mais uma um alerta que fica para as empresas né não deixarem um pouco mais de foco na segurança para focar em melhor na segurança porque baseado em todos os incidentes que a gente vem vivendo aí na internet né empresas que deixam credenciais expostas no código e só vão fortalecer a parte de segurança lá de segurança quando o incidente acontece aí daí para frente não adianta muito porque já perdeu a reputação os clientes já foram afetados o valor da empresa pode cair então na minha visão todas as empresas ela precisam fortalecer a área de segurança da mesma forma que elas contratam a quantidade de desenvolvedores por exemplo se você for olhar nas empresas maioria do das pessoas da área de tecnologia é mais voltada para desenvolvimento testes enfim menos de segurança Então essa é uma dica que eu sempre gosto de deixar nos slides principais é um ponto que é muito interessante porque não sei se todo mundo que tá assistindo essa apresentação acompanhou a evolução das tecnologias né mas há muito tempo atrás o foco dos atacantes e o market share Global era mais de dispositivos desktop eram computadores de mesa ali era um notebook o smartphone não ele não tinha essa capacidade era mais para poucas pessoas né o acesso era limitado e com isso o market share é muito baixo com isso os atacantes o pessoal que que faz ataques para em Sistemas né eles tocavam mais dispositivos desktop PC sistemas operacionais de computadores mesmo servidores e deixavam de lado smartphones até porque era uma quantidade limitada de pessoas hoje com Market shared de novo crescendo absurdamente todo mundo hoje tem um device em casa tem pessoas que tem muito mais com device o foco acaba sendo alterado a superfície de ataque de novo hoje ela é muito maior do que é top se você for olhar nessa cidade que eu trouxe é quase o dobro né de market share boa em relação a desktop então é o desenvolvimento novo ele tem que ter a sua a sua análise crítica em relação à segurança todo mundo quando foi desenvolver uma solução ela tem que fazer uma análise para saber se aquela solução Tá seguro para disponibilizar para o mercado ou até mesmo para poder é validar se aquela se aquela aplicação ela tá sendo distribuída de uma forma correta a primeira pergunta que eu gosto de fazer para pessoa que usa dispositivo móvel smartphone principalmente é se você verifica aquelas permissões registradas ou se a aplicação que você tá desenvolvendo você solicita as permissões realmente necessárias para aquela aplicação você não solicita alguma permissão a mais é que não vai ser usada é porque que eu falo isso porque muitas vezes é um usuário ingênua ou um usuário que não tem tanto conhecimento ele acaba instalando uma aplicação achando que uma aplicação legítima pode ser até uma aplicação legítima porém os desenvolvedores não tiveram tanta atenção nessa permissões aí o usuário vai lá é deixa todas as permissões aceita todas as permissões e acaba nem lendo os pop-ups né que atualmente a granularidade das permissões ela tá muito alta para você que consegue dar permissões para várias funcionalidades específicas e o usuário vai só aceitando aceitando e passa todas aquelas permissões sem analisasse de fato ele quer dar aquelas permissões ele quer usar o web e isso abre algumas brechas né porque quando você dá uma permissão para por exemplo um aplicativo lenços você já dá uma pensão de que aquele aplicativo ele pode interpretar aquela chamada saber porque você tá ligando saber para quem você De quem você tá recebendo uma ligação interceptar por exemplo SMS Muitas pessoas não pensam pro aplicativo interceptar SMS e se você receber de uma empresa de um banco por exemplo você sabe que esse aplicativo pode ler seu sms não sei se muitas pessoas já viram quando vocês a permissão para aqueles aplicativos de operadora por exemplo e quando você vai fazer uma ligação para essa operadora o aplicativo da operadora vai para frente do seu discador aqui também ele tá ele tá interceptando a sua ligação e tá sabendo que você tá ligando para operadora e isso gera um aplicativo poderia facilitar o seu dia a dia mas acaba se tornando também uma brecha essa pessoa não presta atenção nesse tipo de permissão né aqui vou mostrar um pouco sobre algumas formas de distribuição de retros maliciosos que muitas vezes né o usuário do smartphone ele acaba compartilhando aquele device com um filho uma filha ou algum conhecido uma pessoa pede deixa eu usar os seus device um filho uma filha pega deixa eu usar o The Voice para instalar um joguinho só que dentro daquele device tem também tem também seu aplicativo de mensagens tem o seu aplicativo de e-mail E com isso a criança ou até um usuário que não tem conhecimento acaba instalando um aplicativo malicioso Essas são algumas lojas e sites não oficiais de instalação de aplicativos você consegue entrar nessas lojas baixar o aplicativos muitas vezes essas lojas elas fazem o espelhamento da loja oficial nesse caso pode ser que não tenha nenhum problema por exemplo o Aptoide ela tem costume de fazer espelhamento de aplicativos da loja de lojas do Android tá E com isso pode ser que venha um aplicativo realmente legítimo que nada aconteça no seu celular mas tem algumas aplicações que podem por exemplo manipular aquele aplicativo que foi é distribuído numa loja oficial incluindo malicioso quando o usuário for baixar aquele aplicativo ele vai achar no aplicativo original e vai estar comprometendo a segurança do dispositivo consequentemente essas distribuições elas acontecem podem acontecer de forma manual um usuário pode chegar lá e distribuir o aplicativo ou pode muitas vezes também falando mais voltada ao Android né porque dispositivos iOS eles possuem dinheiro Break você consegue fazer o Jailbreak e no Android você consegue fazer é root o pessoal fala rotear vou fazer Break para fazer o dinheiro Break no IOS é um processo mais complicado dependendo da versão do iOS que é operacional porém pelo fato do dispositivo também são de alto valor principalmente aqui no Brasil muitas pessoas nem se preocupam em fazer um bem para baixar o aplicativo ou fazer alguma operação no Sistema Nacional para ter um acesso alguma informação que não tem de forma oficial né E com isso acaba sendo um pouco o ambiente né o ecossistema da Apple acaba sendo um pouco mais seguro não que o iOS o iPhone seja mais seguro com Android muitas pessoas quando essa informação mas acaba que o Oeste eles se torna um pouco mais seguro devido ao ecossistema o Android não o Android você pode pegar o aplicativo desses sites entrar aqui no seu celular na parte de configurações respeitar a instalação de aplicativos de fotos desconhecidas fazendo isso você consegue instalar normalmente o aplicativo um outro ponto também é o que é code muitas vezes você compra um dispositivo na China por exemplo e vem um manual e vem um QR code para você fazer a instalação do aplicativo que vai utilizar que é dispositivo né e porém aquele que é onde não direcionar uma loja oficial direcional para um site você basta aquele aplicativo falando de Android Você vai baixar um APK e você instala no seu device Qual é a garantia que você tem que ter aquele aplicativo um aplicativo seguro que ele foi validado pelas distribuidoras ou que ele faz qualquer validação de segurança para que não atrapalha ou não tira integridade do seu dispositivo Isso é um problema grave que muita gente muitos conhecimento acaba fazendo esse tipo de download também mas como que é possível modificar Existem várias formas Você pode baixar Você pode ter acesso ao ipla que é o binário do iOS e você baseado nesses arquivos muita gente chegou por exemplo usar jogos crackeados o aplicativo será criados no seu computador da mesma forma que acontecia com os aplicativos os programas de computadores acontecem também no dispositivos principalmente porque ele recebe uma aplicação ele recebe um arquivo que vai ser executado dentro do seu celular mas é isso de posse disso qualquer pessoa que tem conhecimento ele pode fazer uma engenharia rever o aplicativo e distribuir hoje em dia se não tiver alguns problemas que eu vou falar a seguir é uma coisa bem simples de fazer com pensamentos mais maliciosos conseguem fazer isso para obtenção de bens ou pensações valores ou pensam até de informações hoje em dia de informação é muito valiosa quem tem muita informação consegue vender facilmente numa deep web consegue rever os dados de usuários Então hoje você tem criminosos em todo lugar você consegue nós tem essas informações em qualquer lugar que ele acessar na internet e facilmente vai querer essas informações do seu trabalho o que fazem justamente para isso para obter bens e valores não tem ou até mesmo atacar alguma empresa muitas empresas elas principalmente na época da pandemia mandaram seus usuários para cá trabalhar remoto e com isso é colocaram alguns algumas aplicações para esses usuários terem acesso a arquivos da empresa a sistemas da empresa e acessar isso tudo via celular tá E com isso o pessoal focou os criminosos focaram nessa nessa nesses dispositivos né nessa ação desnecessário arquivos de empresa baseado em outros caminhos Você sabe que eu pelo colaborador por algum funcionário da empresa e como faço para dificultar esse que é o passo que eu vou escrever aqui na vou falar que na apresentação mas Lembrando que o que a gente pode fazer é dificultar não existe nenhuma aplicação que ela é 100% é bloqueada contra engenharia reversa contra a situação de dados o que a gente pode fazer é dificultar ao máximo tem depósito binário se dependendo da motivação do criminoso ele pode vasculhar a aplicação ele vai até um você pode