{"id":60,"date":"2022-12-11T14:41:37","date_gmt":"2022-12-11T17:41:37","guid":{"rendered":"https:\/\/criptografarphp.com.br\/site\/reuniao-do-chefe-da-owasp-10\/"},"modified":"2023-03-30T16:40:24","modified_gmt":"2023-03-30T19:40:24","slug":"reuniao-do-chefe-da-owasp-10","status":"publish","type":"post","link":"https:\/\/www.criptografarphp.com.br\/site\/reuniao-do-chefe-da-owasp-10\/","title":{"rendered":"Reuni\u00e3o do encarregado da OWASP #10"},"content":{"rendered":"\n<p>Respons\u00e1vel pela OWASP em Porto Prazenteiro. Reuni\u00e3o #010 Confira a agenda: 19h30\u201320h10 \u201cSeu aplicativo \u00e9 seguro?\u201d Nesse bate papo&#8230;<br \/>\n<iframe src=\"https:\/\/www.youtube.com\/embed\/fpwJxab0hm4\" width=\"580\" height=\"385\" frameborder=\"0\" allowfullscreen=\"allowfullscreen\"><\/iframe><br \/>\n01:46:10<br \/>\nRespons\u00e1vel pela OWASP em Porto Prazenteiro. Reuni\u00e3o #010 Confira a agenda: 19h30\u201320h10 \u201cSeu aplicativo \u00e9 seguro?\u201d Nesse bate papo&#8230;<\/p>\n<p>Ol\u00e1 boa noite a todos todos que nos acompanham aqui na live do cap\u00edtulo haste Porto Alegre mais um encontro focado no compartilhamento a\u00ed sobre seguran\u00e7a no isolante software hoje a gente est\u00e1 aqui com alguns convidados n\u00f3s temos tamb\u00e9m o Felipe olivais que \u00e9 o junto comigo o l\u00edder aqui do aspi o pessoal podem ir habilitando a\u00ed todos que nos acompanham aqui na live do cap\u00edtulo Boa noite pessoal Ent\u00e3o vamos l\u00e1 pessoal como eu falei n\u00e9 hoje a gente t\u00e1 aqui com com dois convidados o Renan postos e o Eduardo Machado primeiramente antes da gente come\u00e7ar gostaria de agradecer a presen\u00e7a de todos hoje a gente t\u00e1 trazendo dois assuntos bem interessantes aqui para compartilhar com voc\u00eas no nosso primeiro nosso primeiro assunto o Renan traz aqui o conhecimento dele sobre seguran\u00e7a relacionada a aplicativos m\u00f3veis e a nossa segunda nossa segunda palestrante aqui o Eduardo Machado traz apresenta\u00e7\u00e3o titulada de como integrar ferramentas de Scan ou defect Dojo utilizando PHP para enviar reports por apis ent\u00e3o eu vou vou passar um pouquinho aqui fazer uma pequena introdu\u00e7\u00e3o com rela\u00e7\u00e3o ao Aspen at\u00e9 para quem t\u00e1 chegando quem t\u00e1 conhecendo l\u00e1pisca agora e a\u00ed depois eu vou passar a palavra que o pessoal para a gente dar continuidade n\u00e3o sei se eu queria comentar alguma coisa e Felipe a gente deu s\u00f3 agradecer o pessoal e quem t\u00e1 online eles assistindo o tempo do Dudu e do Renan que disponibilizaram para criar o conte\u00fado fazer treinar no tempo muito obrigado pessoal vamos l\u00e1 fazer pessoas diferentes tamb\u00e9m para trazer conte\u00fados diferentes ao \u00e1spe pelo mundo n\u00e9 hoje tem mais de 110 mil membros na USP mais de 230 grupos presentes em mais de 70 pa\u00edses essa informa\u00e7\u00e3o que voc\u00eas podem estar sempre sendo atualizada n\u00e9 Voc\u00eas podem entrar ali pelo pelo Meet up e pesquisar por o \u00e1cido foundation e l\u00e1 vai ter essa essas informa\u00e7\u00f5es no Brasil hoje a gente n\u00f3s temos n\u00e9 14 cap\u00edtulos espalhado por alguns estados ent\u00e3o tem Bel\u00e9m em Belo Horizonte Bras\u00edlia Jo\u00e3o Pessoa Natal Porto Alegre que \u00e9 o nosso aqui Recife Rio de Janeiro S\u00e3o Jos\u00e9 dos Campos S\u00e3o Lu\u00eds S\u00e3o Paulo Vit\u00f3ria Goi\u00e2nia Curitiba e se voc\u00ea \u00e9 de algum estado ou de alguma cidade que n\u00e3o tem Cap\u00edtulo tamb\u00e9m pode ser criado a gente pode apoiar tamb\u00e9m para come\u00e7ar a levar conte\u00fado a\u00ed para comunidade de voc\u00eas est\u00e3o falando um pouquinho sobre n\u00f3s aqui hoje eu e Felipe somos os l\u00edderes eu comentei a gente comentou j\u00e1 anteriormente n\u00e9 at\u00e9 ent\u00e3o a gente tinha at\u00e9 o in\u00edcio do ano outras tr\u00eas pessoas ali que eram l\u00edderes e como eu falei a gente sempre vai a cada dois anos pelo menos trazendo e at\u00e9 fomentando que tem pessoas interessadas a ser l\u00edderes de pessoas diferentes para trazer conte\u00fados diferentes t\u00e1 ent\u00e3o a gente j\u00e1 trabalha bastante tempo com envolvimento Doutor o Felipe trabalha bastante tempo com infraestrutura e a gente nos \u00faltimos anos a\u00ed come\u00e7ou a migrar muito para \u00e1rea de seguran\u00e7a e come\u00e7ou a se interessar bastante por conte\u00fados da USP At\u00e9 que a gente conseguiu participar aqui do Cap\u00edtulo e agora a gente se tornou L\u00edder aqui para tentar trazer essa cultura de seguran\u00e7a no desenvolvimento para comunidade aqui de Porto Alegre e regi\u00e3o Aonde voc\u00eas podem nos encontrar n\u00e9 tem a p\u00e1gina do cap\u00edtulo l\u00e1 no site da USP voc\u00eas podem tamb\u00e9m l\u00e1 encontrar p\u00e1ginas de outros cap\u00edtulos n\u00e9 Bem bem no menu inicial ali j\u00e1 tem todos os cap\u00edtulos que voc\u00eas podem consultar n\u00f3s temos um grupo no telegram tamb\u00e9m tem o metup onde a gente organiza os eventos e a\u00ed por l\u00e1 a gente cria os eventos e coloca eles se online j\u00e1 coloca o link a gente teve presencial agora no in\u00edcio do m\u00eas tamb\u00e9m aqui em Porto Alegre e aqui no nosso nosso canal do YouTube tamb\u00e9m ent\u00e3o todos os eventos online quando n\u00e3o \u00e9 transmitido para o YouTube A gente tamb\u00e9m grava e acaba colocando no YouTube depois antes da gente come\u00e7ar a passar a palavra que j\u00e1 pro Renan Gostaria de refor\u00e7ar com voc\u00eas que as perguntas podem ser feitas ali pelo pelo YouTube n\u00e9 pelo ali no canto direito vai ter a possibilidade de enviar perguntas e a\u00ed no final a gente vai pegar essas perguntas no final de cada de cada apresenta\u00e7\u00e3o e a\u00ed a gente vai passando aqui para o palestrante para ele respondendo para voc\u00eas Ent\u00e3o eu acho que \u00e9 isso eu n\u00e3o sei se tem mais alguma coisa algum recado que eu esqueci a\u00ed Felipe ent\u00e3o s\u00f3 que para todo mundo t\u00e1 vendo a gente est\u00e1 procurando palestrantes que tenham um tema relevante para seguran\u00e7a para multiplicar o conhecimento de voc\u00eas se voc\u00eas tiverem interesse tamb\u00e9m palestrar o aspas aberto aqui para achar o p\u00fablico certo de seguran\u00e7a para receber esse conte\u00fado Ent\u00e3o se voc\u00eas quiserem falar s\u00f3 entrar em contato conosco ou se quiserem que a gente v\u00e1 numa institui\u00e7\u00e3o de ensino alguma coisa pode entrar em contato conosco uma apresenta\u00e7\u00e3o e a gente passa as perguntas aqui no final ent\u00e3o que vierem a gente passa as perguntas aqui no final Beleza vou compartilhar a tela aqui pode compartilhar [M\u00fasica] beleza pessoal boa noite primeiramente a\u00ed gostaria de agradecer n\u00e9 Fernando Felipe pelo convite e agradecer pelos Passos a\u00ed para poder levar esse conte\u00fado para todo mundo at\u00e9 falando um pouco sobre apresenta\u00e7\u00e3o que vai ser essa apresenta\u00e7\u00e3o n\u00e9 ela pode ser mais tratada como se fosse um bate-papo Pode ficar \u00e0 vontade para levantar as perguntas Pode ficar \u00e0 vontade no final l\u00e1 de prazer qualquer d\u00favida que a gente come\u00e7ou esclarecer e assim toda apresenta\u00e7\u00e3o \u00e9 um aprendizado Tanto para quem t\u00e1 apresentando Quem t\u00e1 assistindo tamb\u00e9m ent\u00e3o pode ficar \u00e0 vontade qualquer coisa que eu falar que voc\u00eas quiserem corrigir Pode ficar \u00e0 vontade tamb\u00e9m t\u00e1 apresenta\u00e7\u00e3o vai ser sobre desenvolvimento de aplica\u00e7\u00e3o seguras e o t\u00edtulo e o seu \u00e9 est\u00e1 seguro essa \u00e9 uma d\u00favida que todo mundo levanta no desenvolvimento de aplicativos m\u00f3veis [M\u00fasica] de software embarcado gosto muito de trabalhar com Arduino n\u00e9 Arduino Uno a blindando qualquer tipo de placa para poder fazer desenvolvimento de customiza\u00e7\u00e3o autoriza\u00e7\u00e3o de resid\u00eancia tamb\u00e9m tem bastante tempo que trabalha na desenvolvimento m\u00f3vel comecei a trabalhar com desenvolvimento m\u00f3vel na \u00e1rea na \u00e9poca que tinha Sim ainda n\u00e9 simbios desenvolvido tamb\u00e9m para aplica\u00e7\u00f5es classificados j\u00e1 desenvolvi minhas aplica\u00e7\u00f5es para Firefox j\u00e1 trabalhei com tudo peguei desde o in\u00edcio dos movimentos do Android e IOS at\u00e9 o momento atual essa \u00e9 uma frase que eu sempre gosto de trazer meus apresenta\u00e7\u00f5es que muita gente muitas empresas na verdade n\u00e9 Elas deixam um pouco a seguran\u00e7a de lado acaba priorizando outras \u00e1reas e ela acabam valorizando o requisito de seguran\u00e7a ap\u00f3s sofrer um incidente e isso \u00e9 muito grave porque a empresa ela constr\u00f3i todo uma reputa\u00e7\u00e3o durante v\u00e1rios anos em toda uma visibilidade de mercado e demora pouco tempo em poucos segundos ela pode sofrer um ataque de seguran\u00e7a e ter alguma informa\u00e7\u00e3o vazada e toda essa reputa\u00e7\u00e3o da empresa ela vai para \u00e1gua abaixo ent\u00e3o \u00e9 mais uma um alerta que fica para as empresas n\u00e9 n\u00e3o deixarem um pouco mais de foco na seguran\u00e7a para focar em melhor na seguran\u00e7a porque baseado em todos os incidentes que a gente vem vivendo a\u00ed na internet n\u00e9 empresas que deixam credenciais expostas no c\u00f3digo e s\u00f3 v\u00e3o fortalecer a parte de seguran\u00e7a l\u00e1 de seguran\u00e7a quando o incidente acontece a\u00ed da\u00ed para frente n\u00e3o adianta muito porque j\u00e1 perdeu a reputa\u00e7\u00e3o os clientes j\u00e1 foram afetados o valor da empresa pode cair ent\u00e3o na minha vis\u00e3o todas as empresas ela precisam fortalecer a \u00e1rea de seguran\u00e7a da mesma forma que elas contratam a quantidade de desenvolvedores por exemplo se voc\u00ea for olhar nas empresas maioria do das pessoas da \u00e1rea de tecnologia \u00e9 mais voltada para desenvolvimento testes enfim menos de seguran\u00e7a Ent\u00e3o essa \u00e9 uma dica que eu sempre gosto de deixar nos slides principais \u00e9 um ponto que \u00e9 muito interessante porque n\u00e3o sei se todo mundo que t\u00e1 assistindo essa apresenta\u00e7\u00e3o acompanhou a evolu\u00e7\u00e3o das tecnologias n\u00e9 mas h\u00e1 muito tempo atr\u00e1s o foco dos atacantes e o market share Global era mais de dispositivos desktop eram computadores de mesa ali era um notebook o smartphone n\u00e3o ele n\u00e3o tinha essa capacidade era mais para poucas pessoas n\u00e9 o acesso era limitado e com isso o market share \u00e9 muito baixo com isso os atacantes o pessoal que que faz ataques para em Sistemas n\u00e9 eles tocavam mais dispositivos desktop PC sistemas operacionais de computadores mesmo servidores e deixavam de lado smartphones at\u00e9 porque era uma quantidade limitada de pessoas hoje com Market shared de novo crescendo absurdamente todo mundo hoje tem um device em casa tem pessoas que tem muito mais com device o foco acaba sendo alterado a superf\u00edcie de ataque de novo hoje ela \u00e9 muito maior do que \u00e9 top se voc\u00ea for olhar nessa cidade que eu trouxe \u00e9 quase o dobro n\u00e9 de market share boa em rela\u00e7\u00e3o a desktop ent\u00e3o \u00e9 o desenvolvimento novo ele tem que ter a sua a sua an\u00e1lise cr\u00edtica em rela\u00e7\u00e3o \u00e0 seguran\u00e7a todo mundo quando foi desenvolver uma solu\u00e7\u00e3o ela tem que fazer uma an\u00e1lise para saber se aquela solu\u00e7\u00e3o T\u00e1 seguro para disponibilizar para o mercado ou at\u00e9 mesmo para poder \u00e9 validar se aquela se aquela aplica\u00e7\u00e3o ela t\u00e1 sendo distribu\u00edda de uma forma correta a primeira pergunta que eu gosto de fazer para pessoa que usa dispositivo m\u00f3vel smartphone principalmente \u00e9 se voc\u00ea verifica aquelas permiss\u00f5es registradas ou se a aplica\u00e7\u00e3o que voc\u00ea t\u00e1 desenvolvendo voc\u00ea solicita as permiss\u00f5es realmente necess\u00e1rias para aquela aplica\u00e7\u00e3o voc\u00ea n\u00e3o solicita alguma permiss\u00e3o a mais \u00e9 que n\u00e3o vai ser usada \u00e9 porque que eu falo isso porque muitas vezes \u00e9 um usu\u00e1rio ing\u00eanua ou um usu\u00e1rio que n\u00e3o tem tanto conhecimento ele acaba instalando uma aplica\u00e7\u00e3o achando que uma aplica\u00e7\u00e3o leg\u00edtima pode ser at\u00e9 uma aplica\u00e7\u00e3o leg\u00edtima por\u00e9m os desenvolvedores n\u00e3o tiveram tanta aten\u00e7\u00e3o nessa permiss\u00f5es a\u00ed o usu\u00e1rio vai l\u00e1 \u00e9 deixa todas as permiss\u00f5es aceita todas as permiss\u00f5es e acaba nem lendo os pop-ups n\u00e9 que atualmente a granularidade das permiss\u00f5es ela t\u00e1 muito alta para voc\u00ea que consegue dar permiss\u00f5es para v\u00e1rias