Your SlideShare is downloading. ×
0
Smart Cards & Devices Forum 2013 - Zabezpečení mobilních bankovnictví
Smart Cards & Devices Forum 2013 - Zabezpečení mobilních bankovnictví
Smart Cards & Devices Forum 2013 - Zabezpečení mobilních bankovnictví
Smart Cards & Devices Forum 2013 - Zabezpečení mobilních bankovnictví
Smart Cards & Devices Forum 2013 - Zabezpečení mobilních bankovnictví
Smart Cards & Devices Forum 2013 - Zabezpečení mobilních bankovnictví
Smart Cards & Devices Forum 2013 - Zabezpečení mobilních bankovnictví
Smart Cards & Devices Forum 2013 - Zabezpečení mobilních bankovnictví
Smart Cards & Devices Forum 2013 - Zabezpečení mobilních bankovnictví
Smart Cards & Devices Forum 2013 - Zabezpečení mobilních bankovnictví
Smart Cards & Devices Forum 2013 - Zabezpečení mobilních bankovnictví
Smart Cards & Devices Forum 2013 - Zabezpečení mobilních bankovnictví
Smart Cards & Devices Forum 2013 - Zabezpečení mobilních bankovnictví
Smart Cards & Devices Forum 2013 - Zabezpečení mobilních bankovnictví
Smart Cards & Devices Forum 2013 - Zabezpečení mobilních bankovnictví
Smart Cards & Devices Forum 2013 - Zabezpečení mobilních bankovnictví
Smart Cards & Devices Forum 2013 - Zabezpečení mobilních bankovnictví
Smart Cards & Devices Forum 2013 - Zabezpečení mobilních bankovnictví
Smart Cards & Devices Forum 2013 - Zabezpečení mobilních bankovnictví
Smart Cards & Devices Forum 2013 - Zabezpečení mobilních bankovnictví
Smart Cards & Devices Forum 2013 - Zabezpečení mobilních bankovnictví
Smart Cards & Devices Forum 2013 - Zabezpečení mobilních bankovnictví
Smart Cards & Devices Forum 2013 - Zabezpečení mobilních bankovnictví
Smart Cards & Devices Forum 2013 - Zabezpečení mobilních bankovnictví
Smart Cards & Devices Forum 2013 - Zabezpečení mobilních bankovnictví
Smart Cards & Devices Forum 2013 - Zabezpečení mobilních bankovnictví
Smart Cards & Devices Forum 2013 - Zabezpečení mobilních bankovnictví
Smart Cards & Devices Forum 2013 - Zabezpečení mobilních bankovnictví
Smart Cards & Devices Forum 2013 - Zabezpečení mobilních bankovnictví
Smart Cards & Devices Forum 2013 - Zabezpečení mobilních bankovnictví
Smart Cards & Devices Forum 2013 - Zabezpečení mobilních bankovnictví
Smart Cards & Devices Forum 2013 - Zabezpečení mobilních bankovnictví
Smart Cards & Devices Forum 2013 - Zabezpečení mobilních bankovnictví
Smart Cards & Devices Forum 2013 - Zabezpečení mobilních bankovnictví
Smart Cards & Devices Forum 2013 - Zabezpečení mobilních bankovnictví
Smart Cards & Devices Forum 2013 - Zabezpečení mobilních bankovnictví
Smart Cards & Devices Forum 2013 - Zabezpečení mobilních bankovnictví
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Smart Cards & Devices Forum 2013 - Zabezpečení mobilních bankovnictví