conseguir informações que você tentou dificultar o acesso quantos de atenção durante o desenvolvimento Quando você vai desenvolver uma aplicação móvel muitas empresas por desconhecimento da documentação oficial até porque as documentações oficiais das plataformas tanto iOS quanto Android né são os principais hoje em dia elas fornecem alguns dias para você desenvolver de forma segura fazer uma comunicação com servidor de forma segura porém pela pressa na verdade muitas vezes e desconhecimento dessa documentação alguns desenvolvedores acabam seguindo e fazendo o desenvolvimento de uma forma não muito correta Principalmente as empresas que começam a desenvolver o aplicativo que coloca uma tela de vocês todo mundo que tá assistindo essa apresentação a maioria das pessoas são mulheres a maioria das aplicações começam a desenvolvidos pela tela de login e você faz da forma e vai atender que vai solucionar o seu problema em parte de desenvolvimento das Fitness só que a tela de login ela fica esquecida a forma que você faz o login fica esquecido e com isso você vai crescendo toda sua aplicação por trás só que o ponto de entrada é o fato de você ter deixado essa essa tela de login esquecida criam-se em brechas tá e para ajudar nesse desenvolvimento a própria hóspera ela tem uma parte de documentação de desenvolvimento de aplicação seguras tá inclusive ela tem um guia que a OMS que é o de padrões de verificação né E tem também o mmastg que é o guia de teste dessas implementações você pode fazer a implementação da recomendada e validar com isso e você pode fazer o teste também para ver se aquela implementação que você fez de forma correta propósito bem completa do a documentação possui vários pontos bem interessantes se você segue esse guia já te dá uma segurança muito boa no nas complicações já faz com que ela tem um nível de maturidade muito bacana em relação a questões de segurança tá na documentação da Apple também tem algum tem um tópico somente de segurança que define as boas práticas de segurança de desenvolvimento na plataforma iOS o mesmo é acontece na plataforma do Android tá tem as melhores práticas de desenvolvimento algumas técnicas para mitigação desses riscos tá eu volto a frisar porque na verdade é mitigação porque você não consegue nas 100% dos riscos como todo mundo que trabalha com segurança sabe Hoje você lança uma ferramenta de proteção Amanhã vem alguém quebra aquela proteção e seu aplicativo fica desprotegido então é uma corrida de gato e rato aí toda vez que você pegar sua aplicação Provavelmente você vai ter que melhorar alguma coisa tá Quais são as técnicas tem o Code harding quer você pode usar ofuscação e a imprimidação né criptografia de alguns dados da sua aplicação ela pode ser implementada na sua aplicação de forma que vai ofuscar mesmo o código né ela vai dificultar o entendimento de algumas regras de alguns frutos ela não vai modificar alguns frutos para que não seja entendido de forma fácil né você o atacante Ele tem dificuldade em interpretar o qual que é o fluxo da sua aplicação ela faz também alteração de operadores aritméticos por exemplo ela altera para que o atacante não entenda qual que seja qual que seria aquela validação para ser executados do código se tiver algum fluxo tem a validação e é criptografia a implementação seria na verdade por exemplo de recursos ou de Strings por exemplo dentro do seu código se tiver uma streaming lá sensível você pode criptografar aquelas de forma que o atacante não consegue entender o que tá sendo carregado naquela estribe né naquele texto que tenha dentro do seu da sua obrigação ou até mesmo arquivos de recursos você tem som dentro do o aplicativo ou arquivo que contém alguma informação é não muito crítica porque o ideal é que não tem informações de alta criticidade dentro do dispositivo tá o Galaxy a maioria da implementação mais crítica seja feita via bem quente mas que você tem algum arquivo que precisa de uma segurança a mais você pode criptografar aquele dado e também existe a proteção que é o resto que existem várias ferramentas de mercado hoje não é não é possível que seja desenvolvido você pode desenvolver se você tiver conhecimento você tiver vontade de desenvolver essa segurança mas o ideal é que já tem essas ferramentas já definidas para você usar porque já tem conhecimento de mercado Eles já tem uma maturidade muito alta de proteção nisso em relação é uma proteção de execução o que que isso garante garante que a sua aplicação ela Se defenda de ataque durante a execução dela por exemplo uma aplicação no dispositivo que seja roteado que tenha Rute onde é o Break a minha aplicação se ela for uma aplicação aqui necessite de uma integridade maior no ambiente que ela está sendo executada eu posso proteger ela no tempo de execução para que ela não seja executada nesse tipo de device isso faz com que minha aplicação a execução dela seja mais segura e que ela não sofra nenhum ataque externo baseado em alguma técnica que algum criminoso tente implementar sua aplicação o gol de hardware o que que ele vai fazer ele vai disputar a engenharia reversa é um dos pontos que eu falei que é pegar sua aplicação entender Qual é a loja a lógica do código pegar se tem alguma implementação específica por exemplo algum cálculo matemático alguma coisa que você faça internamente nessa aplicação Ou que tenha alguma biblioteca que você desenvolveu que seja é algo proprietário ela vai dificultar a engenharia reversa disso porque só porque como eu disse se o atacante é motivado ele vai conseguir e lá no bit e vai entender como a solução funciona mas dificulta bastante você cria várias camadas de proteção na sua aplicação extração de dados aplicação se você tiver algum arquivo de recurso ou tiver alguma chave que esteja trafegando dentro da sua obrigação ou algum dado que trafega entre o método e outro precisa de uma segurança maior esse vai ajudar nessa nessa sofisticação desse tipo de dado extração de chave se você tiver algum dado no seu código relacionado Ah eu tenho uma chave de uma pi eu tenho uma chave de eu tenho alguma chave de comunicação com algum servidor eu tenho alguma lógica ali de implementação com outro device alguma chance com outro device não vai ajudar nesse ponto tá e roubo de propriedade intelectual Então disse se você tiver alguma alguma implementação proprietária alguma biblioteca ou não Pode você desenvolver específico para sua aplicação que ela seja de propriedade da sua empresa ela vai dificultar o entendimento dessas dessas regras né [Música] isso é um dado que é meio alarmante né que menos de 10 de 10 tempos de mais de 3 mil aplicativos de que você tem que a gente tem hoje né nas lojas de aplicativos tanto da Apple quanto da no Google Play né Por exemplo a gente tem mais de 3 mil aplicativos financeiros e menos de 10% usam alguma camada adicional de segurança ou seja fazem o básico da implementação de segurança e algumas delas Nem fazem o básico né deixam isso mais vulnerável ainda isso faz com que a aplicação ela tenha um alto nível ou uma superfície de ataque muito grande fazendo com que os atacantes não tem quase dificuldade nenhuma para poder acessar algum dado ou até mesmo manipular essa aplicação de distribuir alguma loja para poder roubar dados de clientes ou dados de colaboradores que utilizam aquela ferramenta aqui tem um exemplo de uma aplicação simples que que eu fiz aqui para para exemplificar ela é uma aplicação que eu fiz para teste de ss e nesse print você pode ver aí que vocês podem ver que tem o fim independente aqui do certificado ele tá exposto né eu consigo pegar esse que realmente ele por exemplo e colocar na minha aplicação e tentar manipular isso aqui para poder exercitar o dado ou até mesmo por exemplo capturar Quais são as apis que o a minha aplicação a aplicação que eu tô atacando tá chamando por exemplo se eu quiser atacar essa aplicação eu modifico Independente de falar com um repente de Um certificado válido ou até mesmo eu posso eliminar essa lógica da aplicação que ela faz a validação de certificado ela tem certificado eu posso remover essa implementação e fazer a aplicação comunicar com meu aplicativo de interceptação de dados eu posso pegar todas as apis Como que é o funcionamento da comunicação da minha pi com servidor da minha aplicação com servidor eu posso fazer isso de forma bem simples de se minha aplicação não tiver ofuscado Esse é um código sem oficiação aí tem as regras do tratamento da minha aplicação que que eu posso fazer com esse tipo de dados eu posso pegar a minha aplicação que eu tô querendo atacar por exemplo modificar a minha chamada da aplicação remover as regras de validação por exemplo se o meu usuário for xppo eu deixo ele passar se ele for diferente isso eu bloqueio uma mensagem de erro nessa forma que a aplicação tá hoje consigo fazer qualquer eu consigo entender ela completamente como que é o fluxo de desenvolvimento é assim pessoal não se atendem aí a parte natural porque ela tá bem simples mesmo não tem nem um padrão de Direito de arquitetura exatamente para exemplificar como ficaria fácil de um atacante ou de uma pessoa que tá querendo explorar sua aplicação ela conseguiria ver de forma fácil como eu todo funcionamento dessa aplicação Inclusive eu consigo modificar o fluxo da sua aplicação consigo pegar aplicação lá na ele foi chamar a tela de login ele usuário digital usuário e senha eu posso enviar um fazer um post no api minha e faço o post na play normal eu posso fazer todo esse tratamento toda essa modificação como vocês podem ver dá para ver todos os pacotes da aplicação tá aqui eu usei uma ferramenta é bem simples