+ All Categories
Home > Technology > Mobilní bankovnictví a bezpečnostní rizika

Mobilní bankovnictví a bezpečnostní rizika

Date post: 12-May-2015
Category:
Upload: petr-dvorak
View: 1,480 times
Download: 2 times
Share this document with a friend
Description:
Co je mobilní bankovnictví, jaké jsou jeho nejčastější způsoby (SIM Toolkit, aplikace pro operační systémy iOS, Android, Symbian apod.). V čem jsou jeho výhody a v čem spočívá jeho nebezpečí a riziko? Je možné dlouhodobě spoléhat na jednofaktorovou bezpečnost řešení mobilních bankovnictví?
27
Mobilní bankovnictví a bezpečnostní rizika Petr Dvořák Chief Senior Workaholics
Transcript

Mobilní bankovnictví a bezpečnostní rizika

Petr DvořákChief Senior Workaholics

Před pár lety...

První krůčky: GSM, JavaME

Dnes jsme dále...

Finance jsou mobilní

Nová zařízení, nové problémy

Mobilní telefon(krásný)

Tablet device(krásný)

Dell Streak(divný)

Asus EEEPad(nevyhraněný)

Internet do notebooku?(Co bude dál? Lékař jen na zuby?)

Problém• Žádné IMEI, ICCID, ...

• často není SIM karta, není API v SDK

• Žádná autorizace pomocí SMS

• opět - není SIM

• ... nebo hůř - je SIM

• Žádná USB klíčenka

• není port pro USB

Řešení

• Přiznat si, že zařízení je anonymní

• “ID zařízení” vs. “ID instalace”

• ... chceme přeci ověřit uživatele, boha jeho...

• Autentizace = “Jak dokážu, že já jsem já...”

• Jiná dvou-faktorová autentizace

• SecurID

• Secure Token s NFC

Zařízení je anonymní

• Nesmí být moc anonymní

• Blokace při ztrátě

• Obrana proti zablokování účtu

• Řeší proces aktivace / personalizace

• Sekvence kroků na zařízení a v internetovém bankovnictví

• Internetové bankovnictví je bezpečný kanál

Případová studie

SERVIS 24

• Heslo pro Mobilní banku se nastavuje v IB

• V prostředí IB uživatel nastaví heslo a opíše si jednorázový kód

• Heslo je v IB autorizováno běžnými prostředky

• Aktivace se dokončí v mobilním zařízení

• Na základě klientského čísla, jednorázového kódu a hesla dojde k personalizaci instalace

SERVIS 24 pro iPhone

SERVIS 24Z reklamy na bezpečnost:

“Při komunikaci se serverem je každý požadavek individuálně podepsán signaturou složenou z dat personalizace, dat daného požadavku, hashe uživatelského hesla, časového razítka a dalších, velmi tajných parametrů.”

SERVIS 24• ... tedy i při prolomení bezpečného

komunikačního kanálu

• Je zajištěno, že není možné kompromitovat heslo

• Není možné opakovat requesty na server

• Není možné podvrhovat obsah requestů

• Je zajištěno, že požadavky provádí daný uživatel z jeho aktivovaného zařízení

Nová zařízení, staré problémy

Problém• Firmy zaměřené na mobilní vývoj jsou

stále mladé

• Nevědí, kde může být teoreticky problém

• Firmy provádějící bezpečnostní audit stále nemají detailní znalost platforem

• Jak funguje logování? Jak se pracuje s certi+káty? Co je to keychain? Jak fungují cookies a HTTP cache? Jak instalovat aplikaci ze serveru banky?

Řešení• Přiznat si, že nejsem superman

• “Naše +rma testuje bezpečnost již 100 let, testovali jsme pro Bank of America.”

• “Vyvíjíme aplikace pro mobily už 4 roky, udělali jsme Chrochtátko pro iPhone.”

• V kooperaci veri+kovat bezpečnost

• Návrh bezpečnosti

• Implementace pro danou platformu

Autentizace stojí a padá s heslem uživatele

“Nedávej všechna vejce do jednoho košíku”

2-faktorová autentizace• Obejdeme se bez ní?

• Klid - teď ano...

• ... pak ne...

• Mobilní bankovnictví není moc rozšířené

• Nevyplatí se útočit skrze něj

• Neexistují hrozby, které by vynutily silnější autorizaci• Ne zcela platí pro Android, naštěstí je tu Avast antivirus

• Čeká se na první skandál☺

Shrnutí• Nová zařízení přinesla nové hrozby

• Je potřeba je vyřešit do doby, než bude z mobilního bankovnictví zajímavý cíl

• Je nutno přijímat nové postupy, nelpět na přežitých schématech

• Dlouhodobě nebude stačit jedno-faktorová autentizace

• Více-faktorová autentizace nemusí uživatele bolet

Děkuji

@inmite@joshis_tweets


Recommended