funcionalidades espec\u00edficas e o usu\u00e1rio vai s\u00f3 aceitando aceitando e passa todas aquelas permiss\u00f5es sem analisasse de fato ele quer dar aquelas permiss\u00f5es ele quer usar o web e isso abre algumas brechas n\u00e9 porque quando voc\u00ea d\u00e1 uma permiss\u00e3o para por exemplo um aplicativo len\u00e7os voc\u00ea j\u00e1 d\u00e1 uma pens\u00e3o de que aquele aplicativo ele pode interpretar aquela chamada saber porque voc\u00ea t\u00e1 ligando saber para quem voc\u00ea De quem voc\u00ea t\u00e1 recebendo uma liga\u00e7\u00e3o interceptar por exemplo SMS Muitas pessoas n\u00e3o pensam pro aplicativo interceptar SMS e se voc\u00ea receber de uma empresa de um banco por exemplo voc\u00ea sabe que esse aplicativo pode ler seu sms n\u00e3o sei se muitas pessoas j\u00e1 viram quando voc\u00eas a permiss\u00e3o para aqueles aplicativos de operadora por exemplo e quando voc\u00ea vai fazer uma liga\u00e7\u00e3o para essa operadora o aplicativo da operadora vai para frente do seu discador aqui tamb\u00e9m ele t\u00e1 ele t\u00e1 interceptando a sua liga\u00e7\u00e3o e t\u00e1 sabendo que voc\u00ea t\u00e1 ligando para operadora e isso gera um aplicativo poderia facilitar o seu dia a dia mas acaba se tornando tamb\u00e9m uma brecha essa pessoa n\u00e3o presta aten\u00e7\u00e3o nesse tipo de permiss\u00e3o n\u00e9 aqui vou mostrar um pouco sobre algumas formas de distribui\u00e7\u00e3o de retros maliciosos que muitas vezes n\u00e9 o usu\u00e1rio do smartphone ele acaba compartilhando aquele device com um filho uma filha ou algum conhecido uma pessoa pede deixa eu usar os seus device um filho uma filha pega deixa eu usar o The Voice para instalar um joguinho s\u00f3 que dentro daquele device tem tamb\u00e9m tem tamb\u00e9m seu aplicativo de mensagens tem o seu aplicativo de e-mail E com isso a crian\u00e7a ou at\u00e9 um usu\u00e1rio que n\u00e3o tem conhecimento acaba instalando um aplicativo malicioso Essas s\u00e3o algumas lojas e sites n\u00e3o oficiais de instala\u00e7\u00e3o de aplicativos voc\u00ea consegue entrar nessas lojas baixar o aplicativos muitas vezes essas lojas elas fazem o espelhamento da loja oficial nesse caso pode ser que n\u00e3o tenha nenhum problema por exemplo o Aptoide ela tem costume de fazer espelhamento de aplicativos da loja de lojas do Android t\u00e1 E com isso pode ser que venha um aplicativo realmente leg\u00edtimo que nada aconte\u00e7a no seu celular mas tem algumas aplica\u00e7\u00f5es que podem por exemplo manipular aquele aplicativo que foi \u00e9 distribu\u00eddo numa loja oficial incluindo malicioso quando o usu\u00e1rio for baixar aquele aplicativo ele vai achar no aplicativo original e vai estar comprometendo a seguran\u00e7a do dispositivo consequentemente essas distribui\u00e7\u00f5es elas acontecem podem acontecer de forma manual um usu\u00e1rio pode chegar l\u00e1 e distribuir o aplicativo ou pode muitas vezes tamb\u00e9m falando mais voltada ao Android n\u00e9 porque dispositivos iOS eles possuem dinheiro Break voc\u00ea consegue fazer o Jailbreak e no Android voc\u00ea consegue fazer \u00e9 root o pessoal fala rotear vou fazer Break para fazer o dinheiro Break no IOS \u00e9 um processo mais complicado dependendo da vers\u00e3o do iOS que \u00e9 operacional por\u00e9m pelo fato do dispositivo tamb\u00e9m s\u00e3o de alto valor principalmente aqui no Brasil muitas pessoas nem se preocupam em fazer um bem para baixar o aplicativo ou fazer alguma opera\u00e7\u00e3o no Sistema Nacional para ter um acesso alguma informa\u00e7\u00e3o que n\u00e3o tem de forma oficial n\u00e9 E com isso acaba sendo um pouco o ambiente n\u00e9 o ecossistema da Apple acaba sendo um pouco mais seguro n\u00e3o que o iOS o iPhone seja mais seguro com Android muitas pessoas quando essa informa\u00e7\u00e3o mas acaba que o Oeste eles se torna um pouco mais seguro devido ao ecossistema o Android n\u00e3o o Android voc\u00ea pode pegar o aplicativo desses sites entrar aqui no seu celular na parte de configura\u00e7\u00f5es respeitar a instala\u00e7\u00e3o de aplicativos de fotos desconhecidas fazendo isso voc\u00ea consegue instalar normalmente o aplicativo um outro ponto tamb\u00e9m \u00e9 o que \u00e9 code muitas vezes voc\u00ea compra um dispositivo na China por exemplo e vem um manual e vem um QR code para voc\u00ea fazer a instala\u00e7\u00e3o do aplicativo que vai utilizar que \u00e9 dispositivo n\u00e9 e por\u00e9m aquele que \u00e9 onde n\u00e3o direcionar uma loja oficial direcional para um site voc\u00ea basta aquele aplicativo falando de Android Voc\u00ea vai baixar um APK e voc\u00ea instala no seu device Qual \u00e9 a garantia que voc\u00ea tem que ter aquele aplicativo um aplicativo seguro que ele foi validado pelas distribuidoras ou que ele faz qualquer valida\u00e7\u00e3o de seguran\u00e7a para que n\u00e3o atrapalha ou n\u00e3o tira integridade do seu dispositivo Isso \u00e9 um problema grave que muita gente muitos conhecimento acaba fazendo esse tipo de download tamb\u00e9m mas como que \u00e9 poss\u00edvel modificar Existem v\u00e1rias formas Voc\u00ea pode baixar Voc\u00ea pode ter acesso ao ipla que \u00e9 o bin\u00e1rio do iOS e voc\u00ea baseado nesses arquivos muita gente chegou por exemplo usar jogos crackeados o aplicativo ser\u00e1 criados no seu computador da mesma forma que acontecia com os aplicativos os programas de computadores acontecem tamb\u00e9m no dispositivos principalmente porque ele recebe uma aplica\u00e7\u00e3o ele recebe um arquivo que vai ser executado dentro do seu celular mas \u00e9 isso de posse disso qualquer pessoa que tem conhecimento ele pode fazer uma engenharia rever o aplicativo e distribuir hoje em dia se n\u00e3o tiver alguns problemas que eu vou falar a seguir \u00e9 uma coisa bem simples de fazer com pensamentos mais maliciosos conseguem fazer isso para obten\u00e7\u00e3o de bens ou pensa\u00e7\u00f5es valores ou pensam at\u00e9 de informa\u00e7\u00f5es hoje em dia de informa\u00e7\u00e3o \u00e9 muito valiosa quem tem muita informa\u00e7\u00e3o consegue vender facilmente numa deep web consegue rever os dados de usu\u00e1rios Ent\u00e3o hoje voc\u00ea tem criminosos em todo lugar voc\u00ea consegue n\u00f3s tem essas informa\u00e7\u00f5es em qualquer lugar que ele acessar na internet e facilmente vai querer essas informa\u00e7\u00f5es do seu trabalho o que fazem justamente para isso para obter bens e valores n\u00e3o tem ou at\u00e9 mesmo atacar alguma empresa muitas empresas elas principalmente na \u00e9poca da pandemia mandaram seus usu\u00e1rios para c\u00e1 trabalhar remoto e com isso \u00e9 colocaram alguns algumas aplica\u00e7\u00f5es para esses usu\u00e1rios terem acesso a arquivos da empresa a sistemas da empresa e acessar isso tudo via celular t\u00e1 E com isso o pessoal focou os criminosos focaram nessa nessa nesses dispositivos n\u00e9 nessa a\u00e7\u00e3o desnecess\u00e1rio arquivos de empresa baseado em outros caminhos Voc\u00ea sabe que eu pelo colaborador por algum funcion\u00e1rio da empresa e como fa\u00e7o para dificultar esse que \u00e9 o passo que eu vou escrever aqui na vou falar que na apresenta\u00e7\u00e3o mas Lembrando que o que a gente pode fazer \u00e9 dificultar n\u00e3o existe nenhuma aplica\u00e7\u00e3o que ela \u00e9 100% \u00e9 bloqueada contra engenharia reversa contra a situa\u00e7\u00e3o de dados o que a gente pode fazer \u00e9 dificultar ao m\u00e1ximo tem dep\u00f3sito bin\u00e1rio se dependendo da motiva\u00e7\u00e3o do criminoso ele pode vasculhar a aplica\u00e7\u00e3o ele vai at\u00e9 um voc\u00ea pode conseguir informa\u00e7\u00f5es que voc\u00ea tentou dificultar o acesso quantos de aten\u00e7\u00e3o durante o desenvolvimento Quando voc\u00ea vai desenvolver uma aplica\u00e7\u00e3o m\u00f3vel muitas empresas por desconhecimento da documenta\u00e7\u00e3o oficial at\u00e9 porque as documenta\u00e7\u00f5es oficiais das plataformas tanto iOS quanto Android n\u00e9 s\u00e3o os principais hoje em dia elas fornecem alguns dias para voc\u00ea desenvolver de forma segura fazer uma comunica\u00e7\u00e3o com servidor de forma segura por\u00e9m pela pressa na verdade muitas vezes e desconhecimento dessa documenta\u00e7\u00e3o alguns desenvolvedores acabam seguindo e fazendo o desenvolvimento de uma forma n\u00e3o muito correta Principalmente as empresas que come\u00e7am a desenvolver o aplicativo que coloca uma tela de voc\u00eas todo mundo que t\u00e1 assistindo essa apresenta\u00e7\u00e3o a maioria das pessoas s\u00e3o mulheres a maioria das aplica\u00e7\u00f5es come\u00e7am a desenvolvidos pela tela de login e voc\u00ea faz da forma e vai atender que vai solucionar o seu problema em parte de desenvolvimento das Fitness s\u00f3 que a tela de login ela fica esquecida a forma que voc\u00ea faz o login fica esquecido e com isso voc\u00ea vai crescendo toda sua aplica\u00e7\u00e3o por tr\u00e1s s\u00f3 que o ponto de entrada \u00e9 o fato de voc\u00ea ter deixado essa essa tela de login esquecida criam-se em brechas t\u00e1 e para ajudar nesse desenvolvimento a pr\u00f3pria h\u00f3spera ela tem uma parte de documenta\u00e7\u00e3o de desenvolvimento de aplica\u00e7\u00e3o seguras t\u00e1 inclusive ela tem um guia que a OMS que \u00e9 o de padr\u00f5es de verifica\u00e7\u00e3o n\u00e9 E tem tamb\u00e9m o mmastg que \u00e9 o guia de teste dessas implementa\u00e7\u00f5es voc\u00ea pode fazer a implementa\u00e7\u00e3o da recomendada e validar com isso e voc\u00ea pode fazer o teste tamb\u00e9m para ver se aquela implementa\u00e7\u00e3o que voc\u00ea fez de forma correta prop\u00f3sito bem completa do a documenta\u00e7\u00e3o possui v\u00e1rios pontos bem interessantes se voc\u00ea segue esse guia j\u00e1 te d\u00e1 uma seguran\u00e7a muito boa no nas complica\u00e7\u00f5es j\u00e1 faz com que ela tem um n\u00edvel de maturidade muito bacana em rela\u00e7\u00e3o a quest\u00f5es de seguran\u00e7a t\u00e1 na documenta\u00e7\u00e3o da Apple tamb\u00e9m tem algum tem um t\u00f3pico somente de seguran\u00e7a que define as boas pr\u00e1ticas de seguran\u00e7a de desenvolvimento na plataforma iOS o mesmo \u00e9 acontece na plataforma do Android t\u00e1 tem as melhores pr\u00e1ticas de desenvolvimento algumas t\u00e9cnicas para mitiga\u00e7\u00e3o desses riscos t\u00e1 eu volto a frisar porque na verdade \u00e9 mitiga\u00e7\u00e3o porque voc\u00ea n\u00e3o consegue nas 100% dos riscos como todo mundo que trabalha com seguran\u00e7a sabe Hoje voc\u00ea lan\u00e7a uma ferramenta de prote\u00e7\u00e3o Amanh\u00e3 vem algu\u00e9m quebra aquela prote\u00e7\u00e3o e seu aplicativo fica desprotegido ent\u00e3o \u00e9 uma corrida de gato e rato a\u00ed toda vez que voc\u00ea pegar sua aplica\u00e7\u00e3o Provavelmente voc\u00ea vai ter que melhorar alguma coisa t\u00e1 Quais s\u00e3o as t\u00e9cnicas tem o Code harding quer voc\u00ea pode usar ofusca\u00e7\u00e3o e a imprimida\u00e7\u00e3o n\u00e9 criptografia de alguns dados da sua aplica\u00e7\u00e3o ela pode ser implementada na sua aplica\u00e7\u00e3o de forma que vai ofuscar mesmo o c\u00f3digo n\u00e9 ela vai dificultar o entendimento de algumas regras de alguns frutos ela n\u00e3o vai modificar alguns frutos para que n\u00e3o seja entendido de forma f\u00e1cil n\u00e9 voc\u00ea o atacante Ele tem dificuldade em interpretar o qual que \u00e9 o fluxo da sua aplica\u00e7\u00e3o ela faz tamb\u00e9m altera\u00e7\u00e3o de operadores aritm\u00e9ticos por exemplo ela altera para que o atacante n\u00e3o entenda qual que seja qual que seria aquela valida\u00e7\u00e3o para ser executados do c\u00f3digo se tiver algum fluxo tem a valida\u00e7\u00e3o e \u00e9 criptografia a implementa\u00e7\u00e3o seria na verdade por exemplo de recursos ou de Strings por exemplo dentro do seu c\u00f3digo se tiver uma streaming l\u00e1 sens\u00edvel voc\u00ea pode criptografar aquelas de forma que o atacante n\u00e3o consegue entender o que t\u00e1 sendo carregado naquela estribe n\u00e9 naquele texto que tenha dentro do seu da sua obriga\u00e7\u00e3o ou at\u00e9 mesmo arquivos de recursos voc\u00ea tem som dentro do o aplicativo ou arquivo que cont\u00e9m alguma informa\u00e7\u00e3o \u00e9 n\u00e3o muito cr\u00edtica porque o ideal \u00e9 que n\u00e3o tem informa\u00e7\u00f5es de alta criticidade dentro do dispositivo t\u00e1 o Galaxy a maioria da implementa\u00e7\u00e3o mais cr\u00edtica seja feita via bem quente mas que voc\u00ea tem algum arquivo que precisa de uma seguran\u00e7a a mais voc\u00ea pode criptografar aquele dado e tamb\u00e9m existe a prote\u00e7\u00e3o que \u00e9 o resto que existem v\u00e1rias ferramentas de mercado hoje n\u00e3o \u00e9 n\u00e3o \u00e9 poss\u00edvel que seja desenvolvido voc\u00ea pode desenvolver se voc\u00ea tiver conhecimento voc\u00ea