código fonte aberta porque não tem acesso a ela posso pegar essa aplicação aqui e fazer qualquer motivação que eu quiser o código com o fuscação já passa seu bem diferente como vocês podem ver aqui o código os pacotes né que vocês tinham aqui nos lados anterior eles não existem mais é a mesma aplicação porém nesse dessa forma que foi feita galera ela é Usei com o básico no Android falando especificamente para poder ofuscar não é nenhuma oficiação de alto nível aqui eu fiz na verdade o a compactação né dos nomes de pacote que você pode usar o probiótico por exemplo ou R8 que são as ferramentas que são disponibilizadas hoje em dia para desenvolvimento de Android que você pode configurar facilmente um projeto Nativo como vocês podem ver o código de foi completamente alterado e não se parece nada com o código anterior você tem dificuldade para entender qual o pacote está sendo usado você tem dificuldade para entender Qual é a lógica tá sendo usada isso usando um básico da configuração tá aqui eu não usei Nenhuma ferramenta paga eu não usei nenhuma biblioteca de outra empresa foi basicamente uma configuração feita no projeto Android simples para poder chegar a esse nível isso aqui já dá um pouco mais de segurança não é que você vai ter uma segurança 100% você vai ter uma segurança vai dificultar um pouco mais o acesso e o entendimento Da Lógica da aplicação o que que é o Code Hard a partir de criptografia como vocês podem ver é aqui eu tenho uma string sensível dentro do meu código isso é um exemplo tá e você você pode pegar essa aplicação e você vai encontrar ela por exemplo uma uma chave uma chave de ouro certificado como foi feito no como você me usaria anterior Você tem uma chave ali para poder comunicar com essa aí você tem uma escrito aqui você tem por exemplo um token de comunicação no seu servidor Você tem uma chave de armazenamento uma chave de criptografia de informação que não é o ideal de ter isso dentro do códice tem meios de melhorar essa segurança nesse caso aqui a chave ela estaria exposta minha aplicação ela não tá usando nenhuma criptografia nenhuma criptografia de recurso nesse caso aqui não tem nem por exemplo o tratamento de pacotes não tem nenhuma configuração básica aplicação está novamente exposta essa criptografia de streaming você pode fazer uma implementação sua né para poder criptografar essas estrias baseado em alguma ferramenta ou alguma lógica que você queira implementar porém tem ferramentas que fazem isso no caso a ferramenta que eu gosto de usar bastante tem experiência da voz a gente usa bastante isso envolvimento no dia a dia como vocês podem ver nessa tela não o código foi alterado a string que ela está Inclusive eu peguei uma ferramenta do que é gerado pela ferramenta de ficção que a ferramenta basta do Android ela não fornece essa criptografia tá e não fornece também alguns parâmetros algumas formas de virtualização de código e essas ferramentas pagas elas fazem isso não é impossível de um desenvolvedor fazer essa implementação mas é bastante complicado não é possível mas é bastante complicado nesse caso eu peguei um mapeamento da ferramenta fornece para poder entender para onde que foi aquela implementação dessa classe que eu fiz aqui que tinha sido no caso ele foi para esse pacote aqui ó para essa classe BW só que se vocês forem olhar nessa classe não tem nenhuma informação e isso aqui é feito de uma forma bem simples nessas ferramentas básicas por exemplo falando no caso de criptografia tá vocês definem a string e depois que a ferramenta AGE em cima do vinagre daquela aplicação ou no da aplicação empacotada ele consegue fazer a criptografias e também eles geram uma chave que ele coloca dentro da aplicação para poder dificultar o acesso e a decretação dessas Chaves é como eu disse para vocês e o que que ele previne tá e previne alteração das funcionalidades de execução porque quando você tem uma aplicação por exemplo faz um login ou faz uma exemplo muito muito simples hoje você tem muitos jogos por exemplo você tem exibição de propagandas você tem também por exemplo alguns algumas compras que você pode fazer dentro de uma publicação por exemplo você tem itens que você só pode ser desbloqueado a fase ou algumas aplicações que você consegue por exemplo é habilitar algumas funcionalidades baseado em determinadas condições dentro da aplicação e isso faz com que a sua aplicação de vulnerável você faz uma pigmentação de Que tal usuário se pagar presente valor x vai ter acesso a uma funcionalidade Y se você não protege a sua aplicação em tempo de execução o usuário ele pode executar uma uma funcionalidade alguma ferramenta para fazer uma modificação de educação e ele vai ter acesso aquela funcionalidade tá interceptação de dados expostos na aplicação por exemplo se você tem alguma chave pode ter a terra armazenado no Store por exemplo mas que você trafega essas essas chaves em parâmetros de funções dentro da sua aplicação se você não utiliza nenhuma proteção em tempo de execução a interceptação daquele método pode revelar qualquer chave por exemplo pode revelar Qual que é o dado que você passado naquele método você pode alterar o funcionamento de determinados métodos nas publicação você pode fazer também a manipulação daquele dado por exemplo vamos supor que você tenha educação financeira né você vai fazer a transferência para uma para um amigo de algum valor e no funcionamento do botão de transferir você vai modifica aquele o ataque de modifica aquele funcionamento para ela andar transfere para mais um usuário e valor acima do esperado tá Lógico que pode ser bloqueado no pé quente tá galera não tô falando que fazendo essa alteração aí vai funcionar mais não pode ser colocado bem quente execução em ambiente manipulado muitas vezes vocês não sei se você já já viram algumas pessoas algumas partes na China por exemplo alguns Alguns criminosos lá fazendo manipulações de jogos alguma coisa desse tipo vários devices em prateleira alguns algumas aplicações também querem executadas vários computadores emuladores ou dispositivos roteados que você conseguiria acesso a dados sigilosa aplicação ou acessa bando de dados internos aplicação o braço também protege nesse caso dificuldade para distribuição indevida o que que seria isso quando eu falei lá no começo de que muitas vezes você baixa aqueles aplicativos de lojas não oficiais se sua aplicação ela foi modificada ou por exemplo ela foi alguns lá colocou algum código malicioso dentro da sua aplicação o Rastro também protege nesse sentido fazendo com que ele detectica sua aplicação foi alterada e quando você faz a execução da aplicação ele conseguir executa ou pode dependendo da suplementação ele pode fechar a aplicação ou ele pode chamar um TalkBack uma função foi alterada e o Rastro ele serve para proteger todos o asfáticos todos esses possíveis fraudes né tanto de manipulação de ambiente manipulação certificado proteção de modificação execução ambiente controlado o que que seria o anti tamper nessa tela é eu peguei uma aplicação aquela mesma aplicação de ss que eu fiz lá exibindo para vocês ali a chave exposta né O que que é o Tumblr por exemplo aqui tem um código smile code que é pegar uma aplicação feita para Android você faz a extração do código dela esse código aqui seriam é o código mais fácil interpretação antes de chegar a nível da JBL da máquina virtual do Android tá E com isso você consegue entender e manipular aplicação só que se você tiver o anti tampa habilitado em uma ferramenta que tenha suporte ao Rastro o que que ele vai fazer ele vai injetar na sua aplicação o código fazendo com que ele verifique baseado em resto por exemplo se todos os seus arquivos estão inalterados e até por exemplo se o certificado de assinatura da sua aplicação foi alterado isso gera um alerta para que você possa tratar isso internamente na sua aplicação exibindo pop-up de alerta ou até mesmo deixando o funcionamento normal que o funcionamento dele ficou dessas ferramentas fazem esse monitoramento é Fechar aplicação com isso você aumenta a proteção do aplicativo no seu aplicativo e também previne o rei empacotamento a rede distribuição dos aplicativos muitas vezes você pode ver que tem alguns aplicativos não sei se o WhatsApp ainda tem mas muitos aplicativos fazem você vê alguns Clones aplicativo modificado o background ave nesse aplicativo aqui você consegue mudar a cor da sua mensagem esse aplicativo você consegue mudar a foto que é exibida no início muita gente gosta dessas customizações que alguns Alguns desenvolvedores algumas empresas que desenvolvem não fornecem E com isso Vão buscar soluções alternativas e muitas vezes pelo fato de sua aplicação não está totalmente ofuscada não está totalmente segura um atacante ele pode pegar sua aplicação alterar a cor alterar o funcionamento alterar é tratamento de comunicação e distribuir isso de forma paralela por exemplo se eu pegar uma aplicação hoje de algum banco Vamos dar um exemplo no WhatsApp lógico Provavelmente o WhatsApp vai estar bem seguro mas eu pegar o WhatsApp alterar o código dele alterar com o pacote da aplicação né no Android modificar isso modificar cores eu consigo distribuir na loja uma aplicação lógico que teria que tirar as imagens questão de direitos autorais e distribuiria na loja normalmente com isso o qualquer os órgão conseguiria baixar essa aplicação fazendo com que o comportamento não fosse o poeta e até expondo credenciais E com isso uma Titãs minha aplicação ela não foi modificada tanto modificada de forma fazendo engenharia reversa modificando o código distribuidor nesse caso aqui do Hulk o que que seria o Hulk hoje