107

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
107
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
1
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Zabezpečení mobilníchbankovnictvíPetr DvořákPartner & Mobile Strategy Consultantpetr@inmite.euSmart Cards & Devices Forum 2013
  • 2. Obsah• Vlastnosti mobilních zařízení.• Architektura mobilního bankovnictví.• Popis současného stavu zabezpečení.• Témata roku 2013.
  • 3. Vlastnosti mobilníchzařízení
  • 4. Mobilní zařízení• Chytré telefony a tablety.• Zcela běžně dostupná.• Vysoce přenosná, osobní.• Vždy on-line (GSM i Wi-Fi).• Vybavená senzory.
  • 5. Mobilní operační systémy• iOS: Mac OS X, Objective-C / Cocoa.• Android: Linux, Java (Dalvik).• Relativně snadné zásahy v runtime.• Benevolentní management paměti.Snadné napadení poúpravě “jail break”
  • 6. Architektura mobilníchbankovnictví
  • 7. Celkový pohled shoraFront-endovýserverIntegračnímezivrstvaTransakčnísystémAutentizačnísystém...XML/JSONover REST
  • 8. Celkový pohled shoraFront-endovýserverIntegračnímezivrstvaTransakčnísystémAutentizačnísystém...XML/JSONover REST
  • 9. Celkový pohled shoraFront-endovýserverIntegračnímezivrstvaTransakčnísystémAutentizačnísystém...XML/JSONover RESTPenetrační testyvždy před“většími” release
  • 10. Celkový pohled shoraFront-endovýserverIntegračnímezivrstvaTransakčnísystémAutentizačnísystém...XML/JSONover RESTPenetrační testyvždy před“většími” release
  • 11. Mobilní bankovnictvíNativníaplikace.Různé operačnísystémy
  • 12. Mobilní bankovnictvíObjective-C
  • 13. Mobilní bankovnictvíJava
  • 14. Mobilní bankovnictvíC/C++ (sdílený kód)
  • 15. Popis současného stavuzabezpečení
  • 16. Současný stav zabezpečení• Bezpečnost MB - typicky“rozumná”úroveň.• Neexistuje obecný konsenzus jako u IB.• Kompromis UX vs. bezpečnost.• Řeší se stará i nová témata.• Ví se zhruba o problémech, které přijdou.
  • 17. Staré dobré útoky• Útok MITM.• Podvržená aplikace.• Útok po ukradení.• Reverzní inženýrství.
  • 18. Útok MITM• iOS - Snadné (Wi-Fi, e-mail).• Android - Méně snadné(SD karta).• Podepisování na aplikačnívrstvě.• Striktní validace SSLcertifikátu.
  • 19. Útok MITM• iOS - Snadné (Wi-Fi, e-mail).• Android - Méně snadné(SD karta).• Podepisování na aplikačnívrstvě.• Striktní validace SSLcertifikátu.
  • 20. Útok MITM• iOS - Snadné (Wi-Fi, e-mail).• Android - Méně snadné(SD karta).• Podepisování na aplikačnívrstvě.• Striktní validace SSLcertifikátu.Problém přivypršení platnosti.
  • 21. Podvržená aplikace• iOS -“Nemožné”(review).• Android - Snadné(otevřenost).• Manuální kontrola GooglePlay (a App Store).• Uživatelská hodnocení.Uživatelé vyhlížíaplikace své banky.
  • 22. Podvržená aplikace• iOS -“Nemožné”(review).• Android - Snadné(otevřenost).• Manuální kontrola GooglePlay (a App Store).• Uživatelská hodnocení.Nejlepší obrana: vydejte aplikacivčas a komunikujte ji! ☺
  • 23. Útok po ukradení• Krádež či ztráta zařízení.• Malý dopad reálně, velké obavy uživatelů.• Typy útoků:• Postranní kanály.• Hádání hesla.• Dolování hesla.
  • 24. Postranní kanály• Použití stejného hesla napříč aplikacemis různým zabezpečením.• Slabá úložiště hesel.• Otisky prstů na displeji.Útok jinudy, než skrze aplikaci.
  • 25. Postranní kanály
  • 26. Hádání hesla• Nutné efektivně omezit počet pokusů.• Sdílený náhodný klíč (symetrická šifra).• Sekvenčnost.• Heslo odemykající klíč nemusí být složité.V případě správné implementacedílčího ověřování.
  • 27. Hádání hesla• Nutné omezení možnosti blokování účtu.• Rozpoznání situace, kdy útočník vlastnízařízení uživatele.• Dvou-faktorová autentizace.Opačný požadavek než omezenípočtu pokusů pro hádání.
  • 28. Dolování hesla• Výpis paměti nebo útok na run-time.• Nutné zajistit striktní práci s pamětí.• Low-level implementace (C/C++ modul).• Android NDK.Jailbreak + Cycript.
  • 29. Dolování heslaSpuštěníaplikaceZavřeníaplikaceAplikaceukončenaUživatel: Aplikace je vypnutá. Útočník zcizí zařízení, nebo jejuživatel ztratí.Malware?Hra skončila...ZadáníheslaSystém: Aplikace si chvíli podržím.
  • 30. Dolování hesla• Přemazávání klíčůa dočasných hodnot.• Složitější dekompilacealgoritmů.• Speciální klávesnice.• Zabezpečení zadávání heslado textových polí.
  • 31. Reverzní inženýrství• Přílišné odkrývání implementačníchdetailů láká zvědavce.• Diskuze, které se nemusí vést= reputační riziko.• Možnost nalezení slabších místimplementace.
  • 32. Témata 2013
  • 33. Mobilní malware• Problém především na OS Android.• S rostoucí penetrací poroste intenzita.• Kradení autorizačních SMS (Eurograbber).• Podvržení URL schémat a intentů.• Mobilní antiviry nejsou samospásné.Žádná zvláštnínáročnost.
  • 34. Silnější autorizace• Současné mobilní banky směřují na“retail”.• Chybí řešení pro SME a větší podniky.• Jak z pohledu funkčnosti, tak bezpečnosti.
  • 35. HW token, ARM TrustZone, ...Možností je mnoho ...
  • 36. Hlavní výzva?Včasné vzděláváníuživatelů ...
  • 37. Děkuji.Petr DvořákPartner & Mobile Strategy Consultantpetr@inmite.eu

×