tiver vontade de desenvolver essa seguran\u00e7a mas o ideal \u00e9 que j\u00e1 tem essas ferramentas j\u00e1 definidas para voc\u00ea usar porque j\u00e1 tem conhecimento de mercado Eles j\u00e1 tem uma maturidade muito alta de prote\u00e7\u00e3o nisso em rela\u00e7\u00e3o \u00e9 uma prote\u00e7\u00e3o de execu\u00e7\u00e3o o que que isso garante garante que a sua aplica\u00e7\u00e3o ela Se defenda de ataque durante a execu\u00e7\u00e3o dela por exemplo uma aplica\u00e7\u00e3o no dispositivo que seja roteado que tenha Rute onde \u00e9 o Break a minha aplica\u00e7\u00e3o se ela for uma aplica\u00e7\u00e3o aqui necessite de uma integridade maior no ambiente que ela est\u00e1 sendo executada eu posso proteger ela no tempo de execu\u00e7\u00e3o para que ela n\u00e3o seja executada nesse tipo de device isso faz com que minha aplica\u00e7\u00e3o a execu\u00e7\u00e3o dela seja mais segura e que ela n\u00e3o sofra nenhum ataque externo baseado em alguma t\u00e9cnica que algum criminoso tente implementar sua aplica\u00e7\u00e3o o gol de hardware o que que ele vai fazer ele vai disputar a engenharia reversa \u00e9 um dos pontos que eu falei que \u00e9 pegar sua aplica\u00e7\u00e3o entender Qual \u00e9 a loja a l\u00f3gica do c\u00f3digo pegar se tem alguma implementa\u00e7\u00e3o espec\u00edfica por exemplo algum c\u00e1lculo matem\u00e1tico alguma coisa que voc\u00ea fa\u00e7a internamente nessa aplica\u00e7\u00e3o Ou que tenha alguma biblioteca que voc\u00ea desenvolveu que seja \u00e9 algo propriet\u00e1rio ela vai dificultar a engenharia reversa disso porque s\u00f3 porque como eu disse se o atacante \u00e9 motivado ele vai conseguir e l\u00e1 no bit e vai entender como a solu\u00e7\u00e3o funciona mas dificulta bastante voc\u00ea cria v\u00e1rias camadas de prote\u00e7\u00e3o na sua aplica\u00e7\u00e3o extra\u00e7\u00e3o de dados aplica\u00e7\u00e3o se voc\u00ea tiver algum arquivo de recurso ou tiver alguma chave que esteja trafegando dentro da sua obriga\u00e7\u00e3o ou algum dado que trafega entre o m\u00e9todo e outro precisa de uma seguran\u00e7a maior esse vai ajudar nessa nessa sofistica\u00e7\u00e3o desse tipo de dado extra\u00e7\u00e3o de chave se voc\u00ea tiver algum dado no seu c\u00f3digo relacionado Ah eu tenho uma chave de uma pi eu tenho uma chave de eu tenho alguma chave de comunica\u00e7\u00e3o com algum servidor eu tenho alguma l\u00f3gica ali de implementa\u00e7\u00e3o com outro device alguma chance com outro device n\u00e3o vai ajudar nesse ponto t\u00e1 e roubo de propriedade intelectual Ent\u00e3o disse se voc\u00ea tiver alguma alguma implementa\u00e7\u00e3o propriet\u00e1ria alguma biblioteca ou n\u00e3o Pode voc\u00ea desenvolver espec\u00edfico para sua aplica\u00e7\u00e3o que ela seja de propriedade da sua empresa ela vai dificultar o entendimento dessas dessas regras n\u00e9 [M\u00fasica] isso \u00e9 um dado que \u00e9 meio alarmante n\u00e9 que menos de 10 de 10 tempos de mais de 3 mil aplicativos de que voc\u00ea tem que a gente tem hoje n\u00e9 nas lojas de aplicativos tanto da Apple quanto da no Google Play n\u00e9 Por exemplo a gente tem mais de 3 mil aplicativos financeiros e menos de 10% usam alguma camada adicional de seguran\u00e7a ou seja fazem o b\u00e1sico da implementa\u00e7\u00e3o de seguran\u00e7a e algumas delas Nem fazem o b\u00e1sico n\u00e9 deixam isso mais vulner\u00e1vel ainda isso faz com que a aplica\u00e7\u00e3o ela tenha um alto n\u00edvel ou uma superf\u00edcie de ataque muito grande fazendo com que os atacantes n\u00e3o tem quase dificuldade nenhuma para poder acessar algum dado ou at\u00e9 mesmo manipular essa aplica\u00e7\u00e3o de distribuir alguma loja para poder roubar dados de clientes ou dados de colaboradores que utilizam aquela ferramenta aqui tem um exemplo de uma aplica\u00e7\u00e3o simples que que eu fiz aqui para para exemplificar ela \u00e9 uma aplica\u00e7\u00e3o que eu fiz para teste de ss e nesse print voc\u00ea pode ver a\u00ed que voc\u00eas podem ver que tem o fim independente aqui do certificado ele t\u00e1 exposto n\u00e9 eu consigo pegar esse que realmente ele por exemplo e colocar na minha aplica\u00e7\u00e3o e tentar manipular isso aqui para poder exercitar o dado ou at\u00e9 mesmo por exemplo capturar Quais s\u00e3o as apis que o a minha aplica\u00e7\u00e3o a aplica\u00e7\u00e3o que eu t\u00f4 atacando t\u00e1 chamando por exemplo se eu quiser atacar essa aplica\u00e7\u00e3o eu modifico Independente de falar com um repente de Um certificado v\u00e1lido ou at\u00e9 mesmo eu posso eliminar essa l\u00f3gica da aplica\u00e7\u00e3o que ela faz a valida\u00e7\u00e3o de certificado ela tem certificado eu posso remover essa implementa\u00e7\u00e3o e fazer a aplica\u00e7\u00e3o comunicar com meu aplicativo de intercepta\u00e7\u00e3o de dados eu posso pegar todas as apis Como que \u00e9 o funcionamento da comunica\u00e7\u00e3o da minha pi com servidor da minha aplica\u00e7\u00e3o com servidor eu posso fazer isso de forma bem simples de se minha aplica\u00e7\u00e3o n\u00e3o tiver ofuscado Esse \u00e9 um c\u00f3digo sem oficia\u00e7\u00e3o a\u00ed tem as regras do tratamento da minha aplica\u00e7\u00e3o que que eu posso fazer com esse tipo de dados eu posso pegar a minha aplica\u00e7\u00e3o que eu t\u00f4 querendo atacar por exemplo modificar a minha chamada da aplica\u00e7\u00e3o remover as regras de valida\u00e7\u00e3o por exemplo se o meu usu\u00e1rio for xppo eu deixo ele passar se ele for diferente isso eu bloqueio uma mensagem de erro nessa forma que a aplica\u00e7\u00e3o t\u00e1 hoje consigo fazer qualquer eu consigo entender ela completamente como que \u00e9 o fluxo de desenvolvimento \u00e9 assim pessoal n\u00e3o se atendem a\u00ed a parte natural porque ela t\u00e1 bem simples mesmo n\u00e3o tem nem um padr\u00e3o de Direito de arquitetura exatamente para exemplificar como ficaria f\u00e1cil de um atacante ou de uma pessoa que t\u00e1 querendo explorar sua aplica\u00e7\u00e3o ela conseguiria ver de forma f\u00e1cil como eu todo funcionamento dessa aplica\u00e7\u00e3o Inclusive eu consigo modificar o fluxo da sua aplica\u00e7\u00e3o consigo pegar aplica\u00e7\u00e3o l\u00e1 na ele foi chamar a tela de login ele usu\u00e1rio digital usu\u00e1rio e senha eu posso enviar um fazer um post no api minha e fa\u00e7o o post na play normal eu posso fazer todo esse tratamento toda essa modifica\u00e7\u00e3o como voc\u00eas podem ver d\u00e1 para ver todos os pacotes da aplica\u00e7\u00e3o t\u00e1 aqui eu usei uma ferramenta \u00e9 bem simples c\u00f3digo fonte aberta porque n\u00e3o tem acesso a ela posso pegar essa aplica\u00e7\u00e3o aqui e fazer qualquer motiva\u00e7\u00e3o que eu quiser o c\u00f3digo com o fusca\u00e7\u00e3o j\u00e1 passa seu bem diferente como voc\u00eas podem ver aqui o c\u00f3digo os pacotes n\u00e9 que voc\u00eas tinham aqui nos lados anterior eles n\u00e3o existem mais \u00e9 a mesma aplica\u00e7\u00e3o por\u00e9m nesse dessa forma que foi feita galera ela \u00e9 Usei com o b\u00e1sico no Android falando especificamente para poder ofuscar n\u00e3o \u00e9 nenhuma oficia\u00e7\u00e3o de alto n\u00edvel aqui eu fiz na verdade o a compacta\u00e7\u00e3o n\u00e9 dos nomes de pacote que voc\u00ea pode usar o probi\u00f3tico por exemplo ou R8 que s\u00e3o as ferramentas que s\u00e3o disponibilizadas hoje em dia para desenvolvimento de Android que voc\u00ea pode configurar facilmente um projeto Nativo como voc\u00eas podem ver o c\u00f3digo de foi completamente alterado e n\u00e3o se parece nada com o c\u00f3digo anterior voc\u00ea tem dificuldade para entender qual o pacote est\u00e1 sendo usado voc\u00ea tem dificuldade para entender Qual \u00e9 a l\u00f3gica t\u00e1 sendo usada isso usando um b\u00e1sico da configura\u00e7\u00e3o t\u00e1 aqui eu n\u00e3o usei Nenhuma ferramenta paga eu n\u00e3o usei nenhuma biblioteca de outra empresa foi basicamente uma configura\u00e7\u00e3o feita no projeto Android simples para poder chegar a esse n\u00edvel isso aqui j\u00e1 d\u00e1 um pouco mais de seguran\u00e7a n\u00e3o \u00e9 que voc\u00ea vai ter uma seguran\u00e7a 100% voc\u00ea vai ter uma seguran\u00e7a vai dificultar um pouco mais o acesso e o entendimento Da L\u00f3gica da aplica\u00e7\u00e3o o que que \u00e9 o Code Hard a partir de criptografia como voc\u00eas podem ver \u00e9 aqui eu tenho uma string sens\u00edvel dentro do meu c\u00f3digo isso \u00e9 um exemplo t\u00e1 e voc\u00ea voc\u00ea pode pegar essa aplica\u00e7\u00e3o e voc\u00ea vai encontrar ela por exemplo uma uma chave uma chave de ouro certificado como foi feito no como voc\u00ea me usaria anterior Voc\u00ea tem uma chave ali para poder comunicar com essa a\u00ed voc\u00ea tem uma escrito aqui voc\u00ea tem por exemplo um token de comunica\u00e7\u00e3o no seu servidor Voc\u00ea tem uma chave de armazenamento uma chave de criptografia de informa\u00e7\u00e3o que n\u00e3o \u00e9 o ideal de ter isso dentro do c\u00f3dice tem meios de melhorar essa seguran\u00e7a nesse caso aqui a chave ela estaria exposta minha aplica\u00e7\u00e3o ela n\u00e3o t\u00e1 usando nenhuma criptografia nenhuma criptografia de recurso nesse caso aqui n\u00e3o tem nem por exemplo o tratamento de pacotes n\u00e3o tem nenhuma configura\u00e7\u00e3o b\u00e1sica aplica\u00e7\u00e3o est\u00e1 novamente exposta essa criptografia de streaming voc\u00ea pode fazer uma implementa\u00e7\u00e3o sua n\u00e9 para poder criptografar essas estrias baseado em alguma ferramenta ou alguma l\u00f3gica que voc\u00ea queira implementar por\u00e9m tem ferramentas que fazem isso no caso a ferramenta que eu gosto de usar bastante tem experi\u00eancia da voz a gente usa bastante isso envolvimento no dia a dia como voc\u00eas podem ver nessa tela n\u00e3o o c\u00f3digo foi alterado a string que ela est\u00e1 Inclusive eu peguei uma ferramenta do que \u00e9 gerado pela ferramenta de fic\u00e7\u00e3o que a ferramenta basta do Android ela n\u00e3o fornece essa criptografia t\u00e1 e n\u00e3o fornece tamb\u00e9m alguns par\u00e2metros algumas formas de virtualiza\u00e7\u00e3o de c\u00f3digo e essas ferramentas pagas elas fazem isso n\u00e3o \u00e9 imposs\u00edvel de um desenvolvedor fazer essa implementa\u00e7\u00e3o mas \u00e9 bastante complicado n\u00e3o \u00e9 poss\u00edvel mas \u00e9 bastante complicado nesse caso eu peguei um mapeamento da ferramenta fornece para poder entender para onde que foi aquela implementa\u00e7\u00e3o dessa classe que eu fiz aqui que tinha sido no caso ele foi para esse pacote aqui \u00f3 para essa classe BW s\u00f3 que se voc\u00eas forem olhar nessa classe n\u00e3o tem nenhuma informa\u00e7\u00e3o e isso aqui \u00e9 feito de uma forma bem simples nessas ferramentas b\u00e1sicas por exemplo falando no caso de criptografia t\u00e1 voc\u00eas definem a string e depois que a ferramenta AGE em cima do vinagre daquela aplica\u00e7\u00e3o ou no da aplica\u00e7\u00e3o empacotada ele consegue fazer a criptografias e tamb\u00e9m eles geram uma chave que ele coloca dentro da aplica\u00e7\u00e3o para poder dificultar o acesso e a decreta\u00e7\u00e3o dessas Chaves \u00e9 como eu disse para voc\u00eas e o que que ele previne t\u00e1 e previne altera\u00e7\u00e3o das funcionalidades de execu\u00e7\u00e3o porque quando voc\u00ea tem uma aplica\u00e7\u00e3o por exemplo faz um login ou faz uma exemplo muito muito simples hoje voc\u00ea tem muitos jogos por exemplo voc\u00ea tem exibi\u00e7\u00e3o de propagandas voc\u00ea tem tamb\u00e9m por exemplo alguns algumas compras que voc\u00ea pode fazer dentro de uma publica\u00e7\u00e3o por exemplo voc\u00ea tem itens que voc\u00ea s\u00f3 pode ser desbloqueado a fase ou algumas aplica\u00e7\u00f5es que voc\u00ea consegue por exemplo \u00e9 habilitar algumas funcionalidades baseado em determinadas condi\u00e7\u00f5es dentro da aplica\u00e7\u00e3o e isso faz com que a sua aplica\u00e7\u00e3o de vulner\u00e1vel voc\u00ea faz uma pigmenta\u00e7\u00e3o de Que tal usu\u00e1rio se pagar presente valor x vai ter acesso a uma funcionalidade Y se voc\u00ea n\u00e3o protege a sua aplica\u00e7\u00e3o em tempo de execu\u00e7\u00e3o o usu\u00e1rio ele pode executar uma uma funcionalidade alguma ferramenta para fazer uma modifica\u00e7\u00e3o de educa\u00e7\u00e3o e ele vai ter acesso aquela funcionalidade t\u00e1 intercepta\u00e7\u00e3o de dados expostos na aplica\u00e7\u00e3o por exemplo se voc\u00ea tem alguma chave pode ter a terra armazenado no Store por exemplo mas que voc\u00ea trafega essas essas chaves em par\u00e2metros de fun\u00e7\u00f5es dentro da sua aplica\u00e7\u00e3o se voc\u00ea n\u00e3o utiliza nenhuma prote\u00e7\u00e3o em tempo de execu\u00e7\u00e3o a intercepta\u00e7\u00e3o daquele m\u00e9todo pode revelar qualquer chave por exemplo pode