a gente tem algumas ferramentas que você consegue interceptar o funcionamento você consegue falar né Fazer o apetite dessa ferramenta no seu processo da aplicação e modificar a execução de determinados fluxos na sua aplicação o que seria esse exemplo nesse caso aqui tá baseado no código da aplicação eu tenho aqui um tratamento aqui de retorno seu retorno foi tudo nesse caso ele vai exibir uma mensagem de bem-vindo o retorno se ele não foi alterado o funcionamento do falso eu vou exibir o valor alterado essa mensagem de valor alterado hoje em dia se a aplicação ela não tiver proteção contra Hulk ou proteção ou ofuscado tá um exemplo muito prático hoje em dia não adianta nada o pessoal implementar porque se você tem a implementação Inclusive a versão de algumas bibliotecas Neto atuais elas sofrem podem sofrer com esse ataque também se nesse caso não é aplicação é não tiver proteção contra é de execução o que que o atacante poderia fazer mesmo se eu tivesse com proteção contra-ataque de homem mesmo é eu conseguiria dar o bypass nessa série somente usando o Hulk eu poderia fazer um book de um método de uma biblioteca que ele faz a implementação e não fosse retornar por exemplo uma exceção de que aquele certificado ele não é válido ou conseguiria alternar para que fosse o certificado válido então seria um casamento de ofuscação com a implementação do da detecção de Hulk que é fornecido por uma ferramenta que tenha proteção em tempo de execução tá nesse caso aqui eu usei um script e Usei uma ferramenta chamada de Frida para poder fazer esse look Tá o que que eu fiz nesse caso aqui eu peguei esse método de retorno que tá escrito aqui nessa na linha 13 e coloquei para que quando ele fosse chamado retornasse falso isso pegando uma aplicação que por exemplo ela não tivesse assustada eu consegui facilmente pegar essa classe pegar esse método entender o funcionamento eu ter um comportamento de execução com isso eu conseguiria acionar fluxos dentro da minha aplicação que não era previstos para determinado usuário por exemplo vamos supor que você tem uma o fecho todo né que é uma ficha técnica dentro do seu código e é aquela fitfleg ela só funciona para determinados usuários de categoria x y z baseado se você faz uma implementação que que é facilmente e o Hulk é feito de forma fácil você daria acesso a funcionalidades ao usuários que não teria permissão dessas funcionalidades não conseguia alterar para acessar por exemplo lá vamos supor que na minha aplicação determinado usuário x consiga acessar por exemplo parte financeira um grupo de investimento CTO e grupo e o grupo de usuário Y teria acesso a outra conseguido ter acesso aos dois por exemplo de ser uma educação não tivesse esse tipo de proteção e também não fosse ofuscado tá qual seria o resultado do Hulk daquela implementação do professor ali atrás aqui nesse caso o pino de scl falhou porque o certificado da do site lá que tava sendo feito notificação já foi alterada Mas vocês podem ver nesse segundo print e o valor foi alterado fazendo a execução daquele escrito para poder alterar a função a ferramenta Frida e isso hoje em dia é teve de forma muito fácil pessoal e é o que que a gente pode conseguir com o resto de ação é deixar sua aplicação mais segura na mão do usuário e também proteger a sua aplicação de ataques de acesso a funcionalidade não deveria de acesso a ferramenta de Exposição de chamadas Você bloqueia o iPad Ele tem dificuldade em aceitar os dados Lógico que tem outros métodos E lembrando que todas essas técnicas que eu tô colocando aqui existem outras técnicas também outros meios enfim isso é uma forma de dificultar é o básico de dificultar o atacante até acesso a esse tipo de informação tá com o resto também é possível fazer detecção de Rute se não sei se todo mundo sabe mas curte é quando é o seu device usuário normal do seu debate a nossa aplicação ele consegue acessar e o sistema consegue te chamar processo de sistema consegue acessar arquivos do sistema dentro do seu device Android tá e com a gente consegue instalar aplicações maliciosas consegue manipular o funcionamento de aplicações consegue fazer toda a manipulação de ambiente para que a sua aplicação ela seja mais vulnerável E com isso o ativando o bloqueio em tempo de execução o resto nesse caso você teria alguma funcionalidade para saber se os demais Lógico que não precisa ser exatamente o resto de fabricante vão ver existem ferramentas utensos que faz dão essa funcionalidade essa funcionalidade para você Como saber se fiz a configuração certa tá se você tiver um time para fazer teste Essas são algumas ferramentas que você pode usar para poder validar se essa implementação foi feita de forma correta Lógico que aplicações pagas por exemplo um Xbox ou Xbox eles fornecem um recorte com todas as informações relacionadas são tá nada impede também que você implemente a sua que você faça a sua declaração de vedação do de como tá o nível de segurança mas se você quiser validar a implementação de forma manual essas ferramentas que estão listadas aqui você consegue fazer toda essa análise de todas as partes que ele tem aqui na apresentação por exemplo eu pecath era parte do Android você tem um rooper também que o gás também para iOS Object on também ainda pro tá o Frida pode pode ser usado também enfim todas essas ferramentas você pode ser você pode utilizar para fazer dinheiro arremesso tanto para isso tudo quanto para proteção da sua aplicação e também é para fazer o funcionamento de uma variável ou de um método inclusive é possível fazer book também muita gente faz acha que fazer a implementação de forma Nativa né de alguma parte crítica da educação vai estar Seguro você pode fazer o Hulk também de métodos nativos de fazer isso então o ideal é que se você crie camadas de segurança cada vez mais o acesso à informações e ao funcionamento de explicação vindo de criminosos de atacantes isaacir vocês acham que tá seguro é plataformas no caso aqui são Crossfire muita gente confunde com híbrido essas ferramentas são Crossfire vocês acham que estão seguras né muita gente pega o Hype aí nessas ferramentas que são pro aspectos falar que estão seguras e muitas vezes já vi também pessoal fazendo análise de aplicações e não sabendo onde estão esses arquivos que eu queria dizer que nenhuma plataforma tá totalmente protegida porque como eu disse o arquivo de execução tá na mão do atacante E com isso o ele pode fazer tudo que tiver dentro no caso dos homens é você foi dentro das cenas né da sua aplicação você vai ver todas as dls lá já que ele é desenvolvido de fechar se você fizer o comportamento local pode dentro do seu bando né colocar dentro você esse código de aplicação ele torna um pouquinho mais difícil de você interpretar mas não é possível tá e o flanker Por que que o flutter também é um pouco mais difícil de fazer essa essa engenharia reversa porque ele compila para a linguagem é de baixo nível né E você consegue ter acesso essas informações fazendo engenharia reversas o que que ele faz ele pega a sua biblioteca o flutner da ferramenta do fragmento e faz a notificação para que ele faça o print dos métodos que está sendo usado na aplicação passa também a execução de fluxo da aplicação você consegue entender por onde o método tá passando quase variáveis que estão sendo usados quais os dados justamente por essa alteração na biblioteca né quando você vai fazer o vídeo da aplicação e é isso Pessoal espero que todo mundo tenha gostado aqui eu falei um pouco assim do que pode ser feito existem outras técnicas existem outras formas de fazer essas análises existem outras formas de proteção mas com essas formas que eles têm aqui você teria um básico para sua aplicação ficar um pouco mais segura tá não é o 100% da segurança porque como eu falei hoje você tem um bloqueio amanhã já é modificado já é alterado mas com isso você garante que essa aplicação esteja minimamente segura e possa ser distribuído de forma satisfatória feliz galera cara muito bom Renan muito bom muito obrigado não chegou nenhuma pergunta no chat ali eu tenho algumas eu não sei se o Du eu Fernando também tem perguntas que vocês querem começar principalmente na questão ali de no teu trabalho com os desenvolvedores assim tu vê muita diferença de trabalhar com desenvolvedor web mobile assim na forma de pensar uma forma de se defender justamente pelo que tu falou da pessoa ter o código fonte na mão [Aplausos] [Música] muitas vezes o pessoal faz implementação do building pipelines e acaba gerando alguns arquivos por exemplo de testes unitários ou testes automatizados e já peguei aplicativos que estão na loja por exemplo Google Play na Apple Store que esses arquivos de testes unidades estão dentro do aplicativo foram empacotados até por desconhecimento do pessoal que faz e também esse conhecimento do desenvolvedor que acaba na hora do recrutamento da aplicação deixando de implementar alguma forma de segurança para remover esses aplicativos mas existe sim uma diferença muito grande porque a preocupação que o deve precisa ter no desenvolvimento do aplicativo ele é muito maior do que o desenvolvedor web Porque se o desenvolvedor não é por exemplo hoje tiver algum incidente ele vai lá e desligando e o acesso e a aplicação que tá no debate do usuário Como que você faz até para que que ele [Música] do cliente ou até mesmo seja distribuído pela loja já foi um tempo muito grande ou seja Tem uma parte exposta ali por muito tempo e o usuário o desenvolvedor acaba é não preocupando muitas vezes com esse tipo de situação ele acaba desenvolvendo da forma que ele ia ficar mais correto distribui o app cria