Mobilní bankovnictví         a bezpečnostní rizikaPetr DvořákChief Senior Workaholics
Před pár lety...
První krůčky: GSM, JavaME
Dnes jsme dále...
Finance jsou mobilní
Nová zařízení, nové problémy
Mobilní telefon(krásný)
Tablet device(krásný)
Dell Streak(divný)
Asus EEEPad(nevyhraněný)
Internet do notebooku?(Co bude dál? Lékař jen na zuby?)
Problém •   Žádné IMEI, ICCID, ...     •   často není SIM karta, není API v SDK •   Žádná autorizace pomocí SMS     •   op...
Řešení •   Přiznat si, že zařízení je anonymní     •   “ID zařízení” vs. “ID instalace”     •   ... chceme přeci ověřit už...
Zařízení je anonymní•   Nesmí být moc anonymní    •   Blokace při ztrátě    •   Obrana proti zablokování účtu•   Řeší proc...
Případová studie
SERVIS 24•   Heslo pro Mobilní banku se nastavuje v IB    •   V prostředí IB uživatel nastaví heslo a opíše si        jedn...
SERVIS 24 pro iPhone
SERVIS 24Z reklamy na bezpečnost:“Při komunikaci se serverem je každýpožadavek individuálně podepsánsignaturou složenou z ...
SERVIS 24•   ... tedy i při prolomení bezpečného    komunikačního kanálu    •   Je zajištěno, že není možné kompromitovat ...
Nová zařízení, staré problémy
Problém •   Firmy zaměřené na mobilní vývoj jsou     stále mladé     •   Nevědí, kde může být teoreticky problém •   Firmy...
Řešení •   Přiznat si, že nejsem superman     •   “Naše firma testuje bezpečnost již 100 let,         testovali jsme pro B...
Autentizace stojí a padá  s heslem uživatele
“Nedávej všechna vejce do    jednoho košíku”
2-faktorová autentizace•   Obejdeme se bez ní?    •   Klid - teď ano...    •   ... pak ne...•   Mobilní bankovnictví není ...
Shrnutí•   Nová zařízení přinesla nové hrozby    •   Je potřeba je vyřešit do doby, než bude        z mobilního bankovnict...
Děkuji@inmite@joshis_tweets
Upcoming SlideShare
Loading in...5
×

Mobilní bankovnictví a bezpečnostní rizika

1,497

Published on

Co je mobilní bankovnictví, jaké jsou jeho nejčastější způsoby (SIM Toolkit, aplikace pro operační systémy iOS, Android, Symbian apod.). V čem jsou jeho výhody a v čem spočívá jeho nebezpečí a riziko? Je možné dlouhodobě spoléhat na jednofaktorovou bezpečnost řešení mobilních bankovnictví?

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
1,497
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
6
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Mobilní bankovnictví a bezpečnostní rizika

  1. 1. Mobilní bankovnictví a bezpečnostní rizikaPetr DvořákChief Senior Workaholics
  2. 2. Před pár lety...
  3. 3. První krůčky: GSM, JavaME
  4. 4. Dnes jsme dále...
  5. 5. Finance jsou mobilní
  6. 6. Nová zařízení, nové problémy
  7. 7. Mobilní telefon(krásný)
  8. 8. Tablet device(krásný)
  9. 9. Dell Streak(divný)
  10. 10. Asus EEEPad(nevyhraněný)
  11. 11. Internet do notebooku?(Co bude dál? Lékař jen na zuby?)
  12. 12. Problém • Žádné IMEI, ICCID, ... • často není SIM karta, není API v SDK • Žádná autorizace pomocí SMS • opět - není SIM • ... nebo hůř - je SIM • Žádná USB klíčenka • není port pro USB
  13. 13. Řešení • Přiznat si, že zařízení je anonymní • “ID zařízení” vs. “ID instalace” • ... chceme přeci ověřit uživatele, boha jeho... • Autentizace = “Jak dokážu, že já jsem já...” • Jiná dvou-faktorová autentizace • SecurID • Secure Token s NFC
  14. 14. Zařízení je anonymní• Nesmí být moc anonymní • Blokace při ztrátě • Obrana proti zablokování účtu• Řeší proces aktivace / personalizace • Sekvence kroků na zařízení a v internetovém bankovnictví • Internetové bankovnictví je bezpečný kanál
  15. 15. Případová studie
  16. 16. SERVIS 24• Heslo pro Mobilní banku se nastavuje v IB • V prostředí IB uživatel nastaví heslo a opíše si jednorázový kód • Heslo je v IB autorizováno běžnými prostředky• Aktivace se dokončí v mobilním zařízení • Na základě klientského čísla, jednorázového kódu a hesla dojde k personalizaci instalace
  17. 17. SERVIS 24 pro iPhone
  18. 18. SERVIS 24Z reklamy na bezpečnost:“Při komunikaci se serverem je každýpožadavek individuálně podepsánsignaturou složenou z dat personalizace,dat daného požadavku, hasheuživatelského hesla, časového razítkaa dalších, velmi tajných parametrů.”
  19. 19. SERVIS 24• ... tedy i při prolomení bezpečného komunikačního kanálu • Je zajištěno, že není možné kompromitovat heslo • Není možné opakovat requesty na server • Není možné podvrhovat obsah requestů• Je zajištěno, že požadavky provádí daný uživatel z jeho aktivovaného zařízení
  20. 20. Nová zařízení, staré problémy
  21. 21. Problém • Firmy zaměřené na mobilní vývoj jsou stále mladé • Nevědí, kde může být teoreticky problém • Firmy provádějící bezpečnostní audit stále nemají detailní znalost platforem • Jak funguje logování? Jak se pracuje s certifikáty? Co je to keychain? Jak fungují cookies a HTTP cache? Jak instalovat aplikaci ze serveru banky?
  22. 22. Řešení • Přiznat si, že nejsem superman • “Naše firma testuje bezpečnost již 100 let, testovali jsme pro Bank of America.” • “Vyvíjíme aplikace pro mobily už 4 roky, udělali jsme Chrochtátko pro iPhone.” • V kooperaci verifikovat bezpečnost • Návrh bezpečnosti • Implementace pro danou platformu
  23. 23. Autentizace stojí a padá s heslem uživatele
  24. 24. “Nedávej všechna vejce do jednoho košíku”
  25. 25. 2-faktorová autentizace• Obejdeme se bez ní? • Klid - teď ano... • ... pak ne...• Mobilní bankovnictví není moc rozšířené • Nevyplatí se útočit skrze něj • Neexistují hrozby, které by vynutily silnější autorizaci • Ne zcela platí pro Android, naštěstí je tu Avast antivirus• Čeká se na první skandál☺
  26. 26. Shrnutí• Nová zařízení přinesla nové hrozby • Je potřeba je vyřešit do doby, než bude z mobilního bankovnictví zajímavý cíl • Je nutno přijímat nové postupy, nelpět na přežitých schématech• Dlouhodobě nebude stačit jedno-faktorová autentizace • Více-faktorová autentizace nemusí uživatele bolet
  27. 27. Děkuji@inmite@joshis_tweets
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×