revelar Qual que \u00e9 o dado que voc\u00ea passado naquele m\u00e9todo voc\u00ea pode alterar o funcionamento de determinados m\u00e9todos nas publica\u00e7\u00e3o voc\u00ea pode fazer tamb\u00e9m a manipula\u00e7\u00e3o daquele dado por exemplo vamos supor que voc\u00ea tenha educa\u00e7\u00e3o financeira n\u00e9 voc\u00ea vai fazer a transfer\u00eancia para uma para um amigo de algum valor e no funcionamento do bot\u00e3o de transferir voc\u00ea vai modifica aquele o ataque de modifica aquele funcionamento para ela andar transfere para mais um usu\u00e1rio e valor acima do esperado t\u00e1 L\u00f3gico que pode ser bloqueado no p\u00e9 quente t\u00e1 galera n\u00e3o t\u00f4 falando que fazendo essa altera\u00e7\u00e3o a\u00ed vai funcionar mais n\u00e3o pode ser colocado bem quente execu\u00e7\u00e3o em ambiente manipulado muitas vezes voc\u00eas n\u00e3o sei se voc\u00ea j\u00e1 j\u00e1 viram algumas pessoas algumas partes na China por exemplo alguns Alguns criminosos l\u00e1 fazendo manipula\u00e7\u00f5es de jogos alguma coisa desse tipo v\u00e1rios devices em prateleira alguns algumas aplica\u00e7\u00f5es tamb\u00e9m querem executadas v\u00e1rios computadores emuladores ou dispositivos roteados que voc\u00ea conseguiria acesso a dados sigilosa aplica\u00e7\u00e3o ou acessa bando de dados internos aplica\u00e7\u00e3o o bra\u00e7o tamb\u00e9m protege nesse caso dificuldade para distribui\u00e7\u00e3o indevida o que que seria isso quando eu falei l\u00e1 no come\u00e7o de que muitas vezes voc\u00ea baixa aqueles aplicativos de lojas n\u00e3o oficiais se sua aplica\u00e7\u00e3o ela foi modificada ou por exemplo ela foi alguns l\u00e1 colocou algum c\u00f3digo malicioso dentro da sua aplica\u00e7\u00e3o o Rastro tamb\u00e9m protege nesse sentido fazendo com que ele detectica sua aplica\u00e7\u00e3o foi alterada e quando voc\u00ea faz a execu\u00e7\u00e3o da aplica\u00e7\u00e3o ele conseguir executa ou pode dependendo da suplementa\u00e7\u00e3o ele pode fechar a aplica\u00e7\u00e3o ou ele pode chamar um TalkBack uma fun\u00e7\u00e3o foi alterada e o Rastro ele serve para proteger todos o asf\u00e1ticos todos esses poss\u00edveis fraudes n\u00e9 tanto de manipula\u00e7\u00e3o de ambiente manipula\u00e7\u00e3o certificado prote\u00e7\u00e3o de modifica\u00e7\u00e3o execu\u00e7\u00e3o ambiente controlado o que que seria o anti tamper nessa tela \u00e9 eu peguei uma aplica\u00e7\u00e3o aquela mesma aplica\u00e7\u00e3o de ss que eu fiz l\u00e1 exibindo para voc\u00eas ali a chave exposta n\u00e9 O que que \u00e9 o Tumblr por exemplo aqui tem um c\u00f3digo smile code que \u00e9 pegar uma aplica\u00e7\u00e3o feita para Android voc\u00ea faz a extra\u00e7\u00e3o do c\u00f3digo dela esse c\u00f3digo aqui seriam \u00e9 o c\u00f3digo mais f\u00e1cil interpreta\u00e7\u00e3o antes de chegar a n\u00edvel da JBL da m\u00e1quina virtual do Android t\u00e1 E com isso voc\u00ea consegue entender e manipular aplica\u00e7\u00e3o s\u00f3 que se voc\u00ea tiver o anti tampa habilitado em uma ferramenta que tenha suporte ao Rastro o que que ele vai fazer ele vai injetar na sua aplica\u00e7\u00e3o o c\u00f3digo fazendo com que ele verifique baseado em resto por exemplo se todos os seus arquivos est\u00e3o inalterados e at\u00e9 por exemplo se o certificado de assinatura da sua aplica\u00e7\u00e3o foi alterado isso gera um alerta para que voc\u00ea possa tratar isso internamente na sua aplica\u00e7\u00e3o exibindo pop-up de alerta ou at\u00e9 mesmo deixando o funcionamento normal que o funcionamento dele ficou dessas ferramentas fazem esse monitoramento \u00e9 Fechar aplica\u00e7\u00e3o com isso voc\u00ea aumenta a prote\u00e7\u00e3o do aplicativo no seu aplicativo e tamb\u00e9m previne o rei empacotamento a rede distribui\u00e7\u00e3o dos aplicativos muitas vezes voc\u00ea pode ver que tem alguns aplicativos n\u00e3o sei se o WhatsApp ainda tem mas muitos aplicativos fazem voc\u00ea v\u00ea alguns Clones aplicativo modificado o background ave nesse aplicativo aqui voc\u00ea consegue mudar a cor da sua mensagem esse aplicativo voc\u00ea consegue mudar a foto que \u00e9 exibida no in\u00edcio muita gente gosta dessas customiza\u00e7\u00f5es que alguns Alguns desenvolvedores algumas empresas que desenvolvem n\u00e3o fornecem E com isso V\u00e3o buscar solu\u00e7\u00f5es alternativas e muitas vezes pelo fato de sua aplica\u00e7\u00e3o n\u00e3o est\u00e1 totalmente ofuscada n\u00e3o est\u00e1 totalmente segura um atacante ele pode pegar sua aplica\u00e7\u00e3o alterar a cor alterar o funcionamento alterar \u00e9 tratamento de comunica\u00e7\u00e3o e distribuir isso de forma paralela por exemplo se eu pegar uma aplica\u00e7\u00e3o hoje de algum banco Vamos dar um exemplo no WhatsApp l\u00f3gico Provavelmente o WhatsApp vai estar bem seguro mas eu pegar o WhatsApp alterar o c\u00f3digo dele alterar com o pacote da aplica\u00e7\u00e3o n\u00e9 no Android modificar isso modificar cores eu consigo distribuir na loja uma aplica\u00e7\u00e3o l\u00f3gico que teria que tirar as imagens quest\u00e3o de direitos autorais e distribuiria na loja normalmente com isso o qualquer os \u00f3rg\u00e3o conseguiria baixar essa aplica\u00e7\u00e3o fazendo com que o comportamento n\u00e3o fosse o poeta e at\u00e9 expondo credenciais E com isso uma Tit\u00e3s minha aplica\u00e7\u00e3o ela n\u00e3o foi modificada tanto modificada de forma fazendo engenharia reversa modificando o c\u00f3digo distribuidor nesse caso aqui do Hulk o que que seria o Hulk hoje a gente tem algumas ferramentas que voc\u00ea consegue interceptar o funcionamento voc\u00ea consegue falar n\u00e9 Fazer o apetite dessa ferramenta no seu processo da aplica\u00e7\u00e3o e modificar a execu\u00e7\u00e3o de determinados fluxos na sua aplica\u00e7\u00e3o o que seria esse exemplo nesse caso aqui t\u00e1 baseado no c\u00f3digo da aplica\u00e7\u00e3o eu tenho aqui um tratamento aqui de retorno seu retorno foi tudo nesse caso ele vai exibir uma mensagem de bem-vindo o retorno se ele n\u00e3o foi alterado o funcionamento do falso eu vou exibir o valor alterado essa mensagem de valor alterado hoje em dia se a aplica\u00e7\u00e3o ela n\u00e3o tiver prote\u00e7\u00e3o contra Hulk ou prote\u00e7\u00e3o ou ofuscado t\u00e1 um exemplo muito pr\u00e1tico hoje em dia n\u00e3o adianta nada o pessoal implementar porque se voc\u00ea tem a implementa\u00e7\u00e3o Inclusive a vers\u00e3o de algumas bibliotecas Neto atuais elas sofrem podem sofrer com esse ataque tamb\u00e9m se nesse caso n\u00e3o \u00e9 aplica\u00e7\u00e3o \u00e9 n\u00e3o tiver prote\u00e7\u00e3o contra \u00e9 de execu\u00e7\u00e3o o que que o atacante poderia fazer mesmo se eu tivesse com prote\u00e7\u00e3o contra-ataque de homem mesmo \u00e9 eu conseguiria dar o bypass nessa s\u00e9rie somente usando o Hulk eu poderia fazer um book de um m\u00e9todo de uma biblioteca que ele faz a implementa\u00e7\u00e3o e n\u00e3o fosse retornar por exemplo uma exce\u00e7\u00e3o de que aquele certificado ele n\u00e3o \u00e9 v\u00e1lido ou conseguiria alternar para que fosse o certificado v\u00e1lido ent\u00e3o seria um casamento de ofusca\u00e7\u00e3o com a implementa\u00e7\u00e3o do da detec\u00e7\u00e3o de Hulk que \u00e9 fornecido por uma ferramenta que tenha prote\u00e7\u00e3o em tempo de execu\u00e7\u00e3o t\u00e1 nesse caso aqui eu usei um script e Usei uma ferramenta chamada de Frida para poder fazer esse look T\u00e1 o que que eu fiz nesse caso aqui eu peguei esse m\u00e9todo de retorno que t\u00e1 escrito aqui nessa na linha 13 e coloquei para que quando ele fosse chamado retornasse falso isso pegando uma aplica\u00e7\u00e3o que por exemplo ela n\u00e3o tivesse assustada eu consegui facilmente pegar essa classe pegar esse m\u00e9todo entender o funcionamento eu ter um comportamento de execu\u00e7\u00e3o com isso eu conseguiria acionar fluxos dentro da minha aplica\u00e7\u00e3o que n\u00e3o era previstos para determinado usu\u00e1rio por exemplo vamos supor que voc\u00ea tem uma o fecho todo n\u00e9 que \u00e9 uma ficha t\u00e9cnica dentro do seu c\u00f3digo e \u00e9 aquela fitfleg ela s\u00f3 funciona para determinados usu\u00e1rios de categoria x y z baseado se voc\u00ea faz uma implementa\u00e7\u00e3o que que \u00e9 facilmente e o Hulk \u00e9 feito de forma f\u00e1cil voc\u00ea daria acesso a funcionalidades ao usu\u00e1rios que n\u00e3o teria permiss\u00e3o dessas funcionalidades n\u00e3o conseguia alterar para acessar por exemplo l\u00e1 vamos supor que na minha aplica\u00e7\u00e3o determinado usu\u00e1rio x consiga acessar por exemplo parte financeira um grupo de investimento CTO e grupo e o grupo de usu\u00e1rio Y teria acesso a outra conseguido ter acesso aos dois por exemplo de ser uma educa\u00e7\u00e3o n\u00e3o tivesse esse tipo de prote\u00e7\u00e3o e tamb\u00e9m n\u00e3o fosse ofuscado t\u00e1 qual seria o resultado do Hulk daquela implementa\u00e7\u00e3o do professor ali atr\u00e1s aqui nesse caso o pino de scl falhou porque o certificado da do site l\u00e1 que tava sendo feito notifica\u00e7\u00e3o j\u00e1 foi alterada Mas voc\u00eas podem ver nesse segundo print e o valor foi alterado fazendo a execu\u00e7\u00e3o daquele escrito para poder alterar a fun\u00e7\u00e3o a ferramenta Frida e isso hoje em dia \u00e9 teve de forma muito f\u00e1cil pessoal e \u00e9 o que que a gente pode conseguir com o resto de a\u00e7\u00e3o \u00e9 deixar sua aplica\u00e7\u00e3o mais segura na m\u00e3o do usu\u00e1rio e tamb\u00e9m proteger a sua aplica\u00e7\u00e3o de ataques de acesso a funcionalidade n\u00e3o deveria de acesso a ferramenta de Exposi\u00e7\u00e3o de chamadas Voc\u00ea bloqueia o iPad Ele tem dificuldade em aceitar os dados L\u00f3gico que tem outros m\u00e9todos E lembrando que todas essas t\u00e9cnicas que eu t\u00f4 colocando aqui existem outras t\u00e9cnicas tamb\u00e9m outros meios enfim isso \u00e9 uma forma de dificultar \u00e9 o b\u00e1sico de dificultar o atacante at\u00e9 acesso a esse tipo de informa\u00e7\u00e3o t\u00e1 com o resto tamb\u00e9m \u00e9 poss\u00edvel fazer detec\u00e7\u00e3o de Rute se n\u00e3o sei se todo mundo sabe mas curte \u00e9 quando \u00e9 o seu device usu\u00e1rio normal do seu debate a nossa aplica\u00e7\u00e3o ele consegue acessar e o sistema consegue te chamar processo de sistema consegue acessar arquivos do sistema dentro do seu device Android t\u00e1 e com a gente consegue instalar aplica\u00e7\u00f5es maliciosas consegue manipular o funcionamento de aplica\u00e7\u00f5es consegue fazer toda a manipula\u00e7\u00e3o de ambiente para que a sua aplica\u00e7\u00e3o ela seja mais vulner\u00e1vel E com isso o ativando o bloqueio em tempo de execu\u00e7\u00e3o o resto nesse caso voc\u00ea teria alguma funcionalidade para saber se os demais L\u00f3gico que n\u00e3o precisa ser exatamente o resto de fabricante v\u00e3o ver existem ferramentas utensos que faz d\u00e3o essa funcionalidade essa funcionalidade para voc\u00ea Como saber se fiz a configura\u00e7\u00e3o certa t\u00e1 se voc\u00ea tiver um time para fazer teste Essas s\u00e3o algumas ferramentas que voc\u00ea pode usar para poder validar se essa implementa\u00e7\u00e3o foi feita de forma correta L\u00f3gico que aplica\u00e7\u00f5es pagas por exemplo um Xbox ou Xbox eles fornecem um recorte com todas as informa\u00e7\u00f5es relacionadas s\u00e3o t\u00e1 nada impede tamb\u00e9m que voc\u00ea implemente a sua que voc\u00ea fa\u00e7a a sua declara\u00e7\u00e3o de veda\u00e7\u00e3o do de como t\u00e1 o n\u00edvel de seguran\u00e7a mas se voc\u00ea quiser validar a implementa\u00e7\u00e3o de forma manual essas ferramentas que est\u00e3o listadas aqui voc\u00ea consegue fazer toda essa an\u00e1lise de todas as partes que ele tem aqui na apresenta\u00e7\u00e3o por exemplo eu pecath era parte do Android voc\u00ea tem um rooper tamb\u00e9m que o g\u00e1s tamb\u00e9m para iOS Object on tamb\u00e9m ainda pro t\u00e1 o Frida pode pode ser usado tamb\u00e9m enfim todas essas ferramentas voc\u00ea pode ser voc\u00ea pode utilizar para fazer dinheiro arremesso tanto para isso tudo quanto para prote\u00e7\u00e3o da sua aplica\u00e7\u00e3o e tamb\u00e9m \u00e9 para fazer o funcionamento de uma vari\u00e1vel ou de um m\u00e9todo inclusive \u00e9 poss\u00edvel fazer book tamb\u00e9m muita gente faz acha que fazer a implementa\u00e7\u00e3o de forma Nativa n\u00e9 de alguma parte cr\u00edtica da educa\u00e7\u00e3o vai estar Seguro voc\u00ea pode fazer o Hulk tamb\u00e9m de m\u00e9todos nativos de fazer isso ent\u00e3o o ideal \u00e9 que se voc\u00ea crie camadas de seguran\u00e7a cada vez mais o acesso \u00e0 informa\u00e7\u00f5es e ao funcionamento de explica\u00e7\u00e3o vindo de criminosos de atacantes isaacir voc\u00eas acham que t\u00e1 seguro \u00e9 plataformas