Mobilní bankovnictví a bezpečnostní rizika

  • 1,417 views
Uploaded on

Co je mobilní bankovnictví, jaké jsou jeho nejčastější způsoby (SIM Toolkit, aplikace pro operační systémy iOS, Android, Symbian apod.). V čem jsou jeho výhody a v čem spočívá jeho nebezpečí a riziko? …

Co je mobilní bankovnictví, jaké jsou jeho nejčastější způsoby (SIM Toolkit, aplikace pro operační systémy iOS, Android, Symbian apod.). V čem jsou jeho výhody a v čem spočívá jeho nebezpečí a riziko? Je možné dlouhodobě spoléhat na jednofaktorovou bezpečnost řešení mobilních bankovnictví?

More in: Technology
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
No Downloads

Views

Total Views
1,417
On Slideshare
0
From Embeds
0
Number of Embeds
0

Actions

Shares
Downloads
5
Comments
0
Likes
1

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. Mobilní bankovnictví a bezpečnostní rizikaPetr DvořákChief Senior Workaholics
  • 2. Před pár lety...
  • 3. První krůčky: GSM, JavaME
  • 4. Dnes jsme dále...
  • 5. Finance jsou mobilní
  • 6. Nová zařízení, nové problémy
  • 7. Mobilní telefon(krásný)
  • 8. Tablet device(krásný)
  • 9. Dell Streak(divný)
  • 10. Asus EEEPad(nevyhraněný)
  • 11. Internet do notebooku?(Co bude dál? Lékař jen na zuby?)
  • 12. Problém • Žádné IMEI, ICCID, ... • často není SIM karta, není API v SDK • Žádná autorizace pomocí SMS • opět - není SIM • ... nebo hůř - je SIM • Žádná USB klíčenka • není port pro USB
  • 13. Řešení • Přiznat si, že zařízení je anonymní • “ID zařízení” vs. “ID instalace” • ... chceme přeci ověřit uživatele, boha jeho... • Autentizace = “Jak dokážu, že já jsem já...” • Jiná dvou-faktorová autentizace • SecurID • Secure Token s NFC
  • 14. Zařízení je anonymní• Nesmí být moc anonymní • Blokace při ztrátě • Obrana proti zablokování účtu• Řeší proces aktivace / personalizace • Sekvence kroků na zařízení a v internetovém bankovnictví • Internetové bankovnictví je bezpečný kanál
  • 15. Případová studie
  • 16. SERVIS 24• Heslo pro Mobilní banku se nastavuje v IB • V prostředí IB uživatel nastaví heslo a opíše si jednorázový kód • Heslo je v IB autorizováno běžnými prostředky• Aktivace se dokončí v mobilním zařízení • Na základě klientského čísla, jednorázového kódu a hesla dojde k personalizaci instalace
  • 17. SERVIS 24 pro iPhone
  • 18. SERVIS 24Z reklamy na bezpečnost:“Při komunikaci se serverem je každýpožadavek individuálně podepsánsignaturou složenou z dat personalizace,dat daného požadavku, hasheuživatelského hesla, časového razítkaa dalších, velmi tajných parametrů.”
  • 19. SERVIS 24• ... tedy i při prolomení bezpečného komunikačního kanálu • Je zajištěno, že není možné kompromitovat heslo • Není možné opakovat requesty na server • Není možné podvrhovat obsah requestů• Je zajištěno, že požadavky provádí daný uživatel z jeho aktivovaného zařízení
  • 20. Nová zařízení, staré problémy
  • 21. Problém • Firmy zaměřené na mobilní vývoj jsou stále mladé • Nevědí, kde může být teoreticky problém • Firmy provádějící bezpečnostní audit stále nemají detailní znalost platforem • Jak funguje logování? Jak se pracuje s certifikáty? Co je to keychain? Jak fungují cookies a HTTP cache? Jak instalovat aplikaci ze serveru banky?
  • 22. Řešení • Přiznat si, že nejsem superman • “Naše firma testuje bezpečnost již 100 let, testovali jsme pro Bank of America.” • “Vyvíjíme aplikace pro mobily už 4 roky, udělali jsme Chrochtátko pro iPhone.” • V kooperaci verifikovat bezpečnost • Návrh bezpečnosti • Implementace pro danou platformu
  • 23. Autentizace stojí a padá s heslem uživatele
  • 24. “Nedávej všechna vejce do jednoho košíku”
  • 25. 2-faktorová autentizace• Obejdeme se bez ní? • Klid - teď ano... • ... pak ne...• Mobilní bankovnictví není moc rozšířené • Nevyplatí se útočit skrze něj • Neexistují hrozby, které by vynutily silnější autorizaci • Ne zcela platí pro Android, naštěstí je tu Avast antivirus• Čeká se na první skandál☺
  • 26. Shrnutí• Nová zařízení přinesla nové hrozby • Je potřeba je vyřešit do doby, než bude z mobilního bankovnictví zajímavý cíl • Je nutno přijímat nové postupy, nelpět na přežitých schématech• Dlouhodobě nebude stačit jedno-faktorová autentizace • Více-faktorová autentizace nemusí uživatele bolet
  • 27. Děkuji@inmite@joshis_tweets