alguns mecanismos ali para atualizar mas acaba deixando muitas questões de segurança de lado tá eu vejo muito problema em relação a isso hoje em dia outra coisa que eu fico pensando em interceptação de requisições e apis e tal o que que tu vê assim que o pessoal acaba esquecendo assim sei lá próton na api ou pensa eu tô eu tô no tô dentro do app eu tô seguro eu não sei se tem esse pensamento assim eu tô falando por desconhecimento porque eu não tenho contato com o desenvolvedores roubam então é uma coisa que tem uma maior curiosidade assim trabalhando com segurança pensando que qual é a diferença do público do cliente ali é muitas vezes é cara e não é errado tá se for entrar aí por exemplo eu gosto muito de falar mais pelo Android porque o Android é um ambiente mais fácil manipular mas se você for na Play Store por exemplo baixar muito por exemplo o pessoal faz aplicação foi intuito de levar informação para todo mundo só que acaba esquecendo por exemplo a segurança da comunicação consegue dois justamente responde que você disse aí um criminoso uma pessoa queira até fazer um aplicativo concorrente ele faz toda o mapeamento daquelas apis porque o desenvolvedor Inicial por exemplo ele não colocou um sspinho e nominou o certificado por exemplo para evitar o ataque do bem devido ali até fazer essa situação de requisições né e acaba com que aquele aquele desenvolvedor que tá querendo fazer aplicativo concorrente ele faz uma ferramenta de todas as apis E cria um aplicativo semelhante ou ele até Puxa o banco de dados todo para o servidor dele e cria uma aplicação semelhante tá aí existem mecanismos que você consegue implementar por exemplo sou o mais básico aí hoje em dia você faz a pinagem de certificado você pode fazer pinagem que é até não seria tão legal se você não tiver nada para ofuscar mas se se você tiver o mínimo de segurança você já tem um pouquinho ali de você já se resguarda um pouco né aplicação ela deixa de ser tão vulnerável é muitas vezes também o pessoal usa por exemplo de RPC ah notificação Tá seguro porque tá usando de RPC não ela tem tá vulnerável da mesma forma muitas vezes até o desenvolvedor ele acaba enviando os arquivos próprios que são os arquivos de mapeamento dos bites ali da comunicação né e envia isso junto com a aplicação continua vulnerável mas implementando por exemplo se for o cliente servidor aí vai hoje ou até uma criptografia de Taylor alguma coisa que já dá uma segurança a mais tá mas hoje cara se você for nas lojas aí você vai encontrar várias aplicações totalmente expostas é muito crítico não é [Música] um pouco triste porque é um cenário bem caótico tá bem caótico teria algo para comentar a respeito de segurança e desenvolvimento e aplicações pwa na verdade ela roda ali em cima de uma web viu por si só ela já é crítica né porque se você não implementa uma segurança muito bacana dentro de uma review ou até do componente de web do iOS no Android se você não implementa nenhuma questão de segurança ali é só aplicação também ela fica vulnerável tá o ideal é que se você por exemplo no caso do Android ali foi implementar uma navegação seria otimização do dispositivo né mas cara é bem complicado tá o uso não é muito aconselhável é se for usar com bastante Capela colocar todos os mecanismos de segurança possível de alimentação mais enxuta ali para garantir que a sua criação vai ter seguro mas a Picasso Pode acreditar Não é não É aconselhável usar ela nossas de fuga massa não sei se respondeu depois a gente passa o contato ali bom tem no vídeo aqui tu deixou o teu contato qualquer coisa é só buscar cara muito obrigado Fernandinho tem uma pergunta aí eu não achei achei bem massa Parabéns pela pela apresentação aí bem legal um pouco fora da minha área então fiquei bem curioso de assistir é bem legal para quem não trabalha com o desenvolvimento para celular É bem interessante que o cara saber e principalmente as diferenças né É bem crítico muitas vezes desenvolvedor principalmente ali é exame é uma pessoa que faz teste né nas aplicações acaba indo analisar a parte do Android [Música] ele vai lá na parte do Android tem que usar uma ferramenta pela Microsoft E com isso você criptografa o código que tá dentro do DNL né se você não fizer isso não usar contrafilm pode ter certeza que vai estar totalmente exposto lá a mesma coisa do Sonic você consegue fazer toda a engenharia reversa também então tem que ficar atento esses pontos porque eles não são gerados da mesma forma que nativo é E vai ter lá o as classes lá para você analisar show galera muito obrigado mesmo agora com vocês Eduardo Machado na lista de segurança da King vai falar sobre o Theft do jogo que é uma ferramenta maravilhosa para a gente entrar alisar as nossas vulnerabilidades boa sorte Doutor aí Dudu foi tranquilo Acho que tudo certo então pessoal vou começar primeiramente agradecer oportunidade de estar partindo do conhecimento vou te falar um pouco sobre o que que ele é para que que ele serve Que tipo de pessoa vai utilizar o defeito do Jô e um início um pouco mais teórico para alinhar todo mundo né colocar tudo na mesma página e na sequência a gente vai para o uso da ferramenta mesmo a tentação tá bem compacta aqui mas é vou tentar ser rápido para cabelo tempo de todo mundo um pouquinho sobre mim sou hoje analista de segurança na kinghost já quase dois anos mas na King eu já tô a 10 né sou grata de segurança da informação na UniRitter desenvolvo e do suporte aplicações em PHP 12 anos já e atualmente tô com um projeto de compartilhamento de conhecimento pelo YouTube então Criei um canal sobre segurança de aplicações quem quiser se inscrever lá vai ser vai ser muito bem-vindo garanto que vocês vão gostar do conteúdo vamos dar-lhe detec Dojo ele é uma ferramenta pincer-se gratuita faz parte da code de projetos da uasp e não é uma ferramenta nova né já desde 2015 tem mais de 300 pessoas já contribuíram lá no github a ferramenta bem consolidada e com certeza não tá atrás de Nenhuma ferramenta paga ele é um centralizador de vulnerabilidades até se define como um gerenciador de vulnerabilidades Porque hoje a gente sabe que uma única ferramenta de Scan não nos atende mais então eu tenho ali um trivia olhando para Minhas imagens beleza ele não vai conseguir olhar a parte de redes e scanã de rede que ele mata entrega ele não vai conseguir olhar Oi só um minuto eu acho que não tá passando até os slides Tá não quando começou a falar sobre ti dentro [Música] eu botei para dar de novo agora foi Tá calma aí acho que foi minha capa quando eu falei sobre mim eu tava nesse slides aqui sobre o jogo e agora tô falando sobre os Scans né ainda bem que vocês me interromperam não não tava muito adiante então é praticamente impossível hoje ter nossa aplicação toda coberta por teste ali teste de vulnerabilidade usando só uma ferramenta e quando a gente vai ter uma duas três quatro ferramentas dessa aqui fazendo análise de um mesmo sistema ou análise de vários sistemas dentro da nossa empresa fica inviável de olhar relatório em lugares diferentes de passar para o desenvolvedor o que ele tem que corrigir se ele tem que olhar em vários lugares né Cada um da sua forma de exportar cada um com a sua visualização diferente alguns aqui são são via terminal exclusivamente então o defecto do joio ele resolve esse problema a ferramenta sensacional e para quem tá pensando assim Ah mas aí vai ser um lugar diferente para olhar o time já tá acostumado a pegar as testos pelo gira ou a gente já tem uma comunicação aqui dos deveres no Slack Sei lá o defeito do joelho também exporta e ele tem uma integração bem legal com outras ferramentas Então ele pode notificar por e-mail pode notificar no times nesse leque criar teto direto não gira e ele tem inclusive exportação lá para o Google planilhas né ele não faz porta seria até ele exporta não é um simples gerar csv ele tem cria até um botão de sincronia né então fiz novos Scans clico para sincronizar minha planilha do Google recebe os as informações novas e aqui no slide anterior eu mostrei algumas ferramentas que são Talvez as mais conhecidas aí do pessoal que que desenvolve web tal mas o defect Dojo ele integra com mais de 150 ferramentas de Scan então gratuitas pagas de todos os gostos assim eu vou passar um pouquinho sobre a nomenclatura das coisas que tem dentro do Joe Isso vai nos ajudar na parte prática do entendimento para quem instala é estranho esse conceito de produto porque a gente tá acostumado a escanear projetos né então um produto ele pode ser mais de um repositório pensando em micror serviços ali eu vou ter vários repositórios que fazem que compõem o mesmo produto ou ele também não significa que é um domínio né Tem um domínio eu posso ter um barra blog que é um produto e o que tá no Barra lá na raiz da minha aplicação que é o site é outro produto Então dentro da Factor Jô a gente tem esse conceito de produto cada produto tem ali pode pertencer um tipo de produto vou passar na parte prática sobre isso também tem os engagements que vão ser os momentos aonde um time vai parar para fazer scanner aplicação E aí aqui a gente pode até fazer a referência lá com ciclo de desenvolvimento seguro a gente vai fazer uma primeira etapa de testes logo após o primeiro mvc ali MVP perdão antes de ir para a produção a gente vai fazer uma segunda etapa de testes após ir para produção ou mensalmente a gente vai fazer então cada um desses momentos que o time vai parar para fazer vários testes em cima da aplicação vão ser os enigmas cada inglês a gente pode ter vários testes um ou mais e o teste pode ter pode achar vulnerabilidades ou não teste que ele considera são os