no caso aqui s\u00e3o Crossfire muita gente confunde com h\u00edbrido essas ferramentas s\u00e3o Crossfire voc\u00eas acham que est\u00e3o seguras n\u00e9 muita gente pega o Hype a\u00ed nessas ferramentas que s\u00e3o pro aspectos falar que est\u00e3o seguras e muitas vezes j\u00e1 vi tamb\u00e9m pessoal fazendo an\u00e1lise de aplica\u00e7\u00f5es e n\u00e3o sabendo onde est\u00e3o esses arquivos que eu queria dizer que nenhuma plataforma t\u00e1 totalmente protegida porque como eu disse o arquivo de execu\u00e7\u00e3o t\u00e1 na m\u00e3o do atacante E com isso o ele pode fazer tudo que tiver dentro no caso dos homens \u00e9 voc\u00ea foi dentro das cenas n\u00e9 da sua aplica\u00e7\u00e3o voc\u00ea vai ver todas as dls l\u00e1 j\u00e1 que ele \u00e9 desenvolvido de fechar se voc\u00ea fizer o comportamento local pode dentro do seu bando n\u00e9 colocar dentro voc\u00ea esse c\u00f3digo de aplica\u00e7\u00e3o ele torna um pouquinho mais dif\u00edcil de voc\u00ea interpretar mas n\u00e3o \u00e9 poss\u00edvel t\u00e1 e o flanker Por que que o flutter tamb\u00e9m \u00e9 um pouco mais dif\u00edcil de fazer essa essa engenharia reversa porque ele compila para a linguagem \u00e9 de baixo n\u00edvel n\u00e9 E voc\u00ea consegue ter acesso essas informa\u00e7\u00f5es fazendo engenharia reversas o que que ele faz ele pega a sua biblioteca o flutner da ferramenta do fragmento e faz a notifica\u00e7\u00e3o para que ele fa\u00e7a o print dos m\u00e9todos que est\u00e1 sendo usado na aplica\u00e7\u00e3o passa tamb\u00e9m a execu\u00e7\u00e3o de fluxo da aplica\u00e7\u00e3o voc\u00ea consegue entender por onde o m\u00e9todo t\u00e1 passando quase vari\u00e1veis que est\u00e3o sendo usados quais os dados justamente por essa altera\u00e7\u00e3o na biblioteca n\u00e9 quando voc\u00ea vai fazer o v\u00eddeo da aplica\u00e7\u00e3o e \u00e9 isso Pessoal espero que todo mundo tenha gostado aqui eu falei um pouco assim do que pode ser feito existem outras t\u00e9cnicas existem outras formas de fazer essas an\u00e1lises existem outras formas de prote\u00e7\u00e3o mas com essas formas que eles t\u00eam aqui voc\u00ea teria um b\u00e1sico para sua aplica\u00e7\u00e3o ficar um pouco mais segura t\u00e1 n\u00e3o \u00e9 o 100% da seguran\u00e7a porque como eu falei hoje voc\u00ea tem um bloqueio amanh\u00e3 j\u00e1 \u00e9 modificado j\u00e1 \u00e9 alterado mas com isso voc\u00ea garante que essa aplica\u00e7\u00e3o esteja minimamente segura e possa ser distribu\u00eddo de forma satisfat\u00f3ria feliz galera cara muito bom Renan muito bom muito obrigado n\u00e3o chegou nenhuma pergunta no chat ali eu tenho algumas eu n\u00e3o sei se o Du eu Fernando tamb\u00e9m tem perguntas que voc\u00eas querem come\u00e7ar principalmente na quest\u00e3o ali de no teu trabalho com os desenvolvedores assim tu v\u00ea muita diferen\u00e7a de trabalhar com desenvolvedor web mobile assim na forma de pensar uma forma de se defender justamente pelo que tu falou da pessoa ter o c\u00f3digo fonte na m\u00e3o [Aplausos] [M\u00fasica] muitas vezes o pessoal faz implementa\u00e7\u00e3o do building pipelines e acaba gerando alguns arquivos por exemplo de testes unit\u00e1rios ou testes automatizados e j\u00e1 peguei aplicativos que est\u00e3o na loja por exemplo Google Play na Apple Store que esses arquivos de testes unidades est\u00e3o dentro do aplicativo foram empacotados at\u00e9 por desconhecimento do pessoal que faz e tamb\u00e9m esse conhecimento do desenvolvedor que acaba na hora do recrutamento da aplica\u00e7\u00e3o deixando de implementar alguma forma de seguran\u00e7a para remover esses aplicativos mas existe sim uma diferen\u00e7a muito grande porque a preocupa\u00e7\u00e3o que o deve precisa ter no desenvolvimento do aplicativo ele \u00e9 muito maior do que o desenvolvedor web Porque se o desenvolvedor n\u00e3o \u00e9 por exemplo hoje tiver algum incidente ele vai l\u00e1 e desligando e o acesso e a aplica\u00e7\u00e3o que t\u00e1 no debate do usu\u00e1rio Como que voc\u00ea faz at\u00e9 para que que ele [M\u00fasica] do cliente ou at\u00e9 mesmo seja distribu\u00eddo pela loja j\u00e1 foi um tempo muito grande ou seja Tem uma parte exposta ali por muito tempo e o usu\u00e1rio o desenvolvedor acaba \u00e9 n\u00e3o preocupando muitas vezes com esse tipo de situa\u00e7\u00e3o ele acaba desenvolvendo da forma que ele ia ficar mais correto distribui o app cria alguns mecanismos ali para atualizar mas acaba deixando muitas quest\u00f5es de seguran\u00e7a de lado t\u00e1 eu vejo muito problema em rela\u00e7\u00e3o a isso hoje em dia outra coisa que eu fico pensando em intercepta\u00e7\u00e3o de requisi\u00e7\u00f5es e apis e tal o que que tu v\u00ea assim que o pessoal acaba esquecendo assim sei l\u00e1 pr\u00f3ton na api ou pensa eu t\u00f4 eu t\u00f4 no t\u00f4 dentro do app eu t\u00f4 seguro eu n\u00e3o sei se tem esse pensamento assim eu t\u00f4 falando por desconhecimento porque eu n\u00e3o tenho contato com o desenvolvedores roubam ent\u00e3o \u00e9 uma coisa que tem uma maior curiosidade assim trabalhando com seguran\u00e7a pensando que qual \u00e9 a diferen\u00e7a do p\u00fablico do cliente ali \u00e9 muitas vezes \u00e9 cara e n\u00e3o \u00e9 errado t\u00e1 se for entrar a\u00ed por exemplo eu gosto muito de falar mais pelo Android porque o Android \u00e9 um ambiente mais f\u00e1cil manipular mas se voc\u00ea for na Play Store por exemplo baixar muito por exemplo o pessoal faz aplica\u00e7\u00e3o foi intuito de levar informa\u00e7\u00e3o para todo mundo s\u00f3 que acaba esquecendo por exemplo a seguran\u00e7a da comunica\u00e7\u00e3o consegue dois justamente responde que voc\u00ea disse a\u00ed um criminoso uma pessoa queira at\u00e9 fazer um aplicativo concorrente ele faz toda o mapeamento daquelas apis porque o desenvolvedor Inicial por exemplo ele n\u00e3o colocou um sspinho e nominou o certificado por exemplo para evitar o ataque do bem devido ali at\u00e9 fazer essa situa\u00e7\u00e3o de requisi\u00e7\u00f5es n\u00e9 e acaba com que aquele aquele desenvolvedor que t\u00e1 querendo fazer aplicativo concorrente ele faz uma ferramenta de todas as apis E cria um aplicativo semelhante ou ele at\u00e9 Puxa o banco de dados todo para o servidor dele e cria uma aplica\u00e7\u00e3o semelhante t\u00e1 a\u00ed existem mecanismos que voc\u00ea consegue implementar por exemplo sou o mais b\u00e1sico a\u00ed hoje em dia voc\u00ea faz a pinagem de certificado voc\u00ea pode fazer pinagem que \u00e9 at\u00e9 n\u00e3o seria t\u00e3o legal se voc\u00ea n\u00e3o tiver nada para ofuscar mas se se voc\u00ea tiver o m\u00ednimo de seguran\u00e7a voc\u00ea j\u00e1 tem um pouquinho ali de voc\u00ea j\u00e1 se resguarda um pouco n\u00e9 aplica\u00e7\u00e3o ela deixa de ser t\u00e3o vulner\u00e1vel \u00e9 muitas vezes tamb\u00e9m o pessoal usa por exemplo de RPC ah notifica\u00e7\u00e3o T\u00e1 seguro porque t\u00e1 usando de RPC n\u00e3o ela tem t\u00e1 vulner\u00e1vel da mesma forma muitas vezes at\u00e9 o desenvolvedor ele acaba enviando os arquivos pr\u00f3prios que s\u00e3o os arquivos de mapeamento dos bites ali da comunica\u00e7\u00e3o n\u00e9 e envia isso junto com a aplica\u00e7\u00e3o continua vulner\u00e1vel mas implementando por exemplo se for o cliente servidor a\u00ed vai hoje ou at\u00e9 uma criptografia de Taylor alguma coisa que j\u00e1 d\u00e1 uma seguran\u00e7a a mais t\u00e1 mas hoje cara se voc\u00ea for nas lojas a\u00ed voc\u00ea vai encontrar v\u00e1rias aplica\u00e7\u00f5es totalmente expostas \u00e9 muito cr\u00edtico n\u00e3o \u00e9 [M\u00fasica] um pouco triste porque \u00e9 um cen\u00e1rio bem ca\u00f3tico t\u00e1 bem ca\u00f3tico teria algo para comentar a respeito de seguran\u00e7a e desenvolvimento e aplica\u00e7\u00f5es pwa na verdade ela roda ali em cima de uma web viu por si s\u00f3 ela j\u00e1 \u00e9 cr\u00edtica n\u00e9 porque se voc\u00ea n\u00e3o implementa uma seguran\u00e7a muito bacana dentro de uma review ou at\u00e9 do componente de web do iOS no Android se voc\u00ea n\u00e3o implementa nenhuma quest\u00e3o de seguran\u00e7a ali \u00e9 s\u00f3 aplica\u00e7\u00e3o tamb\u00e9m ela fica vulner\u00e1vel t\u00e1 o ideal \u00e9 que se voc\u00ea por exemplo no caso do Android ali foi implementar uma navega\u00e7\u00e3o seria otimiza\u00e7\u00e3o do dispositivo n\u00e9 mas cara \u00e9 bem complicado t\u00e1 o uso n\u00e3o \u00e9 muito aconselh\u00e1vel \u00e9 se for usar com bastante Capela colocar todos os mecanismos de seguran\u00e7a poss\u00edvel de alimenta\u00e7\u00e3o mais enxuta ali para garantir que a sua cria\u00e7\u00e3o vai ter seguro mas a Picasso Pode acreditar N\u00e3o \u00e9 n\u00e3o \u00c9 aconselh\u00e1vel usar ela nossas de fuga massa n\u00e3o sei se respondeu depois a gente passa o contato ali bom tem no v\u00eddeo aqui tu deixou o teu contato qualquer coisa \u00e9 s\u00f3 buscar cara muito obrigado Fernandinho tem uma pergunta a\u00ed eu n\u00e3o achei achei bem massa Parab\u00e9ns pela pela apresenta\u00e7\u00e3o a\u00ed bem legal um pouco fora da minha \u00e1rea ent\u00e3o fiquei bem curioso de assistir \u00e9 bem legal para quem n\u00e3o trabalha com o desenvolvimento para celular \u00c9 bem interessante que o cara saber e principalmente as diferen\u00e7as n\u00e9 \u00c9 bem cr\u00edtico muitas vezes desenvolvedor principalmente ali \u00e9 exame \u00e9 uma pessoa que faz teste n\u00e9 nas aplica\u00e7\u00f5es acaba indo analisar a parte do Android [M\u00fasica] ele vai l\u00e1 na parte do Android tem que usar uma ferramenta pela Microsoft E com isso voc\u00ea criptografa o c\u00f3digo que t\u00e1 dentro do DNL n\u00e9 se voc\u00ea n\u00e3o fizer isso n\u00e3o usar contrafilm pode ter certeza que vai estar totalmente exposto l\u00e1 a mesma coisa do Sonic voc\u00ea consegue fazer toda a engenharia reversa tamb\u00e9m ent\u00e3o tem que ficar atento esses pontos porque eles n\u00e3o s\u00e3o gerados da mesma forma que nativo \u00e9 E vai ter l\u00e1 o as classes l\u00e1 para voc\u00ea analisar show galera muito obrigado mesmo agora com voc\u00eas Eduardo Machado na lista de seguran\u00e7a da King vai falar sobre o Theft do jogo que \u00e9 uma ferramenta maravilhosa para a gente entrar alisar as nossas vulnerabilidades boa sorte Doutor a\u00ed Dudu foi tranquilo Acho que tudo certo ent\u00e3o pessoal vou come\u00e7ar primeiramente agradecer oportunidade de estar partindo do conhecimento vou te falar um pouco sobre o que que ele \u00e9 para que que ele serve Que tipo de pessoa vai utilizar o defeito do J\u00f4 e um in\u00edcio um pouco mais te\u00f3rico para alinhar todo mundo n\u00e9 colocar tudo na mesma p\u00e1gina e na sequ\u00eancia a gente vai para o uso da ferramenta mesmo a tenta\u00e7\u00e3o t\u00e1 bem compacta aqui mas \u00e9 vou tentar ser r\u00e1pido para cabelo tempo de todo mundo um pouquinho sobre mim sou hoje analista de seguran\u00e7a na kinghost j\u00e1 quase dois anos mas na King eu j\u00e1 t\u00f4 a 10 n\u00e9 sou grata de seguran\u00e7a da informa\u00e7\u00e3o na UniRitter desenvolvo e do suporte aplica\u00e7\u00f5es em PHP 12 anos j\u00e1 e atualmente t\u00f4 com um projeto de compartilhamento de conhecimento pelo YouTube ent\u00e3o Criei um canal sobre seguran\u00e7a de aplica\u00e7\u00f5es quem quiser se inscrever l\u00e1 vai ser vai ser muito bem-vindo garanto que voc\u00eas v\u00e3o gostar do conte\u00fado vamos dar-lhe detec Dojo ele \u00e9 uma ferramenta pincer-se gratuita faz parte da code de projetos da uasp e n\u00e3o \u00e9 uma ferramenta nova n\u00e9 j\u00e1 desde 2015 tem mais de 300 pessoas j\u00e1 contribu\u00edram l\u00e1 no github a ferramenta bem consolidada e com certeza n\u00e3o t\u00e1 atr\u00e1s de Nenhuma ferramenta paga ele \u00e9 um centralizador de vulnerabilidades at\u00e9 se define como um gerenciador de vulnerabilidades Porque hoje a gente sabe que uma \u00fanica ferramenta de Scan n\u00e3o nos atende mais ent\u00e3o eu tenho ali um trivia olhando para Minhas imagens beleza ele n\u00e3o vai conseguir olhar a parte de redes e scan\u00e3 de rede que ele mata entrega ele n\u00e3o vai conseguir olhar Oi s\u00f3 um minuto eu acho que n\u00e3o t\u00e1 passando at\u00e9 os slides T\u00e1 n\u00e3o quando come\u00e7ou a falar sobre ti dentro [M\u00fasica] eu botei para dar de novo agora foi T\u00e1 calma a\u00ed acho que foi minha capa quando eu falei sobre mim eu tava nesse slides aqui sobre o jogo e agora t\u00f4 falando sobre os Scans n\u00e9 ainda bem que voc\u00eas me interromperam n\u00e3o n\u00e3o tava muito adiante ent\u00e3o \u00e9 praticamente imposs\u00edvel hoje ter nossa aplica\u00e7\u00e3o toda coberta por teste ali teste de vulnerabilidade usando s\u00f3 uma ferramenta e quando a gente vai ter uma duas tr\u00eas quatro ferramentas dessa