• Save
Wyzwania dla bezpieczeństwa związane z nowymi technologiami w aplikacjach bankowości elektronicznej
 

Wyzwania dla bezpieczeństwa związane z nowymi technologiami w aplikacjach bankowości elektronicznej

on

  • 737 views

Prezentacja z konferencji -

Prezentacja z konferencji -

Statistics

Views

Total Views
737
Views on SlideShare
737
Embed Views
0

Actions

Likes
0
Downloads
0
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

CC Attribution License

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Wyzwania dla bezpieczeństwa związane z nowymi technologiami w aplikacjach bankowości elektronicznej Wyzwania dla bezpieczeństwa związane z nowymi technologiami w aplikacjach bankowości elektronicznej Presentation Transcript

  • Nowe technologie w aplikacjachbankowości elektronicznej -- Wyzwania dla bezpieczeństwa Wojciech Dworakowski
  • AgendaNowe trendy  Aplikacje mobilne  NFC  Bank wirtualny  Integracja z serwisami społecznościowymiJak to zrobić bezpiecznie? 2
  • Kto stoi w miejscu, ten się cofa, bo cały świat idzie do przodu. 3
  • Aplikacje mobilneAplikacja mobilna vs aplikacja „przeglądarkowa”Inny profil ryzyka  Urządzenie użytkownika  Kradzież, zgubienie, chwilowy dostęp, …  Aplikacja pod kontrolą użytkownika  Może być analizowana i dowolnie modyfikowana  Inne aplikacje na urządzeniu  Mogą stanowić zagrożenie  Uaktualnienia  z opóźnieniem  API po stronie serwera  Osiągalne bezpośrednio, bez aplikacji użytkownikaNie można traktować jak „prawie WWW”  To nie jest tylko inny sposób prezentacji 4
  • Aplikacje mobilne Dane przechowywane na urządzeniuCo w przypadku utraty urządzenia?  Dane wrażliwe (tajemnica bankowa, dane osobowe, dane uwierzytelniające i autoryzujące transakcje, …)Czy dane są szyfrowane?Czy klucz szyfrowania łatwo odzyskać?  Musi być przetwarzany przez (niezaufane) urządzenie 5
  • Aplikacje mobilne Dane przechowywane na urządzeniu (c.d.)Co jest zapisywane do logów w trakcie pracy aplikacji?Dane uwierzytelniające  Jaka jest przestrzeń poszukiwań?  Ile prób odgadnięcia ma atakujący?  Czy można je „złamać” bez kontaktu z serwerem? 6
  • Aplikacje mobilne Przykład Grafika: technabob.comAplikacja mobilnaSekret używany do uwierzytelnienia,zaszyfrowany kluczem generowanym napodstawie PINDodatkowo - na urządzeniu danezaszyfrowane tym kluczemEfekt  Klucz można łamać off-line  4 cyfry = 10 tys. prób = kilka minutKoszt usunięcia: Zmiana algorytmu (powdrożeniu) 7
  • Aplikacje mobilne Autoryzacja transakcjiPodstawowy mechanizmbezpieczeństwa  Większe ryzyko dostępu atakującego do uwierzytelnionej sesjiMechanizm powinien umożliwiaćzweryfikowanie danych transakcji Jak to zrobić wygodnie?Użycie innego kanału –niekontrolowanego przez intruza Na pewno?  SMS  Token (osobna aplikacja) 8
  • Aplikacje mobilne Wrogie oprogramowanie (malware)Dostęp fizyczny  mała skalaMalware  skala masowaSkutki te sameTelefon / tablet – to nie są urządzenia bezpieczne !… tak jak komputer, ale:  ryzyka są mniej rozpoznane  brak kontroli AV (standardowo)  brak unifikacji systemu (wielu dostawców)  rzadsze uaktualnienia  użytkownik może instalować dowolne oprogramowanie  mniej doświadczony użytkownik 9
  • NFCNFC – nowy interfejs do aplikacji = zwiększenie powierzchni atakuPrzykład: BlackHat 2012  Wywołanie podatnej aplikacji przez NFC  Wykorzystanie podatności w aplikacji  Wykonanie dowolnego kodu na telefoniePrzykład: NFC Proxy  Wroga aplikacja na telefonie ofiary  Jeśli karta zbliżeniowa znajdzie się w zasięgu NFC…  …to można zdalnie zrobić dowolną transakcję (zbliżeniową) 10
  • Wirtualny kontakt z klientemPrzeniesienie „oddziałów” i „doradców klienta” do InternetuUproszczenie procedur, wyeliminowanie papieruZakładanie konta  Potwierdzanie tożsamości przez przelew z innego banku  Zagrożenie: Kradzież tożsamości  Przykłady: Zakładanie kont – słupówPrzekazywanie hasła dla innych podmiotów  Zarządzanie finansami osobistymi  Weryfikacja zdolności kredytowej  Nowe systemy e-płatności 11