resultados daquelas daqueles Scans que eu mostrei no slide anterior e as findens são as possíveis vulnerabilidades né ele considera uma find porque pode ser ainda um falso positivo nesse ponto mostrando um pouquinho de como é que que isso se comporta dentro do sistema né então a gente tem tipos de produto posso ter mais tipos vários produtos pertencendo a um único tipo cada produto tem um ou mais engajamento pensando eu vou fazer Scans mensais a cada mês eu vou ter um gay de meio diferente e dentro desse inglês eu posso ter um ou mais testes né um ou mais ferramentas testando a minha aplicação quando essa aplicação ela quando esses cães testa minha aplicação pode encontrar possíveis vulnerabilidades e serem linkdas a um endpoint da aplicação ou não tá assim como a gente pode ter finentes que não são ligados a gente pode ter testes que não encontram Finds e isso é importante que se a gente for deletar algo aqui a gente está deletando da árvore para baixo né deletei o teste eu acabei com os Finds deletei o inglês a gente eu acabei com os testes e por assim em diante eu preparei dois ambientes aqui na na minha casa aqui para a gente poder testar um eu já trouxe mais testado assim que é um site propositalmente vulnerável inclusive é um projeto da USP e nele eu escaneei com três ferramentas com ASP Zap com drive e comunito e o que a gente vai mexer assim mais agora ao vivo vai ser um blog última versão do WordPress sem outros plugins instalados E até tá aqui a princesinha dele como Ele veio assim fiz a instalação e peguei ele cru a gente vai passar um WP Scan que é focado em WordPress A ideia é que esse blog ele seja o mínimo vulnerável possível né Já tá trabalhando numa versão atual a gente já tá trabalhando ele bem enxuto Então vai ter poucas coisas para gente tratar o que nos dá velocidade aqui na de apresentar vamos para a parte prática compartilhamento ficou certinho aí trocou meu navegador Acho que sim essa aqui é interface Dojo logo que a gente faz a instalação Claro Já tem alguns números aqui em cima porque como eu disse eu fiz o scanner de um site ali a gente vai fazer uma partezinha manual para mostrar para vocês os produtos que eu comentei já tem um site lá que é um site que tem alguns containers ali ele tem parte em Java parte em PHP e nós vamos criar um novo produto que meio escondido no canto adicionar produto nós vamos criar o nosso blog na descrição é interessante que vocês coloquem algo que informa ali tanto para os outros desenvolvedores outros times pior o pessoal todo mundo que tá envolvido aqui que possa ter acesso ao defectojo a entender do que a gente está falando né Tem mais de um blog na empresa Talvez o nome de produto blog seja ruim para o nosso caso aqui de exemplo tá ótimo Vamos colocar aqui só que é 6.1 nas tags a gente pode colocar características Desse nosso sistema e que no futuro nos ajudem a fazer relatório Então vamos colocar aqui ele traz inclusive as tags já existentes né é esse cara aqui também tem HP ele tem WordPress e por enquanto acho que só tá ótimo a gente só tem um user cadastrado aqui nesse meu defeito do jogo de teste Então vou colocar que eu ocupo todos os cargos aqui né Eu sou Manager técnico contact tudo e o produto Type a gente está usando o próprio tipo de produto que já vem de fogo na instalação do defect tô passando meio rápido pessoal mas é que a proposta é mesmo falar sobre integração depois né aqui embaixo tem algumas caixinhas que são interessantes falar que é esse meu WordPress ali ele vai ser acessado por um público externo ou são só colaboradores da minha empresa só funcionários Ah não vai ser um público externo então Marco tá acessível para internet eu marco a partir de aceitação de risco eu até não vou entrar isso aqui é mais para quem for tratar as vulnerabilidades dentro do Jô não tanto para inserção delas crime o produto e agora como é que eu escaneio como é que eu faço ele já de cara cria aqui um todo uma visualização para gente de como é que tá a segurança desse meu projeto que que ele Já identificou que não e a gente vai criar então um beijo gente né comentei com vocês a gente vai ter agora um momento de fazer Scans nesse nessa aplicação eu preciso antes criar um vídeo na hora de criar um inglês inglês tem duas opções a interativa e a SSD vai ficar integrada no nosso time vai ser uma um inglês mente mais automático né não vai depender de um de um analista de alguém de um humano tá ali gerando esses descanso nosso caso vai ser manual e a gente pode colocar aqui que vai ser o primeiro o primeiro beleza descrição aqui a gente vai colocar qualquer coisa só para passar mais rapidinho status Vamos colocar ele como incluso Afinal a gente já vai começar a fazer os testes agora e podemos criar nossa igreja gente criamos ele já vai aparecer como aqui primeiros Scans e entrando nele a gente tem opção de já subir testes previamente eu já fiz esse treinamento com WPS tá o WordPress tá aqui só para mostrar para vocês que tá vivo e é um recém instalado assim não tem nada de mais nele e a gente vai subir esse esses clã que eu fiz manualmente depois a gente vai fazer pela p.i também importo Scans dentro do meu engagement Qual é a severidade mínima que eu quero importar para o Dojo de repente vocês querem importar só vou dar a verdades altas críticas enfim aqui a gente vai deixar todas elas e quando eu comentei com vocês que são 150 integrações estão aqui elas né todo tipo de ferramenta de Scan a gente consegue encontrar aqui para adicionar o defecto do jogo e é um projeto que tem o defeito do joelho tem atualizações quase que que não sai assim muitas vezes até mais de uma vez no mês então o pessoal tá sempre desenvolvendo é aberto então vocês podem inclusive contribuir Ah não tem uma ferramenta aqui quero adicionar lá para tornar compatível também é possível vamos subir aqui o nosso WPS colocamos o tipo é bem importante porque ele vai precisar saber como ler esse relatório que a gente vai subir aqui o service é um ponto bem importante para evitar duplicidade que eu vou falar logo na sequência Por enquanto aqui nós vamos só escrever o WordPress e vou catar meu arquivo aquele importava de alguma coisa inferiormente tudo no padrãozinho Como já vem tá para a gente conseguir mais rápido aqui importei o que eu já tinha feito previamente tá que que ele encontrou encontrou quatro possíveis vulnerabilidades a nível informativo E aí aqui a gente vai poder tratar elas bem legal antes de tratar deixa eu mostrar para vocês configurações essenciais aqui para que tudo funcione da maneira correta para gente primeiro a gente vai ativar aqui que ele não duplique as vulnerabilidades encontradas né senão cada vez que eu subir esse mesmo relatório quando antes eram cinco possíveis vulnerabilidades Ali vai virar 10 depois 15 né a gente não quer isso a gente quer se for a mesma vulnerabilidade passa reto é duplicada tá tudo bem as duplicadas ele mesmo assim sobe tá ele não Ignora ele sobe ela com status de duplicado então eu vou colocar aqui quando passar de 10 duplicadas pode ir apagando as mais antigas tudo bem parte de integração tá aqui que eu comentei com vocês naquele pode mandar para outros lugares as informações e mais embaixo a gente vai ativar um outro cara que quer fechar automaticamente o Engage até não dei ênfase ali mas quando a gente criou o inglês gente a gente define Qual é o tempo específico que esse inglês a gente vai estar vivo então tô criando hoje o padrão que ele vem aqui pelo menos na instalação Inicial são sete dias então a equipe vai ficar de fato sete dias em cima desse desse inglês gente fecha depois falando de automação a gente vai poder ou fechar por api e ninguém a gente ou que ele se fecha automaticamente depois do tempo previsto para ele depois de dois dias que ele deveria estar fechado não foi fecha sozinho é isso vamos salvar aqui isso Vai facilitar nossa vida a partir de agora e vamos voltar nos produtos como eu falei já tinha o site criamos o blog vou entrar nele e vamos dar uma olhada em uma dessas findens para a gente resolver ela todas elas entraram como ativas aqui e até pode não tá fazendo muito sentido ativa e Nativa e tal quando a gente subir de novo outro outro Scan vai ficar mais claro vamos atacar uma delas vamos atacar por exemplo esse redmi que tem aqui então WPS foi lá e viu que tinha um Reed me aberto para ver de fato está lá confirmei essa vulnerabilidade confirmei esse ponto de informativo aqui que o WPS vamos resolver ele deixei aberto Já meu virtualizador já dentro do container do WordPress lá tá aqui meu redmi e nós vamos tirar a permissão dele aqui para você tiramos permissão dele contra o F5 fechou já tá tá 413 aqui já na teoria resolvemos que que a gente pode fazer após resolvido eu poderia vir aqui tratar poderia outra forma é eu posso escanear de novo e vamos ver se ele vai encontrar Afinal a gente já colocou lá que a gente quer remover as duplicadas não tem problema escanear de novo e vocês vão ver agora na pi que tem mais um ponto ali bem importante que é para mitigar as vulnerabilidades que ele não encontrar num novo scan Então já deixei aqui pronto eu estou tudo que é código que eu vou mostrar aqui hoje eu deixei no github Depois eu deixo o link para vocês ali também para quem quiser implementar como é que eu tô de tempo estamos em cima do laço vamos vamos nada começar pela classezinha começar pelo próprio escândalo WP scanner eu começo definindo aonde que eu vou salvar o log né eu vou eu vou executar esse WP Scan dentro de um container dentro de um docker e jogando para fora através de mapeamento aqui o arquivo de retorno dele o relatório dele Jason tô executando