aqui fazendo an\u00e1lise de um mesmo sistema ou an\u00e1lise de v\u00e1rios sistemas dentro da nossa empresa fica invi\u00e1vel de olhar relat\u00f3rio em lugares diferentes de passar para o desenvolvedor o que ele tem que corrigir se ele tem que olhar em v\u00e1rios lugares n\u00e9 Cada um da sua forma de exportar cada um com a sua visualiza\u00e7\u00e3o diferente alguns aqui s\u00e3o s\u00e3o via terminal exclusivamente ent\u00e3o o defecto do joio ele resolve esse problema a ferramenta sensacional e para quem t\u00e1 pensando assim Ah mas a\u00ed vai ser um lugar diferente para olhar o time j\u00e1 t\u00e1 acostumado a pegar as testos pelo gira ou a gente j\u00e1 tem uma comunica\u00e7\u00e3o aqui dos deveres no Slack Sei l\u00e1 o defeito do joelho tamb\u00e9m exporta e ele tem uma integra\u00e7\u00e3o bem legal com outras ferramentas Ent\u00e3o ele pode notificar por e-mail pode notificar no times nesse leque criar teto direto n\u00e3o gira e ele tem inclusive exporta\u00e7\u00e3o l\u00e1 para o Google planilhas n\u00e9 ele n\u00e3o faz porta seria at\u00e9 ele exporta n\u00e3o \u00e9 um simples gerar csv ele tem cria at\u00e9 um bot\u00e3o de sincronia n\u00e9 ent\u00e3o fiz novos Scans clico para sincronizar minha planilha do Google recebe os as informa\u00e7\u00f5es novas e aqui no slide anterior eu mostrei algumas ferramentas que s\u00e3o Talvez as mais conhecidas a\u00ed do pessoal que que desenvolve web tal mas o defect Dojo ele integra com mais de 150 ferramentas de Scan ent\u00e3o gratuitas pagas de todos os gostos assim eu vou passar um pouquinho sobre a nomenclatura das coisas que tem dentro do Joe Isso vai nos ajudar na parte pr\u00e1tica do entendimento para quem instala \u00e9 estranho esse conceito de produto porque a gente t\u00e1 acostumado a escanear projetos n\u00e9 ent\u00e3o um produto ele pode ser mais de um reposit\u00f3rio pensando em micror servi\u00e7os ali eu vou ter v\u00e1rios reposit\u00f3rios que fazem que comp\u00f5em o mesmo produto ou ele tamb\u00e9m n\u00e3o significa que \u00e9 um dom\u00ednio n\u00e9 Tem um dom\u00ednio eu posso ter um barra blog que \u00e9 um produto e o que t\u00e1 no Barra l\u00e1 na raiz da minha aplica\u00e7\u00e3o que \u00e9 o site \u00e9 outro produto Ent\u00e3o dentro da Factor J\u00f4 a gente tem esse conceito de produto cada produto tem ali pode pertencer um tipo de produto vou passar na parte pr\u00e1tica sobre isso tamb\u00e9m tem os engagements que v\u00e3o ser os momentos aonde um time vai parar para fazer scanner aplica\u00e7\u00e3o E a\u00ed aqui a gente pode at\u00e9 fazer a refer\u00eancia l\u00e1 com ciclo de desenvolvimento seguro a gente vai fazer uma primeira etapa de testes logo ap\u00f3s o primeiro mvc ali MVP perd\u00e3o antes de ir para a produ\u00e7\u00e3o a gente vai fazer uma segunda etapa de testes ap\u00f3s ir para produ\u00e7\u00e3o ou mensalmente a gente vai fazer ent\u00e3o cada um desses momentos que o time vai parar para fazer v\u00e1rios testes em cima da aplica\u00e7\u00e3o v\u00e3o ser os enigmas cada ingl\u00eas a gente pode ter v\u00e1rios testes um ou mais e o teste pode ter pode achar vulnerabilidades ou n\u00e3o teste que ele considera s\u00e3o os resultados daquelas daqueles Scans que eu mostrei no slide anterior e as findens s\u00e3o as poss\u00edveis vulnerabilidades n\u00e9 ele considera uma find porque pode ser ainda um falso positivo nesse ponto mostrando um pouquinho de como \u00e9 que que isso se comporta dentro do sistema n\u00e9 ent\u00e3o a gente tem tipos de produto posso ter mais tipos v\u00e1rios produtos pertencendo a um \u00fanico tipo cada produto tem um ou mais engajamento pensando eu vou fazer Scans mensais a cada m\u00eas eu vou ter um gay de meio diferente e dentro desse ingl\u00eas eu posso ter um ou mais testes n\u00e9 um ou mais ferramentas testando a minha aplica\u00e7\u00e3o quando essa aplica\u00e7\u00e3o ela quando esses c\u00e3es testa minha aplica\u00e7\u00e3o pode encontrar poss\u00edveis vulnerabilidades e serem linkdas a um endpoint da aplica\u00e7\u00e3o ou n\u00e3o t\u00e1 assim como a gente pode ter finentes que n\u00e3o s\u00e3o ligados a gente pode ter testes que n\u00e3o encontram Finds e isso \u00e9 importante que se a gente for deletar algo aqui a gente est\u00e1 deletando da \u00e1rvore para baixo n\u00e9 deletei o teste eu acabei com os Finds deletei o ingl\u00eas a gente eu acabei com os testes e por assim em diante eu preparei dois ambientes aqui na na minha casa aqui para a gente poder testar um eu j\u00e1 trouxe mais testado assim que \u00e9 um site propositalmente vulner\u00e1vel inclusive \u00e9 um projeto da USP e nele eu escaneei com tr\u00eas ferramentas com ASP Zap com drive e comunito e o que a gente vai mexer assim mais agora ao vivo vai ser um blog \u00faltima vers\u00e3o do WordPress sem outros plugins instalados E at\u00e9 t\u00e1 aqui a princesinha dele como Ele veio assim fiz a instala\u00e7\u00e3o e peguei ele cru a gente vai passar um WP Scan que \u00e9 focado em WordPress A ideia \u00e9 que esse blog ele seja o m\u00ednimo vulner\u00e1vel poss\u00edvel n\u00e9 J\u00e1 t\u00e1 trabalhando numa vers\u00e3o atual a gente j\u00e1 t\u00e1 trabalhando ele bem enxuto Ent\u00e3o vai ter poucas coisas para gente tratar o que nos d\u00e1 velocidade aqui na de apresentar vamos para a parte pr\u00e1tica compartilhamento ficou certinho a\u00ed trocou meu navegador Acho que sim essa aqui \u00e9 interface Dojo logo que a gente faz a instala\u00e7\u00e3o Claro J\u00e1 tem alguns n\u00fameros aqui em cima porque como eu disse eu fiz o scanner de um site ali a gente vai fazer uma partezinha manual para mostrar para voc\u00eas os produtos que eu comentei j\u00e1 tem um site l\u00e1 que \u00e9 um site que tem alguns containers ali ele tem parte em Java parte em PHP e n\u00f3s vamos criar um novo produto que meio escondido no canto adicionar produto n\u00f3s vamos criar o nosso blog na descri\u00e7\u00e3o \u00e9 interessante que voc\u00eas coloquem algo que informa ali tanto para os outros desenvolvedores outros times pior o pessoal todo mundo que t\u00e1 envolvido aqui que possa ter acesso ao defectojo a entender do que a gente est\u00e1 falando n\u00e9 Tem mais de um blog na empresa Talvez o nome de produto blog seja ruim para o nosso caso aqui de exemplo t\u00e1 \u00f3timo Vamos colocar aqui s\u00f3 que \u00e9 6.1 nas tags a gente pode colocar caracter\u00edsticas Desse nosso sistema e que no futuro nos ajudem a fazer relat\u00f3rio Ent\u00e3o vamos colocar aqui ele traz inclusive as tags j\u00e1 existentes n\u00e9 \u00e9 esse cara aqui tamb\u00e9m tem HP ele tem WordPress e por enquanto acho que s\u00f3 t\u00e1 \u00f3timo a gente s\u00f3 tem um user cadastrado aqui nesse meu defeito do jogo de teste Ent\u00e3o vou colocar que eu ocupo todos os cargos aqui n\u00e9 Eu sou Manager t\u00e9cnico contact tudo e o produto Type a gente est\u00e1 usando o pr\u00f3prio tipo de produto que j\u00e1 vem de fogo na instala\u00e7\u00e3o do defect t\u00f4 passando meio r\u00e1pido pessoal mas \u00e9 que a proposta \u00e9 mesmo falar sobre integra\u00e7\u00e3o depois n\u00e9 aqui embaixo tem algumas caixinhas que s\u00e3o interessantes falar que \u00e9 esse meu WordPress ali ele vai ser acessado por um p\u00fablico externo ou s\u00e3o s\u00f3 colaboradores da minha empresa s\u00f3 funcion\u00e1rios Ah n\u00e3o vai ser um p\u00fablico externo ent\u00e3o Marco t\u00e1 acess\u00edvel para internet eu marco a partir de aceita\u00e7\u00e3o de risco eu at\u00e9 n\u00e3o vou entrar isso aqui \u00e9 mais para quem for tratar as vulnerabilidades dentro do J\u00f4 n\u00e3o tanto para inser\u00e7\u00e3o delas crime o produto e agora como \u00e9 que eu escaneio como \u00e9 que eu fa\u00e7o ele j\u00e1 de cara cria aqui um todo uma visualiza\u00e7\u00e3o para gente de como \u00e9 que t\u00e1 a seguran\u00e7a desse meu projeto que que ele J\u00e1 identificou que n\u00e3o e a gente vai criar ent\u00e3o um beijo gente n\u00e9 comentei com voc\u00eas a gente vai ter agora um momento de fazer Scans nesse nessa aplica\u00e7\u00e3o eu preciso antes criar um v\u00eddeo na hora de criar um ingl\u00eas ingl\u00eas tem duas op\u00e7\u00f5es a interativa e a SSD vai ficar integrada no nosso time vai ser uma um ingl\u00eas mente mais autom\u00e1tico n\u00e9 n\u00e3o vai depender de um de um analista de algu\u00e9m de um humano t\u00e1 ali gerando esses descanso nosso caso vai ser manual e a gente pode colocar aqui que vai ser o primeiro o primeiro beleza descri\u00e7\u00e3o aqui a gente vai colocar qualquer coisa s\u00f3 para passar mais rapidinho status Vamos colocar ele como incluso Afinal a gente j\u00e1 vai come\u00e7ar a fazer os testes agora e podemos criar nossa igreja gente criamos ele j\u00e1 vai aparecer como aqui primeiros Scans e entrando nele a gente tem op\u00e7\u00e3o de j\u00e1 subir testes previamente eu j\u00e1 fiz esse treinamento com WPS t\u00e1 o WordPress t\u00e1 aqui s\u00f3 para mostrar para voc\u00eas que t\u00e1 vivo e \u00e9 um rec\u00e9m instalado assim n\u00e3o tem nada de mais nele e a gente vai subir esse esses cl\u00e3 que eu fiz manualmente depois a gente vai fazer pela p.i tamb\u00e9m importo Scans dentro do meu engagement Qual \u00e9 a severidade m\u00ednima que eu quero importar para o Dojo de repente voc\u00eas querem importar s\u00f3 vou dar a verdades altas cr\u00edticas enfim aqui a gente vai deixar todas elas e quando eu comentei com voc\u00eas que s\u00e3o 150 integra\u00e7\u00f5es est\u00e3o aqui elas n\u00e9 todo tipo de ferramenta de Scan a gente consegue encontrar aqui para adicionar o defecto do jogo e \u00e9 um projeto que tem o defeito do joelho tem atualiza\u00e7\u00f5es quase que que n\u00e3o sai assim muitas vezes at\u00e9 mais de uma vez no m\u00eas ent\u00e3o o pessoal t\u00e1 sempre desenvolvendo \u00e9 aberto ent\u00e3o voc\u00eas podem inclusive contribuir Ah n\u00e3o tem uma ferramenta aqui quero adicionar l\u00e1 para tornar compat\u00edvel tamb\u00e9m \u00e9 poss\u00edvel vamos subir aqui o nosso WPS colocamos o tipo \u00e9 bem importante porque ele vai precisar saber como ler esse relat\u00f3rio que a gente vai subir aqui o service \u00e9 um ponto bem importante para evitar duplicidade que eu vou falar logo na sequ\u00eancia Por enquanto aqui n\u00f3s vamos s\u00f3 escrever o WordPress e vou catar meu arquivo aquele importava de alguma coisa inferiormente tudo no padr\u00e3ozinho Como j\u00e1 vem t\u00e1 para a gente conseguir mais r\u00e1pido aqui importei o que eu j\u00e1 tinha feito previamente t\u00e1 que que ele encontrou encontrou quatro poss\u00edveis vulnerabilidades a n\u00edvel informativo E a\u00ed aqui a gente vai poder tratar elas bem legal antes de tratar deixa eu mostrar para voc\u00eas configura\u00e7\u00f5es essenciais aqui para que tudo funcione da maneira correta para gente primeiro a gente vai ativar aqui que ele n\u00e3o duplique as vulnerabilidades encontradas n\u00e9 sen\u00e3o cada vez que eu subir esse mesmo relat\u00f3rio quando antes eram cinco poss\u00edveis vulnerabilidades Ali vai virar 10 depois 15 n\u00e9 a gente n\u00e3o quer isso a gente quer se for a mesma vulnerabilidade passa reto \u00e9 duplicada t\u00e1 tudo bem as duplicadas ele mesmo assim sobe t\u00e1 ele n\u00e3o Ignora ele sobe ela com status de duplicado ent\u00e3o eu vou colocar aqui quando passar de 10 duplicadas pode ir apagando as mais antigas tudo bem parte de integra\u00e7\u00e3o t\u00e1 aqui que eu comentei com voc\u00eas naquele pode mandar para outros lugares as informa\u00e7\u00f5es e mais embaixo a gente vai ativar um outro cara que quer fechar automaticamente o Engage at\u00e9 n\u00e3o dei \u00eanfase ali mas quando a gente criou o ingl\u00eas gente a gente define Qual \u00e9 o tempo espec\u00edfico que esse ingl\u00eas a gente vai estar vivo ent\u00e3o t\u00f4 criando hoje o padr\u00e3o que ele vem aqui pelo menos na instala\u00e7\u00e3o Inicial s\u00e3o sete dias ent\u00e3o a equipe vai ficar de fato sete dias em cima desse desse ingl\u00eas gente fecha depois falando de automa\u00e7\u00e3o a gente vai poder ou fechar por api e ningu\u00e9m a gente ou que ele se fecha automaticamente depois do tempo previsto para ele depois de dois dias que ele deveria estar fechado n\u00e3o foi fecha sozinho \u00e9 isso vamos salvar aqui isso Vai facilitar nossa vida a partir de agora e vamos voltar nos produtos como eu falei j\u00e1 tinha o site criamos o blog vou entrar nele e vamos dar uma olhada em uma dessas findens para a gente resolver ela todas elas entraram como ativas aqui e at\u00e9 pode n\u00e3o t\u00e1 fazendo muito sentido ativa e Nativa e tal quando a gente subir de novo outro outro Scan vai ficar mais claro vamos atacar