Mobilní bankovnictví a bezpečnostní rizika
Upcoming SlideShare
Loading in...5
×
 

Mobilní bankovnictví a bezpečnostní rizika

on

  • 1,876 views

Co je mobilní bankovnictví, jaké jsou jeho nejčastější způsoby (SIM Toolkit, aplikace pro operační systémy iOS, Android, Symbian apod.). V čem jsou jeho výhody a v čem spočívá jeho ...

Co je mobilní bankovnictví, jaké jsou jeho nejčastější způsoby (SIM Toolkit, aplikace pro operační systémy iOS, Android, Symbian apod.). V čem jsou jeho výhody a v čem spočívá jeho nebezpečí a riziko? Je možné dlouhodobě spoléhat na jednofaktorovou bezpečnost řešení mobilních bankovnictví?

Statistics

Views

Total Views
1,876
Views on SlideShare
1,872
Embed Views
4

Actions

Likes
1
Downloads
5
Comments
0

2 Embeds 4

http://us-w1.rockmelt.com 3
http://localhost 1

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

CC Attribution-NoDerivs LicenseCC Attribution-NoDerivs License

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Mobilní bankovnictví a bezpečnostní rizika Mobilní bankovnictví a bezpečnostní rizika Presentation Transcript

  • Mobilní bankovnictví a bezpečnostní rizikaPetr DvořákChief Senior Workaholics
  • Před pár lety...
  • První krůčky: GSM, JavaME
  • Dnes jsme dále...
  • Finance jsou mobilní
  • Nová zařízení, nové problémy
  • Mobilní telefon(krásný)
  • Tablet device(krásný)
  • Dell Streak(divný)
  • Asus EEEPad(nevyhraněný)
  • Internet do notebooku?(Co bude dál? Lékař jen na zuby?)
  • Problém • Žádné IMEI, ICCID, ... • často není SIM karta, není API v SDK • Žádná autorizace pomocí SMS • opět - není SIM • ... nebo hůř - je SIM • Žádná USB klíčenka • není port pro USB
  • Řešení • Přiznat si, že zařízení je anonymní • “ID zařízení” vs. “ID instalace” • ... chceme přeci ověřit uživatele, boha jeho... • Autentizace = “Jak dokážu, že já jsem já...” • Jiná dvou-faktorová autentizace • SecurID • Secure Token s NFC
  • Zařízení je anonymní• Nesmí být moc anonymní • Blokace při ztrátě • Obrana proti zablokování účtu• Řeší proces aktivace / personalizace • Sekvence kroků na zařízení a v internetovém bankovnictví • Internetové bankovnictví je bezpečný kanál
  • Případová studie
  • SERVIS 24• Heslo pro Mobilní banku se nastavuje v IB • V prostředí IB uživatel nastaví heslo a opíše si jednorázový kód • Heslo je v IB autorizováno běžnými prostředky• Aktivace se dokončí v mobilním zařízení • Na základě klientského čísla, jednorázového kódu a hesla dojde k personalizaci instalace
  • SERVIS 24 pro iPhone
  • SERVIS 24Z reklamy na bezpečnost:“Při komunikaci se serverem je každýpožadavek individuálně podepsánsignaturou složenou z dat personalizace,dat daného požadavku, hasheuživatelského hesla, časového razítkaa dalších, velmi tajných parametrů.”
  • SERVIS 24• ... tedy i při prolomení bezpečného komunikačního kanálu • Je zajištěno, že není možné kompromitovat heslo • Není možné opakovat requesty na server • Není možné podvrhovat obsah requestů• Je zajištěno, že požadavky provádí daný uživatel z jeho aktivovaného zařízení
  • Nová zařízení, staré problémy
  • Problém • Firmy zaměřené na mobilní vývoj jsou stále mladé • Nevědí, kde může být teoreticky problém • Firmy provádějící bezpečnostní audit stále nemají detailní znalost platforem • Jak funguje logování? Jak se pracuje s certifikáty? Co je to keychain? Jak fungují cookies a HTTP cache? Jak instalovat aplikaci ze serveru banky?
  • Řešení • Přiznat si, že nejsem superman • “Naše firma testuje bezpečnost již 100 let, testovali jsme pro Bank of America.” • “Vyvíjíme aplikace pro mobily už 4 roky, udělali jsme Chrochtátko pro iPhone.” • V kooperaci verifikovat bezpečnost • Návrh bezpečnosti • Implementace pro danou platformu
  • Autentizace stojí a padá s heslem uživatele
  • “Nedávej všechna vejce do jednoho košíku”
  • 2-faktorová autentizace• Obejdeme se bez ní? • Klid - teď ano... • ... pak ne...• Mobilní bankovnictví není moc rozšířené • Nevyplatí se útočit skrze něj • Neexistují hrozby, které by vynutily silnější autorizaci • Ne zcela platí pro Android, naštěstí je tu Avast antivirus• Čeká se na první skandál☺
  • Shrnutí• Nová zařízení přinesla nové hrozby • Je potřeba je vyřešit do doby, než bude z mobilního bankovnictví zajímavý cíl • Je nutno přijímat nové postupy, nelpět na přežitých schématech• Dlouhodobě nebude stačit jedno-faktorová autentizace • Více-faktorová autentizace nemusí uživatele bolet
  • Děkuji@inmite@joshis_tweets