uma versão bem enxuta do WP Scan aqui para ser rápido tá durante apresentação aqui porque se eu executasse Completão que eu deixei comentado a gente ia ficar bastante tempo esperando o retorno dele quem quiser executar de verdade assim para valer numa aplicação real recomendo que use uma versão mais porrada para escanear realmente aqui pegar habilidades de plugins durabilidade de temas mais um monte de coisa que ele tem como é que eu inicio a minha verificação aqui né eu creio uma classe de hoje já mostra Ela ali e eu começo basicamente estanciando ela e questionando se existe um inglêsmente ativo nesse meu produto tô chumbando em código aqui no meu produto já vou até pegar ele aqui porque com certeza mudou a gente acabou de criar o produto né tá que eu tava usando antes dos Testes agora o meu produto é de 6 Vamos botar no código aqui sei que não é a melhor prática tá para fins de exemplificar aqui foi o mais rápido única coisa que eu tirei que eu não deixei hardcoder foi o token do WP Scan assim como toquem do jogo também fiz nesse formato de consumir um mini externo que não é personal então primeira coisa que ele faz é ver se tem o inglês mente ativo caso tenha a gente vai usar esse próprio engasgo pensando no momento onde a gente pode estar fazendo vários testes dentro de um mesmo se já tem um ativo vou usar ele não tem vou criar um novo e aí aqui eu tô passando meu ID de produto o título do meu engagement e uma descrição breve para ele vamos dar uma olhada como é que tá na classe isso aqui a classe eu inicio ela bem simples tô deixando hardcoder de novo aqui o endereço do meu defect Dojo local e ele pega também o token de comunicação com API de um mini deixa eu mostrar para vocês aonde fica esse token eu vou ter que puxar mais para baixo porque eu acho que a minha câmera tá no cantinho ali deixa eu botar aqui fica aqui após logado Dojo a gente tem opções da conta prolongado como admin que é o usuário padrão que ele cria e a gente tem aqui api V2 que que traz Justamente a nossa chave para conexão com API se eu abrir o token do joinny é justamente a chave que eu coloquei dentro dele aqui né e um terminando com BD lá no final vamos voltar primeira coisa que ele faz então que a gente visto ali ele vê se tem isso é uma aquisição get e eu tô passando alguns parâmetros aqui na no próprio get mesmo eu tô dizendo que eu só quero em inglês que estão ativos e que o status dele seja em Progresso desse produto específico qualquer coisa diferente disso para a gente não serve tá ele faz o get lá esse get deve retornar 200 qualquer coisa diferente disso vai cair no nosso Elson aqui deu um erro história a gente não tem usuário final né aqui é executado via terminal mesmo então tá tudo certo estourar erro vai estourar erro para mim mesmo tá tudo bem e a Gente Tá informando Então se retornar o count zero significa que eu não tenho nenhum gay gente retorna falsa para quem chamou esse método retornou um entrega o próprio ID desse inglês para ele ser usado para outros descanso Então vou voltar para no nosso caso a gente já tem um gay a gente ativo mas se não tivesse ele a criar engagents E aí eu vou mostrar aqui também rapidinho como é que ele cria o novo nesse caso é uma requisição post e o método aqui que eu criei ele pede três itens o ID do produto o nome desse envelhecimento que vai ser e a descrição assim como tá exatamente aqui né quando se ele fosse criar estaria dessa forma alguns outros parâmetros tem que ser passados E aí eu deixei inclusive dentro do método aqui para ele criar iniciando hoje terminando amanhã pensando em automático um dia é mais do que suficiente para escanear tudo que precisa e eu já tô criando ele como em Progresso também isso tudo vai como Jason no nosso corpo e no Heather thank you token aqui em cima a gente não passa nada né então não precisa dizer que a Jason que é qualquer outro tipo a gente só manda o token e dando tudo certo ele nos retorna htp code 2011 que foi criado a gente pode retornar esse ardido o contrário não está retornando falsa até esse falso pensando agora ele não tá sendo tratado lá né retornar falsa iria e falso perder ninguém me tinha dito bom fica aí de possível melhoria para futuro a gente sempre salva o Scan no mesmo lugar no mesmo diretório com o mesmo nome se vocês forem aplicar e podem fazer de uma maneira diferente tal aqui para simplificar consumindo ele sempre do mesmo endereço então se eu vou escanear o primeiro deleto o arquivo que tem lá caso ele exista [Música] faço de novo a verificação para ver se ele existe caso ele não exista porque a gente teve um problema aqui na hora de gerar esse arquivo não não funciona de alguma maneira travou nosso WP Scan durante escarneamento ou qualquer outro tipo de problema de permissão Ele estoura erro já dá um Dai para a gente poder resolver senão a gente vai montar um post data e aí entra aquilo certo de novo que eu comentei com vocês né até vou ter um comentário do lado que ele é um identificador para comparação de duplicidade quando a gente for ver o outro projeto ali que é o projeto do site vai ficar mais claro aqui a gente só tem um tipo de skan que é o WP Scan e só tem unha de point Então vai ser sempre o mesmo certo tá até se não passar se ele daria tudo certo também WP Scan esses cantaipe eu não posso escrever qualquer coisa aqui o detector joelho espera um campo específico igual ao que a gente viu aqui na hora de importar um scanner Deixa eu só voltar para você para vocês um beijo Se a gente fosse importar um novo Scan é esse exatamente essa palavra tá aqui que também aparece aqui embaixo tá o que tá em aqui no início é o que tem que ir ali no escanteio aqui entra um pulo do gato tá skip duplicates tem que estar true se não ele mesmo tendo marcado nas configurações lá ele não vai pular as duplicadas e o Close old Finds também é muito bom recomendo que sempre esteja true dessa forma se ele escanear e não não apareceu uma mesma vulnerabilidade ele já vai fechar ela com status de mitigada né a gente que foi exatamente que a gente fez a gente foi lá e deu um cego amor naquele ritmo né embaixo Aqui eu só atendo o nosso arquivo tem que usar nas versões mais novas de PHP na antiga eu acho que dá para passar de alguma outra maneira e chama o nosso importe Scan mandando esse arreio aqui só dá uma passada como ele funciona aqui o criei também um closen tá até não preciso usar mostrei para vocês lá que tem o alto Close dos Ingleses Se quiserem usar já tá pronto e o Imports [Música] e o nosso toque novamente para o implante aqui de imports aqui uma coisa bem interessante nem sempre retorna 201 tá Às vezes a gente vai fazer um skan e ele vai ter muita vulnerabilidade ou vai ser muito verboso e vai cair não tá em malte Dojo dá para resolver isso aumentando o tempo de processamento lá sem tem outras formas mas para todo caso eu coloquei aqui que ficou de retorno for 54 ou seja ele interrompeu ali deu um Tai malte no meu retorno tudo certo porque o joelho tem um sistema de filas então retornando 2001 ou 504 já foi para o defecador de uma informação única diferença vai ser aqui no 504 ele ainda vai estar processando isso então qualquer coisa retornamos tru achata que não tá sendo tratado aqui também é ele tá dando um econo true aqui no caso ok vamos executar esse cara deixa eu ver como é que eu tô de tempo já temos passamos já vamos rapidinho pegar WP eu não salvei calma aí eu acho que te dizer eu não salvei que o produtor de novo Claro não tenho prova agora sim escaneado no meu teste que ele tá levando até já criou aqui agora que vem tá levando cinco segundos já vai finalizar aí finalizou mandando jogo bem rápido já enviou vamos dar uma olhada como é que ficou lá no defeito do Jô vou entrar no nosso produto ele continua tendo um Engage a gente mas agora ele tem quatro vulnerabilidades não sei se o pessoal vai lembrar mas tinha cinco Então vamos ver o que que rolou aqui a gente tem dois testes né um feito pelo admin usa que foi aquele que eu fiz manualmente encontrou cinco findens e quatro delas ainda estão ativas olha que massa essa ferramenta é sensacional e uma já tá mitigada ele fez o mesmo Scan depois e só encontrou quatro então uma delas vamos ver qual foi essa aqui tá inativada a do nosso ritmo show de bola fechou todas então agora para finalizar mostrando então um pouco de como subir um escama umas três só um pessoal mas os outros São muito parecidos tá a lógica é exatamente a mesma eu chamo containerzinho salvou um Jason ou um XML no Zap aqui XML que ele consome e faça o envio tá não tem mistério quiser colocar outras ferramentas lá esse formato e funciona muito bem Eu gosto bastante como eu disse vou deixar o código pronto aí para vocês para quem quiser escanear usar na empresa usar local também deixa eu mostrar o outro lá que aí é o nosso cheio de vulnerabilidade que é o site Olha só show de horror ele tem um investimento só eu chamei o inglês sal Poderia chamar de qualquer coisa e nesse cara eu fiz com Zap né ferramenta de Darci ali faz análise dinâmica da aplicação testa os inputs Tenta enviar payload [Música] Tenta descobrir arquivo enfim e testei o drive também que é o Scan de imagem nesse caso aqui tem um ponto que eu quero mostrar para vocês que é porque que eu fiz três descanso com o drive foi a mesma coisa do WP Scan que eu acabei de mostrar aqui foi um depois do outro porque que tá tão diferente dele né não na verdade eu tive como eles escaneia por imagem e esse projeto do site tem três imagens eu escaneei cada uma delas individualmente vamos ver como é que ficou isso na programação aqui fiz cara da maneira mais simples possível gerei uma raizinho e coloquei