uma delas vamos atacar por exemplo esse redmi que tem aqui ent\u00e3o WPS foi l\u00e1 e viu que tinha um Reed me aberto para ver de fato est\u00e1 l\u00e1 confirmei essa vulnerabilidade confirmei esse ponto de informativo aqui que o WPS vamos resolver ele deixei aberto J\u00e1 meu virtualizador j\u00e1 dentro do container do WordPress l\u00e1 t\u00e1 aqui meu redmi e n\u00f3s vamos tirar a permiss\u00e3o dele aqui para voc\u00ea tiramos permiss\u00e3o dele contra o F5 fechou j\u00e1 t\u00e1 t\u00e1 413 aqui j\u00e1 na teoria resolvemos que que a gente pode fazer ap\u00f3s resolvido eu poderia vir aqui tratar poderia outra forma \u00e9 eu posso escanear de novo e vamos ver se ele vai encontrar Afinal a gente j\u00e1 colocou l\u00e1 que a gente quer remover as duplicadas n\u00e3o tem problema escanear de novo e voc\u00eas v\u00e3o ver agora na pi que tem mais um ponto ali bem importante que \u00e9 para mitigar as vulnerabilidades que ele n\u00e3o encontrar num novo scan Ent\u00e3o j\u00e1 deixei aqui pronto eu estou tudo que \u00e9 c\u00f3digo que eu vou mostrar aqui hoje eu deixei no github Depois eu deixo o link para voc\u00eas ali tamb\u00e9m para quem quiser implementar como \u00e9 que eu t\u00f4 de tempo estamos em cima do la\u00e7o vamos vamos nada come\u00e7ar pela classezinha come\u00e7ar pelo pr\u00f3prio esc\u00e2ndalo WP scanner eu come\u00e7o definindo aonde que eu vou salvar o log n\u00e9 eu vou eu vou executar esse WP Scan dentro de um container dentro de um docker e jogando para fora atrav\u00e9s de mapeamento aqui o arquivo de retorno dele o relat\u00f3rio dele Jason t\u00f4 executando uma vers\u00e3o bem enxuta do WP Scan aqui para ser r\u00e1pido t\u00e1 durante apresenta\u00e7\u00e3o aqui porque se eu executasse Complet\u00e3o que eu deixei comentado a gente ia ficar bastante tempo esperando o retorno dele quem quiser executar de verdade assim para valer numa aplica\u00e7\u00e3o real recomendo que use uma vers\u00e3o mais porrada para escanear realmente aqui pegar habilidades de plugins durabilidade de temas mais um monte de coisa que ele tem como \u00e9 que eu inicio a minha verifica\u00e7\u00e3o aqui n\u00e9 eu creio uma classe de hoje j\u00e1 mostra Ela ali e eu come\u00e7o basicamente estanciando ela e questionando se existe um ingl\u00easmente ativo nesse meu produto t\u00f4 chumbando em c\u00f3digo aqui no meu produto j\u00e1 vou at\u00e9 pegar ele aqui porque com certeza mudou a gente acabou de criar o produto n\u00e9 t\u00e1 que eu tava usando antes dos Testes agora o meu produto \u00e9 de 6 Vamos botar no c\u00f3digo aqui sei que n\u00e3o \u00e9 a melhor pr\u00e1tica t\u00e1 para fins de exemplificar aqui foi o mais r\u00e1pido \u00fanica coisa que eu tirei que eu n\u00e3o deixei hardcoder foi o token do WP Scan assim como toquem do jogo tamb\u00e9m fiz nesse formato de consumir um mini externo que n\u00e3o \u00e9 personal ent\u00e3o primeira coisa que ele faz \u00e9 ver se tem o ingl\u00eas mente ativo caso tenha a gente vai usar esse pr\u00f3prio engasgo pensando no momento onde a gente pode estar fazendo v\u00e1rios testes dentro de um mesmo se j\u00e1 tem um ativo vou usar ele n\u00e3o tem vou criar um novo e a\u00ed aqui eu t\u00f4 passando meu ID de produto o t\u00edtulo do meu engagement e uma descri\u00e7\u00e3o breve para ele vamos dar uma olhada como \u00e9 que t\u00e1 na classe isso aqui a classe eu inicio ela bem simples t\u00f4 deixando hardcoder de novo aqui o endere\u00e7o do meu defect Dojo local e ele pega tamb\u00e9m o token de comunica\u00e7\u00e3o com API de um mini deixa eu mostrar para voc\u00eas aonde fica esse token eu vou ter que puxar mais para baixo porque eu acho que a minha c\u00e2mera t\u00e1 no cantinho ali deixa eu botar aqui fica aqui ap\u00f3s logado Dojo a gente tem op\u00e7\u00f5es da conta prolongado como admin que \u00e9 o usu\u00e1rio padr\u00e3o que ele cria e a gente tem aqui api V2 que que traz Justamente a nossa chave para conex\u00e3o com API se eu abrir o token do joinny \u00e9 justamente a chave que eu coloquei dentro dele aqui n\u00e9 e um terminando com BD l\u00e1 no final vamos voltar primeira coisa que ele faz ent\u00e3o que a gente visto ali ele v\u00ea se tem isso \u00e9 uma aquisi\u00e7\u00e3o get e eu t\u00f4 passando alguns par\u00e2metros aqui na no pr\u00f3prio get mesmo eu t\u00f4 dizendo que eu s\u00f3 quero em ingl\u00eas que est\u00e3o ativos e que o status dele seja em Progresso desse produto espec\u00edfico qualquer coisa diferente disso para a gente n\u00e3o serve t\u00e1 ele faz o get l\u00e1 esse get deve retornar 200 qualquer coisa diferente disso vai cair no nosso Elson aqui deu um erro hist\u00f3ria a gente n\u00e3o tem usu\u00e1rio final n\u00e9 aqui \u00e9 executado via terminal mesmo ent\u00e3o t\u00e1 tudo certo estourar erro vai estourar erro para mim mesmo t\u00e1 tudo bem e a Gente T\u00e1 informando Ent\u00e3o se retornar o count zero significa que eu n\u00e3o tenho nenhum gay gente retorna falsa para quem chamou esse m\u00e9todo retornou um entrega o pr\u00f3prio ID desse ingl\u00eas para ele ser usado para outros descanso Ent\u00e3o vou voltar para no nosso caso a gente j\u00e1 tem um gay a gente ativo mas se n\u00e3o tivesse ele a criar engagents E a\u00ed eu vou mostrar aqui tamb\u00e9m rapidinho como \u00e9 que ele cria o novo nesse caso \u00e9 uma requisi\u00e7\u00e3o post e o m\u00e9todo aqui que eu criei ele pede tr\u00eas itens o ID do produto o nome desse envelhecimento que vai ser e a descri\u00e7\u00e3o assim como t\u00e1 exatamente aqui n\u00e9 quando se ele fosse criar estaria dessa forma alguns outros par\u00e2metros tem que ser passados E a\u00ed eu deixei inclusive dentro do m\u00e9todo aqui para ele criar iniciando hoje terminando amanh\u00e3 pensando em autom\u00e1tico um dia \u00e9 mais do que suficiente para escanear tudo que precisa e eu j\u00e1 t\u00f4 criando ele como em Progresso tamb\u00e9m isso tudo vai como Jason no nosso corpo e no Heather thank you token aqui em cima a gente n\u00e3o passa nada n\u00e9 ent\u00e3o n\u00e3o precisa dizer que a Jason que \u00e9 qualquer outro tipo a gente s\u00f3 manda o token e dando tudo certo ele nos retorna htp code 2011 que foi criado a gente pode retornar esse ardido o contr\u00e1rio n\u00e3o est\u00e1 retornando falsa at\u00e9 esse falso pensando agora ele n\u00e3o t\u00e1 sendo tratado l\u00e1 n\u00e9 retornar falsa iria e falso perder ningu\u00e9m me tinha dito bom fica a\u00ed de poss\u00edvel melhoria para futuro a gente sempre salva o Scan no mesmo lugar no mesmo diret\u00f3rio com o mesmo nome se voc\u00eas forem aplicar e podem fazer de uma maneira diferente tal aqui para simplificar consumindo ele sempre do mesmo endere\u00e7o ent\u00e3o se eu vou escanear o primeiro deleto o arquivo que tem l\u00e1 caso ele exista [M\u00fasica] fa\u00e7o de novo a verifica\u00e7\u00e3o para ver se ele existe caso ele n\u00e3o exista porque a gente teve um problema aqui na hora de gerar esse arquivo n\u00e3o n\u00e3o funciona de alguma maneira travou nosso WP Scan durante escarneamento ou qualquer outro tipo de problema de permiss\u00e3o Ele estoura erro j\u00e1 d\u00e1 um Dai para a gente poder resolver sen\u00e3o a gente vai montar um post data e a\u00ed entra aquilo certo de novo que eu comentei com voc\u00eas n\u00e9 at\u00e9 vou ter um coment\u00e1rio do lado que ele \u00e9 um identificador para compara\u00e7\u00e3o de duplicidade quando a gente for ver o outro projeto ali que \u00e9 o projeto do site vai ficar mais claro aqui a gente s\u00f3 tem um tipo de skan que \u00e9 o WP Scan e s\u00f3 tem unha de point Ent\u00e3o vai ser sempre o mesmo certo t\u00e1 at\u00e9 se n\u00e3o passar se ele daria tudo certo tamb\u00e9m WP Scan esses cantaipe eu n\u00e3o posso escrever qualquer coisa aqui o detector joelho espera um campo espec\u00edfico igual ao que a gente viu aqui na hora de importar um scanner Deixa eu s\u00f3 voltar para voc\u00ea para voc\u00eas um beijo Se a gente fosse importar um novo Scan \u00e9 esse exatamente essa palavra t\u00e1 aqui que tamb\u00e9m aparece aqui embaixo t\u00e1 o que t\u00e1 em aqui no in\u00edcio \u00e9 o que tem que ir ali no escanteio aqui entra um pulo do gato t\u00e1 skip duplicates tem que estar true se n\u00e3o ele mesmo tendo marcado nas configura\u00e7\u00f5es l\u00e1 ele n\u00e3o vai pular as duplicadas e o Close old Finds tamb\u00e9m \u00e9 muito bom recomendo que sempre esteja true dessa forma se ele escanear e n\u00e3o n\u00e3o apareceu uma mesma vulnerabilidade ele j\u00e1 vai fechar ela com status de mitigada n\u00e9 a gente que foi exatamente que a gente fez a gente foi l\u00e1 e deu um cego amor naquele ritmo n\u00e9 embaixo Aqui eu s\u00f3 atendo o nosso arquivo tem que usar nas vers\u00f5es mais novas de PHP na antiga eu acho que d\u00e1 para passar de alguma outra maneira e chama o nosso importe Scan mandando esse arreio aqui s\u00f3 d\u00e1 uma passada como ele funciona aqui o criei tamb\u00e9m um closen t\u00e1 at\u00e9 n\u00e3o preciso usar mostrei para voc\u00eas l\u00e1 que tem o alto Close dos Ingleses Se quiserem usar j\u00e1 t\u00e1 pronto e o Imports [M\u00fasica] e o nosso toque novamente para o implante aqui de imports aqui uma coisa bem interessante nem sempre retorna 201 t\u00e1 \u00c0s vezes a gente vai fazer um skan e ele vai ter muita vulnerabilidade ou vai ser muito verboso e vai cair n\u00e3o t\u00e1 em malte Dojo d\u00e1 para resolver isso aumentando o tempo de processamento l\u00e1 sem tem outras formas mas para todo caso eu coloquei aqui que ficou de retorno for 54 ou seja ele interrompeu ali deu um Tai malte no meu retorno tudo certo porque o joelho tem um sistema de filas ent\u00e3o retornando 2001 ou 504 j\u00e1 foi para o defecador de uma informa\u00e7\u00e3o \u00fanica diferen\u00e7a vai ser aqui no 504 ele ainda vai estar processando isso ent\u00e3o qualquer coisa retornamos tru achata que n\u00e3o t\u00e1 sendo tratado aqui tamb\u00e9m \u00e9 ele t\u00e1 dando um econo true aqui no caso ok vamos executar esse cara deixa eu ver como \u00e9 que eu t\u00f4 de tempo j\u00e1 temos passamos j\u00e1 vamos rapidinho pegar WP eu n\u00e3o salvei calma a\u00ed eu acho que te dizer eu n\u00e3o salvei que o produtor de novo Claro n\u00e3o tenho prova agora sim escaneado no meu teste que ele t\u00e1 levando at\u00e9 j\u00e1 criou aqui agora que vem t\u00e1 levando cinco segundos j\u00e1 vai finalizar a\u00ed finalizou mandando jogo bem r\u00e1pido j\u00e1 enviou vamos dar uma olhada como \u00e9 que ficou l\u00e1 no defeito do J\u00f4 vou entrar no nosso produto ele continua tendo um Engage a gente mas agora ele tem quatro vulnerabilidades n\u00e3o sei se o pessoal vai lembrar mas tinha cinco Ent\u00e3o vamos ver o que que rolou aqui a gente tem dois testes n\u00e9 um feito pelo admin usa que foi aquele que eu fiz manualmente encontrou cinco findens e quatro delas ainda est\u00e3o ativas olha que massa essa ferramenta \u00e9 sensacional e uma j\u00e1 t\u00e1 mitigada ele fez o mesmo Scan depois e s\u00f3 encontrou quatro ent\u00e3o uma delas vamos ver qual foi essa aqui t\u00e1 inativada a do nosso ritmo show de bola fechou todas ent\u00e3o agora para finalizar mostrando ent\u00e3o um pouco de como subir um escama umas tr\u00eas s\u00f3 um pessoal mas os outros S\u00e3o muito parecidos t\u00e1 a l\u00f3gica \u00e9 exatamente a mesma eu chamo containerzinho salvou um Jason ou um XML no Zap aqui XML que ele consome e fa\u00e7a o envio t\u00e1 n\u00e3o tem mist\u00e9rio quiser colocar outras ferramentas l\u00e1 esse formato e funciona muito bem Eu gosto bastante como eu disse vou deixar o c\u00f3digo pronto a\u00ed para voc\u00eas para quem quiser escanear usar na empresa usar local tamb\u00e9m deixa eu mostrar o outro l\u00e1 que a\u00ed \u00e9 o nosso cheio de vulnerabilidade que \u00e9 o site Olha s\u00f3 show de horror ele tem um investimento s\u00f3 eu chamei o ingl\u00eas sal Poderia chamar de qualquer coisa e nesse cara eu fiz com Zap n\u00e9 ferramenta de Darci ali faz an\u00e1lise din\u00e2mica da aplica\u00e7\u00e3o testa os inputs Tenta enviar payload [M\u00fasica] Tenta descobrir arquivo enfim e testei o drive tamb\u00e9m que \u00e9 o Scan de imagem nesse caso aqui tem um ponto que eu quero mostrar para voc\u00eas que \u00e9 porque que eu fiz tr\u00eas descanso com o drive foi a mesma coisa do WP Scan que eu acabei de mostrar aqui foi um depois do outro porque que t\u00e1 t\u00e3o diferente dele n\u00e9 n\u00e3o na verdade eu tive como eles escaneia por imagem e esse projeto do site tem tr\u00eas imagens eu escaneei cada uma delas individualmente vamos ver como \u00e9 que ficou isso na programa\u00e7\u00e3o aqui fiz cara da maneira mais simples poss\u00edvel gerei