  • Integracja z serwisami społecznościowymiWstawienie cudzego kodu do własnej aplikacji  Publikowanie informacji w sieciach społecznościowych, „polecanie”, itp.  Mapy, statystyki odwiedzin, widgety, gadgety, …  Czy ufamy zewnętrznemu serwisowi?  Co wiemy o bezpieczeństwie tego serwisu?  Czy ufamy operatorom serwisu?  Czy zostało uwzględnione ryzyko istnienia podatności w integrowanym serwisie? 12
  • Integracja z serwisami społecznościowymiWstawienie własnego kodu do cudzej aplikacji  Aplikacja na serwisie społecznościowym  Czy zostało uwzględnione ryzyko ataku na sesję użytkownika w zewnętrznej aplikacji?  Funkcje bezpieczeństwa (np. uwierzytelnienie) – poza kontrolą banku  Sieci społecznościowe  użytkownik zalogowany non-stop  Potrzebne są dodatkowe zabezpieczenia (np. limity) 13
  • Jak to zrobić bezpiecznie?Rosnące koszty usuwaniapodatności Utrzymanie Wdrażanie Wytwarzanie Projektowanie Definiowanie Wpisanie bezpieczeństwa w cały cykl rozwojowy aplikacji SDLC (Secuity in Development Lifecycle) 14
  • Od czego zacząć? zagrożenia Żeby efektywnie planować zabezpieczenia trzeba znać: • zagrożenia • scenariusze atakówzabezpieczenia • potencjalne skutki aktywa skutki 15
  • • Zidentyfikowanie Modelowanie zagrożeń • Wymagania zagrożeń dotyczące• Scenariusze bezpieczeństwa ataków • Scenariusze• Dobranie testowe zabezpieczeń Niezbędne: • Doświadczenie • Umiejętność wczucia się w rolę atakującego 16
  • Testowanie bezpieczeństwaNiezbędne - bo może zawieść implementacja założeńW trakcie implementacji  przegląd założeń, testy jednostkowePrzed wdrożeniem  Testy penetracyjne  Przeglądy kodu i konfiguracji 17
  • Testowanie bezpieczeństwaNa podstawie zidentyfikowanych zagrożeńWedług ustalonych priorytetówNIE black-box !Pamiętaj o uwzględnieniu całego środowiska  Atakowany jest cały system a nie jeden element  Połączenia z innymi systemami, biblioteki, frameworkKluczowe – doświadczenie testujących 18
  • PodsumowanieWdrażając nowe technologie myśl o bezpieczeństwie!  od planowania po wdrożenie i eksploatację systemuZaplanuj bezpieczeństwo  Identyfikacja zagrożeń  Projektowanie zabezpieczeńJeśli chcesz uniknąć zbędnych kosztów i kłopotów  Testuj przed  Modelowanie zagrożeń  … i po  Testy penetracyjne, przeglądy konfiguracji, ...Niezbędne - doświadczenie i metnalność atakującego 19
  • Wsparcie procesów związanych z utrzymaniem bezpieczeństwa  Od identyfikacji zagrożeń i tworzenia założeń…  …po testy odbiorcze i okresowe testy podczas eksploatacji  Audyty  Specjalizowane szkoleniaNiezależność od dostawców rozwiązań  Nasza firma nie prowadzi aktywnej sprzedaży produktów zabezpieczających.  Koncentrujemy się wyłącznie na usługach dotyczących bezpieczeństwa IT.Działamy od 2003 rokuZbadaliśmy bezpieczeństwo ponad 200 systemów informatycznych iaplikacji 20
  • Nasze podejścieKluczem do właściwej oceny bezpieczeństwa jest uwzględnienie realnegowpływu na ryzyko  Identyfikacja lub modelowanie zagrożeń przed rozpoczęciem ocenyPodczas testów nie opieramy się wyłącznie na automatach  Narzędzia automatyczne są w stanie wykryć tylko ułamek problemów  Badane zagrożenie to prawdziwy atak człowieka a nie automatu  Uwzględnienie zidentyfikowanych zagrożeń, wpływu na biznes i logiki biznesowej  „Ręczna” weryfikacja, specjalizowane narzędziaPodczas formułowania zaleceń staramy się brać pod uwagę wymaganiabiznesowePrzede wszystkim kierujemy się zdrowym rozsądkiem 21
  • Pytania http://www.securing.pl Wojciech Dworakowski e-mail: info@securing.pl wojciech.dworakowski@securing.pl Jontkowa Górka 14a tel. 506 184 550 30-224 Kraków tel. (12) 4252575 fax. (12) 4252593 22