as imagens que eu quero escanear com uma chave nomeada aqui né por que que eu botei essa chave não fiz uma Rei simples numérico porque eu vou usar essa chave para o nosso service aqui embaixo o service aquele que eu comentei para vocês que impede duplicidade para que que serve isso aqui né Aqui não tem mistério tá pessoal é o mesmo código só que ele tem um farite para para escanear reportagem para cada uma das imagens vamos voltar ali que eu vou mostrar o porquê que é importante ter o Service deixa eu vir aqui direto nas Finds até mostrando um pouco mais a ferramenta vamos ordenar de repente por componente aqui é bem legal que ele já descobre aonde estão as vulnerabilidades e elenca para gente cara olha só Open jdk tá ferrado tenho 116 na verdade dentro desse projeto só né Que componentes desse projeto vamos entrar nele que que tem de vulnerabilidade lá ah tem o cvr aqui 14583 14 593 Pode parecer parecido o número mas é são diferentes ué 14583 de novo tá duplicado isso aí Dudu não o service é diferente esse de cima ele achou na imagem base e esse de baixo no jsp exatamente os índices aqueles que a gente criou né então como eles caninho a cada um ele não pode dizer que é uma duplicidade não eu tenho esse problema duas vezes no meu projeto em lugares diferentes pode estar em servidores diferentes inclusive por isso que é a sacada de usar o service é muito boa ele só duplica se o certo se tiver igual a CV for igual e o antipoint for igual tá nem todo nem todo escravo aí tem de porte o caso do Trevo não gera Point né ele escaneia a imagem escaneia arquivo e tal vamos voltar nas finders aqui ele até achou alguns vamos dar uma olhada que que ele encontrou às vezes pessoal os endpoints dependendo da ferramenta Ou a gente pode ser diferente então pode ver aqui embaixo tem htp:// no de cima não tem no de cima apareceu porta no de baixo não infelizmente é isso aí ele Talvez duplique alguma coisinha de pote e os antipático eles não somem tá finalizando se eu removeu em inglês gente o Point uma vez conhecido só se vocês removerem ele manualmente Deixa eu pensar o que que eu passei passei bem rápido né tentei tentei ficar dando tempo mesmo assim foi um pouquinho eu acho que era isso o sistema é sensacional assim eu recomendo demais o uso quebra um galho gigantesco de não ter que ficar olhando um monte de ferramentas separada Vocês conseguem colocar permissão até nem passei por permissão aqui mas ele tem calendário quando é que tá rodando o os meus engagements né creio em inglês gente para o Blog com sete dias Criei um beijo para o site de um dia só mostra um calendário Quanto quanto tá sendo feita os Scans em qual sistema e na parte de usuários e grupos é bem legal também Vocês conseguem dar permissão diferente para cada nível de acesso que o desenvolvedor vai ter ai cara que ele só visualiza as vulnerabilidades esse outro consegue marcar ela como falsa positiva a ferramenta é sensacional e pessoal era era isso que eu queria apresentar não sei se o pessoal gostou aí prometi deixar o github Então tá aqui embaixo acho que dá para deixar no chat aí também para facilitar a vida do pessoal de novo fazer meu Jabá aqui né tem o meu canal lá quem quiser se inscrever se tiver vontade meu e-mail de contato é isso aí [Música] parabéns vai ter conteúdo cara Temos alguma pergunta aí de vocês do pessoal eu não consegui acompanhar nada deixa eu ver se o doutor eu não tô alguma coisa né Felipe rivais mais conhecido isso aí cara todo mundo habilidade parabéns mesmo parabéns eu achei o chegou alguma pergunta muito interessante do que tão rápido que que não deve ser acho que tem o Jonathan ele falando que gostou bastante Achou bem interessante não conhecia a ferramenta e parabéns valeu Eu mesmo não sou hard user assim eu conheci esse ano tá a gente implementou e cara foi foi um amor assim a primeira vista nos facilitou a vida bastante uma coisa que eu recomendado tipo pegar um escândalo do Twitter e pegar o escândalo teve no jogo é muito difícil é de ficar entendendo o que que é cada cada variedade que ele alertou realmente não não dá assim não tem mistério é impressionante com o impacto visual para quem recebe o relatório o quanto agrega né então Ah cara vai compartilhar passou outro jogou a passar ali o link para o pessoal baixar Eu não passei deixa eu abrir que eu tô sem o YouTube aqui né fechei tudo para não ter o risco de travar nada aquela coisa eu vou mandar o link do Ah legal ficou muito legal meu parabéns Muito obrigado muito obrigado por eles o cara assim o companheiro Dudu fazendo ele tá se esforçando para pegar os exemplos certos fazer fazer o código para compartilhar Muito obrigado acho que muita gente vai usar o teu código aí ficou muito massa baixando githubin instalando os ar livre tem alguma questão de licenciamento em relação a ferramentas que estão Integradas nele não cara todas as ferramentas que eu usei aqui são gratuitas a única que precisa fazer conta é o wpscan e mesmo assim pode usar ele bem tranquilo acho que tem 75 descanso por dia no gratuito ali antigamente era limitado tá agora tem tem isso aí 75 por dia convenhamos que é bastante né E isso são todas elas gratuitas inclusive do Jô Parte da asper software livre é pode pode usar que é sucesso eu fiz mais para apresentar aqui já pensei mas vou tive essa dificuldade de como integrar lá atrás quando foi implementar vamos facilitar a vida de quem foi implementar no futuro né tem documentação Teve outra uma pergunta anterior ali da Elaine a respeito do que que significa o cve se seria um modelo de fragilidade deixa eu ver ela fez uma outra pergunta também estou iniciando os estudos em aspec gostaria de saber o que que seria o cvr vocês podem falar um pouquinho alguns termos perdão pessoal a gente acaba falando porque é do dia a dia mas vamos lá o CV é uma documentação de vulnerabilidade desconhecidas Então quando vocês vem assim Ah tem uma vulnerabilidade no Twitter Sei lá nem sei tá surtando qualquer nome geralmente isso é ligado a algo já conhecido então vazou uma credencial ou consegue injetar algum código através de blog há um tempo atrás a gente teve log 4shall aí que foi bem grande bem divulgado Então são catalogadas de acordo com o ano eu até mostrei quando eu tava mostrando a tela ali começava com 2020 né então a vuneidade que foi descoberto em 2020 e o número que vem depois é alta incrementado ele só vai aumentando a cada uma que é descoberta a CW é também é uma é uma fraqueza conhecida uma fraqueza eu não sei muito bem como explicar Talvez o guris possam explicar melhor que eu mas é algo também já conhecido que deve ser cuidado ali no momento do desenvolvimento e a catalogado esse padrão é o até complementando o CW é é algo que é uma vulnerabilidade encontrada então é um registro de uma vulnerabilidade encontrada eu também vou falar um pouco por cima assim porque eu não cheguei a analisar a língua para explicar de uma forma mais mais aprofundada mas basicamente será referente a uma vulnerabilidade encontrada e o cws são fraquezas que pode vir levar a explorar uma vulnerabilidade Então são todos eles são bases de conhecimento Então cws sempre que é encontrado uma vulnerabilidade num software ou pensar se por exemplo até software proprietário é registrado como um cvr e a o cws podem pesquisar lá até para identificar possíveis fragilidades que o software possa ter e que pode vir a gerar um cvm mas acaba que não tem uma ligação uma ligação direta acho que é mais ou menos isso e não faz muita parte não eu queria compartilhar uma outra ferramenta que a gente passou a consumir também que é o open CV é um site e lá Vocês conseguem dizer por exemplo a gente usa Outlook e tal versão a gente usa Windows 11 a gente usa o pacote Office aqui enfim tudo que vocês quiserem colocar lá dentro do Open cvr ele no momento que surgiu uma nova vulnerabilidade para que ele sofre até se cadastrados por vocês ele manda um e-mailzinho Opa software tu usa tem uma nova vulnerabilidade conhecida ou teve uma atualização Vale bastante a pena cadastrar por lá também gratuito Hoje aconteceu uma coisa interessante com um littilab né até se vocês usam não só em Severa também se cadastre no fornecedor do software o glitilab ele mandou um aviso antes por e-mail para os usuários dizendo que que ia lançar uma nova versão e que tem variabilidade que era para atualizar e daí depois ele deixou o público então é interessante o pensamento não tem um contato direto não tem algum tipo de suporte direto é open estiver contraiu né perfeitos pessoal acho que é isso cara muito obrigado pelo tempo de vocês espero que vocês não Aspen continuem apoiando esse grupo aqui vindo participar nós temos o espaço aberto para quem quiser palestrar tem algum assunto se vocês tiverem um assunto que vocês queiram tratar que vocês queiram ouvir mais envolvendo segurança a gente pode correr atrás de palestrantes também para trazer para comunidade grandinho que acaba aí obrigado Renan Obrigado Dudu espero vocês mais vezes aqui com certeza eu acho que é isso você agradecer nossos palestrantes aqui que vieram Compartilhar esse material com a gente agradeceu o pessoal que tá assistindo e convidar para que procurem nós lá no telegram tem o chat tem o grupo então procurar lá por aspe Porto Alegre vocês vão encontrar e tudo isso que eu que o Felipe comentou aqui de sugerir assunto Daqui um pouquinho vir palestrar aqui a ideia que no próximo ano a gente faça aí no mínimo quatro eventos de novo melhor se a gente conseguir fazer mais quanto mais sugestões de conteúdo mas eventos a gente consegue consegue fazer e tá compartilhando aqui então muito obrigado pela presença e de todos