Mobilní bankovnictví a bezpečnostní rizika
Upcoming SlideShare
Loading in...5
×
 

Mobilní bankovnictví a bezpečnostní rizika

on

  • 1,835 views

Co je mobilní bankovnictví, jaké jsou jeho nejčastější způsoby (SIM Toolkit, aplikace pro operační systémy iOS, Android, Symbian apod.). V čem jsou jeho výhody a v čem spočívá jeho ...

Co je mobilní bankovnictví, jaké jsou jeho nejčastější způsoby (SIM Toolkit, aplikace pro operační systémy iOS, Android, Symbian apod.). V čem jsou jeho výhody a v čem spočívá jeho nebezpečí a riziko? Je možné dlouhodobě spoléhat na jednofaktorovou bezpečnost řešení mobilních bankovnictví?

Statistics

Views

Total Views
1,835
Slideshare-icon Views on SlideShare
1,831
Embed Views
4

Actions

Likes
1
Downloads
5
Comments
0

2 Embeds 4

http://us-w1.rockmelt.com 3
http://localhost 1

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

CC Attribution-NoDerivs LicenseCC Attribution-NoDerivs License

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Mobilní bankovnictví a bezpečnostní rizika Mobilní bankovnictví a bezpečnostní rizika Presentation Transcript

    • Mobilní bankovnictví a bezpečnostní rizikaPetr DvořákChief Senior Workaholics
    • Před pár lety...
    • První krůčky: GSM, JavaME
    • Dnes jsme dále...
    • Finance jsou mobilní
    • Nová zařízení, nové problémy
    • Mobilní telefon(krásný)
    • Tablet device(krásný)
    • Dell Streak(divný)
    • Asus EEEPad(nevyhraněný)
    • Internet do notebooku?(Co bude dál? Lékař jen na zuby?)
    • Problém • Žádné IMEI, ICCID, ... • často není SIM karta, není API v SDK • Žádná autorizace pomocí SMS • opět - není SIM • ... nebo hůř - je SIM • Žádná USB klíčenka • není port pro USB
    • Řešení • Přiznat si, že zařízení je anonymní • “ID zařízení” vs. “ID instalace” • ... chceme přeci ověřit uživatele, boha jeho... • Autentizace = “Jak dokážu, že já jsem já...” • Jiná dvou-faktorová autentizace • SecurID • Secure Token s NFC
    • Zařízení je anonymní• Nesmí být moc anonymní • Blokace při ztrátě • Obrana proti zablokování účtu• Řeší proces aktivace / personalizace • Sekvence kroků na zařízení a v internetovém bankovnictví • Internetové bankovnictví je bezpečný kanál
    • Případová studie
    • SERVIS 24• Heslo pro Mobilní banku se nastavuje v IB • V prostředí IB uživatel nastaví heslo a opíše si jednorázový kód • Heslo je v IB autorizováno běžnými prostředky• Aktivace se dokončí v mobilním zařízení • Na základě klientského čísla, jednorázového kódu a hesla dojde k personalizaci instalace
    • SERVIS 24 pro iPhone
    • SERVIS 24Z reklamy na bezpečnost:“Při komunikaci se serverem je každýpožadavek individuálně podepsánsignaturou složenou z dat personalizace,dat daného požadavku, hasheuživatelského hesla, časového razítkaa dalších, velmi tajných parametrů.”
    • SERVIS 24• ... tedy i při prolomení bezpečného komunikačního kanálu • Je zajištěno, že není možné kompromitovat heslo • Není možné opakovat requesty na server • Není možné podvrhovat obsah requestů• Je zajištěno, že požadavky provádí daný uživatel z jeho aktivovaného zařízení
    • Nová zařízení, staré problémy
    • Problém • Firmy zaměřené na mobilní vývoj jsou stále mladé • Nevědí, kde může být teoreticky problém • Firmy provádějící bezpečnostní audit stále nemají detailní znalost platforem • Jak funguje logování? Jak se pracuje s certifikáty? Co je to keychain? Jak fungují cookies a HTTP cache? Jak instalovat aplikaci ze serveru banky?
    • Řešení • Přiznat si, že nejsem superman • “Naše firma testuje bezpečnost již 100 let, testovali jsme pro Bank of America.” • “Vyvíjíme aplikace pro mobily už 4 roky, udělali jsme Chrochtátko pro iPhone.” • V kooperaci verifikovat bezpečnost • Návrh bezpečnosti • Implementace pro danou platformu
    • Autentizace stojí a padá s heslem uživatele
    • “Nedávej všechna vejce do jednoho košíku”
    • 2-faktorová autentizace• Obejdeme se bez ní? • Klid - teď ano... • ... pak ne...• Mobilní bankovnictví není moc rozšířené • Nevyplatí se útočit skrze něj • Neexistují hrozby, které by vynutily silnější autorizaci • Ne zcela platí pro Android, naštěstí je tu Avast antivirus• Čeká se na první skandál☺
    • Shrnutí• Nová zařízení přinesla nové hrozby • Je potřeba je vyřešit do doby, než bude z mobilního bankovnictví zajímavý cíl • Je nutno přijímat nové postupy, nelpět na přežitých schématech• Dlouhodobě nebude stačit jedno-faktorová autentizace • Více-faktorová autentizace nemusí uživatele bolet
    • Děkuji@inmite@joshis_tweets