uma raizinho e coloquei as imagens que eu quero escanear com uma chave nomeada aqui n\u00e9 por que que eu botei essa chave n\u00e3o fiz uma Rei simples num\u00e9rico porque eu vou usar essa chave para o nosso service aqui embaixo o service aquele que eu comentei para voc\u00eas que impede duplicidade para que que serve isso aqui n\u00e9 Aqui n\u00e3o tem mist\u00e9rio t\u00e1 pessoal \u00e9 o mesmo c\u00f3digo s\u00f3 que ele tem um farite para para escanear reportagem para cada uma das imagens vamos voltar ali que eu vou mostrar o porqu\u00ea que \u00e9 importante ter o Service deixa eu vir aqui direto nas Finds at\u00e9 mostrando um pouco mais a ferramenta vamos ordenar de repente por componente aqui \u00e9 bem legal que ele j\u00e1 descobre aonde est\u00e3o as vulnerabilidades e elenca para gente cara olha s\u00f3 Open jdk t\u00e1 ferrado tenho 116 na verdade dentro desse projeto s\u00f3 n\u00e9 Que componentes desse projeto vamos entrar nele que que tem de vulnerabilidade l\u00e1 ah tem o cvr aqui 14583 14 593 Pode parecer parecido o n\u00famero mas \u00e9 s\u00e3o diferentes u\u00e9 14583 de novo t\u00e1 duplicado isso a\u00ed Dudu n\u00e3o o service \u00e9 diferente esse de cima ele achou na imagem base e esse de baixo no jsp exatamente os \u00edndices aqueles que a gente criou n\u00e9 ent\u00e3o como eles caninho a cada um ele n\u00e3o pode dizer que \u00e9 uma duplicidade n\u00e3o eu tenho esse problema duas vezes no meu projeto em lugares diferentes pode estar em servidores diferentes inclusive por isso que \u00e9 a sacada de usar o service \u00e9 muito boa ele s\u00f3 duplica se o certo se tiver igual a CV for igual e o antipoint for igual t\u00e1 nem todo nem todo escravo a\u00ed tem de porte o caso do Trevo n\u00e3o gera Point n\u00e9 ele escaneia a imagem escaneia arquivo e tal vamos voltar nas finders aqui ele at\u00e9 achou alguns vamos dar uma olhada que que ele encontrou \u00e0s vezes pessoal os endpoints dependendo da ferramenta Ou a gente pode ser diferente ent\u00e3o pode ver aqui embaixo tem htp:\/\/ no de cima n\u00e3o tem no de cima apareceu porta no de baixo n\u00e3o infelizmente \u00e9 isso a\u00ed ele Talvez duplique alguma coisinha de pote e os antip\u00e1tico eles n\u00e3o somem t\u00e1 finalizando se eu removeu em ingl\u00eas gente o Point uma vez conhecido s\u00f3 se voc\u00eas removerem ele manualmente Deixa eu pensar o que que eu passei passei bem r\u00e1pido n\u00e9 tentei tentei ficar dando tempo mesmo assim foi um pouquinho eu acho que era isso o sistema \u00e9 sensacional assim eu recomendo demais o uso quebra um galho gigantesco de n\u00e3o ter que ficar olhando um monte de ferramentas separada Voc\u00eas conseguem colocar permiss\u00e3o at\u00e9 nem passei por permiss\u00e3o aqui mas ele tem calend\u00e1rio quando \u00e9 que t\u00e1 rodando o os meus engagements n\u00e9 creio em ingl\u00eas gente para o Blog com sete dias Criei um beijo para o site de um dia s\u00f3 mostra um calend\u00e1rio Quanto quanto t\u00e1 sendo feita os Scans em qual sistema e na parte de usu\u00e1rios e grupos \u00e9 bem legal tamb\u00e9m Voc\u00eas conseguem dar permiss\u00e3o diferente para cada n\u00edvel de acesso que o desenvolvedor vai ter ai cara que ele s\u00f3 visualiza as vulnerabilidades esse outro consegue marcar ela como falsa positiva a ferramenta \u00e9 sensacional e pessoal era era isso que eu queria apresentar n\u00e3o sei se o pessoal gostou a\u00ed prometi deixar o github Ent\u00e3o t\u00e1 aqui embaixo acho que d\u00e1 para deixar no chat a\u00ed tamb\u00e9m para facilitar a vida do pessoal de novo fazer meu Jab\u00e1 aqui n\u00e9 tem o meu canal l\u00e1 quem quiser se inscrever se tiver vontade meu e-mail de contato \u00e9 isso a\u00ed [M\u00fasica] parab\u00e9ns vai ter conte\u00fado cara Temos alguma pergunta a\u00ed de voc\u00eas do pessoal eu n\u00e3o consegui acompanhar nada deixa eu ver se o doutor eu n\u00e3o t\u00f4 alguma coisa n\u00e9 Felipe rivais mais conhecido isso a\u00ed cara todo mundo habilidade parab\u00e9ns mesmo parab\u00e9ns eu achei o chegou alguma pergunta muito interessante do que t\u00e3o r\u00e1pido que que n\u00e3o deve ser acho que tem o Jonathan ele falando que gostou bastante Achou bem interessante n\u00e3o conhecia a ferramenta e parab\u00e9ns valeu Eu mesmo n\u00e3o sou hard user assim eu conheci esse ano t\u00e1 a gente implementou e cara foi foi um amor assim a primeira vista nos facilitou a vida bastante uma coisa que eu recomendado tipo pegar um esc\u00e2ndalo do Twitter e pegar o esc\u00e2ndalo teve no jogo \u00e9 muito dif\u00edcil \u00e9 de ficar entendendo o que que \u00e9 cada cada variedade que ele alertou realmente n\u00e3o n\u00e3o d\u00e1 assim n\u00e3o tem mist\u00e9rio \u00e9 impressionante com o impacto visual para quem recebe o relat\u00f3rio o quanto agrega n\u00e9 ent\u00e3o Ah cara vai compartilhar passou outro jogou a passar ali o link para o pessoal baixar Eu n\u00e3o passei deixa eu abrir que eu t\u00f4 sem o YouTube aqui n\u00e9 fechei tudo para n\u00e3o ter o risco de travar nada aquela coisa eu vou mandar o link do Ah legal ficou muito legal meu parab\u00e9ns Muito obrigado muito obrigado por eles o cara assim o companheiro Dudu fazendo ele t\u00e1 se esfor\u00e7ando para pegar os exemplos certos fazer fazer o c\u00f3digo para compartilhar Muito obrigado acho que muita gente vai usar o teu c\u00f3digo a\u00ed ficou muito massa baixando githubin instalando os ar livre tem alguma quest\u00e3o de licenciamento em rela\u00e7\u00e3o a ferramentas que est\u00e3o Integradas nele n\u00e3o cara todas as ferramentas que eu usei aqui s\u00e3o gratuitas a \u00fanica que precisa fazer conta \u00e9 o wpscan e mesmo assim pode usar ele bem tranquilo acho que tem 75 descanso por dia no gratuito ali antigamente era limitado t\u00e1 agora tem tem isso a\u00ed 75 por dia convenhamos que \u00e9 bastante n\u00e9 E isso s\u00e3o todas elas gratuitas inclusive do J\u00f4 Parte da asper software livre \u00e9 pode pode usar que \u00e9 sucesso eu fiz mais para apresentar aqui j\u00e1 pensei mas vou tive essa dificuldade de como integrar l\u00e1 atr\u00e1s quando foi implementar vamos facilitar a vida de quem foi implementar no futuro n\u00e9 tem documenta\u00e7\u00e3o Teve outra uma pergunta anterior ali da Elaine a respeito do que que significa o cve se seria um modelo de fragilidade deixa eu ver ela fez uma outra pergunta tamb\u00e9m estou iniciando os estudos em aspec gostaria de saber o que que seria o cvr voc\u00eas podem falar um pouquinho alguns termos perd\u00e3o pessoal a gente acaba falando porque \u00e9 do dia a dia mas vamos l\u00e1 o CV \u00e9 uma documenta\u00e7\u00e3o de vulnerabilidade desconhecidas Ent\u00e3o quando voc\u00eas vem assim Ah tem uma vulnerabilidade no Twitter Sei l\u00e1 nem sei t\u00e1 surtando qualquer nome geralmente isso \u00e9 ligado a algo j\u00e1 conhecido ent\u00e3o vazou uma credencial ou consegue injetar algum c\u00f3digo atrav\u00e9s de blog h\u00e1 um tempo atr\u00e1s a gente teve log 4shall a\u00ed que foi bem grande bem divulgado Ent\u00e3o s\u00e3o catalogadas de acordo com o ano eu at\u00e9 mostrei quando eu tava mostrando a tela ali come\u00e7ava com 2020 n\u00e9 ent\u00e3o a vuneidade que foi descoberto em 2020 e o n\u00famero que vem depois \u00e9 alta incrementado ele s\u00f3 vai aumentando a cada uma que \u00e9 descoberta a CW \u00e9 tamb\u00e9m \u00e9 uma \u00e9 uma fraqueza conhecida uma fraqueza eu n\u00e3o sei muito bem como explicar Talvez o guris possam explicar melhor que eu mas \u00e9 algo tamb\u00e9m j\u00e1 conhecido que deve ser cuidado ali no momento do desenvolvimento e a catalogado esse padr\u00e3o \u00e9 o at\u00e9 complementando o CW \u00e9 \u00e9 algo que \u00e9 uma vulnerabilidade encontrada ent\u00e3o \u00e9 um registro de uma vulnerabilidade encontrada eu tamb\u00e9m vou falar um pouco por cima assim porque eu n\u00e3o cheguei a analisar a l\u00edngua para explicar de uma forma mais mais aprofundada mas basicamente ser\u00e1 referente a uma vulnerabilidade encontrada e o cws s\u00e3o fraquezas que pode vir levar a explorar uma vulnerabilidade Ent\u00e3o s\u00e3o todos eles s\u00e3o bases de conhecimento Ent\u00e3o cws sempre que \u00e9 encontrado uma vulnerabilidade num software ou pensar se por exemplo at\u00e9 software propriet\u00e1rio \u00e9 registrado como um cvr e a o cws podem pesquisar l\u00e1 at\u00e9 para identificar poss\u00edveis fragilidades que o software possa ter e que pode vir a gerar um cvm mas acaba que n\u00e3o tem uma liga\u00e7\u00e3o uma liga\u00e7\u00e3o direta acho que \u00e9 mais ou menos isso e n\u00e3o faz muita parte n\u00e3o eu queria compartilhar uma outra ferramenta que a gente passou a consumir tamb\u00e9m que \u00e9 o open CV \u00e9 um site e l\u00e1 Voc\u00eas conseguem dizer por exemplo a gente usa Outlook e tal vers\u00e3o a gente usa Windows 11 a gente usa o pacote Office aqui enfim tudo que voc\u00eas quiserem colocar l\u00e1 dentro do Open cvr ele no momento que surgiu uma nova vulnerabilidade para que ele sofre at\u00e9 se cadastrados por voc\u00eas ele manda um e-mailzinho Opa software tu usa tem uma nova vulnerabilidade conhecida ou teve uma atualiza\u00e7\u00e3o Vale bastante a pena cadastrar por l\u00e1 tamb\u00e9m gratuito Hoje aconteceu uma coisa interessante com um littilab n\u00e9 at\u00e9 se voc\u00eas usam n\u00e3o s\u00f3 em Severa tamb\u00e9m se cadastre no fornecedor do software o glitilab ele mandou um aviso antes por e-mail para os usu\u00e1rios dizendo que que ia lan\u00e7ar uma nova vers\u00e3o e que tem variabilidade que era para atualizar e da\u00ed depois ele deixou o p\u00fablico ent\u00e3o \u00e9 interessante o pensamento n\u00e3o tem um contato direto n\u00e3o tem algum tipo de suporte direto \u00e9 open estiver contraiu n\u00e9 perfeitos pessoal acho que \u00e9 isso cara muito obrigado pelo tempo de voc\u00eas espero que voc\u00eas n\u00e3o Aspen continuem apoiando esse grupo aqui vindo participar n\u00f3s temos o espa\u00e7o aberto para quem quiser palestrar tem algum assunto se voc\u00eas tiverem um assunto que voc\u00eas queiram tratar que voc\u00eas queiram ouvir mais envolvendo seguran\u00e7a a gente pode correr atr\u00e1s de palestrantes tamb\u00e9m para trazer para comunidade grandinho que acaba a\u00ed obrigado Renan Obrigado Dudu espero voc\u00eas mais vezes aqui com certeza eu acho que \u00e9 isso voc\u00ea agradecer nossos palestrantes aqui que vieram Compartilhar esse material com a gente agradeceu o pessoal que t\u00e1 assistindo e convidar para que procurem n\u00f3s l\u00e1 no telegram tem o chat tem o grupo ent\u00e3o procurar l\u00e1 por aspe Porto Alegre voc\u00eas v\u00e3o encontrar e tudo isso que eu que o Felipe comentou aqui de sugerir assunto Daqui um pouquinho vir palestrar aqui a ideia que no pr\u00f3ximo ano a gente fa\u00e7a a\u00ed no m\u00ednimo quatro eventos de novo melhor se a gente conseguir fazer mais quanto mais sugest\u00f5es de conte\u00fado mas eventos a gente consegue consegue fazer e t\u00e1 compartilhando aqui ent\u00e3o muito obrigado pela presen\u00e7a e de todos<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Respons\u00e1vel pela OWASP em Porto Prazenteiro. Reuni\u00e3o #010 Confira a agenda: 19h30\u201320h10 \u201cSeu aplicativo \u00e9 seguro?\u201d Nesse bate papo&#8230; 01:46:10 Respons\u00e1vel pela OWASP em&#8230;<\/p>\n","protected":false},"author":1,"featured_media":61,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[7,2],"tags":[48,112,49,50,111],"acf":[],"_links":{"self":[{"href":"https:\/\/www.criptografarphp.com.br\/site\/wp-json\/wp\/v2\/posts\/60"}],"collection":[{"href":"https:\/\/www.criptografarphp.com.br\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.criptografarphp.com.br\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.criptografarphp.com.br\/site\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.criptografarphp.com.br\/site\/wp-json\/wp\/v2\/comments?post=60"}],"version-history":[{"count":2,"href":"https:\/\/www.criptografarphp.com.br\/site\/wp-json\/wp\/v2\/posts\/60\/revisions"}],"predecessor-version":[{"id":306,"href":"https:\/\/www.criptografarphp.com.br\/site\/wp-json\/wp\/v2\/posts\/60\/revisions\/306"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.criptografarphp.com.br\/site\/wp-json\/wp\/v2\/media\/61"}],"wp:attachment":[{"href":"https:\/\/www.criptografarphp.com.br\/site\/wp-json\/wp\/v2\/media?parent=60"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.criptografarphp.com.br\/site\/wp-json\/wp\/v2\/categories?post=60"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.criptografarphp.com.br\/site\/wp-json\/wp\/v2\/tags?post=60"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}